系统安全配置技术规范Juniper防火墙

资源描述

《系统安全配置技术规范Juniper防火墙》由会员分享，可在线阅读，更多相关《系统安全配置技术规范Juniper防火墙（11页珍藏版）》请在金锄头文库上搜索。

1、.系统安全配置技术规范Juniper防火墙版本V0.9日期2013-06-03文档编号文档发布文档说明一变更信息版本号变更日期变更者变更理由/变更内容备注二文档审核人姓名职位签名日期目录1.适用范围42.帐号管理与授权42.1基本删除与工作无关的帐号42.2基本建立用户帐号分类42.3基本配置登录超时时间52.4基本允许登录的帐号52.5基本失败登陆次数限制62.6基本口令设置符合复杂度要求62.7基本禁止root远程登录63.日志配置要求73.1基本设置日志服务器74.IP协议安全要求74.1基本禁用Telnet方式访问系统74.2基本启用SSH方式访问系统74.3配置SSH安全机制84.4

2、基本修改SNMP服务的共同体字符串85.服务配置要求85.1基本配置NTP服务85.2基本关闭DHCP服务95.3基本关闭FINGER服务96.其它安全要求96.1基本禁用Auxiliary端口96.2基本配置设备名称101. 适用范围如无特殊说明,本规范所有配置项适用于Juniper防火墙 JUNOS 8.x / 9.x / 10.x版本。其中有基本字样的配置项,均为本公司对此类系统的基本安全配置要求；未涉及基本字样的配置项,请各系统管理员视实际需求酌情遵从。2. 帐号管理与授权1.1 基本删除与工作无关的帐号配置项描述通过防火墙帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限等类别。

3、检查方法方法一：edit show configuration system login方法二：通过WEB方式检查操作步骤方法一：edit system login delete system login user abc3abc3是与工作无关的用户帐号方法二：通过WEB方法配置回退操作回退到原有的设置。操作风险低风险1.2 基本建立用户帐号分类配置项描述通过防火墙用户帐号分类,明确防火墙帐号分类权限,如只读权限、超级权限等类别。检查方法方法一：edit userhost#show system login | match class .*; | count 方法二：通过WEB方式检查将用户账

4、号分配到相应的用户级别：set system login user abc1 class read-onlyset system login user abc2 class ABC1set system login user abc3 class super-user操作步骤方法一：edit system login userhost#set user class 方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险1.3 基本配置登录超时时间配置项描述配置所有帐号登录超时限制检查方法方法一：edit userhost#show system login | match idle

5、-timeout 0-9|ile-timeout 10-5 | count 方法二：通过WEB方式检查操作步骤方法一：edit system login userhost#set class idle-timeout 15建议超时时间限制为15分钟方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险1.4 基本允许登录的帐号配置项描述配置允许登录的帐号类别检查方法方法一：edit userhost#show system login | match ermissions | count方法二：通过WEB方式检查操作步骤方法一：edit system login userhost#

6、set class permissions 方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险 1.5 基本失败登陆次数限制配置项描述应限制失败登陆次数不超过三次,终断会话检查方法方法一：edit userhost#show system login retry-options tries-before-disconnect方法二：通过WEB方式检查操作步骤方法一：edit system userhost#set login retry-options tries-before-disconnect 3方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险1.6

7、基本口令设置符合复杂度要求配置项描述口令设置符合复杂度要求,密码长度最少为8位,且包含大小写、数字和特殊符号中的至少4种。检查方法方法一：userhost#show system login password方法二：通过WEB方式检查操作步骤方法一：口令必须包括字符集：edit system userhot#set login password change-type character-set 必须包括4中不同字符集大写字母,小写字母,数字,标点符号和特殊字符userhost#set login passwords minimum-changes 4 口令最短8位userhost#set l

8、ogin passwords minimum-length 8 方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险中风险1.7 基本禁止root远程登录配置项描述Root为系统超级权限帐号,建议禁止远程。检查方法方法一：edit userhost#show system services ssh方法二：通过WEB方法检查操作步骤方法一：edit system userhost#set services ssh root-login deny方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险3. 日志配置要求1.8 基本设置日志服务器配置项描述设置日志服务器,对网络系统

9、中的设备运行状况、网络流量、用户行为等进行日志记录。检查步骤方法一：edit userhost#show system syslog | match host | count 方法二：通过WEB方式检查操作步骤方法一：edit system userhost#set syslog host 方法二：通过WEB进行配置回退操作恢复原有日志配置策略。操作风险建议对设备启用Logging的配置,并设置正确的syslog服务器,保存系统日志。4. IP协议安全要求1.9 基本禁用Telnet方式访问系统配置项描述禁用Telnet方式访问系统。检查方法方法一：edit userhost#show sys

10、tem services | match telnet方法二：通过WEB方法检查操作步骤方法一：edit system userhost#delete services telnet方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险1.10 基本启用SSH方式访问系统配置项描述启用SSH方式访问系统,加密传输用户名、口令及数据信息,提高数据的传输安全性。检查方法方法一：edit userhost#show system services | match ssh方法二：通过WEB方法检查操作步骤方法一：edit system userhost#set services ssh 启

11、用SSH 2userhost#set services ssh protocol-version v2方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险1.11 配置SSH安全机制配置项描述配置SSH安全机制,防制DOS攻击检查方法方法一：edit userhost#show system services | match ssh方法二：通过WEB方法检查操作步骤方法一：限制最XX接数为10：edit system userhost#set services ssh connection-limit 10限制每秒最大会话数为4：edit system userhost#set

13、过WEB进行配置回退操作回退到原有的设置。操作风险低风险5. 服务配置要求1.13 基本配置NTP服务配置项描述启用防火墙的NTP设置,配置IP,口令等参数,在NTP Server之间开启认证功能。检查方法方法一：edit userhost#show system ntp | match server | except boot-server | count方法二：通过WEB方法检查操作步骤配置NTP：方法一：edit system userhost#set ntp server key version 4 方法二：通过WEB进行配置回退操作取消NTP Server的认证功能,或将密码设置为NULL。操作风险中风险1.14 基本关闭DHCP服务配置项描述禁用DHCP,避免攻

展开阅读全文