Juniper防火墙安全配置基线要点.doc

资源描述

《Juniper防火墙安全配置基线要点.doc》由会员分享，可在线阅读，更多相关《Juniper防火墙安全配置基线要点.doc（25页珍藏版）》请在三一办公上搜索。

1、Juniper防火墙安全配置基线版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款1第2章帐号管理、认证授权安全要求22.1帐号管理22.1.1用户帐号分配*22.1.2删除无关的帐号*32.1.3帐户登录超时*32.1.4帐户密码错误自动锁定*42.2口令52.2.1口令复杂度要求52.3授权62.3.1远程维护的设备使用加密协议6第3章日志及配置安全要求73.1日志安全73.1.1记录用户对设备的操作73.1.

2、2开启记录NAT日志*73.1.3开启记录VPN日志*83.1.4配置记录流量日志93.1.5配置记录拒绝和丢弃报文规则的日志103.2告警配置要求103.2.1配置对防火墙本身的攻击或内部错误告警103.2.2配置TCP/IP协议网络层异常报文攻击告警113.2.3配置TCP/IP协议应用层异常攻击告警*123.3安全策略配置要求123.3.1访问规则列表最后一条必须是拒绝一切流量123.3.2配置访问规则应尽可能缩小范围133.3.3配置NAT地址转换*143.3.4隐藏防火墙字符管理界面的bannner信息143.3.5关闭非必要服务153.4攻击防护配置要求163.4.1拒绝常见漏洞所

3、对应端口或者服务的扫描163.4.2拒绝常见漏洞所对应端口或者服务的访问16第4章IP协议安全要求184.1功能配置184.1.1使用SNMP V2c或者V3以上的版本对防火墙远程管理18第5章其他安全要求195.1其他安全配置195.1.1外网口地址关闭对ping包的回应*195.1.2对防火墙的管理地址做源地址限制20第6章评审与修订21第1章概述1.1 目的本文档旨在指导系统管理人员进行Juniper防火墙的安全配置。1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。1.3 适用版本Juniper防火墙 SRX系列防火墙。1.4 实施1.5 例外条款第2

4、章帐号管理、认证授权安全要求2.1 帐号管理2.1.1 用户帐号分配*安全基线项目名称用户帐号分配安全基线要求项安全基线编号SBL-SRX-02-01-01 安全基线项说明不同等级管理员分配不同帐号，避免帐号混用。检测操作步骤1. 参考配置操作进入配置模式Editwarning: Clustering enabled; using private editwarning: uncommitted changes will be discarded on exitEntering configuration modeset system login user user1 class read

5、-only authentication plain-text-passwordNew password:Retype new password:set system login user user2 class read-only authentication plain-text-password New password:Retype new password:commit2. 补充操作说明前两个用户为建立的帐号,帐号的class 有operator、read-only和super-user。基线符合性判定依据1. 判定条件用配置中没有的用户名去登录，结果是不能登录。2. 检测操作# s

6、how configuration | display set | match user1 set system login user user1 class read-onlyset system login user user1 authentication encrypted-password $1$ANj6Tqmg$xvVAxV/V0s9MXxGQn93CB0# show configuration | display set | match user2 set system login user user2 class read-onlyset system login user u

7、ser2 authentication encrypted-password $1$oo4HYMP/$tAJyZrKkHRCz5V/yfqzHU03. 补充说明无。备注防火墙系统本身就携带三种不同权限的帐号，需要手工检测。2.1.2 删除无关的帐号*安全基线项目名称无关的帐号安全基线要求项安全基线编号SBL-SRX-02-01-02 安全基线项说明应删除或锁定与设备运行、维护等工作无关的帐号。检测操作步骤1. 参考配置操作editdelete system login user user12. 补充操作说明基线符合性判定依据1. 判定条件配置中用户信息被删除。2. 检测操作show conf

8、iguration | display set | match user13. 补充说明无。备注建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。2.1.3 帐户登录超时*安全基线项目名称帐户登录超时安全基线要求项安全基线编号SBL- SRX -02-01-03 安全基线项说明配置定时帐户自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、参考配置操作设置超时时间为5分钟2、补充说明无。基线符合性判定依据1. 判定条件在超出设定时间后，用户自动登出设备。2. 参考检测操作3. 补充说明无。备注需要手工检查。2.1.4 帐户密码错误自动锁定*安全基线项目名

9、称帐户密码错误自动锁定安全基线要求项安全基线编号SBL-SRX-02-01-04安全基线项说明在10次尝试登录失败后锁定帐户，不允许登录。解锁时间设置为300秒检测操作步骤1、参考配置操作设置尝试失败锁定次数为10次2、补充说明无。基线符合性判定依据1. 判定条件超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。2. 参考检测操作3. 补充说明无。备注注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。2.2 口令2.2.1 口令复杂度要求安全基线项目名称口令复杂度要求安全基线要求项安全基线编号SBL-SRX -02-02-01 安全基线项说明防火墙管

10、理员帐号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1. 参考配置操作set system authentication-order tacplusset system authentication-order passwordset system tacplus-server 1.1.1.1 secret $9$b224ZTQnCA0JGset system tacplus-server 1.1.1.1 source-address 2.2.2.22. 补充操作说明口令字符不完全符合要求。基线

11、符合性判定依据1. 判定条件该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。2. 检测操作此项无法通过配置实现，建议通过管理实现。3. 补充说明无。备注2.3 授权2.3.1 远程维护的设备使用加密协议安全基线项目名称远程维护使用加密协议安全基线要求项安全基线编号SBL-SRX-02-03-01 安全基线项说明对于防火墙远程管理的配置，必须是基于加密的协议。如SSH或者WEBSSL，如果只允许从防火墙内部进行管理，应该限定管理IP。检测操作步骤1. 参考配置操作系统默认支持telnet及SSH两种管理方式，查看及增加管理IP操作如下：set system services ss

12、h protocol-version v2set security zones security-zone test interfaces ge-0/0/0.0 host-inbound-traffic system-services ssh2. 补充操作说明基线符合性判定依据1. 判定条件查看是否启用SSH连接。2. 检测操作show interfaces ge-0/0/0.0 Security: Zone: test Allowed host-inbound traffic : dhcp http ping snmp ssh telnet 3. 补充说明无。备注第3章日志及配置安全要求3

13、.1 日志安全3.1.1 记录用户对设备的操作安全基线项目名称用户对设备记录安全基线要求项安全基线编号SBL-SRX-03-01-01安全基线项说明配置记录防火墙管理员操作日志，如管理员登录，修改管理员组操作，帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。检测操作步骤1参考配置操作set system syslog file messages any noticeset system syslog file messages authorization infoset system syslog file messages archive size

14、 10m2补充操作说明在启动日志记录的情况下，JunOS 会记录相关的日志，无需额外配置。基线符合性判定依据1.判定条件检查配置中的logging相关配置2.检测操作使用show configuration system syslog检查:show configuration system syslog file messages any notice; authorization info; archive size 10m;show log messages备注3.1.2 开启记录NAT日志*安全基线项目名称开启记录NAT日志安全基线要求项安全基线编号SBL-SRX-03-01-02安全基

15、线项说明开启记录NAT日志，记录转换前后IP地址的对应关系。检测操作步骤1参考配置操作 I.启动日志记录set system syslog file FW-LOGS user infoset system syslog file FW-LOGS match RT_FLOWset system syslog file FW-LOGS archive size 1mset system syslog file FW-LOGS archive files 3set system syslog file FW-LOGS structured-data brief2补充操作说明无。基线符合性判定依据1

16、.判定条件检查配置中的logging相关配置2.检测操作使用show log FW-LOGS检查:file FW-LOGS user info; match RT_FLOW; archive size 1m files 3; structured-data brief; show log FW-LOGSd备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1.3 开启记录VPN日志*安全基线项目名称开启记录VPN日志安全基线要求项安全基线编号SBL-SRX-03-01-03安全基线项说明开启记录VPN日志，记录VPN访问登陆、退出等信息。检测操作步骤1参考配置操作show c

17、onfiguration system syslog file messages any notice; authorization info; archive size 10m;2补充操作说明在启动日志记录的情况下，JunOS会记录VPN的日志，无需额外配置。基线符合性判定依据1.判定条件检查配置中的logging相关配置2.检测操作使用show configuration system syslogshow logging检查:show configuration system syslog file messages any notice; authorization info; arc

18、hive size 10m;show log messages备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1.4 配置记录流量日志安全基线项目名称配置记录流量日志安全基线要求项安全基线编号SBL-SRX-03-01-04安全基线项说明配置记录流量日志，记录通过防火墙的网络连接的信息。检测操作步骤1参考配置操作 PIX 防火墙上无流量日志。网络连接日志通过只需要启动日志记录set system syslog file traffic-log any anyset system syslog file traffic-log match RT_FLOW_SESSION2补

19、充操作说明可以通过 show log traffic-log来检查连接情况。基线符合性判定依据1.判定条件检查配置中的logging相关配置2.检测操作使用show log traffic-log检查:show log traffic-log备注3.1.5 配置记录拒绝和丢弃报文规则的日志安全基线项目名称配置记录拒绝和丢弃报文规则的日志安全基线要求项安全基线编号SBL-SRX-03-01-05安全基线项说明配置防火墙规则，记录防火墙拒绝和丢弃报文的日志。检测操作步骤1参考配置操作JunOS防火墙自动将在访问控制列表（access-list）中拒绝（deny）的数据包生成syslog信息。只需

20、要启动日志记录set system syslog file traffic-log any anyset system syslog file traffic-log match RT_FLOW_SESSION2补充操作说明基线符合性判定依据使用show log traffic-log检查:show log traffic-log备注3.2 告警配置要求3.2.1 配置对防火墙本身的攻击或内部错误告警安全基线项目名称配置对防火墙本身的攻击或内部错误告警安全基线要求项安全基线编号SBL-SRX-03-02-01 安全基线项说明配置告警功能，报告对防火墙本身的攻击或者防火墙的系统内部错误。检测操

21、作步骤1参考配置操作 I.启动日志记录set system syslog file messages any noticeset system syslog file messages authorization infoset system syslog file messages archive size 10m2补充操作说明基线符合性判定依据1.判定条件检查配置中的logging相关配置2.检测操作使用show log messages检查:show log messages备注3.2.2 配置TCP/IP协议网络层异常报文攻击告警安全基线项目名称配置TCP/IP协议网络层异常报文攻击告

22、警安全基线要求项安全基线编号SBL-SRX-03-02-02 安全基线项说明配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。检测操作步骤1参考配置操作 I.启动日志记录set system syslog file messages any noticeset system syslog file messages authorization infoset system syslog file messages archive size 10m2补充操作说明基线符合性判定依据1.判定条件检查配置中的logging相关配置2.检测操作使用show log messa

23、ges检查:show log messages备注3.2.3 配置TCP/IP协议应用层异常攻击告警*安全基线项目名称置TCP/IP协议应用层异常攻击告警安全基线要求项安全基线编号SBL-SRX-03-02-03 安全基线项说明配置告警功能，报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警。检测操作步骤1参考配置操作 I.启动日志记录set system syslog file messages any noticeset system syslog file messages authorization infoset system syslog file messages a

24、rchive size 10m2补充操作说明基线符合性判定依据1.判定条件检查配置中的logging相关配置2.检测操作使用show log messages检查:show log messages备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3 安全策略配置要求3.3.1 访问规则列表最后一条必须是拒绝一切流量安全基线项目名称访问规则列表最后一条必须是拒绝一切流量安全基线要求项安全基线编号SBL-SRX-03-03-01安全基线项说明防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量。检测操作步骤1参考配置操作JunOS防火墙策略，没有开放策略，默认就是拒绝一切流

25、量，只允许已经开发了策略的流量通过。在设置最后一条规则时，配置规则：2补充操作说明不需要做设置基线符合性判定依据1.判定条件只需要检查permit的策略2.检测操作无备注3.3.2 配置访问规则应尽可能缩小范围安全基线项目名称配置访问规则应尽可能缩小范围安全基线要求项安全基线编号SBL-SRX-03-03-02安全基线项说明在配置访问规则时，源地址，目的地址，服务或端口的范围必须以实际访问需求为前提，尽可能的缩小范围。禁止源到目的全部允许规则。禁止目的地址及服务全允许规则，禁止全服务访问规则。检测操作步骤1参考配置操作定义源地址，定义目的地址，定义源端口号，定义目的端口号set secu

26、rity zones security-zone untrust address-book address 1.1.1.1 1.1.1.1/32set security zones security-zone untrust address-book address 2.2.2.2 2.2.2.2/32set applications application tcp_80 protocol tcpset applications application tcp_80 source-port 0-65535 destination-port 80-80set security policies

27、from-zone untrust to-zone trust policy test match source-address 1.1.1.1 set security policies from-zone untrust to-zone trust policy test match destination-address 2.2.2.2 set security policies from-zone untrust to-zone trust policy test match application tcp_80 set security policies from-zone untr

28、ust to-zone trust policy test then permit2补充操作说明基线符合性判定依据1.判定条件检查配置2.检测操作使用命令show security policies from-zone untrust to-zone trust policy test备注3.3.3 配置NAT地址转换*安全基线项目名称配置NAT地址转换安全基线要求项安全基线编号SBL-SRX-03-03-03安全基线项说明配置NAT地址转换，对互联网隐藏内网主机的实际地址。检测操作步骤1参考配置操作I.配置防火墙使用静态地址转换set security nat static rule-se

29、t MIP from zone untrustset security nat static rule-set MIP rule number match destination-address destination-ip_addressset security nat static rule-set MIP rule number then static-nat prefix source-ip_address2补充操作说明基线符合性判定依据1.判定条件配置中有nat或者static的内容2.检测操作使用set security nat static rule-set MIP from z

30、one untrustset security nat static rule-set MIP rule 1 match destination-address 1.1.1.1/32set security nat static rule-set MIP rule 1 then static-nat prefix 10.1.1.1/32show security nat static rule 1备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.4 隐藏防火墙字符管理界面的bannner信息安全基线项目名称隐藏防火墙字符管理界面的bannner信息安全基线要求项安全基线编

31、号SBL-SRX-03-03-04安全基线项说明隐藏防火墙字符管理界面的bannner信息。检测操作步骤1参考配置操作 I.配置登陆banner信息editset system login message2补充操作说明基线符合性判定依据1.判定条件配置中有 banner 的内容2.检测操作使用show running-config banner exec | login | motd，如下例：set system login message Warning from GMCC! all of your done will be recorded! Please disconnect imme

32、diately if you are not an authorised user! show configuration system login message message Warning from GMCC! all of your done will be recorded! Please disconnect immediately if you are not an authorised user!; 备注3.3.5 关闭非必要服务安全基线项目名称关闭非必要服务安全基线要求项安全基线编号SBL-SRX-03-03-05安全基线项说明防火墙设备必须关闭非必要服务。检测操作步骤1

33、参考配置操作关闭HTTP服务器editdelete system services web-management2补充操作说明基线符合性判定依据1.判定条件检查配置中是否关闭对应服务2.检测操作使用show configuration system services 查看服务开发状态备注3.4 攻击防护配置要求3.4.1 拒绝常见漏洞所对应端口或者服务的扫描安全基线项目名称拒绝常见漏洞所对应端口或者服务的访问安全基线要求项安全基线编号SBL-SRX-03-04-01安全基线项说明配置防火墙的screen功能，拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。检测操作步骤1参考配置操

34、作set security screen ids-option untrust-screen limit-session source-ip-based 1000set security screen ids-option untrust-screen limit-session destination-ip-based 60000set security screen ids-option untust-screen icmp ip-sweepset security screen ids-option untust-screen icmp floodset security screen

35、ids-option untust-screen icmp ping-deathset security screen ids-option untust-screen ip tear-dropset security screen ids-option untust-screen tcp tcp-no-flagset security screen ids-option untust-screen tcp syn-fragset security screen ids-option untust-screen tcp port-scanset security screen ids-opti

36、on untust-screen tcp syn-floodset security screen ids-option untust-screen tcp landset security screen ids-option untust-screen tcp winnukeset security screen ids-option untust-screen udp floodset security zones security-zone untrust screen untrust-screen2补充操作说明应根据实际情况调整。基线符合性判定依据1.判定条件检查配置文件2.检测操作使

37、用命令show security screen statistics zone untrust备注3.4.2 拒绝常见漏洞所对应端口或者服务的访问安全基线项目名称拒绝常见漏洞所对应端口或者服务的访问安全基线编号SBL-SRX-03-04-02安全基线项说明拒绝常见漏洞所对应端口或者服务的访问。检测操作步骤1参考配置操作配置防火墙策略，屏蔽一些端口。set security policies from-zone untrust to-zone trust policy deny_telnet-ssh match source-address anyset security policies f

38、rom-zone untrust to-zone trust policy deny_telnet-ssh match destination-address anyset security policies from-zone untrust to-zone trust policy deny_telnet-ssh match application tcp_1521set security policies from-zone untrust to-zone trust policy deny_telnet-ssh match application tcp_1433set securit

39、y policies from-zone untrust to-zone trust policy deny_telnet-ssh then reject2补充操作说明基线符合性判定依据1.判定条件检查配置中是否有 verify reverse-path2.检测操作使用命令show security policies from-zone untrust to-zone trust policy deny_telnet-ssh备注第4章 IP协议安全要求4.1 功能配置4.1.1 使用SNMP V2c或者V3以上的版本对防火墙远程管理安全基线项目名称使用SNMPV2C或者 V3以上的版本对防火

40、墙远程管理安全基线要求项安全基线编号SBL-SRX-04-01-01安全基线项说明使用SNMP V3以上的版本对防火墙做远程管理。去除SNMP默认的共同体名(Community Name)和用户名。并且不同的用户名和共同体明对应不同的权限（只读或者读写）。检测操作步骤1参考配置操作配置 snmp远程管理的版本set snmp name test-junosset snmp community test authorization read-onlyset snmp community test clients 1.1.1.1/32set snmp community test client

41、s 1.1.1.2/32set snmp v3 snmp-community test tag testset security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services snmp2补充操作说明基线符合性判定依据1.判定条件检查配置中snmp相关内容2.检测操作使用 show configuration snmp 检查备注第5章其他安全要求5.1 其他安全配置5.1.1 外网口地址关闭对ping包的回应*安全基线项目名称外网口地址关闭对ping包的回应安全基线

42、要求项安全基线编号SBL-SRX-05-01-01安全基线项说明对于外网口地址，关闭对ping包的回应。建议通过VPN隧道获得内网地址，从内网口进行远程管理。如网管系统需要开放，可不考虑。检测操作步骤1参考配置操作外网口关闭ping包回应。 delete security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ping2补充操作说明基线符合性判定依据1.判定条件检查配置文件中是否有ICMP描述2.检测操作使用一下命令进行检查:show configurat

43、ion security zones security-zone untrust interfaces ge-0/0/0.0host-inbound-traffic system-services ping; snmp; ssh; telnet; http; dhcp; bootp; 备注根据具体环境自定义配置5.1.2 对防火墙的管理地址做源地址限制安全基线项目名称对防火墙的管理地址做源地址限制安全基线要求项安全基线编号SBL-SRX-05-01-02安全基线项说明对防火墙的管理地址做源地址限制。可以使用防火墙自身的限定功能，也可以在防火墙管理口的接入设备上设置ACL检测操作步骤1参考配置操作限制200.0.0/24和100.0.0.0/24访问set system login deny-sources address 200.0.0.0/24set system login deny-sources address 100.0.0.0/24prompt system login deny-s

展开阅读全文