Juniper路由安全配置基线.doc

Juniper 路由器安全配置基线 中国移动通信有限公司第 1 页 共 27 页 JuniperJuniper 路由器安全配置基线路由器安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2009 年 03 月 Juniper 路由器安全配置基线 中国移动通信有限公司第 2 页 共 27 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 1 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 Juniper 路由器安全配置基线 中国移动通信有限公司第 3 页 共 27 页 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章账号管理 认证授权账号管理 认证授权 2 2 1账号管理 2 2 1 1管理缺省账户 2 2 1 2删除与设备运行 维护等工作无关的账号 2 2 1 3根据用户的业务需求分配相应的用户级别 3 2 2口令 5 2 2 1静态口令长度 5 2 2 2静态口生存期 5 2 2 3root密码 5 2 2 4帐号 口令和授权的强制要求 6 第第 3 章章日志安全要求日志安全要求 7 3 1日志配置 7 3 1 1记录用户登录 7 3 1 2记录用户对设备的操作 7 3 1 3记录设备相关的安全事件 8 3 1 4设备配置远程日志功能 9 3 1 5设置系统的配置更改信息 9 3 1 6保证日志功能记录的时间的准确性 10 第第 4 章章IP 协议安全配置协议安全配置 12 4 1IP 协议 12 4 1 1远程维护的设备配置加密协议 12 4 1 2启用带加密方式的身份验证功能 12 4 1 3MP BGP路由协议 13 4 1 4OSPF协议配置 13 4 1 5制定路由策略 14 4 1 6SNMP访问安全限制 15 4 1 7关闭未使用的SNMP协议及未使用的RW权限 15 4 1 8SNMP访问安全限制 15 4 1 9配置可接收SNMP消息的主机地址 16 4 1 10RSVP标签分发协议 16 第第 5 章章其他安全要求其他安全要求 18 5 1其他配置 18 Juniper 路由器安全配置基线 中国移动通信有限公司第 4 页 共 27 页 5 1 1定时账户自动登出 18 5 1 2配置consol口密码保护功能 18 5 1 3定期备份配置文件 19 5 1 4关闭不必要的服务 19 5 1 5开启安全防护功能 19 5 1 6SNMP VERSION3协议 20 5 1 7只允许特定地址访问 20 5 1 8远程维护方式连接最大数量限制 21 5 1 9安全访问控制 21 第第 6 章章评审与修订评审与修订 23 Juniper 路由器安全配置基线 中国移动通信有限公司第 1 页 共 27 页 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动管理信息系统部所维护管理的 Juniper 路由器应当遵循的设备安 全性设置标准 本文档旨在指导系统管理人员进行 Juniper 路由器的安全配置 1 2 适用范围适用范围 本配置标准的使用者包括 网络管理员 网络安全管理员 网络监控人员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 Juniper 路由器 1 3 适用版本适用版本 Juniper 路由器 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 Juniper 路由器安全配置基线 中国移动通信有限公司第 2 页 共 27 页 第第 2 章章账号管理 认证授权账号管理 认证授权 2 1 账号管理账号管理 2 1 1 管理缺省账户管理缺省账户 安全基线项安全基线项 目名称目名称 管理缺省账户安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 02 01 01 安全基线项安全基线项 说明说明 应按照不同的用户分配不同的账号 避免不同用户间共享账号 避免用户账 号和设备间通信使用的账号共享 检测操作步检测操作步 骤骤 1 用 show configuration system login 命令查看配置是否正确 2 在终端上用 telnet 方式登录路由器 输入用户名 abc1 和密码 3 在终端上用 telnet 方式登录路由器 输入用户名 abc2 和密码 基线符合性基线符合性 判定依据判定依据 各账号都可以登录路由器为正常 补充操作说明 1 abc1 和 abc2 是两个不同的账号名称 可根据不同用户 取不同的名称 备注备注 2 1 2 删除与设备运行 维护等工作无关的账号删除与设备运行 维护等工作无关的账号 安全基线项安全基线项 目名称目名称 工作无关的账号安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 02 01 02 安全基线项安全基线项 说明说明 应删除与设备运行 维护等工作无关的账号 检测操作步检测操作步 骤骤 1 用 show configuration system login 命令查看配置是否正确 2 在终端上用 telnet 方式登录路由器 输入用户名 abc3 和密码 Juniper 路由器安全配置基线 中国移动通信有限公司第 3 页 共 27 页 补充操作说明 abc3 是与工作无关的账号 基线符合性基线符合性 判定依据判定依据 被删除的与工作无关的账号 abc3 不能登录为正常 备注备注 2 1 3 根据用户的业务需求分配相应的用户级别根据用户的业务需求分配相应的用户级别 安全基线项安全基线项 目名称目名称 根据用户的业务需求分配相应的用户级别安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 02 01 03 安全基线项安全基线项 说明说明 为了控制不同用户的访问级别 建立多用户级别 根据用户的业务需求 将 用户账号分配到相应的用户级别 检测操作步检测操作步 骤骤 创建用户级别 set system login class ABC1 permissions view view configuration 将用户账号分配到相应的用户级别 set system login user abc1 class read only set system login user abc2 class ABC1 set system login user abc3 class super user 补充操作说明 1 ABC1 是手工创建的组 该组具有的权限 查看设备运行状态 如接 口状态 设备硬件状态 路由状态等 并且可以查看设备的配置 2 read only 组具有的权限 查看设备运行状态 但不能查看设备的配 置 3 super user 是超级用户组 具有的权限 所有权限 4 read only 和 super user 是路由器已经创建的组 不需要手工创建 5 abc1 abc2 abc3 是不同的用户 它们分别分配到相应的用户级别 3 判定条件 1 用户 abc1 属于组 read only 这个组只设置了查看设备运行状态权限 因而可使用 show interfaces ters 及其它查看路由器状态的命令 而不能使用 Juniper 路由器安全配置基线 中国移动通信有限公司第 4 页 共 27 页 show configuration 和 configure 命令 2 用户 abc2 属于组 ABC1 这个组设置了查看设备运状态和查看路由 器配置权限 因而可使用 show interfaces ters 和其它查看路由器状态命令及 show configuration 命令 不能使用 configure 命令 3 用户 abc3 属于组 super user 这是超级用户组 具有所有权限 因而 可使用全部命令 基线符合性基线符合性 判定依据判定依据 1 用户 abc1 属于组 read only 这个组只设置了查看设备运行状态权限 因而可使用 show interfaces ters 及其它查看路由器状态的命令 而不能使用 show configuration 和 configure 命令 2 用户 abc2 属于组 ABC1 这个组设置了查看设备运状态和查看路由 器配置权限 因而可使用 show interfaces ters 和其它查看路由器状态命令及 show configuration 命令 不能使用 configure 命令 3 用户 abc3 属于组 super user 这是超级用户组 具有所有权限 因而 可使用全部命令 检测操作 1 用 show configuration system login class ABC1 命令查看配置 2 在终端上用 telnet 方式登录路由器 输入用户名 abc1 和密码成功登录 路由器后 用 show interfaces terse 命令查看端口状态 用 show configuration 命令查看路由器配置 用 configure 命令进入路由器的配置模式 3 在终端上用 telnet 方式登录路由器 输入用户名 abc2 和密码成功登录 路由器后 用 show interfaces terse 命令查看端口状态 用 show configuration 命令查看路由器配置 用 configure 命令进入路由器的配置模式 4 在终端上用 telnet 方式登录路由器 输入用户名 abc3 和密码成功登录 路由器后 用 show interfaces terse 命令查看端口状态 Juniper 路由器安全配置基线 中国移动通信有限公司第 5 页 共 27 页 用 show configuration 命令查看路由器配置 用 configure 命令进入路由器的配置模式 备注备注 2 2 口令口令 2 2 1 静态口令长度静态口令长度 安全基线项安全基线项 目名称目名称 静态口令长度安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 02 02 01 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 口令长度至少 6 位 并包括数字 小写 字母 大写字母和特殊符号 4 类中至少 2 类 检测操作步检测操作步 骤骤 1 用 show configuration system login 命令查看配置是否正确 2 在终端上用 telnet 方式登录路由器 输入用户名 abc1 和密码 基线符合性基线符合性 判定依据判定依据 可以登录路由器为正常 备注备注 2 2 2 静态口生存期静态口生存期 安全基线项安全基线项 目名称目名称 静态口生存期安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 02 02 02 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 账户口令的生存期不长于 90 天 检测操作步检测操作步 骤骤 每隔 90 天修改一次路由器的账号密码以提高安全性 基线符合性基线符合性 判定依据判定依据 备注备注 Juniper 路由器安全配置基线 中国移动通信有限公司第 6 页 共 27 页 2 2 3 root 密码密码 安全基线项安全基线项 目名称目名称 root 密码安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 02 02 03 安全基线项安全基线项 说明说明 修改 root 密码 root 的默认密码是空 修改 root 密码 避免非管理员使用 root 账号登录 检测操作步检测操作步 骤骤 1 用 show configuration system login 命令查看配置是否正确 2 通过 console 口方式登录路由器 输入 root 用户名和密码 3 通过 console 口方式登录路由器 输入 root 用户和空密码 基线符合性基线符合性 判定依据判定依据 1 输入 root 用户和正确密码可以正常登录路由器 2 输入 root 用户和空密码无法登录路由器 备注备注 2 2 4 帐号 口令和授权的强制要求帐号 口令和授权的强制要求 安全基线项安全基线项 目名称目名称 帐号 口令和授权的强制要求安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 02 02 04 安全基线项安全基线项 说明说明 设备通过相关参数配置 与认证系统联动 满足帐号 口令和授权的强制要 求 检测操作步检测操作步 骤骤 1 使用 show configuration system 查看配置 2 查看 Radius 服务器配置 3 用本地账号登录到路由器 ping Radius 服务器地址 10 1 1 1 和 10 1 1 2 4 使用 Raidus 服务器建立的账号通过 telnet 方式登录路由器 5 检查授权内的命令是否可用及其它未授权命令 基线符合性基线符合性 判定依据判定依据 1 可以正常 ping 通 Radius 服务器的 IP 地址 2 用户可以登录路由器为正常 3 用户只能使用授权内的命令 Juniper 路由器安全配置基线 中国移动通信有限公司第 7 页 共 27 页 备注备注 Juniper 路由器安全配置基线 中国移动通信有限公司第 8 页 共 27 页 第第 3 章章日志安全要求日志安全要求 3 1 日志配置日志配置 3 1 1 记录用户登录记录用户登录 安全基线项安全基线项 目名称目名称 记录用户登录安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 03 01 01 安全基线项安全基线项 说明说明 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 1 使用 show configuration system syslog 命令查看配置 2 在终端上使用 tetlnet 方式登录路由器 输入用户名密码 3 使用 show log author log 命令查看日志 基线符合性基线符合性 判定依据判定依据 可以在 author log 中查看到用户名 登录时间和源 IP 等内容 备注备注 3 1 2 记录用户对设备的操作记录用户对设备的操作 安全基线项安全基线项 目名称目名称 记录用户对设备的操作安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 03 01 02 安全基线项安全基线项 说明说明 设备应配置日志功能 记录用户对设备的操作 比如以下内容 账号创建 删除和权限修改 口令修改 读取和修改设备配置 涉及通信隐私数据 记 录需要包含用户账号 操作时间 操作内容以及操作结果 检测操作步检测操作步 骤骤 1 使用 show configuration system syslog 命令查看配置 2 在终端上以 telnet 方式登录路由器 输入用户名密码 3 进行创建 删除帐号和修改用户密码等修改设备配置操作 Juniper 路由器安全配置基线 中国移动通信有限公司第 9 页 共 27 页 4 用 show log message log 查看日志 补充操作说明 1 messages 是记录所有 log 信息的文件 该文件名称可手工定义 2 messages 文件保存在 juniper 路由器的存储器上 基线符合性基线符合性 判定依据判定依据 可以在 message log 中查看到用户的操作内容 操作时间 操作结果等所有 路由器的 log 信息 备注备注 3 1 3 记录设备相关的安全事件记录设备相关的安全事件 安全基线项安全基线项 目名称目名称 记录设备相关的安全事件安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 03 01 03 安全基线项安全基线项 说明说明 设备应配置日志功能 记录对与设备相关的安全事件 比如 记录路由协议 事件和错误 检测操作步检测操作步 骤骤 set system syslog file daemon log daemon warning set system syslog file firewall log firewall warning 补充操作说明 1 daemon log 是记录路由协议事件的文件 该文件名称可手工定义 2 firewall log 是记录安全事件的文件 该文件名称可手工定义 3 daemon 和 firewall 可定义有九个等级 建议将其设定为 warning 等级 即仅记录 warning 等级以上的安全事件 基线符合性基线符合性 判定依据判定依据 1 使用 show configuration 命令查看配置 2 重启路由进程 如 bgp ospf 该操作可能会影响业务 不建议现网 操作 3 使用 show log daemon log 和 show log firewall log 查看日志 备注备注 Juniper 路由器安全配置基线 中国移动通信有限公司第 10 页 共 27 页 3 1 4 设备配置远程日志功能设备配置远程日志功能 安全基线项安全基线项 目名称目名称 设备配置远程日志功能安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 03 01 04 安全基线项安全基线项 说明说明 设备配置远程日志功能 将需要重点关注的日志内容传输到日志服务器 检测操作步检测操作步 骤骤 set system syslog host 10 1 1 1 any notice set system syslog host 10 1 1 1 log prefix Router1 set system syslog host 10 1 1 2 any notice set system syslog host 10 1 1 2 log prefix Router2 补充操作说明 1 10 1 1 1 和 10 1 1 2 是远程日志服务器的 IP 地址 建议建设两个远程 日志服务器作为互备 2 syslog 有九个等级的记录信息 建议将 notice 等级以上的信息传送到 远程日志服务器 3 Router1 为路由器的主机名称 基线符合性基线符合性 判定依据判定依据 1 使用 show configuration system syslog 命令查看配置 2 登录远程日志服务器查看日志 备注备注 3 1 5 设置系统的配置更改信息设置系统的配置更改信息 安全基线项安全基线项 目名称目名称 设置系统的配置更改信息安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 03 01 05 安全基线项安全基线项 说明说明 设置系统的配置更改信息保存到单独的 change log 文件内 检测操作步检测操作步 骤骤 1 使用 show configuration system syslog 命令查看配置 2 在终端上以 telnet 方式登录路由器 输入用户名密码 3 进行创建 删除帐号和修改用户密码等修改设备配置操作 4 用 show log change log 命令查看日志 Juniper 路由器安全配置基线 中国移动通信有限公司第 11 页 共 27 页 基线符合性基线符合性 判定依据判定依据 可以在 change log 中查看到用户的操作内容 操作时间 备注备注补充操作说明 1 change log 是记录配置更改的文件 该文件名称可手工定义 2 change log 文件保存在 juniper 路由器的存储上 3 1 6 保证日志功能记录的时间的准确性保证日志功能记录的时间的准确性 安全基线项安全基线项 目名称目名称 保证日志功能记录的时间的准确性安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 03 01 06 安全基线项安全基线项 说明说明 开启 NTP 服务 保证日志功能记录的时间的准确性 路由器与 NTP SERVER 之间开启认证功能 检测操作步检测操作步 骤骤 1 使用 show configuration system ntp 命令查看配置 2 使用 show system uptime 命令查看路由器时间与并与北京时间对比 3 使用 show ntp associations 查看路由器是否与 NTP 服务器同步 4 使用 show ntp status 查看路由器时间同步状态 基线符合性基线符合性 判定依据判定依据 1 用 show ntp associations 命令查看 信息如下面所示 remote refid st t when poll ROUTER1 10 1 1 1 2 u 641 1024 ROUTER2 10 1 1 2 2 u 713 1024 reach delay offset jitter 377 0 964 24 126 0 067 377 4 490 12 013 0 457 ROUTER1 前面的 号表示 ROUTER1 是已和路由器时间同步的 NTP 服务 器 号为备用的 NTP 服务器 2 有 show ntp status 命令查看 信息如下 status 0644 leap none sync ntp 4 events event peer strat chg version ntpd 4 1 0 a Wed Oct 5 18 44 40 GMT 2005 1 processor i386 system JUNOS7 3R2 7 leap 00 stratum 3 precision 28 rootdelay 9 814 rootdispersion 102 250 peer 42484 refid ROUTER reftime ca227da4 4b3ffac1 Wed Jun 20 2007 0 07 00 293 poll 10 clock ca2280ce 02849cb2 Wed Jun 20 2007 0 20 30 009 state 4 offset 17 830 frequency 85 438 jitter 28 377 stability 0 048 如上面信息的第一句第二部分显示 sync ntp 表示路由器时间已和 NTP Juniper 路由器安全配置基线 中国移动通信有限公司第 12 页 共 27 页 服务器同步 如果显示 sync unspec 即未同步 备注备注补充操作说明 1 abc123 是路由器与 NTP SERVER 之间 md5 认证密码 2 10 1 1 1 和 10 1 1 2 是 NTP SETVER 的 IP 地址 建议建设两个 NTP 服务器作为互备 Juniper 路由器安全配置基线 中国移动通信有限公司第 13 页 共 27 页 第第 4 章章IP 协议安全配置协议安全配置 4 1 IP 协议协议 4 1 1 远程维护的设备配置加密协议远程维护的设备配置加密协议 安全基线项安全基线项 目名称目名称 远程维护的设备配置加密协议安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 04 01 01 安全基线项安全基线项 说明说明 对于使用 IP 协议进行远程维护的设备 设备应配置使用 SSH 等加密协议 检测操作步检测操作步 骤骤 基线符合性基线符合性 判定依据判定依据 海外版的 Junos 不支持 SSH 协议 美国和加拿大版的 Junos 才支持该功能 备注备注 4 1 2 启用带加密方式的身份验证功能启用带加密方式的身份验证功能 安全基线项安全基线项 目名称目名称 启用带加密方式的身份验证功能安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 04 01 02 安全基线项安全基线项 说明说明 配置动态路由协议 BGP MP BGP OSPF 等 时必须启用带加密方式的身 份验证功能 相邻路由器只有在身份验证通过后 才能互相通告路由信息 检测操作步检测操作步 骤骤 1 使用 show configuration protocol 命令查看配置 2 使用 show bgp neighbor 命令查看 BGP 邻居状态 3 使用 show route protocol bgp brief 命令查看 BGP 路由表 4 使用 show ospf neighbor 命令查看 OSPF 邻居状态 5 使用 show route protocol ospf brief 命令查看 OSPF 路由表 6 使用 ping 命令检查路由连通性 基线符合性基线符合性 判定依据判定依据 1 确定配置已经启用加密的身份认证 2 BGP 邻居处于 establish 状态为正常 能学到邻居的路由为正常 Juniper 路由器安全配置基线 中国移动通信有限公司第 14 页 共 27 页 3 OSPF 邻居处于 full 状态为正常 能学到邻居的路由为正常 4 路由能连通为正常 备注备注 4 1 3 MP BGP 路由协议路由协议 安全基线项安全基线项 目名称目名称 MP BGP 路由协议安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 04 01 03 安全基线项安全基线项 说明说明 配置 MP BGP 路由协议 应配置 MD5 加密认证 通过 MD5 加密认证建立 peer 检测操作步检测操作步 骤骤 1 使用 show configuration protocol bgp 命令查看配置 2 使用 show bgp neighbor 命令查看 BGP 邻居状态 3 使用 show route protocol bgp brief 命令查看 BGP 路由表 4 使用 ping 检查路由的连通性 基线符合性基线符合性 判定依据判定依据 1 确认已经启用加密的身份认证 2 BGP 邻居处于 establish 状态为正常 能学到邻居的路由为正常 3 路由能连通为正常 备注备注 参考配置操作 set protocols bgp group abc neighbor 10 1 1 1 authentication key abc123 补充操作说明 1 abc 为 group 的名称 可自行设定 2 10 1 1 1 为对端 peer 的 IP 地址 可根据需求设定 3 abc123 为 MD5 加密认证的认证密码 该密码和对端 peer 的密码要一致 4 1 4 OSPF 协议配置协议配置 安全基线项安全基线项 目名称目名称 OSPF 协议安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 04 01 04 安全基线项安全基线项 对于非点到点的 OSPF 协议配置 应配置 MD5 加密认证 通过 MD5 加密 Juniper 路由器安全配置基线 中国移动通信有限公司第 15 页 共 27 页 说明说明 认证建立 neighbor 检测操作步检测操作步 骤骤 1 使用 show configuration 命令查看配置 2 使用 show ospf neighbor 命令查看 OSPF 邻居状态 3 使用 show route protocol ospf brief 命令查看 OSPF 路由表 4 使用 ping 检查路由连通性 基线符合性基线符合性 判定依据判定依据 1 OSPF 邻居处于 full 状态为正常 能学到邻居的路由为正常 2 路由能连通为正常 备注备注 4 1 5 制定路由策略制定路由策略 安全基线项安全基线项 目名称目名称 路由策略安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 04 01 05 安全基线项安全基线项 说明说明 制定路由策略 禁止发布或接收不安全的路由信息 检测操作步检测操作步 骤骤 1 使用 show policy abc 命令查看配置 2 在邻居的路由器上使用 show route 查看路由表 3 在邻居的路由器上用 ping 命令测试连通性 基线符合性基线符合性 判定依据判定依据 1 邻居路由器只收到被允许发布的路由 2 所发布的路由连通性正常 备注备注参考配置操作 制定发布的路由策略 set policy 可选 ions policy statement abc term a from route filter 10 0 0 0 24 exact set policy 可选 ions policy statement abc term a then accept set policy 可选 ions policy statement abc term b then reject 补充操作说明 1 abc 是路由策略的名称 该名称可自行定义 2 10 0 0 0 24 是将发布 或接收 或者禁止发布 或接收 路由 可根据 具体需求设置 3 制定路由策略之后 必须将该策略应用于路由协议上才生效 4 1 6 SNMP 访问安全限制访问安全限制 安全基线项安全基线项 目名称目名称 SNMP 访问安全限制安全基线要求项 Juniper 路由器安全配置基线 中国移动通信有限公司第 16 页 共 27 页 安全基线编安全基线编 号号 SBL JuniperRouter 04 01 06 安全基线项安全基线项 说明说明 设置 SNMP 访问安全限制 只允许特定主机通过 SNMP 访问网络设备 检测操作步检测操作步 骤骤 1 使用 show configuration snmp 命令查看配置 2 使用 show snmp statistics 命令查看 snmp 统计信息 3 用非允许的主机通过 SNMP 访问网络设备 4 查看 SNMP 主机 基线符合性基线符合性 判定依据判定依据 1 主机 10 1 1 1 和 10 1 2 1 能收到网络设备的 SNMP 信息 2 非允许的主机不能收到网络设备的 SNMP 信息 备注备注 4 1 7 关闭未使用的关闭未使用的 SNMP 协议及未使用的协议及未使用的 RW 权限权限 安全基线项安全基线项 目名称目名称 关闭未使用的 SNMP 协议及未使用的 RW 权限安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 04 01 07 安全基线项安全基线项 说明说明 系统应关闭未使用的 SNMP 协议及未使用的 RW 权限 检测操作步检测操作步 骤骤 1 使用 show configuration snmp 命令查看配置 2 使用 show snmp statistics 命令查看 snmp 统计信息 基线符合性基线符合性 判定依据判定依据 通过查看配置 权限设置符合需求即可 备注备注 4 1 8 SNMP 访问安全限制访问安全限制 安全基线项安全基线项 目名称目名称 SNMP 访问安全限制安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 04 01 09 安全基线项安全基线项 说明说明 系统应配置为 SNMP V2 或以上版本 检测操作步检测操作步 骤骤 使用 show configuration snmp 命令查看配置 基线符合性基线符合性 判定依据判定依据 查看最终配置确认是 version 2 即可 Juniper 路由器安全配置基线 中国移动通信有限公司第 17 页 共 27 页 备注备注 4 1 9 配置可接收配置可接收 SNMP 消息的主机地址消息的主机地址 安全基线项安全基线项 目名称目名称 配置可接收 SNMP 消息的主机地址安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 04 01 09 安全基线项安全基线项 说明说明 系统应配置可接收 SNMP 消息的主机地址 检测操作步检测操作步 骤骤 1 使用 show configuration snmp 命令查看配置 2 查看 IP 地址为 10 1 1 1 和 10 1 2 1 的主机 基线符合性基线符合性 判定依据判定依据 主机 10 1 1 1 和 10 1 2 1 可以收到路由器发过来的 SNMP 信息 备注备注参考配置操作 set snmp trap group abc123 targets 10 1 1 1 set snmp trap group abc123 targets 10 1 2 1 补充操作说明 1 abc123 是 trap group 组的名称 可自行设置 2 10 1 1 1 和 10 1 2 1 是主机 IP 地址 即允许 10 1 1 1 和 10 1 2 1 主机接 收该网络设备的 SNMP 消息 4 1 10RSVP 标签分发协议标签分发协议 安全基线项安全基线项 目名称目名称 RSVP 标签分发协议安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 04 01 10 安全基线项安全基线项 说明说明 启用 RSVP 标签分发协议时 打开 RSVP 协议认证功能 如 MD5 加密 确 保与可信方进行 RSVP 协议交互 检测操作步检测操作步 骤骤 1 使用 show configuration protocols rsvp 命令查看配置 2 使用 show rsvp neighbor 命令查看 rsvp 邻居状态 3 使用 show rsvp session 命令查看 rsvp session 基线符合性基线符合性 判定依据判定依据 各邻居状态为 UP 正常 各 RSVP session 状为 UP 正常 备注备注 Juniper 路由器安全配置基线 中国移动通信有限公司第 18 页 共 27 页 第第 5 章章其他安全要求其他安全要求 5 1 其他配置其他配置 5 1 1 定时账户自动登出定时账户自动登出 安全基线项安全基线项 目名称目名称 定时账户自动登出安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 05 01 01 安全基线项安全基线项 说明说明 对于 Juniper 路由器 应配置定时账户自动登出 检测操作步检测操作步 骤骤 1 使用 show configuration system login class abc 查看配置 2 在终端上用 telnet 方式登录路由器 输入用户名密码 3 让用户处于空闲状态 查看当时间超时是否自动登出 基线符合性基线符合性 判定依据判定依据 当时间超时 用户会自动退出路由器 备注备注 5 1 2 配置配置 consol 口密码保护功能口密码保护功能 安全基线项安全基线项 目名称目名称 consol 口密码保护功能安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 05 01 02 安全基线项安全基线项 说明说明 对于具备 consol 口的设备 应配置 consol 口密码保护功能 检测操作步检测操作步 骤骤 基线符合性基线符合性 判定依据判定依据 Juniper 设备不具有 console 密码 登录方式是通过用户名和该用户名的密码 登录 备注备注 Juniper 路由器安全配置基线 中国移动通信有限公司第 19 页 共 27 页 5 1 3 定期备份配置文件定期备份配置文件 安全基线项安全基线项 目名称目名称 定期备份配置文件安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 05 01 03 安全基线项安全基线项 说明说明 开启配置文件定期备份功能 定期备份配置文件 检测操作步检测操作步 骤骤 1 使用 show configuration system archival 命令查看配置 2 设定为 transfer on commit 模式 3 在路由器上执行 commit 命令 4 在 FTP 服务器 10 1 1 1 和 10 1 1 2 上查看备份文件 基线符合性基线符合性 判定依据判定依据 在路由器上执行 commit 后 路由器将发送当前配置文件到 FTP 服务器 在 FTP 服务器上可查看到最新的配置备份文件 备注备注 5 1 4 关闭不必要的服务关闭不必要的服务 安全基线项安全基线项 目名称目名称 关闭不必要的服务安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 05 01 04 安全基线项安全基线项 说明说明 关闭网络设备不必要的服务 比如 FTP TFTP 服务等 检测操作步检测操作步 骤骤 1 使用 show configuration system services 查看配置 2 通过 ftp 登录 juniper 设备 查看是否可以正常登录 基线符合性基线符合性 判定依据判定依据 1 通过查看路由器配置确认是否配置 FTP 服务 2 通过 ftp 不能登录 juniper 设备 备注备注 5 1 5 开启安全防护功能开启安全防护功能 安全基线项安全基线项 目名称目名称 开启安全防护功能安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 05 01 05 Juniper 路由器安全配置基线 中国移动通信有限公司第 20 页 共 27 页 安全基线项安全基线项 说明说明 开启安全防护功能 如状态防火墙等 如果具备类似功能 检测操作步检测操作步 骤骤 基线符合性基线符合性 判定依据判定依据 Juniper 设备默认已开启安全防护功能 备注备注 5 1 6 SNMP VERSION3 协议协议 安全基线项安全基线项 目名称目名称 SNMP VERSION3 协议安全基线要求项 安全基线编安全基线编 号号 SBL JuniperRouter 05 01 06 安全基线项安全基线项 说明说明 如接受统一网管系统管理 建议配置 SNMP VERSION3 协议 检测操作步检测操作步 骤骤 1 使用 show configuration sn