文库文档
美文大全
工作总结
工作报告
工作计划
汇报体会
策划方案
材料资料
作文大全
论文大全
求职/简历
礼仪规范
文秘工作
公文资料
道德思想
党团/申请书
演讲稿
发言致辞
企事业工作
合同大全
主页 > 文库 > 教育文库 >

Juniper防火墙安全配置基线(4)

2019-07-30 13:40

Juniper防火墙安全配置基线

3.2.3 配置TCP/IP协议应用层异常攻击告警*

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 置TCP/IP协议应用层异常攻击告警安全基线要求项 SBL-SRX-03-02-03 配置告警功能,报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警。 1.参考配置操作 I.启动日志记录 set system syslog file messages any notice set system syslog file messages authorization info set system syslog file messages archive size 10m 2.补充操作说明 基线符合性判定依据 1.判定条件 检查配置中的logging相关配置 2.检测操作 使用show log messages检查: show log messages 备注 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。 3.3 安全策略配置要求

3.3.1 访问规则列表最后一条必须是拒绝一切流量

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 访问规则列表最后一条必须是拒绝一切流量安全基线要求项 SBL-SRX-03-03-01 防火墙在配置访问规则列表时,最后一条必须是拒绝一切流量。 1.参考配置操作 JunOS防火墙策略,没有开放策略,默认就是拒绝一切流量,只允许已经开发了策略的流量通过。 在设置最后一条规则时,配置规则: 2.补充操作说明 不需要做设置 基线符合性判定依据 1.判定条件 中国移动集团公司 第 12 页 共 25 页

Juniper防火墙安全配置基线

只需要检查permit的策略2.检测操作 无 备注 3.3.2 配置访问规则应尽可能缩小范围

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 配置访问规则应尽可能缩小范围安全基线要求项 SBL-SRX-03-03-02 在配置访问规则时,源地址,目的地址,服务或端口的范围必须以实际访问需求为前提,尽可能的缩小范围。禁止源到目的全部允许规则。禁止目的地址及服务全允许规则,禁止全服务访问规则。 1.参考配置操作 定义源地址,定义目的地址,定义源端口号,定义目的端口号 set security zones security-zone untrust address-book address 1.1.1.1 1.1.1.1/32 set security zones security-zone untrust address-book address 2.2.2.2 2.2.2.2/32 set applications application tcp_80 protocol tcp set applications application tcp_80 source-port 0-65535 destination-port 80-80 set security policies from-zone untrust to-zone trust policy test match source-address 1.1.1.1 set security policies from-zone untrust to-zone trust policy test match destination-address 2.2.2.2 set security policies from-zone untrust to-zone trust policy test match application tcp_80 set security policies from-zone untrust to-zone trust policy test then permit 2.补充操作说明 基线符合性判定依据 1.判定条件 检查配置 2.检测操作 使用命令show security policies from-zone untrust to-zone trust policy test 备注 中国移动集团公司 第 13 页 共 25 页

Juniper防火墙安全配置基线

3.3.3 配置NAT地址转换*

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 配置NAT地址转换安全基线要求项 SBL-SRX-03-03-03 配置NAT地址转换,对互联网隐藏内网主机的实际地址。 1.参考配置操作 I.配置防火墙使用静态地址转换 set security nat static rule-set MIP from zone untrust set security nat static rule-set MIP rule number match destination-address destination-ip_address set security nat static rule-set MIP rule number then static-nat prefix source-ip_address 2.补充操作说明 基线符合性判定依据 1.判定条件 配置中有nat或者static的内容 2.检测操作 使用set security nat static rule-set MIP from zone untrust set security nat static rule-set MIP rule 1 match destination-address 1.1.1.1/32 set security nat static rule-set MIP rule 1 then static-nat prefix 10.1.1.1/32 show security nat static rule 1 备注 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。 3.3.4 隐藏防火墙字符管理界面的bannner信息

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步隐藏防火墙字符管理界面的bannner信息安全基线要求项 SBL-SRX-03-03-04 隐藏防火墙字符管理界面的bannner信息。 1.参考配置操作 中国移动集团公司 第 14 页 共 25 页

Juniper防火墙安全配置基线

骤 I.配置登陆banner信息 edit set system login message 2.补充操作说明 基线符合性判定依据 1.判定条件 配置中有 banner 的内容 2.检测操作 使用show running-config banner [exec | login | motd],如下例: set system login message \from GMCC! all of your done will be recorded! Please disconnect immediately if you are not an authorised user!\show configuration system login message message \from GMCC! all of your done will be recorded! Please disconnect immediately if you are not an authorised user!\ 备注 3.3.5 关闭非必要服务

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 关闭非必要服务安全基线要求项 SBL-SRX-03-03-05 防火墙设备必须关闭非必要服务。 1.参考配置操作 关闭HTTP服务器 edit delete system services web-management 2.补充操作说明 基线符合性判定依据 1.判定条件 检查配置中是否关闭对应服务 2.检测操作 使用show configuration system services 查看服务开发状态 备注 中国移动集团公司 第 15 页 共 25 页

Juniper防火墙安全配置基线

3.4 攻击防护配置要求

3.4.1 拒绝常见漏洞所对应端口或者服务的扫描

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 拒绝常见漏洞所对应端口或者服务的访问安全基线要求项 SBL-SRX-03-04-01 配置防火墙的screen功能,拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。 1.参考配置操作 set security screen ids-option untrust-screen limit-session source-ip-based 1000 set security screen ids-option untrust-screen limit-session destination-ip-based 60000 set security screen ids-option untust-screen icmp ip-sweep set security screen ids-option untust-screen icmp flood set security screen ids-option untust-screen icmp ping-death set security screen ids-option untust-screen ip tear-drop set security screen ids-option untust-screen tcp tcp-no-flag set security screen ids-option untust-screen tcp syn-frag set security screen ids-option untust-screen tcp port-scan set security screen ids-option untust-screen tcp syn-flood set security screen ids-option untust-screen tcp land set security screen ids-option untust-screen tcp winnuke set security screen ids-option untust-screen udp flood set security zones security-zone untrust screen untrust-screen 2.补充操作说明 应根据实际情况调整。 基线符合性判定依据 1.判定条件 检查配置文件 2.检测操作 使用命令show security screen statistics zone untrust 备注 3.4.2 拒绝常见漏洞所对应端口或者服务的访问

安全基线项目名称 拒绝常见漏洞所对应端口或者服务的访问 中国移动集团公司 第 16 页 共 25 页


  • 共5页:
  • 上一页
  • 1
  • 2
  • 3
  • 4
  • 5
  • 下一页
    • Juniper防火墙安全配置基线(4).doc 将本文的Word文档下载到电脑 下载失败或者文档不完整,请联系客服人员解决!
    下载这篇word文档

    下一篇:成人文化技术学校培训工作总结

    相关阅读
    本类排行
    × 注册会员免费下载(下载后可以自由复制和排版)

    马上注册会员

    注:下载文档有可能“只有目录或者内容不全”等情况,请下载之前注意辨别,如果您已付费且无法下载或内容有问题,请联系我们协助你处理。
    微信: QQ: