瞻博 Juniper 网络设备基线安全加固操作
目录
账号管理、认证授权账号 ELK-Juniper-01-01-01
口令 ELK-Juniper-01-02-01
认证 ELK-Juniper-01-03-01
日志配置
通信协议 ELK-Juniper-03-01-01
设备其他安全要求 ELK-Juniper-04-01-01
账号管理、认证授权账号 ELK-Juniper-01-01-01
| 编号: |
ELK-Juniper-01-01-01 |
| 名称: |
按照用户类型分配账号 |
| 实施目的: |
按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。 |
| 问题影响: |
权限不明确,存在用户越权使用的可能。 |
| 系统当前状态: |
使用show configuration system login 查看当前配置 |
| 实施方案: |
1、参考配置操作 set system login user abc1 set system login user abc2 2、补充操作说明 1、abc1和abc2是两个不同的账号名称,可根据不同用户,取不同的名称; 2、账号取名,建议使用:姓名的简写+手机号码。 |
| 回退方案: |
删除新增加用户 |
| 判断依据: |
标记用户用途,定期建立用户列表,比较是否有非法用户 |
| 实施风险: |
低 |
| 重要等级: |
★★★ |
ELK-Juniper-01-01-02
| 编号: |
ELK-Juniper-01-01-02 |
| 名称: |
删除无效账号 |
| 实施目的: |
按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。 |
| 问题影响: |
非法利用系统默认账号 |
| 系统当前状态: |
使用show configuration system login 查看当前配置 |
| 实施方案: |
1、参考配置操作 delete system login user abc3 2、补充操作说明 abc3是与工作无关的账号。 |
| 回退方案: |
增加被删除的用户 |
| 判断依据: |
查看配置文件,核对用户列表。 |
| 实施风险: |
低 |
| 重要等级: |
★★★ |
ELK-Juniper-01-01-03
| 编号: |
ELK-Juniper-01-01-03 |
| 名称: |
建立分配系统用户组 |
| 实施目的: |
为了控制不同用户的访问级别,建立多用户级别,根据用户的业务需求,将用户账号分配到相应的用户级别。 |
| 问题影响: |
账号越权使用 |
| 系统当前状态: |
使用show configuration system login 查看当前配置 |
| 实施方案: |
1、参考配置操作 创建用户级别: set system login class ABC1 permissions [ view view-configuration ] 将用户账号分配到相应的用户级别: set system login user abc1 class read-only set system login user abc2 class ABC1 set system login user abc3 class super-user 2、补充操作说明 (1)、ABC1是手工创建的组,该组具有的权限:查看设备运行状态(如接口状态、设备硬件状态、路由状态等),并且可以查看设备的配置; (2)、read-only组具有的权限:查看设备运行状态,但不能查看设备的配置; (3)、super-user是超级用户组,具有的权限:所有权限; (4)、read-only和super-user是路由器已经创建的组,不需要手工创建; (5)、abc1、abc2、abc3是不同的用户,它们分别分配到相应的用户级别。 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
使用show configuration system login 查看当前配置 |
| 实施风险: |
高 |
| 重要等级: |
★★★ |
口令 ELK-Juniper-01-02-01
| 编号: |
ELK-Juniper-01-02-01 |
| 名称: |
提高口令强度 |
| 实施目的: |
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 |
| 问题影响: |
增加密码被暴力破解的成功率 |
| 系统当前状态: |
使用show configuration system login 查看当前配置 |
| 实施方案: |
1、参考配置操作 set system login user abc1 authentication plain-text-password 2、补充操作说明 (1)、输入指令回车后,将两次提示输入新口令(New password:和Retype new password:)。 (2)、口令要求:长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
使用show configuration system login 查看当前配置 |
| 实施风险: |
低 |
| 重要等级: |
★★★ |
ELK-Juniper-01-02-02
| 编号: |
ELK-Juniper-01-02-02 |
| 名称: |
根据用户的业务需要配置其所需的最小权限 |
| 实施目的: |
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 |
| 问题影响: |
越权使用,非法访问。 |
| 系统当前状态: |
使用show configuration system login 查看当前配置 |
| 实施方案: |
(1)、用show configuration system login class ABC1命令查看配置 (2)、用show configuration system login class ABC2命令查看配置 (3)、在终端上用telnet方式登录路由器,输入用户名abc1和密码 成功登录路由器后,用configure命令进入配置模式。 使用以下命令检测: set routing-可选ions static set interfaces set chassis fpc 使用其它set命令 (4)、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后,用configure命令进入配置模式。 使用以下命令检测: set policy-可选ions set protocols set routing-instances set routing-可选ions 使用其它set命令 (5)、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后,用configure命令进入配置模式。 使用set命令以及其它命令检测。 |
| 回退方案: |
使用show configuration system login 查看当前配置。还原系统配置文件。 |
| 判断依据: |
(1)、账号abc1属于组ABC1,该组只能配置routing-可选ions static、interfaces、 Chassis fpc项里的内容。不能做其它未授权的配置; (2)、账号abc2属于组ABC2,该组只能配置关于路由的所有配置,包括routing-可选ions、protocols、policy-可选ions、routing-instances等,不能做其它未授权的配置; (3)、账号abc3属于组super-user,拥有全部配置权限。 备注: 创建用户级别,即创建用户的配置权限: set system login class ABC1 permissions configure set system login class ABC1 allow-configuration "routing-可选ions static|interfaces|chassis fpc" set system login class ABC2 permissions [ configure routing-control ] 将用户账号分配到相应的用户级别: set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super-user 2、补充操作说明 (1)、ABC1组具有的权限:可配置interfaces,可配置routing-可选ions中的static,可配置chassis中的fpc; (2)、ABC2组具有的权限:可配置有关于路由的所有配置,包括routing-可选ions、protocols、policy-可选ions、routing-instances等; (3)、allow-configuration参数是以等级来限制,可以限制各个等级的配置,可以细化到各个小等级; (4)、permissions参数是以功能来限制,限制的范围较大; (5)、allow-commands参数是以具体的指令来限制,allow-comands参数需要设定具体指令,不建议使用。 |
| 实施风险: |
低 |
| 重要等级: |
★★★ |
ELK-Juniper-01-02-03
| 编号: |
ELK-Juniper-01-02-03 |
| 名称: |
提高ROOT用户口令强度 |
| 实施目的: |
修改root密码。root的默认密码是空,修改root密码,避免非管理员使用root账号登录。 |
| 问题影响: |
增加密码被暴力破解的成功率 |
| 系统当前状态: |
使用show configuration system login 查看当前配置 |
| 实施方案: |
1、参考配置操作 (1)、用show configuration system login命令查看配置是否正确; (2)、通过console口方式登录路由器,输入root用户名和密码; (3)、通过console口方式登录路由器,输入root用户和空密码。 2、补充操作说明 (1)、输入指令回车后,将两次提示输入新口令(New password:和Retype new password:)。 (2)、口令要求:长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
(1)、输入root用户和正确密码可以正常登录路由器; (2)、输入root用户和空密码无法登录路由器。 |
| 实施风险: |
低 |
| 重要等级: |
★★★ |
认证 ELK-Juniper-01-03-01
| 编号: |
ELK-Juniper-01-03-01 |
| 名称: |
设置认证系统联动 |
| 实施目的: |
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。 |
| 问题影响: |
密码泄露。 |
| 系统当前状态: |
使用show configuration system login查看当前配置 并查看Radius服务器配置 |
| 实施方案: |
1、参考配置操作 set system authentication-order radius set system authentication-order password set system radius-server 10.1.1.1 set system radius-server 10.1.1.2 set system radius-server 10.1.1.1 port 1645 set system radius-server 10.1.1.2 port 1645 set system radius-server 10.1.1.1 secret abc123 set system radius-server 10.1.1.2 secret abc123 2、补充操作说明 (1)、配置认证方式,可通过radius和本地认证; (2)、10.1.1.1和10.1.1.2是radius认证服务器的IP地址,建议建立两个radius认证服务器作为互备; (3)、port 1645是radius认证开启的端口号,可根据本地radius认证服务器开启的端口号进行配置; (4)、abc123是与radius认证系统建立连接所设定的密码,建议:与radius认证服务器建立连接时,使用密码认证建立连接。 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
使用show configuration system login查看当前配置 |
| 实施风险: |
低 |
| 重要等级: |
★ |
日志配置
本部分对JUNIPER设备的日志功能提出建议,主要加强设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反安全策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计分析工具,发现安全隐患。如出现大量违反ACL规则的事件时,通过对日志的审计分析,能发现隐患,提高设备维护人员的警惕性,防止恶化。
ELK-Juniper-02-01-01
| 编号: |
ELK-Juniper-02-01-01 |
| 名称: |
开启系统日志功能 |
| 实施目的: |
设备应配置日志功能,记录用户对设备的操作,比如:账号创建、删除和权限修改,口令修改,读取和修改设备配置,涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果。 |
| 问题影响: |
无法对用户的登陆进行日志记录。 |
| 系统当前状态: |
使用show configuration system syslog查看当前配置 |
| 实施方案: |
1、参考配置操作 set system syslog file author.log authorization info 2、补充操作说明 (1)、author.log是记录登录信息的log文件,该文件名称可手工定义; (2)、author.log文件保存在juniper路由器的存储上。 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
使用show configuration system syslog查看当前配置 |
| 实施风险: |
低 |
| 重要等级: |
★★★ |
ELK-Juniper-02-01-02
| 编号: |
ELK-Juniper-02-01-02 |
| 名称: |
开启系统安全日志功能 |
| 实施目的: |
设备应配置日志功能,记录对与设备相关的安全事件,比如:记录路由协议事件和错误。 |
| 问题影响: |
无法记录路由协议事件和错误。 |
| 系统当前状态: |
使用show configuration查看当前配置 |
| 实施方案: |
1、参考配置操作 set system syslog file daemon.log daemon warning set system syslog file firewall.log firewall warning 2、补充操作说明 (1)、daemon.log是记录路由协议事件的文件,该文件名称可手工定义; (2)、firewall.log是记录安全事件的文件,该文件名称可手工定义; (3)、daemon和firewall可定义有九个等级,建议将其设定为warning等级,即仅记录warning等级以上的安全事件。 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
使用show configuration查看当前配置 |
| 实施风险: |
中 |
| 重要等级: |
★★★ |
ELK-Juniper-02-01-03
| 编号: |
ELK-Juniper-02-01-03 |
| 名称: |
设置配置更改日志路径 |
| 实施目的: |
设置系统的配置更改信息保存到单独的change.log文件内。 |
| 问题影响: |
暴露系统日志。 |
| 系统当前状态: |
使用show configuration system syslog查看当前配置 |
| 实施方案: |
1、参考配置操作 set system syslog file change.log change-log info 2、补充操作说明 (1)、change.log是记录配置更改的文件,该文件名称可手工定义; (2)、change.log文件保存在juniper路由器的存储上。 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
使用show configuration system syslog查看当前配置 |
| 实施风险: |
中 |
| 重要等级: |
★★ |
ELK-Juniper-02-01-04
| 编号: |
ELK-Juniper-02-01-04 |
| 名称: |
设置配置远程日志功能 |
| 实施目的: |
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。 |
| 问题影响: |
丢失重要日志。 |
| 系统当前状态: |
使用show configuration system syslog命令查看配置 |
| 实施方案: |
set system syslog host 10.1.1.1 any notice set system syslog host 10.1.1.1 log-prefix Router1 set system syslog host 10.1.1.2 any notice set system syslog host 10.1.1.2 log-prefix Router2 补充操作说明 (1)、10.1.1.1和10.1.1.2是远程日志服务器的IP地址,建议建设两个远程日志服务器作为互备; (2)、syslog有九个等级的记录信息,建议将notice等级以上的信息传送到远程日志服务器; (3)、Router1为路由器的主机名称。 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
(1)、使用show configuration system syslog命令查看配置; (2)、登录远程日志服务器查看日志。 |
| 实施风险: |
中 |
| 重要等级: |
★★ |
ELK-Juniper-02-01-05
| 编号: |
ELK-Juniper-02-01-05 |
| 名称: |
设置系统的配置更改信息 |
| 实施目的: |
设置系统的配置更改信息保存到单独的change.log文件内 |
| 问题影响: |
丢失重要日志。 |
| 系统当前状态: |
使用show configuration system syslog命令查看配置 |
| 实施方案: |
(1)、使用show configuration system syslog命令查看配置; (2)、在终端上以telnet方式登录路由器,输入用户名密码; (3)、进行创建、删除帐号和修改用户密码等修改设备配置操作; (4)、用show log change.log命令查看日志。 |
| 回退方案: |
使用show configuration system syslog命令查看配置,恢复默认配置 |
| 判断依据: |
可以在change.log中查看到用户的操作内容、操作时间 |
| 实施风险: |
中 |
| 重要等级: |
★★ |
ELK-Juniper-02-01-06
| 编号: |
ELK-Juniper-02-01-06 |
| 名称: |
保证日志功能记录的时间的准确性。 |
| 实施目的: |
开启NTP服务,保证日志功能记录的时间的准确性。路由器与NTP SERVER之间开启认证功能。 |
| 问题影响: |
丢失重要日志。 |
| 系统当前状态: |
使用show configuration system syslog命令查看配置 |
| 实施方案: |
(1)、使用show configuration system ntp命令查看配置; (2)、使用show system uptime命令查看路由器时间与并与北京时间对比; (3)、使用show ntp associations查看路由器是否与NTP服务器同步; (4)、使用show ntp status查看路由器时间同步状态。 |
| 回退方案: |
使用show configuration system syslog命令查看配置,恢复默认配置 |
| 判断依据: |
(1)、用show ntp associations命令查看,信息如下面所示: remote refid st t when poll ============================== * ROUTER1 10.1.1.1 2 u 641 1024 + ROUTER2 10.1.1.2 2 u 713 1024 reach delay offset jitter ============================== 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1前面的(*)号表示ROUTER1是已和路由器时间同步的NTP服务器,(+)号为备用的NTP服务器. (2)、有show ntp status命令查看,信息如下: status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version="ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1)", processor="i386", system="JUNOS7.3R2.7", leap=00, stratum=3, precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484, refid=ROUTER1.gd.cnmobile.net, reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10, clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4, offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 如上面信息的第一句第二部分显示”sync_ntp”表示路由器时间已和NTP服务器同步,如果显示”sync_unspec”即未同步.。 |
| 实施风险: |
中 |
| 重要等级: |
★★ |
通信协议 ELK-Juniper-03-01-01
| 编号: |
ELK-Juniper-03-01-01 |
| 名称: |
OSPF协议安全 |
| 实施目的: |
对于非点到点的OSPF协议配置,应配置MD5加密认证,通过MD5加密认证建立neighbor |
| 问题影响: |
恶意攻击 |
| 系统当前状态: |
使用show configuration protocols rsvp查看当前配置 |
| 实施方案: |
1)、使用show configuration命令查看配置 2)、使用show ospf neighbor命令查看OSPF邻居状态 3)、使用show route protocol ospf brief命令查看OSPF路由表 4)、使用ping检查路由连通性 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
1)、OSPF邻居处于full状态为正常,能学到邻居的路由为正常 2)、路由能连通为正常 |
| 实施风险: |
低 |
| 重要等级: |
★ |
ELK-Juniper-03-01-02
| 编号: |
ELK-Juniper-03-01-02 |
| 名称: |
启用带加密方式的身份验证 |
| 实施目的: |
配置动态路由协议(BGP/ MP-BGP /OSPF等)时必须启用带加密方式的身份验证功能,相邻路由器只有在身份验证通过后,才能互相通告路由信息。 |
| 问题影响: |
非法访问, |
| 系统当前状态: |
使用show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor查看当前配置 |
| 实施方案: |
(1)、使用show configuration protocol命令查看配置; (2)、使用show bgp neighbor命令查看BGP邻居状态; (3)、使用show route protocol bgp brief命令查看BGP路由表; (4)、使用show ospf neighbor命令查看OSPF邻居状态; (5)、使用show route protocol ospf brief命令查看OSPF路由表; (6)、使用ping命令检查路由连通性。 |
| 回退方案: |
使用show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor查看当前配置,还原给原始状态。 |
| 判断依据: |
1)、确定配置已经启用加密的身份认证; 2)、BGP邻居处于establish状态为正常,能学到邻居的路由为正常; 3)、OSPF邻居处于full状态为正常,能学到邻居的路由为正常; 4)、路由能连通为正常。 |
| 实施风险: |
中 |
| 重要等级: |
★★ |
ELK-Juniper-03-01-03
| 编号: |
ELK-Juniper-03-01-03 |
| 名称: |
过滤所有和业务不相关的流量 |
| 实施目的: |
对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。 |
| 问题影响: |
恶意攻击。 |
| 系统当前状态: |
使用show configuration firewall filter abc查看配置 |
| 实施方案: |
(1)、使用show configuration firewall filter abc查看配置 (2)、将终端的IP地址设为: 10.1.1.1 (3)、在终端上安装Nmap端口扫描工具(本例基于windowsXP2系统) (4)、在DOS下输入:nmap -sS -g 445 10.1.2.1 –p 145 这指令的意思是以源端口为445来访问主机IP为10.1.2.1的TCP145端口。 (5)、用namp访问其它非业务端口,如访问80端口,在DOS 下输入: nmap –sS 10.1.2.1 –p 80 这指令的意思是以任何端口访问10.1.2.1的TCP80端口 (6)、运行真实业务测试业务流量和非业务流量。 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
使用show configuration firewall filter abc查看配置,还原为原始状态。 |
| 实施风险: |
中 |
| 重要等级: |
★★ |
ELK-Juniper-03-01-04
| 编号: |
ELK-Juniper-03-01-04 |
| 名称: |
配置MP-BGP的MD5加密认 |
| 实施目的: |
配置MP-BGP路由协议,应配置MD5加密认证,通过MD5加密认证建立peer。 |
| 问题影响: |
信息泄露。 |
| 系统当前状态: |
使用show configuration protocol bgp查看当前配置 |
| 实施方案: |
1、参考配置操作 set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 2、补充操作说明 1)、abc为group的名称,可自行设定; 2)、10.1.1.1为对端peer的IP地址,可根据需求设定; 3)、abc123为MD5加密认证的认证密码,该密码和对端peer的密码要一致。 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
使用show configuration protocol bgp查看当前配置 |
| 实施风险: |
中 |
| 重要等级: |
★★ |
ELK-Juniper-03-01-05
| 编号: |
ELK-Juniper-03-01-05 |
| 名称: |
设置SNMP访问安全限制 |
| 实施目的: |
设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。 |
| 问题影响: |
非法登陆。 |
| 系统当前状态: |
使用show configuration snmp查看当前配置 |
| 实施方案: |
1、参考配置操作 set snmp community abcd123 clients 10.1.1.1/32 set snmp community abcd123 clients 10.1.2.1/32 set snmp community abcd123 clients ready-only 2、补充操作说明 1)、abcd123是communtity字符串,可自行定义,但必须和client的主机一致; 2)、10.1.1.1和10.1.2.1是主机IP地址,即允许10.1.1.1.和10.1.2.1主机通过SNMP访问网络设备; 3)、未在client列表中的主机,不允许通过SNMP访问网络设备。 4)、设置主机访问网络设备具有读的权限,可根据需求设置为具有读写的权限(read-write)。 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
使用show configuration snmp查看当前配置 |
| 实施风险: |
高 |
| 重要等级: |
★★★ |
ELK-Juniper-03-01-06
| 编号: |
ELK-Juniper-03-01-06 |
| 名称: |
RSVP标签分发协议 |
| 实施目的: |
启用RSVP标签分发协议时,打开RSVP协议认证功能,如MD5加密,确保与可信方进行RSVP协议交互。 |
| 问题影响: |
非法登陆。 |
| 系统当前状态: |
使用show configuration protocols rsvp查看当前配置 |
| 实施方案: |
1、参考配置操作 set protocols rsvp interface fe-0/0/0.0 authentication-key abc123 2、补充操作说明 abc123为MD5加密密码。 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
各邻居状态为UP正常 各RSVP session状为 UP正常 |
| 实施风险: |
中 |
| 重要等级: |
★★ |
设备其他安全要求 ELK-Juniper-04-01-01
| 编号: |
ELK-Juniper-04-01-01 |
| 名称: |
开启配置定期备份 |
| 实施目的: |
开启配置文件定期备份功能,定期备份配置文件。 |
| 问题影响: |
容易丢失数据。 |
| 系统当前状态: |
使用show configuration system archival查看当前配置 |
| 实施方案: |
1、参考配置操作 set system archival configuration transfer-interval 2880 set system archival configuration archive-sites ftp://[email protected] password abc123 set system archival configuration archive-sites ftp://[email protected] password abc123 2、补充操作说明 1)、2880是时间间隔,单位是分钟,时间间隔可设置的范围为15-2880; 2)、juniper是ftp的用户名称,10.1.1.1和10.1.1.2是ftp服务器的IP地址,abc123是登录frp服务器的密码;建议设置两个IP地址作为互备; 3)、定期备份仅能通过ftp服务备份; 4)、通过定期备份配置文件,时间间隔较短,即备份比较频繁,建议采用transfer-on-commit 方式,即只要执行commit指令,配置将自动备份到ftp服务器,指令为 set system archival configuration transfer-on-commit; 5)、transfer-interval和transfer-on-commit 方式不能共存。 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
使用show configuration system archival查看当前配置 |
| 实施风险: |
高 |
| 重要等级: |
★★★ |
ELK-Juniper-04-01-02
| 编号: |
ELK-Juniper-04-01-02 |
| 名称: |
关闭不必要服务 |
| 实施目的: |
关闭网络设备不必要的服务,比如FTP、TFTP服务等。 |
| 问题影响: |
对系统造成不稳定。 |
| 系统当前状态: |
使用show configuration system services查看当前配置 |
| 实施方案: |
1、参考配置操作 delete system services ftp 2、补充操作说明 默认是关闭FTP服务 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
使用show configuration system services查看当前配置 |
| 实施风险: |
低 |
| 重要等级: |
★★★ |
ELK-Juniper-04-01-03
| 编号: |
ELK-Juniper-04-01-03 |
| 名称: |
限制远程管理IP |
| 实施目的: |
系统远程管理服务TELNET、SSH默认可以接受任何地址的连接,出于安全考虑,应该只允许特定地址访问。 |
| 问题影响: |
非法登陆。 |
| 系统当前状态: |
使用show configuration firewall filter查看当前配置 |
| 实施方案: |
1、参考配置操作 set firewall filter abc term a from source-address 10.1.1.1/32 set firewall filter abc term a from source-address 10.1.1.2/32 set firewall filter abc term a then accept set firewall filter abc term b from protocol tcp port telnet set firewall filter abc term b then reject set firewall filter abc term c then accept 2、补充操作说明 1)、abc为filter名称,可自定义; 2)、10.1.1.1/32和10.1.1.2/32上允许telnet的主机IP地址; 3)、term a实现的功能为:允许特定地址访问; 4)、term b实现的功能为:除了允许特定地址访问之外,不允许其它地址访问telnet端口。 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
使用show configuration firewall filter查看当前配置 |
| 实施风险: |
高 |
| 重要等级: |
★★★ |
ELK-Juniper-04-01-04
| 编号: |
ELK-Juniper-04-01-04 |
| 名称: |
限制telnet并发连接数 |
| 实施目的: |
TELNET默认可以接受250个同时连接。配置TELNET等远程维护方式时,应配置连接最大数量限制为10个,并且每分钟最多有5个可以连接,可以防止在TELNET端口上的SYN flood DoS 攻击。 |
| 问题影响: |
非法登陆。 |
| 系统当前状态: |
使用show configuration system services telnet查看当前配置 |
| 实施方案: |
1、参考配置操作 set system services telnet connection-limit 10 set system services telnet rate-limit 5 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
使用show configuration system services telnet查看当前配置 |
| 实施风险: |
高 |
| 重要等级: |
★★★ |
ELK-Juniper-04-01-05
| 编号: |
ELK-Juniper-04-01-05 |
| 名称: |
定时账户自动登出安全 |
| 实施目的: |
对于Juniper路由器,应配置定时账户自动登出,防止被非法利用。 |
| 问题影响: |
非法利用。 |
| 系统当前状态: |
使用show configuration system services telnet查看当前配置 |
| 实施方案: |
set cli idle-timeout 15 |
| 回退方案: |
还原系统配置文件 |
| 判断依据: |
当时间超时,用户会自动退出路由器 |
| 实施风险: |
低 |
| 重要等级: |
★★★ |