Juniper路由器安全配置基线
delete system services ftp 2、补充操作说明 默认是关闭FTP服务 基线符合性判定依据 1、 判定条件 1)、通过查看路由器配置确认是否配置FTP服务 2)、通过ftp不能登录juniper设备 2、 检测操作 1)、使用show configuration system services查看配置 2)、通过ftp登录juniper设备,查看是否可以正常登录 3、 补充说明 备注 手工检查 5.1.5 开启安全防护功能
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 开启安全防护功能安全基线要求项 SBL-JuniperRouter-05-01-05 开启安全防护功能,如状态防火墙等(如果具备类似功能)。 1、参考配置操作 Juniper设备默认已开启安全防护功能。 2、补充操作说明 基线符合性判定依据 1、 判定条件 2、 检测操作 Juniper设备默认已开启安全防护功能。 中国移动通信有限公司 第 27 页 共 42 页
Juniper路由器安全配置基线
3、 补充说明 备注 5.1.6 配置SNMPV2或以上版本
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 配置SNMPV2或以上版本安全基线要求项 SBL-JuniperRouter-05-01-06 如接受统一网管系统管理,建议配置SNMP VERSION3协议 1、参考配置操作 set snmp v3 usm local-engine user abc1 authentication-md5 authentication-key set snmp v3 vacm access group CMNET default-context-prefix security-model usm security-level authentication read-view readonly set snmp v3 target-address ta1 address 10.1.1.1 set snmp v3 target-address ta1 target-parameters tp1 set snmp v3 target-parameters tp1 parameters message-processing-model v3 set snmp v3 target-parameters tp1 parameters security-model usm set snmp v3 target-parameters tp1 parameters security-level none set snmp v3 target-parameters tp1 parameters security-name abc set snmp v3 snmp-community index1 community-name ABC set snmp v3 snmp-community index1 security-name abc set snmp engine-id use-mac-address set snmp view readonly oid .1.3.6.1.2.1.2 include 2、补充操作说明 1)、第一条命令设定SNMP V3的用户abc1 采用MD5方式认证 2)、第二条命令设定SNMP 的访问控制模块(VACM)的参数,访问组为CMNET,安全模式采用基于用户的模式(USM),安全级别设为验证级别,设定视图为readonly 3)、第三条命令指定SNMP主机组ta1,这组包括的地址为211.139.136.100 4)、第四条命令设定主机组ta1的具体参数引用参数集tp1 5)、第五至八条命令设定参数集tp1的具体内容,信息处理采用SNMPv3模式、安全模式采用基于用户的模式(USM)、安全级别采用非验证、安全名字设定为abc 6)、第九、十条命令行设定SNMP团体号为ABC、安全名字为abc 7)、第十一条命令设定SNMP的引擎ID。 8)、第十二条命令设定视图readonly的管理对像标识。 中国移动通信有限公司
第 28 页 共 42 页
Juniper路由器安全配置基线
基线符合性判定依据 1、 判定条件 1)、用show snmp v3查看时,各项配置状态为active; 2)、用show snmp statistics命令查看时,input和output都有流量;Get requests和Get response都应有相应的统计数值; 3)、SNMP主机能正常收到路由器的SNMP信息。 2、 检测操作 1)、使用show configuration snmp命令查看配置 2)、使用show snmp v3命令查看各项状态 3)、使用show snmp statistics命令查看SNMP数据包统计 4)、查看SNMP主机10.1.1.1 3、 补充说明 备注 5.1.7 系统远程管理服务只允许特定地址访问
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 系统远程管理服务只允许特定地址访问安全基线要求项 SBL-JuniperRouter-05-01-07 系统远程管理服务TELNET、SSH默认可以接受任何地址的连接,出于安全考虑,应该只允许特定地址访问 1、参考配置操作 set firewall filter abc term a from source-address 10.1.1.1/32 set firewall filter abc term a from source-address 10.1.1.2/32 set firewall filter abc term a then accept set firewall filter abc term b from protocol tcp port telnet set firewall filter abc term b then reject set firewall filter abc term c then accept 2、补充操作说明 1)、abc为filter名称,可自定义; 2)、10.1.1.1/32和10.1.1.2/32上允许telnet的主机IP地址; 中国移动通信有限公司
第 29 页 共 42 页
Juniper路由器安全配置基线
3)、term a实现的功能为:允许特定地址访问; 4)、term b实现的功能为:除了允许特定地址访问之外,不允许其它地址访问telnet端口。 基线符合性判定依据 1、 判定条件 1)、以源地址为10.1.1.1或10.1.1.2能正常通过telnet方式登录路由器 2)、以非允许的IP为源地址将无法通过telnet方式访问路由器 2、 检测操作 1)、使用show configuration firewall filter abc查看配置 2)、在终端上以源地址10.1.1.1或10.1.1.2 通过telnet方式登录路由器 3)、在终端上以非允许的IP地址为源地址使用telnet连接到路由器 3、 补充说明 备注 5.1.8 远程维护方式连接最大数量限制
安全基线项目名称 安全基线编号 安全基线项说明 远程维护方式连接最大数量限制安全基线要求项 SBL-JuniperRouter-05-01-08 TELNET默认可以接受250个同时连接。配置TELNET等远程维护方式时,应配置连接最大数量限制为10个,并且每分钟最多有5个可以连接,可以防止在TELNET端口上的SYN flood DoS 攻击。 检测操作步骤 1、参考配置操作 set system services telnet connection-limit 10 set system services telnet rate-limit 5 2、补充操作说明 基线符合性判定依据 1、 判定条件 中国移动通信有限公司
第 30 页 共 42 页
Juniper路由器安全配置基线
1)、路由器的telnet连接同时不超过10个为正常 2)、每分钟不超过5个telnet连接为正常 2、 检测操作 1)、使用show configuration system services telnet命令查看配置 2)、从终端向路由器发起超过10个telnet进程 3、 补充说明 备注 5.1.9 安全访问控制
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 安全访问控制安全基线要求项 SBL-JuniperRouter-05-01-09 在网络边界,设置安全访问控制,过滤掉安全攻击数据包,例如udp 1434端口(防止SQL slammer蠕虫)、tcp445,5800,5900(防止Della蠕虫)。 1、参考配置操作 屏蔽常见的漏洞端口1433、 4444,tftp UDP69, 135, 137, 138, 139, 445, 593, 1434, 5000,5554 ,5800, 5900, 6667, 9996等: set firewall filter abc term a from protocol udp destination-port 1434 set firewall filter abc term a then discard set firewall filter abc term b from protocol tcp port 445 set firewall filter abc term b then discard set firewall filter abc term c from port [5800 5900] set firewall filter abc term c then discard set firewall filter abc term d then accept 2、补充操作说明 1)、term a 过滤udp 1434端口; 2)、term b 过滤tcp 445端口; 3)、term c 过滤5800和5900端口; 4)、务必注意在最后的term放通所有业务; 5)、将该filter应用于网络边界端口,使用如下命令: set interfaces fe-0/0/0 unit 0 family inet filter input abc 中国移动通信有限公司 第 31 页 共 42 页