1、J u n i p e r 路路 由由 器器 安安 全全 配配 置置 規(guī)規(guī) 范范 S S p p e e c c i i f f i i c c a a t t i i o o n n f f o o r r J J u u n n i i p p e e r r R R o o u u t t e e r r C C o o n n f f i i g g u u r r a a t t i i o o n n U U s s e e d d i i n n C C h h i i n n a a M M o o b b i i l l e e 版版 本本 號號 ： . . 網(wǎng)絡(luò)與信息安全規(guī)

2、范編號網(wǎng)絡(luò)與信息安全規(guī)范編號:【網(wǎng)絡(luò)與信息安全規(guī)范網(wǎng)絡(luò)與信息安全規(guī)范】【】【第二層：技術(shù)規(guī)范第二層：技術(shù)規(guī)范網(wǎng)元類網(wǎng)元類】【】【第第 2501 號號】？ 2007-12-13 發(fā)布2008-01-01 實(shí)施 中國移動通信集團(tuán)公司中國移動通信集團(tuán)公司 發(fā)布發(fā)布 目錄 1概述概述.1 1.1適用范圍 .1 1.2內(nèi)部適用性說明 .1 1.3外部引用說明 .2 1.4術(shù)語和定義 .2 1.5符號和縮略語 .2 2JUNIPER 路由器安全配置要求路由器安全配置要求 .3 2.1賬號管理、認(rèn)證授權(quán) .3 2.1.1賬號.3 2.1.2口令.6 2.1.2授權(quán).7 2.1.3認(rèn)證.9 2.2日志要求 .

3、10 2.3IP 協(xié)議安全要求.14 2.3.1基本協(xié)議安全.14 2.3.2路由協(xié)議安全.16 2.3.3SNMP 協(xié)議安全.20 2.3.4MPLS 安全.22 2.4設(shè)備其他安全 .23 前言 本標(biāo)準(zhǔn)由中國移動通信有限公司網(wǎng)絡(luò)部提出并歸口。 本標(biāo)準(zhǔn)由標(biāo)準(zhǔn)提出并歸口部門負(fù)責(zé)解釋。 本標(biāo)準(zhǔn)起草單位：中國移動通信有限公司網(wǎng)絡(luò)部。 本標(biāo)準(zhǔn)解釋單位：同提出單位。 本標(biāo)準(zhǔn)主要起草人：中國移動集團(tuán)廣東公司 吳卓明 中國移動通信集團(tuán)公司 陳敏時 1 概述概述 1.1 適用范圍適用范圍 本規(guī)范適用于中國移動通信網(wǎng)、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)的 Juniper 路由器。本規(guī)范明確了 Juniper 路由器安全配置方

4、面的基本要求。 1.2 內(nèi)部適用性說明內(nèi)部適用性說明 本規(guī)范是在中國移動設(shè)備通用設(shè)備安全功能和配置規(guī)范 （以下簡稱通用規(guī)范 ） 各項(xiàng)設(shè)備配置要求的基礎(chǔ)上，提出的 Juniper 路由器安全配置規(guī)范。以下分項(xiàng)列出本規(guī)范對 通用規(guī)范設(shè)備配置要求的修訂情況。 設(shè)備通用安全配置要求編號采納意見補(bǔ)充說明 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-1-可選可選增強(qiáng)要求參見“安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-1” 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-2-可選可選增強(qiáng)要求參見“安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-2” 安全要求安全要求

5、-設(shè)備設(shè)備-通用通用-配置配置-3-可選可選不采納系統(tǒng)不支持 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-4完全采納 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-5完全采納 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-6-可選可選 不采納 系統(tǒng)不支持 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-7-可選可選 不采納 系統(tǒng)不支持 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-9 完全采納 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-12完全采納 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-13-可選可選部分采納參見“安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-

6、配置配置- 10” 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-24-可選可選增強(qiáng)要求參見“安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置- 11” 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-14-可選可選完全采納 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-16-可選可選完全采納 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-17-可選可選完全采納 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-19-可選可選部分采納 參見“安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-26- 可選可選” 安全要求安全要求-設(shè)備設(shè)備-通用通用-配置配置-20

7、-可選可選不采納 系統(tǒng)不支持 安全要求安全要求-設(shè)備設(shè)備-通用通用-TY-GN-27-可選可選增強(qiáng)要求 參見“安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置- 27” 本規(guī)范新增的安全配置要求，如下： 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-3 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-6 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-8-可選可選 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-13 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-14-可選可選 安全要求安全要求-

8、設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-17-可選可選 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-18 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-19 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-20 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-21-可選可選 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-22 安全要求安全要求-設(shè)備設(shè)備-通用通用- JUNIPER -配置配置-23-可選可選 安全要求安全要求-設(shè)備設(shè)備-通用通用- JUNIPER -配置配置-24-可選可選 安全要求安

9、全要求-設(shè)備設(shè)備-通用通用- JUNIPER -配置配置-25-可選可選 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-28 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-29 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-30-可選？可選？ 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-31-可選？可選？ 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-32 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-33 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-34-可選可選

10、 安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-35 本規(guī)范還針對通用規(guī)范中所列的配置要求，給出了在 Juniper 路由器上的具體 配置方法和檢測方法。 1.3 外部引用說明外部引用說明 中國移動設(shè)備通用安全功能和配置規(guī)范 1.4 術(shù)語和定義術(shù)語和定義 1.5 符號和縮略語符號和縮略語 縮寫英文描述中文描述 2 Juniper 路由器安全配置要求路由器安全配置要求 本規(guī)范所指的設(shè)備為 Juniper 路由器設(shè)備。本規(guī)范提出的安全配置要求，在未特 別說明的情況下，均適用于所有版本的 Juniper 路由器。 本規(guī)范從 Juniper 路由器的認(rèn)證授權(quán)功能、安全日志功能以及路由

11、協(xié)議安全功能， 和其他自身安全配置功能 8 個方面提出安全要求。 2.1 賬號管理、認(rèn)證授權(quán)賬號管理、認(rèn)證授權(quán) 認(rèn)證功能認(rèn)證功能用于確認(rèn)登錄系統(tǒng)的用戶真實(shí)身份。認(rèn)證功能的具體實(shí)現(xiàn)方式包括靜態(tài) 口令、動態(tài)口令、指紋等生物鑒別技術(shù)等。授權(quán)功能授權(quán)功能賦予系統(tǒng)賬號的操作權(quán)限，并限 制用戶進(jìn)行超越其賬號權(quán)限的操作。賬號口令管理功能是實(shí)現(xiàn)正確認(rèn)證和授權(quán)的基礎(chǔ)。 對于存在字符或圖形界面（WEB 界面）的人機(jī)交互的設(shè)備，應(yīng)提供賬號管理及認(rèn) 證授權(quán)功能，并應(yīng)滿足以下各項(xiàng)要求。 2.1.1 賬號賬號 編號編號：安全要求安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-1 要求內(nèi)容要求內(nèi)容應(yīng)按照不同的用戶分

12、配不同的賬號，避免不同用戶間共享賬號， 避免用戶賬號和設(shè)備間通信使用的賬號共享。 操作指南操作指南1、參考配置操作、參考配置操作 set system login user abc1 set system login user abc2 2、補(bǔ)充操作說明、補(bǔ)充操作說明 1、abc1 和 abc2 是兩個不同的賬號名稱，可根據(jù)不同用戶，取不 同的名稱； 2、賬號取名，建議使用：姓名的簡寫手機(jī)號碼。 檢測方法檢測方法3、判定條件判定條件 各賬號都可以登錄路由器為正常 4、檢測操作檢測操作 （1） 、用 show configuration system login 命令查看配置是否正 確 （2）

13、、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc1 和密 碼 （3） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc2 和密 碼） 5、補(bǔ)充說明補(bǔ)充說明 編號：安全要求編號：安全要求-設(shè)備設(shè)備-通用通用-JUNIPER-配置配置-2 要求內(nèi)容要求內(nèi)容應(yīng)刪除與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號。 操作指南操作指南1、參考配置操作、參考配置操作 delete system login user abc3 2、補(bǔ)充操作說明、補(bǔ)充操作說明 abc3 是與工作無關(guān)的賬號。 檢測方法檢測方法3、判定條件判定條件 被刪除的與工作無關(guān)的賬號 abc3 不能登錄為正常。 4、檢測操作檢

14、測操作 （1） 、用 show configuration system login 命令查看配置是否正 確。 （2） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc3 和 密碼。 5、補(bǔ)充說明補(bǔ)充說明 編號：編號：安全要求-設(shè)備-通用-JUNIPER-配置-3 要求內(nèi)容要求內(nèi)容為了控制不同用戶的訪問級別，建立多用戶級別，根據(jù)用戶的業(yè) 務(wù)需求，將用戶賬號分配到相應(yīng)的用戶級別。 操作指南操作指南1、參考配置操作、參考配置操作 創(chuàng)建用戶級別： set system login class ABC1 permissions view view-configuration 將用戶賬號分

15、配到相應(yīng)的用戶級別： set system login user abc1 class read-only set system login user abc2 class ABC1 set system login user abc3 class super-user 2、補(bǔ)充操作說明、補(bǔ)充操作說明 （1） 、ABC1 是手工創(chuàng)建的組，該組具有的權(quán)限：查看設(shè)備運(yùn) 行狀態(tài)（如接口狀態(tài)、設(shè)備硬件狀態(tài)、路由狀態(tài)等） ，并且可以查 看設(shè)備的配置； （2） 、read-only 組具有的權(quán)限：查看設(shè)備運(yùn)行狀態(tài)，但不能查 看設(shè)備的配置； （3） 、super-user 是超級用戶組，具有的權(quán)限：所有權(quán)限

16、； （4） 、read-only 和 super-user 是路由器已經(jīng)創(chuàng)建的組，不需要 手工創(chuàng)建； （5） 、abc1、abc2、abc3 是不同的用戶，它們分別分配到相應(yīng) 的用戶級別。 檢測方法檢測方法3、判定條件、判定條件 （1） 、用戶 abc1 屬于組 read-only，這個組只設(shè)置了查看設(shè)備 運(yùn)行狀態(tài)權(quán)限,因而可使用 show interfaces ters 及其它查看路由器狀 態(tài)的命令，而不能使用 show configuration 和 configure 命令 （2） 、用戶 abc2 屬于組 ABC1，這個組設(shè)置了查看設(shè)備運(yùn)狀態(tài) 和查看路由器配置權(quán)限，因而可使用 show

17、 interfaces ters 和其它查 看路由器狀態(tài)命令及 show configuration 命令，不能使用 configure 命令 （3） 、用戶 abc3 屬于組 super-user,這是超級用戶組，具有所有 權(quán)限，因而可使用全部命令。 6、檢測操作檢測操作 （1） 、用 show configuration system login class ABC1 命令查看 配置 （2） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc1 和 密碼成功登錄路由器后, 用 show interfaces terse 命令查看端口狀態(tài)； 用 show configuratio

18、n 命令查看路由器配置； 用 configure 命令進(jìn)入路由器的配置模式。 （3） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc2 和 密碼成功登錄路由器后， 用 show interfaces terse 命令查看端口狀態(tài)； 用 show configuration 命令查看路由器配置； 用 configure 命令進(jìn)入路由器的配置模式。 （4） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc3 和 密碼成功登錄路由器后， 用 show interfaces terse 命令查看端口狀態(tài)； 用 show configuration 命令查看路由器配置； 用

19、 configure 命令進(jìn)入路由器的配置模式。 7、補(bǔ)充說明補(bǔ)充說明 2.1.2 口令口令 編號：編號：安全要求-設(shè)備-通用-配置-4 要求內(nèi)容要求內(nèi)容對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少 6 位，并包括 數(shù)字、小寫字母、大寫字母和特殊符號 4 類中至少 2 類。 操作指南操作指南1、參考配置操作、參考配置操作 set system login user abc1 authentication plain-text-password 2、補(bǔ)充操作說明、補(bǔ)充操作說明 （1） 、輸入指令回車后，將兩次提示輸入新口令（New password: 和 Retype new password:

20、） 。 （2） 、口令要求：長度至少 6 位，并包括數(shù)字、小寫字母、大寫 字母和特殊符號 4 類中至少 2 類。 檢測方法檢測方法3、判定條件判定條件 可以登錄路由器為正常。 4、檢測操作檢測操作 （1） 、用 show configuration system login 命令查看配置是否正確 （2） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc1 和密 碼。 5、補(bǔ)充說明補(bǔ)充說明 編號：編號：安全要求-設(shè)備-通用-配置-5 要求內(nèi)容要求內(nèi)容對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長于 90 天。 操作指南操作指南1、參考配置操作、參考配置操作 無。 2、補(bǔ)充操作

21、說明、補(bǔ)充操作說明 Juniper 設(shè)備不能設(shè)置賬戶口令的生存期限，賬戶口令的生存期限 可通過定期手工更改口令的方式實(shí)現(xiàn)。 檢測方法檢測方法3、判定條件判定條件 無。 4、檢測操作檢測操作 每隔 90 天修改一次路由器的賬號密碼以提高安全性。 5、補(bǔ)充說明補(bǔ)充說明 編號：編號：安全要求-設(shè)備-通用-JUNIPER-配置-6 要求內(nèi)容要求內(nèi)容修改 root 密碼。root 的默認(rèn)密碼是空，修改 root 密碼，避免非管 理員使用 root 賬號登錄。 操作指南操作指南1、參考配置操作、參考配置操作 set system root-authentication plain-text-passwor

22、d 2、補(bǔ)充操作說明、補(bǔ)充操作說明 （1） 、輸入指令回車后，將兩次提示輸入新口令（New password:和 Retype new password:） ； （2） 、口令要求：長度至少 6 位，并包括數(shù)字、小寫字母、大 寫字母和特殊符號 4 類中至少 2 類；。 檢測方法檢測方法3、判定條件判定條件 （1） 、輸入 root 用戶和正確密碼可以正常登錄路由器； （2） 、輸入 root 用戶和空密碼無法登錄路由器。 4、檢測操作檢測操作 （1） 、用 show configuration system login 命令查看配置是否正確； （2） 、通過 console 口方式登錄路由器,

23、輸入 root 用戶名和密碼； （3） 、通過 console 口方式登錄路由器，輸入 root 用戶和空密碼。 5、補(bǔ)充說明補(bǔ)充說明 2.1.2 授權(quán)授權(quán) 編號：編號：安全要求-設(shè)備-通用-配置-9 要求內(nèi)容要求內(nèi)容在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最 小權(quán)限。 操作指南操作指南1、參考配置操作、參考配置操作 創(chuàng)建用戶級別，即創(chuàng)建用戶的配置權(quán)限： set system login class ABC1 permissions configure set system login class ABC1 allow-configuration routing-可選 ions

24、static|interfaces|chassis fpc set system login class ABC2 permissions configure routing-control 將用戶賬號分配到相應(yīng)的用戶級別： set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super-user 2、補(bǔ)充操作說明、補(bǔ)充操作說明 （1） 、ABC1 組具有的權(quán)限：可配置 interfaces，可配置 routing-可 選 ion

25、s 中的 static，可配置 chassis 中的 fpc； （2） 、ABC2 組具有的權(quán)限：可配置有關(guān)于路由的所有配置，包括 routing-可選 ions、protocols、policy-可選 ions、routing- instances 等； （3） 、allow-configuration 參數(shù)是以等級來限制，可以限制各個等 級的配置，可以細(xì)化到各個小等級； （4） 、permissions 參數(shù)是以功能來限制，限制的范圍較大； （5） 、allow-commands 參數(shù)是以具體的指令來限制，allow- comands 參數(shù)需要設(shè)定具體指令,不建議使用。 檢測方法檢測方法3

26、、判定條件判定條件 （1） 、賬號 abc1 屬于組 ABC1，該組只能配置 routing-可選 ions static、interfaces、 Chassis fpc 項(xiàng)里的內(nèi)容。不能做其它未授權(quán) 的配置； （2） 、賬號 abc2 屬于組 ABC2，該組只能配置關(guān)于路由的所有配 置，包括 routing-可選 ions、protocols、policy-可選 ions、routing- instances 等，不能做其它未授權(quán)的配置； （3） 、賬號 abc3 屬于組 super-user，擁有全部配置權(quán)限。 4、檢測操作、檢測操作 （1） 、用 show configuration s

27、ystem login class ABC1 命令查看配置 （2） 、用 show configuration system login class ABC2 命令查看配置 （3） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc1 和密碼 成功登錄路由器后，用 configure 命令進(jìn)入配置模式。 使用以下命令檢測： set routing-可選 ions static set interfaces set chassis fpc 使用其它 set 命令 （4） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc2 和密碼 成功登錄路由器后，用 configure

28、 命令進(jìn)入配置模式。 使用以下命令檢測： set policy-可選 ions set protocols set routing-instances set routing-可選 ions 使用其它 set 命令 （5） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc3 和密碼 成功登錄路由器后，用 configure 命令進(jìn)入配置模式。 使用 set 命令以及其它命令檢測。 5、補(bǔ)充說明、補(bǔ)充說明 2.1.3 認(rèn)證認(rèn)證 編號：編號：安全要求-設(shè)備-通用-JUNIPER-配置-8-可選 要求內(nèi)容要求內(nèi)容設(shè)備通過相關(guān)參數(shù)配置，與認(rèn)證系統(tǒng)聯(lián)動，滿足帳號、口令和授 權(quán)的強(qiáng)制要求。

29、操作指南操作指南1、參考配置操作、參考配置操作 set system authentication-order radius set system authentication-order password set system radius-server set system radius-server set system radius-server port 1645 set system radius-server port 1645 set system radius-server secret

30、 abc123 set system radius-server secret abc123 2、補(bǔ)充操作說明、補(bǔ)充操作說明 （1） 、配置認(rèn)證方式，可通過 radius 和本地認(rèn)證； （2） 、 和 是 radius 認(rèn)證服務(wù)器的 IP 地址，建議建 立兩個 radius 認(rèn)證服務(wù)器作為互備； （3） 、port 1645 是 radius 認(rèn)證開啟的端口號，可根據(jù)本地 radius 認(rèn)證服務(wù)器開啟的端口號進(jìn)行配置； （4） 、abc123 是與 radius 認(rèn)證系統(tǒng)建立連接所設(shè)定的密碼，建議： 與 radius 認(rèn)證服務(wù)器建立連接時，使

31、用密碼認(rèn)證建立連接。 檢測方法檢測方法3、判定條件判定條件 （1） 、可以正常 ping 通 Radius 服務(wù)器的 IP 地址； （2） 、用戶可以登錄路由器為正常； （3） 、用戶只能使用授權(quán)內(nèi)的命令。 4、檢測操作檢測操作 （1） 、使用 show configuration system 查看配置； （2） 、查看 Radius 服務(wù)器配置； （3） 、用本地賬號登錄到路由器 ping Radius 服務(wù)器地址 和 ； （4） 、使用 Raidus 服務(wù)器建立的賬號通過 telnet 方式登錄路由器； （5） 、檢查授權(quán)內(nèi)的命令是否可用及其它未授權(quán)命令

32、。 5、補(bǔ)充說明、補(bǔ)充說明 2.2 日志要求日志要求 本部分對 JUNIPER 路由器設(shè)備的日志功能提出要求，主要考察設(shè)備所具備的日 志功能，確保發(fā)生安全事件后，設(shè)備日志能提供充足的信息進(jìn)行安全事件定位。根據(jù) 這些要求，設(shè)備日志應(yīng)能支持記錄與設(shè)備相關(guān)的重要事件，包括違反安全策略的事件、 設(shè)備部件發(fā)生故障或其存在環(huán)境異常等，以便通過審計(jì)分析工具，發(fā)現(xiàn)安全隱患。如 出現(xiàn)大量違反 ACL 規(guī)則的事件時，通過對日志的審計(jì)分析，能發(fā)現(xiàn)隱患，提高設(shè)備維 護(hù)人員的警惕性，防止惡化。 編號：編號：安全要求-設(shè)備-通用-配置-12 要求內(nèi)容要求內(nèi)容設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶 登錄使

33、用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時， 用戶使用的 IP 地址。 操作指南操作指南1、參考配置操作、參考配置操作 set system syslog file author.log authorization info 2、補(bǔ)充操作說明、補(bǔ)充操作說明 （1） 、author.log 是記錄登錄信息的 log 文件，該文件名稱可手工 定義； （2） 、author.log 文件保存在 juniper 路由器的存儲上。 檢測方法檢測方法3、判定條件判定條件 可以在 author.log 中查看到用戶名、登錄時間和源 IP 等內(nèi)容。 4、檢測操作檢測操作 （1） 、使用 show con

34、figuration system syslog 命令查看配置； （2） 、在終端上使用 tetlnet 方式登錄路由器,輸入用戶名密碼； （3） 、使用 show log author.log 命令查看日志。 5、補(bǔ)充說明補(bǔ)充說明 編號：編號：安全要求-設(shè)備-通用-JUNIPER-配置-10 要求內(nèi)容要求內(nèi)容設(shè)備應(yīng)配置日志功能，記錄用戶對設(shè)備的操作，比如以下內(nèi)容： 賬號創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置， 涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號，操作時間，操作內(nèi) 容以及操作結(jié)果。 操作指南操作指南1、參考配置操作、參考配置操作 set system syslog file m

35、essages any any 2、補(bǔ)充操作說明、補(bǔ)充操作說明 （1） 、messages 是記錄所有 log 信息的文件，該文件名稱可手工 定義； （2） 、messages 文件保存在 juniper 路由器的存儲器上。 檢測方法檢測方法3、判定條件判定條件 可以在 message.log 中查看到用戶的操作內(nèi)容、操作時間、操作結(jié) 果等所有路由器的 log 信息。 4、檢測操作檢測操作 （1） 、使用 show configuration system syslog 命令查看配置； （2） 、在終端上以 telnet 方式登錄路由器,輸入用戶名密碼； （3） 、進(jìn)行創(chuàng)建、刪除帳號和修改用戶

36、密碼等修改設(shè)備配置操作； （4） 、用 show log message.log 查看日志。 5、補(bǔ)充說明補(bǔ)充說明 編號：編號：安全要求-設(shè)備-通用-JUNIPER-配置-11 要求內(nèi)容要求內(nèi)容 設(shè)備應(yīng)配置日志功能，記錄對與設(shè)備相關(guān)的安全事件，比如：記 錄路由協(xié)議事件和錯誤。 操作指南操作指南1、參考配置操作、參考配置操作 set system syslog file daemon.log daemon warning set system syslog file firewall.log firewall warning 2、補(bǔ)充操作說明、補(bǔ)充操作說明 （1） 、daemon.log 是記錄

37、路由協(xié)議事件的文件，該文件名稱可手 工定義； （2） 、firewall.log 是記錄安全事件的文件，該文件名稱可手工定 義； （3） 、daemon 和 firewall 可定義有九個等級，建議將其設(shè)定為 warning 等級，即僅記錄 warning 等級以上的安全事件。 檢測方法檢測方法3、判定條件判定條件 在 daemon.log 可查看到路由事件及相關(guān)路由信息。 4、檢測操作檢測操作 （1） 、使用 show configuration 命令查看配置； （2） 、重啟路由進(jìn)程，如 bgp，ospf (該操作可能會影響業(yè)務(wù)、不 建議現(xiàn)網(wǎng)操作； （3） 、使用 show log dae

38、mon.log 和 show log firewall.log 查看日志。 5、補(bǔ)充說明補(bǔ)充說明 編號：編號：安全要求-設(shè)備-通用-配置-14-可選 要求內(nèi)容要求內(nèi)容設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩?服務(wù)器。 操作指南操作指南1、參考配置操作、參考配置操作 set system syslog host any notice set system syslog host log-prefix Router1 set system syslog host any notice set system syslog host

39、 log-prefix Router2 2、補(bǔ)充操作說明、補(bǔ)充操作說明 （1） 、 和 是遠(yuǎn)程日志服務(wù)器的 IP 地址，建議建設(shè) 兩個遠(yuǎn)程日志服務(wù)器作為互備； （2） 、syslog 有九個等級的記錄信息，建議將 notice 等級以上的信 息傳送到遠(yuǎn)程日志服務(wù)器； （3） 、Router1 為路由器的主機(jī)名稱。 檢測方法檢測方法3、判定條件判定條件 日志服務(wù)器可以記錄相關(guān)路由器的 notice 等級以上的信息為正常。 4、檢測操作檢測操作 （1） 、使用 show configuration system syslog 命令查看配置； （2

40、） 、登錄遠(yuǎn)程日志服務(wù)器查看日志。 5、補(bǔ)充說明補(bǔ)充說明 編號：編號：安全要求-設(shè)備-通用-JUNIPER-配置-13 要求內(nèi)容要求內(nèi)容設(shè)置系統(tǒng)的配置更改信息保存到單獨(dú)的 change.log 文件內(nèi)。 操作指南操作指南1、參考配置操作、參考配置操作 set system syslog file change.log change-log info 2、補(bǔ)充操作說明、補(bǔ)充操作說明 （1） 、change.log 是記錄配置更改的文件，該文件名稱可手工定義； （2） 、change.log 文件保存在 juniper 路由器的存儲上。 檢測方法檢測方法3、判定條件判定條件 可以在 change.

41、log 中查看到用戶的操作內(nèi)容、操作時間。 4、檢測操作檢測操作 （1） 、使用 show configuration system syslog 命令查看配置； （2） 、在終端上以 telnet 方式登錄路由器,輸入用戶名密碼； （3） 、進(jìn)行創(chuàng)建、刪除帳號和修改用戶密碼等修改設(shè)備配置操作； （4） 、用 show log change.log 命令查看日志。 5、補(bǔ)充說明補(bǔ)充說明 編號：編號：安全要求-設(shè)備-通用-JUNIPER-配置-14-可選 要求內(nèi)容要求內(nèi)容開啟 NTP 服務(wù)，保證日志功能記錄的時間的準(zhǔn)確性。路由器與 NTP SERVER 之間開啟認(rèn)證功能。 操作指南操作指南1、參

42、考配置操作、參考配置操作 set system ntp authentication-key 1 type md5 value abc123 set system ntp server set system ntp server 2、補(bǔ)充操作說明、補(bǔ)充操作說明 （1） 、abc123 是路由器與 NTP SERVER 之間 md5 認(rèn)證密碼； （2） 、 和 是 NTP SETVER 的 IP 地址，建議建設(shè) 兩個 NTP 服務(wù)器作為互備。 檢測方法檢測方法3、判定條件判定條件 （1） 、用 show ntp associa

43、tions 命令查看，信息如下面所示: remote refid st t when poll = * ROUTER1 2 u 641 1024 + ROUTER2 2 u 713 1024 reach delay offset jitter = 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1 前面的(*)號表示 ROUTER1 是已和路由器時間同步 的 NTP 服務(wù)器,(+)號為備用的 NTP 服務(wù)器. （2） 、有 show ntp status 命令查看，信息如下: status=0644

44、 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version=ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1), processor=i386, system=JUNOS7.3R2.7, leap=00, stratum=3, precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484, refid=ROUTER, reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.29

45、3, poll=10, clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4, offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 如上面信息的第一句第二部分顯示”sync_ntp”表示路由器時間已 和 NTP 服務(wù)器同步,如果顯示”sync_unspec”即未同步.。 4、檢測操作檢測操作 （1） 、使用 show configuration system ntp 命令查看配置； （2） 、使用 show system uptime 命令查看路由

46、器時間與并與北京時 間對比； （3） 、使用 show ntp associations 查看路由器是否與 NTP 服務(wù)器同 步； （4） 、使用 show ntp status 查看路由器時間同步狀態(tài)。 5、補(bǔ)充說明補(bǔ)充說明 2.3 IP 協(xié)議安全要求協(xié)議安全要求 IP 協(xié)議安全分為基本協(xié)議安全、路由協(xié)議安全、snmp 協(xié)議安全?；緟f(xié)議安全 配置可防止非法訪問，過濾不必要的數(shù)據(jù)流量。路由協(xié)議安全配置主要針對各類動態(tài) 路由協(xié)議，防止未認(rèn)證設(shè)備將外來路由引入本地。SNMP 是目前路由器廣泛應(yīng)用的管 理協(xié)議，SNMP 安全配置可防止未許可的 SNMP 訪問，避免設(shè)備信息的外泄。

47、.1 基本協(xié)議安全基本協(xié)議安全 編號：編號：安全要求-設(shè)備-通用-配置-16-可選 要求內(nèi)容要求內(nèi)容對于具備 TCP/UDP 協(xié)議功能的設(shè)備，設(shè)備應(yīng)根據(jù)業(yè)務(wù)需要，配置 基于源 IP 地址、通信協(xié)議 TCP 或 UDP、目的 IP 地址、源端口、 目的端口的流量過濾，過濾所有和業(yè)務(wù)不相關(guān)的流量。 操作指南操作指南1、參考配置操作、參考配置操作 set firewall filter abc term a from source-address /32 set firewall filter abc term a from destination-address /

48、32 set firewall filter abc term a from protocol tcp set firewall filter abc term a from protocol udp set firewall filter abc term a from source-port 445 set firewall filter abc term a from destination-port 145 set firewall filter abc term a then accept set firewall filter abc term b then reject 2、補(bǔ)充

49、操作說明、補(bǔ)充操作說明 （1） 、abc 為 filter 的名稱，可手工定義； （2） 、a 和 b 為 term 的名稱，可手工定義，一個 filter 可設(shè)定多個 term； （3） 、第一條指令為配置基于源 IP 地址的過濾，/32 為源 IP 地址，源地址可以是主機(jī) IP，也可以是網(wǎng)段； （4） 、第二條指令為配置基于目的 IP 地址的過濾，/32 為 目的 IP 地址，目的 IP 地址可以是主機(jī) IP，也可以是網(wǎng)段； （5） 、第三條指令為配置協(xié)議 TCP； （6） 、第四條指令為配置協(xié)議 UDP； （7） 、第五條指令為配置基于源端口，445 是端

50、口號，端口號可根 據(jù)需求設(shè)置； （8） 、第五條指令為配置基于目的端口，145 是端口號，端口號可 根據(jù)需求設(shè)置； （9） 、第六條指令為允許，即符合 from 里的條件時，允許該數(shù)據(jù) 包通過；若設(shè)置為 reject，則符合 from 里的條件時，不允許數(shù) 據(jù)包通過； （10） 、 “set firewall filter abc term b then reject”指令拒絕所有不符 合 term a 條件的數(shù)據(jù)包通過（then 之后可根據(jù)需求設(shè)置為 reject 或者 accept） 。 （11） 、必須使用如下指令將 filter 綁定到指定接口該 filter 才能生 效： set i

51、nterfaces fe-0/0/0 unit 0 family inet filter input abc。 檢測方法檢測方法3、判定條件、判定條件 （1） 、用 nmap -sS -g 445 p 145 掃描端口時，出現(xiàn)結(jié)果如 下信息為正常： Interesting ports on : PORT STATE SERVICE 145/tcp open uaac （2） 、用 nmap sS p 80 訪問非業(yè)務(wù)端口時，出現(xiàn)如下結(jié) 果為正常： Interesting ports on : PORT STATE SERVICE 80/tcp closed http （3） 、真實(shí)業(yè)務(wù)流量正常通過，非業(yè)務(wù)流量禁止通過為正常。 4、檢