Juniper路由器安全配置基线
基线符合性判定依据 1、 判定条件 1)、确定配置已经启用加密的身份认证; 2)、BGP邻居处于establish状态为正常,能学到邻居的路由为正常; 3)、OSPF邻居处于full状态为正常,能学到邻居的路由为正常; 4)、路由能连通为正常。 2、 检测操作 (1)、使用show configuration protocol命令查看配置; (2)、使用show bgp neighbor命令查看BGP邻居状态; (3)、使用show route protocol bgp brief命令查看BGP路由表; (4)、使用show ospf neighbor命令查看OSPF邻居状态; (5)、使用show route protocol ospf brief命令查看OSPF路由表; (6)、使用ping命令检查路由连通性。 3、 补充说明 备注 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。 4.1.3 MP-BGP路由协议*
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 MP-BGP路由协议安全基线要求项 SBL-JuniperRouter-04-01-03 配置MP-BGP路由协议,应配置MD5加密认证,通过MD5加密认证建立peer 1、参考配置操作 set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 2、补充操作说明 1)、abc为group的名称,可自行设定; 2)、10.1.1.1为对端peer的IP地址,可根据需求设定; 3)、abc123为MD5加密认证的认证密码,该密码和对端peer的密码要一致。 基线符合性判定依据 1、判定条件 1)、确认已经启用加密的身份认证 中国移动通信有限公司
第 17 页 共 42 页
Juniper路由器安全配置基线
2)、BGP邻居处于establish状态为正常,能学到邻居的路由为正常 3)、路由能连通为正常 2、检测操作 1)、使用show configuration protocol bgp命令查看配置 2)、使用show bgp neighbor命令查看BGP邻居状态 3)、使用show route protocol bgp brief命令查看BGP路由表 4)、使用ping检查路由的连通性 3、补充说明 备注 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。 4.1.4 OSPF协议配置*
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 OSPF协议安全基线要求项 SBL-JuniperRouter-04-01-04 对于非点到点的OSPF协议配置,应配置MD5加密认证,通过MD5加密认证建立neighbor 1、参考配置操作 set protocols ospf area 0.0.0.0 authentication-type md5 set protocols ospf area 0.0.0.0 interface fe-0/0/0.0 authentication md5 1 key abc123 2、补充操作说明 1、fe-0/0/0为用于建立OSPF的端口,可根据需求设置; 2、abc123为MD5加密认证的认证密码,该密码和对端peer的密码要一致。 基线符合性判定依据 1、 判定条件 1)、OSPF邻居处于full状态为正常,能学到邻居的路由为正常 2)、路由能连通为正常 2、 检测操作 1)、使用show configuration命令查看配置 2)、使用show ospf neighbor命令查看OSPF邻居状态 3)、使用show route protocol ospf brief命令查看OSPF路由表 中国移动通信有限公司
第 18 页 共 42 页
Juniper路由器安全配置基线
4)、使用ping检查路由连通性 3、 补充说明 备注 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。 4.1.5 制定路由策略
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 路由策略安全基线要求项 SBL-JuniperRouter-04-01-05 制定路由策略,禁止发布或接收不安全的路由信息。 1、参考配置操作 制定发布的路由策略: set policy-可选ions policy-statement abc term a from route-filter 10.0.0.0/24 exact set policy-可选ions policy-statement abc term a then accept set policy-可选ions policy-statement abc term b then reject 2、补充操作说明 1)、abc是路由策略的名称,该名称可自行定义; 2)、10.0.0.0/24是将发布(或接收)或者禁止发布(或接收)路由,可根据具体需求设置; 3)、制定路由策略之后,必须将该策略应用于路由协议上才生效。 基线符合性判定依据 1、 判定条件 1)、邻居路由器只收到被允许发布的路由 2)、所发布的路由连通性正常 2、 检测操作 1)、使用show policy abc命令查看配置 2)、在邻居的路由器上使用show route查看路由表 3)、在邻居的路由器上用ping命令测试连通性 3、 补充说明 中国移动通信有限公司 第 19 页 共 42 页
Juniper路由器安全配置基线
备注 4.1.6 SNMP访问安全限制
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 SNMP访问安全限制安全基线要求项 SBL-JuniperRouter-04-01-06 设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备 1、参考配置操作 set snmp community abcd123 clients 10.1.1.1/32 set snmp community abcd123 clients 10.1.2.1/32 set snmp community abcd123 clients ready-only 2、补充操作说明 1)、abcd123是communtity字符串,可自行定义,但必须和client的主机一致; 2)、10.1.1.1和10.1.2.1是主机IP地址,即允许10.1.1.1.和10.1.2.1主机通过SNMP访问网络设备; 3)、未在client列表中的主机,不允许通过SNMP访问网络设备。 4)、设置主机访问网络设备具有读的权限,可根据需求设置为具有读写的权限(read-write)。 基线符合性判定依据 1、判定条件 1)、主机10.1.1.1.和10.1.2.1能收到网络设备的SNMP信息 2)、非允许的主机不能收到网络设备的SNMP信息 2、检测操作 1)、使用show configuration snmp命令查看配置 2)、使用show snmp statistics命令查看snmp统计信息 3)、用非允许的主机通过SNMP访问网络设备 4)、查看SNMP主机 3、补充说明 备注 中国移动通信有限公司 第 20 页 共 42 页
Juniper路由器安全配置基线
4.1.7 关闭未使用的SNMP协议及未使用的RW权限
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 关闭未使用的SNMP协议及未使用的RW权限安全基线要求项 SBL-JuniperRouter-04-01-07 系统应关闭未使用的SNMP协议及未使用的RW权限 1、参考配置操作 默认关闭所有SNMP功能的,按需求启动相应的功能即可。 2、补充操作说明 基线符合性判定依据 1、 判定条件 通过查看配置,权限设置符合需求即可 2、 检测操作 1)、使用show configuration snmp命令查看配置; 2)、使用show snmp statistics命令查看snmp统计信息。 3、 补充说明 备注 4.1.8 SNMP访问安全限制
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 SNMP访问安全限制安全基线要求项 SBL-JuniperRouter-04-01-09 系统应配置为SNMP V2或以上版本 1、参考配置操作 set snmp trap-group abc123 version v2 2、补充操作说明 中国移动通信有限公司 第 21 页 共 42 页