系统安全配置技术规范_Juniper防火墙

1、系统安全配置技术规 Juniper 防火墙版本V0.9日期2013-06-03文档编号文档发布文档说明（一）变更信息版本号变更日期变更者变更理由 /变更容备注（二）文档审核人职位签名日期目录1.适用围 .42.管理与授权 .42.1【基本】删除与工作无关的 .42.2【基本】建立用户分类 .42.3【基本】配置登录超时时间 .52.4【基本】允许登录的 .62.5【基本】失败登陆次数限制 .62.6【基本】口令设置符合复杂度要求.62.7【基本】禁止ROOT 远程登录 .73.日志配置要求 .83.1【基本】设置日志服务器 .84.IP 协议安全要求 .84.1【基本】禁用TELNET 方式访

2、问系统 .84.2【基本】启用SSH 方式访问系统 .94.3配置 SSH 安全机制 .94.4【基本】修改SNMP 服务的共同体字符串. 105.服务配置要求 .105.1【基本】配置NTP 服务 .105.2【基本】关闭DHCP 服务 .115.3【基本】关闭FINGER 服务 .116.其它安全要求 .126.1【基本】禁用A UXILIARY 端口 .126.2【基本】配置设备名称 .121. 适用围如无特殊说明，本规所有配置项适用于Juniper 防火墙 JUNOS8.x / 9.x / 10.x版本。其中有 “基本 ”字样的配置项，均为本公司对此类系统的基本安全配置要求；未涉及 “

3、基本 ”字样的配置项，请各系统管理员视实际需求酌情遵从。2. 管理与授权2.1 【基本】删除与工作无关的配置项描述通过防火墙分类，明确防火墙分类权限，如只读权限、超级权限等类别。方法一：edit检查方法show configuration system login方法二：通过 WEB 方式检查方法一：edit system login操作步骤delete system login user abc3abc3 是与工作无关的用户方法二：通过 WEB 方法配置回退操作回退到原有的设置。操作风险低风险2.2 【基本】建立用户分类配置项描述通过防火墙用户分类，明确防火墙分类权限，如只读权限、 超级权限

4、等类别。检查方法方法一：操作步骤回退操作操作风险edituserhost#show system login | match“ class .*;” | count方法二：通过 WEB 方式检查将用户账号分配到相应的用户级别：set system login user abc1 class read-onlyset system login user abc2 class ABC1set system login user abc3 class super-user方法一：edit system loginuserhost#set user class 方法二：通过 WEB 方式配置回退到原有

5、的设置。低风险2.3 【基本】配置登录超时时间配置项描述配置所有登录超时限制方法一：edituserhost#show system login | match“ idle-timeout 0-9|i检查方法le-timeout 10-5 ” | count方法二：通过 WEB 方式检查方法一：edit system loginuserhost#set class idle-timeout 15操作步骤建议超时时间限制为15 分钟方法二：通过 WEB 方式配置回退操作回退到原有的设置。操作风险低风险2.4 【基本】允许登录的配置项描述配置允许登录的类别方法一：edituserhost#show

6、 system login | match“ ermissions” | count检查方法操作步骤方法二：通过 WEB 方式检查方法一：edit system login userhost#set class permissions 方法二：通过 WEB 方式配置回退操作回退到原有的设置。操作风险低风险2.5 【基本】失败登陆次数限制配置项描述应限制失败登陆次数不超过三次，终断会话方法一：edituserhost#show system login retry-options tries-before-disconnect检查方法方法二：通过 WEB 方式检查方法一：edit system操

7、作步骤userhost#set login retry-options tries-before-disconnect 3方法二：通过 WEB 方式配置回退操作回退到原有的设置。操作风险低风险2.6 【基本】口令设置符合复杂度要求配置项描述口令设置符合复杂度要求，密码长度最少为8 位，且包含大小写、数字和特殊符号中的至少4 种。方法一：userhost#show system login password检查方法方法二：通过 WEB 方式检查方法一：口令必须包括字符集：edit systemuserhot#set login password change-type character-set

8、必须包括4 中不同字符集（大写字母，小写字母，数字，标点符号和特殊操作步骤字符）userhost#set login passwords minimum-changes 4口令最短8 位userhost#set login passwords minimum-length 8方法二：通过WEB进行配置回退操作回退到原有的设置。操作风险中风险2.7 【基本】禁止root 远程登录配置项描述Root 为系统超级权限，建议禁止远程。方法一：检查方法edit userhost#show system services ssh方法二：通过 WEB 方法检查方法一：edit system userhost

9、#set services ssh root-login deny操作步骤方法二：通过 WEB 进行配置回退操作回退到原有的设置。操作风险低风险3. 日志配置要求3.1【基本】设置日志服务器设置日志服务器，对网络系统中的设备运行状况、网络流量、用户行为等进配置项描述行日志记录。方法一：edituserhost#show system syslog | match“ host”| count检查步骤方法二：通过 WEB 方式检查方法一：edit system userhost#set syslog host 操作步骤方法二：通过 WEB 进行配置回退操作操作风险恢复原有日志配置策略。建议对设备启

10、用Logging的配置，并设置正确的syslog服务器，保存系统日志。4. IP 协议安全要求4.1 【基本】禁用Telnet 方式访问系统配置项描述禁用 Telnet 方式访问系统。方法一：edit检查方法userhost#show system services | match telnet方法二：通过 WEB 方法检查方法一：操作步骤edit systemuserhost#delete services telnet方法二：通过 WEB 进行配置回退操作回退到原有的设置。操作风险低风险4.2 【基本】启用SSH 方式访问系统配置项描述启用 SSH 方式访问系统，加密传输用户名、口令及数据

11、信息，提高数据的传输安全性。方法一：edit检查方法userhost#show system services | match ssh方法二：通过 WEB 方法检查方法一：edit systemuserhost#set services ssh操作步骤启用 SSH 2userhost#set services ssh protocol-version v2方法二：通过 WEB进行配置回退操作回退到原有的设置。操作风险低风险4.3配置 SSH 安全机制配置项描述配置SSH安全机制，防制DOS攻击方法一：检查方法edituserhost#show system services | match s

12、sh方法二：通过WEB方法检查方法一：操作步骤10edit system userhost#set services ssh connection-limit 10限制每秒最大会话数为4：edit system userhost#set services ssh rate-limit 4方法二：通过 WEB 进行配置回退操作回退到原有的设置。操作风险低风险4.4 【基本】修改SNMP 服务的共同体字符串修改 SNMP 服务的共同体字符串，避免攻击者采用穷举攻击对系统安全造配置项描述成威胁。方法一：edit检查方法userhost#showsnmp|matchcommunity|match“ p

13、ublic|private|admin|monitor|security” | count方法二：通过 WEB 方法检查方法一：edit snmp操作步骤userhost#renamecommunity to community方法二：通过 WEB 进行配置回退操作回退到原有的设置。操作风险低风险5. 服务配置要求5.1 【基本】配置NTP 服务配置项描述启用防火墙的NTP 设置，配置 IP，口令等参数，在NTP Server 之间开启认证功能。方法一：edit检查方法userhost#show system ntp | match server | except boot-server |

14、count方法二：通过 WEB 方法检查配置 NTP ：方法一：操作步骤edit systemuserhost#set ntp server key version 4方法二：通过 WEB 进行配置回退操作取消 NTP Server 的认证功能，或将密码设置为NULL 。操作风险中风险5.2 【基本】关闭DHCP 服务配置项描述禁用 DHCP ，避免攻击者通过向DHCP 提供虚假MAC 的攻击。方法一：edit userhost#show system services | match dhcp检查方法方法二：通过 WEB 方法检查方法一：edit systemuserhost#delete

15、services dhcp或：操作步骤edit system userhost#delete services dhcp-localserver方法二：通过 WEB进行配置回退操作操作风险操作风险恢复 DHCP 低风险低风险服务。5.3 【基本】关闭FINGER服务配置项描述禁用 finger 服务，避免攻击者通过finger 服务进行攻击。方法一：edit userhost#show system services | match finger检查方法方法二：通过 WEB 方式检查方法一：操作步骤edit system userhost#delete services finger方法二：通过 WEB 进行配置回退操作恢复 finger 服务。操作风险低风险6. 其它安全要求6.1 【基本】禁用Auxiliary端口配置项描述禁用不使用的端口，避免为攻击者提供攻击通道。方法一：检查方法edit userhost#show system ports方法二：通过 WEB 方式检查方法一：Auxiliary 端口禁止操作步骤edit system userhost#set p