NetScreen防火墙安全配置指导手册.docVIP

网管及认证问题 远程登录 一般而言，维护人员都习惯使用CLI来进行设备配置和日常管理，使用Telnet工具来远程登录设备，并且大部分设备都提供标准的Telnet接口，开放TCP 23端口。虽然Telnet在连接建立初期需要进行帐号和密码的核查，但是在此过程，以及后续会话中，都是明文方式传送所有数据，容易造窃听而泄密。同时Telnet并不是一个安全的协议。 要求采用SSH协议来取代Telnet进行设备的远程登录，SSH与Telnet一样，提供远程连接登录的手段。但是SSH传送的数据（包括帐号和密码）都会被加密，且密钥会自动更新，极大提高了连接的安全性。SSH可以非常有效地防止窃听、防止使用地址欺骗手段实施的连接尝试。 规范的配置文档提供远程登陆SSH开启的方式，和SSH相关属性的设置，如：超时间隔、尝试登录次数、控制连接的并发数目、如何采用访问列表严格控制访问的地址。 启用SSH 【应用网络层次】：所有层面防火墙设备 【影响】：无 【注意事项】：配置SCS后，工作站需采用支持SSH2的客户端软件，对防火墙进行管理。 【具体配置】： 1、进入Netscreen防火墙的操作系统WebUI界面 2、选择菜单Configuration Admin Management 3、选择Enable SCS并应用 4、选择Network Interfaces，针对每个interface进行配置 5、在Network Interfaces (Edit) Properties:??Basic??? Service Options Management Services 6、选择SCS，禁用telnet 限制登录尝试次数 为了防止穷举式密码试探，要求设置登录尝试次数限制，建议为3次。当系统收到一个连接请求，若提供的帐号或密码连续不能通过验证的的次数超过设定值，就自动中断该连接。 【应用网络层次】：所有层面防火墙设备 【影响】：无 【具体配置】： 1、进入Netscreen防火墙的操作系统CLI命令行界面 2、输入命令：set admin access attempts number 限制ROOT登录 由于ROOT管理员具有最高权限，为了避免ROOT管理员密码被窃取后造成威胁，可以限制ROOT用户只能通过CONSOLE接口访问设备，而不能远程登录。 【应用网络层次】：所有层面防火墙设备 【影响】：无 【具体配置】： 进入Netscreen防火墙的操作系统CLI命令行界面 输入命令：set admin root access console 访问限制 启用只接受管理流量的逻辑管理IP地址 任何绑定到安全区段的接口都至少可以具有两个IP 地址：一个连接到网络的接口IP 地址；一个用于接收管理流量的逻辑管理IP 地址。从网络用户流量分离管理流量大大增加了管理安全性，并确保了稳定的管理带宽。 【应用网络层次】：所有层面防火墙设备 【影响】：无 【具体配置】： 1、进入Netscreen防火墙的操作系统WebUI界面 2、选择菜单Network Interfaces Edit（选择需要定义管理IP的接口）Zone Name: Trust（假设定义在Trust区段）IP Address/Netmask: /24（接口地址）Manage IP: （管理地址）Management Services: WebUI, Telnet, SNMP:（选择需要的服务） 限制可登录的访问地址 缺省情况下，可信接口上的任何主机都可管理NetScreen 设备。要限制对特定工作站的管理能力，必须配置管理客户端IP 地址。 【应用网络层次】：所有层面防火墙设备 【影响】：无 【注意事项】：管理客户端IP 地址的指派立即生效。如果通过网络连接对设备进行管理，而工作站不包括在指派中，则NetScreen 设备立即终止当前会话，并且不再能从该工作站管理设备。 【具体配置】： 1、进入Netscreen防火墙的操作系统WebUI界面 2、选择菜单Configuration Admin Permitted Ips 3、设置管理工作站的单一地址或一段地址 帐号和密码管理 建议应在日常维护过程中周期性地（至少按季度）更改登录密码，甚至登录帐号。当外方人员需要登录设备时，应创建临时帐号，并指定合适的权限。临时帐号使用完后应及时删除。登录帐号及密码的保管和更新应由专人负责，并注意保密。帐号名字应该与使用者存在对应关系，如能反应使用者的级别、从属关系。为了提高安全性，在方便记忆的前提下，帐号名字应尽量混用字符的大小写、数字和符号，提高猜度的难度。同样的，密码必须至少使用四种可用字符类型中的三种：小写字母、大写字母、数字和符号，而且密码不得包含用户名或用户全名的一部分。一