陕西移动JUNIPER路由器安全配置操作指南.doc

资源描述

╳╳╳╳-╳╳-╳╳实施 ╳╳╳╳-╳╳-╳╳发布陕西移动通信集团公司发布 QB-╳╳-╳╳╳-╳╳╳╳ 陕西移动通信企业标准陕西移动JUNIPER路由器安全配置操作指南（注JUNIPER内容需和相应的配置基线规范一致）版本号：V.1.0.0 （）第12页共12页 QB-╳╳-╳╳╳-╳╳╳╳ 目录 1 范围 3 2 适用性说明 3 3 引用标准 3 4 符号及缩略语 3 5 配置操作指南 3 6 编制历史 12 1 范围本操作指南适用于《陕西移动JUNIPER路由器安全配置基线规范》适用范围内的各类设备。为上述设备满足安全配置基线规范要求，提供具体的配置操作参考。 2 适用性说明本操作指南针对《陕西移动JUNIPER路由器安全配置基线规范》中的各项安全基线要求，提出明确的参考配置操作。本文提供的是安全基线配置参考范例，并不等同于实际的设备配置。在具体实施安全配置时，需根据实际应用环境，形成具体的配置方法。 3 引用标准 1) 《陕西移动设备通用安全基线规范》 2) 《陕西移动JUNIPER路由器安全配置基线规范》 4 符号及缩略语 5 配置操作指南基线编号 JX-JUNIPER-PZ-1 基线内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。参考配置操作 set system login user abc1 set system login user abc2 补充操作说明 1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称； 2、账号取名，建议使用：姓名的简写＋手机号码。基线编号 JX-JUNIPER-PZ-2 基线内容应删除与设备运行、维护等工作无关的账号。参考配置操作 delete system login user abc3 补充操作说明 1、abc3是与工作无关的账号。基线编号 JX-JUNIPER-PZ-3 基线内容为了控制不同用户的访问级别，建立多用户级别，根据用户的业务需求，将用户账号分配到相应的用户级别。参考配置操作创建用户级别： set system login class ABC1 permissions [ view view-configuration ] 将用户账号分配到相应的用户级别： set system login user abc1 class read-only set system login user abc2 class ABC1 set system login user abc3 class super-user 补充操作说明 1、ABC1是手工创建的组，该组具有的权限：查看设备运行状态（如接口状态、设备硬件状态、路由状态等），并且可以查看设备的配置； 2、read-only组具有的权限：查看设备运行状态，但不能查看设备的配置； 3、super-user是超级用户组，具有的权限：所有权限； 4、read-only和super-user是路由器已经创建的组，不需要手工创建； 5、abc1、abc2、abc3是不同的用户，它们分别分配到相应的用户级别。基线编号 JX-TY-PZ-4 基线内容对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。参考配置操作 set system login user abc1 authentication plain-text-password 补充操作说明 1、输入指令回车后，将两次提示输入新口令（New password:和Retype new password:）； 2、口令要求：长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类；基线编号 JX-TY-PZ-5 基线内容对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。参考配置操作无补充操作说明 1、Juniper设备不能设置账户口令的生存期限，账户口令的生存期限可通过定期手工更改口令的方式实现。基线编号 JX-JUNIPER-PZ-6 基线内容修改root密码。root的默认密码是空，修改root密码，避免非管理员使用root账号登录。参考配置操作 set system root-authentication plain-text-password 补充操作说明 1、输入指令回车后，将两次提示输入新口令（New password:和Retype new password:）； 2、口令要求：长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类；基线编号 JX-TY-PZ-9 基线内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。参考配置操作创建用户级别，即创建用户的配置权限： set system login class ABC1 permissions configure set system login class ABC1 allow-configuration "routing-options static|interfaces|chassis fpc" set system login class ABC2 permissions [ configure routing-control ] 将用户账号分配到相应的用户级别： set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super-user 补充操作说明 1、ABC1组具有的权限：可配置interfaces，可配置routing-options中的static，可配置chassis中的fpc； 2、ABC2组具有的权限：可配置有关于路由的所有配置，包括routing-options、protocols、policy-options、routing-instances等； 3、allow-configuration参数是以等级来限制，可以限制各个等级的配置，可以细化到各个小等级； 4、permissions参数是以功能来限制，限制的范围较大； 5、allow-commands参数是以具体的指令来限制，allow-comands参数需要设定具体指令,不建议使用基线编号 JX-JUNIPER-PZ-8-opt 基线内容设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。参考配置操作 set system authentication-order radius set system authentication-order password set system radius-server 10.1.1.1 set system radius-server 10.1.1.2 set system radius-server 10.1.1.1 port 1645 set system radius-server 10.1.1.2 port 1645 set system radius-server 10.1.1.1 secret abc123 set system radius-server 10.1.1.2 secret abc123 补充操作说明 1、配置认证方式，可通过radius和本地认证； 2、10.1.1.1和10.1.1.2是radius认证服务器的IP地址，建议建立两个radius认证服务器作为互备； 3、port 1645是radius认证开启的端口号，可根据本地radius认证服务器开启的端口号进行配置； 4、abc123是与radius认证系统建立连接所设定的密码，建议：与radius认证服务器建立连接时，使用密码认证建立连接。基线编号 JX-TY-PZ-12 基线内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。参考配置操作 set system syslog file author.log authorization info 补充操作说明 1、author.log是记录登录信息的log文件，该文件名称可手工定义； 2、author.log文件保存在juniper路由器的存储上。基线编号 JX-JUNIPER-PZ-10 基线内容设备应配置日志功能，记录用户对设备的操作，比如以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。参考配置操作 set system syslog file messages any any 补充操作说明 1、messages是记录所有log信息的文件，该文件名称可手工定义； 2、messages文件保存在juniper路由器的存储器上。基线编号 JX-JUNIPER-PZ-11 基线内容设备应配置日志功能，记录与设备相关的安全事件，比如：记录路由协议事件和错误。参考配置操作 set system syslog file daemon.log daemon warning set system syslog file firewall.log firewall warning 补充操作说明 1、daemon.log是记录路由协议事件的文件，该文件名称可手工定义； 2、firewall.log是记录安全事件的文件，该文件名称可手工定义； 3、daemon和firewall可定义有九个等级，建议将其设定为warning等级，即仅记录warning等级以上的安全事件。基线编号 JX-TY-PZ-14-opt 基线内容设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。参考配置操作 set system syslog host 10.1.1.1 any notice set system syslog host 10.1.1.1 log-prefix Router1 set system syslog host 10.1.1.2 any notice set system syslog host 10.1.1.2 log-prefix Router2 补充操作说明 1、10.1.1.1和10.1.1.2是远程日志服务器的IP地址，建议建设两个远程日志服务器作为互备； 2、syslog有九个等级的记录信息，建议将notice等级以上的信息传送到远程日志服务器； 3、Router1为路由器的主机名称。基线编号 JX-JUNIPER-PZ-13 基线内容设置系统的配置更改信息保存到单独的change.log文件内。参考配置操作 set system syslog file change.log change-log info 补充操作说明 1、change.log是记录配置更改的文件，该文件名称可手工定义； 2、change.log文件保存在juniper路由器的存储上。基线编号 JX-JUNIPER-PZ-14-opt 基线内容开启NTP服务，保证日志功能记录的时间的准确性。路由器与NTP SERVER之间开启认证功能。参考配置操作 set system ntp authentication-key 1 type md5 value abc123 set system ntp server 10.1.1.1 set system ntp server 10.1.1.2 补充操作说明 1、abc123是路由器与NTP SERVER之间md5认证密码； 2、10.1.1.1和10.1.1.2是NTP SETVER的IP地址，建议建设两个NTP服务器作为互备。基线编号 JX-TY-PZ-16-opt 基线内容对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。参考配置操作 set firewall filter abc term a from source-address 10.1.1.1/32 set firewall filter abc term a from destination-address 10.1.2.1/32 set firewall filter abc term a from protocol tcp set firewall filter abc term a from protocol udp set firewall filter abc term a from source-port 445 set firewall filter abc term a from destination-port 145 set firewall filter abc term a then accept set firewall filter abc term b then reject 补充操作说明 1、abc为filter的名称，可手工定义； 2、a和b为term的名称，可手工定义，一个filter可设定多个term； 3、第一条指令为配置基于源IP地址的过滤，10.1.1.1/32为源IP地址，源地址可以是主机IP，也可以是网段； 4、第二条指令为配置基于目的IP地址的过滤，10.1.1.2/32为目的IP地址，目的IP地址可以是主机IP，也可以是网段； 5、第三条指令为配置协议TCP； 6、第四条指令为配置协议UDP； 7、第五条指令为配置基于源端口，445是端口号，端口号可根据需求设置； 8、第五条指令为配置基于目的端口，145是端口号，端口号可根据需求设置； 9、第六条指令为允许，即符合from里的条件时，允许该数据包通过；若设置为reject，则符合from里的条件时，不允许数据包通过； 10、“set firewall filter abc term b then reject”指令拒绝所有不符合term a条件的数据包通过（then之后可根据需求设置为reject或者accept）。 11、必须使用如下指令将filter绑定到指定接口该filter才能生效： set interfaces fe-0/0/0 unit 0 family inet filter input abc 基线编号 JX-TY-PZ-17-opt 基线内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。参考配置操作海外版的Junos不支持SSH协议，美国和加拿大版的Junos才支持该功能. 补充操作说明基线编号 JX-JUNIPER-PZ-17-opt 基线内容配置动态路由协议（BGP/ MP-BGP /OSPF等）时必须启用带加密方式的身份验证功能，相邻路由器只有在身份验证通过后，才能互相通告路由信息。参考配置操作 set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 set protocols ospf area 0.0.0.0 authentication-type md5 补充操作说明 1、10.1.1.1为对端BGP peer的IP地址，可根据需求设定。基线编号 JX-JUNIPER-PZ-18 基线内容配置BGP路由协议，应配置MD5加密认证，通过MD5加密认证建立peer。参考配置操作 set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 补充操作说明 1、abc为group的名称，可自行设定； 2、10.1.1.1为对端peer的IP地址，可根据需求设定； 3、abc123为MD5加密认证的认证密码，该密码和对端peer的密码要一致。基线编号 JX-JUNIPER-PZ-19 基线内容配置MP-BGP路由协议，应配置MD5加密认证，通过MD5加密认证建立peer。参考配置操作 set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 补充操作说明 1、abc为group的名称，可自行设定； 2、10.1.1.1为对端peer的IP地址，可根据需求设定； 3、abc123为MD5加密认证的认证密码，该密码和对端peer的密码要一致。基线编号 JX-JUNIPER-PZ-20 基线内容对于非点到点的OSPF协议配置，应配置MD5加密认证，通过MD5加密认证建立neighbor。参考配置操作 set protocols ospf area 0.0.0.0 authentication-type md5 set protocols ospf area 0.0.0.0 interface fe-0/0/0.0 authentication md5 1 key abc123 补充操作说明 1、fe-0/0/0为用于建立OSPF的端口，可根据需求设置； 2、abc123为MD5加密认证的认证密码，该密码和对端peer的密码要一致。基线编号 JX-JUNIPER-PZ-21-opt 基线内容制定路由策略，禁止发布或接收不安全的路由信息。参考配置操作制定发布的路由策略： set policy-options policy-statement abc term a from route-filter 10.0.0.0/24 exact set policy-options policy-statement abc term a then accept set policy-options policy-statement abc term b then reject 补充操作说明 1、abc是路由策略的名称，该名称可自行定义； 2、10.0.0.0/24是将发布（或接收）或者禁止发布（或接收）路由，可根据具体需求设置； 3、制定路由策略之后，必须将该策略应用于路由协议上才生效。基线编号 JX-JUNIPER-PZ-22 基线内容设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。参考配置操作 set snmp community abcd123 clients 10.1.1.1/32 set snmp community abcd123 clients 10.1.2.1/32 set snmp community abcd123 clients ready-only 补充操作说明 1、abcd123是communtity字符串，可自行定义，但必须和client的主机一致； 2、10.1.1.1和10.1.2.1是主机IP地址，即允许10.1.1.1.和10.1.2.1主机通过SNMP访问网络设备； 3、未在client列表中的主机，不允许通过SNMP访问网络设备。 4、设置主机访问网络设备具有读的权限，可根据需求设置为具有读写的权限（read-write）。基线编号 JX- JUNIPER -PZ-23-opt 基线内容系统应关闭未使用的SNMP协议及未使用的RW权限参考配置操作默认关闭所有SNMP功能的，按需求启动相应的功能即可补充操作说明基线编号 JX- JUNIPER -PZ-24-opt 基线内容系统应配置为SNMP V2或以上版本。参考配置操作 set snmp trap-group abc123 version v2 补充操作说明 1、abc123是trap-group组的名称，可自行设置。基线编号 JX- JUNIPER -PZ-25-opt 基线内容系统应配置可接收SNMP消息的主机地址。参考配置操作 set snmp trap-group abc123 targets 10.1.1.1 set snmp trap-group abc123 targets 10.1.2.1 补充操作说明 1、abc123是trap-group组的名称，可自行设置 2、10.1.1.1和10.1.2.1是主机IP地址，即允许10.1.1.1.和10.1.2.1主机接收该网络设备的SNMP消息。基线编号 JX-JUNIPER-PZ-26-opt 基线内容对于Juniper路由器，应配置定时账户自动登出。参考配置操作 set system login class abc idle-timeout 10 补充操作说明 1、abc是class组的名称； 2、配置定时账户自动登出功能，仅能在自定义的class组里定义，不能在系统默认的组（如：super-user、read-only）中配置，因此，建议自定义class组。基线编号 JX-JUNIPER-PZ-27 基线内容对于具备consol口的设备，应配置consol口密码保护功能。参考配置操作 Juniper设备不具有console密码，登录方式是通过用户名和该用户名的密码登录。补充操作说明基线编号 JX-JUNIPER-PZ-28 基线内容开启配置文件定期备份功能，定期备份配置文件。参考配置操作 set system archival configuration transfer-interval 2880 set system archival configuration archive-sites ftp://juniper@10.1.1.1 password abc123 set system archival configuration archive-sites ftp://juniper@10.1.1.2 password abc123 补充操作说明 1、2880是时间间隔，单位是分钟，时间间隔可设置的范围为15－2880; 2、juniper是ftp的用户名称，10.1.1.1和10.1.1.2是ftp服务器的IP地址，abc123是登录frp服务器的密码；建议设置两个IP地址作为互备； 3、定期备份仅能通过ftp服务备份； 4、通过定期备份配置文件，时间间隔较短，即备份比较频繁，建议采用transfer-on-commit 方式，即只要执行commit指令，配置将自动备份到ftp服务器，指令为 set system archival configuration transfer-on-commit； 5、transfer-interval和transfer-on-commit 方式不能共存。基线编号 JX-JUNIPER-PZ-29 基线内容关闭网络设备不必要的服务，比如FTP、TFTP服务等。参考配置操作 delete system services ftp 补充操作说明默认是关闭FTP服务基线编号 JX-JUNIPER-GN-30-opt 基线内容开启安全防护功能，如状态防火墙等（如果具备类似功能）。参考配置操作 Juniper设备默认已开启安全防护功能。安全补充操作说明基线编号 JX-JUNIPER-GN-31-opt 基线内容如接受统一网管系统管理，建议配置SNMP VERSION3协议。参考配置操作 set snmp v3 usm local-engine user abc1 authentication-md5 authentication-key set snmp v3 vacm access group CMNET default-context-prefix security-model usm security-level authentication read-view readonly set snmp v3 target-address ta1 address 10.1.1.1 set snmp v3 target-address ta1 target-parameters tp1 set snmp v3 target-parameters tp1 parameters message-processing-model v3 set snmp v3 target-parameters tp1 parameters security-model usm set snmp v3 target-parameters tp1 parameters security-level none set snmp v3 target-parameters tp1 parameters security-name abc set snmp v3 snmp-community index1 community-name ABC set snmp v3 snmp-community index1 security-name abc set snmp engine-id use-mac-address set snmp view readonly oid .1.3.6.1.2.1.2 include 补充操作说明 1、第一条命令设定SNMP V3的用户abc1 采用MD5方式认证 2、第二条命令设定SNMP 的访问控制模块（VACM）的参数，访问组为CMNET，安全模式采用基于用户的模式（USM），安全级别设为验证级别，设定视图为readonly 3、第三条命令指定SNMP主机组ta1，这组包括的地址为211.139.136.100 4、第四条命令设定主机组ta1的具体参数引用参数集tp1 5、第五至八条命令设定参数集tp1的具体内容，信息处理采用SNMPv3模式、安全模式采用基于用户的模式（USM）、安全级别采用非验证、安全名字设定为abc 6、第九、十条命令行设定SNMP团体号为ABC、安全名字为abc 7、第十一条命令设定SNMP的引擎ID。 8、第十二条命令设定视图readonly的管理对像标识。基线编号 JX-JUNIPER-PZ-32 基线内容系统远程管理服务TELNET、SSH默认可以接受任何地址的连接，出于安全考虑，应该只允许特定地址访问。参考配置操作 set firewall filter abc term a from source-address 10.1.1.1/32 set firewall filter abc term a from source-address 10.1.1.2/32 set firewall filter abc term a then accept set firewall filter abc term b from protocol tcp port telnet set firewall filter abc term b then reject set firewall filter abc term c then accept 补充操作说明 1、abc为filter名称，可自定义； 2、10.1.1.1/32和10.1.1.2/32上允许telnet的主机IP地址； 3、term a实现的功能为：允许特定地址访问； 4、term b实现的功能为：除了允许特定地址访问之外，不允许其它地址访问telnet端口；基线编号 JX-JUNIPER-PZ-33 基线内容 TELNET默认可以接受250个同时连接。配置TELNET等远程维护方式时，应配置连接最大数量限制为10个，并且每分钟最多有5个可以连接，可以防止在TELNET端口上的SYN flood DoS 攻击。参考配置操作 set system services telnet connection-limit 10 set system services telnet rate-limit 5 补充操作说明基线编号 JX-JUNIPER-PZ-34-opt 基线内容在网络边界，设置安全访问控制，过滤掉安全攻击数据包，例如udp 1434端口（防止SQL slammer蠕虫）、tcp445,5800,5900（防止Della蠕虫）。参考配置操作 set firewall filter abc term a from protocol udp destination-port 1434 set firewall filter abc term a then discard set firewall filter abc term b from protocol tcp port 445 set firewall filter abc term b then discard set firewall filter abc term c from port [5800 5900] set firewall filter abc term c then discard set firewall filter abc term d then accept 补充操作说明 1、term a 过滤udp 1434端口； 2、term b 过滤tcp 445端口； 3、term c 过滤5800和5900端口； 4、务必注意在最后的term放通所有业务； 5、将该filter应用于网络边界端口,使用如下命令: set interfaces fe-0/0/0 unit 0 family inet filter input abc 基线编号 JX-JUNIPER-PZ-35 基线内容启用RSVP标签分发协议时，打开RSVP协议认证功能，如MD5加密，确保与可信方进行RSVP协议交互。参考配置操作 set protocols rsvp interface fe-0/0/0.0 authentication-key abc123 补充操作说明 1、abc123为MD5加密密码。

展开阅读全文