ImageVerifierCode 换一换
格式:DOCX , 页数:18 ,大小:20.37KB ,
资源ID:9808952      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/9808952.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(中国移动JUNIPER路由器安全配置规范正式下发版.docx)为本站会员(b****7)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

中国移动JUNIPER路由器安全配置规范正式下发版.docx

1、中国移动JUNIPER路由器安全配置规范正式下发版 中国移动JUNIPER路由器安全配置规范(正式下发版)移 动 Juniper 路 由 器 安 全 配 置 规 范 Specification for Juniper Router Configuration Used in China Mobile 版 本 号 : 、 、 网络与信息安全规范编号: 【网络与信息安全规范】 【第二层:技术规范网元类】 【第2501 号】 ?全文结束-12-13 发 布全文结束-01-01 实 施 中国移动通信集团公司 发布 目录1 概述 、1 1、1 适用范围 、1 1、2 内部适用性说明 、1 1、3 外部引

2、用说明 、2 1、4 术语和定义 、2 1、5 符号和缩略语 、22 JUNIPER 路由器安全配置要求 、3 2、1 账号管理、认证授权 、3 2、1、1 账号 、3 2、1、2 口令 、6 2、1、2 授权 、7 2、1、3 认证 、9 2、2 日志要求 、10 2、3 IP 协议安全要求 、14 2、3、1 基本协议安全 、14 2、3、2 路由协议安全 、16 2、3、3 SNMP协议安全 、20 2、3、4 MPLS安全 、22 2、4 设备其他安全 、23 前言 本标准由中国移动通信有限公司网络部提出并归口。 本标准由标准提出并归口部门负责解释。 本标准起草单位:中国移动通信有限公

3、司网络部。 本标准解释单位:同提出单位。 本标准主要起草人:中国移动集团广东公司 吴卓明 中国移动通信集团公司 陈敏时1 概述 1、1 适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的 Juniper 路由器。本规范明确了 Juniper 路由器安全配置方面的基本要求。 1、2 内部适用性说明 本规范是在中国移动设备通用设备安全功能和配置规范 (以下简称通用规范 ) 各项设备配置要求的基础上,提出的 Juniper 路由器安全配置规范。以下分项列出本规范对 通用规范设备配置要求的修订情况。 设备通用安全配置要求编号 采纳意见 补充说明 安全要求-设备-通用- 配置-1- 可选 增强要

4、求 参见“安全要求-设备-通用-JUNIPER-配置-1” 安全要求-设备-通用- 配置-2- 可选 增强要求 参见“安全要求-设备-通用-JUNIPER-配置-2” 安全要求-设备-通用- 配置-3- 可选 不采纳 系统不支持 安全要求-设备-通用- 配置-4 完全采纳 安全要求-设备-通用- 配置-5 完全采纳 安全要求-设备-通用- 配置-6- 可选 不采纳 系统不支持 安全要求-设备-通用- 配置-7- 可选 不采纳 系统不支持 安全要求-设备-通用- 配置-9 完全采纳 安全要求-设备-通用- 配置-12 完全采纳 安全要求-设备-通用- 配置-13-可选 部分采纳 参见“安全要求-

5、设备-通用-JUNIPER-配置-10” 安全要求-设备-通用- 配置-24-可选 增强要求 参见“安全要求-设备-通用-JUNIPER-配置-11” 安全要求-设备-通用- 配置-14-可选 完全采纳 安全要求-设备-通用- 配置-16-可选 完全采纳 安全要求-设备-通用- 配置-17-可选 完全采纳 安全要求-设备-通用- 配置-19-可选 部分采纳 参见“安全要求-设备-通用-JUNIPER-配置-26- 可选” 安全要求-设备-通用- 配置-20-可选 不采纳 系统不支持 安全要求-设备-通用-TY-GN-27-可选 增强要求 参见“安全要求-设备-通用-JUNIPER-配置-27”

6、 本规范新增的安全配置要求,如下: 安全要求-设备-通用-JUNIPER-配置-3 安全要求-设备-通用-JUNIPER-配置-6 安全要求-设备-通用-JUNIPER-配置-8-可选 安全要求-设备-通用-JUNIPER-配置-13 安全要求-设备-通用-JUNIPER-配置-14-可选 安全要求-设备-通用-JUNIPER-配置-17-可选 安全要求-设备-通用-JUNIPER-配置-18 安全要求-设备-通用-JUNIPER-配置-19 安全要求-设备-通用-JUNIPER-配置-20 安全要求-设备-通用-JUNIPER-配置-21-可选 安全要求-设备-通用-JUNIPER-配置-2

7、2 安全要求-设备-通用- JUNIPER23-可选 安全要求-设备-通用- JUNIPER24-可选 安全要求-设备-通用- JUNIPER25-可选 安全要求-设备-通用-JUNIPER-配置-28 安全要求-设备-通用-JUNIPER-配置-29 安全要求-设备-通用-JUNIPER-配置-30-可选? 安全要求-设备-通用-JUNIPER-配置-31-可选? 安全要求-设备-通用-JUNIPER-配置-32 安全要求-设备-通用-JUNIPER-配置-33 安全要求-设备-通用-JUNIPER-配置-34-可选 安全要求-设备-通用-JUNIPER-配置-35 本规范还针对通用规范中所

8、列的配置要求,给出了在 Juniper 路由器上的具体 配置方法和检测方法。 1、3 外部引用说明 中国移动设备通用安全功能和配置规范 1、4 术语和定义 1、5 符号和缩略语 缩写 英文描述 中文描述2 Juniper 路由器安全配置要求 本规范所指的设备为 Juniper 路由器设备。本规范提出的安全配置要求,在未特 别说明的情况下,均适用于所有版本的 Juniper 路由器。 本规范从 Juniper 路由器的认证授权功能、安全日志功能以及路由协议安全功能, 和其他自身安全配置功能8 个方面提出安全要求。 2、1 账号管理、认证授权 认证功能用于确认登录系统的用户真实身份。认证功能的具体

9、实现方式包括静态 口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限,并限 制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。 对于存在字符或图形界面(WEB 界面)的人机交互的设备,应提供账号管理及认 证授权功能,并应满足以下各项要求。 2、1、1 账号 编号:安全要求-设备- 通用-JUNIPER- 配置-1 要求内容 应按照不同的用户分配不同的账号,避免不同用户间共享账号, 避免用户账号和设备间通信使用的账号共享。 操作指南 1、参考配置操作 set system login user abc1 set system login user ab

10、c2 2、补充操作说明 1、abc1 和 abc2 是两个不同的账号名称,可根据不同用户,取不 同的名称; 2、账号取名,建议使用:姓名的简写手机号码。 检测方法 3、判定条件 各账号都可以登录路由器为正常 4、检测操作 (1) 、用 show configuration system login 命令查看配置是否正 确 (2) 、在终端上用 telnet 方式登录路由器,输入用户名 abc1 和密 码 (3) 、在终端上用 telnet 方式登录路由器,输入用户名 abc2 和密 码 ) 5、补充说明 编号:安全要求-设备- 通用-JUNIPER- 配置-2 要求内容 应删除与设备运行、维护

11、等工作无关的账号。 操作指南 1、参考配置操作 delete system login user abc3 2、补充操作说明 abc3 是与工作无关的账号。 检测方法 3、 判定条件 被删除的与工作无关的账号 abc3 不能登录为正常。 4、 检测操作 (1) 、用 show configuration system login 命令查看配置是否正 确。 (2) 、在终端上用 telnet 方式登录路由器,输入用户名 abc3 和 密码。 5、 补充说明 编号:安全要求-设备- 通用-JUNIPER-配置-3 要求内容 为了控制不同用户的访问级别,建立多用户级别,根据用户的业 务需求,将用户账

12、号分配到相应的用户级别。 操作指南 1、参考配置操作 创建用户级别: set system login class ABC1 permissions view view-configuration 将用户账号分配到相应的用户级别: set system login user abc1 class read-only set system login user abc2 class ABC1 set system login user abc3 class super-user 2、补充操作说明 (1) 、ABC1 是手工创建的组,该组具有的权限:查看设备运 行状态(如接口状态、设备硬件状态、路

13、由状态等) ,并且可以查 看设备的配置; (2) 、read-only 组具有的权限:查看设备运行状态,但不能查 看设备的配置; (3) 、super-user 是超级用户组,具有的权限:所有权限; (4) 、read-only 和 super-user 是路由器已经创建的组,不需要 手工创建; (5) 、abc 1、abc 2、abc3 是不同的用户,它们分别分配到相应 的用户级别。 检测方法 3、判定条件 (1) 、用户 abc1 属于组 read-only,这个组只设置了查看设备 运行状态权限,因而可使用 show interfaces ters 及其它查看路由器状 态的命令,而不能使用

14、 show configuration 和 configure 命令 (2) 、用户 abc2 属于组 ABC1,这个组设置了查看设备运状态 和查看路由器配置权限,因而可使用 show interfaces ters 和其它查 看路由器状态命令及 show configuration 命令,不能使用 configure 命令 (3) 、用户 abc3 属于组 super-user,这是超级用户组,具有所有 权限,因而可使用全部命令。 6、检测操作 (1) 、用 show configuration system login class ABC1 命令查看 配置 (2) 、在终端上用 telne

15、t 方式登录路由器,输入用户名 abc1 和 密码成功登录路由器后, 用 show interfaces terse 命令查看端口状态; 用 show configuration 命令查看路由器配置; 用 configure 命令进入路由器的配置模式。 (3) 、在终端上用 telnet 方式登录路由器,输入用户名 abc2 和 密码成功登录路由器后, 用 show interfaces terse 命令查看端口状态; 用 show configuration 命令查看路由器配置; 用 configure 命令进入路由器的配置模式。 (4) 、在终端上用 telnet 方式登录路由器,输入用户

16、名 abc3 和 密码成功登录路由器后, 用 show interfaces terse 命令查看端口状态; 用 show configuration 命令查看路由器配置; 用 configure 命令进入路由器的配置模式。 7、补充说明 2、1、2 口令 编号:安全要求-设备- 通用-配置-4 要求内容 对于采用静态口令认证技术的设备,口令长度至少6 位,并包括 数字、小写字母、大写字母和特殊符号4 类中至少2 类。 操作指南 1、参考配置操作 set system login user abc1 authentication plain-text-password 2、补充操作说明 (1)

17、 、输入指令回车后,将两次提示输入新口令(New password: 和 Retype new password:) 。 (2) 、口令要求:长度至少6 位,并包括数字、小写字母、大写 字母和特殊符号4 类中至少2 类。 检测方法 3、判定条件 可以登录路由器为正常。 4、检测操作 (1) 、用 show configuration system login 命令查看配置是否正确 (2) 、在终端上用 telnet 方式登录路由器,输入用户名 abc1 和密 码。 5、补充说明 编号:安全要求-设备- 通用-配置-5 要求内容 对于采用静态口令认证技术的设备,账户口令的生存期不长于90 天。

18、操作指南 1、参考配置操作 无。 2、补充操作说明 Juniper 设备不能设置账户口令的生存期限,账户口令的生存期限 可通过定期手工更改口令的方式实现。 检测方法 3、判定条件 无。 4、检测操作 每隔90 天修改一次路由器的账号密码以提高安全性。 5、补充说明 编号:安全要求-设备- 通用-JUNIPER-配置-6 要求内容 修改 root 密码。root 的默认密码是空,修改 root 密码,避免非管 理员使用 root 账号登录。 操作指南 1、参考配置操作 set system root-authentication plain-text-password 2、补充操作说明 (1)

19、、输入指令回车后,将两次提示输入新口令(New password:和 Retype new password:) ; (2) 、口令要求:长度至少6 位,并包括数字、小写字母、大 写字母和特殊符号4 类中至少2 类;。 检测方法 3、判定条件 (1) 、输入 root 用户和正确密码可以正常登录路由器; (2) 、输入 root 用户和空密码无法登录路由器。 4、检测操作 (1) 、用 show configuration system login 命令查看配置是否正确; (2) 、通过 console 口方式登录路由器,输入 root 用户名和密码; (3) 、通过 console 口方式登

20、录路由器,输入 root 用户和空密码。 5、补充说明 2、1、2 授权 编号:安全要求-设备- 通用-配置-9 要求内容 在设备权限配置能力内,根据用户的业务需要,配置其所需的最 小权限。 操作指南 1、参考配置操作 创建用户级别,即创建用户的配置权限: set system login class ABC1 permissions configure set system login class ABC1 allow-configuration routing-可选 ions static|interfaces|chassis fpc set system login class ABC2

21、 permissions configure routing-control 将用户账号分配到相应的用户级别: set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super-user 2、补充操作说明 (1) 、ABC1 组具有的权限:可配置 interfaces,可配置 routing-可 选 ions 中的 static,可配置 chassis 中的 fpc; (2) 、ABC2 组具有的权限:可配置有关于路由的所有配置,包

22、括 routing-可选 ions、protocols、policy-可选 ions、routing- instances 等; (3) 、allow-configuration 参数是以等级来限制,可以限制各个等 级的配置,可以细化到各个小等级; (4) 、permissions 参数是以功能来限制,限制的范围较大; (5) 、allow-commands 参数是以具体的指令来限制, allow- comands 参数需要设定具体指令,不建议使用。 检测方法 3、判定条件 (1) 、账号 abc1 属于组 ABC1,该组只能配置 routing-可选 ions static、interfac

23、es 、 Chassis fpc 项里的内容。不能做其它未授权 的配置; (2) 、账号 abc2 属于组 ABC2,该组只能配置关于路由的所有配 置,包括 routing-可选 ions、protocols、policy-可选 ions、routing- instances 等,不能做其它未授权的配置; (3) 、账号 abc3 属于组 super-user,拥有全部配置权限。 4、检测操作 (1) 、用 show configuration system login class ABC1 命令查看配置 (2) 、用 show configuration system login class ABC2 命令查看配置 (3) 、在终端上用 telnet 方式登录路由器,输入用户名 abc1 和密码 成功登录路由器后,用 configure 命令进入配置模式。 使用以下命令

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1