欢迎来到天天文库
浏览记录
ID:37862522
大小:119.00 KB
页数:20页
时间:2019-06-01
《NetScreen防火墙安全配置指导手册》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、1网管及认证问题1.1远程登录一般而言,维护人员都习惯使用CLI来进行设备配置和日常管理,使用Telnet工具来远程登录设备,并且大部分设备都提供标准的Telnet接口,开放TCP23端口。虽然Telnet在连接建立初期需要进行帐号和密码的核查,但是在此过程,以及后续会话中,都是明文方式传送所有数据,容易造窃听而泄密。同时Telnet并不是一个安全的协议。要求采用SSH协议来取代Telnet进行设备的远程登录,SSH与Telnet一样,提供远程连接登录的手段。但是SSH传送的数据(包括帐号和密码)都会被加密,且
2、密钥会自动更新,极大提高了连接的安全性。SSH可以非常有效地防止窃听、防止使用地址欺骗手段实施的连接尝试。规范的配置文档提供远程登陆SSH开启的方式,和SSH相关属性的设置,如:超时间隔、尝试登录次数、控制连接的并发数目、如何采用访问列表严格控制访问的地址。1.1.1启用SSH【应用网络层次】:所有层面防火墙设备【影响】:无【注意事项】:配置SCS后,工作站需采用支持SSH2的客户端软件,对防火墙进行管理。【具体配置】:1、进入Netscreen防火墙的操作系统WebUI界面2、选择菜单Configuratio
3、n>Admin>Management3、选择EnableSCS并应用4、选择Network>Interfaces,针对每个interface进行配置5、在Network>Interfaces(Edit)>Properties: Basic >ServiceOptions>20/20ManagementServices6、选择SCS,禁用telnet1.1.1限制登录尝试次数为了防止穷举式密码试探,要求设置登录尝试次数限制,建议为3次。当系统收到一个连接请求,若提供的帐号或密码连续不能通过验证的的次数超过设
4、定值,就自动中断该连接。【应用网络层次】:所有层面防火墙设备【影响】:无【具体配置】:1、进入Netscreen防火墙的操作系统CLI命令行界面2、输入命令:setadminaccessattempts1.1.2限制ROOT登录由于ROOT管理员具有最高权限,为了避免ROOT管理员密码被窃取后造成威胁,可以限制ROOT用户只能通过CONSOLE接口访问设备,而不能远程登录。【应用网络层次】:所有层面防火墙设备【影响】:无【具体配置】:1、进入Netscreen防火墙的操作系统CLI命令行界面2、
5、输入命令:setadminrootaccessconsole1.1.3访问限制1.1.3.1启用只接受管理流量的逻辑管理IP地址任何绑定到安全区段的接口都至少可以具有两个IP地址:一个连接到网络的接口IP地址;一个用于接收管理流量的逻辑管理IP20/20地址。从网络用户流量分离管理流量大大增加了管理安全性,并确保了稳定的管理带宽。【应用网络层次】:所有层面防火墙设备【影响】:无【具体配置】:1、进入Netscreen防火墙的操作系统WebUI界面2、选择菜单Network>Interfaces>Edit(选择需
6、要定义管理IP的接口)ZoneName:Trust(假设定义在Trust区段)IPAddress/Netmask:210.1.1.1/24(接口地址)ManageIP:210.1.1.2(管理地址)ManagementServices:WebUI,Telnet,SNMP:(选择需要的服务)1.1.1.1限制可登录的访问地址缺省情况下,可信接口上的任何主机都可管理NetScreen设备。要限制对特定工作站的管理能力,必须配置管理客户端IP地址。【应用网络层次】:所有层面防火墙设备【影响】:无【注意事项】:管理客户
7、端IP地址的指派立即生效。如果通过网络连接对设备进行管理,而工作站不包括在指派中,则NetScreen设备立即终止当前会话,并且不再能从该工作站管理设备。【具体配置】:1、进入Netscreen防火墙的操作系统WebUI界面2、选择菜单Configuration>Admin>PermittedIps3、设置管理工作站的单一地址或一段地址1.2帐号和密码管理20/20建议应在日常维护过程中周期性地(至少按季度)更改登录密码,甚至登录帐号。当外方人员需要登录设备时,应创建临时帐号,并指定合适的权限。临时帐号使用完后
8、应及时删除。登录帐号及密码的保管和更新应由专人负责,并注意保密。帐号名字应该与使用者存在对应关系,如能反应使用者的级别、从属关系。为了提高安全性,在方便记忆的前提下,帐号名字应尽量混用字符的大小写、数字和符号,提高猜度的难度。同样的,密码必须至少使用四种可用字符类型中的三种:小写字母、大写字母、数字和符号,而且密码不得包含用户名或用户全名的一部分。一般情况下密码至少包含8个字符。我们建
此文档下载收益归作者所有