Juniper防火墻安全配置基線

Juniper防火墻安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2012年04月

版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。

目錄第1章 概述 11.1 目的 11.2 適用范圍 11.3 適用版本 11.4 實施 11.5 例外條款 1第2章 帳號管理、認證授權安全要求 22.1 帳號管理 22.1.1 用戶帳號分配* 22.1.2 刪除無關的帳號* 32.1.3 帳戶登錄超時* 32.1.4 帳戶密碼錯誤自動鎖定* 42.2 口令 52.2.1 口令復雜度要求 52.3 授權 62.3.1 遠程維護的設備使用加密協(xié)議 6第3章 日志及配置安全要求 73.1 日志安全 73.1.1 記錄用戶對設備的操作 73.1.2 開啟記錄NAT日志* 73.1.3 開啟記錄VPN日志* 83.1.4 配置記錄流量日志 93.1.5 配置記錄拒絕和丟棄報文規(guī)則的日志 103.2 告警配置要求 103.2.1 配置對防火墻本身的攻擊或內(nèi)部錯誤告警 103.2.2 配置TCP/IP協(xié)議網(wǎng)絡層異常報文攻擊告警 113.2.3 配置TCP/IP協(xié)議應用層異常攻擊告警* 123.3 安全策略配置要求 123.3.1 訪問規(guī)則列表最后一條必須是拒絕一切流量 123.3.2 配置訪問規(guī)則應盡可能縮小范圍 133.3.3 配置NAT地址轉(zhuǎn)換* 143.3.4 隱藏防火墻字符管理界面的bannner信息 143.3.5 關閉非必要服務 153.4 攻擊防護配置要求 163.4.1 拒絕常見漏洞所對應端口或者服務的掃描 163.4.2 拒絕常見漏洞所對應端口或者服務的訪問 16第4章 IP協(xié)議安全要求 184.1 功能配置 184.1.1 使用SNMPV2c或者V3以上的版本對防火墻遠程管理 18第5章 其他安全要求 195.1 其他安全配置 195.1.1 外網(wǎng)口地址關閉對ping包的回應* 195.1.2 對防火墻的管理地址做源地址限制 20第6章 評審與修訂 21概述目的本文檔規(guī)定了中國移動管理信息系統(tǒng)部所維護管理的Juniper防火墻應當遵循的設備安全性設置標準，本文檔旨在指導系統(tǒng)管理人員進行Juniper防火墻的安全配置。適用范圍本配置標準的使用者包括：網(wǎng)絡管理員、網(wǎng)絡安全管理員、網(wǎng)絡監(jiān)控人員。本配置標準適用的范圍包括：中國移動總部和各省公司信息化部門維護管理的Juniper防火墻。適用版本Juniper防火墻SRX系列防火墻。實施本標準的解釋權和修改權屬于中國移動集團管理信息系統(tǒng)部，在本標準的執(zhí)行過程中若有任何疑問或建議，應及時反饋。本標準發(fā)布之日起生效。例外條款欲申請本標準的例外條款，申請人必須準備書面申請文件，說明業(yè)務需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。帳號管理、認證授權安全要求帳號管理用戶帳號分配*安全基線項目名稱用戶帳號分配安全基線要求項安全基線編號SBL-SRX-02-01-01安全基線項說明不同等級管理員分配不同帳號，避免帳號混用。檢測操作步驟參考配置操作進入配置模式Editwarning:Clusteringenabled;usingprivateeditwarning:uncommittedchangeswillbediscardedonexitEnteringconfigurationmodesetsystemloginuseruser1classread-onlyauthenticationplain-text-passwordNewpassword:Retypenewpassword:setsystemloginuseruser2classread-onlyauthenticationplain-text-passwordNewpassword:Retypenewpassword:commit補充操作說明前兩個用戶為建立的帳號,帳號的class有operator、read-only和super-user?；€符合性判定依據(jù)判定條件用配置中沒有的用戶名去登錄，結果是不能登錄。檢測操作#showconfiguration|displayset|matchuser1setsystemloginuseruser1classread-onlysetsystemloginuseruser1authenticationencrypted-password"$1$ANj6Tqmg$xvVAxV/V0s9MXxGQn93CB0"#showconfiguration|displayset|matchuser2setsystemloginuseruser2classread-onlysetsystemloginuseruser2authenticationencrypted-password"$1$oo4HYMP/$tAJyZrKkHRCz5V/yfqzHU0"補充說明無。備注防火墻系統(tǒng)本身就攜帶三種不同權限的帳號，需要手工檢測。刪除無關的帳號*安全基線項目名稱無關的帳號安全基線要求項安全基線編號SBL-SRX-02-01-02安全基線項說明應刪除或鎖定與設備運行、維護等工作無關的帳號。檢測操作步驟參考配置操作editdeletesystemloginuseruser1補充操作說明基線符合性判定依據(jù)判定條件配置中用戶信息被刪除。檢測操作>showconfiguration|displayset|matchuser1>補充說明無。備注建議手工抽查系統(tǒng)，無關賬戶更多屬于管理層面，需要人為確認。帳戶登錄超時*安全基線項目名稱帳戶登錄超時安全基線要求項安全基線編號SBL-SRX-02-01-03安全基線項說明配置定時帳戶自動登出，空閑5分鐘自動登出。登出后用戶需再次登錄才能進入系統(tǒng)。檢測操作步驟參考配置操作設置超時時間為5分鐘2、補充說明無?；€符合性判定依據(jù)判定條件在超出設定時間后，用戶自動登出設備。參考檢測操作補充說明無。備注需要手工檢查。帳戶密碼錯誤自動鎖定*安全基線項目名稱帳戶密碼錯誤自動鎖定安全基線要求項安全基線編號SBL-SRX-02-01-04安全基線項說明在10次嘗試登錄失敗后鎖定帳戶，不允許登錄。解鎖時間設置為300秒檢測操作步驟參考配置操作設置嘗試失敗鎖定次數(shù)為10次2、補充說明無?；€符合性判定依據(jù)判定條件超出重試次數(shù)后帳號鎖定，不允許登錄，解鎖時間到達后可以登錄。參考檢測操作補充說明無。備注注意！此項設置會影響性能，建議設置后對訪問此設備做源地址做限制。需要手工檢查。口令口令復雜度要求安全基線項目名稱口令復雜度要求安全基線要求項安全基線編號SBL-SRX-02-02安全基線項說明防火墻管理員帳號口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設置相同的口令。密碼應至少每90天進行更換。檢測操作步驟參考配置操作setsystemauthentication-ordertacplussetsystemauthentication-orderpasswordsetsystemtacplus-serversecret"$9$b224ZTQnCA0JG"setsystemtacplus-serversource-address補充操作說明口令字符不完全符合要求?；€符合性判定依據(jù)判定條件該級別的密碼設置由管理員進行密碼的生成，設備本身無此強制功能。檢測操作此項無法通過配置實現(xiàn)，建議通過管理實現(xiàn)。補充說明無。備注授權遠程維護的設備使用加密協(xié)議安全基線項目名稱遠程維護使用加密協(xié)議安全基線要求項安全基線編號SBL-SRX-02-03-01安全基線項說明對于防火墻遠程管理的配置，必須是基于加密的協(xié)議。如SSH或者WEB

SSL，如果只允許從防火墻內(nèi)部進行管理，應該限定管理IP。檢測操作步驟參考配置操作系統(tǒng)默認支持telnet及SSH兩種管理方式，查看及增加管理IP操作如下：setsystemservicessshprotocol-versionv2setsecurityzonessecurity-zonetestinterfacesge-0/0/0.0host-inbound-trafficsystem-servicesssh補充操作說明基線符合性判定依據(jù)判定條件查看是否啟用SSH連接。檢測操作showinterfacesge-0/0/0.0……Security:Zone:testAllowedhost-inboundtraffic:dhcphttppingsnmpsshtelnet補充說明無。備注日志及配置安全要求日志安全記錄用戶對設備的操作安全基線項目名稱用戶對設備記錄安全基線要求項安全基線編號SBL-SRX-0安全基線項說明配置記錄防火墻管理員操作日志，如管理員登錄，修改管理員組操作，帳號解鎖等信息。配置防火墻將相關的操作日志送往操作日志審計系統(tǒng)或者其他相關的安全管控系統(tǒng)。檢測操作步驟1．參考配置操作setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補充操作說明在啟動日志記錄的情況下，JunOS會記錄相關的日志，無需額外配置?；€符合性判定依據(jù)1.判定條件檢查配置中的logging相關配置2.檢測操作使用showconfigurationsystemsyslog檢查:showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}showlogmessages備注開啟記錄NAT日志*安全基線項目名稱開啟記錄NAT日志安全基線要求項安全基線編號SBL-SRX-03-01-0安全基線項說明開啟記錄NAT日志，記錄轉(zhuǎn)換前后IP地址的對應關系。檢測操作步驟1．參考配置操作I.啟動日志記錄setsystemsyslogfileFW-LOGSuserinfo

setsystemsyslogfileFW-LOGSmatchRT_FLOW

setsystemsyslogfileFW-LOGSarchivesize1m

setsystemsyslogfileFW-LOGSarchivefiles3

setsystemsyslogfileFW-LOGSstructured-databrief

2．補充操作說明無?；€符合性判定依據(jù)1.判定條件檢查配置中的logging相關配置2.檢測操作使用showlogFW-LOGS檢查:fileFW-LOGS{userinfo;matchRT_FLOW;archivesize1mfiles3;structured-data{brief;}}showlogFW-LOGSd備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。開啟記錄VPN日志*安全基線項目名稱開啟記錄VPN日志安全基線要求項安全基線編號SBL-SRX-03-01-0安全基線項說明開啟記錄VPN日志，記錄VPN訪問登陸、退出等信息。檢測操作步驟1．參考配置操作showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}2．補充操作說明在啟動日志記錄的情況下，JunOS會記錄VPN的日志，無需額外配置。基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關配置2.檢測操作使用showconfigurationsystemsyslogshowlogging檢查:showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}showlogmessages備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。配置記錄流量日志安全基線項目名稱配置記錄流量日志安全基線要求項安全基線編號SBL-SRX-03-01-0安全基線項說明配置記錄流量日志，記錄通過防火墻的網(wǎng)絡連接的信息。檢測操作步驟1．參考配置操作PIX防火墻上無流量日志。網(wǎng)絡連接日志通過只需要啟動日志記錄setsystemsyslogfiletraffic-loganyanysetsystemsyslogfiletraffic-logmatch"RT_FLOW_SESSION"2．補充操作說明可以通過showlogtraffic-log來檢查連接情況。基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關配置2.檢測操作使用showlogtraffic-log檢查:showlogtraffic-log備注配置記錄拒絕和丟棄報文規(guī)則的日志安全基線項目名稱配置記錄拒絕和丟棄報文規(guī)則的日志安全基線要求項安全基線編號SBL-SRX-03-01-0安全基線項說明配置防火墻規(guī)則，記錄防火墻拒絕和丟棄報文的日志。檢測操作步驟1．參考配置操作JunOS防火墻自動將在訪問控制列表（access-list）中拒絕（deny）的數(shù)據(jù)包生成syslog信息。只需要啟動日志記錄setsystemsyslogfiletraffic-loganyanysetsystemsyslogfiletraffic-logmatch"RT_FLOW_SESSION"2．補充操作說明基線符合性判定依據(jù)使用showlogtraffic-log檢查:showlogtraffic-log備注告警配置要求配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線項目名稱配置對防火墻本身的攻擊或內(nèi)部錯誤告警安全基線要求項安全基線編號SBL-SRX-03-02安全基線項說明配置告警功能，報告對防火墻本身的攻擊或者防火墻的系統(tǒng)內(nèi)部錯誤。檢測操作步驟1．參考配置操作I.啟動日志記錄setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關配置2.檢測操作使用showlogmessages檢查:showlogmessages備注配置TCP/IP協(xié)議網(wǎng)絡層異常報文攻擊告警安全基線項目名稱配置TCP/IP協(xié)議網(wǎng)絡層異常報文攻擊告警安全基線要求項安全基線編號SBL-SRX-03-02安全基線項說明配置告警功能，報告網(wǎng)絡流量中對TCP/IP協(xié)議網(wǎng)絡層異常報文攻擊的相關告警。檢測操作步驟1．參考配置操作I.啟動日志記錄setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關配置2.檢測操作使用showlogmessages檢查:showlogmessages備注配置TCP/IP協(xié)議應用層異常攻擊告警*安全基線項目名稱置TCP/IP協(xié)議應用層異常攻擊告警安全基線要求項安全基線編號SBL-SRX-03-02安全基線項說明配置告警功能，報告網(wǎng)絡流量中對TCP/IP應用層協(xié)議異常進行攻擊的相關告警。檢測操作步驟1．參考配置操作I.啟動日志記錄setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關配置2.檢測操作使用showlogmessages檢查:showlogmessages備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。安全策略配置要求訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線項目名稱訪問規(guī)則列表最后一條必須是拒絕一切流量安全基線要求項安全基線編號SBL-SRX-03-03-01安全基線項說明防火墻在配置訪問規(guī)則列表時，最后一條必須是拒絕一切流量。檢測操作步驟1．參考配置操作JunOS防火墻策略，沒有開放策略，默認就是拒絕一切流量，只允許已經(jīng)開發(fā)了策略的流量通過。在設置最后一條規(guī)則時，配置規(guī)則：2．補充操作說明不需要做設置基線符合性判定依據(jù)1.判定條件只需要檢查permit的策略2.檢測操作無備注配置訪問規(guī)則應盡可能縮小范圍安全基線項目名稱配置訪問規(guī)則應盡可能縮小范圍安全基線要求項安全基線編號SBL-SRX-03-03-02安全基線項說明在配置訪問規(guī)則時，源地址，目的地址，服務或端口的范圍必須以實際訪問需求為前提，盡可能的縮小范圍。禁止源到目的全部允許規(guī)則。禁止目的地址及服務全允許規(guī)則，禁止全服務訪問規(guī)則。檢測操作步驟1．參考配置操作定義源地址，定義目的地址，定義源端口號，定義目的端口號setsecurityzonessecurity-zoneuntrustaddress-bookaddress/32setsecurityzonessecurity-zoneuntrustaddress-bookaddress/32setapplicationsapplicationtcp_80protocoltcpsetapplicationsapplicationtcp_80source-port0-65535destination-port80-80setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchsource-addresssetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchdestination-addresssetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchapplicationtcp_80setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestthenpermit2．補充操作說明基線符合性判定依據(jù)1.判定條件檢查配置2.檢測操作使用命令showsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytest備注配置NAT地址轉(zhuǎn)換*安全基線項目名稱配置NAT地址轉(zhuǎn)換安全基線要求項安全基線編號SBL-SRX-03-03-0安全基線項說明配置NAT地址轉(zhuǎn)換，對互聯(lián)網(wǎng)隱藏內(nèi)網(wǎng)主機的實際地址。檢測操作步驟1．參考配置操作I.配置防火墻使用靜態(tài)地址轉(zhuǎn)換setsecuritynatstaticrule-setMIPfromzoneuntrustsetsecuritynatstaticrule-setMIPrulenumbermatchdestination-addressdestination-ip_addresssetsecuritynatstaticrule-setMIPrulenumberthenstatic-natprefixsource-ip_address2．補充操作說明基線符合性判定依據(jù)1.判定條件配置中有nat或者static的內(nèi)容2.檢測操作使用setsecuritynatstaticrule-setMIPfromzoneuntrustsetsecuritynatstaticrule-setMIPrule1matchdestination-address/32setsecuritynatstaticrule-setMIPrule1thenstatic-natprefix/32showsecuritynatstaticrule1備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。隱藏防火墻字符管理界面的bannner信息安全基線項目名稱隱藏防火墻字符管理界面的bannner信息安全基線要求項安全基線編號SBL-SRX-03-03-0安全基線項說明隱藏防火墻字符管理界面的bannner信息。檢測操作步驟1．參考配置操作I.配置登陸banner信息editsetsystemloginmessage2．補充操作說明基線符合性判定依據(jù)1.判定條件配置中有banner的內(nèi)容2.檢測操作使用showrunning-configbanner[exec|login|motd]，如下例：setsystemloginmessage"WarningfromGMCC!allofyourdonewillberecorded!Pleasedisconnectimmediatelyifyouarenotanauthoriseduser!"showconfigurationsystemloginmessagemessage"WarningfromGMCC!allofyourdonewillberecorded!Pleasedisconnectimmediatelyifyouarenotanauthoriseduser!";備注關閉非必要服務安全基線項目名稱關閉非必要服務安全基線要求項安全基線編號SBL-SRX-03-03-0安全基線項說明防火墻設備必須關閉非必要服務。檢測操作步驟1．參考配置操作關閉HTTP服務器editdeletesystemservicesweb-management2．補充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中是否關閉對應服務2.檢測操作使用showconfigurationsystemservices查看服務開發(fā)狀態(tài)備注攻擊防護配置要求拒絕常見漏洞所對應端口或者服務的掃描安全基線項目名稱拒絕常見漏洞所對應端口或者服務的訪問安全基線要求項安全基線編號SBL-SRX-03-04-01安全基線項說明配置防火墻的screen功能，拒絕對防火墻保護的系統(tǒng)中常見漏洞所對應端口或者服務的訪問。檢測操作步驟1．參考配置操作setsecurityscreenids-optionuntrust-screenlimit-sessionsource-ip-based1000setsecurityscreenids-optionuntrust-screenlimit-sessiondestination-ip-based60000setsecurityscreenids-optionuntust-screenicmpip-sweepsetsecurityscreenids-optionuntust-screenicmpfloodsetsecurityscreenids-optionuntust-screenicmpping-deathsetsecurityscreenids-optionuntust-screeniptear-dropsetsecurityscreenids-optionuntust-screentcptcp-no-flagsetsecurityscreenids-optionuntust-screentcpsyn-fragsetsecurityscreenids-optionuntust-screentcpport-scansetsecurityscreenids-optionuntust-screentcpsyn-floodsetsecurityscreenids-optionuntust-screentcplandsetsecurityscreenids-optionuntust-screentcpwinnukesetsecurityscreenids-optionuntust-screenudpfloodsetsecurityzonessecurity-zoneuntrustscreenuntrust-screen2．補充操作說明應根據(jù)實際情況調(diào)整?；€符合性判定依據(jù)1.判定條件檢查配置文件2.檢測操作使用命令showsecurityscreenstatisticszoneuntrust備注拒絕常見漏洞所對應端口或者服務的訪問安全基線項目名稱拒絕常見漏洞所對應端口或者服務的訪問安全基線編號SBL-SRX-03-04-02安全基線項說明拒絕常見漏洞所對應端口或者服務的訪問。檢測操作步驟1．參考配置操作配置防火墻策略，屏蔽一些端口。setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchsource-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchdestination-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchapplicationtcp_1521setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchapplicationtcp_1433setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshthenreject2．補充操作說明基線符合性判定依據(jù)1.判定條件檢查配置中是否有verifyreverse-path2.檢測操作使用命令showsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-ssh備注

IP協(xié)議安全要求功能配置使用SNMPV2c或者V3以上的版本對防火墻遠程管理安全基線項目名稱使用SNMPV2C或者V3以上的版本對防火墻遠程管理安全基線要求項安全基線編號SBL-SRX-04-01-01安全基線項說明使用SNMPV3以上的版本對防火墻做遠程管理。去除SNMP默認的共同體名(CommunityName)和用戶名。并且不同的用戶名和共同體明對應不同的權限（只讀或者讀寫）。檢測操作步驟1．參考配置操作配置snmp遠程管理的版本setsnmpnametest-junossetsnmp