Juniper路由器基本加固方案

技术文件技术文件名称：Juniper路由器基本加固方案技术文件编号：版本：V1.1.1文件质量等级：共12页(包括封面)拟制审核会签标准化批准中兴通讯股份有限公司内部公开▲本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传第2页，共12页修改记录文件编号版本号拟制人/修改人拟制/修改日期更改理由主要更改内容（写要点即可）1.0王华刚2009/05/31无无1.1王华刚2009/06/15配置编号配置加固项编号1.1.1王华刚2009/07/03更新编号更新加固项编号注1：每次更改归档文件（指归档到事业部或公司档案室的文件）时，需填写此表。注2：文件第一次归档时，“更改理由”、“主要更改内容”栏写“无”。内部公开▲本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传第3页，共12页Juniper路由器基本加固方案目录(包括封面)........................................................................................................................................1修改记录...........................................................................................................................................21概述...........................................................................................................................................4内部适用性说明.......................................................................................................................4外部引用说明...........................................................................................................................4术语和定义...............................................................................................................................4符号和缩略语...........................................................................................................................42Juniper路由器安全配置操作指导..........................................................................................52.1ZTE-JUNIPER-R-E01帐号安全加固操作.................................................................52.1.1ZTE-JUNIPER-R-EH01-01删除锁定无用帐号.............................................52.1.2ZTE-JUNIPER-R-EM01-02配置只读用户.....................................................52.1.3ZTE-JUNIPER-R-EH01-03配置强密码.........................................................52.1.4ZTE-JUNIPER-R-EL01-04配置radius认证（可选）..................................52.2ZTE-JUNIPER-R-E02网络服务/IP协议要求............................................................62.2.1ZTE-JUNIPER-R-EM02-01关闭FTP服务....................................................62.2.2ZTE-JUNIPER-R-EH02-02Telnet连接白名单配置.......................................62.2.3ZTE-JUNIPER-R-EM02-03Telnet连接数限制...............................................62.2.4ZTE-JUNIPER-R-EL02-04配置NTP服务器或客户端（可选）................62.2.5ZTE-JUNIPER-R-EM02-05在网络边界，设置安全访问控制.....................62.2.6ZTE-JUNIPER-RH-E02-06设置SNMP访问白名单.....................................82.2.7ZTE-JUNIPER-RH-E02-07系统应配置为SNMPV2或以上版本...............92.2.8ZTE-JUNIPER-R-EH02-08配置可接收SNMP消息的主机地址.................92.2.9ZTE-JUNIPER-R-EL02-09配置动态路由协议（BGP/MP-BGP/OSPF等）时启用带加密方式的身份验证（可选）.......................................................................92.2.10ZTE-JUNIPER-R-EL02-10配置MP-BGP路由协议，应配置MD5加密认证，通过MD5加密认证建立peer（可选）...............................................................102.2.11ZTE-JUNIPER-R-EL02-11对于非点到点的OSPF协议配置，应配置MD5加密认证，通过MD5加密认证建立neighbor（可选）...........................................102.2.12ZTE-JUNIPER-R-EL02-12禁止发布或接收不安全的路由信息（可选）102.2.13ZTE-JUNIPER-R-EL02-13启用RSVP标签分发协议时，打开RSVP协议认证功能（可选）.........................................................................................................102.3ZTE-JUNIPER-R-E03日志记录要求.......................................................................112.3.1ZTE-JUNIPER-R-EL03-01配置登录日志....................................................112.3.2ZTE-JUNIPER-R-EL03-02配置命令日志....................................................112.3.3ZTE-JUNIPER-R-EL03-03配置事件日志....................................................112.3.4ZTE-JUNIPER-R-EL03-04配置远程日志服务器（可选）........................112.3.5ZTE-JUNIPER-R-EL03-05设置系统的配置更改信息保存到change.log文件112.4ZTE-JUNIPER-R-E04杂项.......................................................................................112.4.1ZTE-JUNIPER-R-EL04-01配置定期备份配置文件功能（可选）............11内部公开▲本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传第4页，共12页Juniper路由器基本加固方案1概述内部适用性说明本方案是在《业务研究院网络安全规范》中各项要求的基础上，提出Juniper路由器基本加固方案。外部引用说明《中国移动设备通用安全功能和配置规范》《中国移动路由器设备安全功能规范》《中国移动JUNIPER路由器安全配置规范》术语和定义符号和缩略语缩写英文描述中文描述本文件中的字体标识如下：蓝色斜体在具体执行时需要替换的内容检查/加固项编码意义如下：公司名称-操作系统-条目性质风险级别数字编号-小项数字编号条目性质中：S意为检查；E意为加固风险级别中：H意为高风险；M意为中等风险；L意为低风险，风险级别仅存于具体条目中内部公开▲本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传第5页，共12页约定：系统配置命令需要先进入JUNOS编辑模式：root@xxxconfigureroot@#editsystem命令执行完毕后，需要运行commitroot#commit2Juniper路由器安全配置操作指导2.1ZTE-JUNIPER-R-E01帐号安全加固操作2.1.1ZTE-JUNIPER-R-EH01-01删除锁定无用帐号showconfigurationsystemlogin查看当前可用帐号，删除不必要的帐号root#deletesystemloginuserabc32.1.2ZTE-JUNIPER-R-EM01-02配置只读用户root#setsystemloginuserweihuroot#setsystemloginuserweihuclassread-only普通的状态查看操作必须使用weihu帐号进行2.1.3ZTE-JUNIPER-R-EH01-03配置强密码root#setsystemroot-authenticationplain-text-passwordpassword:newpassword重复输入新密码password:newpasswordroot#setsystemloginuserweihuauthenticationplain-text-password2.1.4ZTE-JUNIPER-R-EL01-04配置radius认证（可选）root#setsystemauthentication-orderradiusroot#setsystemauthentication-orderpasswordroot#setsystemradius-server10.1.1.1内部公开▲本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传第6页，共12页root#setsystemradius-server10.1.1.2root#setsystemradius-server10.1.1.1port1645root#setsystemradius-s