Juniper路由器基本加固方案.docx
《Juniper路由器基本加固方案.docx》由会员分享,可在线阅读,更多相关《Juniper路由器基本加固方案.docx(9页珍藏版)》请在冰豆网上搜索。
Juniper路由器基本加固方案
技术文件
技术文件名称:
Juniper路由器基本加固方案
技术文件编号:
版本:
V1.1.1
文件质量等级:
共12页
(包括封面)
拟制
审核
会签
标准化
批准
中兴通讯股份有限公司
修改记录
文件编号
版本号
拟制人/
修改人
拟制/修改日期
更改理由
主要更改内容
(写要点即可)
1.0
王华刚
2009/05/31
无
无
1.1
王华刚
2009/06/15
配置编号
配置加固项编号
1.1.1
王华刚
2009/07/03
更新编号
更新加固项编号
注1:
每次更改归档文件(指归档到事业部或公司档案室的文件)时,需填写此表。
注2:
文件第一次归档时,“更改理由”、“主要更改内容”栏写“无”。
Juniper路由器基本加固方案目录
(包括封面)1
修改记录2
1概述4
内部适用性说明4
外部引用说明4
术语和定义4
符号和缩略语4
2Juniper路由器安全配置操作指导5
2.1ZTE-JUNIPER-R-E01帐号安全加固操作5
2.1.1ZTE-JUNIPER-R-EH01-01删除锁定无用帐号5
2.1.2ZTE-JUNIPER-R-EM01-02配置只读用户5
2.1.3ZTE-JUNIPER-R-EH01-03配置强密码5
2.1.4ZTE-JUNIPER-R-EL01-04配置radius认证(可选)5
2.2ZTE-JUNIPER-R-E02网络服务/IP协议要求6
2.2.1ZTE-JUNIPER-R-EM02-01关闭FTP服务6
2.2.2ZTE-JUNIPER-R-EH02-02Telnet连接白名单配置6
2.2.3ZTE-JUNIPER-R-EM02-03Telnet连接数限制6
2.2.4ZTE-JUNIPER-R-EL02-04配置NTP服务器或客户端(可选)6
2.2.5ZTE-JUNIPER-R-EM02-05在网络边界,设置安全访问控制6
2.2.6ZTE-JUNIPER-RH-E02-06设置SNMP访问白名单8
2.2.7ZTE-JUNIPER-RH-E02-07系统应配置为SNMPV2或以上版本9
2.2.8ZTE-JUNIPER-R-EH02-08配置可接收SNMP消息的主机地址9
2.2.9ZTE-JUNIPER-R-EL02-09配置动态路由协议(BGP/MP-BGP/OSPF等)时启用带加密方式的身份验证(可选)9
2.2.10ZTE-JUNIPER-R-EL02-10配置MP-BGP路由协议,应配置MD5加密认证,通过MD5加密认证建立peer(可选)10
2.2.11ZTE-JUNIPER-R-EL02-11对于非点到点的OSPF协议配置,应配置MD5加密认证,通过MD5加密认证建立neighbor(可选)10
2.2.12ZTE-JUNIPER-R-EL02-12禁止发布或接收不安全的路由信息(可选)10
2.2.13ZTE-JUNIPER-R-EL02-13启用RSVP标签分发协议时,打开RSVP协议认证功能(可选)10
2.3ZTE-JUNIPER-R-E03日志记录要求11
2.3.1ZTE-JUNIPER-R-EL03-01配置登录日志11
2.3.2ZTE-JUNIPER-R-EL03-02配置命令日志11
2.3.3ZTE-JUNIPER-R-EL03-03配置事件日志11
2.3.4ZTE-JUNIPER-R-EL03-04配置远程日志服务器(可选)11
2.3.5ZTE-JUNIPER-R-EL03-05设置系统的配置更改信息保存到change.log文件11
2.4ZTE-JUNIPER-R-E04杂项11
2.4.1ZTE-JUNIPER-R-EL04-01配置定期备份配置文件功能(可选)11
Juniper路由器基本加固方案
1概述
内部适用性说明
本方案是在《业务研究院网络安全规范》中各项要求的基础上,提出Juniper路由器基本加固方案。
外部引用说明
《中国移动设备通用安全功能和配置规范》
《中国移动路由器设备安全功能规范》
《中国移动JUNIPER路由器安全配置规范》
术语和定义
符号和缩略语
缩写
英文描述
中文描述
本文件中的字体标识如下:
蓝色斜体在具体执行时需要替换的内容
检查/加固项编码意义如下:
公司名称-操作系统-条目性质风险级别数字编号-小项数字编号
条目性质中:
S意为检查;E意为加固
风险级别中:
H意为高风险;M意为中等风险;L意为低风险,风险级别仅存于具体条目中
约定:
系统配置命令需要先进入JUNOS编辑模式:
root@xxx>configure
root@#editsystem
命令执行完毕后,需要运行commit
root#commit
2Juniper路由器安全配置操作指导
2.1ZTE-JUNIPER-R-E01帐号安全加固操作
2.1.1ZTE-JUNIPER-R-EH01-01删除锁定无用帐号
showconfigurationsystemlogin查看当前可用帐号,删除不必要的帐号
root#deletesystemloginuserabc3
2.1.2ZTE-JUNIPER-R-EM01-02配置只读用户
root#setsystemloginuserweihu
root#setsystemloginuserweihuclassread-only
普通的状态查看操作必须使用weihu帐号进行
2.1.3ZTE-JUNIPER-R-EH01-03配置强密码
root#setsystemroot-authenticationplain-text-password
password:
newpassword
重复输入新密码
password:
newpassword
root#setsystemloginuserweihuauthenticationplain-text-password
2.1.4ZTE-JUNIPER-R-EL01-04配置radius认证(可选)
root#setsystemauthentication-orderradius
root#setsystemauthentication-orderpassword
root#setsystemradius-server10.1.1.1
root#setsystemradius-server10.1.1.2
root#setsystemradius-server10.1.1.1port1645
root#setsystemradius-server10.1.1.2port1645
root#setsystemradius-server10.1.1.1secretconnpassword
root#setsystemradius-server10.1.1.2secretconnpassword
2.2ZTE-JUNIPER-R-E02网络服务/IP协议要求
2.2.1ZTE-JUNIPER-R-EM02-01关闭FTP服务
root#deletesystemservicesftp
2.2.2ZTE-JUNIPER-R-EH02-02Telnet连接白名单配置
root#setfirewallfilterfiltername1termafromsource-address10.1.1.1/32
root#setfirewallfilterfiltername1termafromsource-address10.1.1.2/32
root#setfirewallfilterfiltername1termathenaccept
root#setfirewallfilterfiltername1termbfromprotocoltcpporttelnet
root#setfirewallfilterfiltername1termbthenreject
root#setfirewallfilterfiltername1termcthenaccept
2.2.3ZTE-JUNIPER-R-EM02-03Telnet连接数限制
root#setsystemservicestelnetconnection-limit10
root#setsystemservicestelnetrate-limit5
2.2.4ZTE-JUNIPER-R-EL02-04配置NTP服务器或客户端(可选)
root#setsystemntpauthentication-key1typemd5valuemd5password
root#setsystemntpserver10.1.1.1
root#setsystemntpserver10.1.1.2
2.2.5ZTE-JUNIPER-R-EM02-05在网络边界,设置安全访问控制
过滤与业务不相关的流量示例1:
setfirewallfilterfiltername2termafromsource-address10.1.1.1/32
setfirewallfilterfiltername2termafromdestination-address10.1.2.1/32
setfirewallfilterfiltername2termafromprotocoltcp
setfirewallfilterfiltername2termafromprotocoludp
setfirewallfilterfiltername2termafromsource-port445
setfirewallfilterfiltername2termafromdestination-port145
setfirewallfilterfiltername2termathenaccept
setfirewallfilterfiltername2termbthenreject
过滤与业务不相关的流量示例2:
setfirewallfilterfiltername2termafromprotocoludpdestination-port1434
setfirewallfilterfiltername2termathendiscard
setfirewallfilterfiltername2termbfromprotocoltcpport445
setfirewallfilterfiltername2termbthendiscard
setfirewallfilterfiltername2termcfromport[58005900]
setfir