Juniper防火墙安全配置基线
第3章 日志及配置安全要求
3.1 日志安全
3.1.1 记录用户对设备的操作
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 用户对设备记录安全基线要求项 SBL-SRX-03-01-01 配置记录防火墙管理员操作日志,如管理员登录,修改管理员组操作,帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。 1.参考配置操作 set system syslog file messages any notice set system syslog file messages authorization info set system syslog file messages archive size 10m 2.补充操作说明 在启动日志记录的情况下,JunOS 会记录相关的日志,无需额外配置。 基线符合性判定依据 1.判定条件 检查配置中的logging相关配置 2.检测操作 使用show configuration system syslog检查: show configuration system syslog file messages { any notice; authorization info; archive size 10m; } show log messages 备注 3.1.2 开启记录NAT日志*
安全基线项目名称 开启记录NAT日志安全基线要求项 中国移动集团公司 第 7 页 共 25 页
Juniper防火墙安全配置基线
安全基线编号 安全基线项说明 检测操作步骤 SBL-SRX-03-01-02 开启记录NAT日志,记录转换前后IP地址的对应关系。 1.参考配置操作 I.启动日志记录 set system syslog file FW-LOGS user info set system syslog file FW-LOGS match RT_FLOW set system syslog file FW-LOGS archive size 1m set system syslog file FW-LOGS archive files 3 set system syslog file FW-LOGS structured-data brief 2.补充操作说明 无。 基线符合性判定依据 1.判定条件 检查配置中的logging相关配置 2.检测操作 使用show log FW-LOGS检查: file FW-LOGS { user info; match RT_FLOW; archive size 1m files 3; structured-data { brief; } } show log FW-LOGS d 备注 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。 3.1.3 开启记录VPN日志*
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步开启记录VPN日志安全基线要求项 SBL-SRX-03-01-03 开启记录VPN日志,记录VPN访问登陆、退出等信息。 1.参考配置操作
第 8 页 共 25 页
中国移动集团公司
Juniper防火墙安全配置基线
骤 show configuration system syslog file messages { any notice; authorization info; archive size 10m; } 2.补充操作说明 在启动日志记录的情况下,JunOS会记录VPN的日志,无需额外配置。 基线符合性判定依据 1.判定条件 检查配置中的logging相关配置 2.检测操作 使用show configuration system syslogshow logging检查: show configuration system syslog file messages { any notice; authorization info; archive size 10m; } show log messages 备注 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。 3.1.4 配置记录流量日志
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 配置记录流量日志安全基线要求项 SBL-SRX-03-01-04 配置记录流量日志,记录通过防火墙的网络连接的信息。 1.参考配置操作 PIX 防火墙上无流量日志。 网络连接日志通过只需要启动日志记录 set system syslog file traffic-log any any set system syslog file traffic-log match \2.补充操作说明 可以通过 show log traffic-log来检查连接情况。 基线符合性判定依据 1.判定条件 检查配置中的logging相关配置 2.检测操作 中国移动集团公司
第 9 页 共 25 页
Juniper防火墙安全配置基线
使用show log traffic-log 检查: show log traffic-log 备注 3.1.5 配置记录拒绝和丢弃报文规则的日志
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 配置记录拒绝和丢弃报文规则的日志安全基线要求项 SBL-SRX-03-01-05 配置防火墙规则,记录防火墙拒绝和丢弃报文的日志。 1.参考配置操作 JunOS防火墙自动将在访问控制列表(access-list)中拒绝(deny)的数据包生成syslog信息。 只需要启动日志记录 set system syslog file traffic-log any any set system syslog file traffic-log match \2.补充操作说明 使用show log traffic-log检查: show log traffic-log 基线符合性判定依据 备注 3.2 告警配置要求
3.2.1 配置对防火墙本身的攻击或内部错误告警
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 配置对防火墙本身的攻击或内部错误告警安全基线要求项 SBL-SRX-03-02-01 配置告警功能,报告对防火墙本身的攻击或者防火墙的系统内部错误。 1.参考配置操作 I.启动日志记录 set system syslog file messages any notice set system syslog file messages authorization info
第 10 页 共 25 页
中国移动集团公司
Juniper防火墙安全配置基线
set system syslog file messages archive size 10m 2.补充操作说明 基线符合性判定依据 1.判定条件 检查配置中的logging相关配置 2.检测操作 使用show log messages检查: show log messages 备注 3.2.2 配置TCP/IP协议网络层异常报文攻击告警
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 配置TCP/IP协议网络层异常报文攻击告警安全基线要求项 SBL-SRX-03-02-02 配置告警功能,报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。 1.参考配置操作 I.启动日志记录 set system syslog file messages any notice set system syslog file messages authorization info set system syslog file messages archive size 10m 2.补充操作说明 基线符合性判定依据 1.判定条件 检查配置中的logging相关配置 2.检测操作 使用show log messages检查: show log messages 备注 中国移动集团公司 第 11 页 共 25 页