系統(tǒng)安全配置技術(shù)規(guī)范Juniper防火墻樣本_第1頁
系統(tǒng)安全配置技術(shù)規(guī)范Juniper防火墻樣本_第2頁
系統(tǒng)安全配置技術(shù)規(guī)范Juniper防火墻樣本_第3頁
系統(tǒng)安全配置技術(shù)規(guī)范Juniper防火墻樣本_第4頁
系統(tǒng)安全配置技術(shù)規(guī)范Juniper防火墻樣本_第5頁
已閱讀5頁,還剩9頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

資料內(nèi)容僅供您學習參考,如有不當或者侵權(quán),請聯(lián)系改正或者刪除。系統(tǒng)安全配置技術(shù)規(guī)范—Juniper防火墻版本V0.9日期-06-03文檔編號文檔發(fā)布

文檔說明(一)變更信息版本號變更日期變更者變更理由/變更內(nèi)容備注(二)文檔審核人姓名職位簽名日期

目錄1. 適用范圍 42. 帳號管理與授權(quán) 42.1 【基本】刪除與工作無關(guān)的帳號 42.2 【基本】建立用戶帳號分類 42.3 【基本】配置登錄超時時間 52.4 【基本】允許登錄的帳號 52.5 【基本】失敗登陸次數(shù)限制 62.6 【基本】口令設(shè)置符合復雜度要求 62.7 【基本】禁止root遠程登錄 63. 日志配置要求 73.1 【基本】設(shè)置日志服務器 74. IP協(xié)議安全要求 74.1 【基本】禁用Telnet方式訪問系統(tǒng) 74.2 【基本】啟用SSH方式訪問系統(tǒng) 74.3 配置SSH安全機制 84.4 【基本】修改SNMP服務的共同體字符串 85. 服務配置要求 85.1 【基本】配置NTP服務 85.2 【基本】關(guān)閉DHCP服務 95.3 【基本】關(guān)閉FINGER服務 96. 其它安全要求 96.1 【基本】禁用Auxiliary端口 96.2 【基本】配置設(shè)備名稱 10

適用范圍如無特殊說明,本規(guī)范所有配置項適用于Juniper防火墻JUNOS8.x/9.x/10.x版本。其中有”基本”字樣的配置項,均為本公司對此類系統(tǒng)的基本安全配置要求;未涉及”基本”字樣的配置項,請各系統(tǒng)管理員視實際需求酌情遵從。帳號管理與授權(quán)【基本】刪除與工作無關(guān)的帳號配置項描述經(jīng)過防火墻帳號分類,明確防火墻帳號分類權(quán)限,如只讀權(quán)限、超級權(quán)限等類別。檢查方法方法一:[edit]showconfigurationsystemlogin方法二:經(jīng)過WEB方式檢查操作步驟方法一:[editsystemlogin]deletesystemloginuserabc3abc3是與工作無關(guān)的用戶帳號方法二:經(jīng)過WEB方法配置回退操作回退到原有的設(shè)置。操作風險低風險【基本】建立用戶帳號分類配置項描述經(jīng)過防火墻用戶帳號分類,明確防火墻帳號分類權(quán)限,如只讀權(quán)限、超級權(quán)限等類別。檢查方法方法一:[edit]user@host#showsystemlogin|match”class.*;”|count方法二:經(jīng)過WEB方式檢查將用戶賬號分配到相應的用戶級別:setsystemloginuserabc1classread-onlysetsystemloginuserabc2classABC1setsystemloginuserabc3classsuper-user操作步驟方法一:[editsystemlogin]user@host#setuser<username>class<classname>方法二:經(jīng)過WEB方式配置回退操作回退到原有的設(shè)置。操作風險低風險【基本】配置登錄超時時間配置項描述配置所有帳號登錄超時限制檢查方法方法一:[edit]user@host#showsystemlogin|match”idle-timeout[0-9]|i

le-timeout1[0-5]”|count方法二:經(jīng)過WEB方式檢查操作步驟方法一:[editsystemlogin]user@host#setclass<classname>idle-timeout15建議超時時間限制為15分鐘方法二:經(jīng)過WEB方式配置回退操作回退到原有的設(shè)置。操作風險低風險【基本】允許登錄的帳號配置項描述配置允許登錄的帳號類別檢查方法方法一:[edit]user@host#showsystemlogin|match”ermissions”|count方法二:經(jīng)過WEB方式檢查操作步驟方法一:[editsystemlogin]user@host#setclass<classname>permissions<permissionorlistofpermissions>方法二:經(jīng)過WEB方式配置回退操作回退到原有的設(shè)置。操作風險低風險【基本】失敗登陸次數(shù)限制配置項描述應限制失敗登陸次數(shù)不超過三次,終斷會話檢查方法方法一:[edit]user@host#showsystemloginretry-optionstries-before-disconnect方法二:經(jīng)過WEB方式檢查操作步驟方法一:[editsystem]user@host#setloginretry-optionstries-before-disconnect3方法二:經(jīng)過WEB方式配置回退操作回退到原有的設(shè)置。操作風險低風險【基本】口令設(shè)置符合復雜度要求配置項描述口令設(shè)置符合復雜度要求,密碼長度最少為8位,且包含大小寫、數(shù)字和特殊符號中的至少4種。檢查方法方法一:user@host#showsystemloginpassword方法二:經(jīng)過WEB方式檢查操作步驟方法一:口令必須包括字符集:[editsystem]user@ho

t#setloginpasswordchange-typecharacter-set必須包括4中不同字符集(大寫字母,小寫字母,數(shù)字,標點符號和特殊字符)user@host#setloginpasswordsminimum-changes4口令最短8位user@host#setloginpasswordsminimum-length8方法二:經(jīng)過WEB進行配置回退操作回退到原有的設(shè)置。操作風險中風險【基本】禁止root遠程登錄配置項描述Root為系統(tǒng)超級權(quán)限帳號,建議禁止遠程。檢查方法方法一:[edit]user@host#showsystemservicesssh方法二:經(jīng)過WEB方法檢查操作步驟方法一:[editsystem]user@host#setservicessshroot-logindeny方法二:經(jīng)過WEB進行配置回退操作回退到原有的設(shè)置。操作風險低風險日志配置要求【基本】設(shè)置日志服務器配置項描述設(shè)置日志服務器,對網(wǎng)絡系統(tǒng)中的設(shè)備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄。檢查步驟方法一:[edit]user@host#showsystemsyslog|match”host”|count方法二:經(jīng)過WEB方式檢查操作步驟方法一:[editsystem]user@host#setsysloghost<SYSLOG_SERVER><FACILITY><SEVERITY>方法二:經(jīng)過WEB進行配置回退操作恢復原有日志配置策略。操作風險建議對設(shè)備啟用Logging的配置,并設(shè)置正確的syslog服務器,保存系統(tǒng)日志。IP協(xié)議安全要求【基本】禁用Telnet方式訪問系統(tǒng)配置項描述禁用Telnet方式訪問系統(tǒng)。檢查方法方法一:[edit]user@host#showsystemservices|matchtelnet方法二:經(jīng)過WEB方法檢查操作步驟方法一:[editsystem]user@host#deleteservicestelnet方法二:經(jīng)過WEB進行配置回退操作回退到原有的設(shè)置。操作風險低風險【基本】啟用SSH方式訪問系統(tǒng)配置項描述啟用SSH方式訪問系統(tǒng),加密傳輸用戶名、口令及數(shù)據(jù)信息,提高數(shù)據(jù)的傳輸安全性。檢查方法方法一:[edit]user@host#showsystemservices|matchssh方法二:經(jīng)過WEB方法檢查操作步驟方法一:[editsystem]user@host#setservicesssh啟用SSH2user@host#setservicessshprotocol-versionv2方法二:經(jīng)過WEB進行配置回退操作回退到原有的設(shè)置。操作風險低風險配置SSH安全機制配置項描述配置SSH安全機制,防制DOS攻擊檢查方法方法一:[edit]user@host#showsystemservices|matchssh方法二:經(jīng)過WEB方法檢查操作步驟方法一:限制最大連接數(shù)為10:[editsystem]user@host#setservicessshconnection-limit10限制每秒最大會話數(shù)為4:[editsystem]user@host#setservicessshrate-limit4方法二:經(jīng)過WEB進行配置回退操作回退到原有的設(shè)置。操作風險低風險【基本】修改SNMP服務的共同體字符串配置項描述修改SNMP服務的共同體字符串,避免攻擊者采用窮舉攻擊對系統(tǒng)安全造成威脅。檢查方法方法一:[edit]user@host#showsnmp|matchcommunity|match”public|private|admin|monitor|security”|count方法二:經(jīng)過WEB方法檢查操作步驟方法一:[editsnmp]user@host#renamecommunity<oldcommunity>tocommunity<newcommunity>方法二:經(jīng)過WEB進行配置回退操作回退到原有的設(shè)置。操作風險低風險服務配置要求【基本】配置NTP服務配置項描述啟用防火墻的NTP設(shè)置,配置IP,口令等參數(shù),在NTPServer之間開啟認證功能。檢查方法方法一:[edit]user@host#showsystemntp|matchserver|exceptboot-server|count方法二:經(jīng)過WEB方法檢查操作步驟配置NTP:方法一:[editsystem]user@host#setntpserver<ServersIP>key<keyID>version4方法二:經(jīng)過WEB進行配置回退操作取消NTPServer的認證功能,或?qū)⒚艽a設(shè)置為NULL。操作風險中風險【基本】關(guān)閉DHCP服務配置項描述禁用DHCP,避免攻擊者經(jīng)過向DHCP提供虛假MAC的攻擊。檢查方法方法一:[edit]user@host#showsystemservices|matchdhcp方法二:經(jīng)過WEB方法檢查操作步驟方法一:[editsystem]user@host#deleteservicesdhcp或:[editsystem]user@host#deleteservicesdhcp-localserver方法二:經(jīng)過WEB進行配置回退操作恢復DHCP服務。操作風險低風險操作風險低風險【基本】關(guān)閉FINGER服務配置項描述禁用

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論