收藏
下载资源

Juniper网络设备加固规范V02

上传人:206****923 文档编号:91041935 上传时间:2019-06-21 格式:DOC 页数:24 大小:387.50KB
返回 下载 相关 举报
Juniper网络设备加固规范V02_第1页
第1页 / 共24页
Juniper网络设备加固规范V02_第2页
第2页 / 共24页
Juniper网络设备加固规范V02_第3页
第3页 / 共24页
Juniper网络设备加固规范V02_第4页
第4页 / 共24页
Juniper网络设备加固规范V02_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《Juniper网络设备加固规范V02》由会员分享,可在线阅读,更多相关《Juniper网络设备加固规范V02(24页珍藏版)》请在金锄头文库上搜索。

1、Juniper 网络设备加固规范网络设备加固规范 20192019 年年 6 6 月月 第 2 页 共 25 页 目录目录 1.1.账号管理、认证授权账号管理、认证授权.3 1.1.账号.3 1.1.1.SHG-Juniper-01-01-013 1.1.2.SHG-Juniper-01-01-023 1.1.3.SHG-Juniper-01-01-034 1.2.口令.5 1.2.1.SHG-Juniper-01-02-015 1.2.2.SHG-Juniper-01-02-026 1.2.3.SHG-Juniper-01-02-038 1.3.认证.9 1.3.1.SHG-Juniper-

2、01-03-019 2.2.日志配置日志配置.10 2.1.1.SHG-JUNIPER-02-01-01.10 2.1.2.SHG-JUNIPER-02-01-02.11 2.1.3.SHG-JUNIPER-02-01-03.12 2.1.4.SHG-JUNIPER-02-01-04.12 2.1.5.SHG-JUNIPER-02-01-05.13 2.1.6.SHG-JUNIPER-02-01-06.14 3.3.通信协议通信协议.15 3.1.1.SHG-JUNIPER-03-01-01.15 3.1.2.SHG-JUNIPER-03-01-02.16 3.1.3.SHG-JUNIPER-

3、03-01-03.17 3.1.4.SHG-JUNIPER-03-01-04.18 3.1.5.SHG-JUNIPER-03-01-05.19 3.1.6.SHG-JUNIPER-03-01-06.20 4.4.设备其他安全要求设备其他安全要求.20 4.1.1.SHG-JUNIPER-04-01-01.20 4.1.2.SHG-JUNIPER-04-01-02.21 4.1.3.SHG-JUNIPER-04-01-03.22 4.1.4.SHG-JUNIPER-04-01-04.23 4.1.5.SHG-JUNIPER-04-01-05.24 第 3 页 共 25 页 1.1.账号管理、认证

4、授权账号管理、认证授权 1.1.账号账号 1.1.1.1.1.1.SHG-Juniper-01-01-01SHG-Juniper-01-01-01 编号: SHG-Juniper-01-01-01 名称:按照用户类型分配账号 实施目的: 按照不同的用户分配不同的账号,避免不同用户间共享账 号,避免用户账号和设备间通信使用的账号共享。 问题影响:权限不明确,存在用户越权使用的可能。 系统当前状态:使用 show configuration system login 查看当前配置 实施方案: 1 1、参考配置操作、参考配置操作 set system login user abc1 set syst

5、em login user abc2 2 2、补充操作说明、补充操作说明 1、abc1和abc2是两个不同的账号名称,可根据不同用户, 取不同的名称; 2、账号取名,建议使用:姓名的简写手机号码。 回退方案: 删除新增加用户 判断依据: 标记用户用途,定期建立用户列表,比较是否有非法用户 实施风险:低 重要等级: 1.1.2.1.1.2.SHG-Juniper-01-01-02SHG-Juniper-01-01-02 编号: SHG-Juniper-01-01-02 第 4 页 共 25 页 名称:删除无效账号 实施目的: 按照不同的用户分配不同的账号,避免不同用户间共享账 号,避免用户账号和

6、设备间通信使用的账号共享。 问题影响:非法利用系统默认账号 系统当前状态:使用 show configuration system login 查看当前配置 实施方案: 1 1、参考配置操作、参考配置操作 delete system login user abc3 2 2、补充操作说明、补充操作说明 abc3是与工作无关的账号。 回退方案: 增加被删除的用户 判断依据: 查看配置文件,核对用户列表。 实施风险:低 重要等级: 1.1.3.1.1.3.SHG-Juniper-01-01-03SHG-Juniper-01-01-03 编号: SHG-Juniper-01-01-03 名称:建立分配

7、系统用户组 实施目的: 为了控制不同用户的访问级别,建立多用户级别,根据用 户的业务需求,将用户账号分配到相应的用户级别。 问题影响:账号越权使用 系统当前状态:使用 show configuration system login 查看当前配置 实施方案: 1 1、参考配置操作、参考配置操作 创建用户级别: set system login class ABC1 permissions view view-configuration 将用户账号分配到相应的用户级别: set system login user abc1 class read-only set system login user

8、 abc2 class ABC1 第 5 页 共 25 页 set system login user abc3 class super-user 2 2、补充操作说明、补充操作说明 (1) 、ABC1 是手工创建的组,该组具有的权限:查看设 备运行状态(如接口状态、设备硬件状态、路由状态等) , 并且可以查看设备的配置; (2) 、read-only 组具有的权限:查看设备运行状态, 但不能查看设备的配置; (3) 、super-user 是超级用户组,具有的权限:所有权 限; (4) 、read-only 和 super-user 是路由器已经创建的组, 不需要手工创建; (5) 、abc

9、1、abc2、abc3 是不同的用户,它们分别分配到 相应的用户级别。 回退方案: 还原系统配置文件 判断依据: 使用 show configuration system login 查看当前配置 实施风险:高 重要等级: 1.2.口令口令 1.2.1.1.2.1.SHG-Juniper-01-02-01SHG-Juniper-01-02-01 编号: SHG-Juniper-01-02-01 名称:提高口令强度 实施目的: 对于采用静态口令认证技术的设备,口令长度至少 6 位, 并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。 问题影响:增加密码被暴力破解的成功率 系统当前状

10、态:使用 show configuration system login 查看当前配置 第 6 页 共 25 页 实施方案: 1 1、参考配置操作、参考配置操作 set system login user abc1 authentication plain- text-password 2 2、补充操作说明、补充操作说明 (1) 、输入指令回车后,将两次提示输入新口令(New password:和 Retype new password:) 。 (2) 、口令要求:长度至少 6 位,并包括数字、小写字母、 大写字母和特殊符号 4 类中至少 2 类。 回退方案: 还原系统配置文件 判断依据: 使

11、用 show configuration system login 查看当前配置 实施风险:低 重要等级: 1.2.2.1.2.2.SHG-Juniper-01-02-02SHG-Juniper-01-02-02 编号: SHG-Juniper-01-02-02 名称:根据用户的业务需要配置其所需的最小权限 实施目的: 在设备权限配置能力内,根据用户的业务需要,配置其所 需的最小权限。 问题影响:越权使用,非法访问。 系统当前状态:使用 show configuration system login 查看当前配置 实施方案: (1) 、用 show configuration system l

12、ogin class ABC1 命令查 看配置 (2) 、用 show configuration system login class ABC2 命令查 看配置 (3) 、在终端上用 telnet 方式登录路由器,输入用户名 abc1 和密码 成功登录路由器后,用 configure 命令进入配置模式。 使用以下命令检测: set routing-可选 ions static 第 7 页 共 25 页 set interfaces set chassis fpc 使用其它 set 命令 (4) 、在终端上用 telnet 方式登录路由器,输入用户名 abc2 和密码成功登录路由器后,用 co

13、nfigure 命令进入配置模式。 使用以下命令检测: set policy-可选 ions set protocols set routing-instances set routing-可选 ions 使用其它 set 命令 (5) 、在终端上用 telnet 方式登录路由器,输入用户名 abc3 和密码成功登录路由器后,用 configure 命令进入配置模式。 使用 set 命令以及其它命令检测。 回退方案: 使用 show configuration system login 查看当前配置。 还原系统配置文件。 判断依据: (1) 、账号 abc1 属于组 ABC1,该组只能配置 r

14、outing-可选 ions static、interfaces、 Chassis fpc 项里的内容。不能做其 它未授权的配置; (2) 、账号 abc2 属于组 ABC2,该组只能配置关于路由的 所有配置,包括 routing-可选 ions、protocols、policy-可选 ions、routing-instances 等,不能做其它未授权的配置; (3) 、账号 abc3 属于组 super-user,拥有全部配置权限。 备注: 创建用户级别,即创建用户的配置权限: set system login class ABC1 permissions configure set sys

15、tem login class ABC1 allow-configuration “routing-可选 ions static|interfaces|chassis fpc“ set system login class ABC2 permissions configure routing- 第 8 页 共 25 页 control 将用户账号分配到相应的用户级别: set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super

16、-user 2、补充操作说明 (1) 、ABC1 组具有的权限:可配置 interfaces,可配置 routing-可选 ions 中的 static,可配置 chassis 中的 fpc; (2) 、ABC2 组具有的权限:可配置有关于路由的所有配置, 包括 routing-可选 ions、protocols、policy-可选 ions、routing-instances 等; (3) 、allow-configuration 参数是以等级来限制,可以限制 各个等级的配置,可以细化到各个小等级; (4) 、permissions 参数是以功能来限制,限制的范围较大; (5) 、allow-commands 参数是以具体的指令来限制,allow- comands 参数需要设定具体指令,不建议使用。 实施风险:低 重要等级: 1.2.3.1.2.3.SHG-Juniper-01-02-03SHG-Juniper-01-02-03 编号: SHG-Juniper-01-02-03 名称:提高 ROOT 用户

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 其它中学文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号