Juniper網(wǎng)絡(luò)設(shè)備安全加固規(guī)范標(biāo)準(zhǔn)

1、. .PAGE25 / NUMPAGES25Juniper網(wǎng)絡(luò)設(shè)備安全基線規(guī) TIME yyyy年M月 2021年1月目錄 TOC o 1-3 h z HYPERLINK l _Toc2253262101.賬號(hào)管理、認(rèn)證授權(quán) PAGEREF _Toc225326210 h 3HYPERLINK l _Toc2253262111.1.賬號(hào) PAGEREF _Toc225326211 h 3HYPERLINK l _Toc2253262121.1.1.ELK-Juniper-01-01-01 PAGEREF _Toc225326212 h 3HYPERLINK l _Toc2253262131.1

2、.2.ELK-Juniper-01-01-02 PAGEREF _Toc225326213 h 3HYPERLINK l _Toc2253262141.1.3.ELK-Juniper-01-01-03 PAGEREF _Toc225326214 h 4HYPERLINK l _Toc2253262151.2.口令 PAGEREF _Toc225326215 h 5HYPERLINK l _Toc2253262161.2.1.ELK-Juniper-01-02-01 PAGEREF _Toc225326216 h 5HYPERLINK l _Toc2253262171.2.2.ELK-Junip

3、er-01-02-02 PAGEREF _Toc225326217 h 6HYPERLINK l _Toc2253262181.2.3.ELK-Juniper-01-02-03 PAGEREF _Toc225326218 h 8HYPERLINK l _Toc2253262191.3.認(rèn)證 PAGEREF _Toc225326219 h 9HYPERLINK l _Toc2253262201.3.1.ELK-Juniper-01-03-01 PAGEREF _Toc225326220 h 9HYPERLINK l _Toc2253262212.日志配置 PAGEREF _Toc22532622

4、1 h 10HYPERLINK l _Toc2253262222.1.1.ELK-Juniper-02-01-01 PAGEREF _Toc225326222 h 10HYPERLINK l _Toc2253262232.1.2.ELK-Juniper-02-01-02 PAGEREF _Toc225326223 h 11HYPERLINK l _Toc2253262242.1.3.ELK-Juniper-02-01-03 PAGEREF _Toc225326224 h 12HYPERLINK l _Toc2253262252.1.4.ELK-Juniper-02-01-04 PAGEREF

5、_Toc225326225 h 12HYPERLINK l _Toc2253262262.1.5.ELK-Juniper-02-01-05 PAGEREF _Toc225326226 h 13HYPERLINK l _Toc2253262272.1.6.ELK-Juniper-02-01-06 PAGEREF _Toc225326227 h 14HYPERLINK l _Toc2253262283.通信協(xié)議 PAGEREF _Toc225326228 h 15HYPERLINK l _Toc2253262293.1.1.ELK-Juniper-03-01-01 PAGEREF _Toc2253

6、26229 h 15HYPERLINK l _Toc2253262303.1.2.ELK-Juniper-03-01-02 PAGEREF _Toc225326230 h 16HYPERLINK l _Toc2253262313.1.3.ELK-Juniper-03-01-03 PAGEREF _Toc225326231 h 17HYPERLINK l _Toc2253262323.1.4.ELK-Juniper-03-01-04 PAGEREF _Toc225326232 h 18HYPERLINK l _Toc2253262333.1.5.ELK-Juniper-03-01-05 PAGE

7、REF _Toc225326233 h 19HYPERLINK l _Toc2253262343.1.6.ELK-Juniper-03-01-06 PAGEREF _Toc225326234 h 20HYPERLINK l _Toc2253262354.設(shè)備其他安全要求 PAGEREF _Toc225326235 h 20HYPERLINK l _Toc2253262364.1.1.ELK-Juniper-04-01-01 PAGEREF _Toc225326236 h 20HYPERLINK l _Toc2253262374.1.2.ELK-Juniper-04-01-02 PAGEREF

8、_Toc225326237 h 21HYPERLINK l _Toc2253262384.1.3.ELK-Juniper-04-01-03 PAGEREF _Toc225326238 h 22HYPERLINK l _Toc2253262394.1.4.ELK-Juniper-04-01-04 PAGEREF _Toc225326239 h 23HYPERLINK l _Toc2253262404.1.5.ELK-Juniper-04-01-05 PAGEREF _Toc225326240 h 24賬號(hào)管理、認(rèn)證授權(quán)賬號(hào)ELK-Juniper-01-01-01編號(hào)：ELK-Juniper-01

9、-01-01名稱：按照用戶類型分配賬號(hào)實(shí)施目的：按照不同的用戶分配不同的賬號(hào)，避免不同用戶間共享賬號(hào)，避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。問題影響：權(quán)限不明確，存在用戶越權(quán)使用的可能。系統(tǒng)當(dāng)前狀態(tài)：使用show configuration system login 查看當(dāng)前配置實(shí)施方案：1、參考配置操作set system login user abc1set system login user abc22、補(bǔ)充操作說明1、abc1和abc2是兩個(gè)不同的賬號(hào)名稱，可根據(jù)不同用戶，取不同的名稱；2、賬號(hào)取名，建議使用：的簡寫手機(jī)?；赝朔桨福簞h除新增加用戶判斷依據(jù)：標(biāo)記用戶用途，定期建立用戶列

10、表，比較是否有非法用戶實(shí)施風(fēng)險(xiǎn)：低重要等級(jí)：ELK-Juniper-01-01-02編號(hào)：ELK-Juniper-01-01-02名稱：刪除無效賬號(hào)實(shí)施目的：按照不同的用戶分配不同的賬號(hào)，避免不同用戶間共享賬號(hào)，避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。問題影響：非法利用系統(tǒng)默認(rèn)賬號(hào)系統(tǒng)當(dāng)前狀態(tài)：使用show configuration system login 查看當(dāng)前配置實(shí)施方案：1、參考配置操作delete system login user abc32、補(bǔ)充操作說明abc3是與工作無關(guān)的賬號(hào)?；赝朔桨福涸黾颖粍h除的用戶判斷依據(jù)：查看配置文件，核對用戶列表。實(shí)施風(fēng)險(xiǎn)：低重要等級(jí)：ELK-J

11、uniper-01-01-03編號(hào)：ELK-Juniper-01-01-03名稱：建立分配系統(tǒng)用戶組實(shí)施目的：為了控制不同用戶的訪問級(jí)別，建立多用戶級(jí)別，根據(jù)用戶的業(yè)務(wù)需求，將用戶賬號(hào)分配到相應(yīng)的用戶級(jí)別。問題影響：賬號(hào)越權(quán)使用系統(tǒng)當(dāng)前狀態(tài)：使用show configuration system login 查看當(dāng)前配置實(shí)施方案：1、參考配置操作創(chuàng)建用戶級(jí)別：set system login classABC1 permissions view view-configuration 將用戶賬號(hào)分配到相應(yīng)的用戶級(jí)別：set system login user abc1 class read-on

12、lyset system login user abc2 class ABC1set system login user abc3 class super-user2、補(bǔ)充操作說明（1）、ABC1是手工創(chuàng)建的組，該組具有的權(quán)限：查看設(shè)備運(yùn)行狀態(tài)（如接口狀態(tài)、設(shè)備硬件狀態(tài)、路由狀態(tài)等），并且可以查看設(shè)備的配置；（2）、read-only組具有的權(quán)限：查看設(shè)備運(yùn)行狀態(tài)，但不能查看設(shè)備的配置；（3）、super-user是超級(jí)用戶組，具有的權(quán)限：所有權(quán)限；（4）、read-only和super-user是路由器已經(jīng)創(chuàng)建的組，不需要手工創(chuàng)建；（5）、abc1、abc2、abc3是不同的用戶，它們分別分

13、配到相應(yīng)的用戶級(jí)別?；赝朔桨福哼€原系統(tǒng)配置文件判斷依據(jù)：使用show configuration system login 查看當(dāng)前配置實(shí)施風(fēng)險(xiǎn)：高重要等級(jí)：口令ELK-Juniper-01-02-01編號(hào)：ELK-Juniper-01-02-01名稱：提高口令強(qiáng)度實(shí)施目的：對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少6位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少2類。問題影響：增加密碼被暴力破解的成功率系統(tǒng)當(dāng)前狀態(tài)：使用show configuration system login 查看當(dāng)前配置實(shí)施方案：1、參考配置操作set system login user abc1 auth

14、entication plain-text-password2、補(bǔ)充操作說明（1）、輸入指令回車后，將兩次提示輸入新口令（New password:和Retype new password:）。（2）、口令要求：長度至少6位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少2類?；赝朔桨福哼€原系統(tǒng)配置文件判斷依據(jù)：使用show configuration system login 查看當(dāng)前配置實(shí)施風(fēng)險(xiǎn)：低重要等級(jí)：ELK-Juniper-01-02-02編號(hào)：ELK-Juniper-01-02-02名稱：根據(jù)用戶的業(yè)務(wù)需要配置其所需的最小權(quán)限實(shí)施目的：在設(shè)備權(quán)限配置能力，根據(jù)用戶的業(yè)務(wù)需要，

15、配置其所需的最小權(quán)限。問題影響：越權(quán)使用，非法訪問。系統(tǒng)當(dāng)前狀態(tài)：使用show configuration system login 查看當(dāng)前配置實(shí)施方案：（1）、用show configuration system login class ABC1命令查看配置（2）、用show configuration system login class ABC2命令查看配置（3）、在終端上用telnet方式登錄路由器,輸入用戶名abc1和密碼 成功登錄路由器后，用configure命令進(jìn)入配置模式。 使用以下命令檢測： set routing-可選ions static set interfaces

16、set chassis fpc 使用其它set命令（4）、在終端上用telnet方式登錄路由器,輸入用戶名abc2和密碼成功登錄路由器后，用configure命令進(jìn)入配置模式。使用以下命令檢測：set policy-可選ions set protocols set routing-instances set routing-可選ions 使用其它set命令（5）、在終端上用telnet方式登錄路由器,輸入用戶名abc3和密碼成功登錄路由器后，用configure命令進(jìn)入配置模式。使用set命令以與其它命令檢測?；赝朔桨福菏褂胹how configuration system login 查看當(dāng)

17、前配置。還原系統(tǒng)配置文件。判斷依據(jù)：（1）、賬號(hào)abc1屬于組ABC1，該組只能配置routing-可選ions static、interfaces、 Chassis fpc項(xiàng)里的容。不能做其它未授權(quán)的配置；（2）、賬號(hào)abc2屬于組ABC2，該組只能配置關(guān)于路由的所有配置，包括routing-可選ions、protocols、policy-可選ions、routing-instances等，不能做其它未授權(quán)的配置；（3）、賬號(hào)abc3屬于組super-user，擁有全部配置權(quán)限。備注：創(chuàng)建用戶級(jí)別，即創(chuàng)建用戶的配置權(quán)限：set system login class ABC1 permissi

18、ons configureset system login class ABC1 allow-configuration routing-可選ions static|interfaces|chassis fpc set system login class ABC2 permissions configure routing-control 將用戶賬號(hào)分配到相應(yīng)的用戶級(jí)別：set system login user abc1 class ABC1set system login user abc2 class ABC2set system login user abc3 class super

19、-user2、補(bǔ)充操作說明（1）、ABC1組具有的權(quán)限：可配置interfaces，可配置routing-可選ions中的static，可配置chassis中的fpc；（2）、ABC2組具有的權(quán)限：可配置有關(guān)于路由的所有配置，包括routing-可選ions、protocols、policy-可選ions、routing-instances等；（3）、allow-configuration參數(shù)是以等級(jí)來限制，可以限制各個(gè)等級(jí)的配置，可以細(xì)化到各個(gè)小等級(jí)；（4）、permissions參數(shù)是以功能來限制，限制的圍較大；（5）、allow-commands參數(shù)是以具體的指令來限制，allow-co

20、mands參數(shù)需要設(shè)定具體指令,不建議使用。實(shí)施風(fēng)險(xiǎn)：低重要等級(jí)：ELK-Juniper-01-02-03編號(hào)：ELK-Juniper-01-02-03名稱：提高ROOT用戶口令強(qiáng)度實(shí)施目的：修改root密碼。root的默認(rèn)密碼是空，修改root密碼，避免非管理員使用root賬號(hào)登錄。問題影響：增加密碼被暴力破解的成功率系統(tǒng)當(dāng)前狀態(tài)：使用show configuration system login 查看當(dāng)前配置實(shí)施方案：1、參考配置操作（1）、用show configuration system login命令查看配置是否正確；（2）、通過console口方式登錄路由器,輸入root用戶名和

21、密碼；（3）、通過console口方式登錄路由器，輸入root用戶和空密碼。2、補(bǔ)充操作說明（1）、輸入指令回車后，將兩次提示輸入新口令（New password:和Retype new password:）。（2）、口令要求：長度至少6位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少2類?；赝朔桨福哼€原系統(tǒng)配置文件判斷依據(jù)：（1）、輸入root用戶和正確密碼可以正常登錄路由器；（2）、輸入root用戶和空密碼無法登錄路由器。實(shí)施風(fēng)險(xiǎn)：低重要等級(jí)：認(rèn)證ELK-Juniper-01-03-01編號(hào)：ELK-Juniper-01-03-01名稱：設(shè)置認(rèn)證系統(tǒng)聯(lián)動(dòng)實(shí)施目的：設(shè)備通過相關(guān)參數(shù)配置

22、，與認(rèn)證系統(tǒng)聯(lián)動(dòng)，滿足、口令和授權(quán)的強(qiáng)制要求。問題影響：密碼泄露。系統(tǒng)當(dāng)前狀態(tài)：使用show configuration system login查看當(dāng)前配置 并查看Radius服務(wù)器配置實(shí)施方案：1、參考配置操作set system authentication-order radiusset system authentication-order passwordset system radius-serverset system radius-server set system radius-server port 1645set system radius-server port 16

23、45set system radius-server secret abc123set system radius-server secret abc1232、補(bǔ)充操作說明（1）、配置認(rèn)證方式，可通過radius和本地認(rèn)證；（2）、和是radius認(rèn)證服務(wù)器的IP地址，建議建立兩個(gè)radius認(rèn)證服務(wù)器作為互備；（3）、port 1645是radius認(rèn)證開啟的端口號(hào)，可根據(jù)本地radius認(rèn)證服務(wù)器開啟的端口號(hào)進(jìn)行配置；（4）、abc123是與radius認(rèn)證系統(tǒng)建立連接所設(shè)定的密碼，建議：與radius認(rèn)證服務(wù)器建立連接時(shí)，使用密碼認(rèn)證建立連接?；赝朔桨福哼€原系統(tǒng)配置文件判斷依據(jù)：使用sh

24、ow configuration system login查看當(dāng)前配置實(shí)施風(fēng)險(xiǎn)：低重要等級(jí)：日志配置本部分對JUNIPER設(shè)備的日志功能提出建議，主要加強(qiáng)設(shè)備所具備的日志功能，確保發(fā)生安全事件后，設(shè)備日志能提供充足的信息進(jìn)行安全事件定位。根據(jù)這些要求，設(shè)備日志應(yīng)能支持記錄與設(shè)備相關(guān)的重要事件，包括違反安全策略的事件、設(shè)備部件發(fā)生故障或其存在環(huán)境異常等，以便通過審計(jì)分析工具，發(fā)現(xiàn)安全隱患。如出現(xiàn)大量違反ACL規(guī)則的事件時(shí)，通過對日志的審計(jì)分析，能發(fā)現(xiàn)隱患，提高設(shè)備維護(hù)人員的警惕性，防止惡化。ELK-Juniper-02-01-01編號(hào)：ELK-Juniper-02-01-01名稱：開啟系統(tǒng)日志功

25、能實(shí)施目的：設(shè)備應(yīng)配置日志功能，記錄用戶對設(shè)備的操作，比如：賬號(hào)創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置，涉與通信隱私數(shù)據(jù)。記錄需要包含用戶賬號(hào)，操作時(shí)間，操作容以與操作結(jié)果。問題影響：無法對用戶的登陸進(jìn)行日志記錄。系統(tǒng)當(dāng)前狀態(tài)：使用show configuration system syslog查看當(dāng)前配置實(shí)施方案：1、參考配置操作set system syslog file author.log authorization info2、補(bǔ)充操作說明（1）、author.log是記錄登錄信息的log文件，該文件名稱可手工定義；（2）、author.log文件保存在juniper路由

26、器的存儲(chǔ)上?；赝朔桨福哼€原系統(tǒng)配置文件判斷依據(jù)：使用show configuration system syslog查看當(dāng)前配置實(shí)施風(fēng)險(xiǎn)：低重要等級(jí)：ELK-Juniper-02-01-02編號(hào)：ELK-Juniper-02-01-02名稱：開啟系統(tǒng)安全日志功能實(shí)施目的：設(shè)備應(yīng)配置日志功能，記錄對與設(shè)備相關(guān)的安全事件，比如：記錄路由協(xié)議事件和錯(cuò)誤。問題影響：無法記錄路由協(xié)議事件和錯(cuò)誤。系統(tǒng)當(dāng)前狀態(tài)：使用show configuration查看當(dāng)前配置實(shí)施方案：1、參考配置操作set system syslog file daemon.log daemon warningset system s

27、yslog file firewall.logfirewall warning2、補(bǔ)充操作說明（1）、daemon.log是記錄路由協(xié)議事件的文件，該文件名稱可手工定義；（2）、firewall.log是記錄安全事件的文件，該文件名稱可手工定義；（3）、daemon和firewall可定義有九個(gè)等級(jí)，建議將其設(shè)定為warning等級(jí)，即僅記錄warning等級(jí)以上的安全事件?；赝朔桨福哼€原系統(tǒng)配置文件判斷依據(jù)：使用show configuration查看當(dāng)前配置實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：ELK-Juniper-02-01-03編號(hào)：ELK-Juniper-02-01-03名稱：設(shè)置配置更改日志路徑

28、實(shí)施目的：設(shè)置系統(tǒng)的配置更改信息保存到單獨(dú)的change.log文件。問題影響：暴露系統(tǒng)日志。系統(tǒng)當(dāng)前狀態(tài)：使用show configuration system syslog查看當(dāng)前配置實(shí)施方案：1、參考配置操作set system syslog file change.log change-log info2、補(bǔ)充操作說明（1）、change.log是記錄配置更改的文件，該文件名稱可手工定義；（2）、change.log文件保存在juniper路由器的存儲(chǔ)上?；赝朔桨福哼€原系統(tǒng)配置文件判斷依據(jù)：使用show configuration system syslog查看當(dāng)前配置實(shí)施風(fēng)險(xiǎn)：中重要

29、等級(jí)：ELK-Juniper-02-01-04編號(hào)：ELK-Juniper-02-01-04名稱：設(shè)置配置遠(yuǎn)程日志功能實(shí)施目的：設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志容傳輸?shù)饺罩痉?wù)器。問題影響：丟失重要日志。系統(tǒng)當(dāng)前狀態(tài)：使用show configuration system syslog命令查看配置實(shí)施方案：set system syslog host any noticeset system syslog host log-prefix Router1set system syslog host any noticeset system syslog host log-prefix

30、Router2補(bǔ)充操作說明（1）、和是遠(yuǎn)程日志服務(wù)器的IP地址，建議建設(shè)兩個(gè)遠(yuǎn)程日志服務(wù)器作為互備；（2）、syslog有九個(gè)等級(jí)的記錄信息，建議將notice等級(jí)以上的信息傳送到遠(yuǎn)程日志服務(wù)器；（3）、Router1為路由器的主機(jī)名稱?；赝朔桨福哼€原系統(tǒng)配置文件判斷依據(jù)：（1）、使用show configuration system syslog命令查看配置；（2）、登錄遠(yuǎn)程日志服務(wù)器查看日志。實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：ELK-Juniper-02-01-05編號(hào)：ELK-Juniper-02-01-05名稱：設(shè)置系統(tǒng)的配置更改信息實(shí)施目的：設(shè)置系統(tǒng)的配置更改信息保存到單獨(dú)的change.log

31、文件問題影響：丟失重要日志。系統(tǒng)當(dāng)前狀態(tài)：使用show configuration system syslog命令查看配置實(shí)施方案：（1）、使用show configuration system syslog命令查看配置；（2）、在終端上以telnet方式登錄路由器,輸入用戶名密碼；（3）、進(jìn)行創(chuàng)建、刪除和修改用戶密碼等修改設(shè)備配置操作；（4）、用show log change.log命令查看日志。回退方案：使用show configuration system syslog命令查看配置，恢復(fù)默認(rèn)配置判斷依據(jù)：可以在change.log中查看到用戶的操作容、操作時(shí)間實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：ELK

32、-Juniper-02-01-06編號(hào)：ELK-Juniper-02-01-06名稱：保證日志功能記錄的時(shí)間的準(zhǔn)確性。實(shí)施目的：開啟NTP服務(wù)，保證日志功能記錄的時(shí)間的準(zhǔn)確性。路由器與NTP SERVER之間開啟認(rèn)證功能。問題影響：丟失重要日志。系統(tǒng)當(dāng)前狀態(tài)：使用show configuration system syslog命令查看配置實(shí)施方案：（1）、使用show configuration system ntp命令查看配置；（2）、使用show system uptime命令查看路由器時(shí)間與并與時(shí)間對比；（3）、使用show ntp associations查看路由器是否與NTP服務(wù)器同

33、步；（4）、使用show ntp status查看路由器時(shí)間同步狀態(tài)?；赝朔桨福菏褂胹how configuration system syslog命令查看配置，恢復(fù)默認(rèn)配置判斷依據(jù)：（1）、用show ntp associations命令查看，信息如下面所示: remote refid st t when poll =* ROUTER1 2 u 641 1024 + ROUTER2 2 u 713 1024 reach delay offset jitter = 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1前面的(*)號(hào)表示R

34、OUTER1是已和路由器時(shí)間同步的NTP服務(wù)器,(+)號(hào)為備用的NTP服務(wù)器.（2）、有show ntp status命令查看，信息如下:status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg,version=ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1),processor=i386, system=JUNOS7.3R2.7, leap=00, stratum=3,precision=-28, rootdelay=9.814, rootdispersion=102.250, pe

35、er=42484,refid=ROUTER1.,reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10,clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4,offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 如上面信息的第一句第二部分顯示”sync_ntp”表示路由器時(shí)間已和NTP服務(wù)器同步,如果顯示”sync_unspec”即未同步.。實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：通信協(xié)議ELK-

36、Juniper-03-01-01編號(hào)：ELK-Juniper-03-01-01名稱：OSPF協(xié)議安全實(shí)施目的：對于非點(diǎn)到點(diǎn)的OSPF協(xié)議配置，應(yīng)配置MD5加密認(rèn)證，通過MD5加密認(rèn)證建立neighbor問題影響：惡意攻擊系統(tǒng)當(dāng)前狀態(tài)：使用show configuration protocols rsvp查看當(dāng)前配置實(shí)施方案：1）、使用show configuration命令查看配置2）、使用show ospf neighbor命令查看OSPF鄰居狀態(tài)3）、使用show route protocol ospf brief命令查看OSPF路由表4）、使用ping檢查路由連通性回退方案：還原系統(tǒng)配置

37、文件判斷依據(jù)：1）、OSPF鄰居處于full狀態(tài)為正常,能學(xué)到鄰居的路由為正常2）、路由能連通為正常實(shí)施風(fēng)險(xiǎn)：低重要等級(jí)：ELK-Juniper-03-01-02編號(hào)：ELK-Juniper-03-01-02名稱：啟用帶加密方式的身份驗(yàn)證實(shí)施目的：配置動(dòng)態(tài)路由協(xié)議（BGP/ MP-BGP /OSPF等）時(shí)必須啟用帶加密方式的身份驗(yàn)證功能，相鄰路由器只有在身份驗(yàn)證通過后，才能互相通告路由信息。問題影響：非法訪問，系統(tǒng)當(dāng)前狀態(tài)：使用show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show os

38、pf neighbor查看當(dāng)前配置實(shí)施方案：（1）、使用show configuration protocol命令查看配置；（2）、使用show bgp neighbor命令查看BGP鄰居狀態(tài)；（3）、使用show route protocol bgp brief命令查看BGP路由表；（4）、使用show ospf neighbor命令查看OSPF鄰居狀態(tài)；（5）、使用show route protocol ospf brief命令查看OSPF路由表；（6）、使用ping命令檢查路由連通性?；赝朔桨福菏褂胹how configuration protocol、show bgp neighbor

39、、 show route protocol bgp brief、show ospf neighbor查看當(dāng)前配置，還原給原始狀態(tài)。判斷依據(jù)：1）、確定配置已經(jīng)啟用加密的身份認(rèn)證；2）、BGP鄰居處于establish狀態(tài)為正常，能學(xué)到鄰居的路由為正常；3）、OSPF鄰居處于full狀態(tài)為正常,能學(xué)到鄰居的路由為正常；4）、路由能連通為正常。實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：ELK-Juniper-03-01-03編號(hào)：ELK-Juniper-03-01-03名稱：過濾所有和業(yè)務(wù)不相關(guān)的流量實(shí)施目的：對于具備TCP/UDP協(xié)議功能的設(shè)備，設(shè)備應(yīng)根據(jù)業(yè)務(wù)需要，配置基于源IP地址、通信協(xié)議TCP或UDP、目的I

40、P地址、源端口、目的端口的流量過濾，過濾所有和業(yè)務(wù)不相關(guān)的流量。問題影響：惡意攻擊。系統(tǒng)當(dāng)前狀態(tài)：使用show configuration firewall filter abc查看配置實(shí)施方案：（1）、使用show configuration firewall filter abc查看配置（2）、將終端的IP地址設(shè)為: （3）、在終端上安裝Nmap端口掃描工具(本例基于windowsXP2系統(tǒng))（4）、在DOS下輸入：nmap -sS -g 445 p 145 這指令的意思是以源端口為445來訪問主機(jī)IP為的TCP145端口。（5）、用namp訪問其它非業(yè)務(wù)端口，如訪問80端口，在DOS 下

41、輸入：nmap sS p 80 這指令的意思是以任何端口訪問的TCP80端口（6）、運(yùn)行真實(shí)業(yè)務(wù)測試業(yè)務(wù)流量和非業(yè)務(wù)流量?；赝朔桨福哼€原系統(tǒng)配置文件判斷依據(jù)：使用show configuration firewall filter abc查看配置，還原為原始狀態(tài)。實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：ELK-Juniper-03-01-04編號(hào)：ELK-Juniper-03-01-04名稱：配置MP-BGP的MD5加密認(rèn)實(shí)施目的：配置MP-BGP路由協(xié)議，應(yīng)配置MD5加密認(rèn)證，通過MD5加密認(rèn)證建立peer。問題影響：信息泄露。系統(tǒng)當(dāng)前狀態(tài)：使用show configuration protocol bgp查

42、看當(dāng)前配置實(shí)施方案：1、參考配置操作set protocols bgp group abc neighbor authentication-key abc1232、補(bǔ)充操作說明1）、abc為group的名稱，可自行設(shè)定；2）、為對端peer的IP地址，可根據(jù)需求設(shè)定；3）、abc123為MD5加密認(rèn)證的認(rèn)證密碼，該密碼和對端peer的密碼要一致?；赝朔桨福哼€原系統(tǒng)配置文件判斷依據(jù)：使用show configuration protocol bgp查看當(dāng)前配置實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：ELK-Juniper-03-01-05編號(hào)：ELK-Juniper-03-01-05名稱：設(shè)置SNMP訪問安全限制

43、實(shí)施目的：設(shè)置SNMP訪問安全限制，只允許特定主機(jī)通過SNMP訪問網(wǎng)絡(luò)設(shè)備。問題影響：非法登陸。系統(tǒng)當(dāng)前狀態(tài)：使用show configuration snmp查看當(dāng)前配置實(shí)施方案：1、參考配置操作set snmp community abcd123 clients/32set snmp community abcd123 clients/32set snmp community abcd123 clients ready-only2、補(bǔ)充操作說明1）、abcd123是communtity字符串，可自行定義，但必須和client的主機(jī)一致；2）、和是主機(jī)IP地址，即允許.和主機(jī)通過SNMP訪問

44、網(wǎng)絡(luò)設(shè)備；3）、未在client列表中的主機(jī)，不允許通過SNMP訪問網(wǎng)絡(luò)設(shè)備。4）、設(shè)置主機(jī)訪問網(wǎng)絡(luò)設(shè)備具有讀的權(quán)限，可根據(jù)需求設(shè)置為具有讀寫的權(quán)限（read-write）?；赝朔桨福哼€原系統(tǒng)配置文件判斷依據(jù)：使用show configuration snmp查看當(dāng)前配置實(shí)施風(fēng)險(xiǎn)：高重要等級(jí)：ELK-Juniper-03-01-06編號(hào)：ELK-Juniper-03-01-06名稱：RSVP標(biāo)簽分發(fā)協(xié)議實(shí)施目的：啟用RSVP標(biāo)簽分發(fā)協(xié)議時(shí)，打開RSVP協(xié)議認(rèn)證功能，如MD5加密，確保與可信方進(jìn)行RSVP協(xié)議交互。問題影響：非法登陸。系統(tǒng)當(dāng)前狀態(tài)：使用show configuration pro

45、tocols rsvp查看當(dāng)前配置實(shí)施方案：1、參考配置操作set protocols rsvp interface fe-0/0/0.0 authentication-key abc1232、補(bǔ)充操作說明abc123為MD5加密密碼?；赝朔桨福哼€原系統(tǒng)配置文件判斷依據(jù)：各鄰居狀態(tài)為UP正常各RSVP session狀為 UP正常實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：設(shè)備其他安全要求ELK-Juniper-04-01-01編號(hào)：ELK-Juniper-04-01-01名稱：開啟配置定期備份實(shí)施目的：開啟配置文件定期備份功能，定期備份配置文件。問題影響：容易丟失數(shù)據(jù)。系統(tǒng)當(dāng)前狀態(tài)：使用show configur

46、ation system archival查看當(dāng)前配置實(shí)施方案：1、參考配置操作set system archival configuration transfer-interval 2880set system archival configuration archive-sites ftp:/juniper password abc123set system archival configuration archive-sites ftp:/juniper password abc1232、補(bǔ)充操作說明1）、2880是時(shí)間間隔，單位是分鐘，時(shí)間間隔可設(shè)置的圍為152880;2）、junip

47、er是ftp的用戶名稱，和是ftp服務(wù)器的IP地址，abc123是登錄frp服務(wù)器的密碼；建議設(shè)置兩個(gè)IP地址作為互備；3）、定期備份僅能通過ftp服務(wù)備份；4）、通過定期備份配置文件，時(shí)間間隔較短，即備份比較頻繁，建議采用transfer-on-commit 方式，即只要執(zhí)行commit指令，配置將自動(dòng)備份到ftp服務(wù)器，指令為set system archival configurationtransfer-on-commit；5）、transfer-interval和transfer-on-commit 方式不能共存?；赝朔桨福哼€原系統(tǒng)配置文件判斷依據(jù)：使用show configuration system archival查看當(dāng)前配置實(shí)施風(fēng)險(xiǎn)：高重要等級(jí)：ELK-Juniper-0