系统安全配置技术规范_juniper防火墙.docx

系统安全配置技术规一Juniper防火墙 版本 V0.9 日期 2013-06-03 文档编号 文档发布  文档说明 （一）变更信息 版本号 变更日期 变更者 变更理由/变更容 备注 （二）文档审核人 职位 签名 日期 TOC \o 1-5 \h \z \o Current Document 适用围 4 \o Current Document 帐号管理与授权 4 \o Current Document 2.1【基本】删除与工作无关的帐号 4 \o Current Document 2.2【基本】建立用户帐号分类 4 \o Current Document 【基本】配置登录超时时间 5 \o Current Document 【基本】允许登录的帐号 6 \o Current Document 【基本】失败登陆次数限制 6 \o Current Document 【基本】口令设置符合复杂度要求 6 \o Current Document 【基本】禁止 R00远程登录 7 \o Current Document 日志配置要求 8 \o Current Document 【基本】设置日志服务器 8 \o Current Document IP协议安全要求 8 \o Current Document 【基本】禁用 Telnet方式访问系统 8 \o Current Document 【基本】启用 SSH方式访问系统 9 \o Current Document 配置SSH安全机制 9 \o Current Document 【基本】修改SNMP艮务的共同体字符串 10 \o Current Document 服务配置要求 10 \o Current Document 【基本】配置 NTP服务 10 \o Current Document 【基本】关闭 DHCF服务 11 \o Current Document 【基本】关闭 FINGER服务 11 \o Current Document 其它安全要求 12 \o Current Document 【基本】禁用 AUXILIARY端口 12 \o Current Document 【基本】配置设备名称 12 适用围 如无特殊说明，本规所有配置项适用于 Juniper防火墙JUN0S8.X / 9.x / 10.x 版本。其中有“基本”字样的配置项，均为本公司对此类系统的基本安全配置要 求；未涉及“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。 帐号管理与授权 2.1【基本】删除与工作无关的帐号 配置项描述 通过防火墙帐号分类， 明确防火墙帐号分类权限， 如只读权限、超级权限等 类别。 检查方法 方法一： [edit] show con figurati on system logi n 方法二： 通过WEBT式检查 操作步骤 方法一： [edit system logi n] delete system logi n user abc3 abc3是与工作无关的用户帐号 方法二： 通过WEBT法配置 回退操作 回退到原有的设置。 操作风险 低风险 2.2【基本】建立用户帐号分类 配置项描述通过防火墙用户帐号分类， 明确防火墙帐号分类权限， 如只读权限、超级权限等类别。 配置项描述 通过防火墙用户帐号分类， 明确防火墙帐号分类权限， 如只读权限、超级权 限等类别。 通过防火墙用户帐号分类， 明确防火墙帐号分类权限， 如只读权限、超级权 检查方法 方法一： [edit] userhost#show system log in | match “ class .*; ” | cou nt 方法二： 通过WE方式检查 将用户账号分配到相应的用户级别： set system log in user set system log in user set system log in user abcl class read-only abc2 class ABC1 abc3 class super-user 操作步骤 方法一： [edit system logi n] userhost#set user user name〉class class n ame 方法二： 通过WEB方式配置 回退操作 回退到原有的设置。 操作风险 低风险 2.3【基本】配置登录超时时间 配置项描述 配置所有帐号登录超时限制 检查方法 方法一： [edit] userhost#show system logi n | match “ idle -ti