Juniper路由器安全配置基线
Juniper路由器安全配置基线
中国移动通信有限公司 管理信息系统部
2012年 04月
中国移动通信有限公司 第 1 页 共 42 页
Juniper路由器安全配置基线
版本 V1.0 V2.0 创建 更新 版本控制信息 更新日期 2009年1月 2012年4月 更新人 审批人 备注:
1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
中国移动通信有限公司 第 2 页 共 42 页
Juniper路由器安全配置基线
目 录
第1章 概述 ......................................................................................................................................... 1 1.1 1.2 1.3 1.4 1.5
目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1 实施 ......................................................................................................................................... 1 例外条款 ................................................................................................................................. 1
第2章 帐号管理、认证授权 ............................................................................................................. 2 2.1
帐号管理 ................................................................................................................................. 2
用户帐号分配* ............................................................................................................... 2
2.1.2 删除无关的帐号* ........................................................................................................... 3 2.1.3 根据用户的业务需求分配相应的用户级别 ................................................................. 3 2.2 口令 ......................................................................................................................................... 5 2.2.1 口令复杂度 ..................................................................................................................... 5 2.2.2 静态口生存期 ................................................................................................................. 5 2.2.3 root密码 .............................................................................................................................. 6 2.2.4 帐号、口令和授权的强制要求 ..................................................................................... 7
第3章 日志安全要求 ......................................................................................................................... 9 3.1
日志配置 ................................................................................................................................. 9
2.1.1
3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 第4章 4.1
记录用户登录 ................................................................................................................. 9
记录用户对设备的操作 ............................................................................................... 10 记录设备相关的安全事件 ........................................................................................... 10 设备配置远程日志功能* ............................................................................................. 11 设置系统的配置更改信息 ........................................................................................... 12 保证日志功能记录的时间的准确性 ........................................................................... 13
IP协议安全配置 .............................................................................................................. 16
IP协议 ................................................................................................................................... 16
4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.1.6 4.1.7 4.1.8 4.1.9 4.1.10 远程维护的设备配置加密协议 ................................................................................... 16
启用带加密方式的身份验证功能* ............................................................................. 16 MP-BGP路由协议* ......................................................................................................... 17 OSPF协议配置* .............................................................................................................. 18 制定路由策略 ............................................................................................................... 19 SNMP访问安全限制 ........................................................................................................ 20 关闭未使用的SNMP协议及未使用的RW权限 ....................................................... 21 SNMP访问安全限制 ........................................................................................................ 21 配置可接收SNMP消息的主机地址 ........................................................................... 22 RSVP标签分发协议* ................................................................................................... 23
第5章 其他安全要求 ....................................................................................................................... 24 5.1
其他配置 ............................................................................................................................... 24
中国移动通信有限公司 第 3 页 共 42 页
Juniper路由器安全配置基线
5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.1.7 5.1.8 5.1.9 5.1.10 定时账户自动登出 ....................................................................................................... 24 配置consol口密码保护功能 ....................................................................................... 25 定期备份配置文件 ....................................................................................................... 25 关闭不必要的服务* ..................................................................................................... 26 开启安全防护功能 ....................................................................................................... 27 配置SNMPV2或以上版本 .......................................................................................... 28 系统远程管理服务只允许特定地址访问 ................................................................... 29 远程维护方式连接最大数量限制 ............................................................................... 30 安全访问控制 ............................................................................................................... 31 端口与实际应用相符 ................................................................................................... 32
第6章 评审与修订 ........................................................................................................................... 33
中国移动通信有限公司 第 4 页 共 42 页
Juniper路由器安全配置基线
第1章 概述
1.1 目的
本文档规定了中国移动管理信息系统部所维护管理的Juniper路由器应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Juniper路由器的安全配置。
1.2 适用范围
本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的Juniper路由器。
1.3 适用版本
Juniper路由器。
1.4 实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5 例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
中国移动通信有限公司 第 1 页 共 42 页