系统安全配置技术规范-Juniper防----火墙

系统安全配置技术规范—Juniper防火墙版本V0.9日期2013-06-03文档编号文档发布文档说明（一）变更信息版本号变更日期变更者变更理由/变更内容备注（二）文档审核人姓名职位签名日期目录1.适用范围2.帐号管理与授权2.1【基本】删除与工作无关的帐号2.2【基本】建立用户帐号分类2.3【基本】配置登录超时时间2.4【基本】允许登录的帐号2.5【基本】失败登陆次数限制2.6【基本】口令设置符合复杂度要求2.7【基本】禁止ROOT远程登录3.日志配置要求3.1【基本】设置日志服务器4.IP协议安全要求4.1【基本】禁用TELNET方式访问系统4.2【基本】启用SSH方式访问系统4.3配置SSH安全机制4.4【基本】修改SNMP服务的共同体字符串5.服务配置要求5.1【基本】配置NTP服务5.2【基本】关闭DHCP服务5.3【基本】关闭FINGER服务6.其它安全要求6.1【基本】禁用AUXILIARY端口6.2【基本】配置设备名称1.适用范围如无特殊说明，本规范所有配置项适用于Juniper防火墙JUNOS8.x/9.x/10.x版本。其中有“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未涉及“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。2.帐号管理与授权122.1【基本】删除与工作无关的帐号配置项描述通过防火墙帐号分类，明确防火墙帐号分类权限，如只读权限、超级权限等类别。检查方法方法一：[edit]showconfigurationsystemlogin方法二：通过WEB方式检查方法一：[editsystemlogin]deletesystemloginuserabc3操作步骤abc3是与工作无关的用户帐号方法二：通过WEB方法配置回退操作回退到原有的设置。操作风险低风险2.2【基本】建立用户帐号分类配置项描述通过防火墙用户帐号分类，明确防火墙帐号分类权限，如只读权限、超级权限等类别。检查方法方法一：[edit]user@host#showsystemlogin|match“class.*;”|count方法二：通过WEB方式检查将用户账号分配到相应的用户级别：setsystemloginuserabc1classread-onlysetsystemloginuserabc2classABC1setsystemloginuserabc3classsuper-user操作步骤方法一：[editsystemlogin]user@host#setuserusernameclassclassname方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险2.3【基本】配置登录超时时间配置项描述配置所有帐号登录超时限制检查方法方法一：[edit]user@host#showsystemlogin|match“idle-timeout[0-9]|ile-timeout1[0-5]”|count方法二：通过WEB方式检查操作步骤方法一：[editsystemlogin]user@host#setclassclassnameidle-timeout15建议超时时间限制为15分钟方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险2.4【基本】允许登录的帐号配置项描述配置允许登录的帐号类别检查方法方法一：[edit]user@host#showsystemlogin|match“ermissions”|count方法二：通过WEB方式检查操作步骤方法一：[editsystemlogin]user@host#setclassclassnamepermissionspermissionorlistofpermissions方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险2.5【基本】失败登陆次数限制配置项描述应限制失败登陆次数不超过三次，终断会话检查方法方法一：[edit]user@host#showsystemloginretry-optionstries-before-disconnect方法二：通过WEB方式检查操作步骤方法一：[editsystem]user@host#setloginretry-optionstries-before-disconnect3方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险2.6【基本】口令设置符合复杂度要求配置项描述口令设置符合复杂度要求，密码长度最少为8位，且包含大小写、数字和特殊符号中的至少4种。检查方法方法一：user@host#showsystemloginpassword方法二：通过WEB方式检查操作步骤方法一：口令必须包括字符集：[editsystem]user@hot#setloginpasswordchange-typecharacter-set必须包括4中不同字符集（大写字母，小写字母，数字，标点符号和特殊字符）user@host#setloginpasswordsminimum-changes4口令最短8位user@host#setloginpasswordsminimum-length8方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险中风险2.7【基本】禁止root远程登录配置项描述Root为系统超级权限帐号，建议禁止远程。检查方法方法一：[edit]user@host#showsystemservicesssh方法二：通过WEB方法检查操作步骤方法一：[editsystem]user@host#setservicessshroot-logindeny方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险3.日志配置要求33.1【基本】设置日志服务器配置项描述设置日志服务器，对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录。检查步骤方法一：[edit]user@host#showsystemsyslog|match“host”|count方法二：通过WEB方式检查操作步骤方法一：[editsystem]user@host#setsysloghostSYSLOG_SERVERFACILITYSEVERITY方法二：通过WEB进行配置回退操作恢复原有日志配置策略。操作风险建议对设备启用Logging的配置，并设置正确的syslog服务器，保存系统日志。4.IP协议安全要求44.1【基本】禁用Telnet方式访问系统配置项描述禁用Telnet方式访问系统。检查方法方法一：[edit]user@host#showsystemservices|matchtelnet方法二：通过WEB方法检查操作步骤方法一：[editsystem]user@host#deleteservicestelnet方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险4.2【基本】启用SSH方式访问系统配置项描述启用SSH方式访问系统，加密传输用户名、口令及数据信息，提高数据的传输安全性。检查方法方法一：[edit]user@host#showsystemservices|matchssh方法二：通过WEB方法检查操作步骤方法一：[editsystem]user@host#setservicesssh启用SSH2user@host#setservicessshprotocol-versionv2方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险4.3配置SSH安全机制配置项描述配置SSH安全机制，防制DOS攻击检查方法方法一：[edit]user@host#showsystemservices|matchssh方法二：通过WEB方法检查操作步骤方法一：限制最大连接数为10：[editsystem]user@host#setservicessshconnection-limit10限制每秒最大会话数为4：[editsystem]user@host#setservicessshrate-limit4方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险4.4【基本】修改SNMP服务的共同体字符串配置项描述修改SNMP服务的共同体字符串，避免攻击者采用穷举攻击对系统安全造成威胁。方法一：[edit]user@host#showsnmp|matchcommunity|match检查方法“public|private|admin|monitor|security”|count方法二：通过WEB方法检查操作步骤方法一：[editsnmp]user@host#renamecommunityoldcommunitytocommunitynewcommunity方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险5.服务配置要求55.1【基本】配置NTP服务配置项描述启用防火墙的NTP设置，配置IP，口令等参数，在NTPServer之间开启认证功能。检查方法方法一：[edit]user@host#showsystemntp|matchserver|exceptboot-server|count方法二：通过WEB方法检查配置NTP：方法一：[editsystem]user@host#setntpserverServersIPkeykeyID操作步骤version4方法二：通过WEB进行配置回退操作取消NTPServer的认证功能，或将密码设置为NULL。操作风险中风险5.2【基本】关闭DHCP服务配置项描述禁用DHCP，避免攻击者通过向DHCP提供虚假MAC的攻击。检查方法方法一：[edit]user@host#showsystemservices|matchdhcp方法二：通过WEB方法检查操作步骤方法一：[editsystem]user@host#deleteservicesdhcp或：[editsystem]user@host#deleteservicesdhcp-localserver方法二：通过WEB进行配置回退操作恢复DHCP服务。操作风险低风险操作风险低风险5.3【基本】关闭FINGER服务配置项描述禁用finger服务，避免攻击者通过finger服务进行攻击。方法一：检查方法[edit]user@host#showsystemservices|matchfinger方法二：通过WEB方式检查操作步骤方法一：[editsystem]user@host#deleteservicesfinger方法二：通过WEB进行配置回退操作恢复finger服务。操作风险低风险6.其它安全要求66.1【基本】禁用Auxiliary端口配置项描述禁用不使用的端口，避免为攻击者提供攻击通道。检查方法方法一：[edit]user@host#showsystemports方法二：通过WEB方式检查操作步骤方法一：Auxiliary端口禁止[editsystem]user@host#setportsauxiliarydisable方法二：通过WEB进行配置回退操作恢复端口原有配置。操作风险低风险，管理员需确认端口确实不需要使用6.2【基本】配置设备名称配置项描述为设备配置合理的设备名称，以便识别检查方法方法一[edit]user@host#showsystemhost-name方法二：通过WEB方式检查操作步骤方法一：[editsystem]user@host#sethost-namehostname方法二：通过WEB进行配置回退操作将超时设置恢复至初始值。操作风险低风险