中国移动JUNIPER路由器安全配置规范正式下发版.docx
《中国移动JUNIPER路由器安全配置规范正式下发版.docx》由会员分享,可在线阅读,更多相关《中国移动JUNIPER路由器安全配置规范正式下发版.docx(18页珍藏版)》请在冰豆网上搜索。
中国移动JUNIPER路由器安全配置规范正式下发版
中国移动JUNIPER路由器安全配置规范(正式下发版)
移动Juniper路由器安全配置规范SpecificationforJuniperRouterConfigurationUsedinChinaMobile版本号:
、、网络与信息安全规范编号:
【网络与信息安全规范】
【第二层:
技术规范网元类】
【第2501号】
?
全文结束》》-12-13发布全文结束》》-01-01实施中国移动通信集团公司发布目录1概述、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、1
1、1适用范围、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、1
1、2内部适用性说明、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、1
1、3外部引用说明、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、2
1、4术语和定义、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、2
1、5符号和缩略语、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、22JUNIPER路由器安全配置要求、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、3
2、1账号管理、认证授权、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、3
2、1、1账号、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、3
2、1、2口令、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、6
2、1、2授权、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、7
2、1、3认证、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、9
2、2日志要求、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、10
2、3IP协议安全要求、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、14
2、3、1基本协议安全、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、14
2、3、2路由协议安全、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、16
2、3、3SNMP协议安全、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、20
2、3、4MPLS安全、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、22
2、4设备其他安全、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、23前言本标准由中国移动通信有限公司网络部提出并归口。
本标准由标准提出并归口部门负责解释。
本标准起草单位:
中国移动通信有限公司网络部。
本标准解释单位:
同提出单位。
本标准主要起草人:
中国移动集团广东公司吴卓明中国移动通信集团公司陈敏时1概述
1、1适用范围本规范适用于中国移动通信网、业务系统和支撑系统的Juniper路由器。
本规范明确了Juniper路由器安全配置方面的基本要求。
1、2内部适用性说明本规范是在中国移动设备通用设备安全功能和配置规范(以下简称通用规范)各项设备配置要求的基础上,提出的Juniper路由器安全配置规范。
以下分项列出本规范对通用规范设备配置要求的修订情况。
设备通用安全配置要求编号采纳意见补充说明安全要求-设备-通用-配置-1-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-1”安全要求-设备-通用-配置-2-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-2”安全要求-设备-通用-配置-3-可选不采纳系统不支持安全要求-设备-通用-配置-4完全采纳安全要求-设备-通用-配置-5完全采纳安全要求-设备-通用-配置-6-可选不采纳系统不支持安全要求-设备-通用-配置-7-可选不采纳系统不支持安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12完全采纳安全要求-设备-通用-配置-13-可选部分采纳参见“安全要求-设备-通用-JUNIPER-配置-10”安全要求-设备-通用-配置-24-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-11”安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-16-可选完全采纳安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19-可选部分采纳参见“安全要求-设备-通用-JUNIPER-配置-26-可选”安全要求-设备-通用-配置-20-可选不采纳系统不支持安全要求-设备-通用-TY-GN-27-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-27”本规范新增的安全配置要求,如下:
安全要求-设备-通用-JUNIPER-配置-3安全要求-设备-通用-JUNIPER-配置-6安全要求-设备-通用-JUNIPER-配置-8-可选安全要求-设备-通用-JUNIPER-配置-13安全要求-设备-通用-JUNIPER-配置-14-可选安全要求-设备-通用-JUNIPER-配置-17-可选安全要求-设备-通用-JUNIPER-配置-18安全要求-设备-通用-JUNIPER-配置-19安全要求-设备-通用-JUNIPER-配置-20安全要求-设备-通用-JUNIPER-配置-21-可选安全要求-设备-通用-JUNIPER-配置-22安全要求-设备-通用-JUNIPER23-可选安全要求-设备-通用-JUNIPER24-可选安全要求-设备-通用-JUNIPER25-可选安全要求-设备-通用-JUNIPER-配置-28安全要求-设备-通用-JUNIPER-配置-29安全要求-设备-通用-JUNIPER-配置-30-可选?
安全要求-设备-通用-JUNIPER-配置-31-可选?
安全要求-设备-通用-JUNIPER-配置-32安全要求-设备-通用-JUNIPER-配置-33安全要求-设备-通用-JUNIPER-配置-34-可选安全要求-设备-通用-JUNIPER-配置-35本规范还针对通用规范中所列的配置要求,给出了在Juniper路由器上的具体配置方法和检测方法。
1、3外部引用说明中国移动设备通用安全功能和配置规范
1、4术语和定义
1、5符号和缩略语缩写英文描述中文描述2Juniper路由器安全配置要求本规范所指的设备为Juniper路由器设备。
本规范提出的安全配置要求,在未特别说明的情况下,均适用于所有版本的Juniper路由器。
本规范从Juniper路由器的认证授权功能、安全日志功能以及路由协议安全功能,和其他自身安全配置功能8个方面提出安全要求。
2、1账号管理、认证授权认证功能用于确认登录系统的用户真实身份。
认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。
授权功能赋予系统账号的操作权限,并限制用户进行超越其账号权限的操作。
账号口令管理功能是实现正确认证和授权的基础。
对于存在字符或图形界面(WEB界面)的人机交互的设备,应提供账号管理及认证授权功能,并应满足以下各项要求。
2、1、1账号编号:
安全要求-设备-通用-JUNIPER-配置-1要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
操作指南
1、参考配置操作setsystemloginuserabc1setsystemloginuserabc2
2、补充操作说明
1、abc1和abc2是两个不同的账号名称,可根据不同用户,取不同的名称;
2、账号取名,建议使用:
姓名的简写手机号码。
检测方法
3、判定条件各账号都可以登录路由器为正常
4、检测操作
(1)、用showconfigurationsystemlogin命令查看配置是否正确
(2)、在终端上用telnet方式登录路由器,输入用户名abc1和密码(3)、在终端上用telnet方式登录路由器,输入用户名abc2和密码)
5、补充说明编号:
安全要求-设备-通用-JUNIPER-配置-2要求内容应删除与设备运行、维护等工作无关的账号。
操作指南
1、参考配置操作deletesystemloginuserabc3
2、补充操作说明abc3是与工作无关的账号。
检测方法
3、判定条件被删除的与工作无关的账号abc3不能登录为正常。
4、检测操作
(1)、用showconfigurationsystemlogin命令查看配置是否正确。
(2)、在终端上用telnet方式登录路由器,输入用户名abc3和密码。
5、补充说明编号:
安全要求-设备-通用-JUNIPER-配置-3要求内容为了控制不同用户的访问级别,建立多用户级别,根据用户的业务需求,将用户账号分配到相应的用户级别。
操作指南
1、参考配置操作创建用户级别:
setsystemloginclassABC1permissionsviewview-configuration将用户账号分配到相应的用户级别:
setsystemloginuserabc1classread-onlysetsystemloginuserabc2classABC1setsystemloginuserabc3classsuper-user
2、补充操作说明
(1)、ABC1是手工创建的组,该组具有的权限:
查看设备运行状态(如接口状态、设备硬件状态、路由状态等),并且可以查看设备的配置;
(2)、read-only组具有的权限:
查看设备运行状态,但不能查看设备的配置;(3)、super-user是超级用户组,具有的权限:
所有权限;(4)、read-only和super-user是路由器已经创建的组,不需要手工创建;(5)、abc
1、abc
2、abc3是不同的用户,它们分别分配到相应的用户级别。
检测方法
3、判定条件
(1)、用户abc1属于组read-only,这个组只设置了查看设备运行状态权限,因而可使用showinterfacesters及其它查看路由器状态的命令,而不能使用showconfiguration和configure命令
(2)、用户abc2属于组ABC1,这个组设置了查看设备运状态和查看路由器配置权限,因而可使用showinterfacesters和其它查看路由器状态命令及showconfiguration命令,不能使用configure命令(3)、用户abc3属于组super-user,这是超级用户组,具有所有权限,因而可使用全部命令。
6、检测操作
(1)、用showconfigurationsystemloginclassABC1命令查看配置
(2)、在终端上用telnet方式登录路由器,输入用户名abc1和密码成功登录路由器后,用showinterfacesterse命令查看端口状态;用showconfiguration命令查看路由器配置;用configure命令进入路由器的配置模式。
(3)、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后,用showinterfacesterse命令查看端口状态;用showconfiguration命令查看路由器配置;用configure命令进入路由器的配置模式。
(4)、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后,用showinterfacesterse命令查看端口状态;用showconfiguration命令查看路由器配置;用configure命令进入路由器的配置模式。
7、补充说明
2、1、2口令编号:
安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
操作指南
1、参考配置操作setsystemloginuserabc1authenticationplain-text-password
2、补充操作说明
(1)、输入指令回车后,将两次提示输入新口令(Newpassword:
和Retypenewpassword:
)。
(2)、口令要求:
长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
检测方法
3、判定条件可以登录路由器为正常。
4、检测操作
(1)、用showconfigurationsystemlogin命令查看配置是否正确
(2)、在终端上用telnet方式登录路由器,输入用户名abc1和密码。
5、补充说明编号:
安全要求-设备-通用-配置-5要求内容对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
操作指南
1、参考配置操作无。
2、补充操作说明Juniper设备不能设置账户口令的生存期限,账户口令的生存期限可通过定期手工更改口令的方式实现。
检测方法
3、判定条件无。
4、检测操作每隔90天修改一次路由器的账号密码以提高安全性。
5、补充说明编号:
安全要求-设备-通用-JUNIPER-配置-6要求内容修改root密码。
root的默认密码是空,修改root密码,避免非管理员使用root账号登录。
操作指南
1、参考配置操作setsystemroot-authenticationplain-text-password
2、补充操作说明
(1)、输入指令回车后,将两次提示输入新口令(Newpassword:
和Retypenewpassword:
);
(2)、口令要求:
长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类;。
检测方法
3、判定条件
(1)、输入root用户和正确密码可以正常登录路由器;
(2)、输入root用户和空密码无法登录路由器。
4、检测操作
(1)、用showconfigurationsystemlogin命令查看配置是否正确;
(2)、通过console口方式登录路由器,输入root用户名和密码;(3)、通过console口方式登录路由器,输入root用户和空密码。
5、补充说明
2、1、2授权编号:
安全要求-设备-通用-配置-9要求内容在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
操作指南
1、参考配置操作创建用户级别,即创建用户的配置权限:
setsystemloginclassABC1permissionsconfiguresetsystemloginclassABC1allow-configurationrouting-可选ionsstatic|interfaces|chassisfpcsetsystemloginclassABC2permissionsconfigurerouting-control将用户账号分配到相应的用户级别:
setsystemloginuserabc1classABC1setsystemloginuserabc2classABC2setsystemloginuserabc3classsuper-user
2、补充操作说明
(1)、ABC1组具有的权限:
可配置interfaces,可配置routing-可选ions中的static,可配置chassis中的fpc;
(2)、ABC2组具有的权限:
可配置有关于路由的所有配置,包括routing-可选ions、protocols、policy-可选ions、routing-instances等;(3)、allow-configuration参数是以等级来限制,可以限制各个等级的配置,可以细化到各个小等级;(4)、permissions参数是以功能来限制,限制的范围较大;(5)、allow-commands参数是以具体的指令来限制,allow-comands参数需要设定具体指令,不建议使用。
检测方法
3、判定条件
(1)、账号abc1属于组ABC1,该组只能配置routing-可选ionsstatic、interfaces、Chassisfpc项里的内容。
不能做其它未授权的配置;
(2)、账号abc2属于组ABC2,该组只能配置关于路由的所有配置,包括routing-可选ions、protocols、policy-可选ions、routing-instances等,不能做其它未授权的配置;(3)、账号abc3属于组super-user,拥有全部配置权限。
4、检测操作
(1)、用showconfigurationsystemloginclassABC1命令查看配置
(2)、用showconfigurationsystemloginclassABC2命令查看配置(3)、在终端上用telnet方式登录路由器,输入用户名abc1和密码成功登录路由器后,用configure命令进入配置模式。
使用以下命令