中國(guó)電信Juniper防火墻安全配置規(guī)范v0.1

中國(guó)電信Juniper防火墻安全配置規(guī)范v0.1YD/T200×—××××YD/T200×—××××PAGEPAGE1三保密等級(jí)：公開(kāi)發(fā)放中國(guó)電信集團(tuán)公司發(fā)布2013-XX實(shí)施2013-XX發(fā)布中國(guó)電信Juniper防火墻安全配置規(guī)范SpecificationforJuniperConfigurationUsedinChinaTelecomQ/CTXXXX保密等級(jí)：公開(kāi)發(fā)放中國(guó)電信集團(tuán)公司發(fā)布2013-XX實(shí)施2013-XX發(fā)布中國(guó)電信Juniper防火墻安全配置規(guī)范SpecificationforJuniperConfigurationUsedinChinaTelecomQ/CTXXXX-2013中國(guó)電信集團(tuán)公司技術(shù)標(biāo)準(zhǔn)Q/CTXXXX-2013Q/CTXXXX-2013PAGEIIPAGEI

前言為了在工程驗(yàn)收、運(yùn)行維護(hù)、安全檢查等環(huán)節(jié)，規(guī)范并落實(shí)安全配置要求，中國(guó)電信在2011年編制了一系列的安全配置規(guī)范，明確了操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用中間件在內(nèi)的通用安全配置要求，在實(shí)際的運(yùn)用中發(fā)揮了積極的作用。本次針對(duì)2011版安全配置中發(fā)現(xiàn)的問(wèn)題和不足，進(jìn)行修訂，提增加部分?jǐn)?shù)據(jù)庫(kù)、應(yīng)用中間件、網(wǎng)絡(luò)設(shè)備方面的安全配置要求。本規(guī)范是中國(guó)電信安全配置系列規(guī)范之一。該系列規(guī)范的結(jié)構(gòu)及名稱預(yù)計(jì)如下：（1）Windows操作系統(tǒng)安全配置規(guī)范（本標(biāo)準(zhǔn)）（2）AIX操作系統(tǒng)安全配置規(guī)范（3）HP-UX操作系統(tǒng)安全配置規(guī)范（4）Linux操作系統(tǒng)安全配置規(guī)范（5）Solaris操作系統(tǒng)安全配置規(guī)范（6）MSSQLserver數(shù)據(jù)庫(kù)安全配置規(guī)范（7）MySQL數(shù)據(jù)庫(kù)安全配置規(guī)范（8）Oracle數(shù)據(jù)庫(kù)安全配置規(guī)范（9）Sybase數(shù)據(jù)庫(kù)安全配置規(guī)范（10）Apache安全配置規(guī)范（11）IIS安全配置規(guī)范（12）Tomcat安全配置規(guī)范（13）WebLogic安全配置規(guī)范（14）Nginx安全配置規(guī)范（15）Resin安全配置規(guī)范（16）Cisco路由器安全配置規(guī)范（17）Juniper路由器安全配置規(guī)范（18）華為路由器安全配置規(guī)范（19）華為交換機(jī)安全配置規(guī)范（20）H3C交換機(jī)安全配置規(guī)范（21）中興交換機(jī)安全配置規(guī)范（22）XXX防火墻安全配置規(guī)范（）……本標(biāo)準(zhǔn)由中國(guó)電信集團(tuán)公司提出并歸口。PAGE26PAGE72范圍適用于中國(guó)電信使用的Juniper防火墻設(shè)備。本規(guī)范明確了Juniper防火墻在安全配置方面的基本要求，適用于所有的安全等級(jí)，可作為編制設(shè)備入網(wǎng)測(cè)試、安全驗(yàn)收、安全檢查規(guī)范等文檔的參考。規(guī)范性引用文件本設(shè)備配置規(guī)范符合下列規(guī)范性文件：GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》YD/T1732-2008《固定通信網(wǎng)安全防護(hù)要求》YD/T1734-2008《移動(dòng)通信網(wǎng)安全防護(hù)要求》YD/T1736-2008《互聯(lián)網(wǎng)安全防護(hù)要求》YD/T1738-2008《增值業(yè)務(wù)網(wǎng)—消息網(wǎng)安全防護(hù)要求》YD/T1740-2008《增值業(yè)務(wù)網(wǎng)—智能網(wǎng)安全防護(hù)要求》YD/T1758-2008《非核心生產(chǎn)單元安全防護(hù)要求》YD/T1742-2008《接入網(wǎng)安全防護(hù)要求》YD/T1744-2008《傳送網(wǎng)安全防護(hù)要求》YD/T1746-2008《IP承載網(wǎng)安全防護(hù)要求》YD/T1748-2008《信令網(wǎng)安全防護(hù)要求》YD/T1750-2008《同步網(wǎng)安全防護(hù)要求》YD/T1752-2008《支撐網(wǎng)安全防護(hù)要求》YD/T1756-2008《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求》縮略語(yǔ)下列縮略語(yǔ)適用于本標(biāo)準(zhǔn)：安全配置要求管理平面安全配置管理口防護(hù)配置console口密碼保護(hù)項(xiàng)目編號(hào)配置說(shuō)明設(shè)備應(yīng)配置console口密碼保護(hù)安全要求等級(jí)高配置指南Netscreen系列:setadminpasswordxxxxSRX系列:setsystemroot-authenticationplain-text-passwordxxxx檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeadmin,如果出現(xiàn)”setadminpassword”則表明配置密碼保護(hù)。SRX系列:showconfigurationsystem|displayset,如果出現(xiàn)”root-authentication”則表明配置密碼保護(hù)。備注主流ScreenOS版本和JUNOS版本賬號(hào)與口令避免共享賬號(hào)項(xiàng)目編號(hào)配置說(shuō)明應(yīng)對(duì)不同的用戶分配不同的賬號(hào)，避免不同用戶間賬號(hào)共享。安全要求等級(jí)高配置指南Netscreen系列:setadminuserusernamepasswordprivilegeread-onlySRX系列:setsystemloginuserusername檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeadmin,如果出現(xiàn)多個(gè)賬戶，表明已經(jīng)分配不同的賬戶SRX系列:showconfigurationsystemlogin|displayset,如果出現(xiàn)多個(gè)賬戶，表明已經(jīng)分配不同的賬戶備注主流ScreenOS版本和JUNOS版本禁止無(wú)關(guān)賬號(hào)項(xiàng)目編號(hào)配置說(shuō)明應(yīng)禁止配置與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)；安全要求等級(jí)高配置指南Netscreen系列:unsetadminuserusernameSRX系列:deletesystemloginuserusername檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeadmin，需要人工判斷SRX系列:showconfigurationsystemlogin|displayset，需要人工判斷備注主流ScreenOS版本和JUNOS版本管理默認(rèn)賬號(hào)與口令項(xiàng)目編號(hào)配置說(shuō)明應(yīng)刪除或鎖定默認(rèn)或缺省賬號(hào)與口令。安全要求等級(jí)高配置指南Netscreen系列:setadminusernetscreenpasswordSRX系列:setsystemroot-authenticationplain-text-password檢測(cè)方法及判斷依據(jù)Netscreen系列:如果使用netscreen無(wú)法登入，表明密碼已經(jīng)修改SRX系列:showconfigurationsystem|diaplayset，如果出現(xiàn)root-authentication，表明密碼已經(jīng)配置備注主流ScreenOS版本和JUNOS版本口令長(zhǎng)度和復(fù)雜度項(xiàng)目編號(hào)配置說(shuō)明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備：應(yīng)支持口令長(zhǎng)度及復(fù)雜度驗(yàn)證機(jī)制（強(qiáng)制要求口令應(yīng)由數(shù)字、大寫字母、小寫字母和特殊符號(hào)4類字符構(gòu)成，自動(dòng)拒絕用戶設(shè)置不符合復(fù)雜度要求的口令。）；安全要求等級(jí)高配置指南Netscreen系列:setadminpasswordrestrictlength6SRX系列:設(shè)備側(cè)無(wú)法配置，請(qǐng)從AAAserver側(cè)配置檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeadmin，如果出現(xiàn)restrictlength表明已經(jīng)配置SRX系列:設(shè)備側(cè)無(wú)法檢測(cè)，請(qǐng)從AAAserver側(cè)檢測(cè)備注主流ScreenOS版本和JUNOS版本口令加密項(xiàng)目編號(hào)配置說(shuō)明靜態(tài)口令應(yīng)采用安全可靠的單向散列加密算法（如md5、sha1等）進(jìn)行加密，并以密文形式存放。如使用enablesecret配置Enable密碼，不使用enablepassword配置Enable密碼。安全要求等級(jí)高配置指南Netscreen系列:setadminuserusernamepasswordxxxxSRX系列:setsystemloginuseruser-nameauthentication檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeadmin，如果password后面出現(xiàn)亂碼，表明已經(jīng)加密SRX系列:showconfigurationsystemlogin|displayset若出現(xiàn)“setsystemloginuseruser-nameauthenticationencrypted-password”則表明口令已md5加密后，密文方式存放備注主流ScreenOS版本和JUNOS版本口令變更周期項(xiàng)目編號(hào)配置說(shuō)明口令定期更改，最長(zhǎng)不得超過(guò)90天。安全要求等級(jí)中配置指南檢測(cè)方法及判斷依據(jù)設(shè)備側(cè)無(wú)法檢測(cè)，請(qǐng)從AAAserver側(cè)檢測(cè)備注主流ScreenOS版本和JUNOS版本認(rèn)證使用認(rèn)證服務(wù)器認(rèn)證項(xiàng)目編號(hào)配置說(shuō)明設(shè)備通過(guò)相關(guān)參數(shù)配置，通過(guò)與認(rèn)證服務(wù)器（RADIUS或TACACS服務(wù)器）聯(lián)動(dòng)的方式實(shí)現(xiàn)對(duì)用戶的認(rèn)證，滿足帳號(hào)、口令和授權(quán)的要求。安全要求等級(jí)高配置指南Netscreen系列:set

auth-server

radius1

type

radiusSRX系列:setsystemauthentication-ordertacplus/radiussetsystemtacplus-server/radius-serversecret檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeauth-server，如果出現(xiàn)radius，表明已經(jīng)配置外部認(rèn)證SRX系列:showconfigurationsystem|displayset若出現(xiàn)“setsystemauthentication-order”，“setsystemtacplus-server”則表明已配置認(rèn)證服務(wù)器備注主流ScreenOS版本和JUNOS版本賬戶鎖定策略項(xiàng)目編號(hào)配置說(shuō)明應(yīng)為設(shè)備配置用戶連續(xù)認(rèn)證失敗次數(shù)上限，當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)上限時(shí)，設(shè)備自動(dòng)斷開(kāi)該用戶賬號(hào)的連接，并在一定時(shí)間內(nèi)禁止該用戶賬號(hào)重新認(rèn)證。安全要求等級(jí)高配置指南Netscreen系列:setadminaccesslock-on-failure3SRX系列:setsystemloginretry-optionstries-before-disconnectnumbersetsystemloginretry-optionsbackoff-factorseconds檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeadmin，如果出現(xiàn)lock-on-failure，表明已經(jīng)配置賬戶鎖定SRX系列:showconfigurationsystemlogin，如果出現(xiàn)tries-before-disconnect，表明已經(jīng)配置賬戶鎖定備注主流ScreenOS版本和JUNOS版本授權(quán)分級(jí)權(quán)限控制項(xiàng)目編號(hào)配置說(shuō)明原則上應(yīng)采用預(yù)定義級(jí)別的授權(quán)方法，實(shí)現(xiàn)對(duì)不同用戶權(quán)限的控制。安全要求等級(jí)高配置指南Netscreen系列:setadminuserusernamepasswordaaacccprivilegeread-onlySRX系列:setsystemloginuseruser-nameclassclass-typepermissions檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeadmin，如果出現(xiàn)privilege，表明已經(jīng)配置授權(quán)SRX系列:showconfigurationsystemlogin|displayset若出現(xiàn)多個(gè)不同的permissions：“setsystemloginuseruser-nameclassclass-typepermissions”，則表明已對(duì)不同用戶權(quán)限的控制備注主流ScreenOS版本和JUNOS版本利用認(rèn)證服務(wù)器進(jìn)行權(quán)限控制項(xiàng)目編號(hào)配置說(shuō)明除本地采用預(yù)定義級(jí)別進(jìn)行外，設(shè)備可通過(guò)與認(rèn)證服務(wù)器（RADIUS服務(wù)器或TACACS服務(wù)器）聯(lián)動(dòng)的方式實(shí)現(xiàn)對(duì)用戶的授權(quán)。并建議采用逐條授權(quán)的方式，盡量避免或減少使用一次性授權(quán)的方式。安全要求等級(jí)高配置指南Netscreen系列:需認(rèn)證服務(wù)器進(jìn)行權(quán)限控制SRX系列:需認(rèn)證服務(wù)器進(jìn)行權(quán)限控制檢測(cè)方法及判斷依據(jù)備注主流ScreenOS版本和JUNOS版本授權(quán)粒度控制項(xiàng)目編號(hào)配置說(shuō)明安全要求等級(jí)高配置指南Netscreen系列:需認(rèn)證服務(wù)器進(jìn)行粒度控制SRX系列:需認(rèn)證服務(wù)器進(jìn)行粒度控制檢測(cè)方法及判斷依據(jù)Netscreen系列:SRX系列:備注主流ScreenOS版本和JUNOS版本記賬記錄用戶登錄日志項(xiàng)目編號(hào)配置說(shuō)明采用本地或采用與認(rèn)證服務(wù)器(RADIUS或TACACS服務(wù)器)聯(lián)動(dòng)（優(yōu)選方式）的方式，實(shí)現(xiàn)對(duì)用戶登錄日志的記錄和審計(jì)。記錄和審計(jì)范圍應(yīng)包括但不限于：用戶登錄的方式、使用的賬號(hào)名、登錄是否成功、登錄時(shí)間、以及遠(yuǎn)程登錄時(shí)用戶使用的IP地址。安全要求等級(jí)高配置指南Netscreen系列:set

log

module

system

level

notificationSRX系列:setsystemsyslogfilefilenameinteractive-commandsinfoarchive本地setsystemaccountingeventslogin服務(wù)器setsystemaccountingdestinationtacplusserverip-address服務(wù)器檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includelog，如果出現(xiàn)notification，表明已經(jīng)配置日志記錄SRX系列:showconfigurationsystem|displayset本地若出現(xiàn)“setsystemsyslogfilefilenameinteractive-commandsinfoarchive”；“setsystemaccountingeventslogin”；“setsystemaccountingdestinationtacplusserverip-address”則表明已實(shí)現(xiàn)對(duì)用戶登錄日志的記錄備注主流ScreenOS版本和JUNOS版本記錄用戶操作行為日志項(xiàng)目編號(hào)配置說(shuō)明采用本地或采用與認(rèn)證服務(wù)器(RADIUS或TACACS服務(wù)器)聯(lián)動(dòng)（優(yōu)選方式）的方式，實(shí)現(xiàn)對(duì)用戶操作行為的記錄和審計(jì)，記錄和審計(jì)范圍應(yīng)包括但不限于：賬號(hào)創(chuàng)建、刪除和權(quán)限修改，口令修改，設(shè)備配置修改，執(zhí)行操作的行為和操作結(jié)果等。安全要求等級(jí)高配置指南Netscreen系列:set

log

module

system

level

notificationSRX系列:setsystemsyslogfilemessagesarchive本地setsystemsyslogfilefilenameinteractive-commandsinfo本地setsystemaccountingeventsinteractive-commands服務(wù)器setsystemaccountingdestinationtacplusserverip-address服務(wù)器檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includelog，如果出現(xiàn)notification，表明已經(jīng)配置日志記錄SRX系列:showconfigurationsystem|displayset本地若出現(xiàn)“setsystemsyslogfilefilenameinteractive-commandsinfoarchive”；“setsystemaccountingeventsinteractive-commands”；“setsystemaccountingdestinationtacplusserverip-address”則表明已實(shí)現(xiàn)對(duì)用戶操作行為的記錄備注主流ScreenOS版本和JUNOS版本遠(yuǎn)程管理會(huì)話超時(shí)配置項(xiàng)目編號(hào)配置說(shuō)明配置定時(shí)賬戶自動(dòng)登出。如TELNET、SSH、HTTP等管理連接和CONSOLE口登錄連接等。安全要求等級(jí)高配置指南Netscreen系列:setconsoletimeoutSRX系列:setsystemloginclassclass-nameidle-timeoutminutes檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeconsole，如果出現(xiàn)timeout，表明已經(jīng)配置超時(shí)SRX系列:showconfigurationsystemlogin|displayset若出現(xiàn)“setsystemloginclassclass-nameidle-timeout”，則表明已配置會(huì)話超時(shí)備注主流ScreenOS版本和JUNOS版本遠(yuǎn)程主機(jī)IP地址段限制項(xiàng)目編號(hào)配置說(shuō)明應(yīng)通過(guò)ACL限制可遠(yuǎn)程管理設(shè)備的IP地址段安全要求等級(jí)高配置指南Netscreen系列:setadminmanager-ipipaddressSRX系列:setfirewallfilternametermnumberfromsource-addressipaddresssetfirewallfilternametermnumberthenacceptsetinterfacesx/x/xfamilyinetfilterinputname檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeadmin，若出現(xiàn)“manager-ip”則表明已限制遠(yuǎn)程管理設(shè)備的IP地址段SRX系列:showconfigurationfirewallfilter|displayset若出現(xiàn)“setfirewallfilternametermnumberfromsource-addressipaddress”則表明已通過(guò)ACL限制遠(yuǎn)程管理設(shè)備的IP地址段備注主流ScreenOS版本和JUNOS版本遠(yuǎn)程管理通信安全項(xiàng)目編號(hào)配置說(shuō)明使用SSH或帶SSH的telnet、HTTPS等加密的遠(yuǎn)程管理方式。安全要求等級(jí)高配置指南Netscreen系列:setsshenablesetadminsshport22SRX系列:setsystemservicesssh檢測(cè)方法及判斷依據(jù)Netscreen系列:getssh，若出現(xiàn)SSHisenabled，表明已經(jīng)配置sshSRX系列:showconfigurationsystemservices|displayset若出現(xiàn)“setsystemservicesssh”，則表明已使用SSH加密的遠(yuǎn)程管理方式備注主流ScreenOS版本和JUNOS版本SNMP安全使用SNMPV3版本項(xiàng)目編號(hào)配置說(shuō)明對(duì)于支持SNMPV3版本的設(shè)備，必須使用V3版本SNMP協(xié)議。安全要求等級(jí)高配置指南Netscreen系列:要求6.3版本以上才行setsnmpv3userxxxauthmd5auth-passxxxprivdespriv-passxxxSRX系列:setsnmpv3usmlocal-engineuseruser-nameauthentication-md5authentication-passwordpassword檢測(cè)方法及判斷依據(jù)Netscreen系列:getsnmp，如果出現(xiàn)snmpv3，表明已經(jīng)配置v3版本SRX系列:showconfigurationsnmp|displayset若發(fā)現(xiàn)“setsnmpv3usm”則表明已使用SNMPv3備注主流ScreenOS版本和JUNOS版本訪問(wèn)IP地址范圍限制項(xiàng)目編號(hào)配置說(shuō)明應(yīng)對(duì)發(fā)起SNMP訪問(wèn)的源IP地址進(jìn)行限制，并對(duì)設(shè)備接收端口進(jìn)行限制。安全要求等級(jí)高配置指南Netscreen系列:setsnmphostnameipaddressSRX系列:setsnmpcommunitynameclientsipaddress檢測(cè)方法及判斷依據(jù)Netscreen系列:getsnmp，若出現(xiàn)“host”則表明已對(duì)源IP地址進(jìn)行限制SRX系列:showconfigurationsnmpcommunity|displayset若發(fā)現(xiàn)“setsnmpcommunitynameclientsipaddress”則表明已對(duì)源IP地址進(jìn)行限制備注主流ScreenOS版本和JUNOS版本SNMP服務(wù)讀寫權(quán)限管理項(xiàng)目編號(hào)配置說(shuō)明應(yīng)關(guān)閉未使用的SNMP協(xié)議，盡量不開(kāi)啟SNMP的RW權(quán)限。安全要求等級(jí)高配置指南Netscreen系列:setsnmpcommunitynameread-onlySRX系列:SNMP協(xié)議缺省為關(guān)閉的檢測(cè)方法及判斷依據(jù)Netscreen系列:getsnmp，若出現(xiàn)“read-only”則表明SNMP開(kāi)啟了RW權(quán)限SRX系列:showconfigurationsnmpcommunity|displayset若發(fā)現(xiàn)“setsnmpcommunitynameauthorizationread-write”則表明SNMP開(kāi)啟了RW權(quán)限備注主流ScreenOS版本和JUNOS版本修改SNMP默認(rèn)的Community字符串項(xiàng)目編號(hào)配置說(shuō)明應(yīng)修改SNMP協(xié)議RO和RW的默認(rèn)Community字符串，并設(shè)置復(fù)雜的字符串作為SNMP的Community。安全要求等級(jí)高配置指南Netscreen系列:Screenos無(wú)默認(rèn)Community字符串SRX系列:Junos無(wú)默認(rèn)Community字符串檢測(cè)方法及判斷依據(jù)Netscreen系列:Screenos無(wú)默認(rèn)Community字符串SRX系列:Junos無(wú)默認(rèn)Community字符串備注主流ScreenOS版本和JUNOS版本Community字符串加密項(xiàng)目編號(hào)配置說(shuō)明建議支持對(duì)SNMP協(xié)議RO、RW的Community字符串的加密存放。安全要求等級(jí)低配置指南Netscreen系列:要求6.3版本以上才行setsnmpv3userxxxauthmd5auth-passxxxprivdespriv-passxxxSRX系列:setsnmpv3snmp-communityindexcommunity-namecommunity檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includesnmp若出現(xiàn)“authmd5”則表明已加密存放SRX系列:showconfigurationsnmp|displayset若發(fā)現(xiàn)“setsnmpv3snmp-communityindexcommunity-name”則表明已加密存放備注主流ScreenOS版本和JUNOS版本系統(tǒng)日志調(diào)整系統(tǒng)日志的緩沖區(qū)大小項(xiàng)目編號(hào)配置說(shuō)明應(yīng)調(diào)整systemlog的緩沖區(qū)大小安全要求等級(jí)低配置指南Netscreen系列:由于log文件存儲(chǔ)于內(nèi)存中，而非硬盤或者flash中，所以不建議修改log文件大小。SRX系列:#setsystemsyslogfilemessagesarchivesizenumber檢測(cè)方法及判斷依據(jù)Netscreen系列:SRX系列:showconfigurationsystemsyslogfile|displayset若發(fā)現(xiàn)“setsystemsyslogfilemessagesarchivesizenumber”，則表明已設(shè)置緩沖區(qū)大小備注主流ScreenOS版本和JUNOS版本設(shè)置發(fā)送系統(tǒng)日志的源地址項(xiàng)目編號(hào)配置說(shuō)明應(yīng)設(shè)置發(fā)送systemlog的源地址為loopback地址。安全要求等級(jí)高配置指南Netscreen系列:setsyslogsrc-interfacenameSRX系列:#setsystemsyslogsource-addressipaddress檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includesyslog，如果出現(xiàn)src-interface，表明已經(jīng)配置SRX系列:showconfigurationsystem|displayset若發(fā)現(xiàn)“setsystemsyslogsource-address”，則表明已設(shè)置systemlog的源地址為loopback地址備注主流ScreenOS版本和JUNOS版本設(shè)置系統(tǒng)日志消息記錄項(xiàng)目編號(hào)配置說(shuō)明設(shè)備的Systemlogmessages不記錄到控制臺(tái)。安全要求等級(jí)低配置指南缺省不記錄到控制臺(tái)檢測(cè)方法及判斷依據(jù)缺省不記錄到控制臺(tái)，控制臺(tái)無(wú)輸出信息備注主流ScreenOS版本和JUNOS版本配置日志存儲(chǔ)位置項(xiàng)目編號(hào)配置說(shuō)明將重要或指定級(jí)別的日志發(fā)送到日志服務(wù)器或其它位置，進(jìn)行安全存放。安全要求等級(jí)低配置指南Netscreen系列:setsyslogconfigipaddressSRX系列:#setsystemsysloghostipaddress檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includesyslog，如果出現(xiàn)configipaddress，表明已經(jīng)發(fā)生到服務(wù)器SRX系列:showconfigurationsystemsyslog|displayset若發(fā)現(xiàn)“setsystemsysloghostipaddress”則已把日志發(fā)送到日志服務(wù)器備注主流ScreenOS版本和JUNOS版本開(kāi)啟NAT日志記錄項(xiàng)目編號(hào)配置說(shuō)明開(kāi)啟NAT地址轉(zhuǎn)換功能，記錄IP地址轉(zhuǎn)換前后的對(duì)應(yīng)關(guān)系。安全要求等級(jí)低配置指南Netscreen系列:setlogmodulesystemlevelnotificationSRX系列:setsystemsyslogfilemessagesanynotice檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includelog，如果出現(xiàn)notification，表明已經(jīng)開(kāi)啟nat記錄SRX系列:showlogmessage，如果出現(xiàn)syslogfilemessagesanynotice，表明已經(jīng)開(kāi)啟nat記錄備注主流ScreenOS版本和JUNOS版本開(kāi)啟VPN日志記錄項(xiàng)目編號(hào)配置說(shuō)明開(kāi)啟記錄VPN日志，記錄VPN訪問(wèn)登陸、退出等信息。安全要求等級(jí)低配置指南Netscreen系列:setlogmodulesystemlevelnotificationSRX系列:setsystemsyslogfilemessagesanynotice檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includelog，如果出現(xiàn)“notification”，表明已經(jīng)配置開(kāi)啟vpn記錄SRX系列:showconfigration|displayset，如果出現(xiàn)syslogfilemessagesanynotice，表明已經(jīng)開(kāi)啟vpn記錄備注主流ScreenOS版本和JUNOS版本配置記錄流量日志項(xiàng)目編號(hào)配置說(shuō)明啟用防火墻流量日志功能，記錄通過(guò)防火墻的網(wǎng)絡(luò)連接的信息。安全要求等級(jí)低配置指南Netscreen系列:setpolicynamefromtrusttountrustanyanyanypermitlogSRX系列:setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicyaaaathenlog檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includepolicy，如果出現(xiàn)“permitlog”，表明已經(jīng)啟用防火墻流量日志記錄SRX系列:showconfigration|displayset，如果出現(xiàn)setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicyaaaathenlog，表明已經(jīng)啟用防火墻流量日志記錄備注主流ScreenOS版本和JUNOS版本配置記錄拒絕和丟棄規(guī)則的日志項(xiàng)目編號(hào)配置說(shuō)明配置防火墻規(guī)則，記錄防火墻拒絕和丟棄報(bào)文的日志。安全要求等級(jí)低配置指南Netscreen系列:setpolicynameaaafromtrusttountrustanyanyanydenylogSRX系列:setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamethendiscardlog檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includepolicy，如果出現(xiàn)“denylog”，表明已經(jīng)啟用防火墻流量日志記錄SRX系列:showconfigration|displayset，如果出現(xiàn)setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamethendiscardlog，表明已經(jīng)啟用防火墻流量日志記錄備注主流ScreenOS版本和JUNOS版本日志容量告警項(xiàng)目編號(hào)配置說(shuō)明安全要求等級(jí)高配置指南Netscreen系列:Screenos無(wú)日志容量告警SRX系列:junos無(wú)日志容量告警檢測(cè)方法及判斷依據(jù)Netscreen系列:SRX系列:備注主流ScreenOS版本和JUNOS版本NTP啟用NTP服務(wù)項(xiàng)目編號(hào)配置說(shuō)明應(yīng)開(kāi)啟NTP，保證設(shè)備日志記錄時(shí)間的準(zhǔn)確性。安全要求等級(jí)高配置指南Netscreen系列:setntpserveripaddressSRX系列:#setsystemntpserveripaddress檢測(cè)方法及判斷依據(jù)Netscreen系列:getntp，如果出現(xiàn)“NTPisenabled”，表明已經(jīng)配置ntpSRX系列:showconfigurationsystem|displayset若發(fā)現(xiàn)“setsystemntpserver”，則表明已啟用NTP備注主流ScreenOS版本和JUNOS版本限制NTP通信地址范圍項(xiàng)目編號(hào)配置說(shuō)明通過(guò)ACL對(duì)NTP服務(wù)器與設(shè)備間的通信進(jìn)行控制。安全要求等級(jí)低配置指南Netscreen系列:setpolicynamenamefromuntrusttountrustipaddress(ntpserver)anyanypermitsetpolicynamenamefromuntrusttountrustanyanyNTPdenySRX系列:setfirewallfilternametermnumberfromportntpsetfirewallfilternamenumberthenaccept檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includepolicy若出現(xiàn)“ipaddress(ntpserver)”，則表明已對(duì)NTP服務(wù)器與設(shè)備間的通信進(jìn)行控制SRX系列:>showconfigurationsetfirewallfilter|displayset若發(fā)現(xiàn)“setfirewallfilternamenumberfromportntp”，則已通過(guò)ACL對(duì)NTP服務(wù)器與設(shè)備間的通信進(jìn)行控制備注主流ScreenOS版本和JUNOS版本Banner信息隱藏banner信息項(xiàng)目編號(hào)配置說(shuō)明應(yīng)隱藏設(shè)備缺省的banner信息。BANNER最好不要有系統(tǒng)平臺(tái)或地址等有礙安全的信息。安全要求等級(jí)低配置指南Netscreen系列:缺省隱藏設(shè)備信息SRX系列:缺省隱藏設(shè)備信息檢測(cè)方法及判斷依據(jù)Netscreen系列:SRX系列:備注主流ScreenOS版本和JUNOS版本補(bǔ)丁及時(shí)安裝安全補(bǔ)丁項(xiàng)目編號(hào)配置說(shuō)明及時(shí)安裝已知漏洞的安全補(bǔ)丁安全要求等級(jí)低配置指南Netscreen系列:savesoftwarefromtftpipaddressfile-nametoflashSRX系列:requestsystemsoftwareaddfile-name檢測(cè)方法及判斷依據(jù)Netscreen系列:getsystem，人工檢查OS版本SRX系列:showversion，人工檢查OS版本備注主流ScreenOS版本和JUNOS版本未使用的管理平面服務(wù)關(guān)閉不必要的服務(wù)項(xiàng)目編號(hào)配置說(shuō)明應(yīng)關(guān)閉設(shè)備上不必要的服務(wù)(如CDP、DNSlookup、DHCP、finger、udp-small-server、tcp-small-server、http、bootp、IP源路由、PAD等)安全要求等級(jí)高配置指南Netscreen系列:缺省為關(guān)閉SRX系列:缺省為關(guān)閉檢測(cè)方法及判斷依據(jù)Netscreen系列:缺省為關(guān)閉SRX系列:缺省為關(guān)閉備注主流ScreenOS版本和JUNOS版本最小化服務(wù)項(xiàng)目編號(hào)配置說(shuō)明路由器以UDP/TCP協(xié)議對(duì)外提供服務(wù)，供外部主機(jī)進(jìn)行訪問(wèn)，如作為NTP服務(wù)器、TELNET服務(wù)器、TFTP服務(wù)器、FTP服務(wù)器、SSH服務(wù)器等，應(yīng)配置路由器，只允許特定主機(jī)訪問(wèn)。安全要求等級(jí)低配置指南Netscreen系列:setinterfacenamemanager-ipipaddressSRX系列:setfirewallfilternametermnumberfromsource-addressipaddresssetfirewallfilternametermnumberfromprotocolxxxsetfirewallfilternamenumberthenaccept檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeinterface，若出現(xiàn)“manager-ip”則表明已配置最小化服務(wù)SRX系列:showconfigurationfirewallfilter|displayset若出現(xiàn)“setfirewallfilternametermnumberfromsource-address”，則表明已配置允許特定主機(jī)訪問(wèn)備注主流ScreenOS版本和JUNOS版本數(shù)據(jù)轉(zhuǎn)發(fā)平面安全配置虛擬化防火墻和安全域虛擬化防火墻配置項(xiàng)目編號(hào)配置說(shuō)明根據(jù)應(yīng)用場(chǎng)景，將實(shí)體防火墻劃分成多個(gè)虛擬防火墻系統(tǒng)，每個(gè)虛擬系統(tǒng)都是一個(gè)唯一的安全域，擁有其自己的管理員進(jìn)行管理，管理員可以通過(guò)設(shè)置自己的地址薄、用戶列表、自定義服務(wù)、VPN和策略以使安全域個(gè)性化。只有根級(jí)管理員才可設(shè)置防火墻安全選項(xiàng)、創(chuàng)建虛擬系統(tǒng)管理員以及定義接口和子接口。安全要求等級(jí)中配置指南Netscreen系列:setvsysvsys1SRX系列:setrouting-instancesvr1檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includevsys，如果出現(xiàn)“vsysvsys1”，表明已經(jīng)配置SRX系列:showconfirmation|displayset，如果出現(xiàn)setrouting-instancesvr1，表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本劃分安全域項(xiàng)目編號(hào)配置說(shuō)明根據(jù)需要，進(jìn)行安全域的劃分，原則上安全區(qū)域的劃分應(yīng)不少于兩個(gè)。安全要求等級(jí)高配置指南Netscreen系列:setzonenamenameSRX系列:setsecurityzonessecurity-zonename檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includezone，如果出現(xiàn)“zonename”，表明已經(jīng)配置SRX系列:showconfiguration|displayset，如果出現(xiàn)setsecurityzonessecurity-zonename，表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本配置端口歸屬的安全域項(xiàng)目編號(hào)配置說(shuō)明所有啟動(dòng)/活動(dòng)的端口都必須歸屬于特定的安全域安全要求等級(jí)高配置指南Netscreen系列:setinterfacenamezonenameSRX系列:setsecurityzonessecurity-zonenameinterfacesname檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeinterface，如果出現(xiàn)“setinterfacenamezonename”，表明已經(jīng)配置SRX系列:showconfirmation|displayset，如果出現(xiàn)“setsecurityzonessecurity-zonenameinterfacesname”，如出現(xiàn)表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本安全域的訪問(wèn)控制規(guī)則項(xiàng)目編號(hào)配置說(shuō)明所有的安全域都具有相應(yīng)的規(guī)則進(jìn)行防護(hù)，對(duì)進(jìn)出流量進(jìn)行控制。安全要求等級(jí)低配置指南Netscreen系列:setpolicynamenamefromtrusttountrustipaddress（源IP）ipaddress（目的IP)anypermitsetpolicynamenamefromtrusttountrustanyanyanydenysetpolicynamenamefromuntrusttotrustipaddress（源IP）ipaddress（目的IP)anypermitsetpolicynamenamefromuntrusttotrustanyanyanydenySRX系列:setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchsource-addressipaddresssetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchdestination-addressipaddresssetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamethenpermitsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamethendenysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicynamematchsource-addressipaddresssetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicynamematchdestination-addressipaddresssetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicynamematchapplicationanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicynamethenpermitsetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicynamematchsource-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicynamematchdestination-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicynamematchapplicationanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicynamethendeny檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includepolicy，需人工確認(rèn)SRX系列:showconfigurationsecuritypolicies|displayset，需人工確認(rèn)備注主流ScreenOS版本和JUNOS版本訪問(wèn)控制訪問(wèn)規(guī)則列表最后一條必須是拒絕一切流量項(xiàng)目編號(hào)配置說(shuō)明防火墻在配置訪問(wèn)規(guī)則列表時(shí)，最后一條必須是拒絕一切流量。安全要求等級(jí)高配置指南默認(rèn)最后一條拒絕所有檢測(cè)方法及判斷依據(jù)Netscreen系列:getpolicyall，如果出現(xiàn)Defaultdeny，表明已經(jīng)配置SRX系列:showsecuritypolicies，如出現(xiàn)Defaultpolicy:deny-all，表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本配置訪問(wèn)規(guī)則應(yīng)盡可能縮小范圍項(xiàng)目編號(hào)配置說(shuō)明在配置訪問(wèn)規(guī)則時(shí)，源地址，目的地址，服務(wù)或端口的范圍必須以實(shí)際訪問(wèn)需求為前提，盡可能的縮小范圍。禁止源到目的全部允許規(guī)則。禁止目的地址及服務(wù)全允許規(guī)則，禁止全服務(wù)訪問(wèn)規(guī)則。安全要求等級(jí)高配置指南Netscreen系列:setpolicynamenamefromtrusttountrustipaddressipaddresshttppermitSRX系列:setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchsource-addressipaddresssetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchdestination-addressipaddresssetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchapplicationjunos-httpsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamethenpermit檢測(cè)方法及判斷依據(jù)Netscreen系列:getpolicy，需要人工判斷SRX系列:showsecuritypolicy，需要人工判斷備注主流ScreenOS版本和JUNOS版本訪問(wèn)規(guī)則的按照范圍由小到大的排列規(guī)則項(xiàng)目編號(hào)配置說(shuō)明對(duì)于訪問(wèn)規(guī)則的排列，應(yīng)當(dāng)遵從范圍由小到大的排列規(guī)則。應(yīng)根據(jù)實(shí)際網(wǎng)絡(luò)流量，保證重要連接和數(shù)據(jù)吞吐量大的連接對(duì)應(yīng)的防火墻規(guī)則優(yōu)先得到匹配。安全要求等級(jí)高配置指南Netscreen系列:set

policy

id

number

from

V1-Untrust

to

V1-Trust

Any

ipaddress

permit

logset

policy

id

number

from

V1-Untrust

to

V1-Trust

Any

Any

port-number

permit

log

SRX系列:insertsecuritypoliciesfrom-zoneaato-zoneddfpolicyaabeforepolicycc檢測(cè)方法及判斷依據(jù)Netscreen系列:getpolicy，需要人工判斷策略的排序SRX系列:showsecuritypolicy，需要人工判斷策略的排序備注主流ScreenOS版本和JUNOS版本VPN用戶按照訪問(wèn)權(quán)限進(jìn)行分組項(xiàng)目編號(hào)配置說(shuō)明對(duì)于VPN用戶，必須按照其訪問(wèn)權(quán)限不同而進(jìn)行分組，并在訪問(wèn)控制規(guī)則中對(duì)該組的訪問(wèn)權(quán)限進(jìn)行嚴(yán)格限制。安全要求等級(jí)高配置指南Netscreen系列:set

user

name

type

set

user

name

password

set

user-group

name

user

nameSRX系列:setsystemloginusernameclassname檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeuser，如果出現(xiàn)set

user-group

fs

user

adam，表明已經(jīng)配置SRX系列:showconfigurationsystem|displayset,如果用戶已經(jīng)放入相應(yīng)的class，那么表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本配置NAT地址轉(zhuǎn)換項(xiàng)目編號(hào)配置說(shuō)明配置NAT地址轉(zhuǎn)換，對(duì)互聯(lián)網(wǎng)隱藏內(nèi)網(wǎng)主機(jī)的實(shí)際地址。安全要求等級(jí)高配置指南Netscreen系列:setpolicyfromtrusttountrustanyanyhttpnatsrcpermitSRX系列:setsecuritynatsourcerule-setrs1tozoneuntrust檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includepolicy，如果出現(xiàn)setpolicyfromtrusttountrustanyanyhttpnatsrcpermit，表明已經(jīng)配置SRX系列:showconfirmation|diaplayset，如果出現(xiàn)setsecuritynatsourcerule-setrs1from-zonetrusttozoneuntrust，表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本避免從內(nèi)網(wǎng)主機(jī)直接訪問(wèn)外網(wǎng)項(xiàng)目編號(hào)配置說(shuō)明應(yīng)用代理服務(wù)器，將從內(nèi)網(wǎng)到外網(wǎng)的訪問(wèn)流量通過(guò)代理服務(wù)器。防火墻只開(kāi)啟代理服務(wù)器到外部網(wǎng)絡(luò)的訪問(wèn)規(guī)則，避免在防火墻上配置從內(nèi)網(wǎng)的主機(jī)直接到外網(wǎng)的訪問(wèn)規(guī)則。安全要求等級(jí)低配置指南Netscreen系列:setpolicynamenamefromtrusttountrustipaddress(代理服務(wù)器)anyanypermitSRX系列:setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchsource-addressipaddress（代理服務(wù)器）setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamethenpermit檢測(cè)方法及判斷依據(jù)Netscreen系列:getpolicy，需要人工判斷策略SRX系列:showsecuritypolicy，需要人工判斷策略備注主流ScreenOS版本和JUNOS版本攻擊防護(hù)/告警拒絕常見(jiàn)漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)項(xiàng)目編號(hào)配置說(shuō)明配置訪問(wèn)控制規(guī)則，拒絕對(duì)防火墻保護(hù)的系統(tǒng)中常見(jiàn)漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)。安全要求等級(jí)高配置指南Netscreen系列:setpolicyfromtrusttountrustanyanytelentdenySRX系列:setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchapplicationjunos-telnetsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamethendeny檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includepolicy，如果出現(xiàn)setpolicyfromtrusttountrustanyanytelentdeny，表明已經(jīng)配置SRX系列:showconfiguration|displayset，如出現(xiàn)setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamethendeny，表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本開(kāi)啟防源地址欺騙功能項(xiàng)目編號(hào)配置說(shuō)明對(duì)于防火墻各邏輯接口配置開(kāi)啟防源地址欺騙功能。安全要求等級(jí)高配置指南Netscreen系列:setzonetrustscreenip-spoofingSRX系列:setsecurityscreenids-optionscreen-1ipspoofing檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includezone，如果出現(xiàn)“screenip-spoofing”，表明已經(jīng)配置SRX系列:showconfigration|displayset，如果出現(xiàn)setsecurityscreenids-optionscreen-1ipspoofing，表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本關(guān)閉ping包的回應(yīng)項(xiàng)目編號(hào)配置說(shuō)明對(duì)于外網(wǎng)口地址，關(guān)閉對(duì)ping包的回應(yīng)。建議通過(guò)VPN隧道獲得內(nèi)網(wǎng)地址，從內(nèi)網(wǎng)口進(jìn)行遠(yuǎn)程管理。如網(wǎng)管系統(tǒng)需要開(kāi)放，可不考慮。安全要求等級(jí)高配置指南Netscreen系列:unsetinterfacenamemanagepingSRX系列:setsecurityzonessecurity-zonetrustinterfacesnamehost-inbound-trafficsystem-servicespingexcept檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeinterface，如果沒(méi)有interfacenamemanage，表明已經(jīng)關(guān)閉SRX系列:showconfigration|displayset，如果沒(méi)有setsecurityzonessecurity-zonetrustinterfacesnamehost-inbound-traffic，表明已經(jīng)關(guān)閉備注主流ScreenOS版本和JUNOS版本網(wǎng)絡(luò)病毒防護(hù)項(xiàng)目編號(hào)配置說(shuō)明如防火墻具備網(wǎng)絡(luò)病毒防護(hù)功能。可打開(kāi)病毒防護(hù)，對(duì)蠕蟲(chóng)等病毒傳播時(shí)的攻擊流量進(jìn)行過(guò)濾。如不具備相關(guān)模塊，需要在安全策略配置中首先關(guān)注對(duì)常見(jiàn)病毒流量的端口的封堵安全要求等級(jí)低配置指南Netscreen系列:setavscan-mgrpattern-typeitwSRX系列:setprofilenamescan-optionsno-intelligent-prescreening檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includeav，如果出現(xiàn)setavscan-mgrpattern-typeitw，表明已經(jīng)配置SRX系列:showconfiguration|displayset，如果出現(xiàn)setprofilenamescan-optionsno-intelligent-prescreening，表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本配置對(duì)防火墻本身的攻擊或內(nèi)部錯(cuò)誤告警項(xiàng)目編號(hào)配置說(shuō)明配置告警功能，報(bào)告對(duì)防火墻本身的攻擊或者防火墻的系統(tǒng)內(nèi)部錯(cuò)誤。安全要求等級(jí)高配置指南Netscreen系列:setzoneuntrustscreenalarm-without-dropsetzonetrustscreenalarm-without-dropSRX系列:setfirewallfamilyinetfilternameterm1fromsource-addressipaddresssetfirewallfamilyinetfilternameterm1thenlogsetfirewallfamilyinetfilternameterm1thenrejectsetfirewallfamilyinetfilternameterm2thenacceptsetinterfaceslo0.0familyinetfilterinputname檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includezone，如果出現(xiàn)setzonetrustscreenalarm-without-drop，表明已經(jīng)配置SRX系列:showconfigurationinterfacelo0|displayset，如果建立的filter已經(jīng)應(yīng)用到此接口的input方向，那么表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本配置DoS和DDoS攻擊告警項(xiàng)目編號(hào)配置說(shuō)明對(duì)DOS和DDOS攻擊告警功能，DDOS的攻擊告警的參數(shù)應(yīng)可由管理員根據(jù)實(shí)際網(wǎng)絡(luò)情況設(shè)置。如有DoS防護(hù)功能，應(yīng)啟用。安全要求等級(jí)高配置指南Netscreen系列:setzonetrustscreenlimit-sessionsource-ip-based80setzonetrustscreenlimit-sessionsource-ip-basedSRX系列:setsecurityidpidp-policyAppDDos-policy-1rulebase-ddosruleAppDDos-rule1matchapplication-ddosdns-server-1setsecurityidpidp-policyAppDDos-policy-1rulebase-ddosruleAppDDos-rule1thenactiondrop-packet檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includezone，如果出現(xiàn)setzonetrustscreenlimit-sessionsource-ip-based，表明已經(jīng)配置SRX系列:showconfigration|displayset，如果出現(xiàn)setsecurityidpidp-policyAppDDos-policy-1，表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本配置TCP/IP協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊告警項(xiàng)目編號(hào)配置說(shuō)明配置告警功能，報(bào)告網(wǎng)絡(luò)流量中對(duì)TCP/IP協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊的相關(guān)告警。安全要求等級(jí)高配置指南Netscreen系列:setzonezonescreenicmp-fragmentSRX系列:setsecurityscreenids-optionicmp-fragmenticmpfragmentsetsecurityzonessecurity-zonezone1screenicmp-fragment檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includezone，如出現(xiàn)setzonezonescreenicmp-fragment，表明已經(jīng)配置SRX系列:showconfigration|displayset，如果出現(xiàn)setsecurityscreenids-optionicmp-fragmenticmpfragment，表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本配置TCP/IP協(xié)議應(yīng)用層異常攻擊告警項(xiàng)目編號(hào)配置說(shuō)明配置告警功能，報(bào)告網(wǎng)絡(luò)流量中對(duì)TCP/IP應(yīng)用層協(xié)議異常進(jìn)行攻擊的相關(guān)告警。安全要求等級(jí)高配置指南Netscreen系列:setzoneuntrustscreencomponent-blockjarsetzoneuntrustscreencomponent-blockexeSRX系列:setsecurityscreenids-optionsyn-fragtcpsyn-fragsetsecurityzonessecurity-zonezone1screensyn-frag檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includezone，如果出現(xiàn)setzoneuntrustscreencomponent-block，表明已經(jīng)配置SRX系列:showconfigration|displayset，如果出現(xiàn)setsecurityscreenids-optionsyn-fragtcpsyn-frag，表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本配置關(guān)鍵字內(nèi)容過(guò)濾項(xiàng)目編號(hào)配置說(shuō)明配置關(guān)鍵字內(nèi)容過(guò)濾功能，在HTTP，SMTP，POP3等應(yīng)用協(xié)議流量過(guò)濾包含有設(shè)定的關(guān)鍵字的報(bào)文。針對(duì)關(guān)鍵字過(guò)濾是應(yīng)用層過(guò)濾機(jī)制，對(duì)系統(tǒng)性能有一定影響。針對(duì)HTTP協(xié)議內(nèi)容訪問(wèn)的網(wǎng)站關(guān)鍵字段，包含暴力、淫穢、違法等類型。可添加內(nèi)容庫(kù)實(shí)現(xiàn)。安全要求等級(jí)低配置指南Netscreen系列:setzonetrustscreenmal-urlperl"scripts/perl.exe"14SRX系列:setcustom-objectsprotocol-commandftpprotocom1setcustom-objectsprotocol-commandftpprotocom1value[userpassporttype]setcustom-objectsfilename-extensionextlist2setcustom-objectsfilename-extensionextlist2value[zipjsvbs]setsurf-control-integratedprofileno-gambligcategoryGamblingactionblocksetsurf-control-integratedprofileno-gambligdefaultpermitsetutm-policywf-onlyweb-filteringhttp-profileno-gambling檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includezone，如果出現(xiàn)setzonetrustscreenmal-urlperl"scripts/perl.exe"14，表明已經(jīng)配置SRX系列:showconfigration|displayset，如果出現(xiàn)setcustom-objectsfilename-extension，表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本控制平面安全配置ACL控制流量控制項(xiàng)目編號(hào)配置說(shuō)明使用合理的ACL或其它分組過(guò)濾技術(shù)，對(duì)設(shè)備控制流量、管理流量及其它由路由器引擎直接處理的流量（如traceroute、ICMP流量）進(jìn)行控制，實(shí)現(xiàn)對(duì)路由器引擎的保護(hù)。安全要求等級(jí)高配置指南Netscreen系列:setpolicynamenamefromtrusttountrustanyipaddressanydenySRX系列:setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchdestination-addressipaddresssetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamematchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamethendeny檢測(cè)方法及判斷依據(jù)Netscreen系列:getconfig|includepolicy，如出現(xiàn)setpolicynamenamefromtrusttountrustanyipaddressanydeny，表明已經(jīng)配置SRX系列:showconfigration|displayset，如出現(xiàn)setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicynamethendeny，表明已經(jīng)配置備注主流ScreenOS版本和JUNOS版本路由安全防護(hù)路由協(xié)議的認(rèn)證和口令加密項(xiàng)目編號(hào)配置說(shuō)明啟用動(dòng)態(tài)IGP（RIPV2、OSPF、ISIS等）或EGP（BGP）協(xié)議時(shí)，啟用路由協(xié)議認(rèn)證功能，如MD5加密，確保與可