Juniper防火墙安全配置基线
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Juniper防火墙安全配置基线
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录
第1章概述 (1)
1.1目的 (1)
1.2适用范围 (1)
1.3适用版本 (1)
1.4实施 (1)
1.5例外条款 (1)
第2章帐号管理、认证授权安全要求 (2)
2.1帐号管理 (2)
2.1.1用户帐号分配* (2)
2.1.2删除无关的帐号* (3)
2.1.3帐户登录超时* (3)
2.1.4帐户密码错误自动锁定* (4)
2.2口令 (5)
2.2.1口令复杂度要求 (5)
2.3授权 (6)
2.3.1远程维护的设备使用加密协议 (6)
第3章日志及配置安全要求 (7)
3.1日志安全 (7)
3.1.1记录用户对设备的操作 (7)
3.1.2开启记录NAT日志* (7)
3.1.3开启记录VPN日志* (8)
3.1.4配置记录流量日志 (9)
3.1.5配置记录拒绝和丢弃报文规则的日志 (10)
3.2告警配置要求 (10)
3.2.1配置对防火墙本身的攻击或内部错误告警 (10)
3.2.2配置TCP/IP协议网络层异常报文攻击告警 (11)
3.2.3配置TCP/IP协议应用层异常攻击告警* (12)
3.3安全策略配置要求 (12)
3.3.1访问规则列表最后一条必须是拒绝一切流量 (12)
3.3.2配置访问规则应尽可能缩小范围 (13)
3.3.3配置NAT地址转换* (14)
3.3.4隐藏防火墙字符管理界面的bannner信息 (14)
3.3.5关闭非必要服务 (15)
3.4攻击防护配置要求 (16)
3.4.1拒绝常见漏洞所对应端口或者服务的扫描 (16)
3.4.2拒绝常见漏洞所对应端口或者服务的访问 (16)
第4章IP协议安全要求 (18)
4.1功能配置 (18)
4.1.1使用SNMP V2c或者V3以上的版本对防火墙远程管理 (18)
第5章其他安全要求 (19)
5.1其他安全配置 (19)
5.1.1外网口地址关闭对ping包的回应* (19)
5.1.2对防火墙的管理地址做源地址限制 (20)
第6章评审与修订 (21)
第1章概述
1.1 目的
本文档旨在指导系统管理人员进行Juniper防火墙的安全配置。
1.2 适用范围
本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3 适用版本
Juniper防火墙SRX系列防火墙。
1.4 实施
1.5 例外条款
第2章帐号管理、认证授权安全要求2.1 帐号管理
2.1.1用户帐号分配*
2.1.2删除无关的帐号*
2.1.3帐户登录超时*
2.1.4帐户密码错误自动锁定*
2.2 口令
2.2.1口令复杂度要求
2.3 授权
2.3.1远程维护的设备使用加密协议
第3章日志及配置安全要求3.1 日志安全
3.1.1记录用户对设备的操作
3.1.2开启记录NAT日志*
3.1.3开启记录VPN日志*
3.1.4配置记录流量日志
3.1.5配置记录拒绝和丢弃报文规则的日志
3.2 告警配置要求
3.2.1配置对防火墙本身的攻击或内部错误告警
3.2.2配置TCP/IP协议网络层异常报文攻击告警
3.2.3配置TCP/IP协议应用层异常攻击告警*
3.3 安全策略配置要求
3.3.1访问规则列表最后一条必须是拒绝一切流量
3.3.2配置访问规则应尽可能缩小范围
3.3.3配置NAT地址转换*
3.3.4隐藏防火墙字符管理界面的bannner信息
3.3.5关闭非必要服务
3.4 攻击防护配置要求
3.4.1拒绝常见漏洞所对应端口或者服务的扫描
3.4.2拒绝常见漏洞所对应端口或者服务的访问
第4章IP协议安全要求
4.1 功能配置
4.1.1使用SNMP V2c或者V3以上的版本对防火墙远程管理
第5章其他安全要求
5.1 其他安全配置
5.1.1外网口地址关闭对ping包的回应*
5.1.2对防火墙的管理地址做源地址限制
第6章评审与修订