收藏
下载资源

Juniper网络设备安全加固规范方案

上传人:博****1 文档编号:473161233 上传时间:2023-04-25 格式:DOC 页数:24 大小:574KB
返回 下载 相关 举报
Juniper网络设备安全加固规范方案_第1页
第1页 / 共24页
Juniper网络设备安全加固规范方案_第2页
第2页 / 共24页
Juniper网络设备安全加固规范方案_第3页
第3页 / 共24页
Juniper网络设备安全加固规范方案_第4页
第4页 / 共24页
Juniper网络设备安全加固规范方案_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《Juniper网络设备安全加固规范方案》由会员分享,可在线阅读,更多相关《Juniper网络设备安全加固规范方案(24页珍藏版)》请在金锄头文库上搜索。

1、 Juniper网络设备安全基线规范2019年11月目录1.账号管理、认证授权31.1.账号31.1.1.ELK-Juniper-01-01-0131.1.2.ELK-Juniper-01-01-0231.1.3.ELK-Juniper-01-01-0341.2.口令51.2.1.ELK-Juniper-01-02-0151.2.2.ELK-Juniper-01-02-0261.2.3.ELK-Juniper-01-02-0381.3.认证91.3.1.ELK-Juniper-01-03-0192.日志配置102.1.1.ELK-Juniper-02-01-01102.1.2.ELK-Juni

2、per-02-01-02112.1.3.ELK-Juniper-02-01-03122.1.4.ELK-Juniper-02-01-04122.1.5.ELK-Juniper-02-01-05132.1.6.ELK-Juniper-02-01-06143.通信协议153.1.1.ELK-Juniper-03-01-01153.1.2.ELK-Juniper-03-01-02163.1.3.ELK-Juniper-03-01-03173.1.4.ELK-Juniper-03-01-04183.1.5.ELK-Juniper-03-01-05193.1.6.ELK-Juniper-03-01-06

3、204.设备其他安全要求204.1.1.ELK-Juniper-04-01-01204.1.2.ELK-Juniper-04-01-02214.1.3.ELK-Juniper-04-01-03224.1.4.ELK-Juniper-04-01-04234.1.5.ELK-Juniper-04-01-0524 1. 账号管理、认证授权1.1. 账号1.1.1. ELK-Juniper-01-01-01编号:ELK-Juniper-01-01-01名称:按照用户类型分配账号实施目的:按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。问题影响:权限不明确,

4、存在用户越权使用的可能。系统当前状态:使用show configuration system login 查看当前配置实施方案:1、参考配置操作set system login user abc1set system login user abc22、补充操作说明1、abc1和abc2是两个不同的账号名称,可根据不同用户,取不同的名称;2、账号取名,建议使用:姓名的简写手机号码。回退方案:删除新增加用户判断依据:标记用户用途,定期建立用户列表,比较是否有非法用户实施风险:低重要等级:1.1.2. ELK-Juniper-01-01-02编号:ELK-Juniper-01-01-02名称:删除无

5、效账号实施目的:按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。问题影响:非法利用系统默认账号系统当前状态:使用show configuration system login 查看当前配置实施方案:1、参考配置操作delete system login user abc32、补充操作说明abc3是与工作无关的账号。回退方案:增加被删除的用户判断依据:查看配置文件,核对用户列表。实施风险:低重要等级:1.1.3. ELK-Juniper-01-01-03编号:ELK-Juniper-01-01-03名称:建立分配系统用户组实施目的:为了控制不同用户的

6、访问级别,建立多用户级别,根据用户的业务需求,将用户账号分配到相应的用户级别。问题影响:账号越权使用系统当前状态:使用show configuration system login 查看当前配置实施方案:1、参考配置操作创建用户级别:set system login class ABC1 permissions view view-configuration 将用户账号分配到相应的用户级别:set system login user abc1 class read-onlyset system login user abc2 class ABC1set system login user ab

7、c3 class super-user2、补充操作说明(1)、ABC1是手工创建的组,该组具有的权限:查看设备运行状态(如接口状态、设备硬件状态、路由状态等),并且可以查看设备的配置;(2)、read-only组具有的权限:查看设备运行状态,但不能查看设备的配置;(3)、super-user是超级用户组,具有的权限:所有权限;(4)、read-only和super-user是路由器已经创建的组,不需要手工创建;(5)、abc1、abc2、abc3是不同的用户,它们分别分配到相应的用户级别。回退方案:还原系统配置文件判断依据:使用show configuration system login 查

8、看当前配置实施风险:高重要等级:1.2. 口令1.2.1. ELK-Juniper-01-02-01编号:ELK-Juniper-01-02-01名称:提高口令强度实施目的:对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。问题影响:增加密码被暴力破解的成功率系统当前状态:使用show configuration system login 查看当前配置实施方案:1、参考配置操作set system login user abc1 authentication plain-text-password 2、补充操作说明(1)、输入指令回车后,

9、将两次提示输入新口令(New password:和Retype new password:)。(2)、口令要求:长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。回退方案:还原系统配置文件判断依据:使用show configuration system login 查看当前配置实施风险:低重要等级:1.2.2. ELK-Juniper-01-02-02编号:ELK-Juniper-01-02-02名称:根据用户的业务需要配置其所需的最小权限实施目的:在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。问题影响:越权使用,非法访问。系统当前状态:使用show co

10、nfiguration system login 查看当前配置实施方案:(1)、用show configuration system login class ABC1命令查看配置(2)、用show configuration system login class ABC2命令查看配置(3)、在终端上用telnet方式登录路由器,输入用户名abc1和密码 成功登录路由器后,用configure命令进入配置模式。 使用以下命令检测: set routing-可选ions static set interfaces set chassis fpc 使用其它set命令(4)、在终端上用telnet方式

11、登录路由器,输入用户名abc2和密码成功登录路由器后,用configure命令进入配置模式。使用以下命令检测:set policy-可选ions set protocols set routing-instances set routing-可选ions 使用其它set命令(5)、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后,用configure命令进入配置模式。使用set命令以及其它命令检测。回退方案:使用show configuration system login 查看当前配置。还原系统配置文件。判断依据:(1)、账号abc1属于组ABC1,该组只能配置

12、routing-可选ions static、interfaces、 Chassis fpc项里的内容。不能做其它未授权的配置;(2)、账号abc2属于组ABC2,该组只能配置关于路由的所有配置,包括routing-可选ions、protocols、policy-可选ions、routing-instances等,不能做其它未授权的配置;(3)、账号abc3属于组super-user,拥有全部配置权限。备注:创建用户级别,即创建用户的配置权限:set system login class ABC1 permissions configureset system login class ABC1

13、allow-configuration routing-可选ions static|interfaces|chassis fpc set system login class ABC2 permissions configure routing-control 将用户账号分配到相应的用户级别:set system login user abc1 class ABC1set system login user abc2 class ABC2set system login user abc3 class super-user2、补充操作说明(1)、ABC1组具有的权限:可配置interfaces

14、,可配置routing-可选ions中的static,可配置chassis中的fpc;(2)、ABC2组具有的权限:可配置有关于路由的所有配置,包括routing-可选ions、protocols、policy-可选ions、routing-instances等;(3)、allow-configuration参数是以等级来限制,可以限制各个等级的配置,可以细化到各个小等级;(4)、permissions参数是以功能来限制,限制的范围较大;(5)、allow-commands参数是以具体的指令来限制,allow-comands参数需要设定具体指令,不建议使用。实施风险:低重要等级:1.2.3. ELK-Juniper-01-02-03编号:ELK-Juniper-01-02-03名称:提高ROOT用户口令强度实施目的:修改root密码。root的默认密码是空,修改root密码,避免非管理员使用root账号登录。问题影响:增加密码被暴力破解的成功率系统当前状态:使用show configuration system login 查看当前配置实施方案:1、参考配置操作(1)、用show configura

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号