JUNIPER路由器安全配置规范.docx

JUNIPER路由器安全配置规范.docx

《JUNIPER路由器安全配置规范.docx》由会员分享，可在线阅读，更多相关《JUNIPER路由器安全配置规范.docx（47页珍藏版）》请在冰豆网上搜索。

JUNIPER路由器安全配置规范

Juniper路由器

安全配置规范

目录

1概述1

1.1适用范围1

1.2内部适用性说明1

1.3外部引用说明2

1.4术语和定义2

1.5符号和缩略语2

2Juniper路由器安全配置要求3

2.1账号管理、认证授权3

2.1.1账号3

2.1.2口令6

2.1.2授权7

2.1.3认证9

2.2日志要求10

2.3IP协议安全要求14

2.3.1基本协议安全14

2.3.2路由协议安全16

2.3.3SNMP协议安全20

2.3.4MPLS安全22

2.4设备其他安全23

1概述

1.1适用范围

本规范适用于中国电信通信网、业务系统和支撑系统的Juniper路由器。

本规范明确了Juniper路由器安全配置方面的基本要求。

1.2内部适用性说明

本规范是在《中国电信设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的Juniper路由器安全配置规范。

以下分项列出本规范对《通用规范》设备配置要求的修订情况。

设备通用安全配置要求编号

采纳意见

补充说明

安全要求-设备-通用-配置-1-可选

增强要求

参见“安全要求-设备-通用-JUNIPER-配置-1”

安全要求-设备-通用-配置-2-可选

增强要求

参见“安全要求-设备-通用-JUNIPER-配置-2”

安全要求-设备-通用-配置-3-可选

不采纳

系统不支持

安全要求-设备-通用-配置-4

完全采纳

安全要求-设备-通用-配置-5

完全采纳

安全要求-设备-通用-配置-6-可选

不采纳

系统不支持

安全要求-设备-通用-配置-7-可选

不采纳

系统不支持

安全要求-设备-通用-配置-9

完全采纳

安全要求-设备-通用-配置-12

完全采纳

安全要求-设备-通用-配置-13-可选

部分采纳

参见“安全要求-设备-通用-JUNIPER-配置-10”

安全要求-设备-通用-配置-24-可选

增强要求

参见“安全要求-设备-通用-JUNIPER-配置-11”

安全要求-设备-通用-配置-14-可选

完全采纳

安全要求-设备-通用-配置-16-可选

完全采纳

安全要求-设备-通用-配置-17-可选

完全采纳

安全要求-设备-通用-配置-19-可选

部分采纳

参见“安全要求-设备-通用-JUNIPER-配置-26-可选”

安全要求-设备-通用-配置-20-可选

不采纳

系统不支持

安全要求-设备-通用-TY-GN-27-可选

增强要求

参见“安全要求-设备-通用-JUNIPER-配置-27”

本规范新增的安全配置要求，如下：

安全要求-设备-通用-JUNIPER-配置-3

安全要求-设备-通用-JUNIPER-配置-6

安全要求-设备-通用-JUNIPER-配置-8-可选

安全要求-设备-通用-JUNIPER-配置-13

安全要求-设备-通用-JUNIPER-配置-14-可选

安全要求-设备-通用-JUNIPER-配置-17-可选

安全要求-设备-通用-JUNIPER-配置-18

安全要求-设备-通用-JUNIPER-配置-19

安全要求-设备-通用-JUNIPER-配置-20

安全要求-设备-通用-JUNIPER-配置-21-可选

安全要求-设备-通用-JUNIPER-配置-22

安全要求-设备-通用-JUNIPER-配置-23-可选

安全要求-设备-通用-JUNIPER-配置-24-可选

安全要求-设备-通用-JUNIPER-配置-25-可选

安全要求-设备-通用-JUNIPER-配置-28

安全要求-设备-通用-JUNIPER-配置-29

安全要求-设备-通用-JUNIPER-配置-30-可选？

安全要求-设备-通用-JUNIPER-配置-31-可选？

安全要求-设备-通用-JUNIPER-配置-32

安全要求-设备-通用-JUNIPER-配置-33

安全要求-设备-通用-JUNIPER-配置-34-可选

安全要求-设备-通用-JUNIPER-配置-35

本规范还针对《通用规范》中所列的配置要求，给出了在Juniper路由器上的具体配置方法和检测方法。

1.3外部引用说明

《中国电信设备通用安全功能和配置规范》

1.4术语和定义

1.5符号和缩略语

缩写

英文描述

中文描述

2Juniper路由器安全配置要求

本规范所指的设备为Juniper路由器设备。

本规范提出的安全配置要求，在未特别说明的情况下，均适用于所有版本的Juniper路由器。

本规范从Juniper路由器的认证授权功能、安全日志功能以及路由协议安全功能，和其他自身安全配置功能8个方面提出安全要求。

2.1账号管理、认证授权

认证功能用于确认登录系统的用户真实身份。

认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。

授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。

账号口令管理功能是实现正确认证和授权的基础。

对于存在字符或图形界面（WEB界面）的人机交互的设备，应提供账号管理及认证授权功能，并应满足以下各项要求。

2.1.1账号

编号：

安全要求-设备-通用-JUNIPER-配置-1

要求内容

应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。

操作指南

1、参考配置操作

setsystemloginuserabc1

setsystemloginuserabc2

2、补充操作说明

1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称；

2、账号取名，建议使用：

姓名的简写＋手机号码。

检测方法

3、判定条件

各账号都可以登录路由器为正常

4、检测操作

（1）、用showconfigurationsystemlogin命令查看配置是否正确

（2）、在终端上用telnet方式登录路由器,输入用户名abc1和密码

（3）、在终端上用telnet方式登录路由器,输入用户名abc2和密码）

5、补充说明

安全要求-设备-通用-JUNIPER-配置-1：

满足

编号：

安全要求-设备-通用-JUNIPER-配置-2

要求内容

应删除与设备运行、维护等工作无关的账号。

操作指南

1、参考配置操作

deletesystemloginuserabc3

2、补充操作说明

abc3是与工作无关的账号。

检测方法

3、判定条件

被删除的与工作无关的账号abc3不能登录为正常。

4、检测操作

（1）、用showconfigurationsystemlogin命令查看配置是否正确。

（2）、在终端上用telnet方式登录路由器,输入用户名abc3和密码。

5、补充说明

安全要求-设备-通用-JUNIPER-配置-2：

满足

编号：

安全要求-设备-通用-JUNIPER-配置-3

要求内容

为了控制不同用户的访问级别，建立多用户级别，根据用户的业务需求，将用户账号分配到相应的用户级别。

操作指南

1、参考配置操作

创建用户级别：

setsystemloginclassABC1permissions[viewview-configuration]

将用户账号分配到相应的用户级别：

setsystemloginuserabc1classread-only

setsystemloginuserabc2classABC1

setsystemloginuserabc3classsuper-user

2、补充操作说明

（1）、ABC1是手工创建的组，该组具有的权限：

查看设备运行状态（如接口状态、设备硬件状态、路由状态等），并且可以查看设备的配置；

（2）、read-only组具有的权限：

查看设备运行状态，但不能查看设备的配置；

（3）、super-user是超级用户组，具有的权限：

所有权限；

（4）、read-only和super-user是路由器已经创建的组，不需要手工创建；

（5）、abc1、abc2、abc3是不同的用户，它们分别分配到相应的用户级别。

检测方法

3、判定条件

（1）、用户abc1属于组read-only，这个组只设置了查看设备运行状态权限,因而可使用showinterfacesters及其它查看路由器状态的命令，而不能使用showconfiguration和configure命令

（2）、用户abc2属于组ABC1，这个组设置了查看设备运状态和查看路由器配置权限，因而可使用showinterfacesters和其它查看路由器状态命令及showconfiguration命令，不能使用configure命令

（3）、用户abc3属于组super-user,这是超级用户组，具有所有权限，因而可使用全部命令。

6、检测操作

（1）、用showconfigurationsystemloginclassABC1命令查看配置

（2）、在终端上用telnet方式登录路由器,输入用户名abc1和密码成功登录路由器后,

用showinterfacesterse命令查看端口状态；

用showconfiguration命令查看路由器配置；

用configure命令进入路由器的配置模式。

（3）、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后，

用showinterfacesterse命令查看端口状态；

用showconfiguration命令查看路由器配置；

用configure命令进入路由器的配置模式。

（4）、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后，

用showinterfacesterse命令查看端口状态；

用showconfiguration命令查看路由器配置；

用configure命令进入路由器的配置模式。

7、补充说明

安全要求-设备-通用-JUNIPER-配置-3：

满足

2.1.2口令

编号：

安全要求-设备-通用-配置-4

要求内容

对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

操作指南

1、参考配置操作

setsystemloginuserabc1authenticationplain-text-password

2、补充操作说明

（1）、输入指令回车后，将两次提示输入新口令（Newpassword:

和Retypenewpassword:

）。

（2）、口令要求：

长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

检测方法

3、判定条件

可以登录路由器为正常。

4、检测操作

（1）、用showconfigurationsystemlogin命令查看配置是否正确

（2）、在终端上用telnet方式登录路由器,输入用户名abc1和密码。

5、补充说明

安全要求-设备-通用-配置-4：

满足

编号：

安全要求-设备-通用-配置-5

要求内容

对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

操作指南

1、参考配置操作

无。

2、补充操作说明

Juniper设备不能设置账户口令的生存期限，账户口令的生存期限可通过定期手工更改口令的方式实现。

检测方法

3、判定条件

无。

4、检测操作

每隔90天修改一次路由器的账号密码以提高安全性。

5、补充说明

安全要求-设备-通用-配置-5：

满足

编号：

安全要求-设备-通用-JUNIPER-配置-6

要求内容

修改root密码。

root的默认密码是空，修改root密码，避免非管理员使用root账号登录。

操作指南

1、参考配置操作

setsystemroot-authenticationplain-text-password

2、补充操作说明

（1）、输入指令回车后，将两次提示输入新口令（Newpassword:

和Retypenewpassword:

）；

（2）、口令要求：

长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类；。

检测方法

3、判定条件

（1）、输入root用户和正确密码可以正常登录路由器；

（2）、输入root用户和空密码无法登录路由器。

4、检测操作

（1）、用showconfigurationsystemlogin命令查看配置是否正确；

（2）、通过console口方式登录路由器,输入root用户名和密码；

（3）、通过console口方式登录路由器，输入root用户和空密码。

5、补充说明

安全要求-设备-通用-JUNIPER-配置-6：

满足

2.1.2授权

编号：

安全要求-设备-通用-配置-9

要求内容

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

操作指南

1、参考配置操作

创建用户级别，即创建用户的配置权限：

setsystemloginclassABC1permissionsconfigure

setsystemloginclassABC1allow-configuration"routing-可选ionsstatic|interfaces|chassisfpc"

setsystemloginclassABC2permissions[configurerouting-control]

将用户账号分配到相应的用户级别：

setsystemloginuserabc1classABC1

setsystemloginuserabc2classABC2

setsystemloginuserabc3classsuper-user

2、补充操作说明

（1）、ABC1组具有的权限：

可配置interfaces，可配置routing-可选ions中的static，可配置chassis中的fpc；

（2）、ABC2组具有的权限：

可配置有关于路由的所有配置，包括routing-可选ions、protocols、policy-可选ions、routing-instances等；

（3）、allow-configuration参数是以等级来限制，可以限制各个等级的配置，可以细化到各个小等级；

（4）、permissions参数是以功能来限制，限制的范围较大；

（5）、allow-commands参数是以具体的指令来限制，allow-comands参数需要设定具体指令,不建议使用。

检测方法

3、判定条件

（1）、账号abc1属于组ABC1，该组只能配置routing-可选ionsstatic、interfaces、Chassisfpc项里的内容。

不能做其它未授权的配置；

（2）、账号abc2属于组ABC2，该组只能配置关于路由的所有配置，包括routing-可选ions、protocols、policy-可选ions、routing-instances等，不能做其它未授权的配置；

（3）、账号abc3属于组super-user，拥有全部配置权限。

4、检测操作

（1）、用showconfigurationsystemloginclassABC1命令查看配置

（2）、用showconfigurationsystemloginclassABC2命令查看配置

（3）、在终端上用telnet方式登录路由器,输入用户名abc1和密码

成功登录路由器后，用configure命令进入配置模式。

使用以下命令检测：

setrouting-可选ionsstatic

setinterfaces

setchassisfpc

使用其它set命令

（4）、在终端上用telnet方式登录路由器,输入用户名abc2和密码

成功登录路由器后，用configure命令进入配置模式。

使用以下命令检测：

setpolicy-可选ions

setprotocols

setrouting-instances

setrouting-可选ions

使用其它set命令

（5）、在终端上用telnet方式登录路由器,输入用户名abc3和密码

成功登录路由器后，用configure命令进入配置模式。

使用set命令以及其它命令检测。

5、补充说明

安全要求-设备-通用-配置-9：

满足

2.1.3认证

编号：

安全要求-设备-通用-JUNIPER-配置-8-可选

要求内容

设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。

操作指南

1、参考配置操作

setsystemauthentication-orderradius

setsystemauthentication-orderpassword

setsystemradius-server10.1.1.1

setsystemradius-server10.1.1.2

setsystemradius-server10.1.1.1port1645

setsystemradius-server10.1.1.2port1645

setsystemradius-server10.1.1.1secretabc123

setsystemradius-server10.1.1.2secretabc123

2、补充操作说明

（1）、配置认证方式，可通过radius和本地认证；

（2）、10.1.1.1和10.1.1.2是radius认证服务器的IP地址，建议建立两个radius认证服务器作为互备；

（3）、port1645是radius认证开启的端口号，可根据本地radius认证服务器开启的端口号进行配置；

（4）、abc123是与radius认证系统建立连接所设定的密码，建议：

与radius认证服务器建立连接时，使用密码认证建立连接。

检测方法

3、判定条件

（1）、可以正常ping通Radius服务器的IP地址；

（2）、用户可以登录路由器为正常；

（3）、用户只能使用授权内的命令。

4、检测操作

（1）、使用showconfigurationsystem查看配置；

（2）、查看Radius服务器配置；

（3）、用本地账号登录到路由器pingRadius服务器地址10.1.1.1和10.1.1.2；

（4）、使用Raidus服务器建立的账号通过telnet方式登录路由器；

（5）、检查授权内的命令是否可用及其它未授权命令。

5、补充说明

安全要求-设备-通用-JUNIPER-配置-8-可选：

满足

2.2日志要求

本部分对JUNIPER路由器设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。

根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。

如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。

编号：

安全要求-设备-通用-配置-12

要求内容

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

操作指南

1、参考配置操作

setsystemsyslogfileauthor.logauthorizationinfo

2、补充操作说明

（1）、author.log是记录登录信息的log文件，该文件名称可手工定义；

（2）、author.log文件保存在juniper路由器的存储上。

检测方法

3、判定条件

可以在author.log中查看到用户名、登录时间和源IP等内容。

4、检测操作

（1）、使用showconfigurationsystemsyslog命令查看配置；

（2）、在终端上使用tetlnet方式登录路由器,输入用户名密码；

（3）、使用showlogauthor.log命令查看日志。

5、补充说明

安全要求-设备-通用-配置-12：

满足

编号：

安全要求-设备-通用-JUNIPER-配置-10

要求内容

设备应配置日志功能，记录用户对设备的操作，比如以下内容：

账号创建、删除和权限修改，口令修改，读取和修改设备配置，涉及通信隐私数据。

记录需要包含用户账号，操作时间，操作内容以及操作结果。

操作指南

1、参考配置操作

setsystemsyslogfilemessagesanyany

2、补充操作说明

（1）、messages是记录所有log信息的文件，该文件名称可手工定义；

（2）、messages文件保存在juniper路由器的存储器上。

检测方法

3、判定条件

可以在message.log中查看到用户的操作内容、操作时间、操作结果等所有路由器的log信息。

4、检测操作

（1）、使用showconfigurationsystemsyslog命令查看配置；

（2）、在终端上以telnet方式登录路由器,输入用户名密码；

（3）、进行创建、删除帐号和修改用户密码等修改设备配置操作；

（4）、用showlogmessage.log查看日志。

5、补充说明

安全要求-设备-通用-JUNIPER-配置-10：

满足

编号：

安全要求-设备-通用-JUNIPER-配置-11

要求内容

设备应配置日志功能，记录对与设备相关的安全事件，比如：

记录路由协议事件和错误。

操作指南

1、参考配置操作

setsystemsyslogfiledaemon.logdaemonwarning

setsystemsyslogfilefirewall.logfirewallwarning

2、补充操作说明

（1）、daemon.log是记录路由协议事件的文件，该文件名称可手工定义；

（2）、firewall.log是记录安全事件的文件，该文件名称可手工定义；

（3）、daemon和firewall可定义有九个等级，建议将其设定为warning等级，即仅记录warning等级以上的安全事件。

检测方法

3、判定条件

在daemon.log可查看到路由事件及相关路由信息。

4、检测操作

（1）、使用showconfiguration命令查看配置；

（2）、重启路由进程，如bgp，ospf（该操作可能会影响业务、不建议现网操作；

（3）、使用showlogdaemon.log和showlogfirewall.log查看日志。

5、补充说明

安全要求-设备-通用-JUNIPER-配置