Juniper防火墙安全配置基线
安全基线编号 安全基线项说明 检测操作步骤 SBL-SRX-03-04-02 拒绝常见漏洞所对应端口或者服务的访问。 1.参考配置操作 配置防火墙策略,屏蔽一些端口。 set security policies from-zone untrust to-zone trust policy deny_telnet-ssh match source-address any set security policies from-zone untrust to-zone trust policy deny_telnet-ssh match destination-address any set security policies from-zone untrust to-zone trust policy deny_telnet-ssh match application tcp_1521 set security policies from-zone untrust to-zone trust policy deny_telnet-ssh match application tcp_1433 set security policies from-zone untrust to-zone trust policy deny_telnet-ssh then reject2.补充操作说明 基线符合性判定依据 1.判定条件 检查配置中是否有 verify reverse-path 2.检测操作 使用命令show security policies from-zone untrust to-zone trust policy deny_telnet-ssh 备注 中国移动集团公司 第 17 页 共 25 页
Juniper防火墙安全配置基线
第4章 IP协议安全要求
4.1 功能配置
4.1.1 使用SNMP V2c或者V3以上的版本对防火墙远程管理
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 使用SNMPV2C或者 V3以上的版本对防火墙远程管理安全基线要求项 SBL-SRX-04-01-01 使用SNMP V3以上的版本对防火墙做远程管理。去除SNMP默认的共同体名(Community Name)和用户名。并且不同的用户名和共同体明对应不同的权限(只读或者读写)。 1.参考配置操作 配置 snmp远程管理的版本 set snmp name test-junos set snmp community test authorization read-only set snmp community test clients 1.1.1.1/32 set snmp community test clients 1.1.1.2/32 set snmp v3 snmp-community test tag test set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services snmp 2.补充操作说明 基线符合性判定依据 1.判定条件 检查配置中snmp相关内容 2.检测操作 使用 show configuration snmp 检查 备注 中国移动集团公司 第 18 页 共 25 页
Juniper防火墙安全配置基线
第5章 其他安全要求
5.1 其他安全配置
5.1.1 外网口地址关闭对ping包的回应*
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 外网口地址关闭对ping包的回应安全基线要求项 SBL-SRX-05-01-01 对于外网口地址,关闭对ping包的回应。建议通过VPN隧道获得内网地址,从内网口进行远程管理。如网管系统需要开放,可不考虑。 1.参考配置操作 外网口关闭ping包回应。 delete security zones security-zone host-inbound-traffic system-services ping 2.补充操作说明 untrust interfaces ge-0/0/0.0 基线符合性判定依据 1.判定条件 检查配置文件中是否有ICMP描述 2.检测操作 使用一下命令进行检查: show configuration security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic { system-services { ping; snmp; ssh; telnet; http; dhcp; bootp; } } 中国移动集团公司
第 19 页 共 25 页
Juniper防火墙安全配置基线
备注 根据具体环境自定义配置 5.1.2 对防火墙的管理地址做源地址限制
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 对防火墙的管理地址做源地址限制安全基线要求项 SBL-SRX-05-01-02 对防火墙的管理地址做源地址限制。可以使用防火墙自身的限定功能,也可以在防火墙管理口的接入设备上设置ACL 1.参考配置操作 限制200.0.0/24和100.0.0.0/24访问 set system login deny-sources address 200.0.0.0/24 set system login deny-sources address 100.0.0.0/24 prompt system login deny-sources address prompt system 2.补充操作说明 基线符合性判定依据 1.判定条件 检查配置中telnet和ssh相关内容 2.检测操作 使用show configuration | display set | match prompt 进行查看设置 备注 中国移动集团公司 第 20 页 共 25 页
Juniper防火墙安全配置基线
第6章 评审与修订
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。
中国移动集团公司 第 21 页 共 25 页