收藏
下载资源

Juniper网络设备安全加固规范

上传人:公**** 文档编号:501367405 上传时间:2023-08-07 格式:DOCX 页数:26 大小:53.07KB
返回 下载 相关 举报
Juniper网络设备安全加固规范_第1页
第1页 / 共26页
Juniper网络设备安全加固规范_第2页
第2页 / 共26页
Juniper网络设备安全加固规范_第3页
第3页 / 共26页
Juniper网络设备安全加固规范_第4页
第4页 / 共26页
Juniper网络设备安全加固规范_第5页
第5页 / 共26页
点击查看更多>>
资源描述

《Juniper网络设备安全加固规范》由会员分享,可在线阅读,更多相关《Juniper网络设备安全加固规范(26页珍藏版)》请在金锄头文库上搜索。

1、Juniper络设备平安基线规3:51AM目录1 .账号管理、认证授权21.1. 账号21.1.1. ELK-Juniper-01-01-0121.12ELK-Juniper-01-01-0231.1.3.ELK-Juniper-01-01-034.资料.1.2. 口令5121.ELK-Juniper-01-02-0151.22ELK-Juniper-01-02-026123.ELK-Juniper-01-02-0381.3. 认证91.3.1. ELK-Juniper-01-03-0192 .日志配置102.1.1. ELK-JUNIPER-02-01-01112.1.2. ELK-JUNI

2、PER-02-01-02112.1.3. ELK-JUNIPER-02-01-03122.1.4. ELK-JUNIPER-02-01-04132.1.5. ELK-JUNIPER-02-01-05142.1.6. ELK-JUNIPER-02-01-06143 .通信协议163.1.1. ELK-JUNIPER-03-01-01163.1.2. ELK-JUNIPER-03-01-02173.1.3. ELK-JUNIPER-03-01-03183.1.4. ELK-JUNIPER-03-01-04193.1.5. ELK-JUNIPER-03-01-05193.1.6. ELK-JUNIP

3、ER-03-01-06204 .设备其他平安要求214.1.1. ELK-JUNIPER-04-01-01214.1.2. ELK-JUNIPER-04-01-02224.1.3. ELK-JUNIPER-04-01-03234.1.4. ELK-JUNIPER-04-01-04244.1.5. ELK-JUNIPER-04-01-05241.账号管理、认证授权1.1.账号1.1.1.ELK-Juniper-01-01-01编号:ELK-Juniper-01-01-01名称:按照用户类型分配账号实施目的:按照/、同的用户分配/、同的账号,防止/、同用户间共享账号,防止用户账号和设备间通信使用的

4、账号共享。问题影响:权限不明确,存在用户越权使用的可能。系统当前状态:使用showconfigurationsystemloginfiif前配置实施方案:1、参考配置操作setsystemloginuserbc1setsystemloginuserbc22、补充操作说明1、abc1和abc2是两个不同的账号名称,可根据不同用户,取/、同的名称;2、账号取名,建议使用:的简写+手机。回退方案:删除新增加用户判断依据:标记用户用途,定期建立用户列表,比拟是否有非法用户实施风险:低重要等级:1.1.2.ELK-Juniper-01-01-02编号:ELK-Juniper-01-01-02名称:删除无

5、效账号实施目的:按照/、同的用户分配/、同的账号,防止/、同用户间共享账号,防止用户账号和设备间通信使用的账号共享。问题影响:非法利用系统默认账号系统当前状态:使用showconfigurationsystemlogin看当前配置实施方案:1、参考配置操作deletesystemloginuserbc32、补充操作说明abc3是与工作无关的账号。回退方案:增加被删除的用户判断依据:查看配置文件,核对用户列表。实施风险:低重要等级:1.1.3.ELK-Juniper-01-01-03编号:ELK-Juniper-01-01-03名称:建立分配系统用户组实施目的:为了控制不同用户的访问级别,建立多

6、用户级别,根据用户的业务需求,将用户账号分配到相应的用户级别。问题影响:账号越权使用系统当前状态:使用showconfigurationsystemlogin看当前配置实施方案:1、参考配置操作创立用户级别:setsystemloginclassABC1permissionsviewview-configuration将用户账号分配到相应的用户级别:setsystemloginuserbc1classread-onlysetsystemloginuserbc2classABC1setsystemloginuserbc3classsuper-user2、补充操作说明1、ABC1是手工创立的组,该

7、组具有的权限:查看设备运行状态如接口状态、设备硬件状态、路由状态等,并且可以查看设备的配置;2、read-only组具有的权限:查看设备运行状态,但不能查看设备的配置;3、super-use髭超级用户组,具有的权限:所有权限;4、read-only和super-user是路由器已经仓立的组,不需要手工创立;5、abc1、abc2、abc3是不同的用户,它们分别分配到相应的用户级别。回退方案:复原系统配置文件判断依据:使用showconfigurationsystemloginfiif前配置实施风险:高重要等级:1.2.口令1.2.1.ELK-Juniper-01-02-01编号:ELK-Jun

8、iper-01-02-01名称:提高口令强度实施目的:对于米用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。问题影响:增加密码被暴力破解的成功率系统当前状态:使用showconfigurationsystemlogin看当前配置实施方案:1、参考配置操作setsystemloginuserabc1authenticationplain-text-password2、补充操作说明1、输入指令回车后,将两次提示输入新口令Newpassword:口Retypenewpassword:2、口令要求:长度至少6位,并包括数字、小写字母、大写字母和特殊符

9、号4类中至少2类。回退方案:复原系统配置文件判断依据:使用showconfigurationsystemloginfi前配置实施风险:低重要等级:1.2.2.ELK-Juniper-01-02-02编号:ELK-Juniper-01-02-02名称:根据用户的业务需要配置其所需的最小权限实施目的:在设备权限配置能力,根据用户的业务需要,配置其所需的最小权限。问题影响:越权使用,非法访问。系统当前状态:使用showconfigurationsystemloginfiif前配置实施方案:1、用showconfigurationsystemloginclassABC命令查看配置2、用showconf

10、igurationsystemloginclassABC命令查看配置3、在终端上用telnet方式登录路由器,输入用户名abc1和密码成功登录路由器后,用coMigure命令进入配置模式。使用以下命令检测:setroutingM选ionsstaticsetinterfacessetchassisfpc使用其它set命令4、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后,用coMigure命令进入配置模式。使用以下命令检测:setpolicyM选ionssetprotocolssetrouting-instancessetrouting可选ions使用其它set命

11、令5、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后,用conjure命令进入配置模式。使用set命令以及其它命令检测。回退方案:使用showconfigurationsystemloginfi前配置。复原系统配置文件。判断依据:1、账号abc1属于组ABC1,该组只能配置routing-可选ionsstaticinterfacesChassisfpc里的容。不能做其它未授权的配置;2、账号abc2属于组ABC2,该组只能配置关于路由的所启酉已置,包括routing-可选ions、protocols、policy-可选ions、routing-instance4

12、,不能做其它未授权的配置;3、账号abc3属于组super-user拥有全部配置权限。备注:创立用户级别,即创立用户的配置权限:setsystemloginclassABC1permissionsconfiguresetsystemloginclassABC1allow-configurationrouting-可选ionsstatic|interfaces|chassisfpcsetsystemloginclassABC2permissionsconfigurerouting-control将用户账号分配到相应的用户级别:setsystemloginuserabc1classABC1sets

13、ystemloginuserabc2classABC2setsystemloginuserabc3classsuper-user2、补充操作说明1、ABC1组具有的权限:可配置intefaces可配置routing-可选ions中的static,可配置chassis中的fpc;2、ABC2组具有的权限:可配置有关于路由的所有配置,包括routing-可选ions、protocolspolicy-可选ions、routing-instance4;3、allow-con巾guration参数是以等级来限制,可以限制各个等级的配置,可以细化到各个小等级;4、permissions#数是以功能来限制,

14、限制的围较大;5、allow-mands参数是以具体的指令来限制,allow-ands参数需要设定具体指令,不建议使用。实施风险:低重要等级:1.2.3.ELK-Juniper-01-02-03编号:ELK-Juniper-01-02-03名称:提高ROOT用户口令强度实施目的:修改root酱码。root的默认酱码是空,修改root酱码,防止非管理员使用root账号登录。问题影响:增加密码被暴力破解的成功率系统当前状态:使用showconfigurationsystemlogin看当前配置实施方案:1、参考配置操作1、用showconfigurationsystemlogins令查看酉己置是否正确;2、通过console口方式登录路由器,输入root用户名和密码;3、通过console口方式登录路由器,输入root用户和空密码。2、补充操作说明1、输入指令回车后,将两次提示输入新口令Newpassword:口Retypenewpassword:2、口令要求:长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。回退方案:复原系统配置文件判断依据:1、输入root用户和正确密码可以正常登录路由

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 营销创新

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号