資料內容僅供您學習參考，如有不當或者侵權，請聯系改正或者刪除。系統安全配置技術規范—Juniper防火墻版本V0.9日期-06-03文檔編號文檔發布

文檔說明(一)變更信息版本號變更日期變更者變更理由/變更內容備注(二)文檔審核人姓名職位簽名日期

目錄1. 適用范圍 42. 帳號管理與授權 42.1 【基本】刪除與工作無關的帳號 42.2 【基本】建立用戶帳號分類 42.3 【基本】配置登錄超時時間 52.4 【基本】允許登錄的帳號 52.5 【基本】失敗登陸次數限制 62.6 【基本】口令設置符合復雜度要求 62.7 【基本】禁止root遠程登錄 63. 日志配置要求 73.1 【基本】設置日志服務器 74. IP協議安全要求 74.1 【基本】禁用Telnet方式訪問系統 74.2 【基本】啟用SSH方式訪問系統 74.3 配置SSH安全機制 84.4 【基本】修改SNMP服務的共同體字符串 85. 服務配置要求 85.1 【基本】配置NTP服務 85.2 【基本】關閉DHCP服務 95.3 【基本】關閉FINGER服務 96. 其它安全要求 96.1 【基本】禁用Auxiliary端口 96.2 【基本】配置設備名稱 10

適用范圍如無特殊說明,本規范所有配置項適用于Juniper防火墻JUNOS8.x/9.x/10.x版本。其中有”基本”字樣的配置項,均為本公司對此類系統的基本安全配置要求;未涉及”基本”字樣的配置項,請各系統管理員視實際需求酌情遵從。帳號管理與授權【基本】刪除與工作無關的帳號配置項描述經過防火墻帳號分類,明確防火墻帳號分類權限,如只讀權限、超級權限等類別。檢查方法方法一:[edit]showconfigurationsystemlogin方法二:經過WEB方式檢查操作步驟方法一:[editsystemlogin]deletesystemloginuserabc3abc3是與工作無關的用戶帳號方法二:經過WEB方法配置回退操作回退到原有的設置。操作風險低風險【基本】建立用戶帳號分類配置項描述經過防火墻用戶帳號分類,明確防火墻帳號分類權限,如只讀權限、超級權限等類別。檢查方法方法一:[edit]user@host#showsystemlogin|match”class.*;”|count方法二:經過WEB方式檢查將用戶賬號分配到相應的用戶級別:setsystemloginuserabc1classread-onlysetsystemloginuserabc2classABC1setsystemloginuserabc3classsuper-user操作步驟方法一:[editsystemlogin]user@host#setuser<username>class<classname>方法二:經過WEB方式配置回退操作回退到原有的設置。操作風險低風險【基本】配置登錄超時時間配置項描述配置所有帳號登錄超時限制檢查方法方法一:[edit]user@host#showsystemlogin|match”idle-timeout[0-9]|i

le-timeout1[0-5]”|count方法二:經過WEB方式檢查操作步驟方法一:[editsystemlogin]user@host#setclass<classname>idle-timeout15建議超時時間限制為15分鐘方法二:經過WEB方式配置回退操作回退到原有的設置。操作風險低風險【基本】允許登錄的帳號配置項描述配置允許登錄的帳號類別檢查方法方法一:[edit]user@host#showsystemlogin|match”ermissions”|count方法二:經過WEB方式檢查操作步驟方法一:[editsystemlogin]user@host#setclass<classname>permissions<permissionorlistofpermissions>方法二:經過WEB方式配置回退操作回退到原有的設置。操作風險低風險【基本】失敗登陸次數限制配置項描述應限制失敗登陸次數不超過三次,終斷會話檢查方法方法一:[edit]user@host#showsystemloginretry-optionstries-before-disconnect方法二:經過WEB方式檢查操作步驟方法一:[editsystem]user@host#setloginretry-optionstries-before-disconnect3方法二:經過WEB方式配置回退操作回退到原有的設置。操作風險低風險【基本】口令設置符合復雜度要求配置項描述口令設置符合復雜度要求,密碼長度最少為8位,且包含大小寫、數字和特殊符號中的至少4種。檢查方法方法一:user@host#showsystemloginpassword方法二:經過WEB方式檢查操作步驟方法一:口令必須包括字符集:[editsystem]user@ho

t#setloginpasswordchange-typecharacter-set必須包括4中不同字符集(大寫字母,小寫字母,數字,標點符號和特殊字符)user@host#setloginpasswordsminimum-changes4口令最短8位user@host#setloginpasswordsminimum-length8方法二:經過WEB進行配置回退操作回退到原有的設置。操作風險中風險【基本】禁止root遠程登錄配置項描述Root為系統超級權限帳號,建議禁止遠程。檢查方法方法一:[edit]user@host#showsystemservicesssh方法二:經過WEB方法檢查操作步驟方法一:[editsystem]user@host#setservicessshroot-logindeny方法二:經過WEB進行配置回退操作回退到原有的設置。操作風險低風險日志配置要求【基本】設置日志服務器配置項描述設置日志服務器,對網絡系統中的設備運行狀況、網絡流量、用戶行為等進行日志記錄。檢查步驟方法一:[edit]user@host#showsystemsyslog|match”host”|count方法二:經過WEB方式檢查操作步驟方法一:[editsystem]user@host#setsysloghost<SYSLOG_SERVER><FACILITY><SEVERITY>方法二:經過WEB進行配置回退操作恢復原有日志配置策略。操作風險建議對設備啟用Logging的配置,并設置正確的syslog服務器,保存系統日志。IP協議安全要求【基本】禁用Telnet方式訪問系統配置項描述禁用Telnet方式訪問系統。檢查方法方法一:[edit]user@host#showsystemservices|matchtelnet方法二:經過WEB方法檢查操作步驟方法一:[editsystem]user@host#deleteservicestelnet方法二:經過WEB進行配置回退操作回退到原有的設置。操作風險低風險【基本】啟用SSH方式訪問系統配置項描述啟用SSH方式訪問系統,加密傳輸用戶名、口令及數據信息,提高數據的傳輸安全性。檢查方法方法一:[edit]user@host#showsystemservices|matchssh方法二:經過WEB方法檢查操作步驟方法一:[editsystem]user@host#setservicesssh啟用SSH2user@host#setservicessshprotocol-versionv2方法二:經過WEB進行配置回退操作回退到原有的設置。操作風險低風險配置SSH安全機制配置項描述配置SSH安全機制,防制DOS攻擊檢查方法方法一:[edit]user@host#showsystemservices|matchssh方法二:經過WEB方法檢查操作步驟方法一:限制最大連接數為10:[editsystem]user@host#setservicessshconnection-limit10限制每秒最大會話數為4:[editsystem]user@host#setservicessshrate-limit4方法二:經過WEB進行配置回退操作回退到原有的設置。操作風險低風險【基本】修改SNMP服務的共同體字符串配置項描述修改SNMP服務的共同體字符串,避免攻擊者采用窮舉攻擊對系統安全造成威脅。檢查方法方法一:[edit]user@host#showsnmp|matchcommunity|match”public|private|admin|monitor|security”|count方法二:經過WEB方法檢查操作步驟方法一:[editsnmp]user@host#renamecommunity<oldcommunity>tocommunity<newcommunity>方法二:經過WEB進行配置回退操作回退到原有的設置。操作風險低風險服務配置要求【基本】配置NTP服務配置項描述啟用防火墻的NTP設置,配置IP,口令等參數,在NTPServer之間開啟認證功能。檢查方法方法一:[edit]user@host#showsystemntp|matchserver|exceptboot-server|count方法二:經過WEB方法檢查操作步驟配置NTP:方法一:[editsystem]user@host#setntpserver<ServersIP>key<keyID>version4方法二:經過WEB進行配置回退操作取消NTPServer的認證功能,或將密碼設置為NULL。操作風險中風險【基本】關閉DHCP服務配置項描述禁用DHCP,避免攻擊者經過向DHCP提供虛假MAC的攻擊。檢查方法方法一:[edit]user@host#showsystemservices|matchdhcp方法二:經過WEB方法檢查操作步驟方法一:[editsystem]user@host#deleteservicesdhcp或:[editsystem]user@host#deleteservicesdhcp-localserver方法二:經過WEB進行配置回退操作恢復DHCP服務。操作風險低風險操作風險低風險【基本】關閉FINGER服務配置項描述禁用