陕西移动JUNIPER路由器安全配置操作指南

1、中国移动通信 china mobile陕 西移动 通信企 业标准qb-xx-xxx-xxxx陕西移动juniper路由器安全配置操作指南（注juniper内容需和相应的配置基线规范一版本号：v. 1 . 0. 0()xxxx-xx-xx 发布xxxx-xx-xx 实施陕西移动通信集团公司发布1 范围2 适用性说明33 引用标准34 符号及缩略语35 配置操作指南36 编制历史错误!未定义帖签。本操作指南适用于陕西移动juniper路由器安全配置基线规范适用范围内的各类 设备。为上述设备满足安全配置基线规范要求，提供具体的配置操作参考。2 适用性说明本操作指南针对陕西移动juniper路由器安全

2、配置基线规范中的各项安全基线要 求，提出明确的参考配置操作。本文提供的是安全基线配置参考范例，并不等同于实 际的设备配置。在具体实施安全配置时，需根据实际应用环境，形成具体的配置方法。3 引用标准1) 陕西移动设备通用安全基线规范2) 陕西移动juniper路由器安全配置基线规范4 符号及缩略语配置操作指南基线编号jx-juniper-pz-1基线内容应按照不同的用户分配不同的账号，避免不同用户间共享账号， 避免用户账号和设备间通信使用的账号共享。参考配置操作set system login user abcl set system login user abc2补充操作说明1、"刃

3、和"c2是两个不同的账号名称，可根据不同用户，取不同的名 称；2、账号取名，建议使用：姓名的简写+手机号码。基线编号jx-juniper-pz-2基线内容应删除与设备运行、维护等工作无关的账号。参考配置操作delete system login user cibc3补充操作说明1、dbc3是与工作无关的账号。基线编号jx-juniper-pz-3基线内容为了控制不同用户的访问级别，建立多用户级别，根据用户的 业务需求，将用户账号分配到相应的用户级别。参考配置操作创建用户级别：set system login class abc7 permissions view view-confi

4、guration 将用户账号分配到相应的用户级別：qb-xx-xxx-xxxxset system login user abcl class read-only set system login user abc2 class abc1 set system login user abc3 class super-user补充操作说明1、abc1是手工创建的组，该组具有的权限：查看设备运行状态(如接 口状态、设备硬件状态、路由状态等)，并且可以查看设备的配置；2、read-only组具有的权限：查看设备运行状态，但不能查看设备的配置；3、super-user是超级用户组，具有的权限：所有权限

5、；4 read-only和super-user是路由器已经创建的组，不需要手工创建；5、abck abc2、abc3是不同的用户,它们分别分配到相应的用户级别。基线编号jx-ty-pz-4基线内容对于釆用静态口令认证技术的设备，口令长度至少6位，并包 括数字、小写字母、大写字母和特殊符号4类中至少2类。参考配置操作set system login user abcl authentication plain-text-password补充操作说明1、输入指令冋车后，将两次提示输入新口令(new password:和retype newpassword:)；2、口令要求：长度至少6位，并包括数字

6、、小写字母、大写字母和特殊 符号4类中至少2类；基线编号jx-ty-pz-5基线内容对于采用静态口令认证技术的设备，账户口令的生存期不长于 90天。参考配置操作无补充操作说明1、juniper设备不能设置账户口令的生存期限，账户口令的生存期限可通 过定期手工更改口令的方式实现。基线编号jx-juniper-pz-6基线内容修改root密码。root的默认密码是空，修改root密码，避免非 管理员使用root账号登录。参考配置操作set system root-authentication plain-text-password补充操作说明1、输入指令回车后，将两次提示输入新口令(new pas

7、sword:和retype newpassword:)；2、口令要求：长度至少6位，并包括数字、小写字母、大写字母和特殊 符号4类中至少2类；基线编号jx-ty-pz-9基线内容在设备权限配置能力内，根据用户的业务需要，配置其所需的 最小权限。参考配置操作创建用户级别，即创建用户的配置权限：set system login class abc1 permissions configureset system login class abc1 allow-configuration hrouting-options stalic|interfaces|chassis fpchset system

8、 login class abc2 permissions configure routing-control 将用户账号分配到相应的用户级别：set system login user abcl class abc1 set system login user abc2 class abc2 set system login user abc3 class super-user补充操作说明1 abc1组具有的权限:可配置interfaces,可配置routing-options中的 static,可配置 chassis 中的 fpc；2、abc2组具有的权限：可配置有关于路由的所有配置，包括

9、 routing-options> protocols> policy-options> routing-instances3、allow-configuration参数是以等级来限制，可以限制各个等级的配置， 可以细化到各个小等级；4、permissions参数是以功能来限制，限制的范围较大；5 allow-commands参数是以具体的指令来限制，allow-comands参数需 要设定具体指令，不建议使用基线编号jx-juniper-pz-8-opt基线内容设备通过相关参数配置，与认证系统联动，满足帐号、口令和 授权的强制要求。参考配置操作set system auth

10、entication-order radiusset system authentication-order passwordset system radius-server set system radius-server set system radius-server 10.1.1. j port 1645set system radius-server port 1645set system radius-server secret abcl23 set system radius-server se

11、cret abcl23补充操作说明1、配置认证方式，可通过radius和本地认证；2、和是radius认证服务器的ip地址,建议建立两个radius 认证服务器作为互备；3、port 1645是radius认证开启的端口号，可根据本地radius认证服务器 开启的端口号进行配置；4 abcl23是与radius认证系统建立连接所设定的密码，建议：与radius 认证服务器建立连接时，使用密码认证建立连接。基线编号jx-ty-pz-12基线内容设备应配置口志功能，对用户登录进行记录，记录内容包括用 户登录使用的账号，登录是否成功，登录时间，以及远程登录 时，用户使

12、用的ip地址。参考配置操作set system syslog file autho匚log authorization info补充操作说明1、author.log是记录登录信息的log文件，该文件名称可手工定义；2、author.log文件保存在juniper路由器的存储上。基线编号jx-juniper-pz-10基线内容设备应配置日志功能，记录用户对设备的操作，比如以下内容： 账号创建、删除和权限修改，口令修改，读取和修改设备配置，涉及通信隐私数据。记录需要包含用户账号，操作时间，操作 内容以及操作结果。参考配置操作set system syslog file messages any a

13、ny补充操作说明1 s messages是记录所有log信息的文件，该文件名称可手工定义； 2、messages文件保存在juniper路由器的存储器上。基线编号jx-juniper-pz-11基线内容设备应配置日志功能，记录与设备相关的安全事件，比如：记 录路由协议事件和错误。参考配置操作set system syslog file daemon.log daemon warning set system syslog file firewall .log firewall warning补充操作说明lx daemon.log是记录路由协议事件的文件，该文件名称可手工定义；2、firewal

14、l.log是记录安全事件的文件，该文件名称可手工定义；3、daemon和firewall nf定义有九个等级，建议将其设定为warning等级，即仅记录warning等级以上的安全事件。基线编号jx-ty-pz-14-opt基线内容设备配置远程口志功能，将需要重点关注的口志内容传输到口 志服务器。参考配置操作set system syslog host any noticeset system syslog host log-prefix routerlset system syslog host any noticeset system

15、syslog host log-prefix routerl补充操作说明1、 io.li.2是远程日志服务器的ip地址,建议建设两个远程 日志服务器作为互备；2、syslog有九个等级的记录信息，建议将notice等级以上的信息传送到 远程日志服务器；3、routerl为路由器的主机名称。基线编号jx-juniper-pz-13基线内容设置系统的配置更改信息保存到单独的change, log文件内。参考配置操作set system syslog file changelog change-log info补充操作说明1、change.log是记录配置更改的文件

16、，该文件名称可手工定义；2、change.log文件保存在juniper路由器的存储上。基线编号jx-juniper-pz-14-opt基线内容开启ntp服务，保证日志功能记录的1寸间的准确性。路由器与 ntp server z间开启认证功能。参考配置操作set system ntp authentication-key 1 type md5 value abcl23set system ntp server set system ntp server qb-xx-xxx-xxxx补充操作说明1、abcl23是路由器与ntp server之间md5认证密码；2、

17、和是ntp setver的ip地址，建议建设两个ntp 服务器作为互备。基线编号jx-ty-pz-16-opt基线内容对于具备tcp/udp协议功能的设备，设备应根据业务需要，配 置基于源ip地址、通信协议tcp或udp、目的ip地址、源端 口、目的端口的流量过滤，过滤所有和业务不相关的流量。参考配置操作set firewall filter abc term a from source-address /32set firewall filter abc term a from destination-address /32 s

18、et firewall filter abc term a from protocol tcpset firewall filter abc term a from protocol udpset firewall filter abc term a from source-port 445set firewall filter abc term a from destination-port 145set firewall filter abc term a then acceptset firewall filter abc term b then reject补充操作说明1> ab

19、c为filter的名称，可手工定义；2 a和b为term的名称，可手工定义，一个filter可设定多个term；3、第一条指令为配置基于源ip地址的过滤，10.1jj/32为源ip地址， 源地址可以是主机ip,也可以是网段；4、第二条指令为配置基于目的ip地址的过滤,/32为目的ip地 址，目的ip地址可以是主机ip,也可以是网段；5、第三条指令为配置协议tcp；6、第四条指令为配置协议udp；7、第五条指令为配置基于源端口，445是端口号，端口号可根据需求设 置；8、第五条指令为配置基于目的端口，145是端口号，端口号可根据需求 设置；9、第六条指令为允许，即符合from里的

20、条件时，允许该数据包通过； 若设置为reject,则符合from里的条件时，不允许数据包通过；1()、“set firewall filter abc term b then reject” 指令拒绝所有不符合 term a 条件的数据包通过(then之后可根据需求设置为reject或者accept)o11、必须使用如下指令将filter绑定到指定接口该filter才能生效： set interfaces fe-0/0/0 unit 0 family inet filter in put abc基线编号jx-ty-pz-17-opt基线内容对于使用ip协议进行远程维护的设备，设备应配置使用ss

21、h等 加密协议。参考配置操作海外版的junos不支持ssh协议，美国和加拿大版的junos才支持该 功能.补充操作说明基线编号jx-juniper-pz-17-opt基线内容配置动态路由协议(bgp/ mp-bgp /ospf等)吋必须启用带加密方式的身份验证功能，相邻路由器只有在身份验证通过后， 才能互相通告路由信息。参考配置操作set protocols bgp group abc neighbor authentication-key abcl23 set protocols ospf area authentication-type md5补充操作说明

22、1、为对端bgppeer的ip地址，可根据需求设定。基线编号jx-juniper-pz-18基线内容配置bgp路由协议，应配置md5加密认证，通过md5加密认 证建立peer。参考配置操作set protocols bgp group abc neighbor 10authentication-key abcl23补充操作说明1、abc为group的名称,可自行设定；2、为对端peer的ip地址，可根据需求设定；3、abc 123为md5加密认证的认证密码，该密码和对端peer的密码要一 致。基线编号jx-juniper-pz-19基线内容配置mp-bgp路由协

23、议，应配置md5加密认证，通过md5加 密认证建立peer。参考配置操作set protocols bgp group abc neighbor authentication-key abc!23补充操作说明1、abc为group的名称,可自行设定；2、/o./.ll为对端peci的ip地址，可根据需求设定；3、abc 123为md5加密认证的认证密码，该密码和对端peer的密码要一 致。基线编号jx-juniper-pz-20基线内容对于非点到点的ospf协议配置，应配置md5加密认证，通过 md5加密认证建立neighboro参考配置操作set protocols osp

24、f area authentication-type md5set protocols ospf area interface fe-0/0/0.0 authentication md5 1 key abcl23补充操作说明1、fe-0/0/0为用于建立ospf的端口，可根据需求设置；2 abc 123为md5加密认证的认证密码，该密码和对端peer的密码要一 致。基线编号jx-juniper-pz-21-opt基线内容制定路由策略，禁止发布或接收不安全的路由信息。参考配置操作制定发布的路由策略：set policy-options policy-stateme

25、nt abc term a from route-filter /24 exactset policy-options policy-statement abc term a then acceptset policy-options policy-statement abc term b then reject补充操作说明1、必c是路由策略的名称，该名称可自行定义；2、/24是将发布（或接收）或者禁止发布（或接收）路由，可根 据具体需求设置；3、制定路由策略之后，必须将该策略应用于路由协议上才生效。2、/24是将发布（或接收）或者禁止发布（或接

26、收）路由，可根 据具体需求设置；3、制定路由策略之后，必须将该策略应用于路由协议上才生效。基线编号jx-juniper-pz-22基线内容设置snmp访问安全限制,只允许特定主机通过snmp访问网 络设备。参考配置操作set snmp community abcdl23 clients /32 set snmp community abed 123 clients /32 set snmp community abed 123 clients ready-only补充操作说明1、abed 123是communtity字符串，可自行定义，但必须和client的主机

27、 一致；2、 fd 是主机 ip 土也址，即允许 . 10.l2.1 主机通 过snmp访问网络设备；3、未在client列表中的主机，不允许通过snmp访问网络设备。4、设置主机访问网络设备具有读的权限，可根据需求设置为具有读写的 权限（read-write）o基线编号jx- juniper pz-23-opt基线内容系统应关闭未使用的snmp协议及未使用的rw权限参考配置操作默认关闭所有snmp功能的，按需求启动相应的功能即可补充操作说明基线编号jx- juniper pz-24-opt基线内容系统应配置为snmp v2或以上版本。参考配置

28、操作set snmp trap-group ahcl23 version v2补充操作说明1、abcl23是trap-group组的名称,可自行设置。基线编号jx- juniper -pz-25-opt基线内容系统应配置可接收snmp消息的主机地址。参考配置操作set snmp trap-group abcl23 targets set snmp trap-group abcl23 targets 补充操作说明1、abcl23是trap-group组的名称,可自彳亍设置2、和/0./.2./是牛机ip地址，艮卩允许併口/0./.2j主机接 收该网络设备的snm

29、p消息。基线编号jx-juniper-pz-26-opt基线内容对于juniper路由器，应配置定时账户自动登出。参考配置操作set system login class abc idle-timeout 10补充操作说明1、abc是class组的名称；2、配置定时账户自动登出功能，仅能在自定义的class组里定义，不能 在系统默认的组（如：s叩eouser、read-only）中配置，因此，建议自 定义class组。基线编号jx-juniper-pz-27基线内容对于具备consol 口的设备，应配置consol 口密码保护功能。参考配置操作juniper设备不具有console密码，登录方

30、式是通过用户名和该用户名的密 码登录。补充操作说明基线编号jx-juniper-pz-28基线内容开启配置文件定期备份功能，定期备份配置文件。参考配置操作set system archival configuration transfer-interval 2880setsystemarchivalconfigurationarchive-sitesftp:/juniper 10.1password cibcl23setsystemarchivalconfigurationarchive-sitesftp:/j uniper password abcl23补充操作说明1、288

31、0是时间间隔，单位是分钟，时间间隔可设置的范围为15-2880;2、juniper是ftp的用户名称,和是ftp服务器的ip地址，abcl23是登录frp服务器的密码；建议设置两个ip地址作为互备；3、定期备份仅能通过ftp服务备份；4、通过定期备份配置文件，时间间隔较短，即备份比较频繁，建议采用 transfer-on-commit方式，即只要执行commit指令，配置将自动备份 到ftp服务器，指令为set system archival configuration transfer-on-commit；5 transfer-interval 和 trans

32、fer-on-commit 方式不能共存。基线编号jx-juniper-pz-29基线内容关闭网络设备不必耍的服务，比如ftp、tftp服务等。参考配置操作delete system services ftp补充操作说明默认是关闭ftp服务基线编号jx-juniper-gn-30-opt基线内容开启安全防护功能，如状态防火墙等（如果具备类似功能）。参考配置操作juniper设备默认已开启安全防护功能。安全补充操作说 明基线编号jx-juniper-gn-31 -opt基线内容如接受统一网管系统管理，建议配置snmp version3协议。参考配置操作setsnmpv3usmlocal-engi

33、ne user abcl authenticatio nmd5authentication-keyset snmp v3 vacm access group cmnet default-context-prefix security-model usm security-level authentication read-view readonlyset snmp v3 target-address tai address qb-xx-xxx-xxxxset snmp v3 target-address tai target-parameters tplset snmp v3

34、target-parameters tpl parameters message-processing-model v3 set snmp v3 target-parameters tpl parameters security-model usm set snmp v3 target-parameters tpl parameters security-level none set snmp v3 target-parameters tpl parameters security-name abc set snmp v3 snmp-community indexl community-nam

35、e abc set snmp v3 snmp-community indexl security-name ahcset snmp engine-id use-mac-addressset snmp view readonly oid ..2.1.2 include补充操作说明1、第一条命令设定snmpv3的用户"刃采用md5方式认证2、第二条命令设定snmp的访问控制模块（vacm）的参数，访问组为 cmnet,安全模式采用基于用户的模式（usm）,安全级别设为验证 级别，设定视图为readonly3、第三条命令指定snmp主机组tai,这组包括的地址为211.139

36、.136.1004、第四条命令设定主机组加/的具体参数引用参数集炉/5、第五至八条命令设定参数集炉/的具体内容，信息处理采用snmpv3 模式、安全模式釆用基于用户的模式（usm）、安全级别釆用非验证、 安全名字设定为6、第九、十条命令行设定snmp团体号为abc、安全名字为"c7、第十 条命令设定snmp的引擎id。8、第十二条命令设定视图readonly的管理对像标识。基线编号jx-juniper-pz-32基线内容系统远程管理服务telnet. ssh默认可以接受任何地址的连接， 出于安全考虑，应该只允许特定地址访问。参考配置操作set firewall filter abc term a from source-address /32 set firewall filter abc term a from source-address /32 set firewall filter abc term a then acceptset firewall filter abc term b from protocol tcp port telnetset firewall filter abc term b then rejectse