系統(tǒng)安全配置技術(shù)規(guī)范Juniper防火墻樣本

資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除。系統(tǒng)安全配置技術(shù)規(guī)范—Juniper防火墻版本V0.9日期-06-03文檔編號(hào)文檔發(fā)布

文檔說明(一)變更信息版本號(hào)變更日期變更者變更理由/變更內(nèi)容備注(二)文檔審核人姓名職位簽名日期

目錄1. 適用范圍 42. 帳號(hào)管理與授權(quán) 42.1 【基本】刪除與工作無關(guān)的帳號(hào) 42.2 【基本】建立用戶帳號(hào)分類 42.3 【基本】配置登錄超時(shí)時(shí)間 52.4 【基本】允許登錄的帳號(hào) 52.5 【基本】失敗登陸次數(shù)限制 62.6 【基本】口令設(shè)置符合復(fù)雜度要求 62.7 【基本】禁止root遠(yuǎn)程登錄 63. 日志配置要求 73.1 【基本】設(shè)置日志服務(wù)器 74. IP協(xié)議安全要求 74.1 【基本】禁用Telnet方式訪問系統(tǒng) 74.2 【基本】啟用SSH方式訪問系統(tǒng) 74.3 配置SSH安全機(jī)制 84.4 【基本】修改SNMP服務(wù)的共同體字符串 85. 服務(wù)配置要求 85.1 【基本】配置NTP服務(wù) 85.2 【基本】關(guān)閉DHCP服務(wù) 95.3 【基本】關(guān)閉FINGER服務(wù) 96. 其它安全要求 96.1 【基本】禁用Auxiliary端口 96.2 【基本】配置設(shè)備名稱 10

適用范圍如無特殊說明,本規(guī)范所有配置項(xiàng)適用于Juniper防火墻JUNOS8.x/9.x/10.x版本。其中有”基本”字樣的配置項(xiàng),均為本公司對(duì)此類系統(tǒng)的基本安全配置要求;未涉及”基本”字樣的配置項(xiàng),請(qǐng)各系統(tǒng)管理員視實(shí)際需求酌情遵從。帳號(hào)管理與授權(quán)【基本】刪除與工作無關(guān)的帳號(hào)配置項(xiàng)描述經(jīng)過防火墻帳號(hào)分類,明確防火墻帳號(hào)分類權(quán)限,如只讀權(quán)限、超級(jí)權(quán)限等類別。檢查方法方法一:[edit]showconfigurationsystemlogin方法二:經(jīng)過WEB方式檢查操作步驟方法一:[editsystemlogin]deletesystemloginuserabc3abc3是與工作無關(guān)的用戶帳號(hào)方法二:經(jīng)過WEB方法配置回退操作回退到原有的設(shè)置。操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)【基本】建立用戶帳號(hào)分類配置項(xiàng)描述經(jīng)過防火墻用戶帳號(hào)分類,明確防火墻帳號(hào)分類權(quán)限,如只讀權(quán)限、超級(jí)權(quán)限等類別。檢查方法方法一:[edit]user@host#showsystemlogin|match”class.*;”|count方法二:經(jīng)過WEB方式檢查將用戶賬號(hào)分配到相應(yīng)的用戶級(jí)別:setsystemloginuserabc1classread-onlysetsystemloginuserabc2classABC1setsystemloginuserabc3classsuper-user操作步驟方法一:[editsystemlogin]user@host#setuser<username>class<classname>方法二:經(jīng)過WEB方式配置回退操作回退到原有的設(shè)置。操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)【基本】配置登錄超時(shí)時(shí)間配置項(xiàng)描述配置所有帳號(hào)登錄超時(shí)限制檢查方法方法一:[edit]user@host#showsystemlogin|match”idle-timeout[0-9]|i

le-timeout1[0-5]”|count方法二:經(jīng)過WEB方式檢查操作步驟方法一:[editsystemlogin]user@host#setclass<classname>idle-timeout15建議超時(shí)時(shí)間限制為15分鐘方法二:經(jīng)過WEB方式配置回退操作回退到原有的設(shè)置。操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)【基本】允許登錄的帳號(hào)配置項(xiàng)描述配置允許登錄的帳號(hào)類別檢查方法方法一:[edit]user@host#showsystemlogin|match”ermissions”|count方法二:經(jīng)過WEB方式檢查操作步驟方法一:[editsystemlogin]user@host#setclass<classname>permissions<permissionorlistofpermissions>方法二:經(jīng)過WEB方式配置回退操作回退到原有的設(shè)置。操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)【基本】失敗登陸次數(shù)限制配置項(xiàng)描述應(yīng)限制失敗登陸次數(shù)不超過三次,終斷會(huì)話檢查方法方法一:[edit]user@host#showsystemloginretry-optionstries-before-disconnect方法二:經(jīng)過WEB方式檢查操作步驟方法一:[editsystem]user@host#setloginretry-optionstries-before-disconnect3方法二:經(jīng)過WEB方式配置回退操作回退到原有的設(shè)置。操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)【基本】口令設(shè)置符合復(fù)雜度要求配置項(xiàng)描述口令設(shè)置符合復(fù)雜度要求,密碼長度最少為8位,且包含大小寫、數(shù)字和特殊符號(hào)中的至少4種。檢查方法方法一:user@host#showsystemloginpassword方法二:經(jīng)過WEB方式檢查操作步驟方法一:口令必須包括字符集:[editsystem]user@ho

t#setloginpasswordchange-typecharacter-set必須包括4中不同字符集(大寫字母,小寫字母,數(shù)字,標(biāo)點(diǎn)符號(hào)和特殊字符)user@host#setloginpasswordsminimum-changes4口令最短8位user@host#setloginpasswordsminimum-length8方法二:經(jīng)過WEB進(jìn)行配置回退操作回退到原有的設(shè)置。操作風(fēng)險(xiǎn)中風(fēng)險(xiǎn)【基本】禁止root遠(yuǎn)程登錄配置項(xiàng)描述Root為系統(tǒng)超級(jí)權(quán)限帳號(hào),建議禁止遠(yuǎn)程。檢查方法方法一:[edit]user@host#showsystemservicesssh方法二:經(jīng)過WEB方法檢查操作步驟方法一:[editsystem]user@host#setservicessshroot-logindeny方法二:經(jīng)過WEB進(jìn)行配置回退操作回退到原有的設(shè)置。操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)日志配置要求【基本】設(shè)置日志服務(wù)器配置項(xiàng)描述設(shè)置日志服務(wù)器,對(duì)網(wǎng)絡(luò)系統(tǒng)中的設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄。檢查步驟方法一:[edit]user@host#showsystemsyslog|match”host”|count方法二:經(jīng)過WEB方式檢查操作步驟方法一:[editsystem]user@host#setsysloghost<SYSLOG_SERVER><FACILITY><SEVERITY>方法二:經(jīng)過WEB進(jìn)行配置回退操作恢復(fù)原有日志配置策略。操作風(fēng)險(xiǎn)建議對(duì)設(shè)備啟用Logging的配置,并設(shè)置正確的syslog服務(wù)器,保存系統(tǒng)日志。IP協(xié)議安全要求【基本】禁用Telnet方式訪問系統(tǒng)配置項(xiàng)描述禁用Telnet方式訪問系統(tǒng)。檢查方法方法一:[edit]user@host#showsystemservices|matchtelnet方法二:經(jīng)過WEB方法檢查操作步驟方法一:[editsystem]user@host#deleteservicestelnet方法二:經(jīng)過WEB進(jìn)行配置回退操作回退到原有的設(shè)置。操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)【基本】啟用SSH方式訪問系統(tǒng)配置項(xiàng)描述啟用SSH方式訪問系統(tǒng),加密傳輸用戶名、口令及數(shù)據(jù)信息,提高數(shù)據(jù)的傳輸安全性。檢查方法方法一:[edit]user@host#showsystemservices|matchssh方法二:經(jīng)過WEB方法檢查操作步驟方法一:[editsystem]user@host#setservicesssh啟用SSH2user@host#setservicessshprotocol-versionv2方法二:經(jīng)過WEB進(jìn)行配置回退操作回退到原有的設(shè)置。操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)配置SSH安全機(jī)制配置項(xiàng)描述配置SSH安全機(jī)制,防制DOS攻擊檢查方法方法一:[edit]user@host#showsystemservices|matchssh方法二:經(jīng)過WEB方法檢查操作步驟方法一:限制最大連接數(shù)為10:[editsystem]user@host#setservicessshconnection-limit10限制每秒最大會(huì)話數(shù)為4:[editsystem]user@host#setservicessshrate-limit4方法二:經(jīng)過WEB進(jìn)行配置回退操作回退到原有的設(shè)置。操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)【基本】修改SNMP服務(wù)的共同體字符串配置項(xiàng)描述修改SNMP服務(wù)的共同體字符串,避免攻擊者采用窮舉攻擊對(duì)系統(tǒng)安全造成威脅。檢查方法方法一:[edit]user@host#showsnmp|matchcommunity|match”public|private|admin|monitor|security”|count方法二:經(jīng)過WEB方法檢查操作步驟方法一:[editsnmp]user@host#renamecommunity<oldcommunity>tocommunity<newcommunity>方法二:經(jīng)過WEB進(jìn)行配置回退操作回退到原有的設(shè)置。操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)服務(wù)配置要求【基本】配置NTP服務(wù)配置項(xiàng)描述啟用防火墻的NTP設(shè)置,配置IP,口令等參數(shù),在NTPServer之間開啟認(rèn)證功能。檢查方法方法一:[edit]user@host#showsystemntp|matchserver|exceptboot-server|count方法二:經(jīng)過WEB方法檢查操作步驟配置NTP:方法一:[editsystem]user@host#setntpserver<ServersIP>key<keyID>version4方法二:經(jīng)過WEB進(jìn)行配置回退操作取消NTPServer的認(rèn)證功能,或?qū)⒚艽a設(shè)置為NULL。操作風(fēng)險(xiǎn)中風(fēng)險(xiǎn)【基本】關(guān)閉DHCP服務(wù)配置項(xiàng)描述禁用DHCP,避免攻擊者經(jīng)過向DHCP提供虛假M(fèi)AC的攻擊。檢查方法方法一:[edit]user@host#showsystemservices|matchdhcp方法二:經(jīng)過WEB方法檢查操作步驟方法一:[editsystem]user@host#deleteservicesdhcp或:[editsystem]user@host#deleteservicesdhcp-localserver方法二:經(jīng)過WEB進(jìn)行配置回退操作恢復(fù)DHCP服務(wù)。操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)【基本】關(guān)閉FINGER服務(wù)配置項(xiàng)描述禁用