Juniper路由安全配置基线.docVIP

Juniper路由器安全配置基线  版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2009年1月 V2.0 更新 2012年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第2章 帐号管理、认证授权 2 2.1 帐号管理 2 2.1.1 用户帐号分配* 2 2.1.2 删除无关的帐号* 3 2.1.3 根据用户的业务需求分配相应的用户级别 3 2.2 口令 5 2.2.1 口令复杂度 5 2.2.2 静态口生存期 5 2.2.3 root密码 6 2.2.4 帐号、口令和授权的强制要求 7 第3章 日志安全要求 9 3.1 日志配置 9 3.1.1 记录用户登录 9 3.1.2 记录用户对设备的操作 10 3.1.3 记录设备相关的安全事件 10 3.1.4 设备配置远程日志功能* 11 3.1.5 设置系统的配置更改信息 12 3.1.6 保证日志功能记录的时间的准确性 13 第4章 IP协议安全配置 16 4.1 IP协议 16 4.1.1 远程维护的设备配置加密协议 16 4.1.2 启用带加密方式的身份验证功能* 16 4.1.3 MP-BGP路由协议* 17 4.1.4 OSPF协议配置* 18 4.1.5 制定路由策略 19 4.1.6 SNMP访问安全限制 20 4.1.7 关闭未使用的SNMP协议及未使用的RW权限 21 4.1.8 SNMP访问安全限制 21 4.1.9 配置可接收SNMP消息的主机地址 22 4.1.10 RSVP标签分发协议* 23 第5章 其他安全要求 24 5.1 其他配置 24 5.1.1 定时账户自动登出 24 5.1.2 配置consol口密码保护功能 25 5.1.3 定期备份配置文件 25 5.1.4 关闭不必要的服务* 26 5.1.5 开启安全防护功能 27 5.1.6 配置SNMPV2或以上版本 28 5.1.7 系统远程管理服务只允许特定地址访问 29 5.1.8 远程维护方式连接最大数量限制 30 5.1.9 安全访问控制 31 5.1.10 端口与实际应用相符 32 第6章 评审与修订 33 概述 目的 本文档旨在指导系统管理人员进行的安全配置。本的使用者包括：、网络安全管理员。实施例外条款 帐号管理、认证授权 帐号管理 用户帐号分配* 安全基线项目名称 管理缺省账户安全基线要求项 安全基线编号 SBL-JuniperRouter-02-01-01 安全基线项说明 应按照不同的用户分配不同的帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。 检测操作步骤 1、参考配置操作 set system login user abc1 set system login user abc2 2、补充操作说明 1、abc1和abc2是两个不同的帐号名称，可根据不同用户，取不同的名称； 2、帐号取名，建议使用：姓名的简写＋手机号码。 基线符合性判定依据 判定条件 各帐号都可以登录路由器为正常 检测操作 （1）、用show configuration system login命令查看配置是否正确 （2）、在终端上用telnet方式登录路由器,输入用户名abc1和密码 （3）、在终端上用telnet方式登录路由器,输入用户名abc2和密码） 补充说明 备注 需要手工检查，由管理员确认帐号分配关系。 删除无关的帐号* 安全基线项目名称 工作无关的帐号安全基线要求项 安全基线编号 SBL-JuniperRouter-02-01-02 安全基线项说明 应删除与设备运行、维护等工作无关的帐号 检测操作步骤 1、参考配置操作 delete system login user abc3 2、补充操作说明 abc3是与工作无关的帐号。 基线符合性判定依据 判定条件 被删除的与工作无关的帐号abc3不能登录为正常。 检测操作 （1）、用show configuration system login命令查看配置是否正确。 （2）、在终端上用telnet方式登录路由器,输入用户名abc3和密码。 补充说明 备注 需要手工检查，由管理员判断是否存在无关帐号 根据用户的业务需求分配相应的用户级别 安全基线项目名称 根据用户的业务需求分配相应的用户级别安全基线要求项 安全基线编号 SBL-JuniperRouter-02-01-03 安全基线项说明 为了