管理制度-JUNIPER路由器安全配置规范最新版 精品.doc

20XX-01-01实施20XX-12-13发布Juniper路由器安全配置规范Specification for Juniper Router Configuration Used in China Mobile版本号：. 网络与信息安全规范编号:【网络与信息安全规范】·【第二层：技术规范·网元类】·【第2501号】？中国移动通信集团公司 发布目录1概述11.1适用范围11.2内部适用性说明11.3外部引用说明21.4术语和定义21.5符号和缩略语22JUNIPER路由器安全配置要求32.1账号管理、认证授权32.1.1账号32.1.2口令62.1.2授权72.1.3认证92.2日志要求102.3IP协议安全要求142.3.1基本协议安全142.3.2路由协议安全162.3.3SNMP协议安全202.3.4MPLS安全222.4设备其他安全23前言本标准由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。本标准起草单位：中国移动通信有限公司网络部。本标准解释单位：同提出单位。本标准主要起草人：中国移动集团广东公司 吴卓明 13802880701 中国移动通信集团公司 陈敏时 139117738021 概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的Juniper路由器。本规范明确了Juniper路由器安全配置方面的基本要求。1.2 内部适用性说明本规范是在中国移动设备通用设备安全功能和配置规范（以下简称通用规范）各项设备配置要求的基础上，提出的Juniper路由器安全配置规范。以下分项列出本规范对通用规范设备配置要求的修订情况。设备通用安全配置要求编号采纳意见补充说明安全要求-设备-通用-配置-1-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-1”安全要求-设备-通用-配置-2-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-2”安全要求-设备-通用-配置-3-可选不采纳系统不支持安全要求-设备-通用-配置-4完全采纳安全要求-设备-通用-配置-5完全采纳安全要求-设备-通用-配置-6-可选不采纳系统不支持安全要求-设备-通用-配置-7-可选不采纳系统不支持安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12完全采纳安全要求-设备-通用-配置-13-可选部分采纳参见“安全要求-设备-通用-JUNIPER-配置-10”安全要求-设备-通用-配置-24-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-11”安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-16-可选完全采纳安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19-可选部分采纳参见“安全要求-设备-通用-JUNIPER-配置-26-可选”安全要求-设备-通用-配置-20-可选不采纳系统不支持安全要求-设备-通用-TY-GN-27-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-27”本规范新增的安全配置要求，如下：安全要求-设备-通用-JUNIPER-配置-3安全要求-设备-通用-JUNIPER-配置-6安全要求-设备-通用-JUNIPER-配置-8-可选安全要求-设备-通用-JUNIPER-配置-13安全要求-设备-通用-JUNIPER-配置-14-可选安全要求-设备-通用-JUNIPER-配置-17-可选安全要求-设备-通用-JUNIPER-配置-18安全要求-设备-通用-JUNIPER-配置-19安全要求-设备-通用-JUNIPER-配置-20安全要求-设备-通用-JUNIPER-配置-21-可选安全要求-设备-通用-JUNIPER-配置-22安全要求-设备-通用- JUNIPER -配置-23-可选安全要求-设备-通用- JUNIPER -配置-24-可选安全要求-设备-通用- JUNIPER -配置-25-可选安全要求-设备-通用-JUNIPER-配置-28安全要求-设备-通用-JUNIPER-配置-29安全要求-设备-通用-JUNIPER-配置-30-可选？安全要求-设备-通用-JUNIPER-配置-31-可选？安全要求-设备-通用-JUNIPER-配置-32安全要求-设备-通用-JUNIPER-配置-33安全要求-设备-通用-JUNIPER-配置-34-可选安全要求-设备-通用-JUNIPER-配置-35本规范还针对通用规范中所列的配置要求，给出了在Juniper路由器上的具体配置方法和检测方法。1.3 外部引用说明中国移动设备通用安全功能和配置规范1.4 术语和定义1.5 符号和缩略语缩写英文描述中文描述2 Juniper路由器安全配置要求本规范所指的设备为Juniper路由器设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于所有版本的Juniper路由器。本规范从Juniper路由器的认证授权功能、安全日志功能以及路由协议安全功能，和其他自身安全配置功能8个方面提出安全要求。2.1 账号管理、认证授权认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。对于存在字符或图形界面（WEB界面）的人机交互的设备，应提供账号管理及认证授权功能，并应满足以下各项要求。2.1.1 账号编号：安全要求-设备-通用-JUNIPER-配置-1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作set system login user abc1set system login user abc22、补充操作说明1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称；2、账号取名，建议使用：姓名的简写手机号码。检测方法3、 判定条件各账号都可以登录路由器为正常4、 检测操作（1）、用show configuration system login命令查看配置是否正确（2）、在终端上用telnet方式登录路由器,输入用户名abc1和密码（3）、在终端上用telnet方式登录路由器,输入用户名abc2和密码）5、 补充说明编号：安全要求-设备-通用-JUNIPER-配置-2要求内容应删除与设备运行、维护等工作无关的账号。操作指南1、参考配置操作delete system login user abc32、补充操作说明abc3是与工作无关的账号。检测方法3、 判定条件被删除的与工作无关的账号abc3不能登录为正常。4、 检测操作（1）、用show configuration system login命令查看配置是否正确。（2）、在终端上用telnet方式登录路由器,输入用户名abc3和密码。5、 补充说明编号：安全要求-设备-通用-JUNIPER-配置-3要求内容为了控制不同用户的访问级别，建立多用户级别，根据用户的业务需求，将用户账号分配到相应的用户级别。操作指南1、参考配置操作创建用户级别：set system login class ABC1 permissions view view-configuration 将用户账号分配到相应的用户级别：set system login user abc1 class read-onlyset system login user abc2 class ABC1set system login user abc3 class super-user2、补充操作说明（1）、ABC1是手工创建的组，该组具有的权限：查看设备运行状态（如接口状态、设备硬件状态、路由状态等），并且可以查看设备的配置；（2）、read-only组具有的权限：查看设备运行状态，但不能查看设备的配置；（3）、super-user是超级用户组，具有的权限：所有权限；（4）、read-only和super-user是路由器已经创建的组，不需要手工创建；（5）、abc1、abc2、abc3是不同的用户，它们分别分配到相应的用户级别。检测方法3、判定条件（1）、用户abc1属于组read-only，这个组只设置了查看设备运行状态权限,因而可使用show interfaces ters及其它查看路由器状态的命令，而不能使用show configuration和configure命令（2）、用户abc2属于组ABC1，这个组设置了查看设备运状态和查看路由器配置权限，因而可使用show interfaces ters和其它查看路由器状态命令及show configuration命令，不能使用 configure命令（3）、用户abc3属于组super-user,这是超级用户组，具有所有权限，因而可使用全部命令。6、 检测操作（1）、用show configuration system login class ABC1命令查看配置（2）、在终端上用telnet方式登录路由器,输入用户名abc1和密码成功登录路由器后,用show interfaces terse命令查看端口状态；用show configuration命令查看路由器配置；用configure命令进入路由器的配置模式。（3）、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后，用show interfaces terse命令查看端口状态；用show configuration命令查看路由器配置；用configure命令进入路由器的配置模式。（4）、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后，用show interfaces terse命令查看端口状态；用show configuration命令查看路由器配置；用configure命令进入路由器的配置模式。7、 补充说明2.1.2口令编号：安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作set system login user abc1 authentication plain-text-password 2、补充操作说明（1）、输入指令回车后，将两次提示输入新口令（New password:和Retype new password:）。（2）、口令要求