网络设备配置规范
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全要求-设备-通用-配置-17-可 选 安全要求-设备-通用-JUNIPER-配 IP协议安全要求 置-17-可选 安全要求-设备-通用-JUNIPER-配 置-18 安全要求-设备-通用-JUNIPER-配 置-21-可选 安全要求-设备-通用-JUNIPER-配 置-20 安全要求-设备-通用-JUNIPER-配 置-22 安全要求-设备-通用- JUNIPER SNMP协议安全要 配置-23-可选 求
账号安全要求
授权安全要求 认证安全要求
安全要求-设备-通用-JUNIPER-配 置-10
日志安全要求 安全要求-设备-通用-JUNIPER-配 置-11 安全要求-设备-通用-配置-14-可 选 安全要求-设备-通用-JUNIPER-配 置-15 安全要求-设备-通用-配置-15-可 选 安全要求-设备-通用-JUNIPER-配 置-16-可选
Βιβλιοθήκη Baidu
IP:
IP:
IP:
IP:
IP:
不符合原因 现状描述 不符合原因 现状描述 不符合原因 现状描述 不符合原因 现状描述 不符合原因
IP:
IP:
IP:
IP:
IP:
现状描述 不符合原因 现状描述 不符合原因 现状描述 不符合原因 现状描述 不符合原因 现状描述
IP: 不符合原因
juniper路由器配置规范
IP: 分类 项目 安全要求-设备-通用-JUNIPER-配 置-1 安全要求-设备-通用-JUNIPER-配 置-2 安全要求-设备-通用-JUNIPER-配 置-3 安全要求-设备-通用-JUNIPER-配 置-4 口令安全要求 安全要求-设备-通用-JUNIPER-配 置-5 安全要求-设备-通用-JUNIPER-配 置-6 安全要求-设备-通用-JUNIPER-配 置-9 安全要求-设备-通用-JUNIPER-配 置-8 安全要求-设备-通用-配置-12 描述 应按照用户分配账号。避免不同用户间共享 账号。避免用户账号和设备间通信使用的账 应删除或锁定与设备运行、维护等工作无关 的账号。 为了控制不同用户的访问级别,建立多用户 级别,根据用户的业务需求,将用户账号分 配到相应的用户级别。 对于采用静态口令认证技术的设备,口令长 度至少8位,并包括数字、小写字母、大写字 母和特殊符号4类中至少2类。 对于采用静态口令认证技术的设备,维护人 员使用的帐户口令的生存期不长于90天。 修改root密码。root的默认密码是空,修改 root密码,避免非管理员使用root账号登录 在设备权限配置能力内,根据用户的业务需 要,配置其所需的最小权限。 设备通过相关参数配置,与认证系统联动, 满足帐号、口令和授权的强制要求。 设备应配置日志功能,对用户登录进行记 录,记录内容包括用户登录使用的账号,登 录是否成功,登录时间,以及远程登录时, 用户使用的IP地址。 设备应配置日志功能,记录用户对设备的操 作,比如以下内容:账号创建、删除和权限 修改,口令修改,读取和修改设备配置,涉 及通信隐私数据。记录需要包含用户账号, 操作时间,操作内容以及操作结果。 设备应配置日志功能,记录对与设备相关的 安全事件,比如:记录路由协议事件和错误 设备配置远程日志功能,将需要重点关注的 日志内容传输到日志服务器。 设置系统的配置更改信息保存到单独的 change.log文件内。 开启NTP服务,保证日志功能记录的时间的准 确性。路由器与NTP SERVER之间开启认证功 对于具备TCP/UDP协议功能的设备,设备应 根据业务需要,配置基于源IP地址、通信协 议TCP或UDP、目的IP地址、源端口、目的 端口的流量过滤,过滤所有和业务不相关的 对于使用IP协议进行远程维护的设备,设备 应配置使用SSH等加密协议。 配置动态路由协议(BGP/ MP-BGP /OSPF等) 时必须启用带加密方式的身份验证功能,相 邻路由器只有在身份验证通过后,才能互相 通告路由信息。 配置MP-BGP路由协议,应配置MD5加密认证, 通过MD5加密认证建立peer。 制定路由策略,禁止发布或接收不安全的路 由信息。 对于非点到点的OSPF协议配置,应配置MD5加 密认证,通过MD5加密认证建立neighbor。 设置SNMP访问安全限制,只允许特定主机通 过SNMP访问网络设备。 系统应关闭未使用的SNMP协议及未使用的RW 权限。 现状描述
SNMP协议安全要 求 安全要求-设备-通用- JUNIPER 配置-24-可选 安全要求-设备-通用- JUNIPER 配置-25-可选 安全要求-设备-通用-JUNIPER-配 MPLS安全 置-35
系统应配置为SNMP V2或以上版本。 系统应配置可接收SNMP消息的主机地址。
启用RSVP标签分发协议时,打开RSVP协议认 证功能,如MD5加密,确保与可信方进行RSVP 协议交互。 安全要求-设备-通用-JUNIPER-配置 对于Juniper路由器,应配置定时账户自动登 出。 -26-可选 安全要求-设备-通用-JUNIPER-配 对于具备consol口的设备,应配置consol口密 置-27-可选 码保护功能。 安全要求-设备-通用-JUNIPER-配 开启配置文件定期备份功能,定期备份配置 置-28 文件。 安全要求-设备-通用-JUNIPER-配 关闭网络设备不必要的服务,比如FTP、TFTP 置-29 服务等。 安全要求-设备-通用-JUNIPER-GN- 开启安全防护功能,如状态防火墙等(如果 30-可选 具备类似功能)。 安全要求-设备-通用-JUNIPER-GN- 如接受统一网管系统管理,建议配置SNMP VERSION3协议。 设备其他安全要 31-可选 安全要求-设备-通用-JUNIPER-配 系统远程管理服务TELNET、SSH默认可以接受 求 置-32 任何地址的连接,出于安全考虑,应该只允 许特定地址访问。 安全要求-设备-通用-JUNIPER-配 TELNET默认可以接受250个同时连接。配置 置-33 TELNET等远程维护方式时,应配置连接最大 数量限制为10个,并且每分钟最多有5个可以 连接,可以防止在TELNET端口上的SYN flood 安全要求-设备-通用-JUNIPER-配 在网络边界,设置安全访问控制,过滤掉安 置-34-可选 全攻击数据包,例如udp 1434端口(防止SQL slammer蠕虫)、tcp445,5800,5900(防止 Della蠕虫)。 安全要求-设备-通用-JUNIPER-配 限制远程登录。 置-36-可选