编号	要求内容	操作指南	检测方式	判断条件	补充说明
账号口令	NE-Juniper-账号口令-01	应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用 的账号共享	1.参考配置操作: set system login user abc1 set system login user abc2 2.补充操作说明: 1）abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称. 2）账号取名建议使用，姓名的简写+手机号码	i.用show configuration system login查看配置是否正确. ii.在终端上用telnet方式登录路由器/交换机，输入账号abc1和密码。 iii.在终端上用telnet方式登录路由器/交换机，输入账号abc2和密码	各账号都可以登录路由器/交换机
	NE-Juniper-账号口令-02	应删除与设备运行、维护等工作无关的账号	1.参考配置操作:delete system login user abc3 2. 补充操作说明:abc3是与工作无关的账号	I.用show configuration system login查看配置是否正确。 II.在终端上用telnet方式登录路由器/交换机，输入账号abc3和密码
	NE-Juniper-账号口令-03	为了控制不同用户的访问级别，应建立多用户级别。根据用户的业务需求，将用 户账号分配到相应的用户级别	1、参考配置操作: 1）创建用户级别: set system login class ABC1 permissions[view view-configuration] 将用户账号分配到相应的用户级别: set system login user abc1 class read-only set system login user abc2 class ABC 1 set system login user abc3 class super-user 2、补充操作说明: 1）ABC1是手工创建的组，该组具有的权限:查看设备运行状态(如接口状态、设备硬件状态、路由 状态等)，并且可以查看设备的配置. 2）read-only组具有的权限:查看设备运行状态，但不能查看设备的配置。 3）super-user是超级用户组，具有所有权限. 4）read-only和super-user是路由器佼换机已经创建的组，不需要手工创建. 5）abc1, abc2, abc3是不同的用户，它们分别分配到相应的用户级别	用show configuration system login class ABCI查看配置 i.在终端上用telnet方式登录路由器/交换机，输入账号abc1和密码登录路由器/交换机。 用show interfaces terse查看端口状态. 用show configuration查看路由器佼换机配置. 用configure进入路由器/交换机的配置模式. ii.在终端上用telnet方式登录路由器/交换机，输入账号abc2和密码登录路由器佼换机。 用show interfaces terse查看端口状态. 用show configuration查看路由器佼换机配置. 用configure进入路由器咬换机的配置模式. iii.在终端上用telnet方式登录路由器/交换机，输入账号abc3和密码登录路由器佼换机. 用show interfaces terse查看端口状态. 用show configuration查看路由器/交换机配置. 用configure进入路由器/交换机的配置模式	i.  用户abc1属于组read-only，这个组只设置了查看设备运行状态权限，因而可使用show interfaces ters 及其他查看路由器/交换机状态的命令，而不能使用show configuration和configure. ii.用户abc2属于组ABC1，这个组设置了查看设备运状态和查看路由器佼换机配置权限，因而可使用 show interfaces ters和其他查看路由器/交换机状态命令及show configuration，不能使用configure. iii.用户abc3属于组super-user，这是超级用户组，具有所有权限，因而可使用全部命令
	NE-Juniper-账号口令-04	应配置定时账户自动登出	1.参考配置操作: set system login class abc idle-timeout 10 2.补充操作说明: 1) abc是class组的名称。 2)配置定时账户自动登出功能，仅能在自定义的class组里定义，不能在系统默认的组(如:super-user, read-only)中配置，因此建议自定义class组	I.使用show configuration system login class abc查看配置. II.在终端上用telnet方式登录路由器/交换机，输入账号密码。 III.让用户处于空闲状态，查看当时间超时是否自动登出	当时间超时 (这里设了10分钟)，用户会自动退出路由器/交换机
	NE-Juniper-账号口令-05	对于采用静态口令认证技术的设备，  口令长度应至少8位，并包括数字、小写字母、大写字母、标点和特殊符号4类中至少3类，且与账号无相关性，同时应定期更换口令，更换周期不大于90天	I.参考配置操作: set system login user abc1 authentication plain-text-password 2.补充操作说明: 1)输入指令回车后，将两次提示输入新口令(New password和Retype new password)· 2)口令要求长度至少8位，并包括数字、小写字母、大写字母、标点和特殊符号5类中至少2类，且与 账号无相关性:同时定期更换口令，更换周期不大于90天	I.用show configuration system login查看配置是否正确。 II.在终端上用telnet方式登录路由器/交换机，输入账号abc1和密码	可以登录路由器/交换机
	NE-Juniper-账号口令-06	应修改root密码	1.参考配置操作: set system root-authentication plain-text-password 2.补充操作说明: 1)输入指令回车后，将两次提示输入新口令(New password和Retype new password): 2)口令要求长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类	I.用show configuration system login查看配置是否正确. II.通过console口方式登录路由器/交换机，输入root账号和密码。 III.通过console口方式登录路由器/交换机，输入root账号和空密码	I.输入root账号和正确密码可以正常登录路由器/交换机。 II.输入root账号和空密码无法登录路由器/交换机
认证授权	E-Juniper-认证授权-01	在设备权限配置能力内，操作指南:应根据用户的业务需要，配置其所需的最小权限	}1.参考配置操作: 1)创建用户级别，即创建用户的配置权限. set system login class ABC1 permissions configure set system login class ABC1 allow-configuration “routing-可选ions staticlinterfacesIchassis fpc” set system login class ABC2 permissions[configure routing-control] 2)将用户账号分配到相应的用户级别. set system login user abcl class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super-user 2.补充操作说明: 1) ABC1组具有的权限:可配置interfaces，可配置routing一可选ions中的static，可配置chassis中的卜. 2) ABC2组具有的权限:可配置有关于路由的所有配置，包括routing-可选ions, protocols, policy一可选 ions, routing-instances等. 3) allow-configuration参数是以等级来限制，可以限制各个等级的配置，可以细化到各个小等级. 4) permissions参数是以功能来限制，限制的范围较大. 5) allow-commands参数是以具体的指令来限制，allow-comands参数需要设定具体指令，不建议使用	i.用show configuration system login class ABC1查看配置。 用show configuration system login class ABC2查看配置. ii.在终端上用telnet方式登录路由器/交换机，输入账号abc1和密码。 使用configure进入配置模式. set routing一可选ions static set interfaces set chassis fpc 使用其他set命令检测。 在终端上用telnet方式登录路由器/交换机，输入账号abc2和密码。 使用configure进入配置模式. set policy一可选ions set protocols set routing-instances set routing-可选ions 使用其他set命令检测。 在终端上用telnet方式登录路由器/交换机，输入账号abc3和密码。 使用configure进入配置模式。使用se偷令以及其他命令检测	I.账号abc1属于组ABC1，该组只能配置routing-可选ions static, interfaces, Chassis fpc项里的内容. 不能做其他未授权的配置。 II.账号abc2属于组ABC2，该组只能配置关于路由的所有配置，包括routing-可选ions, protocols, policy- 可选ions, routing-instances等，不能做其他未授权的配置。 III.账号abc3属于组super-user，拥有全部配置权限
	E-Juniper-认证授权-02	系统远程管理服务TELNET.操作指南:SSH应只允许特定地址访问	1.参考配置操作: set firewall filter abc term a from source-address 10.1.1.1/32 set firewall filter abc term a from source-address 10.1.1.2/32 set firewall filter abc term a then accept set firewall filter abc term b from protocol tcp port telnet set firewall filter abc term b then reject set firewall filter abc term c then accept 2.补充操作说明: I) abc为filter名称，可自定义。 2) 10.1.1.1/32和10.1.1.2/32上允许telnet的主机IP地址。 3) term a实现的功能:允许特定地址访问。 4) term b实现的功能:除了允许特定地址访问之外，不允许其他地址访问telne端口	i.便用show configuration firewall filter abc查看配置 ii.在终端上以源地址10.1.1.1或10.1.1.2通过telnet方式登录路由器/交换机。 iii.在终端上以非允许的IP地址为源地址使用telnet连接到路由器/交换机	I.以源地址10.1.1.1或10.1.1.2通过telnet方式能够登录路由器/交换机。 II.以非允许的ip为源地址通过telnet访式无法登陆路由器/交换机
	E-Juniper-认证授权-03	应通过相关参数配置，与认证系统联动，满足账号、口令和授权的强制要求	I.参考配置操作: set system authentication-order radius set system authentication-order password set system radius-server 10.1.1.1 set system radius-server 10.1.1.2 set system radius-server 10.1.1.1 port 1645 set system radius-server 10.1.1.2 port 1645 set system radius-server 10.1.1.1 secret abc123 set system radius-server 10.1.1.2 secret abc 123 2.补充操作说明: 1)配置认证方式可通过radius和本地认证. 2) 10.1.1.1和10.1.1.2是radius认证服务器的IP地址，建议建立两个radius认证服务器作互备。 3) port 1645是radius认证开启的端口号，可根据本地radius认证服务器开启的端口号配置. 4) abc123是与radius认证系统建立连接所设定的密码，建议与radius认证服务器建立连接时使用密码认 证建立连接	I.使用show configuration system查看配置. II.查看Radius服务器配置。 III.用本地账号登录到路由器/交换机，ping Radius服务器地址10.1.1.1和10.1.1.2. IV.使用Raidus服务器建立的账号通过telnet方式登录路由器/交换机。 V.检查授权内的命令是否可用及其他未授权的命令	I.可以正常ping通Radius服务器的IP地址。 II.用户可以登录路由器/交换机。 III.用户只能使用授权内的命令
日志安全	NE-Juniper-日志安全一01	应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址	1.参考配置操作: set system syslog file author.log authorization info 2.补充操作说明: 1）author.log是记录登录信息的log文件，该文件名可手工定义. 2）author.log保存在路由器/交换机上	I.使用show configuration system syslog查看配置。 II.在终端上使用telne访式登录路由器/交换机，输入账号密码。 III.使用show log author. log查看日志	在author. log中查看到账号、登录时间和源IP等内容
	NE-Juniper-日志安全一02	应配置日志功能，记录用户对设备的操作，比如账号创建、删除和权限修改、口令修改、读取和修改设备配置。记录 需要包含用户账号、操作 时间、操作内容以及操作结果	1.参考配置操作: set system syslog file messages any any 2.补充操作说明: 1）messages是记录所有log的文件，该文件名可手工定义. 2）messages保存在路由器/交换机上	I.使用show configuration system syslog查看配置. II.在终端上以telnet方式登录路由器/交换机，输入账号密码。 III.进行创建删除账号修改账号密码修改设备配置操作。 IV.用show log message.log查看日志	在message.log中查看到用户的操作内容、操作时间、操作结果等所有路由器/交换机的log信息
	NE-Juniper-日志安全一03	应配置日志功能，记录对与设备相关  的安全事件，比如记录路由协议事件和错	1.参考配置操作: set system syslog file daemon.log daemon warning set system syslog file firewall.log firewall warning 2.补充操作说明: 1）daemon.Iog是记录路由协议事件的文件，该文件名可手工定义。 2）firewall.log是记录路由安全事件的文件，该文件名可手工定义. 3）daemon和firewall可定义九个等级，建议将其设定为warning级，即仅记录warning级以上的安全事件	i.使用show configuration查看配置. ii.重启路由进程，如bgp. ospf(该操作可能会影响业务、不建议现网操作) iii.使用show log daemon.log和show log firewall.log查看日志	在daemoniog中查看到路由事件及相关路由信息
	NE-Juniper-日志安全一04	应配置远程日志功能，将需要重点关注的日志内容上传到日志服务器	1.参考配置操作: set system syslog host 10.1.1.1 any notice set system syslog host 10.1.1.1 log-prefix Router1 set system syslog host 10.1.1.2 any notice set system syslog host 10. 1. 1.2 log-prefix Router2 2。补充操作说明: 1）10.1.1.1和10.1.1.2是远程日志服务器的lP地址，建议建设两个远程日志服务器作为互备。 2）syslog有九个等级的记录信息，建议将notice级以上的信息上传到远程日志服务器. 3）Routerl为路由器/交换机的全机名称·	I.使用show configuration system syslog查看配置。II.登录远程日志服务器查看日志	日志服务器上记录相关路由器/交换机的notice级以上的信息
	NE-Juniper-日志安全一05	设置系统的配置更改信息应保存到单独的change.log文件内	I.参考配置操作: set system syslog file change.log change-log info 2.补充操作说明: 1) change.log是记录配置更改的文件，该文件名可手工定义. 2) change.log保存在路由器/交换机上	I.使用show configuration system syslog查看配置. II.在终端上以telnet方式登录路由器/交换机，输入账号密码. III.进行创建删除账号、修改用户密码和修改设备配置操作。 Iv.用show log change.log查看日志	在change.log中查看到用户的操作内容、操作时间
	NE-Juniper-日志安全一06	应开启NTP服务，保证日志功能记录的时间的准确性。路由器/交换机与NTP SERVER之间应开启认证功能	I.参考配置操作: set system ntp authentication-key I type md5 value abc123 set system ntp server 10.1.1.1 set system ntp server 10.1.1.2 2.补充操作说明: 1) abc123是路由器/交换机与NTP SERVER之间md5认证密码. 2) 10.1.1.1和10.1.1.2是NTP SETVER的IP地址，建议建立两个NTP服务器作为互备	I.使用show configuration system ntp查看配置. II.使用show system uptime查看路由器/交换机时间，并与北京时间对比. III.使用show ntp associations查看路由器/交换机是否与NTP服务器同步. IV.使用show ntp status查看路由器/交换机时间同步状态	用show ntp arsuciations查看信息. remote    refid   st t when poll *ROUTER1 10.1.1.1    2 u  641  1024 +ROUTER2 10.1.1.2  2 u  713  1024 reach    delay  offset   jitter 377    0.964 -24.126   0.067 377    4.490 -12.013   0.457 ROUTERI前面的(*)表示ROUTERI是己与路由器佼换机时间同步的N，服务器，(+)为备用的NTP 服务器。 II.用show ntp status查看信息. status=0644 leapes none, syncs_ntp, 4 events, event_peer/strat_chg, version=”ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1)”, processor-‘i386″, system=”JUNOS7.3R2.7″, leap00, stratum=3, precision=28, rootdelay=9.814, rootdispersion=102.250, peer 42484, refid=ROUTER 1. gd.cnmobile.net, reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10, clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4, offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 “sync_ntp”表示路由器/交换机时间已与NTp服务器同步，”sync_unspec”即未同步
协议安全	E-Juniper-协议安全-01	对于具备TCP/IJDP协议功能的设备，应根据业务需求，配置基于源IP地址、TCP/UDP、目的IP地址、源端 口、目的端口的流量过滤，过滤所有和业务不相关的流量	1.参考配置操作: set firewall filter abc term a from source-address 10.1.1.1/32 set firewall filter abc term a from destination-address 10.1.2.1/32 set firewall filter abc term a from protocol tcp set firewall filter abc term a from protocol udp set firewall filter abc term a from source-port 445 set firewall filter abc term a from destination-port 145 set firewall filter abc term a then accept set firewall filter abc term b then reject 2.补充操作说明: 1) abc为filter的名称，可手工定义。 2) a. b为term的名称，可手工定义，一个filter可设定多个term. 3)第一条指令为配置基于源IP地址的过滤，10.1.1.1/32为源EP地址，源地址可以是主机IP，也可以是 网段。 4)第二条指令为配置基于目的IP地址的过滤，10.1.1.2/32为目的IP地址，目的IP地址可以是主机ip” 也可以是网段。 5)第三条指令为配置TCP. 6)第四条指令为配置UDP. 7)第五条指令为配置基于源端口，445是端口号，端口号可根据需求设置。 8)第六条指令为配置基于目的端口，145是端口号，端口号可根据需求设置。 9)第七条指令为允许，即符合from里的条件时，允许该数据包通过;若设置为reject，则符合from里的条件时，不允许数据包通过。 10)第八条指令拒绝为所有不符合term a条件的数据包通过(then之后可根据需求设置为reject或者 accept)。 11)应使用如下指令将filter绑定到指定接口，该filter才能生效: set interfaces fe-0/0/0 unit 0 family inet filter input abc	I.使用show configuration firewall filter abc查看配置. II.将终端的EP地址设为10.1.1.1. III.在终端安装Nmap端口扫描工具(本例基于windows XP2系统) IV.在DOS下输入:nmap -sS -g 445 10.1.2.1 -p 145 该指令为以源端口445访问主机IP地址10.1.2.1的TCP 145端口。 V.用nmap访问其他非业务端口，如访问80端口。 在DOS下输入:nmap -sS 10.1.2.1-p 80 该指令为以任何端口访问10.1.2.1的TCP 80端口。 VI.运行真实业务测试业务流量和非业务流量	I.用nmap -sS -g 445 10.1.2.1，145扫描端口，出现如下信息为正常: Interesting ports on 10.1.2.1: PORT STATE SERVICE 145/tcp open uaac II.用nmap -sS 10.1.2.1一p80访问非业务端口，出现如下信息为正常: Interesting ports on 10.1.2.1: PORT STATE SERVICE 80/tcp closed http IIl.真实业务流量正常通过，非业务流量禁止通过
	E-Juniper-协议安全-02	网络边界应配置安全访问控制，过滤安全攻击数据包，例如udp1434端口(防止SQL slammerk虫)、tcp445, 5800, 5900(防止Della蠕虫)	1.参考配置操作: set firewall filter abc term a from protocol udp destination-port 1434 set firewall filter abc term a then discard set firewall filter abc term b from protocol tcp port 445 set firewall filter abc term b then discard set firewall filter abc term c from port[5800 5900] set firewall filter abc term c then discard set firewall filter abc term d then accept 2.补充操作说明: I)term a过滤udp 1434端口. 2) term b过滤tcp 445端口. 3) term c过滤5800和5900端口。 4)务必在最后的term放通所有业务。 5)将该filter,用于网络边界端口，使用 set interfaces fe-0/0/0 unit 0 family inet filter input abc	i.使用show configuration firewall查看配置. ii.路由器/交换机下连接一台服务器，开放1434. 445. 5800、5900端口。 iii.路由器佼换机边界外通过telnet方式访问服务器1434. 445. 5800、5900端口. V.telnet服务器其他未被限制的端口	I.不能telnet 1434. 445.. 5800. 5900被限制的端口。 II.能telnet其他未被限制的端口
	E-Juniper-协议安全-03	启用动态路由协议 (BGP/ MP-BGP /OSPF等)时，应配置带加密方式的身份验证功能，相邻路由器咬换机只有在身份验证通过后，才能互相通告路由信息	1.参考配置操作: set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 set protocols ospf area 0.0.0.0 authentication-type md5 2.补充操作说明: 10.1.1.1为对端BGP peer的IP地址，可根据需求设定	1.使用show configuration protocol查看配置. 2.使用show bgp neighborlf看BGP邻居状态. 3.使用show route protocol bgp brie喳看BGP路由表. 4.使用show ospf neighboz查看OSPF邻居状态. 5.使用show route protocol ospf brie喳看OSPF路由表. 6.使用ping检查路由连通性	1、配置已经启用加密的身份认证。 2、BGP邻居处于establish状态，能学到邻居的路由。 3、OSPF邻居处于full状态，能学到邻居的路由。 4、路由连通
	E-Juniper-协议安全-04	配置 MP-BGP路由协然:应配置MD5加煮认证:通过MD5加密认证建立peer	1.参考配置操作: set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 2.补充操作说明: 1) abc为group的名称，可根据需求设定. 2) 10.1.1.1为对端peer的IP地址，可根据需求设定. 3) abc123为MD5加密认证的认证密码，该密码和对端peer的密码一致	I。使用show configuration protocol bgp查看配置. II.使用show bgp neighbor查看BGP邻居状态. III.使用show route protocol bgp brie查看BGP路由表. IV.使用ping检查路由的连通性	I.启用加密的身份认证。 II. BGP邻居处于establish状态，能学到邻居的路由。 III.路由连通
	E-Juniper-协议安全-05	配置非点对点OSPF协议，应配置MD5加密认证，通过MD5加密认证建立neighbor	1.参考配置操作: set protocols ospf area 0.0.0.0 authentication-type md5 set protocols ospf area 0.0.0.0 interface fe-0/0/0.0 authentication md5 I key abc 123 2.补充操作说明: 1) fe-0/0/0为用于建立OSPF的端口，可根据需求设置。 2) abc123为MD5加密认证的认证密码，该密码和对端peer的密码一致	I.使用show configuration查看配置. II.使用show ospf neighbor查看OSPF邻居状态. III.使用show route protocol ospf brie查看OSPF路由表. IV.使用ping检查路由连通性	I.  OSPF邻居处于full状态，能学到邻居路由。 II.路由连通
	E-Juniper-协议安全-06	应制定路由策略，禁止发布或接收不安全的路由信息	1.参考配置操作: set policy-可选ions policy-statement abc term a from route-filter 10.0.0.0/24 exact set policy-可选ions policy-statement abc term a then accept set policy-可选ions policy-statement abc term b then reject 2.补充操作说明: 1）abc是路由策略的名称，该名称可根据需求定义。 2）10.0.0.0/24是将发布(或接收)或者禁止发布的(或接收)路由，可根据需求设置. 3）制定路由策略后，应将该策略应用于路由协议才生效	I.使用show policy abc查看配置. n.在邻居的路由器/交换机上使用show route查看路由表。 III.在邻居的路由器/交换机上使用ping测试连通性	I.邻居路由器/交换机只收到被允许发布的路由。 II.所发布的路由连通
	E-Juniper-协议安全-07	应配置SNMP访问安全限制 ，只允许特定主机通过SNMP访问网络设	1.参考配置操作: set snmp community abcd123 clients 10.1.1.1/32 set snmp community abcd123 clients 10.1.2.1/32 set snmp community abcd123 clients ready-only 2.补充操作说明: 1) abcd123是communtity字符串，可根据需求定义，但应和client主机一致. 2) 10.1.1.1和10.1.2.1是主机IP地址，即允许10.1.1.1.和10.1.2.1主机通过SNMP访问网络设备 3)未在client列表中的主机，不允许通过SNMP访问网络设备。 4)设置主机访问网络设备具有读权限，可根据需求设置为具有读写权限(read-write)	1.使用show configuration sump查看配置. 2.使用show snmp statistics查看snmp统计信息. 3.使用非允许的主机通过SNMP访问网络设备。 4.查看SNMP主机	I.主机10.1.1.1.和10.1.2.1收到网络设备的SNMP信息。II.非允许的主机不能收到网络设备的SNMP信息
	E-Juniper-协议安全-08	应关闭未使用的SNMP协议及未使用的RW权限	默认关闭所有SNMP功能的，按需求启动相应的功能即可	I.使用show configuration snmp查看配置。II.使用show sump statistics查看snmp统计信息	查看配置 ，权限设置符合需求
	E-Juniper-协议安全-09	应配置为SNMP V2或以上版本	I.参考配置操作: set sump trap-group abc 123 version v2 2.补充操作说明: abc123是trap-group组的名称，可根据需求设置	使用show configuration snmp查看配置	查看配置是V2
	E-Juniper-协议安全-10	如接受统一网管系统管理，应配置SNMP V3	1.参考配置操作: set snmp v3 usm local-engine user abc1 authentication-md5 authentication-key set snmp v3 vacm access group CMNET default-context-prefix security-model usm security-level authentication read-view readonly set snmp v3 target-address ta 1 address 10.1.1.1 set snmp v3 target-address ta 1 target-parameters tpl set snmp v3 target-parameters tp 1 parameters message-processing-model v3 set snmp v3 target-parameters tp 1 parameters security-model usm set snmp v3 target-parameters tp 1 parameters security-level none set snmp v3 target-parameters tp 1 parameters security-name abc set snmp v3 snmp-community index1 community-name ABC set snmp v3 snmp-community index 1 security-name abc set snmp engine-id use-mac-address set snmp view readonly oid .1.3.6.1.2.1.2 include 补充操作说明: 第一条指令设SNMP V3的用户abc1采用MD5方式认证。 第二条指令设SNMP的访问控制模块(VACM)的参数，访问组为CMNET，安全模式采用基于用 户的模式(USM )，安全级别为验证级别，设定视图为readonly. 第三条指令设SNMP主机组tal，该组包含的地址为211.139.136.100. 4)第四条指令设主机组tal的具体参数引用参数集tpl . 5)第五至八条指令设参数集tp1的具体内容，信息处理采用SNMP V3模式，安全模式采用基于用户模式(USM )，安全级别采用非验证，安全名设为abc. 6)第九至十条指令设SNMP团体号为ABC，安全名为abc. 7)第十一条指令设SNMP引擎ID. 8)第十二条指令设视图readonly管理对象标识	I，使用show configuration snmp查看配置. II.使用show snmp v 3查看各项状态. III.使用show sump statistics查看SNMP数据包统计. IV.查看SNMP主机10.1.1.1	I.使用show snmp v3查看时，各项配置状态为active. II.使用show sump statistics查看时，inputf0output都有流量，Get requests和Get response都有相应统it 数值。 III. SNMP主机收到路由器佼换机的SNMP信息
	E-Juniper-协议安全-11	应配置可接收SNMP消息的主机地址	1.参考配置操作: set snmp trap-group abc 123 targets 10.1.1.1 set snmp trap-group abc 123 targets 10.1.2.1 补充操作说明: 1）abc123为trap-group组名称，可根据需求设置. 2）10.1.1.1和10.1.2.1是主机lP地址，即允许10.1.1.1.和10.1.2.1主机接收该网络设备的SNMP消息	I.使用show configuration snmp查看配置。II.查看IP地址为10.1.1.1和10.1.2.1的主机	主机10.1.1.1和10.1.2.1收到路由器/交换机的SNMP信息
	E-Juniper-协议安全-12	启用RSVP标签分发协议时，应配 置RSVP协议认证功能，如MD5加密	1.参考配置操作: set protocols rsvp interface fe-0/0/0.0 authentication-key abc123 2.补充操作说明: abc123为MD5加密密码	I.使用show configuration protocols rsvp查看配置. II.使用show rsvp neighbor查看rsvp邻居状态. III.使用show rsvp session查看rsvp session	I.各邻居状态为UPo II.各RSVP session状为UP
其他安全	E-Juniper-其他安全一01	应开启配置文件定期备份功能，定期备份配置文件	1.参考配置操作: set system archival configuration transfer-interval 2880 set system archival configuration archive-sites彻://j uniper@ 10.1.1.1 password abc 123 set system archival configuration archive-sites即巧[email protected] password abcl23 2.补充操作说明: 1）2880为时间间隔，单位为分钟，时间间隔可设的范围为15-2880. 2）juniper为ftP账号，10.1.1.1和10.1.1.2为彻服务器的IP地址，abc123为登录frp服务器的密码，建议设 置两个IP地址作为互备。 3）定期备份仅能通过ftp服务备份. 4）通过定期备份配置文件，时间间隔较短，即备份比较频繁，建议采用transfer-on-commit方式，即 只要执行commit指令.配置将自动备份到ftp服务器. 5）set system archival configuration transfer-on-commit 6）transfer-interval和transfer-on-commit方式不能共存	I.便用show configuration system archival查看配置- II.设为transfer-on-commit模式。 III.在路由器/交换机上执行commit命令. Iv.在FTP服务器10.1.1.1和10.1.1.2上查看备份文件	在路由器咬换机上执行commit后，路由器/交换机将发送当前配置文件到FTP服务器，在FTP服务器上查看到最新的配置备份文件
	E-Juniper-其他安全一02	应关闭不必要的服务，如FTP. TFTP等	1.参考配置操作: delete system services ftp 2.补充操作说明: 默认关闭FTP	I.使用show configuration system services查看配置。II.通过ftp登录juniper设备，查看是否可以正常登录	I.查看路由器/交换机配置FTPoII.通过ftp不能登录juniper设备
	E-Juniper-其他安全一03	配置TELNET等远程维护方式时，应配置连接最大数量限制为10个，且每分钟最多为5个，防止TELNET端口上的SYN flood DoS攻击	set system services telnet connection-limit 10 set system services telnet rate-limit 5	I.使用show configuration system services telney查看配置。 II.从终端向路由器/交换机发起超过10个telnet进程	I.路由器/交换机的telnet连接同时不超过10个。II.每分钟不超过5个telnet连接为正常	工信部标准-网络设备检查表