Juniper防火墻安全配置基線

本文格式為Word版，下載可任意編輯——Juniper防火墻安全配置基線

Juniper防火墻安全配置基線

Juniper防火墻安全配置基線

中國移動通信有限公司管理信息系統(tǒng)部

2023年04月

中國移動集團公司第1頁共25頁

Juniper防火墻安全配置基線

版本V2.0創(chuàng)立版本控制信息更新日期2023年4月更新人審批人備注：

1.若此文檔需要日后更新，請創(chuàng)立人填寫版本控制表格，否則刪除版本控制表格。

中國移動集團公司第2頁共25頁

Juniper防火墻安全配置基線

目錄

第1章概述1.41.5

目的1適用范圍1適用版本1實施1例外條款1

第2章帳號管理、認(rèn)證授權(quán)安全要求22.1

帳號管理2

用戶帳號分派*2

2.1.2刪除無關(guān)的帳號*32.1.3帳戶登錄超時*32.1.4帳戶密碼錯誤自動鎖定*42.2口令52.2.1口令繁雜度要求52.3授權(quán)62.3.1遠(yuǎn)程維護的設(shè)備使用加密協(xié)議6

第3章日志及配置安全要求73.1

日志安全7

2.1.1

記錄用戶對設(shè)備的操作73.1.2開啟記錄NAT日志*73.1.3開啟記錄VPN日志*83.1.4配置記錄流量日志93.1.5配置記錄拒絕和丟棄報文規(guī)則的日志103.2告警配置要求103.2.1配置對防火墻本身的攻擊或內(nèi)部錯誤告警103.2.2配置TCP/IP協(xié)議網(wǎng)絡(luò)層異常報文攻擊告警113.2.3配置TCP/IP協(xié)議應(yīng)用層異常攻擊告警*123.3安全策略配置要求123.3.1訪問規(guī)則列表最終一條必需是拒絕一切流量123.3.2配置訪問規(guī)則應(yīng)盡可能縮小范圍133.3.3配置NAT地址轉(zhuǎn)換*143.3.4隱蔽防火墻字符管理界面的bannner信息143.3.5關(guān)閉非必要服務(wù)153.4攻擊防護配置要求163.4.1拒絕常見漏洞所對應(yīng)端口或者服務(wù)的掃描163.4.2拒絕常見漏洞所對應(yīng)端口或者服務(wù)的訪問16

第4章4.1

IP協(xié)議安全要求18功能配置18

3.1.1

4.1.1使用SNMPV2c或者V3以上的版本對防火墻遠(yuǎn)程管理18

第3頁共25頁

中國移動集團公司

Juniper防火墻安全配置基線

第5章其他安全要求195.1

其他安全配置19

.2外網(wǎng)口地址關(guān)閉對ping包的回應(yīng)*19對防火墻的管理地址做源地址限制20

第6章評審與修訂21

中國移動集團公司第4頁共25頁

Juniper防火墻安全配置基線

第1章概述

1.1目的

本文檔規(guī)定了中國移動管理信息系統(tǒng)部所維護管理的Juniper防火墻應(yīng)當(dāng)遵循的設(shè)備安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行Juniper防火墻的安全配置。

1.2適用范圍

本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。

本配置標(biāo)準(zhǔn)適用的范圍包括：中國移動總部和各省公司信息化部門維護管理的Juniper防火墻。

1.3適用版本

Juniper防火墻SRX系列防火墻。

1.4實施

本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。

本標(biāo)準(zhǔn)發(fā)布之日起生效。

1.5例外條款

欲申請本標(biāo)準(zhǔn)的例外條款，申請人必需準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。

中國移動集團公司第1頁共25頁

Juniper防火墻安全配置基線

第2章帳號管理、認(rèn)證授權(quán)安全要求

2.1帳號管理2.1.1用戶帳號分派*

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟用戶帳號分派安全基線要求項SBL-SRX-02-01-01不同等級管理員分派不同帳號，避免帳號混用。1.參考配置操作進(jìn)入配置模式Editwarning:Clusteringenabled;usingprivateeditwarning:uncommittedchangeswillbediscardedonexitEnteringconfigurationmodesetsystemloginuseruser1classread-onlyauthenticationplain-text-passwordNewpassword:Retypenewpassword:setsystemloginuseruser2classread-onlyauthenticationplain-text-passwordNewpassword:Retypenewpassword:commit2.補充操作說明前兩個用戶為建立的帳號,帳號的class有operator、read-only和super-user?；€符合性判定依據(jù)1.判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄。2.檢測操作#showconfiguration|displayset|matchuser1setsystemloginuseruser1classread-onlysetsystemloginuseruser1authenticationencrypted-password\#showconfiguration|displayset|matchuser2setsystemloginuseruser2classread-only中國移動集團公司

第2頁共25頁

Juniper防火墻安全配置基線

setsystemloginuseruser2authenticationencrypted-password\3.補充說明無。備注防火墻系統(tǒng)本身就攜帶三種不同權(quán)限的帳號，需要手工檢測。2.1.2刪除無關(guān)的帳號*

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟無關(guān)的帳號安全基線要求項SBL-SRX-02-01-02應(yīng)刪除或鎖定與設(shè)備運行、維護等工作無關(guān)的帳號。1.參考配置操作editdeletesystemloginuseruser12.補充操作說明基線符合性判定依據(jù)1.判定條件配置中用戶信息被刪除。2.檢測操作>showconfiguration|displayset|matchuser1>3.補充說明無。備注建議手工抽查系統(tǒng)，無關(guān)賬戶更多屬于管理層面，需要人為確認(rèn)。2.1.3帳戶登錄超時*

安全基線項目名稱帳戶登錄超時安全基線要求項中國移動集團公司第3頁共25頁

Juniper防火墻安全配置基線

安全基線編號安全基線項說明檢測操作步驟SBL-SRX-02-01-03配置定時帳戶自動登出，空閑5分鐘自動登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。1、參考配置操作設(shè)置超時時間為5分鐘2、補充說明無?；€符合性判定依據(jù)1.判定條件在超出設(shè)定時間后，用戶自動登出設(shè)備。2.參考檢測操作3.補充說明無。備注需要手工檢查。2.1.4帳戶密碼錯誤自動鎖定*

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟帳戶密碼錯誤自動鎖定安全基線要求項SBL-SRX-02-01-04在10次嘗試登錄失敗后鎖定帳戶，不允許登錄。解鎖時間設(shè)置為300秒1、參考配置操作設(shè)置嘗試失敗鎖定次數(shù)為10次2、補充說明無?；€符合性判定依據(jù)1.判定條件超出重試次數(shù)后帳號鎖定，不允許登錄，解鎖時間到達(dá)后可以登錄。中國移動集團公司

第4頁共25頁

Juniper防火墻安全配置基線

2.參考檢測操作3.補充說明無。備注注意！此項設(shè)置會影響性能，建議設(shè)置后對訪問此設(shè)備做源地址做限制。需要手工檢查。2.2口令

2.2.1口令繁雜度要求

安全基線項目名稱安全基線編號安全基線項說明口令繁雜度要求安全基線要求項SBL-SRX-02-02-01防火墻管理員帳號口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特別符號四類中至少兩類。且5次以內(nèi)不得設(shè)置一致的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測操作步驟1.參考配置操作setsystemauthentication-ordertacplussetsystemauthentication-orderpasswordsetsystemtacplus-serversecret\setsystemtacplus-serversource-address2.補充操作說明口令字符不完全符合要求?；€符合性判定依據(jù)1.判定條件該級別的密碼設(shè)置由管理員進(jìn)行密碼的生成，設(shè)備本身無此強制功能。2.檢測操作此項無法通過配置實現(xiàn)，建議通過管理實現(xiàn)。3.補充說明無。中國移動集團公司第5頁共25頁

Juniper防火墻安全配置基線

備注

2.3授權(quán)

2.3.1遠(yuǎn)程維護的設(shè)備使用加密協(xié)議

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟遠(yuǎn)程維護使用加密協(xié)議安全基線要求項SBL-SRX-02-03-01對于防火墻遠(yuǎn)程管理的配置，必需是基于加密的協(xié)議。如SSH或者WEBSSL，假使只允許從防火墻內(nèi)部進(jìn)行管理，應(yīng)當(dāng)限定管理IP。1.參考配置操作系統(tǒng)默認(rèn)支持telnet及SSH兩種管理方式，查看及增加管理IP操作如下：setsystemservicessshprotocol-versionv2setsecurityzonessecurity-zonetestinterfacesge-0/0/0.0host-inbound-trafficsystem-servicesssh2.補充操作說明基線符合性判定依據(jù)1.判定條件查看是否啟用SSH連接。2.檢測操作showinterfacesge-0/0/0.0……Security:Zone:testAllowedhost-inboundtraffic:dhcphttppingsnmpsshtelnet3.補充說明無。備注中國移動集團公司第6頁共25頁

Juniper防火墻安全配置基線

第3章日志及配置安全要求

3.1日志安全

3.1.1記錄用戶對設(shè)備的操作

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟用戶對設(shè)備記錄安全基線要求項SBL-SRX-03-01-01配置記錄防火墻管理員操作日志，如管理員登錄，修改管理員組操作，帳號解鎖等信息。配置防火墻將相關(guān)的操作日志送往操作日志審計系統(tǒng)或者其他相關(guān)的安全管控系統(tǒng)。1．參考配置操作setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補充操作說明在啟動日志記錄的狀況下，JunOS會記錄相關(guān)的日志，無需額外配置?；€符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測操作使用showconfigurationsystemsyslog檢查:showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}showlogmessages備注3.1.2開啟記錄NAT日志*

安全基線項目名稱開啟記錄NAT日志安全基線要求項中國移動集團公司第7頁共25頁

Juniper防火墻安全配置基線

安全基線編號安全基線項說明檢測操作步驟SBL-SRX-03-01-02開啟記錄NAT日志，記錄轉(zhuǎn)換前后IP地址的對應(yīng)關(guān)系。1．參考配置操作I.啟動日志記錄setsystemsyslogfileFW-LOGSuserinfosetsystemsyslogfileFW-LOGSmatchRT_FLOWsetsystemsyslogfileFW-LOGSarchivesize1msetsystemsyslogfileFW-LOGSarchivefiles3setsystemsyslogfileFW-LOGSstructured-databrief2．補充操作說明無?；€符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測操作使用showlogFW-LOGS檢查:fileFW-LOGS{userinfo;matchRT_FLOW;archivesize1mfiles3;structured-data{brief;}}showlogFW-LOGSd備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。3.1.3開啟記錄VPN日志*

安全基線項目名稱安全基線編號安全基線項說明檢測操作步開啟記錄VPN日志安全基線要求項SBL-SRX-03-01-03開啟記錄VPN日志，記錄VPN訪問登陸、退出等信息。1．參考配置操作

第8頁共25頁

中國移動集團公司

Juniper防火墻安全配置基線

驟showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}2．補充操作說明在啟動日志記錄的狀況下，JunOS會記錄VPN的日志，無需額外配置。基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測操作使用showconfigurationsystemsyslogshowlogging檢查:showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}showlogmessages備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。3.1.4配置記錄流量日志

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟配置記錄流量日志安全基線要求項SBL-SRX-03-01-04配置記錄流量日志，記錄通過防火墻的網(wǎng)絡(luò)連接的信息。1．參考配置操作PIX防火墻上無流量日志。網(wǎng)絡(luò)連接日志通過只需要啟動日志記錄setsystemsyslogfiletraffic-loganyanysetsystemsyslogfiletraffic-logmatch\2．補充操作說明可以通過showlogtraffic-log來檢查連接狀況?；€符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測操作中國移動集團公司

第9頁共25頁

Juniper防火墻安全配置基線

使用showlogtraffic-log檢查:showlogtraffic-log備注3.1.5配置記錄拒絕和丟棄報文規(guī)則的日志

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟配置記錄拒絕和丟棄報文規(guī)則的日志安全基線要求項SBL-SRX-03-01-05配置防火墻規(guī)則，記錄防火墻拒絕和丟棄報文的日志。1．參考配置操作JunOS防火墻自動將在訪問控制列表（access-list）中拒絕（deny）的數(shù)據(jù)包生成syslog信息。只需要啟動日志記錄setsystemsyslogfiletraffic-loganyanysetsystemsyslogfiletraffic-logmatch\2．補充操作說明使用showlogtraffic-log檢查:showlogtraffic-log基線符合性判定依據(jù)備注3.2告警配置要求

3.2.1配置對防火墻本身的攻擊或內(nèi)部錯誤告警

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線要求項SBL-SRX-03-02-01配置告警功能，報告對防火墻本身的攻擊或者防火墻的系統(tǒng)內(nèi)部錯誤。1．參考配置操作I.啟動日志記錄setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfo

第10頁共25頁

中國移動集團公司

Juniper防火墻安全配置基線

setsystemsyslogfilemessagesarchivesize10m2．補充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測操作使用showlogmessages檢查:showlogmessages備注3.2.2配置TCP/IP協(xié)議網(wǎng)絡(luò)層異常報文攻擊告警

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟配置TCP/IP協(xié)議網(wǎng)絡(luò)層異常報文攻擊告警安全基線要求項SBL-SRX-03-02-02配置告警功能，報告網(wǎng)絡(luò)流量中對TCP/IP協(xié)議網(wǎng)絡(luò)層異常報文攻擊的相關(guān)告警。1．參考配置操作I.啟動日志記錄setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測操作使用showlogmessages檢查:showlogmessages備注中國移動集團公司第11頁共25頁

Juniper防火墻安全配置基線

3.2.3配置TCP/IP協(xié)議應(yīng)用層異常攻擊告警*

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟置TCP/IP協(xié)議應(yīng)用層異常攻擊告警安全基線要求項SBL-SRX-03-02-03配置告警功能，報告網(wǎng)絡(luò)流量中對TCP/IP應(yīng)用層協(xié)議異常進(jìn)行攻擊的相關(guān)告警。1．參考配置操作I.啟動日志記錄setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測操作使用showlogmessages檢查:showlogmessages備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。3.3安全策略配置要求

3.3.1訪問規(guī)則列表最終一條必需是拒絕一切流量

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟訪問規(guī)則列表最終一條必需是拒絕一切流量安全基線要求項SBL-SRX-03-03-01防火墻在配置訪問規(guī)則列表時，最終一條必需是拒絕一切流量。1．參考配置操作JunOS防火墻策略，沒有開放策略，默認(rèn)就是拒絕一切流量，只允許已經(jīng)開發(fā)了策略的流量通過。在設(shè)置最終一條規(guī)則時，配置規(guī)則：2．補充操作說明不需要做設(shè)置基線符合性判定依據(jù)1.判定條件中國移動集團公司第12頁共25頁

Juniper防火墻安全配置基線

只需要檢查permit的策略2.檢測操作無備注3.3.2配置訪問規(guī)則應(yīng)盡可能縮小范圍

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟配置訪問規(guī)則應(yīng)盡可能縮小范圍安全基線要求項SBL-SRX-03-03-02在配置訪問規(guī)則時，源地址，目的地址，服務(wù)或端口的范圍必需以實際訪問需求為前提，盡可能的縮小范圍。阻止源到目的全部允許規(guī)則。阻止目的地址及服務(wù)全允許規(guī)則，阻止全服務(wù)訪問規(guī)則。1．參考配置操作定義源地址，定義目的地址，定義源端口號，定義目的端口號setsecurityzonessecurity-zoneuntrustaddress-bookaddress/32setsecurityzonessecurity-zoneuntrustaddress-bookaddress/32setapplicationsapplicationtcp_80protocoltcpsetapplicationsapplicationtcp_80source-port0-65535destination-port80-80setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchsource-addresssetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchdestination-addresssetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchapplicationtcp_80setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestthenpermit2．補充操作說明基線符合性判定依據(jù)1.判定條件檢查配置2.檢測操作使用命令showsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytest備注中國移動集團公司第13頁共25頁

Juniper防火墻安全配置基線

3.3.3配置NAT地址轉(zhuǎn)換*

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟配置NAT地址轉(zhuǎn)換安全基線要求項SBL-SRX-03-03-03配置NAT地址轉(zhuǎn)換，對互聯(lián)網(wǎng)隱蔽內(nèi)網(wǎng)主機的實際地址。1．參考配置操作I.配置防火墻使用靜態(tài)地址轉(zhuǎn)換setsecuritynatstaticrule-setMIPfromzoneuntrustsetsecuritynatstaticrule-setMIPrulenumbermatchdestination-addressdestination-ip_addresssetsecuritynatstaticrule-setMIPrulenumberthenstatic-natprefixsource-ip_address2．補充操作說明基線符合性判定依據(jù)1.判定條件配置中有nat或者static的內(nèi)容2.檢測操作使用setsecuritynatstaticrule-setMIPfromzoneuntrustsetsecuritynatstaticrule-setMIPrule1matchdestination-address/32setsecuritynatstaticrule-setMIPrule1thenstatic-natprefix/32showsecuritynatstaticrule1備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。3.3.4隱蔽防火墻字符管理界面的bannner信息

安全基線項目名稱安全基線編號安全基線項說明檢測操作步隱蔽防火墻字符管理界面的bannner信息安全基線要求項SBL-SRX-03-03-04隱蔽防火墻字符管理界面的bannner信息。1．參考配置操作中國移動集團公司第14頁共25頁

Juniper防火墻安全配置基線

驟I.配置登陸banner信息editsetsystemloginmessage2．補充操作說明基線符合性判定依據(jù)1.判定條件配置中有banner的內(nèi)容2.檢測操作使用showrunning-configbanner[exec|login|motd]，如下例：setsystemloginmessage\fromGMCC!allofyourdonewillberecorded!Pleasedisconnectimmediatelyifyouarenotanauthoriseduser!\showconfigurationsystemloginmessagemessage\fromGMCC!allofyourdonewillberecorded!Pleasedisconnectimmediatelyifyouarenotanauthoriseduser!\備注3.3.5關(guān)閉非必要服務(wù)

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟關(guān)閉非必要服務(wù)安全基線要求項SBL-SRX-03-03-05防火墻設(shè)備必需關(guān)閉非必要服務(wù)。1．參考配置操作關(guān)閉HTTP服務(wù)器editdeletesystemservicesweb-management2．補充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中是否關(guān)閉對應(yīng)服務(wù)2.檢測操作使用showconfigurationsystemservices查看服務(wù)開發(fā)狀態(tài)備注中國移動集團公司第15頁共25頁

Juniper防火墻安全配置基線

3.4攻擊防護配置要求

3.4.1拒絕常見漏洞所對應(yīng)端口或者服務(wù)的掃描

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟拒絕常見漏洞所對應(yīng)端口或者服務(wù)的訪問安全基線要求項SBL-SRX-03-04-01配置防火墻的screen功能，拒絕對防火墻保護的系統(tǒng)中常見漏洞所對應(yīng)端口或者服務(wù)的訪問。1．參考配置操作setsecurityscreenids-optionuntrust-screenlimit-sessionsource-ip-based1000setsecurityscreenids-optionuntrust-screenlimit-sessiondestination-ip-based60000setsecurityscreenids-optionuntust-screenicmpip-sweepsetsecurityscreenids-optionuntust-screenicmpfloodsetsecurityscreenids-optionuntust-screenicmpping-deathsetsecurityscreenids-optionuntust-screeniptear-dropsetsecurityscreenids-optionuntust-screentcptcp-no-flagsetsecurityscreenids-optionuntust-screentcpsyn-fragsetsecurityscreenids-optionuntust-screentcpport-scansetsecurityscreenids-optionuntust-screentcpsyn-floodsetsecurityscreenids-optionuntust-screentcplandsetsecurityscreenids-optionuntust-screentcpwinnukesetsecurityscreenids-optionuntust-screenudpfloodsetsecurityzonessecurity-zoneuntrustscreenuntrust-screen2．補充操作說明應(yīng)根據(jù)實際狀況調(diào)整。基線符合性判定依據(jù)1.判定條件檢查配置文件2.檢測操作使用命令showsecurityscreenstatisticszoneuntrust備注3.4.2拒絕常見漏洞所對應(yīng)端口或者服務(wù)的訪問

安全基線項目名稱拒絕常見漏洞所對應(yīng)端口或者服務(wù)的訪問中國移動集團公司第16頁共25頁

Juniper防火墻安全配置基線

安全基線編號安全基線項說明檢測操作步驟SBL-SRX-03-04-02拒絕常見漏洞所對應(yīng)端口或者服務(wù)的訪問。1．參考配置操作配置防火墻策略，屏蔽一些端口。setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchsource-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchdestination-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchapplicationtcp_1521setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchapplicationtcp_1433setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshthenreject2．補充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中是否有verifyreverse-path2.檢測操作使用命令showsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-ssh備注中國移動集團公司第17頁共25頁

Juniper防火墻安全配置基線

第4章IP協(xié)議安全要求

4.1功能配置

4.1.1使用SNMPV2c或者V3以上的版本對防火墻遠(yuǎn)程管理

安全基線項目名稱安全基線編號安全基線項說明檢測操作步驟使用SNMPV2C或者V3以上的版本對防火墻遠(yuǎn)程管理安全基線要求項SBL-SRX-04-01-01使用SNMPV3以上的版本對防火墻做遠(yuǎn)程管理。去除SNMP默認(rèn)的共同體名(CommunityName)和用戶名。并且不同的用戶名和共同體明對應(yīng)不同的權(quán)限（只讀或者讀寫）。1．參考配置操作配置snmp遠(yuǎn)程管理的版本setsnmpnametest-junossetsnmpcommunitytestauthorizationread-onlysetsnmpcommunitytestclients/32setsnmpcommuni