Juniper路由安全配置基線.docVIP

Juniper 路由器安全配置基線 中國移動通信有限公司第 1 頁 共 27 頁 JuniperJuniper 路由器安全配置基線路由器安全配置基線 中國移動通信有限公司中國移動通信有限公司 管理信息系統(tǒng)部管理信息系統(tǒng)部 2009 年 03 月 Juniper 路由器安全配置基線 中國移動通信有限公司第 2 頁 共 27 頁 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人審批人審批人 V1 0創(chuàng)建2009 年 1 月 備注 備注 1 若此文檔需要日后更新 請創(chuàng)建人填寫版本控制表格 否則刪除版本控制表格 Juniper 路由器安全配置基線 中國移動通信有限公司第 3 頁 共 27 頁 目目 錄錄 第第 1 章章概述概述 1 1 1目的 1 1 2適用范圍 1 1 3適用版本 1 1 4實施 1 1 5例外條款 1 第第 2 章章賬號管理 認證授權(quán)賬號管理 認證授權(quán) 2 2 1賬號管理 2 2 1 1管理缺省賬戶 2 2 1 2刪除與設(shè)備運行 維護等工作無關(guān)的賬號 2 2 1 3根據(jù)用戶的業(yè)務(wù)需求分配相應(yīng)的用戶級別 3 2 2口令 5 2 2 1靜態(tài)口令長度 5 2 2 2靜態(tài)口生存期 5 2 2 3root密碼 5 2 2 4帳號 口令和授權(quán)的強制要求 6 第第 3 章章日志安全要求日志安全要求 7 3 1日志配置 7 3 1 1記錄用戶登錄 7 3 1 2記錄用戶對設(shè)備的操作 7 3 1 3記錄設(shè)備相關(guān)的安全事件 8 3 1 4設(shè)備配置遠程日志功能 9 3 1 5設(shè)置系統(tǒng)的配置更改信息 9 3 1 6保證日志功能記錄的時間的準確性 10 第第 4 章章IP 協(xié)議安全配置協(xié)議安全配置 12 4 1IP 協(xié)議 12 4 1 1遠程維護的設(shè)備配置加密協(xié)議 12 4 1 2啟用帶加密方式的身份驗證功能 12 4 1 3MP BGP路由協(xié)議 13 4 1 4OSPF協(xié)議配置 13 4 1 5制定路由策略 14 4 1 6SNMP訪問安全限制 15 4 1 7關(guān)閉未使用的SNMP協(xié)議及未使用的RW權(quán)限 15 4 1 8SNMP訪問安全限制 15 4 1 9配置可接收SNMP消息的主機地址 16 4 1 10RSVP標簽分發(fā)協(xié)議 16 第第 5 章章其他安全要求其他安全要求 18 5 1其他配置 18 Juniper 路由器安全配置基線 中國移動通信有限公司第 4 頁 共 27 頁 5 1 1定時賬戶自動登出 18 5 1 2配置consol口密碼保護功能 18 5 1 3定期備份配置文件 19 5 1 4關(guān)閉不必要的服務(wù) 19 5 1 5開啟安全防護功能 19 5 1 6SNMP VERSION3協(xié)議 20 5 1 7只允許特定地址訪問 20 5 1 8遠程維護方式連接最大數(shù)量限制 21 5 1 9安全訪問控制 21 第第 6 章章評審與修訂評審與修訂 23 Juniper 路由器安全配置基線 中國移動通信有限公司第 1 頁 共 27 頁 第第 1 章章概述概述 1 1 目的目的 本文檔規(guī)定了中國移動管理信息系統(tǒng)部所維護管理的 Juniper 路由器應(yīng)當(dāng)遵循的設(shè)備安 全性設(shè)置標準 本文檔旨在指導(dǎo)系統(tǒng)管理人員進行 Juniper 路由器的安全配置 1 2 適用范圍適用范圍 本配置標準的使用者包括 網(wǎng)絡(luò)管理員 網(wǎng)絡(luò)安全管理員 網(wǎng)絡(luò)監(jiān)控人員 本配置標準適用的范圍包括 中國移動總部和各省公司信息化部門維護管理的 Juniper 路由器 1 3 適用版本適用版本 Juniper 路由器 1 4 實施實施 本標準的解釋權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部 在本標準的執(zhí)行過程中 若有任何疑問或建議 應(yīng)及時反饋 本標準發(fā)布之日起生效 1 5 例外條款例外條款 欲申請本標準的例外條款 申請人必須準備書面申請文件 說明業(yè)務(wù)需求和原因 送 交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案 Juniper 路由器安全配置基線 中國移動通信有限公司第 2 頁 共 27 頁 第第 2 章章賬號管理 認證授權(quán)賬號管理 認證授權(quán) 2 1 賬號管理賬號管理 2 1 1 管理缺省賬戶管理缺省賬戶 安全基線項安全基線項 目名稱目名稱 管理缺省賬戶安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 02 01 01 安全基線項安全基線項 說明說明 應(yīng)按照不同的用戶分配不同的賬號 避免不同用戶間共享賬號 避免用戶賬 號和設(shè)備間通信使用的賬號共享 檢測操作步檢測操作步 驟驟 1 用 show configuration system login 命令查看配置是否正確 2 在終端上用 telnet 方式登錄路由器 輸入用戶名 abc1 和密碼 3 在終端上用 telnet 方式登錄路由器 輸入用戶名 abc2 和密碼 基線符合性基線符合性 判定依據(jù)判定依據(jù) 各賬號都可以登錄路由器為正常 補充操作說明 1 abc1 和 abc2 是兩個不同的賬號名稱 可根據(jù)不同用戶 取不同的名稱 備注備注 2 1 2 刪除與設(shè)備運行 維護等工作無關(guān)的賬號刪除與設(shè)備運行 維護等工作無關(guān)的賬號 安全基線項安全基線項 目名稱目名稱 工作無關(guān)的賬號安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 02 01 02 安全基線項安全基線項 說明說明 應(yīng)刪除與設(shè)備運行 維護等工作無關(guān)的賬號 檢測操作步檢測操作步 驟驟 1 用 show configuration system login 命令查看配置是否正確 2 在終端上用 telnet 方式登錄路由器 輸入用戶名 abc3 和密碼 Juniper 路由器安全配置基線 中國移動通信有限公司第 3 頁 共 27 頁 補充操作說明 abc3 是與工作無關(guān)的賬號 基線符合性基線符合性 判定依據(jù)判定依據(jù) 被刪除的與工作無關(guān)的賬號 abc3 不能登錄為正常 備注備注 2 1 3 根據(jù)用戶的業(yè)務(wù)需求分配相應(yīng)的用戶級別根據(jù)用戶的業(yè)務(wù)需求分配相應(yīng)的用戶級別 安全基線項安全基線項 目名稱目名稱 根據(jù)用戶的業(yè)務(wù)需求分配相應(yīng)的用戶級別安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 02 01 03 安全基線項安全基線項 說明說明 為了控制不同用戶的訪問級別 建立多用戶級別 根據(jù)用戶的業(yè)務(wù)需求 將 用戶賬號分配到相應(yīng)的用戶級別 檢測操作步檢測操作步 驟驟 創(chuàng)建用戶級別 set system login class ABC1 permissions view view configuration 將用戶賬號分配到相應(yīng)的用戶級別 set system login user abc1 class read only set system login user abc2 class ABC1 set system login user abc3 class super user 補充操作說明 1 ABC1 是手工創(chuàng)建的組 該組具有的權(quán)限 查看設(shè)備運行狀態(tài) 如接 口狀態(tài) 設(shè)備硬件狀態(tài) 路由狀態(tài)等 并且可以查看設(shè)備的配置 2 read only 組具有的權(quán)限 查看設(shè)備運行狀態(tài) 但不能查看設(shè)備的配 置 3 super user 是超級用戶組 具有的權(quán)限 所有權(quán)限 4 read only 和 super user 是路由器已經(jīng)創(chuàng)建的組 不需要手工創(chuàng)建 5 abc1 abc2 abc3 是不同的用戶 它們分別分配到相應(yīng)的用戶級別 3 判定條件 1 用戶 abc1 屬于組 read only 這個組只設(shè)置了查看設(shè)備運行狀態(tài)權(quán)限 因而可使用 show interfaces ters 及其它查看路由器狀態(tài)的命令 而不能使用 Juniper 路由器安全配置基線 中國移動通信有限公司第 4 頁 共 27 頁 show configuration 和 configure 命令 2 用戶 abc2 屬于組 ABC1 這個組設(shè)置了查看設(shè)備運狀態(tài)和查看路由 器配置權(quán)限 因而可使用 show interfaces ters 和其它查看路由器狀態(tài)命令及 show configuration 命令 不能使用 configure 命令 3 用戶 abc3 屬于組 super user 這是超級用戶組 具有所有權(quán)限 因而 可使用全部命令 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 用戶 abc1 屬于組 read only 這個組只設(shè)置了查看設(shè)備運行狀態(tài)權(quán)限 因而可使用 show interfaces ters 及其它查看路由器狀態(tài)的命令 而不能使用 show configuration 和 configure 命令 2 用戶 abc2 屬于組 ABC1 這個組設(shè)置了查看設(shè)備運狀態(tài)和查看路由 器配置權(quán)限 因而可使用 show interfaces ters 和其它查看路由器狀態(tài)命令及 show configuration 命令 不能使用 configure 命令 3 用戶 abc3 屬于組 super user 這是超級用戶組 具有所有權(quán)限 因而 可使用全部命令 檢測操作 1 用 show configuration system login class ABC1 命令查看配置 2 在終端上用 telnet 方式登錄路由器 輸入用戶名 abc1 和密碼成功登錄 路由器后 用 show interfaces terse 命令查看端口狀態(tài) 用 show configuration 命令查看路由器配置 用 configure 命令進入路由器的配置模式 3 在終端上用 telnet 方式登錄路由器 輸入用戶名 abc2 和密碼成功登錄 路由器后 用 show interfaces terse 命令查看端口狀態(tài) 用 show configuration 命令查看路由器配置 用 configure 命令進入路由器的配置模式 4 在終端上用 telnet 方式登錄路由器 輸入用戶名 abc3 和密碼成功登錄 路由器后 用 show interfaces terse 命令查看端口狀態(tài) Juniper 路由器安全配置基線 中國移動通信有限公司第 5 頁 共 27 頁 用 show configuration 命令查看路由器配置 用 configure 命令進入路由器的配置模式 備注備注 2 2 口令口令 2 2 1 靜態(tài)口令長度靜態(tài)口令長度 安全基線項安全基線項 目名稱目名稱 靜態(tài)口令長度安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 02 02 01 安全基線項安全基線項 說明說明 對于采用靜態(tài)口令認證技術(shù)的設(shè)備 口令長度至少 6 位 并包括數(shù)字 小寫 字母 大寫字母和特殊符號 4 類中至少 2 類 檢測操作步檢測操作步 驟驟 1 用 show configuration system login 命令查看配置是否正確 2 在終端上用 telnet 方式登錄路由器 輸入用戶名 abc1 和密碼 基線符合性基線符合性 判定依據(jù)判定依據(jù) 可以登錄路由器為正常 備注備注 2 2 2 靜態(tài)口生存期靜態(tài)口生存期 安全基線項安全基線項 目名稱目名稱 靜態(tài)口生存期安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 02 02 02 安全基線項安全基線項 說明說明 對于采用靜態(tài)口令認證技術(shù)的設(shè)備 賬戶口令的生存期不長于 90 天 檢測操作步檢測操作步 驟驟 每隔 90 天修改一次路由器的賬號密碼以提高安全性 基線符合性基線符合性 判定依據(jù)判定依據(jù) 備注備注 Juniper 路由器安全配置基線 中國移動通信有限公司第 6 頁 共 27 頁 2 2 3 root 密碼密碼 安全基線項安全基線項 目名稱目名稱 root 密碼安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 02 02 03 安全基線項安全基線項 說明說明 修改 root 密碼 root 的默認密碼是空 修改 root 密碼 避免非管理員使用 root 賬號登錄 檢測操作步檢測操作步 驟驟 1 用 show configuration system login 命令查看配置是否正確 2 通過 console 口方式登錄路由器 輸入 root 用戶名和密碼 3 通過 console 口方式登錄路由器 輸入 root 用戶和空密碼 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 輸入 root 用戶和正確密碼可以正常登錄路由器 2 輸入 root 用戶和空密碼無法登錄路由器 備注備注 2 2 4 帳號 口令和授權(quán)的強制要求帳號 口令和授權(quán)的強制要求 安全基線項安全基線項 目名稱目名稱 帳號 口令和授權(quán)的強制要求安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 02 02 04 安全基線項安全基線項 說明說明 設(shè)備通過相關(guān)參數(shù)配置 與認證系統(tǒng)聯(lián)動 滿足帳號 口令和授權(quán)的強制要 求 檢測操作步檢測操作步 驟驟 1 使用 show configuration system 查看配置 2 查看 Radius 服務(wù)器配置 3 用本地賬號登錄到路由器 ping Radius 服務(wù)器地址 10 1 1 1 和 10 1 1 2 4 使用 Raidus 服務(wù)器建立的賬號通過 telnet 方式登錄路由器 5 檢查授權(quán)內(nèi)的命令是否可用及其它未授權(quán)命令 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 可以正常 ping 通 Radius 服務(wù)器的 IP 地址 2 用戶可以登錄路由器為正常 3 用戶只能使用授權(quán)內(nèi)的命令 Juniper 路由器安全配置基線 中國移動通信有限公司第 7 頁 共 27 頁 備注備注 Juniper 路由器安全配置基線 中國移動通信有限公司第 8 頁 共 27 頁 第第 3 章章日志安全要求日志安全要求 3 1 日志配置日志配置 3 1 1 記錄用戶登錄記錄用戶登錄 安全基線項安全基線項 目名稱目名稱 記錄用戶登錄安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 03 01 01 安全基線項安全基線項 說明說明 設(shè)備應(yīng)配置日志功能 對用戶登錄進行記錄 記錄內(nèi)容包括用戶登錄使用的 賬號 登錄是否成功 登錄時間 以及遠程登錄時 用戶使用的 IP 地址 檢測操作步檢測操作步 驟驟 1 使用 show configuration system syslog 命令查看配置 2 在終端上使用 tetlnet 方式登錄路由器 輸入用戶名密碼 3 使用 show log author log 命令查看日志 基線符合性基線符合性 判定依據(jù)判定依據(jù) 可以在 author log 中查看到用戶名 登錄時間和源 IP 等內(nèi)容 備注備注 3 1 2 記錄用戶對設(shè)備的操作記錄用戶對設(shè)備的操作 安全基線項安全基線項 目名稱目名稱 記錄用戶對設(shè)備的操作安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 03 01 02 安全基線項安全基線項 說明說明 設(shè)備應(yīng)配置日志功能 記錄用戶對設(shè)備的操作 比如以下內(nèi)容 賬號創(chuàng)建 刪除和權(quán)限修改 口令修改 讀取和修改設(shè)備配置 涉及通信隱私數(shù)據(jù) 記 錄需要包含用戶賬號 操作時間 操作內(nèi)容以及操作結(jié)果 檢測操作步檢測操作步 驟驟 1 使用 show configuration system syslog 命令查看配置 2 在終端上以 telnet 方式登錄路由器 輸入用戶名密碼 3 進行創(chuàng)建 刪除帳號和修改用戶密碼等修改設(shè)備配置操作 Juniper 路由器安全配置基線 中國移動通信有限公司第 9 頁 共 27 頁 4 用 show log message log 查看日志 補充操作說明 1 messages 是記錄所有 log 信息的文件 該文件名稱可手工定義 2 messages 文件保存在 juniper 路由器的存儲器上 基線符合性基線符合性 判定依據(jù)判定依據(jù) 可以在 message log 中查看到用戶的操作內(nèi)容 操作時間 操作結(jié)果等所有 路由器的 log 信息 備注備注 3 1 3 記錄設(shè)備相關(guān)的安全事件記錄設(shè)備相關(guān)的安全事件 安全基線項安全基線項 目名稱目名稱 記錄設(shè)備相關(guān)的安全事件安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 03 01 03 安全基線項安全基線項 說明說明 設(shè)備應(yīng)配置日志功能 記錄對與設(shè)備相關(guān)的安全事件 比如 記錄路由協(xié)議 事件和錯誤 檢測操作步檢測操作步 驟驟 set system syslog file daemon log daemon warning set system syslog file firewall log firewall warning 補充操作說明 1 daemon log 是記錄路由協(xié)議事件的文件 該文件名稱可手工定義 2 firewall log 是記錄安全事件的文件 該文件名稱可手工定義 3 daemon 和 firewall 可定義有九個等級 建議將其設(shè)定為 warning 等級 即僅記錄 warning 等級以上的安全事件 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 使用 show configuration 命令查看配置 2 重啟路由進程 如 bgp ospf 該操作可能會影響業(yè)務(wù) 不建議現(xiàn)網(wǎng) 操作 3 使用 show log daemon log 和 show log firewall log 查看日志 備注備注 Juniper 路由器安全配置基線 中國移動通信有限公司第 10 頁 共 27 頁 3 1 4 設(shè)備配置遠程日志功能設(shè)備配置遠程日志功能 安全基線項安全基線項 目名稱目名稱 設(shè)備配置遠程日志功能安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 03 01 04 安全基線項安全基線項 說明說明 設(shè)備配置遠程日志功能 將需要重點關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器 檢測操作步檢測操作步 驟驟 set system syslog host 10 1 1 1 any notice set system syslog host 10 1 1 1 log prefix Router1 set system syslog host 10 1 1 2 any notice set system syslog host 10 1 1 2 log prefix Router2 補充操作說明 1 10 1 1 1 和 10 1 1 2 是遠程日志服務(wù)器的 IP 地址 建議建設(shè)兩個遠程 日志服務(wù)器作為互備 2 syslog 有九個等級的記錄信息 建議將 notice 等級以上的信息傳送到 遠程日志服務(wù)器 3 Router1 為路由器的主機名稱 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 使用 show configuration system syslog 命令查看配置 2 登錄遠程日志服務(wù)器查看日志 備注備注 3 1 5 設(shè)置系統(tǒng)的配置更改信息設(shè)置系統(tǒng)的配置更改信息 安全基線項安全基線項 目名稱目名稱 設(shè)置系統(tǒng)的配置更改信息安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 03 01 05 安全基線項安全基線項 說明說明 設(shè)置系統(tǒng)的配置更改信息保存到單獨的 change log 文件內(nèi) 檢測操作步檢測操作步 驟驟 1 使用 show configuration system syslog 命令查看配置 2 在終端上以 telnet 方式登錄路由器 輸入用戶名密碼 3 進行創(chuàng)建 刪除帳號和修改用戶密碼等修改設(shè)備配置操作 4 用 show log change log 命令查看日志 Juniper 路由器安全配置基線 中國移動通信有限公司第 11 頁 共 27 頁 基線符合性基線符合性 判定依據(jù)判定依據(jù) 可以在 change log 中查看到用戶的操作內(nèi)容 操作時間 備注備注補充操作說明 1 change log 是記錄配置更改的文件 該文件名稱可手工定義 2 change log 文件保存在 juniper 路由器的存儲上 3 1 6 保證日志功能記錄的時間的準確性保證日志功能記錄的時間的準確性 安全基線項安全基線項 目名稱目名稱 保證日志功能記錄的時間的準確性安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 03 01 06 安全基線項安全基線項 說明說明 開啟 NTP 服務(wù) 保證日志功能記錄的時間的準確性 路由器與 NTP SERVER 之間開啟認證功能 檢測操作步檢測操作步 驟驟 1 使用 show configuration system ntp 命令查看配置 2 使用 show system uptime 命令查看路由器時間與并與北京時間對比 3 使用 show ntp associations 查看路由器是否與 NTP 服務(wù)器同步 4 使用 show ntp status 查看路由器時間同步狀態(tài) 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 用 show ntp associations 命令查看 信息如下面所示 remote refid st t when poll ROUTER1 10 1 1 1 2 u 641 1024 ROUTER2 10 1 1 2 2 u 713 1024 reach delay offset jitter 377 0 964 24 126 0 067 377 4 490 12 013 0 457 ROUTER1 前面的 號表示 ROUTER1 是已和路由器時間同步的 NTP 服務(wù) 器 號為備用的 NTP 服務(wù)器 2 有 show ntp status 命令查看 信息如下 status 0644 leap none sync ntp 4 events event peer strat chg version ntpd 4 1 0 a Wed Oct 5 18 44 40 GMT 2005 1 processor i386 system JUNOS7 3R2 7 leap 00 stratum 3 precision 28 rootdelay 9 814 rootdispersion 102 250 peer 42484 refid ROUTER reftime ca227da4 4b3ffac1 Wed Jun 20 2007 0 07 00 293 poll 10 clock ca2280ce 02849cb2 Wed Jun 20 2007 0 20 30 009 state 4 offset 17 830 frequency 85 438 jitter 28 377 stability 0 048 如上面信息的第一句第二部分顯示 sync ntp 表示路由器時間已和 NTP Juniper 路由器安全配置基線 中國移動通信有限公司第 12 頁 共 27 頁 服務(wù)器同步 如果顯示 sync unspec 即未同步 備注備注補充操作說明 1 abc123 是路由器與 NTP SERVER 之間 md5 認證密碼 2 10 1 1 1 和 10 1 1 2 是 NTP SETVER 的 IP 地址 建議建設(shè)兩個 NTP 服務(wù)器作為互備 Juniper 路由器安全配置基線 中國移動通信有限公司第 13 頁 共 27 頁 第第 4 章章IP 協(xié)議安全配置協(xié)議安全配置 4 1 IP 協(xié)議協(xié)議 4 1 1 遠程維護的設(shè)備配置加密協(xié)議遠程維護的設(shè)備配置加密協(xié)議 安全基線項安全基線項 目名稱目名稱 遠程維護的設(shè)備配置加密協(xié)議安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 04 01 01 安全基線項安全基線項 說明說明 對于使用 IP 協(xié)議進行遠程維護的設(shè)備 設(shè)備應(yīng)配置使用 SSH 等加密協(xié)議 檢測操作步檢測操作步 驟驟 基線符合性基線符合性 判定依據(jù)判定依據(jù) 海外版的 Junos 不支持 SSH 協(xié)議 美國和加拿大版的 Junos 才支持該功能 備注備注 4 1 2 啟用帶加密方式的身份驗證功能啟用帶加密方式的身份驗證功能 安全基線項安全基線項 目名稱目名稱 啟用帶加密方式的身份驗證功能安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 04 01 02 安全基線項安全基線項 說明說明 配置動態(tài)路由協(xié)議 BGP MP BGP OSPF 等 時必須啟用帶加密方式的身 份驗證功能 相鄰路由器只有在身份驗證通過后 才能互相通告路由信息 檢測操作步檢測操作步 驟驟 1 使用 show configuration protocol 命令查看配置 2 使用 show bgp neighbor 命令查看 BGP 鄰居狀態(tài) 3 使用 show route protocol bgp brief 命令查看 BGP 路由表 4 使用 show ospf neighbor 命令查看 OSPF 鄰居狀態(tài) 5 使用 show route protocol ospf brief 命令查看 OSPF 路由表 6 使用 ping 命令檢查路由連通性 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 確定配置已經(jīng)啟用加密的身份認證 2 BGP 鄰居處于 establish 狀態(tài)為正常 能學(xué)到鄰居的路由為正常 Juniper 路由器安全配置基線 中國移動通信有限公司第 14 頁 共 27 頁 3 OSPF 鄰居處于 full 狀態(tài)為正常 能學(xué)到鄰居的路由為正常 4 路由能連通為正常 備注備注 4 1 3 MP BGP 路由協(xié)議路由協(xié)議 安全基線項安全基線項 目名稱目名稱 MP BGP 路由協(xié)議安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 04 01 03 安全基線項安全基線項 說明說明 配置 MP BGP 路由協(xié)議 應(yīng)配置 MD5 加密認證 通過 MD5 加密認證建立 peer 檢測操作步檢測操作步 驟驟 1 使用 show configuration protocol bgp 命令查看配置 2 使用 show bgp neighbor 命令查看 BGP 鄰居狀態(tài) 3 使用 show route protocol bgp brief 命令查看 BGP 路由表 4 使用 ping 檢查路由的連通性 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 確認已經(jīng)啟用加密的身份認證 2 BGP 鄰居處于 establish 狀態(tài)為正常 能學(xué)到鄰居的路由為正常 3 路由能連通為正常 備注備注 參考配置操作 set protocols bgp group abc neighbor 10 1 1 1 authentication key abc123 補充操作說明 1 abc 為 group 的名稱 可自行設(shè)定 2 10 1 1 1 為對端 peer 的 IP 地址 可根據(jù)需求設(shè)定 3 abc123 為 MD5 加密認證的認證密碼 該密碼和對端 peer 的密碼要一致 4 1 4 OSPF 協(xié)議配置協(xié)議配置 安全基線項安全基線項 目名稱目名稱 OSPF 協(xié)議安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 04 01 04 安全基線項安全基線項 對于非點到點的 OSPF 協(xié)議配置 應(yīng)配置 MD5 加密認證 通過 MD5 加密 Juniper 路由器安全配置基線 中國移動通信有限公司第 15 頁 共 27 頁 說明說明 認證建立 neighbor 檢測操作步檢測操作步 驟驟 1 使用 show configuration 命令查看配置 2 使用 show ospf neighbor 命令查看 OSPF 鄰居狀態(tài) 3 使用 show route protocol ospf brief 命令查看 OSPF 路由表 4 使用 ping 檢查路由連通性 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 OSPF 鄰居處于 full 狀態(tài)為正常 能學(xué)到鄰居的路由為正常 2 路由能連通為正常 備注備注 4 1 5 制定路由策略制定路由策略 安全基線項安全基線項 目名稱目名稱 路由策略安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 04 01 05 安全基線項安全基線項 說明說明 制定路由策略 禁止發(fā)布或接收不安全的路由信息 檢測操作步檢測操作步 驟驟 1 使用 show policy abc 命令查看配置 2 在鄰居的路由器上使用 show route 查看路由表 3 在鄰居的路由器上用 ping 命令測試連通性 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 鄰居路由器只收到被允許發(fā)布的路由 2 所發(fā)布的路由連通性正常 備注備注參考配置操作 制定發(fā)布的路由策略 set policy 可選 ions policy statement abc term a from route filter 10 0 0 0 24 exact set policy 可選 ions policy statement abc term a then accept set policy 可選 ions policy statement abc term b then reject 補充操作說明 1 abc 是路由策略的名稱 該名稱可自行定義 2 10 0 0 0 24 是將發(fā)布 或接收 或者禁止發(fā)布 或接收 路由 可根據(jù) 具體需求設(shè)置 3 制定路由策略之后 必須將該策略應(yīng)用于路由協(xié)議上才生效 4 1 6 SNMP 訪問安全限制訪問安全限制 安全基線項安全基線項 目名稱目名稱 SNMP 訪問安全限制安全基線要求項 Juniper 路由器安全配置基線 中國移動通信有限公司第 16 頁 共 27 頁 安全基線編安全基線編 號號 SBL JuniperRouter 04 01 06 安全基線項安全基線項 說明說明 設(shè)置 SNMP 訪問安全限制 只允許特定主機通過 SNMP 訪問網(wǎng)絡(luò)設(shè)備 檢測操作步檢測操作步 驟驟 1 使用 show configuration snmp 命令查看配置 2 使用 show snmp statistics 命令查看 snmp 統(tǒng)計信息 3 用非允許的主機通過 SNMP 訪問網(wǎng)絡(luò)設(shè)備 4 查看 SNMP 主機 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 主機 10 1 1 1 和 10 1 2 1 能收到網(wǎng)絡(luò)設(shè)備的 SNMP 信息 2 非允許的主機不能收到網(wǎng)絡(luò)設(shè)備的 SNMP 信息 備注備注 4 1 7 關(guān)閉未使用的關(guān)閉未使用的 SNMP 協(xié)議及未使用的協(xié)議及未使用的 RW 權(quán)限權(quán)限 安全基線項安全基線項 目名稱目名稱 關(guān)閉未使用的 SNMP 協(xié)議及未使用的 RW 權(quán)限安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 04 01 07 安全基線項安全基線項 說明說明 系統(tǒng)應(yīng)關(guān)閉未使用的 SNMP 協(xié)議及未使用的 RW 權(quán)限 檢測操作步檢測操作步 驟驟 1 使用 show configuration snmp 命令查看配置 2 使用 show snmp statistics 命令查看 snmp 統(tǒng)計信息 基線符合性基線符合性 判定依據(jù)判定依據(jù) 通過查看配置 權(quán)限設(shè)置符合需求即可 備注備注 4 1 8 SNMP 訪問安全限制訪問安全限制 安全基線項安全基線項 目名稱目名稱 SNMP 訪問安全限制安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 04 01 09 安全基線項安全基線項 說明說明 系統(tǒng)應(yīng)配置為 SNMP V2 或以上版本 檢測操作步檢測操作步 驟驟 使用 show configuration snmp 命令查看配置 基線符合性基線符合性 判定依據(jù)判定依據(jù) 查看最終配置確認是 version 2 即可 Juniper 路由器安全配置基線 中國移動通信有限公司第 17 頁 共 27 頁 備注備注 4 1 9 配置可接收配置可接收 SNMP 消息的主機地址消息的主機地址 安全基線項安全基線項 目名稱目名稱 配置可接收 SNMP 消息的主機地址安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 04 01 09 安全基線項安全基線項 說明說明 系統(tǒng)應(yīng)配置可接收 SNMP 消息的主機地址 檢測操作步檢測操作步 驟驟 1 使用 show configuration snmp 命令查看配置 2 查看 IP 地址為 10 1 1 1 和 10 1 2 1 的主機 基線符合性基線符合性 判定依據(jù)判定依據(jù) 主機 10 1 1 1 和 10 1 2 1 可以收到路由器發(fā)過來的 SNMP 信息 備注備注參考配置操作 set snmp trap group abc123 targets 10 1 1 1 set snmp trap group abc123 targets 10 1 2 1 補充操作說明 1 abc123 是 trap group 組的名稱 可自行設(shè)置 2 10 1 1 1 和 10 1 2 1 是主機 IP 地址 即允許 10 1 1 1 和 10 1 2 1 主機接 收該網(wǎng)絡(luò)設(shè)備的 SNMP 消息 4 1 10RSVP 標簽分發(fā)協(xié)議標簽分發(fā)協(xié)議 安全基線項安全基線項 目名稱目名稱 RSVP 標簽分發(fā)協(xié)議安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 04 01 10 安全基線項安全基線項 說明說明 啟用 RSVP 標簽分發(fā)協(xié)議時 打開 RSVP 協(xié)議認證功能 如 MD5 加密 確 保與可信方進行 RSVP 協(xié)議交互 檢測操作步檢測操作步 驟驟 1 使用 show configuration protocols rsvp 命令查看配置 2 使用 show rsvp neighbor 命令查看 rsvp 鄰居狀態(tài) 3 使用 show rsvp session 命令查看 rsvp session 基線符合性基線符合性 判定依據(jù)判定依據(jù) 各鄰居狀態(tài)為 UP 正常 各 RSVP session 狀為 UP 正常 備注備注 Juniper 路由器安全配置基線 中國移動通信有限公司第 18 頁 共 27 頁 第第 5 章章其他安全要求其他安全要求 5 1 其他配置其他配置 5 1 1 定時賬戶自動登出定時賬戶自動登出 安全基線項安全基線項 目名稱目名稱 定時賬戶自動登出安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 05 01 01 安全基線項安全基線項 說明說明 對于 Juniper 路由器 應(yīng)配置定時賬戶自動登出 檢測操作步檢測操作步 驟驟 1 使用 show configuration system login class abc 查看配置 2 在終端上用 telnet 方式登錄路由器 輸入用戶名密碼 3 讓用戶處于空閑狀態(tài) 查看當(dāng)時間超時是否自動登出 基線符合性基線符合性 判定依據(jù)判定依據(jù) 當(dāng)時間超時 用戶會自動退出路由器 備注備注 5 1 2 配置配置 consol 口密碼保護功能口密碼保護功能 安全基線項安全基線項 目名稱目名稱 consol 口密碼保護功能安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 05 01 02 安全基線項安全基線項 說明說明 對于具備 consol 口的設(shè)備 應(yīng)配置 consol 口密碼保護功能 檢測操作步檢測操作步 驟驟 基線符合性基線符合性 判定依據(jù)判定依據(jù) Juniper 設(shè)備不具有 console 密碼 登錄方式是通過用戶名和該用戶名的密碼 登錄 備注備注 Juniper 路由器安全配置基線 中國移動通信有限公司第 19 頁 共 27 頁 5 1 3 定期備份配置文件定期備份配置文件 安全基線項安全基線項 目名稱目名稱 定期備份配置文件安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 05 01 03 安全基線項安全基線項 說明說明 開啟配置文件定期備份功能 定期備份配置文件 檢測操作步檢測操作步 驟驟 1 使用 show configuration system archival 命令查看配置 2 設(shè)定為 transfer on commit 模式 3 在路由器上執(zhí)行 commit 命令 4 在 FTP 服務(wù)器 10 1 1 1 和 10 1 1 2 上查看備份文件 基線符合性基線符合性 判定依據(jù)判定依據(jù) 在路由器上執(zhí)行 commit 后 路由器將發(fā)送當(dāng)前配置文件到 FTP 服務(wù)器 在 FTP 服務(wù)器上可查看到最新的配置備份文件 備注備注 5 1 4 關(guān)閉不必要的服務(wù)關(guān)閉不必要的服務(wù) 安全基線項安全基線項 目名稱目名稱 關(guān)閉不必要的服務(wù)安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 05 01 04 安全基線項安全基線項 說明說明 關(guān)閉網(wǎng)絡(luò)設(shè)備不必要的服務(wù) 比如 FTP TFTP 服務(wù)等 檢測操作步檢測操作步 驟驟 1 使用 show configuration system services 查看配置 2 通過 ftp 登錄 juniper 設(shè)備 查看是否可以正常登錄 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 通過查看路由器配置確認是否配置 FTP 服務(wù) 2 通過 ftp 不能登錄 juniper 設(shè)備 備注備注 5 1 5 開啟安全防護功能開啟安全防護功能 安全基線項安全基線項 目名稱目名稱 開啟安全防護功能安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 05 01 05 Juniper 路由器安全配置基線 中國移動通信有限公司第 20 頁 共 27 頁 安全基線項安全基線項 說明說明 開啟安全防護功能 如狀態(tài)防火墻等 如果具備類似功能 檢測操作步檢測操作步 驟驟 基線符合性基線符合性 判定依據(jù)判定依據(jù) Juniper 設(shè)備默認已開啟安全防護功能 備注備注 5 1 6 SNMP VERSION3 協(xié)議協(xié)議 安全基線項安全基線項 目名稱目名稱 SNMP VERSION3 協(xié)議安全基線要求項 安全基線編安全基線編 號號 SBL JuniperRouter 05 01 06 安全基線項安全基線項 說明說明 如接受統(tǒng)一網(wǎng)管系統(tǒng)管理 建議配置 SNMP VERSION3 協(xié)議 檢測操作步檢測操作步 驟驟 1 使用 show configuration sn