Juniper防火墙安全配置基线
第2章 帐号管理、认证授权安全要求
2.1 帐号管理 2.1.1 用户帐号分配*
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 用户帐号分配安全基线要求项 SBL-SRX-02-01-01 不同等级管理员分配不同帐号,避免帐号混用。 1. 参考配置操作 进入配置模式 Edit warning: Clustering enabled; using private edit warning: uncommitted changes will be discarded on exit Entering configuration mode set system login user user1 class read-only authentication plain-text-password New password: Retype new password: set system login user user2 class read-only authentication plain-text-password New password: Retype new password: commit 2. 补充操作说明 前两个用户为建立的帐号,帐号的class 有operator、read-only和super-user。 基线符合性判定依据 1. 判定条件 用配置中没有的用户名去登录,结果是不能登录。 2. 检测操作 # show configuration | display set | match user1 set system login user user1 class read-only set system login user user1 authentication encrypted-password \# show configuration | display set | match user2 set system login user user2 class read-only 中国移动集团公司
第 2 页 共 25 页
Juniper防火墙安全配置基线
set system login user user2 authentication encrypted-password \ 3. 补充说明 无。 备注 防火墙系统本身就携带三种不同权限的帐号,需要手工检测。 2.1.2 删除无关的帐号*
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 无关的帐号安全基线要求项 SBL-SRX-02-01-02 应删除或锁定与设备运行、维护等工作无关的帐号。 1. 参考配置操作 edit delete system login user user1 2. 补充操作说明 基线符合性判定依据 1. 判定条件 配置中用户信息被删除。 2. 检测操作 >show configuration | display set | match user1 > 3. 补充说明 无。 备注 建议手工抽查系统,无关账户更多属于管理层面,需要人为确认。 2.1.3 帐户登录超时*
安全基线项目名称 帐户登录超时安全基线要求项 中国移动集团公司 第 3 页 共 25 页
Juniper防火墙安全配置基线
安全基线编号 安全基线项说明 检测操作步骤 SBL- SRX -02-01-03 配置定时帐户自动登出,空闲5分钟自动登出。登出后用户需再次登录才能进入系统。 1、 参考配置操作 设置超时时间为5分钟 2、补充说明 无。 基线符合性判定依据 1. 判定条件 在超出设定时间后,用户自动登出设备。 2. 参考检测操作 3. 补充说明 无。 备注 需要手工检查。 2.1.4 帐户密码错误自动锁定*
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 帐户密码错误自动锁定安全基线要求项 SBL-SRX-02-01-04 在10次尝试登录失败后锁定帐户,不允许登录。 解锁时间设置为300秒 1、 参考配置操作 设置尝试失败锁定次数为10次 2、补充说明 无。 基线符合性判定依据 1. 判定条件 超出重试次数后帐号锁定,不允许登录,解锁时间到达后可以登录。 中国移动集团公司
第 4 页 共 25 页
Juniper防火墙安全配置基线
2. 参考检测操作 3. 补充说明 无。 备注 注意!此项设置会影响性能,建议设置后对访问此设备做源地址做限制。 需要手工检查。 2.2 口令
2.2.1 口令复杂度要求
安全基线项目名称 安全基线编号 安全基线项说明 口令复杂度要求安全基线要求项 SBL-SRX -02-02-01 防火墙管理员帐号口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。 检测操作步骤 1. 参考配置操作 set system authentication-order tacplus set system authentication-order password set system tacplus-server 1.1.1.1 secret \set system tacplus-server 1.1.1.1 source-address 2.2.2.2 2. 补充操作说明 口令字符不完全符合要求。 基线符合性判定依据 1. 判定条件 该级别的密码设置由管理员进行密码的生成,设备本身无此强制功能。 2. 检测操作 此项无法通过配置实现,建议通过管理实现。 3. 补充说明 无。 中国移动集团公司 第 5 页 共 25 页
Juniper防火墙安全配置基线
备注
2.3 授权
2.3.1 远程维护的设备使用加密协议
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 远程维护使用加密协议安全基线要求项 SBL-SRX-02-03-01 对于防火墙远程管理的配置,必须是基于加密的协议。如SSH或者WEB SSL,如果只允许从防火墙内部进行管理,应该限定管理IP。 1. 参考配置操作 系统默认支持telnet及SSH两种管理方式,查看及增加管理IP操作如下: set system services ssh protocol-version v2 set security zones security-zone test interfaces ge-0/0/0.0 host-inbound-traffic system-services ssh 2. 补充操作说明 基线符合性判定依据 1. 判定条件 查看是否启用SSH连接。 2. 检测操作 show interfaces ge-0/0/0.0 …… Security: Zone: test Allowed host-inbound traffic : dhcp http ping snmp ssh telnet 3. 补充说明 无。 备注 中国移动集团公司 第 6 页 共 25 页