Juniper防火墻安全配置基線要點(diǎn)

Juniper防火墻安全配置基線

版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。

目錄第1章 概述 11.1 目的 11.2 適用范圍 11.3 適用版本 11.4 實(shí)施 11.5 例外條款 1第2章 帳號(hào)管理、認(rèn)證授權(quán)安全要求 22.1 帳號(hào)管理 22.1.1 用戶帳號(hào)分配* 22.1.2 刪除無(wú)關(guān)的帳號(hào)* 32.1.3 帳戶登錄超時(shí)* 32.1.4 帳戶密碼錯(cuò)誤自動(dòng)鎖定* 42.2 口令 52.2.1 口令復(fù)雜度要求 52.3 授權(quán) 62.3.1 遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議 6第3章 日志及配置安全要求 73.1 日志安全 73.1.1 記錄用戶對(duì)設(shè)備的操作 73.1.2 開啟記錄NAT日志* 73.1.3 開啟記錄VPN日志* 83.1.4 配置記錄流量日志 93.1.5 配置記錄拒絕和丟棄報(bào)文規(guī)則的日志 103.2 告警配置要求 103.2.1 配置對(duì)防火墻本身的攻擊或內(nèi)部錯(cuò)誤告警 103.2.2 配置TCP/IP協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊告警 113.2.3 配置TCP/IP協(xié)議應(yīng)用層異常攻擊告警* 123.3 安全策略配置要求 123.3.1 訪問(wèn)規(guī)則列表最后一條必須是拒絕一切流量 123.3.2 配置訪問(wèn)規(guī)則應(yīng)盡可能縮小范圍 133.3.3 配置NAT地址轉(zhuǎn)換* 143.3.4 隱藏防火墻字符管理界面的bannner信息 143.3.5 關(guān)閉非必要服務(wù) 153.4 攻擊防護(hù)配置要求 163.4.1 拒絕常見漏洞所對(duì)應(yīng)端口或者服務(wù)的掃描 163.4.2 拒絕常見漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn) 16第4章 IP協(xié)議安全要求 184.1 功能配置 184.1.1 使用SNMPV2c或者V3以上的版本對(duì)防火墻遠(yuǎn)程管理 18第5章 其他安全要求 195.1 其他安全配置 195.1.1 外網(wǎng)口地址關(guān)閉對(duì)ping包的回應(yīng)* 195.1.2 對(duì)防火墻的管理地址做源地址限制 20第6章 評(píng)審與修訂 21概述目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行Juniper防火墻的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。適用版本Juniper防火墻SRX系列防火墻。實(shí)施例外條款帳號(hào)管理、認(rèn)證授權(quán)安全要求帳號(hào)管理用戶帳號(hào)分配*安全基線項(xiàng)目名稱用戶帳號(hào)分配安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-02-01-01安全基線項(xiàng)說(shuō)明不同等級(jí)管理員分配不同帳號(hào)，避免帳號(hào)混用。檢測(cè)操作步驟參考配置操作進(jìn)入配置模式Editwarning:Clusteringenabled;usingprivateeditwarning:uncommittedchangeswillbediscardedonexitEnteringconfigurationmodesetsystemloginuseruser1classread-onlyauthenticationplain-text-passwordNewpassword:Retypenewpassword:setsystemloginuseruser2classread-onlyauthenticationplain-text-passwordNewpassword:Retypenewpassword:commit補(bǔ)充操作說(shuō)明前兩個(gè)用戶為建立的帳號(hào),帳號(hào)的class有operator、read-only和super-user?；€符合性判定依據(jù)判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄。檢測(cè)操作#showconfiguration|displayset|matchuser1setsystemloginuseruser1classread-onlysetsystemloginuseruser1authenticationencrypted-password"$1$ANj6Tqmg$xvVAxV/V0s9MXxGQn93CB0"#showconfiguration|displayset|matchuser2setsystemloginuseruser2classread-onlysetsystemloginuseruser2authenticationencrypted-password"$1$oo4HYMP/$tAJyZrKkHRCz5V/yfqzHU0"補(bǔ)充說(shuō)明無(wú)。備注防火墻系統(tǒng)本身就攜帶三種不同權(quán)限的帳號(hào)，需要手工檢測(cè)。刪除無(wú)關(guān)的帳號(hào)*安全基線項(xiàng)目名稱無(wú)關(guān)的帳號(hào)安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-02-01-02安全基線項(xiàng)說(shuō)明應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的帳號(hào)。檢測(cè)操作步驟參考配置操作editdeletesystemloginuseruser1補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)判定條件配置中用戶信息被刪除。檢測(cè)操作>showconfiguration|displayset|matchuser1>補(bǔ)充說(shuō)明無(wú)。備注建議手工抽查系統(tǒng)，無(wú)關(guān)賬戶更多屬于管理層面，需要人為確認(rèn)。帳戶登錄超時(shí)*安全基線項(xiàng)目名稱帳戶登錄超時(shí)安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-02-01-03安全基線項(xiàng)說(shuō)明配置定時(shí)帳戶自動(dòng)登出，空閑5分鐘自動(dòng)登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測(cè)操作步驟參考配置操作設(shè)置超時(shí)時(shí)間為5分鐘2、補(bǔ)充說(shuō)明無(wú)。基線符合性判定依據(jù)判定條件在超出設(shè)定時(shí)間后，用戶自動(dòng)登出設(shè)備。參考檢測(cè)操作補(bǔ)充說(shuō)明無(wú)。備注需要手工檢查。帳戶密碼錯(cuò)誤自動(dòng)鎖定*安全基線項(xiàng)目名稱帳戶密碼錯(cuò)誤自動(dòng)鎖定安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-02-01-04安全基線項(xiàng)說(shuō)明在10次嘗試登錄失敗后鎖定帳戶，不允許登錄。解鎖時(shí)間設(shè)置為300秒檢測(cè)操作步驟參考配置操作設(shè)置嘗試失敗鎖定次數(shù)為10次2、補(bǔ)充說(shuō)明無(wú)。基線符合性判定依據(jù)判定條件超出重試次數(shù)后帳號(hào)鎖定，不允許登錄，解鎖時(shí)間到達(dá)后可以登錄。參考檢測(cè)操作補(bǔ)充說(shuō)明無(wú)。備注注意！此項(xiàng)設(shè)置會(huì)影響性能，建議設(shè)置后對(duì)訪問(wèn)此設(shè)備做源地址做限制。需要手工檢查?？诹羁诹顝?fù)雜度要求安全基線項(xiàng)目名稱口令復(fù)雜度要求安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-02-02-01安全基線項(xiàng)說(shuō)明防火墻管理員帳號(hào)口令長(zhǎng)度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測(cè)操作步驟參考配置操作setsystemauthentication-ordertacplussetsystemauthentication-orderpasswordsetsystemtacplus-serversecret"$9$b224ZTQnCA0JG"setsystemtacplus-serversource-address補(bǔ)充操作說(shuō)明口令字符不完全符合要求?；€符合性判定依據(jù)判定條件該級(jí)別的密碼設(shè)置由管理員進(jìn)行密碼的生成，設(shè)備本身無(wú)此強(qiáng)制功能。檢測(cè)操作此項(xiàng)無(wú)法通過(guò)配置實(shí)現(xiàn)，建議通過(guò)管理實(shí)現(xiàn)。補(bǔ)充說(shuō)明無(wú)。備注授權(quán)遠(yuǎn)程維護(hù)的設(shè)備使用加密協(xié)議安全基線項(xiàng)目名稱遠(yuǎn)程維護(hù)使用加密協(xié)議安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-02-03-01安全基線項(xiàng)說(shuō)明對(duì)于防火墻遠(yuǎn)程管理的配置，必須是基于加密的協(xié)議。如SSH或者WEB

SSL，如果只允許從防火墻內(nèi)部進(jìn)行管理，應(yīng)該限定管理IP。檢測(cè)操作步驟參考配置操作系統(tǒng)默認(rèn)支持telnet及SSH兩種管理方式，查看及增加管理IP操作如下：setsystemservicessshprotocol-versionv2setsecurityzonessecurity-zonetestinterfacesge-0/0/0.0host-inbound-trafficsystem-servicesssh補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)判定條件查看是否啟用SSH連接。檢測(cè)操作showinterfacesge-0/0/0.0……Security:Zone:testAllowedhost-inboundtraffic:dhcphttppingsnmpsshtelnet補(bǔ)充說(shuō)明無(wú)。備注日志及配置安全要求日志安全記錄用戶對(duì)設(shè)備的操作安全基線項(xiàng)目名稱用戶對(duì)設(shè)備記錄安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-03-01-01安全基線項(xiàng)說(shuō)明配置記錄防火墻管理員操作日志，如管理員登錄，修改管理員組操作，帳號(hào)解鎖等信息。配置防火墻將相關(guān)的操作日志送往操作日志審計(jì)系統(tǒng)或者其他相關(guān)的安全管控系統(tǒng)。檢測(cè)操作步驟1．參考配置操作setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補(bǔ)充操作說(shuō)明在啟動(dòng)日志記錄的情況下，JunOS會(huì)記錄相關(guān)的日志，無(wú)需額外配置?；€符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測(cè)操作使用showconfigurationsystemsyslog檢查:showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}showlogmessages備注開啟記錄NAT日志*安全基線項(xiàng)目名稱開啟記錄NAT日志安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-03-01-02安全基線項(xiàng)說(shuō)明開啟記錄NAT日志，記錄轉(zhuǎn)換前后IP地址的對(duì)應(yīng)關(guān)系。檢測(cè)操作步驟1．參考配置操作I.啟動(dòng)日志記錄setsystemsyslogfileFW-LOGSuserinfo

setsystemsyslogfileFW-LOGSmatchRT_FLOW

setsystemsyslogfileFW-LOGSarchivesize1m

setsystemsyslogfileFW-LOGSarchivefiles3

setsystemsyslogfileFW-LOGSstructured-databrief

2．補(bǔ)充操作說(shuō)明無(wú)?；€符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測(cè)操作使用showlogFW-LOGS檢查:fileFW-LOGS{userinfo;matchRT_FLOW;archivesize1mfiles3;structured-data{brief;}}showlogFW-LOGSd備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制要求此項(xiàng)。開啟記錄VPN日志*安全基線項(xiàng)目名稱開啟記錄VPN日志安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-03-01-03安全基線項(xiàng)說(shuō)明開啟記錄VPN日志，記錄VPN訪問(wèn)登陸、退出等信息。檢測(cè)操作步驟1．參考配置操作showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}2．補(bǔ)充操作說(shuō)明在啟動(dòng)日志記錄的情況下，JunOS會(huì)記錄VPN的日志，無(wú)需額外配置?；€符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測(cè)操作使用showconfigurationsystemsyslogshowlogging檢查:showconfigurationsystemsyslogfilemessages{anynotice;authorizationinfo;archivesize10m;}showlogmessages備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制要求此項(xiàng)。配置記錄流量日志安全基線項(xiàng)目名稱配置記錄流量日志安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-03-01-04安全基線項(xiàng)說(shuō)明配置記錄流量日志，記錄通過(guò)防火墻的網(wǎng)絡(luò)連接的信息。檢測(cè)操作步驟1．參考配置操作PIX防火墻上無(wú)流量日志。網(wǎng)絡(luò)連接日志通過(guò)只需要啟動(dòng)日志記錄setsystemsyslogfiletraffic-loganyanysetsystemsyslogfiletraffic-logmatch"RT_FLOW_SESSION"2．補(bǔ)充操作說(shuō)明可以通過(guò)showlogtraffic-log來(lái)檢查連接情況?；€符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測(cè)操作使用showlogtraffic-log檢查:showlogtraffic-log備注配置記錄拒絕和丟棄報(bào)文規(guī)則的日志安全基線項(xiàng)目名稱配置記錄拒絕和丟棄報(bào)文規(guī)則的日志安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-03-01-05安全基線項(xiàng)說(shuō)明配置防火墻規(guī)則，記錄防火墻拒絕和丟棄報(bào)文的日志。檢測(cè)操作步驟1．參考配置操作JunOS防火墻自動(dòng)將在訪問(wèn)控制列表（access-list）中拒絕（deny）的數(shù)據(jù)包生成syslog信息。只需要啟動(dòng)日志記錄setsystemsyslogfiletraffic-loganyanysetsystemsyslogfiletraffic-logmatch"RT_FLOW_SESSION"2．補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)使用showlogtraffic-log檢查:showlogtraffic-log備注告警配置要求配置對(duì)防火墻本身的攻擊或內(nèi)部錯(cuò)誤告警安全基線項(xiàng)目名稱配置對(duì)防火墻本身的攻擊或內(nèi)部錯(cuò)誤告警安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-03-02-01安全基線項(xiàng)說(shuō)明配置告警功能，報(bào)告對(duì)防火墻本身的攻擊或者防火墻的系統(tǒng)內(nèi)部錯(cuò)誤。檢測(cè)操作步驟1．參考配置操作I.啟動(dòng)日志記錄setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測(cè)操作使用showlogmessages檢查:showlogmessages備注配置TCP/IP協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊告警安全基線項(xiàng)目名稱配置TCP/IP協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊告警安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-03-02-02安全基線項(xiàng)說(shuō)明配置告警功能，報(bào)告網(wǎng)絡(luò)流量中對(duì)TCP/IP協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊的相關(guān)告警。檢測(cè)操作步驟1．參考配置操作I.啟動(dòng)日志記錄setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測(cè)操作使用showlogmessages檢查:showlogmessages備注配置TCP/IP協(xié)議應(yīng)用層異常攻擊告警*安全基線項(xiàng)目名稱置TCP/IP協(xié)議應(yīng)用層異常攻擊告警安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-03-02-03安全基線項(xiàng)說(shuō)明配置告警功能，報(bào)告網(wǎng)絡(luò)流量中對(duì)TCP/IP應(yīng)用層協(xié)議異常進(jìn)行攻擊的相關(guān)告警。檢測(cè)操作步驟1．參考配置操作I.啟動(dòng)日志記錄setsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesauthorizationinfosetsystemsyslogfilemessagesarchivesize10m2．補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1.判定條件檢查配置中的logging相關(guān)配置2.檢測(cè)操作使用showlogmessages檢查:showlogmessages備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制要求此項(xiàng)。安全策略配置要求訪問(wèn)規(guī)則列表最后一條必須是拒絕一切流量安全基線項(xiàng)目名稱訪問(wèn)規(guī)則列表最后一條必須是拒絕一切流量安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-03-03-01安全基線項(xiàng)說(shuō)明防火墻在配置訪問(wèn)規(guī)則列表時(shí)，最后一條必須是拒絕一切流量。檢測(cè)操作步驟1．參考配置操作JunOS防火墻策略，沒有開放策略，默認(rèn)就是拒絕一切流量，只允許已經(jīng)開發(fā)了策略的流量通過(guò)。在設(shè)置最后一條規(guī)則時(shí)，配置規(guī)則：2．補(bǔ)充操作說(shuō)明不需要做設(shè)置基線符合性判定依據(jù)1.判定條件只需要檢查permit的策略2.檢測(cè)操作無(wú)備注配置訪問(wèn)規(guī)則應(yīng)盡可能縮小范圍安全基線項(xiàng)目名稱配置訪問(wèn)規(guī)則應(yīng)盡可能縮小范圍安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-03-03-02安全基線項(xiàng)說(shuō)明在配置訪問(wèn)規(guī)則時(shí)，源地址，目的地址，服務(wù)或端口的范圍必須以實(shí)際訪問(wèn)需求為前提，盡可能的縮小范圍。禁止源到目的全部允許規(guī)則。禁止目的地址及服務(wù)全允許規(guī)則，禁止全服務(wù)訪問(wèn)規(guī)則。檢測(cè)操作步驟1．參考配置操作定義源地址，定義目的地址，定義源端口號(hào)，定義目的端口號(hào)setsecurityzonessecurity-zoneuntrustaddress-bookaddress/32setsecurityzonessecurity-zoneuntrustaddress-bookaddress/32setapplicationsapplicationtcp_80protocoltcpsetapplicationsapplicationtcp_80source-port0-65535destination-port80-80setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchsource-addresssetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchdestination-addresssetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestmatchapplicationtcp_80setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytestthenpermit2．補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1.判定條件檢查配置2.檢測(cè)操作使用命令showsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicytest備注配置NAT地址轉(zhuǎn)換*安全基線項(xiàng)目名稱配置NAT地址轉(zhuǎn)換安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-03-03-03安全基線項(xiàng)說(shuō)明配置NAT地址轉(zhuǎn)換，對(duì)互聯(lián)網(wǎng)隱藏內(nèi)網(wǎng)主機(jī)的實(shí)際地址。檢測(cè)操作步驟1．參考配置操作I.配置防火墻使用靜態(tài)地址轉(zhuǎn)換setsecuritynatstaticrule-setMIPfromzoneuntrustsetsecuritynatstaticrule-setMIPrulenumbermatchdestination-addressdestination-ip_addresssetsecuritynatstaticrule-setMIPrulenumberthenstatic-natprefixsource-ip_address2．補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1.判定條件配置中有nat或者static的內(nèi)容2.檢測(cè)操作使用setsecuritynatstaticrule-setMIPfromzoneuntrustsetsecuritynatstaticrule-setMIPrule1matchdestination-address/32setsecuritynatstaticrule-setMIPrule1thenstatic-natprefix/32showsecuritynatstaticrule1備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制要求此項(xiàng)。隱藏防火墻字符管理界面的bannner信息安全基線項(xiàng)目名稱隱藏防火墻字符管理界面的bannner信息安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-03-03-04安全基線項(xiàng)說(shuō)明隱藏防火墻字符管理界面的bannner信息。檢測(cè)操作步驟1．參考配置操作I.配置登陸banner信息editsetsystemloginmessage2．補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1.判定條件配置中有banner的內(nèi)容2.檢測(cè)操作使用showrunning-configbanner[exec|login|motd]，如下例：setsystemloginmessage"WarningfromGMCC!allofyourdonewillberecorded!Pleasedisconnectimmediatelyifyouarenotanauthoriseduser!"showconfigurationsystemloginmessagemessage"WarningfromGMCC!allofyourdonewillberecorded!Pleasedisconnectimmediatelyifyouarenotanauthoriseduser!";備注關(guān)閉非必要服務(wù)安全基線項(xiàng)目名稱關(guān)閉非必要服務(wù)安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-03-03-05安全基線項(xiàng)說(shuō)明防火墻設(shè)備必須關(guān)閉非必要服務(wù)。檢測(cè)操作步驟1．參考配置操作關(guān)閉HTTP服務(wù)器editdeletesystemservicesweb-management2．補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1.判定條件檢查配置中是否關(guān)閉對(duì)應(yīng)服務(wù)2.檢測(cè)操作使用showconfigurationsystemservices查看服務(wù)開發(fā)狀態(tài)備注攻擊防護(hù)配置要求拒絕常見漏洞所對(duì)應(yīng)端口或者服務(wù)的掃描安全基線項(xiàng)目名稱拒絕常見漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)安全基線要求項(xiàng)安全基線編號(hào)SBL-SRX-03-04-01安全基線項(xiàng)說(shuō)明配置防火墻的screen功能，拒絕對(duì)防火墻保護(hù)的系統(tǒng)中常見漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)。檢測(cè)操作步驟1．參考配置操作setsecurityscreenids-optionuntrust-screenlimit-sessionsource-ip-based1000setsecurityscreenids-optionuntrust-screenlimit-sessiondestination-ip-based60000setsecurityscreenids-optionuntust-screenicmpip-sweepsetsecurityscreenids-optionuntust-screenicmpfloodsetsecurityscreenids-optionuntust-screenicmpping-deathsetsecurityscreenids-optionuntust-screeniptear-dropsetsecurityscreenids-optionuntust-screentcptcp-no-flagsetsecurityscreenids-optionuntust-screentcpsyn-fragsetsecurityscreenids-optionuntust-screentcpport-scansetsecurityscreenids-optionuntust-screentcpsyn-floodsetsecurityscreenids-optionuntust-screentcplandsetsecurityscreenids-optionuntust-screentcpwinnukesetsecurityscreenids-optionuntust-screenudpfloodsetsecurityzonessecurity-zoneuntrustscreenuntrust-screen2．補(bǔ)充操作說(shuō)明應(yīng)根據(jù)實(shí)際情況調(diào)整?；€符合性判定依據(jù)1.判定條件檢查配置文件2.檢測(cè)操作使用命令showsecurityscreenstatisticszoneuntrust備注拒絕常見漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)安全基線項(xiàng)目名稱拒絕常見漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)安全基線編號(hào)SBL-SRX-03-04-02安全基線項(xiàng)說(shuō)明拒絕常見漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)。檢測(cè)操作步驟1．參考配置操作配置防火墻策略，屏蔽一些端口。setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchsource-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchdestination-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchapplicationtcp_1521setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshmatchapplicationtcp_1433setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-sshthenreject2．補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1.判定條件檢查配置中是否有verifyreverse-path2.檢測(cè)操作使用命令showsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydeny_telnet-ssh備注

IP協(xié)議安全要求功能配置使用SN