Juniper網(wǎng)絡設備安全加固規(guī)范.doc

《Juniper網(wǎng)絡設備安全加固規(guī)范.doc》由會員分享，可在線閱讀，更多相關(guān)《Juniper網(wǎng)絡設備安全加固規(guī)范.doc（25頁珍藏版）》請在裝配圖網(wǎng)上搜索。

Juniper網(wǎng)絡設備安全基線規(guī)范 2019 年 10 月 第 2 頁 共 25 頁 目錄 1. 賬號管理、認證授權(quán) .3 1.1. 賬號 .3 1.1.1. ELK-Juniper-01-01-013 1.1.2. ELK-Juniper-01-01-023 1.1.3. ELK-Juniper-01-01-034 1.2. 口令 .5 1.2.1. ELK-Juniper-01-02-015 1.2.2. ELK-Juniper-01-02-026 1.2.3. ELK-Juniper-01-02-038 1.3. 認證 .9 1.3.1. ELK-Juniper-01-03-019 2. 日志配置 .10 2.1.1. ELK-JUNIPER-02-01-01.10 2.1.2. ELK-JUNIPER-02-01-02.11 2.1.3. ELK-JUNIPER-02-01-03.12 2.1.4. ELK-JUNIPER-02-01-04.12 2.1.5. ELK-JUNIPER-02-01-05.13 2.1.6. ELK-JUNIPER-02-01-06.14 3. 通信協(xié)議 .15 3.1.1. ELK-JUNIPER-03-01-01.15 3.1.2. ELK-JUNIPER-03-01-02.16 3.1.3. ELK-JUNIPER-03-01-03.17 3.1.4. ELK-JUNIPER-03-01-04.18 3.1.5. ELK-JUNIPER-03-01-05.19 3.1.6. ELK-JUNIPER-03-01-06.20 4. 設備其他安全要求 .20 4.1.1. ELK-JUNIPER-04-01-01.20 4.1.2. ELK-JUNIPER-04-01-02.21 4.1.3. ELK-JUNIPER-04-01-03.22 4.1.4. ELK-JUNIPER-04-01-04.23 4.1.5. ELK-JUNIPER-04-01-05.24 第 3 頁 共 25 頁 1. 賬號管理、認證授權(quán) 1.1. 賬號 1.1.1. ELK-Juniper-01-01-01 編號： ELK-Juniper-01-01-01 名稱： 按照用戶類型分配賬號 實施目的： 按照不同的用戶分配不同的賬號，避免不同用戶間共享賬號，避免用戶賬號和設備間通信使用的賬號共享。 問題影響： 權(quán)限不明確，存在用戶越權(quán)使用的可能。 系統(tǒng)當前狀態(tài)： 使用 show configuration system login 查看當前配置 實施方案： 1、參考配置操作 set system login user abc1 set system login user abc2 2、補充操作說明 1、 abc1 和 abc2 是兩個不同的賬號名稱，可根據(jù)不同用戶， 取不同的名稱； 2、賬號取名，建議使用：姓名的簡寫＋手機號碼。 回退方案： 刪除新增加用戶 判斷依據(jù)： 標記用戶用途，定期建立用戶列表，比較是否有非法用戶 實施風險： 低 重要等級： ★★★ 1.1.2. ELK-Juniper-01-01-02 編號： ELK-Juniper-01-01-02 第 4 頁 共 25 頁 名稱： 刪除無效賬號 實施目的： 按照不同的用戶分配不同的賬號，避免不同用戶間共享賬號，避免用戶賬號和設備間通信使用的賬號共享。 問題影響： 非法利用系統(tǒng)默認賬號 系統(tǒng)當前狀態(tài)： 使用 show configuration system login 查看當前配置 實施方案： 1、參考配置操作 delete system login user abc3 2、補充操作說明 abc3 是與工作無關(guān)的賬號。 回退方案： 增加被刪除的用戶 判斷依據(jù)： 查看配置文件，核對用戶列表。 實施風險： 低 重要等級： ★★★ 1.1.3. ELK-Juniper-01-01-03 編號： ELK-Juniper-01-01-03 名稱： 建立分配系統(tǒng)用戶組 實施目的： 為了控制不同用戶的訪問級別，建立多用戶級別，根據(jù)用戶的業(yè)務需求，將用戶賬號分配到相應的用戶級別。 問題影響： 賬號越權(quán)使用 系統(tǒng)當前狀態(tài)： 使用 show configuration system login 查看當前配置 實施方案： 1、參考配置操作 創(chuàng)建用戶級別： set system login class ABC1 permissions [ view view-configuration ] 將用戶賬號分配到相應的用戶級別： set system login user abc1 class read-only set system login user abc2 class ABC1 第 5 頁 共 25 頁 set system login user abc3 class super-user 2、補充操作說明 （1） 、ABC1 是手工創(chuàng)建的組，該組具有的權(quán)限：查看設 備運行狀態(tài)（如接口狀態(tài)、設備硬件狀態(tài)、路由狀態(tài)等） ， 并且可以查看設備的配置； （2） 、read-only 組具有的權(quán)限：查看設備運行狀態(tài)， 但不能查看設備的配置； （3） 、super-user 是超級用戶組，具有的權(quán)限：所有權(quán) 限； （4） 、read-only 和 super-user 是路由器已經(jīng)創(chuàng)建的組， 不需要手工創(chuàng)建； （5） 、abc1、abc2、abc3 是不同的用戶，它們分別分配到 相應的用戶級別。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system login 查看當前配置 實施風險： 高 重要等級： ★★★ 1.2. 口令 1.2.1. ELK-Juniper-01-02-01 編號： ELK-Juniper-01-02-01 名稱： 提高口令強度 實施目的： 對于采用靜態(tài)口令認證技術(shù)的設備，口令長度至少 6 位， 并包括數(shù)字、小寫字母、大寫字母和特殊符號 4 類中至少 2 類。 問題影響： 增加密碼被暴力破解的成功率 系統(tǒng)當前狀態(tài)： 使用 show configuration system login 查看當前配置 第 6 頁 共 25 頁 實施方案： 1、參考配置操作 set system login user abc1 authentication plain- text-password 2、補充操作說明 （1） 、輸入指令回車后，將兩次提示輸入新口令（New password:和 Retype new password:） 。 （2） 、口令要求：長度至少 6 位，并包括數(shù)字、小寫字母、 大寫字母和特殊符號 4 類中至少 2 類。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system login 查看當前配置 實施風險： 低 重要等級： ★★★ 1.2.2. ELK-Juniper-01-02-02 編號： ELK-Juniper-01-02-02 名稱： 根據(jù)用戶的業(yè)務需要配置其所需的最小權(quán)限 實施目的： 在設備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務需要，配置其所需的最小權(quán)限。 問題影響： 越權(quán)使用，非法訪問。 系統(tǒng)當前狀態(tài)： 使用 show configuration system login 查看當前配置 實施方案： （1） 、用 show configuration system login class ABC1 命令查 看配置 （2） 、用 show configuration system login class ABC2 命令查 看配置 （3） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc1 和密碼 成功登錄路由器后，用 configure 命令進入配置模式。 使用以下命令檢測： set routing-可選 ions static 第 7 頁 共 25 頁 set interfaces set chassis fpc 使用其它 set 命令 （4） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc2 和密碼成功登錄路由器后，用 configure 命令進入配置模式。 使用以下命令檢測： set policy-可選 ions set protocols set routing-instances set routing-可選 ions 使用其它 set 命令 （5） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc3 和密碼成功登錄路由器后，用 configure 命令進入配置模式。 使用 set 命令以及其它命令檢測。 回退方案： 使用 show configuration system login 查看當前配置。還原系統(tǒng)配置文件。 判斷依據(jù)： （1） 、賬號 abc1 屬于組 ABC1，該組只能配置 routing-可選 ions static、interfaces、 Chassis fpc 項里的內(nèi)容。不能做其 它未授權(quán)的配置； （2） 、賬號 abc2 屬于組 ABC2，該組只能配置關(guān)于路由的 所有配置，包括 routing-可選 ions、protocols、policy-可選 ions、 routing-instances 等，不能做其它未授權(quán)的配置； （3） 、賬號 abc3 屬于組 super-user，擁有全部配置權(quán)限。 備注： 創(chuàng)建用戶級別，即創(chuàng)建用戶的配置權(quán)限： set system login class ABC1 permissions configure set system login class ABC1 allow-configuration “routing-可選 ions static|interfaces|chassis fpc“ set system login class ABC2 permissions [ configure routing- 第 8 頁 共 25 頁 control ] 將用戶賬號分配到相應的用戶級別： set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super-user 2、補充操作說明 （1） 、ABC1 組具有的權(quán)限：可配置 interfaces，可配置 routing-可選 ions 中的 static，可配置 chassis 中的 fpc； （2） 、ABC2 組具有的權(quán)限：可配置有關(guān)于路由的所有配置， 包括 routing-可選 ions、protocols、policy- 可選 ions、 routing-instances 等； （3） 、allow-configuration 參數(shù)是以等級來限制，可以限制 各個等級的配置，可以細化到各個小等級； （4） 、permissions 參數(shù)是以功能來限制，限制的范圍較大； （5） 、allow-commands 參數(shù)是以具體的指令來限制，allow- comands 參數(shù)需要設定具體指令,不建議使用。 實施風險： 低 重要等級： ★★★ 1.2.3. ELK-Juniper-01-02-03 編號： ELK-Juniper-01-02-03 名稱： 提高 ROOT 用戶口令強度 實施目的： 修改 root 密碼。root 的默認密碼是空，修改 root 密碼，避免非管理員使用 root 賬號登錄。 問題影響： 增加密碼被暴力破解的成功率 系統(tǒng)當前狀態(tài)： 使用 show configuration system login 查看當前配置 第 9 頁 共 25 頁 實施方案： 1、參考配置操作 （1） 、用 show configuration system login 命令查看配置是否 正確； （2） 、通過 console 口方式登錄路由器,輸入 root 用戶名和 密碼； （3） 、通過 console 口方式登錄路由器，輸入 root 用戶和空 密碼。 2、補充操作說明 （1） 、輸入指令回車后，將兩次提示輸入新口令（New password:和 Retype new password:） 。 （2） 、口令要求：長度至少 6 位，并包括數(shù)字、小寫字母、 大寫字母和特殊符號 4 類中至少 2 類。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： （1） 、輸入 root 用戶和正確密碼可以正常登錄路由器； （2） 、輸入 root 用戶和空密碼無法登錄路由器。 實施風險： 低 重要等級： ★★★ 1.3. 認證 1.3.1. ELK-Juniper-01-03-01 編號： ELK-Juniper-01-03-01 名稱： 設置認證系統(tǒng)聯(lián)動 實施目的： 設備通過相關(guān)參數(shù)配置，與認證系統(tǒng)聯(lián)動，滿足帳號、口令和授權(quán)的強制要求。 問題影響： 密碼泄露。 系統(tǒng)當前狀態(tài)： 使用 show configuration system login 查看當前配置 并查看 Radius 服務器配置 第 10 頁 共 25 頁 實施方案： 1、參考配置操作 set system authentication-order radius set system authentication-order password set system radius-server 10.1.1.1 set system radius-server 10.1.1.2 set system radius-server 10.1.1.1 port 1645 set system radius-server 10.1.1.2 port 1645 set system radius-server 10.1.1.1 secret abc123 set system radius-server 10.1.1.2 secret abc123 2、補充操作說明 （1） 、配置認證方式，可通過 radius 和本地認證； （2） 、 10.1.1.1 和 10.1.1.2 是 radius 認證服務器的 IP 地 址，建議建立兩個 radius 認證服務器作為互備； （3） 、port 1645 是 radius 認證開啟的端口號，可根據(jù)本 地 radius 認證服務器開啟的端口號進行配置； （4） 、 abc123 是與 radius 認證系統(tǒng)建立連接所設定的密碼， 建議：與 radius 認證服務器建立連接時，使用密碼認證建 立連接。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system login 查看當前配置 實施風險： 低 重要等級： ★ 2. 日志配置 本部分對 JUNIPER 設備的日志功能提出建議，主要加強設備所具備的日 志功能，確保發(fā)生安全事件后，設備日志能提供充足的信息進行安全事件定位。 根據(jù)這些要求，設備日志應能支持記錄與設備相關(guān)的重要事件，包括違反安全 策略的事件、設備部件發(fā)生故障或其存在環(huán)境異常等，以便通過審計分析工具， 發(fā)現(xiàn)安全隱患。如出現(xiàn)大量違反 ACL 規(guī)則的事件時，通過對日志的審計分析， 第 11 頁 共 25 頁 能發(fā)現(xiàn)隱患，提高設備維護人員的警惕性，防止惡化。 2.1.1. ELK-Juniper-02-01-01 編號： ELK-Juniper-02-01-01 名稱： 開啟系統(tǒng)日志功能 實施目的： 設備應配置日志功能，記錄用戶對設備的操作，比如：賬 號創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設備配 置，涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號，操作時 間，操作內(nèi)容以及操作結(jié)果。 問題影響： 無法對用戶的登陸進行日志記錄。 系統(tǒng)當前狀態(tài)： 使用 show configuration system syslog 查看當前配置 實施方案： 1、參考配置操作 set system syslog file author.log authorization info 2、補充操作說明 （1） 、author.log 是記錄登錄信息的 log 文件，該文件名 稱可手工定義； （2） 、author.log 文件保存在 juniper 路由器的存儲上。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system syslog 查看當前配置 實施風險： 低 重要等級： ★★★ 2.1.2. ELK-Juniper-02-01-02 編號： ELK-Juniper-02-01-02 名稱： 開啟系統(tǒng)安全日志功能 實施目的： 設備應配置日志功能，記錄對與設備相關(guān)的安全事件，比如：記錄路由協(xié)議事件和錯誤。 問題影響： 無法記錄路由協(xié)議事件和錯誤。 第 12 頁 共 25 頁 系統(tǒng)當前狀態(tài)： 使用 show configuration 查看當前配置 實施方案： 1、參考配置操作 set system syslog file daemon.log daemon warning set system syslog file firewall.log firewall warning 2、補充操作說明 （1） 、daemon.log 是記錄路由協(xié)議事件的文件，該文件名 稱可手工定義； （2） 、firewall.log 是記錄安全事件的文件，該文件名稱 可手工定義； （3） 、daemon 和 firewall 可定義有九個等級，建議將其設 定為 warning 等級，即僅記錄 warning 等級以上的安全 事件。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration 查看當前配置 實施風險： 中 重要等級： ★★★ 2.1.3. ELK-Juniper-02-01-03 編號： ELK-Juniper-02-01-03 名稱： 設置配置更改日志路徑 實施目的： 設置系統(tǒng)的配置更改信息保存到單獨的 change.log 文件內(nèi)。 問題影響： 暴露系統(tǒng)日志。 系統(tǒng)當前狀態(tài)： 使用 show configuration system syslog 查看當前配置 實施方案： 1、參考配置操作 set system syslog file change.log change-log info 2、補充操作說明 （1） 、change.log 是記錄配置更改的文件，該文件名稱可 手工定義； （2） 、change.log 文件保存在 juniper 路由器的存儲上。 第 13 頁 共 25 頁 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system syslog 查看當前配置 實施風險： 中 重要等級： ★★ 2.1.4. ELK-Juniper-02-01-04 編號： ELK-Juniper-02-01-04 名稱： 設置配置遠程日志功能 實施目的： 設備配置遠程日志功能，將需要重點關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉掌鳌?問題影響： 丟失重要日志。 系統(tǒng)當前狀態(tài)： 使用 show configuration system syslog 命令查看配置 實施方案： set system syslog host 10.1.1.1 any notice set system syslog host 10.1.1.1 log-prefix Router1 set system syslog host 10.1.1.2 any notice set system syslog host 10.1.1.2 log-prefix Router2 補充操作說明 （1） 、10.1.1.1 和 10.1.1.2 是遠程日志服務器的 IP 地址，建 議建設兩個遠程日志服務器作為互備； （2） 、syslog 有九個等級的記錄信息，建議將 notice 等級以 上的信息傳送到遠程日志服務器； （3） 、Router1 為路由器的主機名稱。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： （1） 、使用 show configuration system syslog 命令查看配置； （2） 、登錄遠程日志服務器查看日志。 實施風險： 中 第 14 頁 共 25 頁 重要等級： ★★ 2.1.5. ELK-Juniper-02-01-05 編號： ELK-Juniper-02-01-05 名稱： 設置系統(tǒng)的配置更改信息 實施目的： 設置系統(tǒng)的配置更改信息保存到單獨的 change.log 文件內(nèi) 問題影響： 丟失重要日志。 系統(tǒng)當前狀態(tài)： 使用 show configuration system syslog 命令查看配置 實施方案： （1） 、使用 show configuration system syslog 命令查看配置； （2） 、在終端上以 telnet 方式登錄路由器,輸入用戶名密碼； （3） 、進行創(chuàng)建、刪除帳號和修改用戶密碼等修改設備配 置操作； （4） 、用 show log change.log 命令查看日志。 回退方案： 使用 show configuration system syslog 命令查看配置，恢復默認配置 判斷依據(jù)： 可以在 change.log 中查看到用戶的操作內(nèi)容、操作時間 實施風險： 中 重要等級： ★★ 2.1.6. ELK-Juniper-02-01-06 編號： ELK-Juniper-02-01-06 名稱： 保證日志功能記錄的時間的準確性。 實施目的： 開啟 NTP 服務，保證日志功能記錄的時間的準確性。路由器與 NTP SERVER 之間開啟認證功能 。 問題影響： 丟失重要日志。 系統(tǒng)當前狀態(tài)： 使用 show configuration system syslog 命令查看配置 第 15 頁 共 25 頁 實施方案： （1） 、使用 show configuration system ntp 命令查看配置； （2） 、使用 show system uptime 命令查看路由器時間與并與 北京時間對比； （3） 、使用 show ntp associations 查看路由器是否與 NTP 服 務器同步； （4） 、使用 show ntp status 查看路由器時間同步狀態(tài)。 回退方案： 使用 show configuration system syslog 命令查看配置，恢復默認配置 判斷依據(jù)： （1） 、用 show ntp associations 命令查看，信息如下面所示: remote refid st t when poll ============================== * ROUTER1 10.1.1.1 2 u 641 1024 + ROUTER2 10.1.1.2 2 u 713 1024 reach delay offset jitter ============================== 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1 前面的(*)號表示 ROUTER1 是已和路由器時間 同步的 NTP 服務器,(+)號為備用的 NTP 服務器. （2） 、有 show ntp status 命令查看，信息如下: status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version=“ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1)“, processor=“i386“, system=“JUNOS7.3R2.7“, leap=00, stratum=3, precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484, refid=ROUTER , reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10, clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4, offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 如上面信息的第一句第二部分顯示”sync_ntp” 表示路由 器時間已和 NTP 服務器同步,如果顯示”sync_unspec”即未 同步.。 實施風險： 中 重要等級： ★★ 第 16 頁 共 25 頁 3. 通信協(xié)議 3.1.1. ELK-Juniper-03-01-01 編號： ELK-Juniper-03-01-01 名稱： OSPF 協(xié)議安全 實施目的： 對于非點到點的 OSPF 協(xié)議配置，應配置 MD5 加密認證，通過 MD5 加密認證建立 neighbor 問題影響： 惡意攻擊 系統(tǒng)當前狀態(tài)： 使用 show configuration protocols rsvp 查看當前配置 實施方案： 1） 、使用 show configuration 命令查看配置 2） 、使用 show ospf neighbor 命令查看 OSPF 鄰居狀態(tài) 3） 、使用 show route protocol ospf brief 命令查看 OSPF 路由 表 4） 、使用 ping 檢查路由連通性 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 1） 、OSPF 鄰居處于 full 狀態(tài)為正常 ,能學到鄰居的路由為正 常 2） 、路由能連通為正常 實施風險： 低 重要等級： ★ 3.1.2. ELK-Juniper-03-01-02 編號： ELK-Juniper-03-01-02 名稱： 啟用帶加密方式的身份驗證 實施目的： 配置動態(tài)路由協(xié)議（BGP/ MP-BGP /OSPF 等）時必須啟用 帶加密方式的身份驗證功能，相鄰路由器只有在身份驗證 通過后，才能互相通告路由信息。 問題影響： 非法訪問， 第 17 頁 共 25 頁 系統(tǒng)當前狀態(tài)： 使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看當前配置 實施方案： （1） 、使用 show configuration protocol 命令查看配置； （2） 、使用 show bgp neighbor 命令查看 BGP 鄰居狀態(tài)； （3） 、使用 show route protocol bgp brief 命令查看 BGP 路由 表； （4） 、使用 show ospf neighbor 命令查看 OSPF 鄰居狀態(tài)； （5） 、使用 show route protocol ospf brief 命令查看 OSPF 路 由表； （6） 、使用 ping 命令檢查路由連通性。 回退方案： 使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看當前配置， 還原給原始狀態(tài)。 判斷依據(jù)： 1） 、確定配置已經(jīng)啟用加密的身份認證； 2） 、BGP 鄰居處于 establish 狀態(tài)為正常，能學到鄰居的路 由為正常； 3） 、OSPF 鄰居處于 full 狀態(tài)為正常 ,能學到鄰居的路由為正 常； 4） 、路由能連通為正常。 實施風險： 中 重要等級： ★★ 3.1.3. ELK-Juniper-03-01-03 編號： ELK-Juniper-03-01-03 名稱： 過濾所有和業(yè)務不相關(guān)的流量 實施目的： 對于具備 TCP/UDP 協(xié)議功能的設備，設備應根據(jù)業(yè)務需要， 配置基于源 IP 地址、通信協(xié)議 TCP 或 UDP、目的 IP 地址、 源端口、目的端口的流量過濾，過濾所有和業(yè)務不相關(guān)的 流量。 問題影響： 惡意攻擊。 系統(tǒng)當前狀態(tài)： 使用 show configuration firewall filter abc 查看配置 第 18 頁 共 25 頁 實施方案： （1） 、使用 show configuration firewall filter abc 查看配置 （2） 、將終端的 IP 地址設為: 10.1.1.1 （3） 、在終端上安裝 Nmap 端口掃描工具(本例基于 windowsXP2 系統(tǒng)) （4） 、在 DOS 下輸入：nmap -sS -g 445 10.1.2.1 –p 145 這 指令的意思是以源端口為 445 來訪問主機 IP 為 10.1.2.1 的 TCP145 端口。 （5） 、用 namp 訪問其它非業(yè)務端口，如訪問 80 端口，在 DOS 下輸入： nmap –sS 10.1.2.1 –p 80 這指令的意思是以任何端口訪問 10.1.2.1 的 TCP80 端口 （6） 、運行真實業(yè)務測試業(yè)務流量和非業(yè)務流量。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration firewall filter abc 查看配置，還原為原始狀態(tài)。 實施風險： 中 重要等級： ★★ 3.1.4. ELK-Juniper-03-01-04 編號： ELK-Juniper-03-01-04 名稱： 配置 MP-BGP 的 MD5 加密認 實施目的： 配置 MP-BGP 路由協(xié)議，應配置 MD5 加密認證，通過 MD5 加密認證建立 peer。 問題影響： 信息泄露。 系統(tǒng)當前狀態(tài)： 使用 show configuration protocol bgp 查看當前配置 第 19 頁 共 25 頁 實施方案： 1、參考配置操作 set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 2、補充操作說明 1） 、 abc 為 group 的名稱，可自行設定； 2） 、 10.1.1.1 為對端 peer 的 IP 地址，可根據(jù)需求設定； 3） 、 abc123 為 MD5 加密認證的認證密碼，該密碼和對端 peer 的密碼要一致。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration protocol bgp 查看當前配置 實施風險： 中 重要等級： ★★ 3.1.5. ELK-Juniper-03-01-05 編號： ELK-Juniper-03-01-05 名稱： 設置 SNMP 訪問安全限制 實施目的： 設置 SNMP 訪問安全限制，只允許特定主機通過 SNMP 訪問網(wǎng)絡設備。 問題影響： 非法登陸。 系統(tǒng)當前狀態(tài)： 使用 show configuration snmp 查看當前配置 實施方案： 1、參考配置操作 set snmp community abcd123 clients 10.1.1.1/32 set snmp community abcd123 clients 10.1.2.1/32 set snmp community abcd123 clients ready-only 2、補充操作說明 1） 、 abcd123 是 communtity 字符串，可自行定義，但必須 和 client 的主機一致； 2） 、 10.1.1.1 和 10.1.2.1 是主機 IP 地址，即允許 10.1.1.1.和 10.1.2.1 主機通過 SNMP 訪問網(wǎng)絡設備； 3） 、未在 client 列表中的主機，不允許通過 SNMP 訪問網(wǎng) 絡設備。 第 20 頁 共 25 頁 4） 、設置主機訪問網(wǎng)絡設備具有讀的權(quán)限，可根據(jù)需求設 置為具有讀寫的權(quán)限（read-write） 。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration snmp 查看當前配置 實施風險： 高 重要等級： ★★★ 3.1.6. ELK-Juniper-03-01-06 編號： ELK-Juniper-03-01-06 名稱： RSVP 標簽分發(fā)協(xié)議 實施目的： 啟用 RSVP 標簽分發(fā)協(xié)議時，打開 RSVP 協(xié)議認證功能，如MD5 加密，確保與可信方進行 RSVP 協(xié)議交互。 問題影響： 非法登陸。 系統(tǒng)當前狀態(tài)： 使用 show configuration protocols rsvp 查看當前配置 實施方案： 1、參考配置操作 set protocols rsvp interface fe-0/0/0.0 authentication-key abc123 2、補充操作說明 abc123 為 MD5 加密密碼。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 各鄰居狀態(tài)為 UP 正常各 RSVP session 狀為 UP 正常 實施風險： 中 重要等級： ★★ 第 21 頁 共 25 頁 4. 設備其他安全要求 4.1.1. ELK-Juniper-04-01-01 編號： ELK-Juniper-04-01-01 名稱： 開啟配置定期備份 實施目的： 開啟配置文件定期備份功能，定期備份配置文件。 問題影響： 容易丟失數(shù)據(jù)。 系統(tǒng)當前狀態(tài)： 使用 show configuration system archival 查看當前配置 實施方案： 1、參考配置操作 set system archival configuration transfer-interval 2880 set system archival configuration archive-sites ftp://juniper@10.1.1.1 password abc123 set system archival configuration archive-sites ftp://juniper@10.1.1.2 password abc123 2、補充操作說明 1） 、 2880 是時間間隔，單位是分鐘，時間間隔可設置的范 圍為 15－2880; 2） 、juniper 是 ftp 的用戶名稱， 10.1.1.1 和 10.1.1.2 是 ftp 服務器的 IP 地址， abc123 是登錄 frp 服務器的密 碼；建議設置兩個 IP 地址作為互備； 3） 、定期備份僅能通過 ftp 服務備份； 4） 、通過定期備份配置文件，時間間隔較短，即備份比較 頻繁，建議采用 transfer-on-commit 方式，即只要執(zhí) 行 commit 指令，配置將自動備份到 ftp 服務器，指令 為 set system archival configuration transfer-on- commit； 5） 、transfer-interval 和 transfer-on-commit 方式不能 共存。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system archival 查看當前配置 第 22 頁 共 25 頁 實施風險： 高 重要等級： ★★★ 4.1.2. ELK-Juniper-04-01-02 編號： ELK-Juniper-04-01-02 名稱： 關(guān)閉不必要服務 實施目的： 關(guān)閉網(wǎng)絡設備不必要的服務，比如 FTP、TFTP 服務等。 問題影響： 對系統(tǒng)造成不穩(wěn)定。 系統(tǒng)當前狀態(tài)： 使用 show configuration system services 查看當前配置 實施方案： 1、參考配置操作 delete system services ftp 2、補充操作說明 默認是關(guān)閉 FTP 服務 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system services 查看當前配置 實施風險： 低 重要等級： ★★★ 4.1.3. ELK-Juniper-04-01-03 編號： ELK-Juniper-04-01-03 名稱： 限制遠程管理 IP 實施目的： 系統(tǒng)遠程管理服務 TELNET、SSH 默認可以接受任何地址的連接，出于安全考慮，應該只允許特定地址訪問。 問題影響： 非法登陸。 第 23 頁 共 25 頁 系統(tǒng)當前狀態(tài)： 使用 show configuration firewall filter 查看當前配置 實施方案： 1、參考配置操作 set firewall filter abc term a from source-address 10.1.1.1/32 set firewall filter abc term a from source-address 10.1.1.2/32 set firewall filter abc term a then accept set firewall filter abc term b from protocol tcp port telnet set firewall filter abc term b then reject set firewall filter abc term c then accept 2、補充操作說明 1） 、 abc 為 filter 名稱，可自定義； 2） 、10.1.1.1/32 和 10.1.1.2/32 上允許 telnet 的主機 IP 地址； 3） 、term a 實現(xiàn)的功能為：允許特定地址訪問； 4） 、term b 實現(xiàn)的功能為：除了允許特定地址訪問之外， 不允許其它地址訪問 telnet 端口。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration firewall filter 查看當前配置 實施風險： 高 重要等級： ★★★ 4.1.4. ELK-Juniper-04-01-04 編號： ELK-Juniper-04-01-04 名稱： 限制 telnet 并發(fā)連接數(shù) 實施目的： TELNET 默認可以接受 250 個同時連接。配置 TELNET 等遠程 維護方式時，應配置連接最大數(shù)量限制為 10 個，并且每分 鐘最多有 5 個可以連接，可以防止在 TELNET 端口上的 SYN flood DoS 攻擊。 問題影響： 非法登陸。 第 24 頁 共 25 頁 系統(tǒng)當前狀態(tài)： 使用 show configuration system services telnet 查看當前配置 實施方案： 1、參考配置操作 set system services telnet connection-limit 10 set system services telnet rate-limit 5 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system services telnet 查看當前配置 實施風險： 高 重要等級： ★★★ 4.1.5. ELK-Juniper-04-01-05 編號： ELK-Juniper-04-01-05 名稱： 定時賬戶自動登出安全 實施目的： 對于 Juniper 路由器，應配置定時賬戶自動登出，防止被非法利用。 問題影響： 非法利用。 系統(tǒng)當前狀態(tài)： 使用 show configuration system services telnet 查看當前配置 實施方案： set cli idle-timeout 15 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 當時間超時，用戶會自動退出路由器 實施風險： 低 第 25 頁 共 25 頁 重要等級： ★★★