Juniper防火墙安全配置基线
Juniper防火墙安全配置基线
中国移动通信有限公司 管理信息系统部
2012年 04月
中国移动集团公司 第 1 页 共 25 页
Juniper防火墙安全配置基线
版本 V2.0 创建 版本控制信息 更新日期 2012年4月 更新人 审批人 备注:
1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
中国移动集团公司 第 2 页 共 25 页
Juniper防火墙安全配置基线
目 录
第1章 概述 ......................................................................................................................................... 1 1.1 1.2 1.3 1.4 1.5
目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1 实施 ......................................................................................................................................... 1 例外条款 ................................................................................................................................. 1
第2章 帐号管理、认证授权安全要求 ............................................................................................. 2 2.1
帐号管理 ................................................................................................................................. 2
用户帐号分配* ............................................................................................................... 2
2.1.2 删除无关的帐号* ........................................................................................................... 3 2.1.3 帐户登录超时* ............................................................................................................... 3 2.1.4 帐户密码错误自动锁定* ............................................................................................... 4 2.2 口令 ......................................................................................................................................... 5 2.2.1 口令复杂度要求 ............................................................................................................. 5 2.3 授权 ......................................................................................................................................... 6 2.3.1 远程维护的设备使用加密协议 ..................................................................................... 6
第3章 日志及配置安全要求 ............................................................................................................. 7 3.1
日志安全 ................................................................................................................................. 7
2.1.1
记录用户对设备的操作 ................................................................................................. 7 3.1.2 开启记录NAT日志* ...................................................................................................... 7 3.1.3 开启记录VPN日志*...................................................................................................... 8 3.1.4 配置记录流量日志 ......................................................................................................... 9 3.1.5 配置记录拒绝和丢弃报文规则的日志 ....................................................................... 10 3.2 告警配置要求 ....................................................................................................................... 10 3.2.1 配置对防火墙本身的攻击或内部错误告警 ............................................................... 10 3.2.2 配置TCP/IP协议网络层异常报文攻击告警 ............................................................. 11 3.2.3 配置TCP/IP协议应用层异常攻击告警* ................................................................... 12 3.3 安全策略配置要求 ............................................................................................................... 12 3.3.1 访问规则列表最后一条必须是拒绝一切流量 ........................................................... 12 3.3.2 配置访问规则应尽可能缩小范围 ............................................................................... 13 3.3.3 配置NAT地址转换* .................................................................................................... 14 3.3.4 隐藏防火墙字符管理界面的bannner信息 ................................................................ 14 3.3.5 关闭非必要服务 ........................................................................................................... 15 3.4 攻击防护配置要求 ............................................................................................................... 16 3.4.1 拒绝常见漏洞所对应端口或者服务的扫描 ............................................................... 16 3.4.2 拒绝常见漏洞所对应端口或者服务的访问 ............................................................... 16
第4章 4.1
IP协议安全要求 .............................................................................................................. 18 功能配置 ............................................................................................................................... 18
3.1.1
4.1.1 使用SNMP V2c或者V3以上的版本对防火墙远程管理 .......................................... 18
第 3 页 共 25 页
中国移动集团公司
Juniper防火墙安全配置基线
第5章 其他安全要求 ....................................................................................................................... 19 5.1
其他安全配置 ....................................................................................................................... 19
5.1.1 5.1.2 外网口地址关闭对ping包的回应* ............................................................................ 19 对防火墙的管理地址做源地址限制 ........................................................................... 20
第6章 评审与修订 ........................................................................................................................... 21
中国移动集团公司 第 4 页 共 25 页
Juniper防火墙安全配置基线
第1章 概述
1.1 目的
本文档规定了中国移动管理信息系统部所维护管理的Juniper防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Juniper防火墙的安全配置。
1.2 适用范围
本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的Juniper防火墙。
1.3 适用版本
Juniper防火墙 SRX系列防火墙。
1.4 实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5 例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
中国移动集团公司 第 1 页 共 25 页