Juniper网络设备安全加固规范.doc

资源描述

Juniper网络设备安全基线规范 2019 年 10 月第 2 页共 25 页目录 1. 账号管理、认证授权 .3 1.1. 账号 .3 1.1.1. ELK-Juniper-01-01-013 1.1.2. ELK-Juniper-01-01-023 1.1.3. ELK-Juniper-01-01-034 1.2. 口令 .5 1.2.1. ELK-Juniper-01-02-015 1.2.2. ELK-Juniper-01-02-026 1.2.3. ELK-Juniper-01-02-038 1.3. 认证 .9 1.3.1. ELK-Juniper-01-03-019 2. 日志配置 .10 2.1.1. ELK-JUNIPER-02-01-01.10 2.1.2. ELK-JUNIPER-02-01-02.11 2.1.3. ELK-JUNIPER-02-01-03.12 2.1.4. ELK-JUNIPER-02-01-04.12 2.1.5. ELK-JUNIPER-02-01-05.13 2.1.6. ELK-JUNIPER-02-01-06.14 3. 通信协议 .15 3.1.1. ELK-JUNIPER-03-01-01.15 3.1.2. ELK-JUNIPER-03-01-02.16 3.1.3. ELK-JUNIPER-03-01-03.17 3.1.4. ELK-JUNIPER-03-01-04.18 3.1.5. ELK-JUNIPER-03-01-05.19 3.1.6. ELK-JUNIPER-03-01-06.20 4. 设备其他安全要求 .20 4.1.1. ELK-JUNIPER-04-01-01.20 4.1.2. ELK-JUNIPER-04-01-02.21 4.1.3. ELK-JUNIPER-04-01-03.22 4.1.4. ELK-JUNIPER-04-01-04.23 4.1.5. ELK-JUNIPER-04-01-05.24 第 3 页共 25 页 1. 账号管理、认证授权 1.1. 账号 1.1.1. ELK-Juniper-01-01-01 编号： ELK-Juniper-01-01-01 名称：按照用户类型分配账号实施目的：按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。问题影响：权限不明确，存在用户越权使用的可能。系统当前状态：使用 show configuration system login 查看当前配置实施方案： 1、参考配置操作 set system login user abc1 set system login user abc2 2、补充操作说明 1、 abc1 和 abc2 是两个不同的账号名称，可根据不同用户，取不同的名称； 2、账号取名，建议使用：姓名的简写手机号码。回退方案：删除新增加用户判断依据：标记用户用途，定期建立用户列表，比较是否有非法用户实施风险：低重要等级： 1.1.2. ELK-Juniper-01-01-02 编号： ELK-Juniper-01-01-02 第 4 页共 25 页名称：删除无效账号实施目的：按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。问题影响：非法利用系统默认账号系统当前状态：使用 show configuration system login 查看当前配置实施方案： 1、参考配置操作 delete system login user abc3 2、补充操作说明 abc3 是与工作无关的账号。回退方案：增加被删除的用户判断依据：查看配置文件，核对用户列表。实施风险：低重要等级： 1.1.3. ELK-Juniper-01-01-03 编号： ELK-Juniper-01-01-03 名称：建立分配系统用户组实施目的：为了控制不同用户的访问级别，建立多用户级别，根据用户的业务需求，将用户账号分配到相应的用户级别。问题影响：账号越权使用系统当前状态：使用 show configuration system login 查看当前配置实施方案： 1、参考配置操作创建用户级别： set system login class ABC1 permissions view view-configuration 将用户账号分配到相应的用户级别： set system login user abc1 class read-only set system login user abc2 class ABC1 第 5 页共 25 页 set system login user abc3 class super-user 2、补充操作说明（1）、ABC1 是手工创建的组，该组具有的权限：查看设备运行状态（如接口状态、设备硬件状态、路由状态等），并且可以查看设备的配置；（2）、read-only 组具有的权限：查看设备运行状态，但不能查看设备的配置；（3）、super-user 是超级用户组，具有的权限：所有权限；（4）、read-only 和 super-user 是路由器已经创建的组，不需要手工创建；（5）、abc1、abc2、abc3 是不同的用户，它们分别分配到相应的用户级别。回退方案：还原系统配置文件判断依据：使用 show configuration system login 查看当前配置实施风险：高重要等级： 1.2. 口令 1.2.1. ELK-Juniper-01-02-01 编号： ELK-Juniper-01-02-01 名称：提高口令强度实施目的：对于采用静态口令认证技术的设备，口令长度至少 6 位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。问题影响：增加密码被暴力破解的成功率系统当前状态：使用 show configuration system login 查看当前配置第 6 页共 25 页实施方案： 1、参考配置操作 set system login user abc1 authentication plain- text-password 2、补充操作说明（1）、输入指令回车后，将两次提示输入新口令（New password:和 Retype new password:）。（2）、口令要求：长度至少 6 位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。回退方案：还原系统配置文件判断依据：使用 show configuration system login 查看当前配置实施风险：低重要等级： 1.2.2. ELK-Juniper-01-02-02 编号： ELK-Juniper-01-02-02 名称：根据用户的业务需要配置其所需的最小权限实施目的：在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响：越权使用，非法访问。系统当前状态：使用 show configuration system login 查看当前配置实施方案：（1）、用 show configuration system login class ABC1 命令查看配置（2）、用 show configuration system login class ABC2 命令查看配置（3）、在终端上用 telnet 方式登录路由器,输入用户名 abc1 和密码成功登录路由器后，用 configure 命令进入配置模式。使用以下命令检测： set routing-可选 ions static 第 7 页共 25 页 set interfaces set chassis fpc 使用其它 set 命令（4）、在终端上用 telnet 方式登录路由器,输入用户名 abc2 和密码成功登录路由器后，用 configure 命令进入配置模式。使用以下命令检测： set policy-可选 ions set protocols set routing-instances set routing-可选 ions 使用其它 set 命令（5）、在终端上用 telnet 方式登录路由器,输入用户名 abc3 和密码成功登录路由器后，用 configure 命令进入配置模式。使用 set 命令以及其它命令检测。回退方案：使用 show configuration system login 查看当前配置。还原系统配置文件。判断依据：（1）、账号 abc1 属于组 ABC1，该组只能配置 routing-可选 ions static、interfaces、 Chassis fpc 项里的内容。不能做其它未授权的配置；（2）、账号 abc2 属于组 ABC2，该组只能配置关于路由的所有配置，包括 routing-可选 ions、protocols、policy-可选 ions、 routing-instances 等，不能做其它未授权的配置；（3）、账号 abc3 属于组 super-user，拥有全部配置权限。备注：创建用户级别，即创建用户的配置权限： set system login class ABC1 permissions configure set system login class ABC1 allow-configuration “routing-可选 ions static|interfaces|chassis fpc“ set system login class ABC2 permissions configure routing- 第 8 页共 25 页 control 将用户账号分配到相应的用户级别： set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super-user 2、补充操作说明（1）、ABC1 组具有的权限：可配置 interfaces，可配置 routing-可选 ions 中的 static，可配置 chassis 中的 fpc；（2）、ABC2 组具有的权限：可配置有关于路由的所有配置，包括 routing-可选 ions、protocols、policy- 可选 ions、 routing-instances 等；（3）、allow-configuration 参数是以等级来限制，可以限制各个等级的配置，可以细化到各个小等级；（4）、permissions 参数是以功能来限制，限制的范围较大；（5）、allow-commands 参数是以具体的指令来限制，allow- comands 参数需要设定具体指令,不建议使用。实施风险：低重要等级： 1.2.3. ELK-Juniper-01-02-03 编号： ELK-Juniper-01-02-03 名称：提高 ROOT 用户口令强度实施目的：修改 root 密码。root 的默认密码是空，修改 root 密码，避免非管理员使用 root 账号登录。问题影响：增加密码被暴力破解的成功率系统当前状态：使用 show configuration system login 查看当前配置第 9 页共 25 页实施方案： 1、参考配置操作（1）、用 show configuration system login 命令查看配置是否正确；（2）、通过 console 口方式登录路由器,输入 root 用户名和密码；（3）、通过 console 口方式登录路由器，输入 root 用户和空密码。 2、补充操作说明（1）、输入指令回车后，将两次提示输入新口令（New password:和 Retype new password:）。（2）、口令要求：长度至少 6 位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。回退方案：还原系统配置文件判断依据：（1）、输入 root 用户和正确密码可以正常登录路由器；（2）、输入 root 用户和空密码无法登录路由器。实施风险：低重要等级： 1.3. 认证 1.3.1. ELK-Juniper-01-03-01 编号： ELK-Juniper-01-03-01 名称：设置认证系统联动实施目的：设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。问题影响：密码泄露。系统当前状态：使用 show configuration system login 查看当前配置并查看 Radius 服务器配置第 10 页共 25 页实施方案： 1、参考配置操作 set system authentication-order radius set system authentication-order password set system radius-server 10.1.1.1 set system radius-server 10.1.1.2 set system radius-server 10.1.1.1 port 1645 set system radius-server 10.1.1.2 port 1645 set system radius-server 10.1.1.1 secret abc123 set system radius-server 10.1.1.2 secret abc123 2、补充操作说明（1）、配置认证方式，可通过 radius 和本地认证；（2）、 10.1.1.1 和 10.1.1.2 是 radius 认证服务器的 IP 地址，建议建立两个 radius 认证服务器作为互备；（3）、port 1645 是 radius 认证开启的端口号，可根据本地 radius 认证服务器开启的端口号进行配置；（4）、 abc123 是与 radius 认证系统建立连接所设定的密码，建议：与 radius 认证服务器建立连接时，使用密码认证建立连接。回退方案：还原系统配置文件判断依据：使用 show configuration system login 查看当前配置实施风险：低重要等级： 2. 日志配置本部分对 JUNIPER 设备的日志功能提出建议，主要加强设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反 ACL 规则的事件时，通过对日志的审计分析，第 11 页共 25 页能发现隐患，提高设备维护人员的警惕性，防止恶化。 2.1.1. ELK-Juniper-02-01-01 编号： ELK-Juniper-02-01-01 名称：开启系统日志功能实施目的：设备应配置日志功能，记录用户对设备的操作，比如：账号创建、删除和权限修改，口令修改，读取和修改设备配置，涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。问题影响：无法对用户的登陆进行日志记录。系统当前状态：使用 show configuration system syslog 查看当前配置实施方案： 1、参考配置操作 set system syslog file author.log authorization info 2、补充操作说明（1）、author.log 是记录登录信息的 log 文件，该文件名称可手工定义；（2）、author.log 文件保存在 juniper 路由器的存储上。回退方案：还原系统配置文件判断依据：使用 show configuration system syslog 查看当前配置实施风险：低重要等级： 2.1.2. ELK-Juniper-02-01-02 编号： ELK-Juniper-02-01-02 名称：开启系统安全日志功能实施目的：设备应配置日志功能，记录对与设备相关的安全事件，比如：记录路由协议事件和错误。问题影响：无法记录路由协议事件和错误。第 12 页共 25 页系统当前状态：使用 show configuration 查看当前配置实施方案： 1、参考配置操作 set system syslog file daemon.log daemon warning set system syslog file firewall.log firewall warning 2、补充操作说明（1）、daemon.log 是记录路由协议事件的文件，该文件名称可手工定义；（2）、firewall.log 是记录安全事件的文件，该文件名称可手工定义；（3）、daemon 和 firewall 可定义有九个等级，建议将其设定为 warning 等级，即仅记录 warning 等级以上的安全事件。回退方案：还原系统配置文件判断依据：使用 show configuration 查看当前配置实施风险：中重要等级： 2.1.3. ELK-Juniper-02-01-03 编号： ELK-Juniper-02-01-03 名称：设置配置更改日志路径实施目的：设置系统的配置更改信息保存到单独的 change.log 文件内。问题影响：暴露系统日志。系统当前状态：使用 show configuration system syslog 查看当前配置实施方案： 1、参考配置操作 set system syslog file change.log change-log info 2、补充操作说明（1）、change.log 是记录配置更改的文件，该文件名称可手工定义；（2）、change.log 文件保存在 juniper 路由器的存储上。第 13 页共 25 页回退方案：还原系统配置文件判断依据：使用 show configuration system syslog 查看当前配置实施风险：中重要等级： 2.1.4. ELK-Juniper-02-01-04 编号： ELK-Juniper-02-01-04 名称：设置配置远程日志功能实施目的：设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。问题影响：丢失重要日志。系统当前状态：使用 show configuration system syslog 命令查看配置实施方案： set system syslog host 10.1.1.1 any notice set system syslog host 10.1.1.1 log-prefix Router1 set system syslog host 10.1.1.2 any notice set system syslog host 10.1.1.2 log-prefix Router2 补充操作说明（1）、10.1.1.1 和 10.1.1.2 是远程日志服务器的 IP 地址，建议建设两个远程日志服务器作为互备；（2）、syslog 有九个等级的记录信息，建议将 notice 等级以上的信息传送到远程日志服务器；（3）、Router1 为路由器的主机名称。回退方案：还原系统配置文件判断依据：（1）、使用 show configuration system syslog 命令查看配置；（2）、登录远程日志服务器查看日志。实施风险：中第 14 页共 25 页重要等级： 2.1.5. ELK-Juniper-02-01-05 编号： ELK-Juniper-02-01-05 名称：设置系统的配置更改信息实施目的：设置系统的配置更改信息保存到单独的 change.log 文件内问题影响：丢失重要日志。系统当前状态：使用 show configuration system syslog 命令查看配置实施方案：（1）、使用 show configuration system syslog 命令查看配置；（2）、在终端上以 telnet 方式登录路由器,输入用户名密码；（3）、进行创建、删除帐号和修改用户密码等修改设备配置操作；（4）、用 show log change.log 命令查看日志。回退方案：使用 show configuration system syslog 命令查看配置，恢复默认配置判断依据：可以在 change.log 中查看到用户的操作内容、操作时间实施风险：中重要等级： 2.1.6. ELK-Juniper-02-01-06 编号： ELK-Juniper-02-01-06 名称：保证日志功能记录的时间的准确性。实施目的：开启 NTP 服务，保证日志功能记录的时间的准确性。路由器与 NTP SERVER 之间开启认证功能。问题影响：丢失重要日志。系统当前状态：使用 show configuration system syslog 命令查看配置第 15 页共 25 页实施方案：（1）、使用 show configuration system ntp 命令查看配置；（2）、使用 show system uptime 命令查看路由器时间与并与北京时间对比；（3）、使用 show ntp associations 查看路由器是否与 NTP 服务器同步；（4）、使用 show ntp status 查看路由器时间同步状态。回退方案：使用 show configuration system syslog 命令查看配置，恢复默认配置判断依据：（1）、用 show ntp associations 命令查看，信息如下面所示: remote refid st t when poll = * ROUTER1 10.1.1.1 2 u 641 1024 + ROUTER2 10.1.1.2 2 u 713 1024 reach delay offset jitter = 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1 前面的(*)号表示 ROUTER1 是已和路由器时间同步的 NTP 服务器,(+)号为备用的 NTP 服务器. （2）、有 show ntp status 命令查看，信息如下: status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version=“ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1)“, processor=“i386“, system=“JUNOS7.3R2.7“, leap=00, stratum=3, precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484, refid=ROUTER , reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10, clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4, offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 如上面信息的第一句第二部分显示”sync_ntp” 表示路由器时间已和 NTP 服务器同步,如果显示”sync_unspec”即未同步.。实施风险：中重要等级：第 16 页共 25 页 3. 通信协议 3.1.1. ELK-Juniper-03-01-01 编号： ELK-Juniper-03-01-01 名称： OSPF 协议安全实施目的：对于非点到点的 OSPF 协议配置，应配置 MD5 加密认证，通过 MD5 加密认证建立 neighbor 问题影响：恶意攻击系统当前状态：使用 show configuration protocols rsvp 查看当前配置实施方案： 1）、使用 show configuration 命令查看配置 2）、使用 show ospf neighbor 命令查看 OSPF 邻居状态 3）、使用 show route protocol ospf brief 命令查看 OSPF 路由表 4）、使用 ping 检查路由连通性回退方案：还原系统配置文件判断依据： 1）、OSPF 邻居处于 full 状态为正常 ,能学到邻居的路由为正常 2）、路由能连通为正常实施风险：低重要等级： 3.1.2. ELK-Juniper-03-01-02 编号： ELK-Juniper-03-01-02 名称：启用带加密方式的身份验证实施目的：配置动态路由协议（BGP/ MP-BGP /OSPF 等）时必须启用带加密方式的身份验证功能，相邻路由器只有在身份验证通过后，才能互相通告路由信息。问题影响：非法访问，第 17 页共 25 页系统当前状态：使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看当前配置实施方案：（1）、使用 show configuration protocol 命令查看配置；（2）、使用 show bgp neighbor 命令查看 BGP 邻居状态；（3）、使用 show route protocol bgp brief 命令查看 BGP 路由表；（4）、使用 show ospf neighbor 命令查看 OSPF 邻居状态；（5）、使用 show route protocol ospf brief 命令查看 OSPF 路由表；（6）、使用 ping 命令检查路由连通性。回退方案：使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看当前配置，还原给原始状态。判断依据： 1）、确定配置已经启用加密的身份认证； 2）、BGP 邻居处于 establish 状态为正常，能学到邻居的路由为正常； 3）、OSPF 邻居处于 full 状态为正常 ,能学到邻居的路由为正常； 4）、路由能连通为正常。实施风险：中重要等级： 3.1.3. ELK-Juniper-03-01-03 编号： ELK-Juniper-03-01-03 名称：过滤所有和业务不相关的流量实施目的：对于具备 TCP/UDP 协议功能的设备，设备应根据业务需要，配置基于源 IP 地址、通信协议 TCP 或 UDP、目的 IP 地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。问题影响：恶意攻击。系统当前状态：使用 show configuration firewall filter abc 查看配置第 18 页共 25 页实施方案：（1）、使用 show configuration firewall filter abc 查看配置（2）、将终端的 IP 地址设为: 10.1.1.1 （3）、在终端上安装 Nmap 端口扫描工具(本例基于 windowsXP2 系统) （4）、在 DOS 下输入：nmap -sS -g 445 10.1.2.1 p 145 这指令的意思是以源端口为 445 来访问主机 IP 为 10.1.2.1 的 TCP145 端口。（5）、用 namp 访问其它非业务端口，如访问 80 端口，在 DOS 下输入： nmap sS 10.1.2.1 p 80 这指令的意思是以任何端口访问 10.1.2.1 的 TCP80 端口（6）、运行真实业务测试业务流量和非业务流量。回退方案：还原系统配置文件判断依据：使用 show configuration firewall filter abc 查看配置，还原为原始状态。实施风险：中重要等级： 3.1.4. ELK-Juniper-03-01-04 编号： ELK-Juniper-03-01-04 名称：配置 MP-BGP 的 MD5 加密认实施目的：配置 MP-BGP 路由协议，应配置 MD5 加密认证，通过 MD5 加密认证建立 peer。问题影响：信息泄露。系统当前状态：使用 show configuration protocol bgp 查看当前配置第 19 页共 25 页实施方案： 1、参考配置操作 set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 2、补充操作说明 1）、 abc 为 group 的名称，可自行设定； 2）、 10.1.1.1 为对端 peer 的 IP 地址，可根据需求设定； 3）、 abc123 为 MD5 加密认证的认证密码，该密码和对端 peer 的密码要一致。回退方案：还原系统配置文件判断依据：使用 show configuration protocol bgp 查看当前配置实施风险：中重要等级： 3.1.5. ELK-Juniper-03-01-05 编号： ELK-Juniper-03-01-05 名称：设置 SNMP 访问安全限制实施目的：设置 SNMP 访问安全限制，只允许特定主机通过 SNMP 访问网络设备。问题影响：非法登陆。系统当前状态：使用 show configuration snmp 查看当前配置实施方案： 1、参考配置操作 set snmp community abcd123 clients 10.1.1.1/32 set snmp community abcd123 clients 10.1.2.1/32 set snmp community abcd123 clients ready-only 2、补充操作说明 1）、 abcd123 是 communtity 字符串，可自行定义，但必须和 client 的主机一致； 2）、 10.1.1.1 和 10.1.2.1 是主机 IP 地址，即允许 10.1.1.1.和 10.1.2.1 主机通过 SNMP 访问网络设备； 3）、未在 client 列表中的主机，不允许通过 SNMP 访问网络设备。第 20 页共 25 页 4）、设置主机访问网络设备具有读的权限，可根据需求设置为具有读写的权限（read-write）。回退方案：还原系统配置文件判断依据：使用 show configuration snmp 查看当前配置实施风险：高重要等级： 3.1.6. ELK-Juniper-03-01-06 编号： ELK-Juniper-03-01-06 名称： RSVP 标签分发协议实施目的：启用 RSVP 标签分发协议时，打开 RSVP 协议认证功能，如MD5 加密，确保与可信方进行 RSVP 协议交互。问题影响：非法登陆。系统当前状态：使用 show configuration protocols rsvp 查看当前配置实施方案： 1、参考配置操作 set protocols rsvp interface fe-0/0/0.0 authentication-key abc123 2、补充操作说明 abc123 为 MD5 加密密码。回退方案：还原系统配置文件判断依据：各邻居状态为 UP 正常各 RSVP session 状为 UP 正常实施风险：中重要等级：第 21 页共 25 页 4. 设备其他安全要求 4.1.1. ELK-Juniper-04-01-01 编号： ELK-Juniper-04-01-01 名称：开启配置定期备份实施目的：开启配置文件定期备份功能，定期备份配置文件。问题影响：容易丢失数据。系统当前状态：使用 show configuration system archival 查看当前配置实施方案： 1、参考配置操作 set system archival configuration transfer-interval 2880 set system archival configuration archive-sites ftp:/juniper10.1.1.1 password abc123 set system archival configuration archive-sites ftp:/juniper10.1.1.2 password abc123 2、补充操作说明 1）、 2880 是时间间隔，单位是分钟，时间间隔可设置的范围为 152880; 2）、juniper 是 ftp 的用户名称， 10.1.1.1 和 10.1.1.2 是 ftp 服务器的 IP 地址， abc123 是登录 frp 服务器的密码；建议设置两个 IP 地址作为互备； 3）、定期备份仅能通过 ftp 服务备份； 4）、通过定期备份配置文件，时间间隔较短，即备份比较频繁，建议采用 transfer-on-commit 方式，即只要执行 commit 指令，配置将自动备份到 ftp 服务器，指令为 set system archival configuration transfer-on- commit； 5）、transfer-interval 和 transfer-on-commit 方式不能共存。回退方案：还原系统配置文件判断依据：使用 show configuration system archival 查看当前配置第 22 页共 25 页实施风险：高重要等级： 4.1.2. ELK-Juniper-04-01-02 编号： ELK-Juniper-04-01-02 名称：关闭不必要服务实施目的：关闭网络设备不必要的服务，比如 FTP、TFTP 服务等。问题影响：对系统造成不稳定。系统当前状态：使用 show configuration system services 查看当前配置实施方案： 1、参考配置操作 delete system services ftp 2、补充操作说明默认是关闭 FTP 服务回退方案：还原系统配置文件判断依据：使用 show configuration system services 查看当前配置实施风险：低重要等级： 4.1.3. ELK-Juniper-04-01-03 编号： ELK-Juniper-04-01-03 名称：限制远程管理 IP 实施目的：系统远程管理服务 TELNET、SSH 默认可以接受任何地址的连接，出于安全考虑，应该只允许特定地址访问。问题影响：非法登陆。第 23 页共 25 页系统当前状态：使用 show configuration firewall filter 查看当前配置实施方案： 1、参考配置操作 set firewall filter abc term a from source-address 10.1.1.1/32 set firewall filter abc term a from source-address 10.1.1.2/32 set firewall filter abc term a then accept set firewall filter abc term b from protocol tcp port telnet set firewall filter abc term b then reject set firewall filter abc term c then accept 2、补充操作说明 1）、 abc 为 filter 名称，可自定义； 2）、10.1.1.1/32 和 10.1.1.2/32 上允许 telnet 的主机 IP 地址； 3）、term a 实现的功能为：允许特定地址访问； 4）、term b 实现的功能为：除了允许特定地址访问之外，不允许其它地址访问 telnet 端口。回退方案：还原系统配置文件判断依据：使用 show configuration firewall filter 查看当前配置实施风险：高重要等级： 4.1.4. ELK-Juniper-04-01-04 编号： ELK-Juniper-04-01-04 名称：限制 telnet 并发连接数实施目的： TELNET 默认可以接受 250 个同时连接。配置 TELNET 等远程维护方式时，应配置连接最大数量限制为 10 个，并且每分钟最多有 5 个可以连接，可以防止在 TELNET 端口上的 SYN flood DoS 攻击。问题影响：非法登陆。第 24 页共 25 页系统当前状态：使用 show configuration system services telnet 查看当前配置实施方案： 1、参考配置操作 set system services telnet connection-limit 10 set system services telnet rate-limit 5 回退方案：还原系统配置文件判断依据：使用 show configuration system services telnet 查看当前配置实施风险：高重要等级： 4.1.5. ELK-Juniper-04-01-05 编号： ELK-Juniper-04-01-05 名称：定时账户自动登出安全实施目的：对于 Juniper 路由器，应配置定时账户自动登出，防止被非法利用。问题影响：非法利用。系统当前状态：使用 show configuration system services telnet 查看当前配置实施方案： set cli idle-timeout 15 回退方案：还原系统配置文件判断依据：当时间超时，用户会自动退出路由器实施风险：低第 25 页共 25 页重要等级：

展开阅读全文

Juniper网络设备安全加固规范.doc

最新文档