F5-BIG-IP-LTM-安全安全加固建议.doc

F5 BIG-IP LTM安全加固建议2022-04-1910目 录1. 用户安全加固 1 为每个用户设置不同登录帐号 1 为每个用户设置不同的管理权限 1 删除无关用户 22. 密码安全加固 2 强制安全密码策略管理 2 缺省用户密码安全加固 43. 网络访问管理 4 Self IP和Float IP网络访问管理 4 限制SSH登录IP管理 5 限制HTTPS登录IP管理 64. 登录行为管理 6 WebUI用户访问超时管理 6 SSH用户登录超时管理 7 WebUI最大管理访问连接数管理 75. SNMP访问管理 8 限制SNMP访问管理 8 SNMP密码管理 96. 其他安全加固 10 用户登录日志管理 10 NTP时间同步 101. 用户安全加固1.1 为每个用户设置不同登录帐号建议为每个使用设备的用户分配不同的帐号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享选择WebUI->System->users菜单可以为用户创建帐号：1.2 为每个用户设置不同的管理权限F5可以对用户的权限进入分级设置，以严格划分各级用户的权限，以保证设备的安全建议对各种不同管理权限的用户按角色分配权限。

常用的F5用户角色为：l Guest：允许查看所有的object，同时修改其用户密码l Operator：允许enable/disable节点和pool member，同时查看所有的object，修改自己密码l Manager：允许创建、修改、删除Virtual server，Pools，Pool members，nodes，profiles，customer monitor，iRule，查看所有的object，修改自己的密码l Administrator：F5 WebUI的所有的权限，同时可以同步双机的配置，可以用bigpipe load和bigpipe save命令，可以修改自己的密码选择WebUI->System->users->创建新用户时，可以选择用户的Role：1.3 删除无关用户应检查F5的用户列表，对于与设备运行、运维无关的用户帐号，进行删除选择WebUI->System->users菜单可以检查用户帐号注：admin和root用户是一定不能删除的2. 密码安全加固2.1 强制安全密码策略管理对于F5用户的密码，可以采用强制安全密码策略，来提高用户密码的安全强制安全密码策略，可以强制用户密码的长度，密码的大小写、数字、有效期、多少次登录失败会被锁定等策略。

选择WebUI->System->Users->Authentication中，把Secure Password Enforcement选择成enable，则后面的各选择项可以进行选择：建议选择：A. 密码长度最小长度为8位 （Minmum Length)B. 密码要求至少有两个数字和两个大写的字母 (Required Characters: Numeric, Uppercase)C. 当前设置密码与以前使用过的4次密码不能重复（Password Memory）D. 密码的有效期为120天（Maximum Duration)E. 建议4次密码失效会锁定用户（Maximun Login Failures)2.2 缺省用户密码安全加固设备初始化时，每台F5对于root用户和admin用户都有缺省的密码，用户在对F5进行配置时，必须修改root用户和admin用户的缺省密码选择WebUI->System->Platform可以修改root用户和admin用户的密码：3. 网络访问管理3.1 Self IP和Float IP网络访问管理对于F5 LTM网络设备，建议通过F5的管理接口对F5设备进行管理，而对于业务vlan的Self IP和Float IP（专门用于F5 Network failover、F5配置同步、F5 mirror的vlan的self IP除外，这个vlan我们建议两台F5直接连接）建议不开放任何网络管理功能，建议把这些接口的Port Lockdown功能选择为allow none。

选择WebUI->Network->Self IPs选择相应IP地址进入，在Port Lockdown处选择allow none3.2 限制SSH登录IP管理为了加强对F5设备的SSH登录管理，可以对能SSH登录F5设备的IP地址进行限制，以限定只有特定的IP地址或网段才能登录F5设备选择WebUI->System->Platform中，在SSH IP Allow中指定允许远程SSH的IP网段和具体IP地址，中间以空格键隔开如希望限定只有网段和 IP地址，请在Specify Range中输入 3.3 限制HTTPS登录IP管理为了加强对F5设备的HTTPS登录管理，可以对能HTTPS登录F5设备的IP地址进行限制，以限定只有特定的IP地址或网段才能登录F5设备SSH登录到F5上，采用以下的命令可以对登录HTTPS的IP地址进行设置：bigpipe httpd allow addex:bigpipe httpd allow addbigpipe httpd allow / add4. 登录行为管理4.1 WebUI用户访问超时管理对于用户登录WebUI，可以设置其session的timeout时间，过了相应的timeout时间后，用户需要重新login。

建议修改成600秒选择WebUI->System->Preferences中的Idle time before automatic logout进行设置4.2 SSH用户登录超时管理在缺省情况下，F5的SSH登录不会自动超时要配置SSH登录自动超时，可以按以下的方式进行配置：登录F5的命令行，输入以下的命令（版本及以后版本支持）：tmsh modify sys sshd inactivity-timeout 建议自动超时时间设置为600秒4.3 WebUI最大管理访问连接数管理由于HTTPS访问F5的WebUI会消耗F5的资源，一般不允许太多的用户同时登录F5的WebUIF5允许对于同时登录F5 WebUI的数量进行限制选择WebUI->System->preferences中，选择advance菜单，然后设置Maximum HTTP Connections to Configuration Utility 的数值（最小值为10）5. SNMP访问管理5.1 限制SNMP访问管理为了加强SNMP agent网管工作站对F5网络设备的SNMP访问，建议对允许SNMP agent网管工作站访问F5的IP地址进行限制。

选择WebUI->System->SNMP->Configuration，在Client Allow List中输入可以访问F5的SNMP agent网管工作站的IP地址：5.2 SNMP密码管理对于SNM的密码，建议采用的Community的口令，需要为非常规private或者public，并且符合口令强度要求（建议长度不小于8位，需要包含2个数字和2个大写字母）6. 其他安全加固6.1 用户登录日志管理在v10，F5的WebUI和SSH登录日志会记录于/var/log/secure文件下，如：[root@gtm:Active] log # more auditJul 18 20:16:00 local/gtm info sshd(pam_audit)[10904]: 01070417:6: AUDIT - user root - RAW: sshd(pam_audit): user=root(root) partition=[All] level=Administrator tty=ssh host=192. attempts=1 start="Wed Jul 18 20:16:00 2012".[root@gtm:Active] log # more auditJul 18 20:16:00 local/gtm info sshd(pam_audit)[10904]: 01070417:6: AUDIT - user root - RAW: sshd(pam_audit): user=root(root) partition=[All] level=Administrator tty=ssh host=192. attempts=1 start="Wed Jul 18 20:16:00 2012".[root@gtm:Active] log # more secureJul 18 20:16:00 local/gtm info sshd(pam_audit)[10904]: user=root(root) partition=[All] level=Administrator tty=ssh host= attempts=1 start="Wed Jul 18 20:16:00 2012".Jul 18 20:16:00 local/gtm info sshd(pam_audit)[10904]: 01070417:6: AUDIT - user root - RAW: sshd(pam_audit): user=root(root) partition=[All] level=Administrator tty=ssh host=192. attempts=1 start="Wed Jul 18 20:16:00 2012".6.2 NTP时间同步建议开启F5的NTP服务，保证日志功能记录的时间的准确性。

选择WebUI->System->Configuration->Device下的NTP菜单，可以在Time Server List下输出NTP Server的地址。