Juniper防火墙安全配置基线

Juniper防火墙安全配置基线

备注：

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录

第1章概述 (1)

1.1目的 (1)

1.2适用范围 (1)

1.3适用版本 (1)

1.4实施 (1)

1.5例外条款 (1)

第2章帐号管理、认证授权安全要求 (2)

2.1帐号管理 (2)

2.1.1用户帐号分配* (2)

2.1.2删除无关的帐号* (3)

2.1.3帐户登录超时* (3)

2.1.4帐户密码错误自动锁定* (4)

2.2口令 (5)

2.2.1口令复杂度要求 (5)

2.3授权 (6)

2.3.1远程维护的设备使用加密协议 (6)

第3章日志及配置安全要求 (7)

3.1日志安全 (7)

3.1.1记录用户对设备的操作 (7)

3.1.2开启记录NAT日志* (7)

3.1.3开启记录VPN日志* (8)

3.1.4配置记录流量日志 (9)

3.1.5配置记录拒绝和丢弃报文规则的日志 (10)

3.2告警配置要求 (10)

3.2.1配置对防火墙本身的攻击或内部错误告警 (10)

3.2.2配置TCP/IP协议网络层异常报文攻击告警 (11)

3.2.3配置TCP/IP协议应用层异常攻击告警* (12)

3.3安全策略配置要求 (12)

3.3.1访问规则列表最后一条必须是拒绝一切流量 (12)

3.3.2配置访问规则应尽可能缩小范围 (13)

3.3.3配置NAT地址转换* (14)

3.3.4隐藏防火墙字符管理界面的bannner信息 (14)

3.3.5关闭非必要服务 (15)

3.4攻击防护配置要求 (16)

3.4.1拒绝常见漏洞所对应端口或者服务的扫描 (16)

3.4.2拒绝常见漏洞所对应端口或者服务的访问 (16)

第4章IP协议安全要求 (18)

4.1功能配置 (18)

4.1.1使用SNMP V2c或者V3以上的版本对防火墙远程管理 (18)

第5章其他安全要求 (19)

5.1其他安全配置 (19)

5.1.1外网口地址关闭对ping包的回应* (19)

5.1.2对防火墙的管理地址做源地址限制 (20)

第6章评审与修订 (21)

第1章概述

1.1 目的

本文档旨在指导系统管理人员进行Juniper防火墙的安全配置。

1.2 适用范围

本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本

Juniper防火墙SRX系列防火墙。

1.4 实施

1.5 例外条款

第2章帐号管理、认证授权安全要求2.1 帐号管理

2.1.1用户帐号分配*

2.1.2删除无关的帐号*

2.1.3帐户登录超时*

2.1.4帐户密码错误自动锁定*

2.2 口令

2.2.1口令复杂度要求

2.3 授权

2.3.1远程维护的设备使用加密协议

第3章日志及配置安全要求3.1 日志安全

3.1.1记录用户对设备的操作

3.1.2开启记录NAT日志*

3.1.3开启记录VPN日志*

3.1.4配置记录流量日志

3.1.5配置记录拒绝和丢弃报文规则的日志

3.2 告警配置要求

3.2.1配置对防火墙本身的攻击或内部错误告警

3.2.2配置TCP/IP协议网络层异常报文攻击告警

3.2.3配置TCP/IP协议应用层异常攻击告警*

3.3 安全策略配置要求

3.3.1访问规则列表最后一条必须是拒绝一切流量

3.3.2配置访问规则应尽可能缩小范围

3.3.3配置NAT地址转换*

3.3.4隐藏防火墙字符管理界面的bannner信息

3.3.5关闭非必要服务

3.4 攻击防护配置要求

3.4.1拒绝常见漏洞所对应端口或者服务的扫描

3.4.2拒绝常见漏洞所对应端口或者服务的访问

第4章IP协议安全要求

4.1 功能配置

4.1.1使用SNMP V2c或者V3以上的版本对防火墙远程管理

第5章其他安全要求

5.1 其他安全配置

5.1.1外网口地址关闭对ping包的回应*

5.1.2对防火墙的管理地址做源地址限制

第6章评审与修订