陜西移動JUNIPER路由器安全配置操作指南

第 I 頁 共 12 頁 陜陜 西西 移移 動動通通 信信 企企 業(yè)業(yè) 標標 準準 QB QB 陜西移動通信集團公司發(fā)布陜西移動通信集團公司發(fā)布 發(fā)布 實施 版版 本本 號號 V 1 0 0 陜陜西西移移動動JUNIPER 路路由由器器 安安全全配配置置操操作作指指南南 注J U N I P E R內(nèi) 容 需 和 相 應 的 配 置 基 線 規(guī) 范 一 致 第 2 頁 共 12 頁 QB QB 目 錄 1范圍范圍 3 2適用性說明適用性說明 3 3引用標準引用標準 3 4符號及縮略語符號及縮略語 3 5配置操作指南配置操作指南 3 6編制歷史編制歷史 12 第 3 頁 共 12 頁 QB QB 1范圍范圍 本操作指南適用于 陜西移動 JUNIPER 路由器安全配置基線規(guī)范 適用范圍內(nèi)的各 類設備 為上述設備滿足安全配置基線規(guī)范要求 提供具體的配置操作參考 2適用性說明適用性說明 本操作指南針對 陜西移動 JUNIPER 路由器安全配置基線規(guī)范 中的各項安全基線 要求 提出明確的參考配置操作 本文提供的是安全基線配置參考范例 并不等同于 實際的設備配置 在具體實施安全配置時 需根據(jù)實際應用環(huán)境 形成具體的配置方 法 3引用標準引用標準 1 陜西移動設備通用安全基線規(guī)范 2 陜西移動 JUNIPER 路由器安全配置基線規(guī)范 4符號及縮略語符號及縮略語 5配置操作指南配置操作指南 基線編號JX JUNIPER PZ 1 基線內(nèi)容應按照不同的用戶分配不同的賬號 避免不同用戶間共享賬號 避免用戶賬號和設備間通信使用的賬號共享 參考配置操作set system login user abc1 set system login user abc2 補充操作說明1 abc1 和 abc2 是兩個不同的賬號名稱 可根據(jù)不同用戶 取不同的名 稱 2 賬號取名 建議使用 姓名的簡寫 手機號碼 基線編號JX JUNIPER PZ 2 基線內(nèi)容應刪除與設備運行 維護等工作無關(guān)的賬號 參考配置操作delete system login user abc3 補充操作說明1 abc3 是與工作無關(guān)的賬號 基線編號JX JUNIPER PZ 3 基線內(nèi)容為了控制不同用戶的訪問級別 建立多用戶級別 根據(jù)用戶的 業(yè)務需求 將用戶賬號分配到相應的用戶級別 參考配置操作創(chuàng)建用戶級別 set system login class ABC1 permissions view view configuration 第 4 頁 共 12 頁 QB QB 將用戶賬號分配到相應的用戶級別 set system login user abc1 class read only set system login user abc2 class ABC1 set system login user abc3 class super user 補充操作說明1 ABC1 是手工創(chuàng)建的組 該組具有的權(quán)限 查看設備運行狀態(tài) 如接 口狀態(tài) 設備硬件狀態(tài) 路由狀態(tài)等 并且可以查看設備的配置 2 read only 組具有的權(quán)限 查看設備運行狀態(tài) 但不能查看設備的配 置 3 super user 是超級用戶組 具有的權(quán)限 所有權(quán)限 4 read only 和 super user 是路由器已經(jīng)創(chuàng)建的組 不需要手工創(chuàng)建 5 abc1 abc2 abc3 是不同的用戶 它們分別分配到相應的用戶級別 基線編號JX TY PZ 4 基線內(nèi)容對于采用靜態(tài)口令認證技術(shù)的設備 口令長度至少 6 位 并包 括數(shù)字 小寫字母 大寫字母和特殊符號 4 類中至少 2 類 參考配置操作set system login user abc1 authentication plain text password 補充操作說明1 輸入指令回車后 將兩次提示輸入新口令 New password 和 Retype new password 2 口令要求 長度至少 6 位 并包括數(shù)字 小寫字母 大寫字母和特 殊符號 4 類中至少 2 類 基線編號JX TY PZ 5 基線內(nèi)容對于采用靜態(tài)口令認證技術(shù)的設備 賬戶口令的生存期不長于 90 天 參考配置操作無 補充操作說明1 Juniper 設備不能設置賬戶口令的生存期限 賬戶口令的生存期限可 通過定期手工更改口令的方式實現(xiàn) 基線編號JX JUNIPER PZ 6 基線內(nèi)容修改 root 密碼 root 的默認密碼是空 修改 root 密碼 避免非 管理員使用 root 賬號登錄 參考配置操作set system root authentication plain text password 補充操作說明1 輸入指令回車后 將兩次提示輸入新口令 New password 和 Retype new password 2 口令要求 長度至少 6 位 并包括數(shù)字 小寫字母 大寫字母和特 殊符號 4 類中至少 2 類 基線編號JX TY PZ 9 基線內(nèi)容在設備權(quán)限配置能力內(nèi) 根據(jù)用戶的業(yè)務需要 配置其所需的 最小權(quán)限 參考配置操作創(chuàng)建用戶級別 即創(chuàng)建用戶的配置權(quán)限 set system login class ABC1 permissions configure set system login class ABC1 allow configuration routing options 第 5 頁 共 12 頁 QB QB static interfaces chassis fpc set system login class ABC2 permissions configure routing control 將用戶賬號分配到相應的用戶級別 set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super user 補充操作說明1 ABC1 組具有的權(quán)限 可配置 interfaces 可配置 routing options 中的 static 可配置 chassis 中的 fpc 2 ABC2 組具有的權(quán)限 可配置有關(guān)于路由的所有配置 包括 routing options protocols policy options routing instances 等 3 allow configuration 參數(shù)是以等級來限制 可以限制各個等級的配置 可以細化到各個小等級 4 permissions 參數(shù)是以功能來限制 限制的范圍較大 5 allow commands 參數(shù)是以具體的指令來限制 allow comands 參數(shù)需 要設定具體指令 不建議使用 基線編號JX JUNIPER PZ 8 opt 基線內(nèi)容設備通過相關(guān)參數(shù)配置 與認證系統(tǒng)聯(lián)動 滿足帳號 口令和 授權(quán)的強制要求 參考配置操作set system authentication order radius set system authentication order password set system radius server 10 1 1 1 set system radius server 10 1 1 2 set system radius server 10 1 1 1 port 1645 set system radius server 10 1 1 2 port 1645 set system radius server 10 1 1 1 secret abc123 set system radius server 10 1 1 2 secret abc123 補充操作說明1 配置認證方式 可通過 radius 和本地認證 2 10 1 1 1 和 10 1 1 2 是 radius 認證服務器的 IP 地址 建議建立兩個 radius 認證服務器作為互備 3 port 1645 是 radius 認證開啟的端口號 可根據(jù)本地 radius 認證服務 器開啟的端口號進行配置 4 abc123 是與 radius 認證系統(tǒng)建立連接所設定的密碼 建議 與 radius 認證服務器建立連接時 使用密碼認證建立連接 基線編號JX TY PZ 12 基線內(nèi)容設備應配置日志功能 對用戶登錄進行記錄 記錄內(nèi)容包括用 戶登錄使用的賬號 登錄是否成功 登錄時間 以及遠程登錄 時 用戶使用的 IP 地址 參考配置操作set system syslog file author log authorization info 補充操作說明1 author log 是記錄登錄信息的 log 文件 該文件名稱可手工定義 2 author log 文件保存在 juniper 路由器的存儲上 第 6 頁 共 12 頁 QB QB 基線編號JX JUNIPER PZ 10 基線內(nèi)容設備應配置日志功能 記錄用戶對設備的操作 比如以下內(nèi)容 賬號創(chuàng)建 刪除和權(quán)限修改 口令修改 讀取和修改設備配置 涉及通信隱私數(shù)據(jù) 記錄需要包含用戶賬號 操作時間 操作 內(nèi)容以及操作結(jié)果 參考配置操作set system syslog file messages any any 補充操作說明1 messages 是記錄所有 log 信息的文件 該文件名稱可手工定義 2 messages 文件保存在 juniper 路由器的存儲器上 基線編號JX JUNIPER PZ 11 基線內(nèi)容設備應配置日志功能 記錄與設備相關(guān)的安全事件 比如 記 錄路由協(xié)議事件和錯誤 參考配置操作set system syslog file daemon log daemon warning set system syslog file firewall log firewall warning 補充操作說明1 daemon log 是記錄路由協(xié)議事件的文件 該文件名稱可手工定義 2 firewall log 是記錄安全事件的文件 該文件名稱可手工定義 3 daemon 和 firewall 可定義有九個等級 建議將其設定為 warning 等級 即僅記錄 warning 等級以上的安全事件 基線編號JX TY PZ 14 opt 基線內(nèi)容設備配置遠程日志功能 將需要重點關(guān)注的日志內(nèi)容傳輸?shù)饺?志服務器 參考配置操作set system syslog host 10 1 1 1 any notice set system syslog host 10 1 1 1 log prefix Router1 set system syslog host 10 1 1 2 any notice set system syslog host 10 1 1 2 log prefix Router2 補充操作說明1 10 1 1 1 和 10 1 1 2 是遠程日志服務器的 IP 地址 建議建設兩個遠程 日志服務器作為互備 2 syslog 有九個等級的記錄信息 建議將 notice 等級以上的信息傳送到 遠程日志服務器 3 Router1 為路由器的主機名稱 基線編號JX JUNIPER PZ 13 基線內(nèi)容設置系統(tǒng)的配置更改信息保存到單獨的 change log 文件內(nèi) 參考配置操作set system syslog file change log change log info 補充操作說明1 change log 是記錄配置更改的文件 該文件名稱可手工定義 2 change log 文件保存在 juniper 路由器的存儲上 基線編號JX JUNIPER PZ 14 opt 基線內(nèi)容開啟 NTP 服務 保證日志功能記錄的時間的準確性 路由器與 NTP SERVER 之間開啟認證功能 第 7 頁 共 12 頁 QB QB 參考配置操作set system ntp authentication key 1 type md5 value abc123 set system ntp server 10 1 1 1 set system ntp server 10 1 1 2 補充操作說明1 abc123 是路由器與 NTP SERVER 之間 md5 認證密碼 2 10 1 1 1 和 10 1 1 2 是 NTP SETVER 的 IP 地址 建議建設兩個 NTP 服務器作為互備 基線編號JX TY PZ 16 opt 基線內(nèi)容對于具備 TCP UDP 協(xié)議功能的設備 設備應根據(jù)業(yè)務需要 配置基于源 IP 地址 通信協(xié)議 TCP 或 UDP 目的 IP 地址 源 端口 目的端口的流量過濾 過濾所有和業(yè)務不相關(guān)的流量 參考配置操作set firewall filter abc term a from source address 10 1 1 1 32 set firewall filter abc term a from destination address 10 1 2 1 32 set firewall filter abc term a from protocol tcp set firewall filter abc term a from protocol udp set firewall filter abc term a from source port 445 set firewall filter abc term a from destination port 145 set firewall filter abc term a then accept set firewall filter abc term b then reject 補充操作說明1 abc 為 filter 的名稱 可手工定義 2 a 和 b 為 term 的名稱 可手工定義 一個 filter 可設定多個 term 3 第一條指令為配置基于源 IP 地址的過濾 10 1 1 1 32 為源 IP 地址 源地址可以是主機 IP 也可以是網(wǎng)段 4 第二條指令為配置基于目的 IP 地址的過濾 10 1 1 2 32 為目的 IP 地 址 目的 IP 地址可以是主機 IP 也可以是網(wǎng)段 5 第三條指令為配置協(xié)議 TCP 6 第四條指令為配置協(xié)議 UDP 7 第五條指令為配置基于源端口 445 是端口號 端口號可根據(jù)需求設 置 8 第五條指令為配置基于目的端口 145 是端口號 端口號可根據(jù)需求 設置 9 第六條指令為允許 即符合 from 里的條件時 允許該數(shù)據(jù)包通過 若設置為 reject 則符合 from 里的條件時 不允許數(shù)據(jù)包通過 10 set firewall filter abc term b then reject 指令拒絕所有不符合 term a 條件的數(shù)據(jù)包通過 then 之后可根據(jù)需求設置為 reject 或者 accept 11 必須使用如下指令將 filter 綁定到指定接口該 filter 才能生效 set interfaces fe 0 0 0 unit 0 family inet filter input abc 基線編號JX TY PZ 17 opt 基線內(nèi)容對于使用 IP 協(xié)議進行遠程維護的設備 設備應配置使用 SSH 等加密協(xié)議 參考配置操作海外版的 Junos 不支持 SSH 協(xié)議 美國和加拿大版的 Junos 才支持該 功能 第 8 頁 共 12 頁 QB QB 補充操作說明 基線編號JX JUNIPER PZ 17 opt 基線內(nèi)容配置動態(tài)路由協(xié)議 BGP MP BGP OSPF 等 時必須啟用帶加 密方式的身份驗證功能 相鄰路由器只有在身份驗證通過后 才能互相通告路由信息 參考配置操作set protocols bgp group abc neighbor 10 1 1 1 authentication key abc123 set protocols ospf area 0 0 0 0 authentication type md5 補充操作說明1 10 1 1 1 為對端 BGP peer 的 IP 地址 可根據(jù)需求設定 基線編號JX JUNIPER PZ 18 基線內(nèi)容配置 BGP 路由協(xié)議 應配置 MD5 加密認證 通過 MD5 加密 認證建立 peer 參考配置操作set protocols bgp group abc neighbor 10 1 1 1 authentication key abc123 補充操作說明1 abc 為 group 的名稱 可自行設定 2 10 1 1 1 為對端 peer 的 IP 地址 可根據(jù)需求設定 3 abc123 為 MD5 加密認證的認證密碼 該密碼和對端 peer 的密碼要 一致 基線編號JX JUNIPER PZ 19 基線內(nèi)容配置 MP BGP 路由協(xié)議 應配置 MD5 加密認證 通過 MD5 加密認證建立 peer 參考配置操作set protocols bgp group abc neighbor 10 1 1 1 authentication key abc123 補充操作說明1 abc 為 group 的名稱 可自行設定 2 10 1 1 1 為對端 peer 的 IP 地址 可根據(jù)需求設定 3 abc123 為 MD5 加密認證的認證密碼 該密碼和對端 peer 的密碼要 一致 基線編號JX JUNIPER PZ 20 基線內(nèi)容對于非點到點的 OSPF 協(xié)議配置 應配置 MD5 加密認證 通 過 MD5 加密認證建立 neighbor 參考配置操作set protocols ospf area 0 0 0 0 authentication type md5 set protocols ospf area 0 0 0 0 interface fe 0 0 0 0 authentication md5 1 key abc123 補充操作說明1 fe 0 0 0 為用于建立 OSPF 的端口 可根據(jù)需求設置 2 abc123 為 MD5 加密認證的認證密碼 該密碼和對端 peer 的密碼要 一致 基線編號JX JUNIPER PZ 21 opt 基線內(nèi)容制定路由策略 禁止發(fā)布或接收不安全的路由信息 參考配置操作制定發(fā)布的路由策略 set policy options policy statement abc term a from route filter 10 0 0 0 24 exact 第 9 頁 共 12 頁 QB QB set policy options policy statement abc term a then accept set policy options policy statement abc term b then reject 補充操作說明1 abc 是路由策略的名稱 該名稱可自行定義 2 10 0 0 0 24 是將發(fā)布 或接收 或者禁止發(fā)布 或接收 路由 可根 據(jù)具體需求設置 3 制定路由策略之后 必須將該策略應用于路由協(xié)議上才生效 基線編號JX JUNIPER PZ 22 基線內(nèi)容設置 SNMP 訪問安全限制 只允許特定主機通過 SNMP 訪問 網(wǎng)絡設備 參考配置操作set snmp community abcd123 clients 10 1 1 1 32 set snmp community abcd123 clients 10 1 2 1 32 set snmp community abcd123 clients ready only 補充操作說明1 abcd123 是 communtity 字符串 可自行定義 但必須和 client 的主機 一致 2 10 1 1 1 和 10 1 2 1 是主機 IP 地址 即允許 10 1 1 1 和 10 1 2 1 主機 通過 SNMP 訪問網(wǎng)絡設備 3 未在 client 列表中的主機 不允許通過 SNMP 訪問網(wǎng)絡設備 4 設置主機訪問網(wǎng)絡設備具有讀的權(quán)限 可根據(jù)需求設置為具有讀寫 的權(quán)限 read write 基線編號JX JUNIPER PZ 23 opt 基線內(nèi)容系統(tǒng)應關(guān)閉未使用的 SNMP 協(xié)議及未使用的 RW 權(quán)限 參考配置操作默認關(guān)閉所有 SNMP 功能的 按需求啟動相應的功能即可 補充操作說明 基線編號JX JUNIPER PZ 24 opt 基線內(nèi)容系統(tǒng)應配置為 SNMP V2 或以上版本 參考配置操作set snmp trap group abc123 version v2 補充操作說明1 abc123 是 trap group 組的名稱 可自行設置 基線編號JX JUNIPER PZ 25 opt 基線內(nèi)容系統(tǒng)應配置可接收 SNMP 消息的主機地址 參考配置操作set snmp trap group abc123 targets 10 1 1 1 set snmp trap group abc123 targets 10 1 2 1 補充操作說明1 abc123 是 trap group 組的名稱 可自行設置 2 10 1 1 1 和 10 1 2 1 是主機 IP 地址 即允許 10 1 1 1 和 10 1 2 1 主機 接收該網(wǎng)絡設備的 SNMP 消息 基線編號JX JUNIPER PZ 26 opt 基線內(nèi)容對于 Juniper 路由器 應配置定時賬戶自動登出 參考配置操作set system login class abc idle timeout 10 第 10 頁 共 12 頁 QB QB 補充操作說明1 abc 是 class 組的名稱 2 配置定時賬戶自動登出功能 僅能在自定義的 class 組里定義 不能 在系統(tǒng)默認的組 如 super user read only 中配置 因此 建議 自定義 class 組 基線編號JX JUNIPER PZ 27 基線內(nèi)容對于具備 consol 口的設備 應配置 consol 口密碼保護功能 參考配置操作Juniper 設備不具有 console 密碼 登錄方式是通過用戶名和該用戶名的 密碼登錄 補充操作說明 基線編號JX JUNIPER PZ 28 基線內(nèi)容開啟配置文件定期備份功能 定期備份配置文件 參考配置操作set system archival configuration transfer interval 2880 set system archival configuration archive sites ftp juniper 10 1 1 1 password abc123 set system archival configuration archive sites ftp juniper 10 1 1 2 password abc123 補充操作說明1 2880 是時間間隔 單位是分鐘 時間間隔可設置的范圍為 15 2880 2 juniper 是 ftp 的用戶名稱 10 1 1 1 和 10 1 1 2 是 ftp 服務器的 IP 地 址 abc123 是登錄 frp 服務器的密碼 建議設置兩個 IP 地址作為互 備 3 定期備份僅能通過 ftp 服務備份 4 通過定期備份配置文件 時間間隔較短 即備份比較頻繁 建議采 用 transfer on commit 方式 即只要執(zhí)行 commit 指令 配置將自動 備份到 ftp 服務器 指令為 set system archival configuration transfer on commit 5 transfer interval 和 transfer on commit 方式不能共存 基線編號JX JUNIPER PZ 29 基線內(nèi)容關(guān)閉網(wǎng)絡設備不必要的服務 比如 FTP TFTP 服務等 參考配置操作delete system services ftp 補充操作說明默認是關(guān)閉 FTP 服務 基線編號JX JUNIPER GN 30 opt 基線內(nèi)容開啟安全防護功能 如狀態(tài)防火墻等 如果具備類似功能 參考配置操作Juniper 設備默認已開啟安全防護功能 安全補充操作說 明 基線編號JX JUNIPER GN 31 opt 基線內(nèi)容如接受統(tǒng)一網(wǎng)管系統(tǒng)管理 建議配置 SNMP VERSION3 協(xié)議 第 11 頁 共 12 頁 QB QB 參考配置操作set snmp v3 usm local engine user abc1 authentication md5 authentication key set snmp v3 vacm access group CMNET default context prefix security model usm security level authentication read view readonly set snmp v3 target address ta1 address 10 1 1 1 set snmp v3 target address ta1 target parameters tp1 set snmp v3 target parameters tp1 parameters message processing model v3 set snmp v3 target parameters tp1 parameters security model usm set snmp v3 target parameters tp1 parameters security level none set snmp v3 target parameters tp1 parameters security name abc set snmp v3 snmp community index1 community name ABC set snmp v3 snmp community index1 security name abc set snmp engine id use mac address set snmp view readonly oid 1 3 6 1 2 1 2 include 補充操作說明1 第一條命令設定 SNMP V3 的用戶 abc1 采用 MD5 方式認證 2 第二條命令設定 SNMP 的訪問控制模塊 VACM 的參數(shù) 訪問組 為 CMNET 安全模式采用基于用戶的模式 USM 安全級別設為 驗證級別 設定視圖為 readonly 3 第三條命令指定 SNMP 主機組 ta1 這組包括的地址為 211 139 136 100 4 第四條命令設定主機組 ta1 的具體參數(shù)引用參數(shù)集 tp1 5 第五至八條命令設定參數(shù)集 tp1 的具體內(nèi)容 信息處理采用 SNMPv3 模式 安全模式采用基于用戶的模式 USM 安全級別采用非驗證 安全名字設定為 abc 6 第九 十條命令行設定 SNMP 團體號為 ABC 安全名字為 abc 7 第十一條命令設定 SNMP 的引擎 ID 8 第十二條命令設定視圖 readonly 的管理對像標識 基線編號JX JUNIPER PZ 32 基線內(nèi)容系統(tǒng)遠程管理服務 TELNET SSH 默認可以接受任何地址的連接 出于安全考慮 應該只允許特定地址訪問 參考配置操作set firewall filter abc term a from source address 10 1 1 1 32 set firewall filter abc term a from source address 10 1 1 2 32 set firewall filter abc term a then accept set firewall filter abc term b from protocol tcp port telnet set firewall filter abc term b then reject set firewa