系统安全配置技术规范-Juniper防火墙.doc

系统安全配置技术规范—Juniper防火墙 版本 V0.9 日期 2013-06-03 文档编号 文档发布 文档说明 （一）变更信息 版本号 变更日期 变更者 变更理由/变更内容 备注 （二）文档审核人 姓名 职位 签名 日期 目 录 1. 适用范围 4 2. 帐号管理与授权 4 2.1 【基本】删除与工作无关的帐号 4 2.2 【基本】建立用户帐号分类 4 2.3 【基本】配置登录超时时间 5 2.4 【基本】允许登录的帐号 5 2.5 【基本】失败登陆次数限制 6 2.6 【基本】口令设置符合复杂度要求 6 2.7 【基本】禁止root远程登录 6 3. 日志配置要求 7 3.1 【基本】设置日志服务器 7 4. IP协议安全要求 7 4.1 【基本】禁用Telnet方式访问系统 7 4.2 【基本】启用SSH方式访问系统 7 4.3 配置SSH安全机制 8 4.4 【基本】修改SNMP服务的共同体字符串 8 5. 服务配置要求 8 5.1 【基本】配置NTP服务 8 5.2 【基本】关闭DHCP服务 9 5.3 【基本】关闭FINGER服务 9 6. 其它安全要求 9 6.1 【基本】禁用Auxiliary端口 9 6.2 【基本】配置设备名称 10  适用范围 如无特殊说明，本规范所有配置项适用于Juniper防火墙 JUNOS 8.x / 9.x / 10.x版本。其中有“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未涉及“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。 帐号管理与授权 【基本】删除与工作无关的帐号 配置项描述 通过防火墙帐号分类，明确防火墙帐号分类权限，如只读权限、超级权限等类别。 检查方法 方法一： [edit] show configuration system login 方法二： 通过WEB方式检查 操作步骤 方法一： [edit system login] delete system login user abc3 abc3是与工作无关的用户帐号 方法二： 通过WEB方法配置 回退操作 回退到原有的设置。 操作风险 低风险 【基本】建立用户帐号分类 配置项描述 通过防火墙用户帐号分类，明确防火墙帐号分类权限，如只读权限、超级权限等类别。 检查方法 方法一： [edit] user@host#show system login | match “class .*;” | count 方法二： 通过WEB方式检查 将用户账号分配到相应的用户级别： set system login user abc1 class read-only set system login user abc2 class ABC1 set system login user abc3 class super-user 操作步骤 方法一： [edit system login] user@host#set user <username> class <class name> 方法二： 通过WEB方式配置 回退操作 回退到原有的设置。 操作风险 低风险 【基本】配置登录超时时间 配置项描述 配置所有帐号登录超时限制 检查方法 方法一： [edit] user@host#show system login | match “idle-timeout [0-9]|i le-timeout 1[0-5]” | count 方法二： 通过WEB方式检查 操作步骤 方法一： [edit system login] user@host#set class <class name> idle-timeout 15 建议超时时间限制为15分钟 方法二： 通过WEB方式配置 回退操作 回退到原有的设置。 操作风险 低风险 【基本】允许登录的帐号 配置项描述 配置允许登录的帐号类别 检查方法 方法一： [edit] user@host#show system login | match “ ermissions” | count 方法二： 通过WEB方式检查 操作步骤 方法一： [edit system login] user@host#set class <class name> permissions <permission or list of permissions> 方法二： 通过WEB方式配置 回退操作 回退到原有的设置。 操作风险 低风险 【基本】失败登陆次数限制 配置项描述 应限制失败登陆次数不超过三次，终断会