Juniper防火墙安全配置基线.doc

Juniper 防火墙安全配置基线 中国移动集团公司第 1 页 共 25 页 JuniperJuniper 防火墙安全配置基线防火墙安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 04 月 Juniper 防火墙安全配置基线 中国移动集团公司第 2 页 共 25 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V2 0创建2012 年 4 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 Juniper 防火墙安全配置基线 中国移动集团公司第 3 页 共 25 页 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章帐号管理 认证授权安全要求帐号管理 认证授权安全要求 2 2 1帐号管理 2 2 1 1用户帐号分配 2 2 1 2删除无关的帐号 3 2 1 3帐户登录超时 3 2 1 4帐户密码错误自动锁定 4 2 2口令 5 2 2 1口令复杂度要求 5 2 3授权 6 2 3 1远程维护的设备使用加密协议 6 第第 3 章章日志及配置安全要求日志及配置安全要求 7 3 1日志安全 7 3 1 1记录用户对设备的操作 7 3 1 2开启记录NAT日志 7 3 1 3开启记录VPN日志 8 3 1 4配置记录流量日志 9 3 1 5配置记录拒绝和丢弃报文规则的日志 10 3 2告警配置要求 10 3 2 1配置对防火墙本身的攻击或内部错误告警 10 3 2 2配置TCP IP协议网络层异常报文攻击告警 11 3 2 3配置TCP IP协议应用层异常攻击告警 12 3 3安全策略配置要求 12 3 3 1访问规则列表最后一条必须是拒绝一切流量 12 3 3 2配置访问规则应尽可能缩小范围 13 3 3 3配置NAT地址转换 14 3 3 4隐藏防火墙字符管理界面的bannner信息 14 3 3 5关闭非必要服务 15 3 4攻击防护配置要求 16 3 4 1拒绝常见漏洞所对应端口或者服务的扫描 16 3 4 2拒绝常见漏洞所对应端口或者服务的访问 16 第第 4 章章IP 协议安全要求协议安全要求 18 4 1功能配置 18 4 1 1使用SNMP V2c或者V3以上的版本对防火墙远程管理 18 Juniper 防火墙安全配置基线 中国移动集团公司第 4 页 共 25 页 第第 5 章章其他安全要求其他安全要求 19 5 1其他安全配置 19 5 1 1外网口地址关闭对ping包的回应 19 5 1 2对防火墙的管理地址做源地址限制 20 第第 6 章章评审与修订评审与修订 21 Juniper 防火墙安全配置基线 中国移动集团公司第 1 页 共 25 页 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动管理信息系统部所维护管理的 Juniper 防火墙应当遵循的设备安 全性设置标准 本文档旨在指导系统管理人员进行 Juniper 防火墙的安全配置 1 2 适用范围适用范围 本配置标准的使用者包括 网络管理员 网络安全管理员 网络监控人员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 Juniper 防火墙 1 3 适用版本适用版本 Juniper 防火墙 SRX 系列防火墙 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 Juniper 防火墙安全配置基线 中国移动集团公司第 2 页 共 25 页 第第 2 章章帐号管理 认证授权安全要求帐号管理 认证授权安全要求 2 1 帐号管理帐号管理 2 1 1 用户帐号分配用户帐号分配 安全基线项安全基线项 目名称目名称 用户帐号分配安全基线要求项 安全基线编安全基线编 号号 SBL SRX 02 01 01 安全基线项安全基线项 说明说明 不同等级管理员分配不同帐号 避免帐号混用 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 进入配置模式 Edit warning Clustering enabled using private edit warning uncommitted changes will be discarded on exit Entering configuration mode set system login user user1 class read only authentication plain text password New password Retype new password set system login user user2 class read only authentication plain text password New password Retype new password commit 2 补充操作说明补充操作说明 前两个用户为建立的帐号 帐号的 class 有 operator read only 和 super user 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 用配置中没有的用户名去登录 结果是不能登录 2 检测操作检测操作 show configuration display set match user1 set system login user user1 class read only set system login user user1 authentication encrypted password 1 ANj6Tqmg xvVAxV V0s9MXxGQn93CB0 show configuration display set match user2 set system login user user2 class read only Juniper 防火墙安全配置基线 中国移动集团公司第 3 页 共 25 页 set system login user user2 authentication encrypted password 1 oo4HYMP tAJyZrKkHRCz5V yfqzHU0 3 补充说明补充说明 无 备注备注 防火墙系统本身就携带三种不同权限的帐号 需要手工检测 2 1 2 删除无关的删除无关的帐号帐号 安全基线项安全基线项 目名称目名称 无关的帐号安全基线要求项 安全基线编安全基线编 号号 SBL SRX 02 01 02 安全基线项安全基线项 说明说明 应删除或锁定与设备运行 维护等工作无关的帐号 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 edit delete system login user user1 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 配置中用户信息被删除 2 检测操作检测操作 show configuration display set match user1 3 补充说明补充说明 无 备注备注 建议手工抽查系统 无关账户更多属于管理层面 需要人为确认 2 1 3 帐户登录超时帐户登录超时 安全基线项安全基线项 目名称目名称 帐户登录超时安全基线要求项 Comment K1 Juniper 防火墙安全配置基线 中国移动集团公司第 4 页 共 25 页 安全基线编安全基线编 号号 SBL SRX 02 01 03 安全基线项安全基线项 说明说明 配置定时帐户自动登出 空闲 5 分钟自动登出 登出后用户需再次登录才能 进入系统 检测操作步检测操作步 骤骤 1 1 参考配置操作参考配置操作 设置超时时间为 5 分钟 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 在超出设定时间后 用户自动登出设备 2 2 参考检测操作参考检测操作 3 3 补充说明补充说明 无 备注备注 需要手工检查 2 1 4 帐户密码错误自动锁定帐户密码错误自动锁定 安全基线项安全基线项 目名称目名称 帐户密码错误自动锁定安全基线要求项 安全基线编安全基线编 号号 SBL SRX 02 01 04 安全基线项安全基线项 说明说明 在 10 次尝试登录失败后锁定帐户 不允许登录 解锁时间设置为 300 秒 检测操作步检测操作步 骤骤 1 1 参考配置操作参考配置操作 设置尝试失败锁定次数为 10 次 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 超出重试次数后帐号锁定 不允许登录 解锁时间到达后可以登录 Juniper 防火墙安全配置基线 中国移动集团公司第 5 页 共 25 页 2 2 参考检测操作参考检测操作 3 3 补充说明补充说明 无 备注备注 注意 此项设置会影响性能 建议设置后对访问此设备做源地址做限制 需要手工检查 需要手工检查 2 2 口令口令 2 2 1 口令复杂度要求口令复杂度要求 安全基线项安全基线项 目名称目名称 口令复杂度要求安全基线要求项 安全基线编安全基线编 号号 SBL SRX 02 02 01 安全基线项安全基线项 说明说明 防火墙管理员帐号口令长度至少 8 位 并包括数字 小写字母 大写字母 和特殊符号四类中至少两类 且 5 次次以内不得设置相同的口令 密码应至少 每 90 天天进行更换 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 set system authentication order tacplus set system authentication order password set system tacplus server 1 1 1 1 secret 9 b224ZTQnCA0JG set system tacplus server 1 1 1 1 source address 2 2 2 2 2 补充操作说明补充操作说明 口令字符不完全符合要求 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 该级别的密码设置由管理员进行密码的生成 设备本身无此强制功能 2 检测操作检测操作 此项无法通过配置实现 建议通过管理实现 3 补充说明补充说明 无 Juniper 防火墙安全配置基线 中国移动集团公司第 6 页 共 25 页 备注备注 2 3 授权授权 2 3 1 远程维护的设备使用加密协议远程维护的设备使用加密协议 安全基线项安全基线项 目名称目名称 远程维护使用加密协议安全基线要求项 安全基线编安全基线编 号号 SBL SRX 02 03 01 安全基线项安全基线项 说明说明 对于防火墙远程管理的配置 必须是基于加密的协议 如 SSH 或者 WEB SSL 如果只允许从防火墙内部进行管理 应该限定管理 IP 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 系统默认支持 telnet 及 SSH 两种管理方式 查看及增加管理 IP 操作如下 set system services ssh protocol version v2 set security zones security zone test interfaces ge 0 0 0 0 host inbound traffic system services ssh 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 查看是否启用 SSH 连接 2 检测操作检测操作 show interfaces ge 0 0 0 0 Security Zone test Allowed host inbound traffic dhcp http ping snmp ssh telnet 3 补充说明补充说明 无 备注备注 Juniper 防火墙安全配置基线 中国移动集团公司第 7 页 共 25 页 第第 3 章章日志及配置安全要求日志及配置安全要求 3 1 日志安全日志安全 3 1 1 记录用户对设备的操作记录用户对设备的操作 安全基线项安全基线项 目名称目名称 用户对设备记录安全基线要求项 安全基线编安全基线编 号号 SBL SRX 03 01 01 安全基线项安全基线项 说明说明 配置记录防火墙管理员操作日志 如管理员登录 修改管理员组操作 帐号 解锁等信息 配置防火墙将相关的操作日志送往操作日志审计系统或者其他 相关的安全管控系统 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 set system syslog file messages any notice set system syslog file messages authorization info set system syslog file messages archive size 10m 2 补充操作说明 补充操作说明 在启动日志记录的情况下 JunOS 会记录相关的日志 无需额外配置 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 检查配置中的 logging 相关配置 2 检测操作检测操作 使用 show configuration system syslog 检查 show configuration system syslog file messages any notice authorization info archive size 10m show log messages 备注备注 3 1 2 开启记录开启记录 NAT 日志日志 安全基线项安全基线项 目名称目名称 开启记录 NAT 日志安全基线要求项 Juniper 防火墙安全配置基线 中国移动集团公司第 8 页 共 25 页 安全基线编安全基线编 号号 SBL SRX 03 01 02 安全基线项安全基线项 说明说明 开启记录 NAT 日志 记录转换前后 IP 地址的对应关系 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 I 启动日志记录 set system syslog file FW LOGS user info set system syslog file FW LOGS match RT FLOW set system syslog file FW LOGS archive size 1m set system syslog file FW LOGS archive files 3 set system syslog file FW LOGS structured data brief 2 补充操作说明 补充操作说明 无 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 检查配置中的 logging 相关配置 2 检测操作检测操作 使用 show log FW LOGS 检查 file FW LOGS user info match RT FLOW archive size 1m files 3 structured data brief show log FW LOGS d 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 1 3 开启记录开启记录 VPN 日志日志 安全基线项安全基线项 目名称目名称 开启记录 VPN 日志安全基线要求项 安全基线编安全基线编 号号 SBL SRX 03 01 03 安全基线项安全基线项 说明说明 开启记录 VPN 日志 记录 VPN 访问登陆 退出等信息 检测操作步检测操作步1 参考配置操作 参考配置操作 Juniper 防火墙安全配置基线 中国移动集团公司第 9 页 共 25 页 骤骤show configuration system syslog file messages any notice authorization info archive size 10m 2 补充操作说明 补充操作说明 在启动日志记录的情况下 JunOS 会记录 VPN 的日志 无需额外配置 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 检查配置中的 logging 相关配置 2 检测操作检测操作 使用 show configuration system syslogshow logging 检查 show configuration system syslog file messages any notice authorization info archive size 10m show log messages 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 1 4 配置记录流量日志配置记录流量日志 安全基线项安全基线项 目名称目名称 配置记录流量日志安全基线要求项 安全基线编安全基线编 号号 SBL SRX 03 01 04 安全基线项安全基线项 说明说明 配置记录流量日志 记录通过防火墙的网络连接的信息 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 PIX 防火墙上无流量日志 网络连接日志通过只需要启动日志记录 set system syslog file traffic log any any set system syslog file traffic log match RT FLOW SESSION 2 补充操作说明 补充操作说明 可以通过 show log traffic log 来检查连接情况 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 检查配置中的 logging 相关配置 2 检测操作检测操作 Juniper 防火墙安全配置基线 中国移动集团公司第 10 页 共 25 页 使用 show log traffic log 检查 show log traffic log 备注备注 3 1 5 配置记录拒绝和丢弃报文规则的日志配置记录拒绝和丢弃报文规则的日志 安全基线项安全基线项 目名称目名称 配置记录拒绝和丢弃报文规则的日志安全基线要求项 安全基线编安全基线编 号号 SBL SRX 03 01 05 安全基线项安全基线项 说明说明 配置防火墙规则 记录防火墙拒绝和丢弃报文的日志 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 JunOS 防火墙自动将在访问控制列表 access list 中拒绝 deny 的数据包 生成 syslog 信息 只需要启动日志记录 set system syslog file traffic log any any set system syslog file traffic log match RT FLOW SESSION 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 使用 show log traffic log 检查 show log traffic log 备注备注 3 2 告警配置要求告警配置要求 3 2 1 配置对防火墙本身的攻击或内部错误告警配置对防火墙本身的攻击或内部错误告警 安全基线项安全基线项 目名称目名称 配置对防火墙本身的攻击或内部错误告警安全基线要求项 安全基线编安全基线编 号号 SBL SRX 03 02 01 安全基线项安全基线项 说明说明 配置告警功能 报告对防火墙本身的攻击或者防火墙的系统内部错误 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 I 启动日志记录 set system syslog file messages any notice set system syslog file messages authorization info Juniper 防火墙安全配置基线 中国移动集团公司第 11 页 共 25 页 set system syslog file messages archive size 10m 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 检查配置中的 logging 相关配置 2 检测操作检测操作 使用 show log messages 检查 show log messages 备注备注 3 2 2 配置配置 TCP IP 协议网络层异常报文攻击告警协议网络层异常报文攻击告警 安全基线项安全基线项 目名称目名称 配置 TCP IP 协议网络层异常报文攻击告警安全基线要求项 安全基线编安全基线编 号号 SBL SRX 03 02 02 安全基线项安全基线项 说明说明 配置告警功能 报告网络流量中对 TCP IP 协议网络层异常报文攻击的相关 告警 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 I 启动日志记录 set system syslog file messages any notice set system syslog file messages authorization info set system syslog file messages archive size 10m 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 检查配置中的 logging 相关配置 2 检测操作检测操作 使用 show log messages 检查 show log messages 备注备注 Juniper 防火墙安全配置基线 中国移动集团公司第 12 页 共 25 页 3 2 3 配置配置 TCP IP 协议应用层异常攻击告警协议应用层异常攻击告警 安全基线项安全基线项 目名称目名称 置 TCP IP 协议应用层异常攻击告警安全基线要求项 安全基线编安全基线编 号号 SBL SRX 03 02 03 安全基线项安全基线项 说明说明 配置告警功能 报告网络流量中对 TCP IP 应用层协议异常进行攻击的相关 告警 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 I 启动日志记录 set system syslog file messages any notice set system syslog file messages authorization info set system syslog file messages archive size 10m 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 检查配置中的 logging 相关配置 2 检测操作检测操作 使用 show log messages 检查 show log messages 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 3 安全策略配置要求安全策略配置要求 3 3 1 访问规则列表最后一条必须是拒绝一切流量访问规则列表最后一条必须是拒绝一切流量 安全基线项安全基线项 目名称目名称 访问规则列表最后一条必须是拒绝一切流量安全基线要求项 安全基线编安全基线编 号号 SBL SRX 03 03 01 安全基线项安全基线项 说明说明 防火墙在配置访问规则列表时 最后一条必须是拒绝一切流量 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 JunOS 防火墙策略 没有开放策略 默认就是拒绝一切流量 只允许已经开 发了策略的流量通过 在设置最后一条规则时 配置规则 2 补充操作说明 补充操作说明 不需要做设置 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 Juniper 防火墙安全配置基线 中国移动集团公司第 13 页 共 25 页 只需要检查 permit 的策略2 检测操作检测操作 无 备注备注 3 3 2 配置访问规则应尽可能缩小范围配置访问规则应尽可能缩小范围 安全基线项安全基线项 目名称目名称 配置访问规则应尽可能缩小范围安全基线要求项 安全基线编安全基线编 号号 SBL SRX 03 03 02 安全基线项安全基线项 说明说明 在配置访问规则时 源地址 目的地址 服务或端口的范围必须以实际访问 需求为前提 尽可能的缩小范围 禁止源到目的全部允许规则 禁止目的地 址及服务全允许规则 禁止全服务访问规则 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 定义源地址 定义目的地址 定义源端口号 定义目的端口号 set security zones security zone untrust address book address 1 1 1 1 1 1 1 1 32 set security zones security zone untrust address book address 2 2 2 2 2 2 2 2 32 set applications application tcp 80 protocol tcp set applications application tcp 80 source port 0 65535 destination port 80 80 set security policies from zone untrust to zone trust policy test match source address 1 1 1 1 set security policies from zone untrust to zone trust policy test match destination address 2 2 2 2 set security policies from zone untrust to zone trust policy test match application tcp 80 set security policies from zone untrust to zone trust policy test then permit 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 检查配置 2 检测操作检测操作 使用命令 show security policies from zone untrust to zone trust policy test 备注备注 Juniper 防火墙安全配置基线 中国移动集团公司第 14 页 共 25 页 3 3 3 配置配置 NAT 地址转换地址转换 安全基线项安全基线项 目名称目名称 配置 NAT 地址转换安全基线要求项 安全基线编安全基线编 号号 SBL SRX 03 03 03 安全基线项安全基线项 说明说明 配置 NAT 地址转换 对互联网隐藏内网主机的实际地址 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 I 配置防火墙使用静态地址转换 set security nat static rule set MIP from zone untrust set security nat static rule set MIP rule number match destination address destination ip address set security nat static rule set MIP rule number then static nat prefix source ip address 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 配置中有 nat 或者 static 的内容 2 检测操作检测操作 使用 set security nat static rule set MIP from zone untrust set security nat static rule set MIP rule 1 match destination address 1 1 1 1 32 set security nat static rule set MIP rule 1 then static nat prefix 10 1 1 1 32 show security nat static rule 1 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 3 3 4 隐藏防火墙字符管理界面的隐藏防火墙字符管理界面的 bannner 信息信息 安全基线项安全基线项 目名称目名称 隐藏防火墙字符管理界面的 bannner 信息安全基线要求项 安全基线编安全基线编 号号 SBL SRX 03 03 04 安全基线项安全基线项 说明说明 隐藏防火墙字符管理界面的 bannner 信息 检测操作步检测操作步1 参考配置操作 参考配置操作 Juniper 防火墙安全配置基线 中国移动集团公司第 15 页 共 25 页 骤骤 I 配置登陆 banner 信息 edit set system login message 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 配置中有 banner 的内容 2 检测操作检测操作 使用 show running config banner exec login motd 如下例 set system login message Warning from GMCC all of your done will be recorded Please disconnect immediately if you are not an authorised user show configuration system login message message Warning from GMCC all of your done will be recorded Please disconnect immediately if you are not an authorised user 备注备注 3 3 5 关闭非必要服务关闭非必要服务 安全基线项安全基线项 目名称目名称 关闭非必要服务安全基线要求项 安全基线编安全基线编 号号 SBL SRX 03 03 05 安全基线项安全基线项 说明说明 防火墙设备必须关闭非必要服务 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 关闭 HTTP 服务器 edit delete system services web management 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 检查配置中是否关闭对应服务 2 检测操作检测操作 使用 show configuration system services 查看服务开发状态 备注备注 Juniper 防火墙安全配置基线 中国移动集团公司第 16 页 共 25 页 3 4 攻击防护配置要求攻击防护配置要求 3 4 1 拒绝常见漏洞所对应端口或者服务的扫描拒绝常见漏洞所对应端口或者服务的扫描 安全基线项安全基线项 目名称目名称 拒绝常见漏洞所对应端口或者服务的访问安全基线要求项 安全基线编安全基线编 号号 SBL SRX 03 04 01 安全基线项安全基线项 说明说明 配置防火墙的 screen 功能 拒绝对防火墙保护的系统中常见漏洞所对应端 口或者服务的访问 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 set security screen ids option untrust screen limit session source ip based 1000 set security screen ids option untrust screen limit session destination ip based 60000 set security screen ids option untust screen icmp ip sweep set security screen ids option untust screen icmp flood set security screen ids option untust screen icmp ping death set security screen ids option untust screen ip tear drop set security screen ids option untust screen tcp tcp no flag set security screen ids option untust screen tcp syn frag set security screen ids option untust screen tcp port scan set security screen ids option untust screen tcp syn flood set security screen ids option untust screen tcp land set security screen ids option untust screen tcp winnuke set security screen ids option untust screen udp flood set security zones security zone untrust screen untrust screen 2 补充操作说明 补充操作说明 应根据实际情况调整 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 检查配置文件 2 检测操作检测操作 使用命令 show security screen statistics zone untrust 备注备注 3 4 2 拒绝常见漏洞所对应端口或者服务的访问拒绝常见漏洞所对应端口或者服务的访问 安全基线项安全基线项 目名称目名称 拒绝常见漏洞所对应端口或者服务的访问 Juniper 防火墙安全配置基线 中国移动集团公司第 17 页 共 25 页 安全基线编安全基线编 号号 SBL SRX 03 04 02 安全基线项安全基线项 说明说明 拒绝常见漏洞所对应端口或者服务的访问 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 配置防火墙策略 屏蔽一些端口 set security policies from zone untrust to zone trust policy deny telnet ssh match source address any set security policies from zone untrust to zone trust policy deny telnet ssh match destination address any set security policies from zone untrust to zone trust policy deny telnet ssh match application tcp 1521 set security policies from zone untrust to zone trust policy deny telnet ssh match application tcp 1433 set security policies from zone untrust to zone trust policy deny telnet ssh then reject2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 检查配置中是否有 verify reverse path 2 检测操作检测操作 使用命令 show security policies from zone untrust to zone trust policy deny telnet ssh 备注备注 Juniper 防火墙安全配置基线 中国移动集团公司第 18 页 共 25 页 第第 4 章章IP 协议安全要求协议安全要求 4 1 功能配置功能配置 4 1 1 使用使用 SNMP V2c 或者或者 V3 以上的版本对防火墙远程管以上的版本对防火墙远程管 理理 安全基线项安全基线项 目名称目名称 使用 SNMPV2C 或者 V3 以上的版本对防火墙远程管理安全基线要求项 安全基线编安全基线编 号号 SBL SRX 04 01 01 安全基线项安全基线项 说明说明 使用 SNMP V3 以上的版本对防火墙做远程管理 去除 SNMP 默认的共同体 名 Community Name 和用户名 并且不同的用户名和共同体明对应不同的 权限 只读或者读写 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 配置 snmp 远程管理的版本 set snmp name test junos set snmp community test author