陕西移动JUNIPER路由器安全配置操作指南.doc

1、╳╳╳╳-╳╳-╳╳实施 ╳╳╳╳-╳╳-╳╳发布 陕西移动通信集团公司发布 QB-╳╳-╳╳╳-╳╳╳╳ 陕西移动通信企业标准 陕西移动JUNIPER路由器 安全配置操作指南 （注JUNIPER内容需和相应的配置基线规范一致） 版本号：V.1.0.0 （） 第12页 共12页 QB-╳╳-╳╳╳-╳╳╳╳ 目 录 1 范围 3 2 适用性说明 3 3 引用标准 3 4

2、符号及缩略语 3 5 配置操作指南 3 6 编制历史 12 1 范围 本操作指南适用于《陕西移动JUNIPER路由器安全配置基线规范》适用范围内的各类设备。为上述设备满足安全配置基线规范要求，提供具体的配置操作参考。 2 适用性说明 本操作指南针对《陕西移动JUNIPER路由器安全配置基线规范》中的各项安全基线要求，提出明确的参考配置操作。本文提供的是安全基线配置参考范例，并不等同于实际的设备配置。在具体实施安全配置时，需根据实际应用环境，形成具体的配置方法。 3 引用标准 1) 《陕西移动设备通用安全基线规范》 2) 《陕西移动JUNIPER路由器安全配置基线规范》

3、 4 符号及缩略语 5 配置操作指南 基线编号 JX-JUNIPER-PZ-1 基线内容 应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。 参考配置操作 set system login user abc1 set system login user abc2 补充操作说明 1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称； 2、账号取名，建议使用：姓名的简写＋手机号码。 基线编号 JX-JUNIPER-PZ-2 基线内容 应删除与设备运行、维护等工作无关的账号。 参考配置操作

4、 delete system login user abc3 补充操作说明 1、abc3是与工作无关的账号。 基线编号 JX-JUNIPER-PZ-3 基线内容 为了控制不同用户的访问级别，建立多用户级别，根据用户的业务需求，将用户账号分配到相应的用户级别。 参考配置操作 创建用户级别： set system login class ABC1 permissions [ view view-configuration ] 将用户账号分配到相应的用户级别： set system login user abc1 class read-only set syst

5、em login user abc2 class ABC1 set system login user abc3 class super-user 补充操作说明 1、ABC1是手工创建的组，该组具有的权限：查看设备运行状态（如接口状态、设备硬件状态、路由状态等），并且可以查看设备的配置； 2、read-only组具有的权限：查看设备运行状态，但不能查看设备的配置； 3、super-user是超级用户组，具有的权限：所有权限； 4、read-only和super-user是路由器已经创建的组，不需要手工创建； 5、abc1、abc2、abc3是不同的用户，它们分别分配到相应的用户级

6、别。 基线编号 JX-TY-PZ-4 基线内容 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 参考配置操作 set system login user abc1 authentication plain-text-password 补充操作说明 1、输入指令回车后，将两次提示输入新口令（New password:和Retype new password:）； 2、口令要求：长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类； 基线编号 JX-TY-PZ-5 基线内容 对于采用静态

7、口令认证技术的设备，账户口令的生存期不长于90天。 参考配置操作 无 补充操作说明 1、Juniper设备不能设置账户口令的生存期限，账户口令的生存期限可通过定期手工更改口令的方式实现。 基线编号 JX-JUNIPER-PZ-6 基线内容 修改root密码。root的默认密码是空，修改root密码，避免非管理员使用root账号登录。 参考配置操作 set system root-authentication plain-text-password 补充操作说明 1、输入指令回车后，将两次提示输入新口令（New password:和Retype new passwor

8、d:）； 2、口令要求：长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类； 基线编号 JX-TY-PZ-9 基线内容 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 参考配置操作 创建用户级别，即创建用户的配置权限： set system login class ABC1 permissions configure set system login class ABC1 allow-configuration "routing-options static|interfaces|chassis fpc" set system lo

9、gin class ABC2 permissions [ configure routing-control ] 将用户账号分配到相应的用户级别： set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super-user 补充操作说明 1、ABC1组具有的权限：可配置interfaces，可配置routing-options中的static，可配置chassis中的fpc； 2、ABC2组具有的权限：可配置有关于路由

10、的所有配置，包括routing-options、protocols、policy-options、routing-instances等； 3、allow-configuration参数是以等级来限制，可以限制各个等级的配置，可以细化到各个小等级； 4、permissions参数是以功能来限制，限制的范围较大； 5、allow-commands参数是以具体的指令来限制，allow-comands参数需要设定具体指令,不建议使用 基线编号 JX-JUNIPER-PZ-8-opt 基线内容 设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。 参考配置操作

11、 set system authentication-order radius set system authentication-order password set system radius-server 10.1.1.1 set system radius-server 10.1.1.2 set system radius-server 10.1.1.1 port 1645 set system radius-server 10.1.1.2 port 1645 set system radius-server 10.1.1.1 secret abc123 set sys

12、tem radius-server 10.1.1.2 secret abc123 补充操作说明 1、配置认证方式，可通过radius和本地认证； 2、10.1.1.1和10.1.1.2是radius认证服务器的IP地址，建议建立两个radius认证服务器作为互备； 3、port 1645是radius认证开启的端口号，可根据本地radius认证服务器开启的端口号进行配置； 4、abc123是与radius认证系统建立连接所设定的密码，建议：与radius认证服务器建立连接时，使用密码认证建立连接。 基线编号 JX-TY-PZ-12 基线内容 设备应配置日志功能，对用户登录

13、进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 参考配置操作 set system syslog file author.log authorization info 补充操作说明 1、author.log是记录登录信息的log文件，该文件名称可手工定义； 2、author.log文件保存在juniper路由器的存储上。 基线编号 JX-JUNIPER-PZ-10 基线内容 设备应配置日志功能，记录用户对设备的操作，比如以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，涉及通信隐私数据。记录需要包含用

14、户账号，操作时间，操作内容以及操作结果。 参考配置操作 set system syslog file messages any any 补充操作说明 1、messages是记录所有log信息的文件，该文件名称可手工定义； 2、messages文件保存在juniper路由器的存储器上。 基线编号 JX-JUNIPER-PZ-11 基线内容 设备应配置日志功能，记录与设备相关的安全事件，比如：记录路由协议事件和错误。 参考配置操作 set system syslog file daemon.log daemon warning set system syslog fil

15、e firewall.log firewall warning 补充操作说明 1、daemon.log是记录路由协议事件的文件，该文件名称可手工定义； 2、firewall.log是记录安全事件的文件，该文件名称可手工定义； 3、daemon和firewall可定义有九个等级，建议将其设定为warning等级，即仅记录warning等级以上的安全事件。 基线编号 JX-TY-PZ-14-opt 基线内容 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。 参考配置操作 set system syslog host 10.1.1.1 any noti

16、ce set system syslog host 10.1.1.1 log-prefix Router1 set system syslog host 10.1.1.2 any notice set system syslog host 10.1.1.2 log-prefix Router2 补充操作说明 1、10.1.1.1和10.1.1.2是远程日志服务器的IP地址，建议建设两个远程日志服务器作为互备； 2、syslog有九个等级的记录信息，建议将notice等级以上的信息传送到远程日志服务器； 3、Router1为路由器的主机名称。 基线编号 JX-JUNIPER

17、PZ-13 基线内容 设置系统的配置更改信息保存到单独的change.log文件内。 参考配置操作 set system syslog file change.log change-log info 补充操作说明 1、change.log是记录配置更改的文件，该文件名称可手工定义； 2、change.log文件保存在juniper路由器的存储上。 基线编号 JX-JUNIPER-PZ-14-opt 基线内容 开启NTP服务，保证日志功能记录的时间的准确性。路由器与NTP SERVER之间开启认证功能。 参考配置操作 set system ntp authenti

18、cation-key 1 type md5 value abc123 set system ntp server 10.1.1.1 set system ntp server 10.1.1.2 补充操作说明 1、abc123是路由器与NTP SERVER之间md5认证密码； 2、10.1.1.1和10.1.1.2是NTP SETVER的IP地址，建议建设两个NTP服务器作为互备。 基线编号 JX-TY-PZ-16-opt 基线内容 对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤

19、过滤所有和业务不相关的流量。 参考配置操作 set firewall filter abc term a from source-address 10.1.1.1/32 set firewall filter abc term a from destination-address 10.1.2.1/32 set firewall filter abc term a from protocol tcp set firewall filter abc term a from protocol udp set firewall filter abc term a from source

20、port 445 set firewall filter abc term a from destination-port 145 set firewall filter abc term a then accept set firewall filter abc term b then reject 补充操作说明 1、abc为filter的名称，可手工定义； 2、a和b为term的名称，可手工定义，一个filter可设定多个term； 3、第一条指令为配置基于源IP地址的过滤，10.1.1.1/32为源IP地址，源地址可以是主机IP，也可以是网段； 4、第二条指令为配置基于

21、目的IP地址的过滤，10.1.1.2/32为目的IP地址，目的IP地址可以是主机IP，也可以是网段； 5、第三条指令为配置协议TCP； 6、第四条指令为配置协议UDP； 7、第五条指令为配置基于源端口，445是端口号，端口号可根据需求设置； 8、第五条指令为配置基于目的端口，145是端口号，端口号可根据需求设置； 9、第六条指令为允许，即符合from里的条件时，允许该数据包通过；若设置为reject，则符合from里的条件时，不允许数据包通过； 10、“set firewall filter abc term b then reject”指令拒绝所有不符合term a条件的数据包通

22、过（then之后可根据需求设置为reject或者accept）。 11、必须使用如下指令将filter绑定到指定接口该filter才能生效： set interfaces fe-0/0/0 unit 0 family inet filter input abc 基线编号 JX-TY-PZ-17-opt 基线内容 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。 参考配置操作 海外版的Junos不支持SSH协议，美国和加拿大版的Junos才支持该功能. 补充操作说明 基线编号 JX-JUNIPER-PZ-17-opt 基线内容 配置

23、动态路由协议（BGP/ MP-BGP /OSPF等）时必须启用带加密方式的身份验证功能，相邻路由器只有在身份验证通过后，才能互相通告路由信息。 参考配置操作 set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 set protocols ospf area 0.0.0.0 authentication-type md5 补充操作说明 1、10.1.1.1为对端BGP peer的IP地址，可根据需求设定。 基线编号 JX-JUNIPER-PZ-18 基线内容 配置BGP路由协议，应配

24、置MD5加密认证，通过MD5加密认证建立peer。 参考配置操作 set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 补充操作说明 1、abc为group的名称，可自行设定； 2、10.1.1.1为对端peer的IP地址，可根据需求设定； 3、abc123为MD5加密认证的认证密码，该密码和对端peer的密码要一致。 基线编号 JX-JUNIPER-PZ-19 基线内容 配置MP-BGP路由协议，应配置MD5加密认证，通过MD5加密认证建立peer。 参考配置操作 set p

25、rotocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 补充操作说明 1、abc为group的名称，可自行设定； 2、10.1.1.1为对端peer的IP地址，可根据需求设定； 3、abc123为MD5加密认证的认证密码，该密码和对端peer的密码要一致。 基线编号 JX-JUNIPER-PZ-20 基线内容 对于非点到点的OSPF协议配置，应配置MD5加密认证，通过MD5加密认证建立neighbor。 参考配置操作 set protocols ospf area 0.0.0.0 authen

26、tication-type md5 set protocols ospf area 0.0.0.0 interface fe-0/0/0.0 authentication md5 1 key abc123 补充操作说明 1、fe-0/0/0为用于建立OSPF的端口，可根据需求设置； 2、abc123为MD5加密认证的认证密码，该密码和对端peer的密码要一致。 基线编号 JX-JUNIPER-PZ-21-opt 基线内容 制定路由策略，禁止发布或接收不安全的路由信息。 参考配置操作 制定发布的路由策略： set policy-options policy-statem

27、ent abc term a from route-filter 10.0.0.0/24 exact set policy-options policy-statement abc term a then accept set policy-options policy-statement abc term b then reject 补充操作说明 1、abc是路由策略的名称，该名称可自行定义； 2、10.0.0.0/24是将发布（或接收）或者禁止发布（或接收）路由，可根据具体需求设置； 3、制定路由策略之后，必须将该策略应用于路由协议上才生效。 基线编号 JX-JUN

28、IPER-PZ-22 基线内容 设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。 参考配置操作 set snmp community abcd123 clients 10.1.1.1/32 set snmp community abcd123 clients 10.1.2.1/32 set snmp community abcd123 clients ready-only 补充操作说明 1、abcd123是communtity字符串，可自行定义，但必须和client的主机一致； 2、10.1.1.1和10.1.2.1是主机IP地址，即允许10.1.1.1.和

29、10.1.2.1主机通过SNMP访问网络设备； 3、未在client列表中的主机，不允许通过SNMP访问网络设备。 4、设置主机访问网络设备具有读的权限，可根据需求设置为具有读写的权限（read-write）。 基线编号 JX- JUNIPER -PZ-23-opt 基线内容 系统应关闭未使用的SNMP协议及未使用的RW权限 参考配置操作 默认关闭所有SNMP功能的，按需求启动相应的功能即可 补充操作说明 基线编号 JX- JUNIPER -PZ-24-opt 基线内容 系统应配置为SNMP V2或以上版本。 参考配置操作 set snmp trap-

30、group abc123 version v2 补充操作说明 1、abc123是trap-group组的名称，可自行设置。 基线编号 JX- JUNIPER -PZ-25-opt 基线内容 系统应配置可接收SNMP消息的主机地址。 参考配置操作 set snmp trap-group abc123 targets 10.1.1.1 set snmp trap-group abc123 targets 10.1.2.1 补充操作说明 1、abc123是trap-group组的名称，可自行设置 2、10.1.1.1和10.1.2.1是主机IP地址，即允许10.1.1.1

31、和10.1.2.1主机接收该网络设备的SNMP消息。 基线编号 JX-JUNIPER-PZ-26-opt 基线内容 对于Juniper路由器，应配置定时账户自动登出。 参考配置操作 set system login class abc idle-timeout 10 补充操作说明 1、abc是class组的名称； 2、配置定时账户自动登出功能，仅能在自定义的class组里定义，不能在系统默认的组（如：super-user、read-only）中配置，因此，建议自定义class组。 基线编号 JX-JUNIPER-PZ-27 基线内容 对于具备consol口的

32、设备，应配置consol口密码保护功能。 参考配置操作 Juniper设备不具有console密码，登录方式是通过用户名和该用户名的密码登录。 补充操作说明 基线编号 JX-JUNIPER-PZ-28 基线内容 开启配置文件定期备份功能，定期备份配置文件。 参考配置操作 set system archival configuration transfer-interval 2880 set system archival configuration archive-sites ftp://juniper@10.1.1.1 password abc123 set s

33、ystem archival configuration archive-sites ftp://juniper@10.1.1.2 password abc123 补充操作说明 1、2880是时间间隔，单位是分钟，时间间隔可设置的范围为15－2880; 2、juniper是ftp的用户名称，10.1.1.1和10.1.1.2是ftp服务器的IP地址，abc123是登录frp服务器的密码；建议设置两个IP地址作为互备； 3、定期备份仅能通过ftp服务备份； 4、通过定期备份配置文件，时间间隔较短，即备份比较频繁，建议采用transfer-on-commit 方式，即只要执行commit

34、指令，配置将自动备份到ftp服务器，指令为 set system archival configuration transfer-on-commit； 5、transfer-interval和transfer-on-commit 方式不能共存。 基线编号 JX-JUNIPER-PZ-29 基线内容 关闭网络设备不必要的服务，比如FTP、TFTP服务等。 参考配置操作 delete system services ftp 补充操作说明 默认是关闭FTP服务 基线编号 JX-JUNIPER-GN-30-opt 基线内容 开启安全防护功能，如状态防火墙等（如果

35、具备类似功能）。 参考配置操作 Juniper设备默认已开启安全防护功能。 安全补充操作说明 基线编号 JX-JUNIPER-GN-31-opt 基线内容 如接受统一网管系统管理，建议配置SNMP VERSION3协议。 参考配置操作 set snmp v3 usm local-engine user abc1 authentication-md5 authentication-key set snmp v3 vacm access group CMNET default-context-prefix security-model usm security-leve

36、l authentication read-view readonly set snmp v3 target-address ta1 address 10.1.1.1 set snmp v3 target-address ta1 target-parameters tp1 set snmp v3 target-parameters tp1 parameters message-processing-model v3 set snmp v3 target-parameters tp1 parameters security-model usm set snmp v3 target-pa

37、rameters tp1 parameters security-level none set snmp v3 target-parameters tp1 parameters security-name abc set snmp v3 snmp-community index1 community-name ABC set snmp v3 snmp-community index1 security-name abc set snmp engine-id use-mac-address set snmp view readonly oid .1.3.6.1.2.1.2 includ

38、e 补充操作说明 1、第一条命令设定SNMP V3的用户abc1 采用MD5方式认证 2、第二条命令设定SNMP 的访问控制模块（VACM）的参数，访问组为CMNET，安全模式采用基于用户的模式（USM），安全级别设为验证级别，设定视图为readonly 3、第三条命令指定SNMP主机组ta1，这组包括的地址为211.139.136.100 4、第四条命令设定主机组ta1的具体参数引用参数集tp1 5、第五至八条命令设定参数集tp1的具体内容，信息处理采用SNMPv3模式、安全模式采用基于用户的模式（USM）、安全级别采用非验证、安全名字设定为abc 6、第九、十条命令行设定SN

39、MP团体号为ABC、安全名字为abc 7、第十一条命令设定SNMP的引擎ID。 8、第十二条命令设定视图readonly的管理对像标识。 基线编号 JX-JUNIPER-PZ-32 基线内容 系统远程管理服务TELNET、SSH默认可以接受任何地址的连接，出于安全考虑，应该只允许特定地址访问。 参考配置操作 set firewall filter abc term a from source-address 10.1.1.1/32 set firewall filter abc term a from source-address 10.1.1.2/32 set fir

40、ewall filter abc term a then accept set firewall filter abc term b from protocol tcp port telnet set firewall filter abc term b then reject set firewall filter abc term c then accept 补充操作说明 1、abc为filter名称，可自定义； 2、10.1.1.1/32和10.1.1.2/32上允许telnet的主机IP地址； 3、term a实现的功能为：允许特定地址访问； 4、term b实现的功能

41、为：除了允许特定地址访问之外，不允许其它地址访问telnet端口； 基线编号 JX-JUNIPER-PZ-33 基线内容 TELNET默认可以接受250个同时连接。配置TELNET等远程维护方式时，应配置连接最大数量限制为10个，并且每分钟最多有5个可以连接，可以防止在TELNET端口上的SYN flood DoS 攻击。 参考配置操作 set system services telnet connection-limit 10 set system services telnet rate-limit 5 补充操作说明 基线编号 JX-JUNIPER-P

42、Z-34-opt 基线内容 在网络边界，设置安全访问控制，过滤掉安全攻击数据包，例如udp 1434端口（防止SQL slammer蠕虫）、tcp445,5800,5900（防止Della蠕虫）。 参考配置操作 set firewall filter abc term a from protocol udp destination-port 1434 set firewall filter abc term a then discard set firewall filter abc term b from protocol tcp port 445 set firewall f

43、ilter abc term b then discard set firewall filter abc term c from port [5800 5900] set firewall filter abc term c then discard set firewall filter abc term d then accept 补充操作说明 1、term a 过滤udp 1434端口； 2、term b 过滤tcp 445端口； 3、term c 过滤5800和5900端口； 4、务必注意在最后的term放通所有业务； 5、将该filter应用于网络边界端口,使用如下命令: set interfaces fe-0/0/0 unit 0 family inet filter input abc 基线编号 JX-JUNIPER-PZ-35 基线内容 启用RSVP标签分发协议时，打开RSVP协议认证功能，如MD5加密，确保与可信方进行RSVP协议交互。 参考配置操作 set protocols rsvp interface fe-0/0/0.0 authentication-key abc123 补充操作说明 1、abc123为MD5加密密码。