Juniper网络设备安全加固规范.doc

上传人:最*** 文档编号:1544652 上传时间:2019-10-25 格式:DOC 页数:25 大小:558KB
返回 下载 相关 举报
Juniper网络设备安全加固规范.doc_第1页
第1页 / 共25页
Juniper网络设备安全加固规范.doc_第2页
第2页 / 共25页
Juniper网络设备安全加固规范.doc_第3页
第3页 / 共25页
点击查看更多>>
资源描述
Juniper网络设备安全基线规范 2019 年 10 月 第 2 页 共 25 页 目录 1. 账号管理、认证授权 .3 1.1. 账号 .3 1.1.1. ELK-Juniper-01-01-013 1.1.2. ELK-Juniper-01-01-023 1.1.3. ELK-Juniper-01-01-034 1.2. 口令 .5 1.2.1. ELK-Juniper-01-02-015 1.2.2. ELK-Juniper-01-02-026 1.2.3. ELK-Juniper-01-02-038 1.3. 认证 .9 1.3.1. ELK-Juniper-01-03-019 2. 日志配置 .10 2.1.1. ELK-JUNIPER-02-01-01.10 2.1.2. ELK-JUNIPER-02-01-02.11 2.1.3. ELK-JUNIPER-02-01-03.12 2.1.4. ELK-JUNIPER-02-01-04.12 2.1.5. ELK-JUNIPER-02-01-05.13 2.1.6. ELK-JUNIPER-02-01-06.14 3. 通信协议 .15 3.1.1. ELK-JUNIPER-03-01-01.15 3.1.2. ELK-JUNIPER-03-01-02.16 3.1.3. ELK-JUNIPER-03-01-03.17 3.1.4. ELK-JUNIPER-03-01-04.18 3.1.5. ELK-JUNIPER-03-01-05.19 3.1.6. ELK-JUNIPER-03-01-06.20 4. 设备其他安全要求 .20 4.1.1. ELK-JUNIPER-04-01-01.20 4.1.2. ELK-JUNIPER-04-01-02.21 4.1.3. ELK-JUNIPER-04-01-03.22 4.1.4. ELK-JUNIPER-04-01-04.23 4.1.5. ELK-JUNIPER-04-01-05.24 第 3 页 共 25 页 1. 账号管理、认证授权 1.1. 账号 1.1.1. ELK-Juniper-01-01-01 编号: ELK-Juniper-01-01-01 名称: 按照用户类型分配账号 实施目的: 按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。 问题影响: 权限不明确,存在用户越权使用的可能。 系统当前状态: 使用 show configuration system login 查看当前配置 实施方案: 1、参考配置操作 set system login user abc1 set system login user abc2 2、补充操作说明 1、 abc1 和 abc2 是两个不同的账号名称,可根据不同用户, 取不同的名称; 2、账号取名,建议使用:姓名的简写手机号码。 回退方案: 删除新增加用户 判断依据: 标记用户用途,定期建立用户列表,比较是否有非法用户 实施风险: 低 重要等级: 1.1.2. ELK-Juniper-01-01-02 编号: ELK-Juniper-01-01-02 第 4 页 共 25 页 名称: 删除无效账号 实施目的: 按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。 问题影响: 非法利用系统默认账号 系统当前状态: 使用 show configuration system login 查看当前配置 实施方案: 1、参考配置操作 delete system login user abc3 2、补充操作说明 abc3 是与工作无关的账号。 回退方案: 增加被删除的用户 判断依据: 查看配置文件,核对用户列表。 实施风险: 低 重要等级: 1.1.3. ELK-Juniper-01-01-03 编号: ELK-Juniper-01-01-03 名称: 建立分配系统用户组 实施目的: 为了控制不同用户的访问级别,建立多用户级别,根据用户的业务需求,将用户账号分配到相应的用户级别。 问题影响: 账号越权使用 系统当前状态: 使用 show configuration system login 查看当前配置 实施方案: 1、参考配置操作 创建用户级别: set system login class ABC1 permissions view view-configuration 将用户账号分配到相应的用户级别: set system login user abc1 class read-only set system login user abc2 class ABC1 第 5 页 共 25 页 set system login user abc3 class super-user 2、补充操作说明 (1) 、ABC1 是手工创建的组,该组具有的权限:查看设 备运行状态(如接口状态、设备硬件状态、路由状态等) , 并且可以查看设备的配置; (2) 、read-only 组具有的权限:查看设备运行状态, 但不能查看设备的配置; (3) 、super-user 是超级用户组,具有的权限:所有权 限; (4) 、read-only 和 super-user 是路由器已经创建的组, 不需要手工创建; (5) 、abc1、abc2、abc3 是不同的用户,它们分别分配到 相应的用户级别。 回退方案: 还原系统配置文件 判断依据: 使用 show configuration system login 查看当前配置 实施风险: 高 重要等级: 1.2. 口令 1.2.1. ELK-Juniper-01-02-01 编号: ELK-Juniper-01-02-01 名称: 提高口令强度 实施目的: 对于采用静态口令认证技术的设备,口令长度至少 6 位, 并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。 问题影响: 增加密码被暴力破解的成功率 系统当前状态: 使用 show configuration system login 查看当前配置 第 6 页 共 25 页 实施方案: 1、参考配置操作 set system login user abc1 authentication plain- text-password 2、补充操作说明 (1) 、输入指令回车后,将两次提示输入新口令(New password:和 Retype new password:) 。 (2) 、口令要求:长度至少 6 位,并包括数字、小写字母、 大写字母和特殊符号 4 类中至少 2 类。 回退方案: 还原系统配置文件 判断依据: 使用 show configuration system login 查看当前配置 实施风险: 低 重要等级: 1.2.2. ELK-Juniper-01-02-02 编号: ELK-Juniper-01-02-02 名称: 根据用户的业务需要配置其所需的最小权限 实施目的: 在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 问题影响: 越权使用,非法访问。 系统当前状态: 使用 show configuration system login 查看当前配置 实施方案: (1) 、用 show configuration system login class ABC1 命令查 看配置 (2) 、用 show configuration system login class ABC2 命令查 看配置 (3) 、在终端上用 telnet 方式登录路由器,输入用户名 abc1 和密码 成功登录路由器后,用 configure 命令进入配置模式。 使用以下命令检测: set routing-可选 ions static 第 7 页 共 25 页 set interfaces set chassis fpc 使用其它 set 命令 (4) 、在终端上用 telnet 方式登录路由器,输入用户名 abc2 和密码成功登录路由器后,用 configure 命令进入配置模式。 使用以下命令检测: set policy-可选 ions set protocols set routing-instances set routing-可选 ions 使用其它 set 命令 (5) 、在终端上用 telnet 方式登录路由器,输入用户名 abc3 和密码成功登录路由器后,用 configure 命令进入配置模式。 使用 set 命令以及其它命令检测。 回退方案: 使用 show configuration system login 查看当前配置。还原系统配置文件。 判断依据: (1) 、账号 abc1 属于组 ABC1,该组只能配置 routing-可选 ions static、interfaces、 Chassis fpc 项里的内容。不能做其 它未授权的配置; (2) 、账号 abc2 属于组 ABC2,该组只能配置关于路由的 所有配置,包括 routing-可选 ions、protocols、policy-可选 ions、 routing-instances 等,不能做其它未授权的配置; (3) 、账号 abc3 属于组 super-user,拥有全部配置权限。 备注: 创建用户级别,即创建用户的配置权限: set system login class ABC1 permissions configure set system login class ABC1 allow-configuration “routing-可选 ions static|interfaces|chassis fpc“ set system login class ABC2 permissions configure routing- 第 8 页 共 25 页 control 将用户账号分配到相应的用户级别: set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super-user 2、补充操作说明 (1) 、ABC1 组具有的权限:可配置 interfaces,可配置 routing-可选 ions 中的 static,可配置 chassis 中的 fpc; (2) 、ABC2 组具有的权限:可配置有关于路由的所有配置, 包括 routing-可选 ions、protocols、policy- 可选 ions、 routing-instances 等; (3) 、allow-configuration 参数是以等级来限制,可以限制 各个等级的配置,可以细化到各个小等级; (4) 、permissions 参数是以功能来限制,限制的范围较大; (5) 、allow-commands 参数是以具体的指令来限制,allow- comands 参数需要设定具体指令,不建议使用。 实施风险: 低 重要等级: 1.2.3. ELK-Juniper-01-02-03 编号: ELK-Juniper-01-02-03 名称: 提高 ROOT 用户口令强度 实施目的: 修改 root 密码。root 的默认密码是空,修改 root 密码,避免非管理员使用 root 账号登录。 问题影响: 增加密码被暴力破解的成功率 系统当前状态: 使用 show configuration system login 查看当前配置 第 9 页 共 25 页 实施方案: 1、参考配置操作 (1) 、用 show configuration system login 命令查看配置是否 正确; (2) 、通过 console 口方式登录路由器,输入 root 用户名和 密码; (3) 、通过 console 口方式登录路由器,输入 root 用户和空 密码。 2、补充操作说明 (1) 、输入指令回车后,将两次提示输入新口令(New password:和 Retype new password:) 。 (2) 、口令要求:长度至少 6 位,并包括数字、小写字母、 大写字母和特殊符号 4 类中至少 2 类。 回退方案: 还原系统配置文件 判断依据: (1) 、输入 root 用户和正确密码可以正常登录路由器; (2) 、输入 root 用户和空密码无法登录路由器。 实施风险: 低 重要等级: 1.3. 认证 1.3.1. ELK-Juniper-01-03-01 编号: ELK-Juniper-01-03-01 名称: 设置认证系统联动 实施目的: 设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。 问题影响: 密码泄露。 系统当前状态: 使用 show configuration system login 查看当前配置 并查看 Radius 服务器配置 第 10 页 共 25 页 实施方案: 1、参考配置操作 set system authentication-order radius set system authentication-order password set system radius-server 10.1.1.1 set system radius-server 10.1.1.2 set system radius-server 10.1.1.1 port 1645 set system radius-server 10.1.1.2 port 1645 set system radius-server 10.1.1.1 secret abc123 set system radius-server 10.1.1.2 secret abc123 2、补充操作说明 (1) 、配置认证方式,可通过 radius 和本地认证; (2) 、 10.1.1.1 和 10.1.1.2 是 radius 认证服务器的 IP 地 址,建议建立两个 radius 认证服务器作为互备; (3) 、port 1645 是 radius 认证开启的端口号,可根据本 地 radius 认证服务器开启的端口号进行配置; (4) 、 abc123 是与 radius 认证系统建立连接所设定的密码, 建议:与 radius 认证服务器建立连接时,使用密码认证建 立连接。 回退方案: 还原系统配置文件 判断依据: 使用 show configuration system login 查看当前配置 实施风险: 低 重要等级: 2. 日志配置 本部分对 JUNIPER 设备的日志功能提出建议,主要加强设备所具备的日 志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。 根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反安全 策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计分析工具, 发现安全隐患。如出现大量违反 ACL 规则的事件时,通过对日志的审计分析, 第 11 页 共 25 页 能发现隐患,提高设备维护人员的警惕性,防止恶化。 2.1.1. ELK-Juniper-02-01-01 编号: ELK-Juniper-02-01-01 名称: 开启系统日志功能 实施目的: 设备应配置日志功能,记录用户对设备的操作,比如:账 号创建、删除和权限修改,口令修改,读取和修改设备配 置,涉及通信隐私数据。记录需要包含用户账号,操作时 间,操作内容以及操作结果。 问题影响: 无法对用户的登陆进行日志记录。 系统当前状态: 使用 show configuration system syslog 查看当前配置 实施方案: 1、参考配置操作 set system syslog file author.log authorization info 2、补充操作说明 (1) 、author.log 是记录登录信息的 log 文件,该文件名 称可手工定义; (2) 、author.log 文件保存在 juniper 路由器的存储上。 回退方案: 还原系统配置文件 判断依据: 使用 show configuration system syslog 查看当前配置 实施风险: 低 重要等级: 2.1.2. ELK-Juniper-02-01-02 编号: ELK-Juniper-02-01-02 名称: 开启系统安全日志功能 实施目的: 设备应配置日志功能,记录对与设备相关的安全事件,比如:记录路由协议事件和错误。 问题影响: 无法记录路由协议事件和错误。 第 12 页 共 25 页 系统当前状态: 使用 show configuration 查看当前配置 实施方案: 1、参考配置操作 set system syslog file daemon.log daemon warning set system syslog file firewall.log firewall warning 2、补充操作说明 (1) 、daemon.log 是记录路由协议事件的文件,该文件名 称可手工定义; (2) 、firewall.log 是记录安全事件的文件,该文件名称 可手工定义; (3) 、daemon 和 firewall 可定义有九个等级,建议将其设 定为 warning 等级,即仅记录 warning 等级以上的安全 事件。 回退方案: 还原系统配置文件 判断依据: 使用 show configuration 查看当前配置 实施风险: 中 重要等级: 2.1.3. ELK-Juniper-02-01-03 编号: ELK-Juniper-02-01-03 名称: 设置配置更改日志路径 实施目的: 设置系统的配置更改信息保存到单独的 change.log 文件内。 问题影响: 暴露系统日志。 系统当前状态: 使用 show configuration system syslog 查看当前配置 实施方案: 1、参考配置操作 set system syslog file change.log change-log info 2、补充操作说明 (1) 、change.log 是记录配置更改的文件,该文件名称可 手工定义; (2) 、change.log 文件保存在 juniper 路由器的存储上。 第 13 页 共 25 页 回退方案: 还原系统配置文件 判断依据: 使用 show configuration system syslog 查看当前配置 实施风险: 中 重要等级: 2.1.4. ELK-Juniper-02-01-04 编号: ELK-Juniper-02-01-04 名称: 设置配置远程日志功能 实施目的: 设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。 问题影响: 丢失重要日志。 系统当前状态: 使用 show configuration system syslog 命令查看配置 实施方案: set system syslog host 10.1.1.1 any notice set system syslog host 10.1.1.1 log-prefix Router1 set system syslog host 10.1.1.2 any notice set system syslog host 10.1.1.2 log-prefix Router2 补充操作说明 (1) 、10.1.1.1 和 10.1.1.2 是远程日志服务器的 IP 地址,建 议建设两个远程日志服务器作为互备; (2) 、syslog 有九个等级的记录信息,建议将 notice 等级以 上的信息传送到远程日志服务器; (3) 、Router1 为路由器的主机名称。 回退方案: 还原系统配置文件 判断依据: (1) 、使用 show configuration system syslog 命令查看配置; (2) 、登录远程日志服务器查看日志。 实施风险: 中 第 14 页 共 25 页 重要等级: 2.1.5. ELK-Juniper-02-01-05 编号: ELK-Juniper-02-01-05 名称: 设置系统的配置更改信息 实施目的: 设置系统的配置更改信息保存到单独的 change.log 文件内 问题影响: 丢失重要日志。 系统当前状态: 使用 show configuration system syslog 命令查看配置 实施方案: (1) 、使用 show configuration system syslog 命令查看配置; (2) 、在终端上以 telnet 方式登录路由器,输入用户名密码; (3) 、进行创建、删除帐号和修改用户密码等修改设备配 置操作; (4) 、用 show log change.log 命令查看日志。 回退方案: 使用 show configuration system syslog 命令查看配置,恢复默认配置 判断依据: 可以在 change.log 中查看到用户的操作内容、操作时间 实施风险: 中 重要等级: 2.1.6. ELK-Juniper-02-01-06 编号: ELK-Juniper-02-01-06 名称: 保证日志功能记录的时间的准确性。 实施目的: 开启 NTP 服务,保证日志功能记录的时间的准确性。路由器与 NTP SERVER 之间开启认证功能 。 问题影响: 丢失重要日志。 系统当前状态: 使用 show configuration system syslog 命令查看配置 第 15 页 共 25 页 实施方案: (1) 、使用 show configuration system ntp 命令查看配置; (2) 、使用 show system uptime 命令查看路由器时间与并与 北京时间对比; (3) 、使用 show ntp associations 查看路由器是否与 NTP 服 务器同步; (4) 、使用 show ntp status 查看路由器时间同步状态。 回退方案: 使用 show configuration system syslog 命令查看配置,恢复默认配置 判断依据: (1) 、用 show ntp associations 命令查看,信息如下面所示: remote refid st t when poll = * ROUTER1 10.1.1.1 2 u 641 1024 + ROUTER2 10.1.1.2 2 u 713 1024 reach delay offset jitter = 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1 前面的(*)号表示 ROUTER1 是已和路由器时间 同步的 NTP 服务器,(+)号为备用的 NTP 服务器. (2) 、有 show ntp status 命令查看,信息如下: status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version=“ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1)“, processor=“i386“, system=“JUNOS7.3R2.7“, leap=00, stratum=3, precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484, refid=ROUTER , reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10, clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4, offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 如上面信息的第一句第二部分显示”sync_ntp” 表示路由 器时间已和 NTP 服务器同步,如果显示”sync_unspec”即未 同步.。 实施风险: 中 重要等级: 第 16 页 共 25 页 3. 通信协议 3.1.1. ELK-Juniper-03-01-01 编号: ELK-Juniper-03-01-01 名称: OSPF 协议安全 实施目的: 对于非点到点的 OSPF 协议配置,应配置 MD5 加密认证,通过 MD5 加密认证建立 neighbor 问题影响: 恶意攻击 系统当前状态: 使用 show configuration protocols rsvp 查看当前配置 实施方案: 1) 、使用 show configuration 命令查看配置 2) 、使用 show ospf neighbor 命令查看 OSPF 邻居状态 3) 、使用 show route protocol ospf brief 命令查看 OSPF 路由 表 4) 、使用 ping 检查路由连通性 回退方案: 还原系统配置文件 判断依据: 1) 、OSPF 邻居处于 full 状态为正常 ,能学到邻居的路由为正 常 2) 、路由能连通为正常 实施风险: 低 重要等级: 3.1.2. ELK-Juniper-03-01-02 编号: ELK-Juniper-03-01-02 名称: 启用带加密方式的身份验证 实施目的: 配置动态路由协议(BGP/ MP-BGP /OSPF 等)时必须启用 带加密方式的身份验证功能,相邻路由器只有在身份验证 通过后,才能互相通告路由信息。 问题影响: 非法访问, 第 17 页 共 25 页 系统当前状态: 使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看当前配置 实施方案: (1) 、使用 show configuration protocol 命令查看配置; (2) 、使用 show bgp neighbor 命令查看 BGP 邻居状态; (3) 、使用 show route protocol bgp brief 命令查看 BGP 路由 表; (4) 、使用 show ospf neighbor 命令查看 OSPF 邻居状态; (5) 、使用 show route protocol ospf brief 命令查看 OSPF 路 由表; (6) 、使用 ping 命令检查路由连通性。 回退方案: 使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看当前配置, 还原给原始状态。 判断依据: 1) 、确定配置已经启用加密的身份认证; 2) 、BGP 邻居处于 establish 状态为正常,能学到邻居的路 由为正常; 3) 、OSPF 邻居处于 full 状态为正常 ,能学到邻居的路由为正 常; 4) 、路由能连通为正常。 实施风险: 中 重要等级: 3.1.3. ELK-Juniper-03-01-03 编号: ELK-Juniper-03-01-03 名称: 过滤所有和业务不相关的流量 实施目的: 对于具备 TCP/UDP 协议功能的设备,设备应根据业务需要, 配置基于源 IP 地址、通信协议 TCP 或 UDP、目的 IP 地址、 源端口、目的端口的流量过滤,过滤所有和业务不相关的 流量。 问题影响: 恶意攻击。 系统当前状态: 使用 show configuration firewall filter abc 查看配置 第 18 页 共 25 页 实施方案: (1) 、使用 show configuration firewall filter abc 查看配置 (2) 、将终端的 IP 地址设为: 10.1.1.1 (3) 、在终端上安装 Nmap 端口扫描工具(本例基于 windowsXP2 系统) (4) 、在 DOS 下输入:nmap -sS -g 445 10.1.2.1 p 145 这 指令的意思是以源端口为 445 来访问主机 IP 为 10.1.2.1 的 TCP145 端口。 (5) 、用 namp 访问其它非业务端口,如访问 80 端口,在 DOS 下输入: nmap sS 10.1.2.1 p 80 这指令的意思是以任何端口访问 10.1.2.1 的 TCP80 端口 (6) 、运行真实业务测试业务流量和非业务流量。 回退方案: 还原系统配置文件 判断依据: 使用 show configuration firewall filter abc 查看配置,还原为原始状态。 实施风险: 中 重要等级: 3.1.4. ELK-Juniper-03-01-04 编号: ELK-Juniper-03-01-04 名称: 配置 MP-BGP 的 MD5 加密认 实施目的: 配置 MP-BGP 路由协议,应配置 MD5 加密认证,通过 MD5 加密认证建立 peer。 问题影响: 信息泄露。 系统当前状态: 使用 show configuration protocol bgp 查看当前配置 第 19 页 共 25 页 实施方案: 1、参考配置操作 set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 2、补充操作说明 1) 、 abc 为 group 的名称,可自行设定; 2) 、 10.1.1.1 为对端 peer 的 IP 地址,可根据需求设定; 3) 、 abc123 为 MD5 加密认证的认证密码,该密码和对端 peer 的密码要一致。 回退方案: 还原系统配置文件 判断依据: 使用 show configuration protocol bgp 查看当前配置 实施风险: 中 重要等级: 3.1.5. ELK-Juniper-03-01-05 编号: ELK-Juniper-03-01-05 名称: 设置 SNMP 访问安全限制 实施目的: 设置 SNMP 访问安全限制,只允许特定主机通过 SNMP 访问网络设备。 问题影响: 非法登陆。 系统当前状态: 使用 show configuration snmp 查看当前配置 实施方案: 1、参考配置操作 set snmp community abcd123 clients 10.1.1.1/32 set snmp community abcd123 clients 10.1.2.1/32 set snmp community abcd123 clients ready-only 2、补充操作说明 1) 、 abcd123 是 communtity 字符串,可自行定义,但必须 和 client 的主机一致; 2) 、 10.1.1.1 和 10.1.2.1 是主机 IP 地址,即允许 10.1.1.1.和 10.1.2.1 主机通过 SNMP 访问网络设备; 3) 、未在 client 列表中的主机,不允许通过 SNMP 访问网 络设备。 第 20 页 共 25 页 4) 、设置主机访问网络设备具有读的权限,可根据需求设 置为具有读写的权限(read-write) 。 回退方案: 还原系统配置文件 判断依据: 使用 show configuration snmp 查看当前配置 实施风险: 高 重要等级: 3.1.6. ELK-Juniper-03-01-06 编号: ELK-Juniper-03-01-06 名称: RSVP 标签分发协议 实施目的: 启用 RSVP 标签分发协议时,打开 RSVP 协议认证功能,如MD5 加密,确保与可信方进行 RSVP 协议交互。 问题影响: 非法登陆。 系统当前状态: 使用 show configuration protocols rsvp 查看当前配置 实施方案: 1、参考配置操作 set protocols rsvp interface fe-0/0/0.0 authentication-key abc123 2、补充操作说明 abc123 为 MD5 加密密码。 回退方案: 还原系统配置文件 判断依据: 各邻居状态为 UP 正常各 RSVP session 状为 UP 正常 实施风险: 中 重要等级: 第 21 页 共 25 页 4. 设备其他安全要求 4.1.1. ELK-Juniper-04-01-01 编号: ELK-Juniper-04-01-01 名称: 开启配置定期备份 实施目的: 开启配置文件定期备份功能,定期备份配置文件。 问题影响: 容易丢失数据。 系统当前状态: 使用 show configuration system archival 查看当前配置 实施方案: 1、参考配置操作 set system archival configuration transfer-interval 2880 set system archival configuration archive-sites ftp:/juniper10.1.1.1 password abc123 set system archival configuration archive-sites ftp:/juniper10.1.1.2 password abc123 2、补充操作说明 1) 、 2880 是时间间隔,单位是分钟,时间间隔可设置的范 围为 152880; 2) 、juniper 是 ftp 的用户名称, 10.1.1.1 和 10.1.1.2 是 ftp 服务器的 IP 地址, abc123 是登录 frp 服务器的密 码;建议设置两个 IP 地址作为互备; 3) 、定期备份仅能通过 ftp 服务备份; 4) 、通过定期备份配置文件,时间间隔较短,即备份比较 频繁,建议采用 transfer-on-commit 方式,即只要执 行 commit 指令,配置将自动备份到 ftp 服务器,指令 为 set system archival configuration transfer-on- commit; 5) 、transfer-interval 和 transfer-on-commit 方式不能 共存。 回退方案: 还原系统配置文件 判断依据: 使用 show configuration system archival 查看当前配置 第 22 页 共 25 页 实施风险: 高 重要等级: 4.1.2. ELK-Juniper-04-01-02 编号: ELK-Juniper-04-01-02 名称: 关闭不必要服务 实施目的: 关闭网络设备不必要的服务,比如 FTP、TFTP 服务等。 问题影响: 对系统造成不稳定。 系统当前状态: 使用 show configuration system services 查看当前配置 实施方案: 1、参考配置操作 delete system services ftp 2、补充操作说明 默认是关闭 FTP 服务 回退方案: 还原系统配置文件 判断依据: 使用 show configuration system services 查看当前配置 实施风险: 低 重要等级: 4.1.3. ELK-Juniper-04-01-03 编号: ELK-Juniper-04-01-03 名称: 限制远程管理 IP 实施目的: 系统远程管理服务 TELNET、SSH 默认可以接受任何地址的连接,出于安全考虑,应该只允许特定地址访问。 问题影响: 非法登陆。 第 23 页 共 25 页 系统当前状态: 使用 show configuration firewall filter 查看当前配置 实施方案: 1、参考配置操作 set firewall filter abc term a from source-address 10.1.1.1/32 set firewall filter abc term a from source-address 10.1.1.2/32 set firewall filter abc term a then accept set firewall filter abc term b from protocol tcp port telnet set firewall filter abc term b then reject set firewall filter abc term c then accept 2、补充操作说明 1) 、 abc 为 filter 名称,可自定义; 2) 、10.1.1.1/32 和 10.1.1.2/32 上允许 telnet 的主机 IP 地址; 3) 、term a 实现的功能为:允许特定地址访问; 4) 、term b 实现的功能为:除了允许特定地址访问之外, 不允许其它地址访问 telnet 端口。 回退方案: 还原系统配置文件 判断依据: 使用 show configuration firewall filter 查看当前配置 实施风险: 高 重要等级: 4.1.4. ELK-Juniper-04-01-04 编号: ELK-Juniper-04-01-04 名称: 限制 telnet 并发连接数 实施目的: TELNET 默认可以接受 250 个同时连接。配置 TELNET 等远程 维护方式时,应配置连接最大数量限制为 10 个,并且每分 钟最多有 5 个可以连接,可以防止在 TELNET 端口上的 SYN flood DoS 攻击。 问题影响: 非法登陆。 第 24 页 共 25 页 系统当前状态: 使用 show configuration system services telnet 查看当前配置 实施方案: 1、参考配置操作 set system services telnet connection-limit 10 set system services telnet rate-limit 5 回退方案: 还原系统配置文件 判断依据: 使用 show configuration system services telnet 查看当前配置 实施风险: 高 重要等级: 4.1.5. ELK-Juniper-04-01-05 编号: ELK-Juniper-04-01-05 名称: 定时账户自动登出安全 实施目的: 对于 Juniper 路由器,应配置定时账户自动登出,防止被非法利用。 问题影响: 非法利用。 系统当前状态: 使用 show configuration system services telnet 查看当前配置 实施方案: set cli idle-timeout 15 回退方案: 还原系统配置文件 判断依据: 当时间超时,用户会自动退出路由器 实施风险: 低 第 25 页 共 25 页 重要等级:
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!