系统安全配置技术规范-Juniper防火墙.doc

精品系统安全配置技术规范Juniper防火墙版本V0.9日期2013-06-03文档编号文档发布文档说明（一）变更信息版本号变更日期变更者变更理由/变更内容备注（二）文档审核人姓名职位签名日期目 录1.适用范围42.帐号管理与授权42.1【基本】删除与工作无关的帐号42.2【基本】建立用户帐号分类42.3【基本】配置登录超时时间52.4【基本】允许登录的帐号52.5【基本】失败登陆次数限制62.6【基本】口令设置符合复杂度要求62.7【基本】禁止root远程登录63.日志配置要求73.1【基本】设置日志服务器74.IP协议安全要求74.1【基本】禁用Telnet方式访问系统74.2【基本】启用SSH方式访问系统74.3配置SSH安全机制84.4【基本】修改SNMP服务的共同体字符串85.服务配置要求85.1【基本】配置NTP服务85.2【基本】关闭DHCP服务95.3【基本】关闭FINGER服务96.其它安全要求96.1【基本】禁用Auxiliary端口96.2【基本】配置设备名称101. 适用范围如无特殊说明，本规范所有配置项适用于Juniper防火墙 JUNOS 8.x / 9.x / 10.x版本。其中有“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未涉及“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。2. 帐号管理与授权122.1 【基本】删除与工作无关的帐号配置项描述通过防火墙帐号分类，明确防火墙帐号分类权限，如只读权限、超级权限等类别。检查方法方法一：edit show configuration system login方法二：通过WEB方式检查操作步骤方法一：edit system login delete system login user abc3abc3是与工作无关的用户帐号方法二：通过WEB方法配置回退操作回退到原有的设置。操作风险低风险2.2 【基本】建立用户帐号分类配置项描述通过防火墙用户帐号分类，明确防火墙帐号分类权限，如只读权限、超级权限等类别。检查方法方法一：edit userhost#show system login | match “class .*;” | count 方法二：通过WEB方式检查将用户账号分配到相应的用户级别：set system login user abc1 class read-onlyset system login user abc2 class ABC1set system login user abc3 class super-user操作步骤方法一：edit system login userhost#set user class 方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险2.3 【基本】配置登录超时时间配置项描述配置所有帐号登录超时限制检查方法方法一：edit userhost#show system login | match “idle-timeout 0-9|ile-timeout 10-5” | count 方法二：通过WEB方式检查操作步骤方法一：edit system login userhost#set class idle-timeout 15建议超时时间限制为15分钟方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险2.4 【基本】允许登录的帐号配置项描述配置允许登录的帐号类别检查方法方法一：edit userhost#show system login | match “ ermissions” | count方法二：通过WEB方式检查操作步骤方法一：edit system login userhost#set class permissions 方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险 2.5 【基本】失败登陆次数限制配置项描述应限制失败登陆次数不超过三次，终断会话检查方法方法一：edit userhost#show system login retry-options tries-before-disconnect方法二：通过WEB方式检查 操作步骤方法一：edit system userhost#set login retry-options tries-before-disconnect 3方法二：通过WEB方式配置回退操作回退到原有的设置。操作风险低风险2.6 【基本】口令设置符合复杂度要求配置项描述口令设置符合复杂度要求，密码长度最少为8位，且包含大小写、数字和特殊符号中的至少4种。检查方法方法一：userhost#show system login password方法二：通过WEB方式检查操作步骤方法一：口令必须包括字符集：edit system userhot#set login password change-type character-set 必须包括4中不同字符集（大写字母，小写字母，数字，标点符号和特殊字符）userhost#set login passwords minimum-changes 4 口令最短8位userhost#set login passwords minimum-length 8 方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险中风险2.7 【基本】禁止root远程登录配置项描述Root为系统超级权限帐号，建议禁止远程。检查方法方法一：edit userhost#show system services ssh方法二：通过WEB方法检查操作步骤方法一：edit system userhost#set services ssh root-login deny方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险3. 日志配置要求33.1 【基本】设置日志服务器配置项描述设置日志服务器，对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录。检查步骤方法一：edit userhost#show system syslog | match “host” | count 方法二：通过WEB方式检查操作步骤方法一：edit system userhost#set syslog host 方法二：通过WEB进行配置回退操作恢复原有日志配置策略。操作风险建议对设备启用Logging的配置，并设置正确的syslog服务器，保存系统日志。4. IP协议安全要求44.1 【基本】禁用Telnet方式访问系统配置项描述禁用Telnet方式访问系统。检查方法方法一：edit userhost#show system services | match telnet方法二：通过WEB方法检查操作步骤方法一：edit system userhost#delete services telnet方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险4.2 【基本】启用SSH方式访问系统配置项描述启用SSH方式访问系统，加密传输用户名、口令及数据信息，提高数据的传输安全性。检查方法方法一：edit userhost#show system services | match ssh方法二：通过WEB方法检查操作步骤方法一：edit system userhost#set services ssh 启用SSH 2userhost#set services ssh protocol-version v2方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险4.3 配置SSH安全机制配置项描述配置SSH安全机制，防制DOS攻击检查方法方法一：edit userhost#show system services | match ssh方法二：通过WEB方法检查操作步骤方法一：限制最大连接数为10：edit system userhost#set services ssh connection-limit 10限制每秒最大会话数为4：edit system userhost#set services ssh rate-limit 4方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险4.4 【基本】修改SNMP服务的共同体字符串配置项描述修改SNMP服务的共同体字符串，避免攻击者采用穷举攻击对系统安全造成威胁。检查方法方法一：edit userhost#show snmp | match community | match “public|private|admin|monitor|security” | count方法二：通过WEB方法检查操作步骤方法一：edit snmp userhost#rename community to community 方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险低风险5. 服务配置要求55.1 【基本】配置NTP服务配置项描述启用防火墙的NTP设置，配置IP，口令等参数，在NTP Server之间开启认证功能。检查方法方法一：edit userhost#show system ntp | match server | except boot-server | count方法二：通过WEB方法检查操作步骤配置NTP：方法一：edit system userhost#set ntp server key version 4 方法二：通过WEB进行配置回退操作取消NTP Server的认证功能，或将密码设置为NULL。操作风险中风险5.2 【基本】关闭DHCP服务配置项描述禁用DHCP，避免攻击者通过向DHCP提供虚假MAC的攻击。检查方法方法一：edit userhost#show system services | match dhcp方法二：通过WEB方法检查操作步骤方法一：edit systemuserhost#delete services dhcp或：edit system userhost#delete services dhcp-localserver方法二：通过WEB进行配置回退操作恢复DHCP服务。操作风险低风险操作风险低风险5.3 【基本】关闭FINGER服务配置项描述禁用finger服务，避免攻击者通过finger服务进行攻击。检查方法方法一：edit userhost#show system services | match finger方法二：通过WEB方式检查操作步骤方法一：edit system userhost#delete services finger方法二：通过WEB进行配置回退操作恢复finger服务。操作风险低风险6. 其它安全要求66.1 【基本】禁用Auxiliary端口配置项描述禁用不使用的端口，避免为攻击者提供攻击通道。检查方法方法一：edit userhost#show system ports方法二：通过WEB方式检查操作步骤方法一：Auxiliary端口禁止edit system userhost#set ports auxiliary disabl