Juniper网络设备安全加固规范.doc

Juniper 网络设备安全基线规范网络设备安全基线规范 20192019 年年 1010 月月 第 2 页 共 25 页 目录目录 1.1.账号管理、认证授权账号管理、认证授权.3 1.1.账号.3 1.1.1.ELK-Juniper-01-01-013 1.1.2.ELK-Juniper-01-01-023 1.1.3.ELK-Juniper-01-01-034 1.2.口令.5 1.2.1.ELK-Juniper-01-02-015 1.2.2.ELK-Juniper-01-02-026 1.2.3.ELK-Juniper-01-02-038 1.3.认证.9 1.3.1.ELK-Juniper-01-03-019 2.2.日志配置日志配置.10 2.1.1.ELK-JUNIPER-02-01-01.10 2.1.2.ELK-JUNIPER-02-01-02.11 2.1.3.ELK-JUNIPER-02-01-03.12 2.1.4.ELK-JUNIPER-02-01-04.12 2.1.5.ELK-JUNIPER-02-01-05.13 2.1.6.ELK-JUNIPER-02-01-06.14 3.3.通信协议通信协议.15 3.1.1.ELK-JUNIPER-03-01-01.15 3.1.2.ELK-JUNIPER-03-01-02.16 3.1.3.ELK-JUNIPER-03-01-03.17 3.1.4.ELK-JUNIPER-03-01-04.18 3.1.5.ELK-JUNIPER-03-01-05.19 3.1.6.ELK-JUNIPER-03-01-06.20 4.4.设备其他安全要求设备其他安全要求.20 4.1.1.ELK-JUNIPER-04-01-01.20 4.1.2.ELK-JUNIPER-04-01-02.21 4.1.3.ELK-JUNIPER-04-01-03.22 4.1.4.ELK-JUNIPER-04-01-04.23 4.1.5.ELK-JUNIPER-04-01-05.24 第 3 页 共 25 页 1.1.账号管理、认证授权账号管理、认证授权 1.1.账号账号 .1.1.ELK-Juniper-01-01-01ELK-Juniper-01-01-01 编号： ELK-Juniper-01-01-01 名称：按照用户类型分配账号 实施目的： 按照不同的用户分配不同的账号，避免不同用户间共享账 号，避免用户账号和设备间通信使用的账号共享。 问题影响：权限不明确，存在用户越权使用的可能。 系统当前状态：使用 show configuration system login 查看当前配置 实施方案： 1 1、参考配置操作、参考配置操作 set system login user abc1 set system login user abc2 2 2、补充操作说明、补充操作说明 1、abc1和abc2是两个不同的账号名称，可根据不同用户， 取不同的名称； 2、账号取名，建议使用：姓名的简写手机号码。 回退方案： 删除新增加用户 判断依据： 标记用户用途，定期建立用户列表，比较是否有非法用户 实施风险：低 重要等级： .1.2.ELK-Juniper-01-01-02ELK-Juniper-01-01-02 编号： ELK-Juniper-01-01-02 第 4 页 共 25 页 名称：删除无效账号 实施目的： 按照不同的用户分配不同的账号，避免不同用户间共享账 号，避免用户账号和设备间通信使用的账号共享。 问题影响：非法利用系统默认账号 系统当前状态：使用 show configuration system login 查看当前配置 实施方案： 1 1、参考配置操作、参考配置操作 delete system login user abc3 2 2、补充操作说明、补充操作说明 abc3是与工作无关的账号。 回退方案： 增加被删除的用户 判断依据： 查看配置文件，核对用户列表。 实施风险：低 重要等级： .1.3.ELK-Juniper-01-01-03ELK-Juniper-01-01-03 编号： ELK-Juniper-01-01-03 名称：建立分配系统用户组 实施目的： 为了控制不同用户的访问级别，建立多用户级别，根据用 户的业务需求，将用户账号分配到相应的用户级别。 问题影响：账号越权使用 系统当前状态：使用 show configuration system login 查看当前配置 实施方案： 1 1、参考配置操作、参考配置操作 创建用户级别： set system login class ABC1 permissions view view-configuration 将用户账号分配到相应的用户级别： set system login user abc1 class read-only set system login user abc2 class ABC1 第 5 页 共 25 页 set system login user abc3 class super-user 2 2、补充操作说明、补充操作说明 （1） 、ABC1 是手工创建的组，该组具有的权限：查看设 备运行状态（如接口状态、设备硬件状态、路由状态等） ， 并且可以查看设备的配置； （2） 、read-only 组具有的权限：查看设备运行状态， 但不能查看设备的配置； （3） 、super-user 是超级用户组，具有的权限：所有权 限； （4） 、read-only 和 super-user 是路由器已经创建的组， 不需要手工创建； （5） 、abc1、abc2、abc3 是不同的用户，它们分别分配到 相应的用户级别。 回退方案： 还原系统配置文件 判断依据： 使用 show configuration system login 查看当前配置 实施风险：高 重要等级： 1.2.口令口令 .2.1.ELK-Juniper-01-02-01ELK-Juniper-01-02-01 编号： ELK-Juniper-01-02-01 名称：提高口令强度 实施目的： 对于采用静态口令认证技术的设备，口令长度至少 6 位， 并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。 问题影响：增加密码被暴力破解的成功率 系统当前状态：使用 show configuration system login 查看当前配置 第 6 页 共 25 页 实施方案： 1 1、参考配置操作、参考配置操作 set system login user abc1 authentication plain- text-password 2 2、补充操作说明、补充操作说明 （1） 、输入指令回车后，将两次提示输入新口令（New password:和 Retype new password:） 。 （2） 、口令要求：长度至少 6 位，并包括数字、小写字母、 大写字母和特殊符号 4 类中至少 2 类。 回退方案： 还原系统配置文件 判断依据： 使用 show configuration system login 查看当前配置 实施风险：低 重要等级： .2.2.ELK-Juniper-01-02-02ELK-Juniper-01-02-02 编号： ELK-Juniper-01-02-02 名称：根据用户的业务需要配置其所需的最小权限 实施目的： 在设备权限配置能力内，根据用户的业务需要，配置其所 需的最小权限。 问题影响：越权使用，非法访问。 系统当前状态：使用 show configuration system login 查看当前配置 实施方案： （1） 、用 show configuration system login class ABC1 命令查 看配置 （2） 、用 show configuration system login class ABC2 命令查 看配置 （3） 、在终端上用 telnet 方式登录路由器,输入用户名 abc1 和密码 成功登录路由器后，用 configure 命令进入配置模式。 使用以下命令检测： set routing-可选 ions static 第 7 页 共 25 页 set interfaces set chassis fpc 使用其它 set 命令 （4） 、在终端上用 telnet 方式登录路由器,输入用户名 abc2 和密码成功登录路由器后，用 configure 命令进入配置模式。 使用以下命令检测： set policy-可选 ions set protocols set routing-instances set routing-可选 ions 使用其它 set 命令 （5） 、在终端上用 telnet 方式登录路由器,输入用户名 abc3 和密码成功登录路由器后，用 configure 命令进入配置模式。 使用 set 命令以及其它命令检测。 回退方案： 使用 show configuration system login 查看当前配置。 还原系统配置文件。 判断依据： （1） 、账号 abc1 属于组 ABC1，该组只能配置 routing-可选 ions static、interfaces、 Chassis fpc 项里的内容。不能做其 它未授权的配置； （2） 、账号 abc2 属于组 ABC2，该组只能配置关于路由的 所有配置，包括 routing-可选 ions、protocols、policy-可选 ions、routing-instances 等，不能做其它未授权的配置； （3） 、账号 abc3 属于组 super-user，拥有全部配置权限。 备注： 创建用户级别，即创建用户的配置权限： set system login class ABC1 permissions configure set system login class ABC1 allow-configuration “routing-可选 ions static|interfaces|chassis fpc“ set system login class ABC2 permissions configure routing- 第 8 页 共 25 页 control 将用户账号分配到相应的用户级别： set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super-user 2、补充操作说明 （1） 、ABC1 组具有的权限：可配置 interfaces，可配置 routing-可选 ions 中的 static，可配置 chassis 中的 fpc； （2） 、ABC2 组具有的权限：可配置有关于路由的所有配置， 包括 routing-可选 ions、protocols、policy-可选 ions、routing-instances 等； （3） 、allow-configuration 参数是以等级来限制，可以限制 各个等级的配置，可以细化到各个小等级； （4） 、permissions 参数是以功能来限制，限制的范围较大； （5） 、allow-commands 参数是以具体的指令来限制，allow- comands 参数需要设定具体指令,不建议使用。 实施风险：低 重要等级： .2.3.ELK-Juniper-01-02-03ELK-Juniper-01-02-03 编号： ELK-Juniper-01-02-03 名称：提高 ROOT 用户口令强度 实施目的： 修改 root 密码。root 的默认密码是空，修改 root 密码， 避免非管理员使用 root 账号登录。 问题影响：增加密码被暴力破解的成功率 系统当前状态：使用 show configuration system login 查看当前配置 第 9 页 共 25 页 实施方案： 1 1、参考配置操作、参考配置操作 （1） 、用 show configuration system login 命令查看配置是否 正确； （2） 、通过 console 口方式登录路由器,输入 root 用户名和 密码； （3） 、通过 console 口方式登录路由器，输入 root 用户和空 密码。 2 2、补充操作说明、补充操作说明 （1） 、输入指令回车后，将两次提示输入新口令（New password:和 Retype new password:） 。 （2） 、口令要求：长度至少 6 位，并包括数字、小写字母、 大写字母和特殊符号 4 类中至少 2 类。 回退方案： 还原系统配置文件 判断依据： （1） 、输入 root 用户和正确密码可以正常登录路由器； （2） 、输入 root 用户和空密码无法登录路由器。 实施风险：低 重要等级： 1.3.认证认证 .3.1.ELK-Juniper-01-03-01ELK-Juniper-01-03-01 编号： ELK-Juniper-01-03-01 名称：设置认证系统联动 实施目的： 设备通过相关参数配置，与认证系统联动，满足帐号、口 令和授权的强制要求。 问题影响：密码泄露。 系统当前状态： 使用 show configuration system login 查看当前配置 并 查看 Radius 服务器配置 第 10 页 共 25 页 实施方案： 1 1、参考配置操作、参考配置操作 set system authentication-order radius set system authentication-order password set system radius-server set system radius-server set system radius-server port 1645 set system radius-server port 1645 set system radius-server secret abc123 set system radius-server secret abc123 2 2、补充操作说明、补充操作说明 （1） 、配置认证方式，可通过 radius 和本地认证； （2） 、和是 radius 认证服务器的 IP 地 址，建议建立两个 radius 认证服务器作为互备； （3） 、port 1645 是 radius 认证开启的端口号，可根据本 地 radius 认证服务器开启的端口号进行配置； （4） 、abc123是与 radius 认证系统建立连接所设定的密码， 建议：与 radius 认证服务器建立连接时，使用密码认证建 立连接。 回退方案： 还原系统配置文件 判断依据： 使用 show configuration system login 查看当前配置 实施风险：低 重要等级： 2.2.日志配置日志配置 本部分对 JUNIPER 设备的日志功能提出建议，主要加强设备所具备的日 志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。 根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全 策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具， 发现安全隐患。如出现大量违反 ACL 规则的事件时，通过对日志的审计分析， 第 11 页 共 25 页 能发现隐患，提高设备维护人员的警惕性，防止恶化。 .1.1.ELK-Juniper-02-01-01ELK-Juniper-02-01-01 编号： ELK-Juniper-02-01-01 名称：开启系统日志功能 实施目的： 设备应配置日志功能，记录用户对设备的操作，比如：账 号创建、删除和权限修改，口令修改，读取和修改设备配 置，涉及通信隐私数据。记录需要包含用户账号，操作时 间，操作内容以及操作结果。 问题影响：无法对用户的登陆进行日志记录。 系统当前状态：使用 show configuration system syslog 查看当前配置 实施方案： 1 1、参考配置操作、参考配置操作 set system syslog file author.log authorization info 2 2、补充操作说明、补充操作说明 （1） 、author.log 是记录登录信息的 log 文件，该文件名 称可手工定义； （2） 、author.log 文件保存在 juniper 路由器的存储上。 回退方案： 还原系统配置文件 判断依据： 使用 show configuration system syslog 查看当前配置 实施风险：低 重要等级： .1.2.ELK-Juniper-02-01-02ELK-Juniper-02-01-02 编号： ELK-Juniper-02-01-02 名称：开启系统安全日志功能 实施目的： 设备应配置日志功能，记录对与设备相关的安全事件，比 如：记录路由协议事件和错误。 问题影响：无法记录路由协议事件和错误。 第 12 页 共 25 页 系统当前状态：使用 show configuration 查看当前配置 实施方案： 1 1、参考配置操作、参考配置操作 set system syslog file daemon.log daemon warning set system syslog file firewall.log firewall warning 2 2、补充操作说明、补充操作说明 （1） 、daemon.log 是记录路由协议事件的文件，该文件名 称可手工定义； （2） 、firewall.log 是记录安全事件的文件，该文件名称 可手工定义； （3） 、daemon 和 firewall 可定义有九个等级，建议将其设 定为 warning 等级，即仅记录 warning 等级以上的安全 事件。 回退方案： 还原系统配置文件 判断依据： 使用 show configuration 查看当前配置 实施风险：中 重要等级： .1.3.ELK-Juniper-02-01-03ELK-Juniper-02-01-03 编号： ELK-Juniper-02-01-03 名称：设置配置更改日志路径 实施目的： 设置系统的配置更改信息保存到单独的 change.log 文件内。 问题影响：暴露系统日志。 系统当前状态：使用 show configuration system syslog 查看当前配置 实施方案： 1 1、参考配置操作、参考配置操作 set system syslog file change.log change-log info 2 2、补充操作说明、补充操作说明 （1） 、change.log 是记录配置更改的文件，该文件名称可 手工定义； （2） 、change.log 文件保存在 juniper 路由器的存储上。 第 13 页 共 25 页 回退方案： 还原系统配置文件 判断依据： 使用 show configuration system syslog 查看当前配置 实施风险：中 重要等级： .1.4.ELK-Juniper-02-01-04ELK-Juniper-02-01-04 编号： ELK-Juniper-02-01-04 名称：设置配置远程日志功能 实施目的： 设备配置远程日志功能，将需要重点关注的日志内容传输 到日志服务器。 问题影响：丢失重要日志。 系统当前状态：使用 show configuration system syslog 命令查看配置 实施方案： set system syslog host any notice set system syslog host log-prefix Router1 set system syslog host any notice set system syslog host log-prefix Router2 补充操作说明 （1） 、 和 是远程日志服务器的 IP 地址，建 议建设两个远程日志服务器作为互备； （2） 、syslog 有九个等级的记录信息，建议将 notice 等级以 上的信息传送到远程日志服务器； （3） 、Router1 为路由器的主机名称。 回退方案： 还原系统配置文件 判断依据： （1） 、使用 show configuration system syslog 命令查看配置； （2） 、登录远程日志服务器查看日志。 实施风险：中 第 14 页 共 25 页 重要等级： .1.5.ELK-Juniper-02-01-05ELK-Juniper-02-01-05 编号： ELK-Juniper-02-01-05 名称：设置系统的配置更改信息 实施目的：设置系统的配置更改信息保存到单独的 change.log 文件内 问题影响：丢失重要日志。 系统当前状态：使用 show configuration system syslog 命令查看配置 实施方案： （1） 、使用 show configuration system syslog 命令查看配置； （2） 、在终端上以 telnet 方式登录路由器,输入用户名密码； （3） 、进行创建、删除帐号和修改用户密码等修改设备配 置操作； （4） 、用 show log change.log 命令查看日志。 回退方案： 使用 show configuration system syslog 命令查看配置，恢复 默认配置 判断依据： 可以在 change.log 中查看到用户的操作内容、操作时间 实施风险：中 重要等级： .1.6.ELK-Juniper-02-01-06ELK-Juniper-02-01-06 编号： ELK-Juniper-02-01-06 名称：保证日志功能记录的时间的准确性。 实施目的： 开启 NTP 服务，保证日志功能记录的时间的准确性。路由 器与 NTP SERVER 之间开启认证功能。 问题影响：丢失重要日志。 系统当前状态：使用 show configuration system syslog 命令查看配置 第 15 页 共 25 页 实施方案： （1） 、使用 show configuration system ntp 命令查看配置； （2） 、使用 show system uptime 命令查看路由器时间与并与 北京时间对比； （3） 、使用 show ntp associations 查看路由器是否与 NTP 服 务器同步； （4） 、使用 show ntp status 查看路由器时间同步状态。 回退方案： 使用 show configuration system syslog 命令查看配置，恢复 默认配置 判断依据： （1） 、用 show ntp associations 命令查看，信息如下面所示: remote refid st t when poll = * ROUTER1 2 u 641 1024 + ROUTER2 2 u 713 1024 reach delay offset jitter = 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1 前面的(*)号表示 ROUTER1 是已和路由器时间 同步的 NTP 服务器,(+)号为备用的 NTP 服务器. （2） 、有 show ntp status 命令查看，信息如下: status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version=“ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1)“, processor=“i386“, system=“JUNOS7.3R2.7“, leap=00, stratum=3, precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484, refid=ROUTER , reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10, clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4, offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 如上面信息的第一句第二部分显示”sync_ntp”表示路由 器时间已和 NTP 服务器同步,如果显示”sync_unspec”即未 同步.。 实施风险：中 重要等级： 第 16 页 共 25 页 3.3.通信协议通信协议 .1.1.ELK-Juniper-03-01-01ELK-Juniper-03-01-01 编号： ELK-Juniper-03-01-01 名称：OSPF 协议安全 实施目的： 对于非点到点的 OSPF 协议配置，应配置 MD5 加密认证， 通过 MD5 加密认证建立 neighbor 问题影响：恶意攻击 系统当前状态：使用 show configuration protocols rsvp 查看当前配置 实施方案： 1） 、使用 show configuration 命令查看配置 2） 、使用 show ospf neighbor 命令查看 OSPF 邻居状态 3） 、使用 show route protocol ospf brief 命令查看 OSPF 路由 表 4） 、使用 ping 检查路由连通性 回退方案： 还原系统配置文件 判断依据： 1） 、OSPF 邻居处于 full 状态为正常,能学到邻居的路由为正 常 2） 、路由能连通为正常 实施风险：低 重要等级： .1.2.ELK-Juniper-03-01-02ELK-Juniper-03-01-02 编号： ELK-Juniper-03-01-02 名称：启用带加密方式的身份验证 实施目的： 配置动态路由协议（BGP/ MP-BGP /OSPF 等）时必须启用 带加密方式的身份验证功能，相邻路由器只有在身份验证 通过后，才能互相通告路由信息。 问题影响：非法访问， 第 17 页 共 25 页 系统当前状态： 使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看当前配置 实施方案： （1） 、使用 show configuration protocol 命令查看配置； （2） 、使用 show bgp neighbor 命令查看 BGP 邻居状态； （3） 、使用 show route protocol bgp brief 命令查看 BGP 路由 表； （4） 、使用 show ospf neighbor 命令查看 OSPF 邻居状态； （5） 、使用 show route protocol ospf brief 命令查看 OSPF 路 由表； （6） 、使用 ping 命令检查路由连通性。 回退方案： 使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看当前配置， 还原给原始状态。 判断依据： 1） 、确定配置已经启用加密的身份认证； 2） 、BGP 邻居处于 establish 状态为正常，能学到邻居的路 由为正常； 3） 、OSPF 邻居处于 full 状态为正常,能学到邻居的路由为正 常； 4） 、路由能连通为正常。 实施风险：中 重要等级： .1.3.ELK-Juniper-03-01-03ELK-Juniper-03-01-03 编号： ELK-Juniper-03-01-03 名称：过滤所有和业务不相关的流量 实施目的： 对于具备 TCP/UDP 协议功能的设备，设备应根据业务需要， 配置基于源 IP 地址、通信协议 TCP 或 UDP、目的 IP 地址、 源端口、目的端口的流量过滤，过滤所有和业务不相关的 流量。 问题影响：恶意攻击。 系统当前状态：使用 show configuration firewall filter abc 查看配置 第 18 页 共 25 页 实施方案： （1） 、使用 show configuration firewall filter abc 查看配置 （2） 、将终端的 IP 地址设为: （3） 、在终端上安装 Nmap 端口扫描工具(本例基于 windowsXP2 系统) （4） 、在 DOS 下输入：nmap -sS -g 445 p 145 这 指令的意思是以源端口为 445 来访问主机 IP 为 的 TCP145 端口。 （5） 、用 namp 访问其它非业务端口，如访问 80 端口，在 DOS 下输入： nmap sS p 80 这指令的意思是以任何端口访问 的 TCP80 端口 （6） 、运行真实业务测试业务流量和非业务流量。 回退方案： 还原系统配置文件 判断依据： 使用 show configuration firewall filter abc 查看配置，还原为 原始状态。 实施风险：中 重要等级： .1.4.ELK-Juniper-03-01-04ELK-Juniper-03-01-04 编号： ELK-Juniper-03-01-04 名称：配置 MP-BGP 的 MD5 加密认 实施目的： 配置 MP-BGP 路由协议，应配置 MD5 加密认证，通过 MD5 加 密认证建立 peer。 问题影响：信息泄露。 系统当前状态：使用 show configuration protocol bgp 查看当前配置 第 19 页 共 25 页 实施方案： 1 1、参考配置操作、参考配置操作 set protocols bgp group abc neighbor authentication-key abc123 2 2、补充操作说明、补充操作说明 1） 、abc为 group 的名称，可自行设定； 2） 、为对端 peer 的 IP 地址，可根据需求设定； 3） 、abc123为 MD5 加密认证的认证密码，该密码和对端 peer 的密码要一致。 回退方案： 还原系统配置文件 判断依据： 使用 show configuration protocol bgp 查看当前配置 实施风险：中 重要等级： .1.5.ELK-Juniper-03-01-05ELK-Juniper-03-01-05 编号： ELK-Juniper-03-01-05 名称：设置 SNMP 访问安全限制 实施目的： 设置 SNMP 访问安全限制，只允许特定主机通过 SNMP 访问 网络设备。 问题影响：非法登陆。 系统当前状态：使用 show configuration snmp 查看当前配置 实施方案： 1 1、参考配置操作、参考配置操作 set snmp community abcd123 clients /32 set snmp community abcd123 clients /32 set snmp community abcd123 clients ready-only 2 2、补充操作说明、补充操作说明 1） 、abcd123是 communtity 字符串，可自行定义，但必须 和 client 的主机一致； 2） 、和是主机 IP 地址，即允许 .和主机通过 SNMP 访问网络设备； 3） 、未在 client 列表中的主机，不允许通过 SNMP 访问网 络设备。 第 20 页 共 25 页 4） 、设置主机访问网络设备具有读的权限，可根据需求设 置为具有读写的权限（read-write） 。 回退方案： 还原系统配置文件 判断依据： 使用 show configuration snmp 查看当前配置 实施风险：高 重要等级： .1.6.ELK-Juniper-03-01-06ELK-Juniper-03-01-06 编号： ELK-Juniper-03-01-06 名称：RSVP 标签分发协议 实施目的： 启用 RSVP 标签分发协议时，打开 RSVP 协议认证功能，如 MD5 加密，确保与可信方进行 RSVP 协议交互。 问题影响：非法登陆。 系统当前状态：使用 show configuration protocols rsvp 查看当前配置 实施方案： 1 1、参考配置操作、参考配置操作 set protocols rsvp interface fe-0/0/0.0 authentication-key abc123 2 2、补充操作说明、补充操作说明 abc123 为 MD5 加密密码。 回退方案： 还原系统配置文件 判断依据： 各邻居状态为 UP 正常 各 RSVP session 状为 UP 正常 实施风险：中 重要等级： 第 21 页 共 25 页 4.4.设备其他安全设备其他安全要求要求 .1.1.ELK-Juniper-04-01-01ELK-Juniper-04-01-01 编号： ELK-Juniper-04-01-01 名称：开启配置定期备份 实施目的：开启配置文件定期备份功能，定期备份配置文件。 问题影响：容易丢失数据。 系统当前状态：使用 show configuration system archival 查看当前配置 实施方案： 1 1、参考配置操作、参考配置操作 set system archival configuration transfer-interval 2880 set system archival configuration archive-sites ftp:/juniper password abc123 set system archival configuration archive-sites ftp:/juniper password abc123 2 2、补充操作说明、补充操作说明 1） 、2880是时间间隔，单位是分钟，时间间隔可设置的范 围为 152880; 2） 、juniper 是 ftp 的用户名称，和是 ftp 服务器的 IP 地址，abc123是登录 frp 服务器的密 码；建议设置两个 IP 地址作为互备； 3） 、定期备份仅能通过 ftp 服务备份； 4） 、通过定期备份配置文件，时间间隔较短，即备份比较 频繁，建议采用 transfer-on-commit 方式，即只要执 行 commit 指令，配置将自动备份到 ftp 服务器，指令 为 set system archival configuration transfer-on- commit； 5） 、transfer-interval 和 transfer-on-commit 方式不能 共存。 回退方案： 还原系统配置文件 判断依据： 使用 show configuration system archival 查看当前配置 第 22 页 共 25 页 实施风险：高 重要等级： .1.2.ELK-Juniper-04-01-02ELK-Juniper-04-01-02 编号： ELK-Juniper-04-01-02 名称：关闭不必要服务 实施目的：关闭网络设备不必要的服务，比如 FTP、TFTP 服务等。 问题影响：对系统造成不稳定。 系统当前状态：使用 show configuration system services 查看当前配置 实施方案： 1 1、参考配置操作、参考配置操作 delete system services ftp 2 2、补充操作说明、补充操作