微慑信息网

工信部标准-网络设备检查表 - vulsee.com

编号 要求内容 操作指南 检测方式 判断条件 补充说明
账号口令 NE-Juniper-账号口令-01 应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用
的账号共享
1.参考配置操作:
set system login user abc1
set system login user abc2
2.补充操作说明:
1)abc1和abc2是两个不同的账号名称,可根据不同用户,取不同的名称.
2)账号取名建议使用,姓名的简写+手机号码
i.用show configuration system login查看配置是否正确.
ii.在终端上用telnet方式登录路由器/交换机,输入账号abc1和密码。
iii.在终端上用telnet方式登录路由器/交换机,输入账号abc2和密码
各账号都可以登录路由器/交换机
NE-Juniper-账号口令-02 应删除与设备运行、维护等工作无关的账号 1.参考配置操作:delete system login user abc3
2. 补充操作说明:abc3是与工作无关的账号
I.用show configuration system login查看配置是否正确。
II.在终端上用telnet方式登录路由器/交换机,输入账号abc3和密码
NE-Juniper-账号口令-03 为了控制不同用户的访问级别,应建立多用户级别。根据用户的业务需求,将用 户账号分配到相应的用户级别 1、参考配置操作:
1)创建用户级别:
set system login class ABC1 permissions[view view-configuration]
将用户账号分配到相应的用户级别:
set system login user abc1 class read-only
set system login user abc2 class ABC 1
set system login user abc3 class super-user
2、补充操作说明:
1)ABC1是手工创建的组,该组具有的权限:查看设备运行状态(如接口状态、设备硬件状态、路由
状态等),并且可以查看设备的配置.
2)read-only组具有的权限:查看设备运行状态,但不能查看设备的配置。
3)super-user是超级用户组,具有所有权限.
4)read-only和super-user是路由器佼换机已经创建的组,不需要手工创建.
5)abc1, abc2, abc3是不同的用户,它们分别分配到相应的用户级别
用show configuration system login class ABCI查看配置
i.在终端上用telnet方式登录路由器/交换机,输入账号abc1和密码登录路由器/交换机。
用show interfaces terse查看端口状态.
用show configuration查看路由器佼换机配置.
用configure进入路由器/交换机的配置模式.
ii.在终端上用telnet方式登录路由器/交换机,输入账号abc2和密码登录路由器佼换机。
用show interfaces terse查看端口状态.
用show configuration查看路由器佼换机配置.
用configure进入路由器咬换机的配置模式.
iii.在终端上用telnet方式登录路由器/交换机,输入账号abc3和密码登录路由器佼换机.
用show interfaces terse查看端口状态.
用show configuration查看路由器/交换机配置.
用configure进入路由器/交换机的配置模式
i.  用户abc1属于组read-only,这个组只设置了查看设备运行状态权限,因而可使用show interfaces ters
及其他查看路由器/交换机状态的命令,而不能使用show configuration和configure.
ii.用户abc2属于组ABC1,这个组设置了查看设备运状态和查看路由器佼换机配置权限,因而可使用
show interfaces ters和其他查看路由器/交换机状态命令及show configuration,不能使用configure.
iii.用户abc3属于组super-user,这是超级用户组,具有所有权限,因而可使用全部命令
NE-Juniper-账号口令-04 应配置定时账户自动登出 1.参考配置操作:
set system login class abc idle-timeout 10
2.补充操作说明:
1) abc是class组的名称。
2)配置定时账户自动登出功能,仅能在自定义的class组里定义,不能在系统默认的组(如:super-user,
read-only)中配置,因此建议自定义class组
I.使用show configuration system login class abc查看配置.
II.在终端上用telnet方式登录路由器/交换机,输入账号密码。
III.让用户处于空闲状态,查看当时间超时是否自动登出
当时间超时 (这里设了10分钟),用户会自动退出路由器/交换机
NE-Juniper-账号口令-05 对于采用静态口令认证技术的设备,  口令长度应至少8位,并包括数字、小写字母、大写字母、标点和特殊符号4类中至少3类,且与账号无相关性,同时应定期更换口令,更换周期不大于90天 I.参考配置操作:
set system login user abc1 authentication plain-text-password
2.补充操作说明:
1)输入指令回车后,将两次提示输入新口令(New password和Retype new password)·
2)口令要求长度至少8位,并包括数字、小写字母、大写字母、标点和特殊符号5类中至少2类,且与
账号无相关性:同时定期更换口令,更换周期不大于90天
I.用show configuration system login查看配置是否正确。
II.在终端上用telnet方式登录路由器/交换机,输入账号abc1和密码
可以登录路由器/交换机
NE-Juniper-账号口令-06 应修改root密码 1.参考配置操作:
set system root-authentication plain-text-password
2.补充操作说明:
1)输入指令回车后,将两次提示输入新口令(New password和Retype new password):
2)口令要求长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类
I.用show configuration system login查看配置是否正确.
II.通过console口方式登录路由器/交换机,输入root账号和密码。
III.通过console口方式登录路由器/交换机,输入root账号和空密码
I.输入root账号和正确密码可以正常登录路由器/交换机。
II.输入root账号和空密码无法登录路由器/交换机
认证授权 E-Juniper-认证授权-01 在设备权限配置能力内,操作指南:应根据用户的业务需要,配置其所需的最小权限 }1.参考配置操作:
1)创建用户级别,即创建用户的配置权限.
set system login class ABC1 permissions configure
set system login class ABC1 allow-configuration “routing-可选ions staticlinterfacesIchassis fpc”
set system login class ABC2 permissions[configure routing-control]
2)将用户账号分配到相应的用户级别.
set system login user abcl class ABC1
set system login user abc2 class ABC2
set system login user abc3 class super-user
2.补充操作说明:
1) ABC1组具有的权限:可配置interfaces,可配置routing一可选ions中的static,可配置chassis中的卜.
2) ABC2组具有的权限:可配置有关于路由的所有配置,包括routing-可选ions, protocols, policy一可选
ions, routing-instances等.
3) allow-configuration参数是以等级来限制,可以限制各个等级的配置,可以细化到各个小等级.
4) permissions参数是以功能来限制,限制的范围较大.
5) allow-commands参数是以具体的指令来限制,allow-comands参数需要设定具体指令,不建议使用
i.用show configuration system login class ABC1查看配置。
用show configuration system login class ABC2查看配置.
ii.在终端上用telnet方式登录路由器/交换机,输入账号abc1和密码。
使用configure进入配置模式.
set routing一可选ions static
set interfaces
set chassis fpc
使用其他set命令检测。
在终端上用telnet方式登录路由器/交换机,输入账号abc2和密码。
使用configure进入配置模式.
set policy一可选ions
set protocols
set routing-instances
set routing-可选ions
使用其他set命令检测。
在终端上用telnet方式登录路由器/交换机,输入账号abc3和密码。
使用configure进入配置模式。使用se偷令以及其他命令检测
I.账号abc1属于组ABC1,该组只能配置routing-可选ions static, interfaces, Chassis fpc项里的内容.
不能做其他未授权的配置。
II.账号abc2属于组ABC2,该组只能配置关于路由的所有配置,包括routing-可选ions, protocols, policy-
可选ions, routing-instances等,不能做其他未授权的配置。
III.账号abc3属于组super-user,拥有全部配置权限
E-Juniper-认证授权-02 系统远程管理服务TELNET.操作指南:SSH应只允许特定地址访问 1.参考配置操作:
set firewall filter abc term a from source-address 10.1.1.1/32
set firewall filter abc term a from source-address 10.1.1.2/32
set firewall filter abc term a then accept
set firewall filter abc term b from protocol tcp port telnet
set firewall filter abc term b then reject
set firewall filter abc term c then accept
2.补充操作说明:
I) abc为filter名称,可自定义。
2) 10.1.1.1/32和10.1.1.2/32上允许telnet的主机IP地址。
3) term a实现的功能:允许特定地址访问。
4) term b实现的功能:除了允许特定地址访问之外,不允许其他地址访问telne端口
i.便用show configuration firewall filter abc查看配置
ii.在终端上以源地址10.1.1.1或10.1.1.2通过telnet方式登录路由器/交换机。
iii.在终端上以非允许的IP地址为源地址使用telnet连接到路由器/交换机
I.以源地址10.1.1.1或10.1.1.2通过telnet方式能够登录路由器/交换机。
II.以非允许的ip为源地址通过telnet访式无法登陆路由器/交换机
E-Juniper-认证授权-03 应通过相关参数配置,与认证系统联动,满足账号、口令和授权的强制要求 I.参考配置操作:
set system authentication-order radius
set system authentication-order password
set system radius-server 10.1.1.1
set system radius-server 10.1.1.2
set system radius-server 10.1.1.1 port 1645
set system radius-server 10.1.1.2 port 1645
set system radius-server 10.1.1.1 secret abc123
set system radius-server 10.1.1.2 secret abc 123
2.补充操作说明:
1)配置认证方式可通过radius和本地认证.
2) 10.1.1.1和10.1.1.2是radius认证服务器的IP地址,建议建立两个radius认证服务器作互备。
3) port 1645是radius认证开启的端口号,可根据本地radius认证服务器开启的端口号配置.
4) abc123是与radius认证系统建立连接所设定的密码,建议与radius认证服务器建立连接时使用密码认
证建立连接
I.使用show configuration system查看配置.
II.查看Radius服务器配置。
III.用本地账号登录到路由器/交换机,ping Radius服务器地址10.1.1.1和10.1.1.2.
IV.使用Raidus服务器建立的账号通过telnet方式登录路由器/交换机。
V.检查授权内的命令是否可用及其他未授权的命令
I.可以正常ping通Radius服务器的IP地址。
II.用户可以登录路由器/交换机。
III.用户只能使用授权内的命令
日志安全 NE-Juniper-日志安全一01 应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址 1.参考配置操作:
set system syslog file author.log authorization info
2.补充操作说明:
1)author.log是记录登录信息的log文件,该文件名可手工定义.
2)author.log保存在路由器/交换机上
I.使用show configuration system syslog查看配置。
II.在终端上使用telne访式登录路由器/交换机,输入账号密码。
III.使用show log author. log查看日志
在author. log中查看到账号、登录时间和源IP等内容
NE-Juniper-日志安全一02 应配置日志功能,记录用户对设备的操作,比如账号创建、删除和权限修改、口令修改、读取和修改设备配置。记录 需要包含用户账号、操作 时间、操作内容以及操作结果 1.参考配置操作:
set system syslog file messages any any
2.补充操作说明:
1)messages是记录所有log的文件,该文件名可手工定义.
2)messages保存在路由器/交换机上
I.使用show configuration system syslog查看配置.
II.在终端上以telnet方式登录路由器/交换机,输入账号密码。
III.进行创建删除账号修改账号密码修改设备配置操作。
IV.用show log message.log查看日志
在message.log中查看到用户的操作内容、操作时间、操作结果等所有路由器/交换机的log信息
NE-Juniper-日志安全一03 应配置日志功能,记录对与设备相关  的安全事件,比如记录路由协议事件和错 1.参考配置操作:
set system syslog file daemon.log daemon warning
set system syslog file firewall.log firewall warning
2.补充操作说明:
1)daemon.Iog是记录路由协议事件的文件,该文件名可手工定义。
2)firewall.log是记录路由安全事件的文件,该文件名可手工定义.
3)daemon和firewall可定义九个等级,建议将其设定为warning级,即仅记录warning级以上的安全事件
i.使用show configuration查看配置.
ii.重启路由进程,如bgp. ospf(该操作可能会影响业务、不建议现网操作)
iii.使用show log daemon.log和show log firewall.log查看日志
在daemoniog中查看到路由事件及相关路由信息
NE-Juniper-日志安全一04 应配置远程日志功能,将需要重点关注的日志内容上传到日志服务器 1.参考配置操作:
set system syslog host 10.1.1.1 any notice
set system syslog host 10.1.1.1 log-prefix Router1
set system syslog host 10.1.1.2 any notice
set system syslog host 10. 1. 1.2 log-prefix Router2
2。补充操作说明:
1)10.1.1.1和10.1.1.2是远程日志服务器的lP地址,建议建设两个远程日志服务器作为互备。
2)syslog有九个等级的记录信息,建议将notice级以上的信息上传到远程日志服务器.
3)Routerl为路由器/交换机的全机名称·
I.使用show configuration system syslog查看配置。II.登录远程日志服务器查看日志 日志服务器上记录相关路由器/交换机的notice级以上的信息
NE-Juniper-日志安全一05 设置系统的配置更改信息应保存到单独的change.log文件内 I.参考配置操作:
set system syslog file change.log change-log info
2.补充操作说明:
1) change.log是记录配置更改的文件,该文件名可手工定义.
2) change.log保存在路由器/交换机上
I.使用show configuration system syslog查看配置.
II.在终端上以telnet方式登录路由器/交换机,输入账号密码.
III.进行创建删除账号、修改用户密码和修改设备配置操作。
Iv.用show log change.log查看日志
在change.log中查看到用户的操作内容、操作时间
NE-Juniper-日志安全一06 应开启NTP服务,保证日志功能记录的时间的准确性。路由器/交换机与NTP SERVER之间应开启认证功能 I.参考配置操作:
set system ntp authentication-key I type md5 value abc123
set system ntp server 10.1.1.1
set system ntp server 10.1.1.2
2.补充操作说明:
1) abc123是路由器/交换机与NTP SERVER之间md5认证密码.
2) 10.1.1.1和10.1.1.2是NTP SETVER的IP地址,建议建立两个NTP服务器作为互备
I.使用show configuration system ntp查看配置.
II.使用show system uptime查看路由器/交换机时间,并与北京时间对比.
III.使用show ntp associations查看路由器/交换机是否与NTP服务器同步.
IV.使用show ntp status查看路由器/交换机时间同步状态
  用show ntp arsuciations查看信息.
remote    refid   st t when poll
*ROUTER1 10.1.1.1    2 u  641  1024
+ROUTER2 10.1.1.2  2 u  713  1024
reach    delay  offset   jitter
377    0.964 -24.126   0.067
377    4.490 -12.013   0.457
ROUTERI前面的(*)表示ROUTERI是己与路由器佼换机时间同步的N,服务器,(+)为备用的NTP
服务器。
II.用show ntp status查看信息.
status=0644 leapes none, syncs_ntp, 4 events, event_peer/strat_chg,
version=”ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1)”,
processor-‘i386″, system=”JUNOS7.3R2.7″, leap00, stratum=3,
precision=28, rootdelay=9.814, rootdispersion=102.250, peer 42484,
refid=ROUTER 1. gd.cnmobile.net,
reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10,
clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4,
offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048
“sync_ntp”表示路由器/交换机时间已与NTp服务器同步,”sync_unspec”即未同步
协议安全 E-Juniper-协议安全-01 对于具备TCP/IJDP协议功能的设备,应根据业务需求,配置基于源IP地址、TCP/UDP、目的IP地址、源端 口、目的端口的流量过滤,过滤所有和业务不相关的流量 1.参考配置操作:
set firewall filter abc term a from source-address 10.1.1.1/32
set firewall filter abc term a from destination-address 10.1.2.1/32
set firewall filter abc term a from protocol tcp
set firewall filter abc term a from protocol udp
set firewall filter abc term a from source-port 445
set firewall filter abc term a from destination-port 145
set firewall filter abc term a then accept
set firewall filter abc term b then reject
2.补充操作说明:
1) abc为filter的名称,可手工定义。
2) a. b为term的名称,可手工定义,一个filter可设定多个term.
3)第一条指令为配置基于源IP地址的过滤,10.1.1.1/32为源EP地址,源地址可以是主机IP,也可以是
网段。
4)第二条指令为配置基于目的IP地址的过滤,10.1.1.2/32为目的IP地址,目的IP地址可以是主机ip”
也可以是网段。
5)第三条指令为配置TCP.
6)第四条指令为配置UDP.
7)第五条指令为配置基于源端口,445是端口号,端口号可根据需求设置。
8)第六条指令为配置基于目的端口,145是端口号,端口号可根据需求设置。
9)第七条指令为允许,即符合from里的条件时,允许该数据包通过;若设置为reject,则符合from里的条件时,不允许数据包通过。
10)第八条指令拒绝为所有不符合term a条件的数据包通过(then之后可根据需求设置为reject或者
accept)。
11)应使用如下指令将filter绑定到指定接口,该filter才能生效:
set interfaces fe-0/0/0 unit 0 family inet filter input abc
I.使用show configuration firewall filter abc查看配置.
II.将终端的EP地址设为10.1.1.1.
III.在终端安装Nmap端口扫描工具(本例基于windows XP2系统)
IV.在DOS下输入:nmap -sS -g 445 10.1.2.1 -p 145
该指令为以源端口445访问主机IP地址10.1.2.1的TCP 145端口。
V.用nmap访问其他非业务端口,如访问80端口。
在DOS下输入:nmap -sS 10.1.2.1-p 80
该指令为以任何端口访问10.1.2.1的TCP 80端口。
VI.运行真实业务测试业务流量和非业务流量
I.用nmap -sS -g 445 10.1.2.1,145扫描端口,出现如下信息为正常:
Interesting ports on 10.1.2.1:
PORT STATE SERVICE
145/tcp open uaac
II.用nmap -sS 10.1.2.1一p80访问非业务端口,出现如下信息为正常:
Interesting ports on 10.1.2.1:
PORT STATE SERVICE
80/tcp closed http
IIl.真实业务流量正常通过,非业务流量禁止通过
E-Juniper-协议安全-02 网络边界应配置安全访问控制,过滤安全攻击数据包,例如udp1434端口(防止SQL slammerk虫)、tcp445, 5800, 5900(防止Della蠕虫) 1.参考配置操作:
set firewall filter abc term a from protocol udp destination-port 1434
set firewall filter abc term a then discard
set firewall filter abc term b from protocol tcp port 445
set firewall filter abc term b then discard
set firewall filter abc term c from port[5800 5900]
set firewall filter abc term c then discard
set firewall filter abc term d then accept
2.补充操作说明:
I)term a过滤udp 1434端口.
2) term b过滤tcp 445端口.
3) term c过滤5800和5900端口。
4)务必在最后的term放通所有业务。
5)将该filter,用于网络边界端口,使用
set interfaces fe-0/0/0 unit 0 family inet filter input abc
i.使用show configuration firewall查看配置.
ii.路由器/交换机下连接一台服务器,开放1434. 445. 5800、5900端口。
iii.路由器佼换机边界外通过telnet方式访问服务器1434. 445. 5800、5900端口.
V.telnet服务器其他未被限制的端口
I.不能telnet 1434. 445.. 5800. 5900被限制的端口。
II.能telnet其他未被限制的端口
E-Juniper-协议安全-03 启用动态路由协议 (BGP/ MP-BGP /OSPF等)时,应配置带加密方式的身份验证功能,相邻路由器咬换机只有在身份验证通过后,才能互相通告路由信息 1.参考配置操作:
set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123
set protocols ospf area 0.0.0.0 authentication-type md5
2.补充操作说明:
10.1.1.1为对端BGP peer的IP地址,可根据需求设定
1.使用show configuration protocol查看配置.
2.使用show bgp neighborlf看BGP邻居状态.
3.使用show route protocol bgp brie喳看BGP路由表.
4.使用show ospf neighboz查看OSPF邻居状态.
5.使用show route protocol ospf brie喳看OSPF路由表.
6.使用ping检查路由连通性
1、配置已经启用加密的身份认证。
2、BGP邻居处于establish状态,能学到邻居的路由。
3、OSPF邻居处于full状态,能学到邻居的路由。
4、路由连通
E-Juniper-协议安全-04 配置 MP-BGP路由协然:应配置MD5加煮认证:通过MD5加密认证建立peer 1.参考配置操作:
set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123
2.补充操作说明:
1) abc为group的名称,可根据需求设定.
2) 10.1.1.1为对端peer的IP地址,可根据需求设定.
3) abc123为MD5加密认证的认证密码,该密码和对端peer的密码一致
I。使用show configuration protocol bgp查看配置.
II.使用show bgp neighbor查看BGP邻居状态.
III.使用show route protocol bgp brie查看BGP路由表.
IV.使用ping检查路由的连通性
I.启用加密的身份认证。
II. BGP邻居处于establish状态,能学到邻居的路由。
III.路由连通
E-Juniper-协议安全-05 配置非点对点OSPF协议,应配置MD5加密认证,通过MD5加密认证建立neighbor 1.参考配置操作:
set protocols ospf area 0.0.0.0 authentication-type md5
set protocols ospf area 0.0.0.0 interface fe-0/0/0.0 authentication md5 I key abc 123
2.补充操作说明:
1) fe-0/0/0为用于建立OSPF的端口,可根据需求设置。
2) abc123为MD5加密认证的认证密码,该密码和对端peer的密码一致
I.使用show configuration查看配置.
II.使用show ospf neighbor查看OSPF邻居状态.
III.使用show route protocol ospf brie查看OSPF路由表.
IV.使用ping检查路由连通性
I.  OSPF邻居处于full状态,能学到邻居路由。
II.路由连通
E-Juniper-协议安全-06 应制定路由策略,禁止发布或接收不安全的路由信息 1.参考配置操作:
set policy-可选ions policy-statement abc term a from route-filter 10.0.0.0/24 exact
set policy-可选ions policy-statement abc term a then accept
set policy-可选ions policy-statement abc term b then reject
2.补充操作说明:
1)abc是路由策略的名称,该名称可根据需求定义。
2)10.0.0.0/24是将发布(或接收)或者禁止发布的(或接收)路由,可根据需求设置.
3)制定路由策略后,应将该策略应用于路由协议才生效
I.使用show policy abc查看配置.
n.在邻居的路由器/交换机上使用show route查看路由表。
III.在邻居的路由器/交换机上使用ping测试连通性
I.邻居路由器/交换机只收到被允许发布的路由。
II.所发布的路由连通
E-Juniper-协议安全-07 应配置SNMP访问安全限制 ,只允许特定主机通过SNMP访问网络设 1.参考配置操作:
set snmp community abcd123 clients 10.1.1.1/32
set snmp community abcd123 clients 10.1.2.1/32
set snmp community abcd123 clients ready-only
2.补充操作说明:
1) abcd123是communtity字符串,可根据需求定义,但应和client主机一致.
2) 10.1.1.1和10.1.2.1是主机IP地址,即允许10.1.1.1.和10.1.2.1主机通过SNMP访问网络设备
3)未在client列表中的主机,不允许通过SNMP访问网络设备。
4)设置主机访问网络设备具有读权限,可根据需求设置为具有读写权限(read-write)
1.使用show configuration sump查看配置.
2.使用show snmp statistics查看snmp统计信息.
3.使用非允许的主机通过SNMP访问网络设备。
4.查看SNMP主机
I.主机10.1.1.1.和10.1.2.1收到网络设备的SNMP信息。II.非允许的主机不能收到网络设备的SNMP信息
E-Juniper-协议安全-08 应关闭未使用的SNMP协议及未使用的RW权限 默认关闭所有SNMP功能的,按需求启动相应的功能即可 I.使用show configuration snmp查看配置。II.使用show sump statistics查看snmp统计信息 查看配置 ,权限设置符合需求
E-Juniper-协议安全-09 应配置为SNMP V2或以上版本 I.参考配置操作:
set sump trap-group abc 123 version v2
2.补充操作说明:
abc123是trap-group组的名称,可根据需求设置
使用show configuration snmp查看配置 查看配置是V2
E-Juniper-协议安全-10 如接受统一网管系统管理,应配置SNMP V3 1.参考配置操作:
set snmp v3 usm local-engine user abc1 authentication-md5 authentication-key
set snmp v3 vacm access group CMNET default-context-prefix security-model usm security-level
authentication read-view readonly
set snmp v3 target-address ta 1 address 10.1.1.1
set snmp v3 target-address ta 1 target-parameters tpl
set snmp v3 target-parameters tp 1 parameters message-processing-model v3
set snmp v3 target-parameters tp 1 parameters security-model usm
set snmp v3 target-parameters tp 1 parameters security-level none
set snmp v3 target-parameters tp 1 parameters security-name abc
set snmp v3 snmp-community index1 community-name ABC
set snmp v3 snmp-community index 1 security-name abc
set snmp engine-id use-mac-address
set snmp view readonly oid .1.3.6.1.2.1.2 include
补充操作说明:
第一条指令设SNMP V3的用户abc1采用MD5方式认证。
第二条指令设SNMP的访问控制模块(VACM)的参数,访问组为CMNET,安全模式采用基于用
户的模式(USM ),安全级别为验证级别,设定视图为readonly.
第三条指令设SNMP主机组tal,该组包含的地址为211.139.136.100.
4)第四条指令设主机组tal的具体参数引用参数集tpl .
5)第五至八条指令设参数集tp1的具体内容,信息处理采用SNMP V3模式,安全模式采用基于用户模式(USM ),安全级别采用非验证,安全名设为abc.
6)第九至十条指令设SNMP团体号为ABC,安全名为abc.
7)第十一条指令设SNMP引擎ID.
8)第十二条指令设视图readonly管理对象标识
I,使用show configuration snmp查看配置.
II.使用show snmp v 3查看各项状态.
III.使用show sump statistics查看SNMP数据包统计.
IV.查看SNMP主机10.1.1.1
I.使用show snmp v3查看时,各项配置状态为active.
II.使用show sump statistics查看时,inputf0output都有流量,Get requests和Get response都有相应统it
数值。
III. SNMP主机收到路由器佼换机的SNMP信息
E-Juniper-协议安全-11 应配置可接收SNMP消息的主机地址 1.参考配置操作:
set snmp trap-group abc 123 targets 10.1.1.1
set snmp trap-group abc 123 targets 10.1.2.1
补充操作说明:
1)abc123为trap-group组名称,可根据需求设置.
2)10.1.1.1和10.1.2.1是主机lP地址,即允许10.1.1.1.和10.1.2.1主机接收该网络设备的SNMP消息
I.使用show configuration snmp查看配置。II.查看IP地址为10.1.1.1和10.1.2.1的主机 主机10.1.1.1和10.1.2.1收到路由器/交换机的SNMP信息
E-Juniper-协议安全-12 启用RSVP标签分发协议时,应配 置RSVP协议认证功能,如MD5加密 1.参考配置操作:
set protocols rsvp interface fe-0/0/0.0 authentication-key abc123
2.补充操作说明:
abc123为MD5加密密码
I.使用show configuration protocols rsvp查看配置.
II.使用show rsvp neighbor查看rsvp邻居状态.
III.使用show rsvp session查看rsvp session
I.各邻居状态为UPo
II.各RSVP session状为UP
其他安全 E-Juniper-其他安全一01 应开启配置文件定期备份功能,定期备份配置文件 1.参考配置操作:
set system archival configuration transfer-interval 2880
set system archival configuration archive-sites彻://j uniper@ 10.1.1.1 password abc 123
set system archival configuration archive-sites即巧[email protected] password abcl23
2.补充操作说明:
1)2880为时间间隔,单位为分钟,时间间隔可设的范围为15-2880.
2)juniper为ftP账号,10.1.1.1和10.1.1.2为彻服务器的IP地址,abc123为登录frp服务器的密码,建议设
置两个IP地址作为互备。
3)定期备份仅能通过ftp服务备份.
4)通过定期备份配置文件,时间间隔较短,即备份比较频繁,建议采用transfer-on-commit方式,即
只要执行commit指令.配置将自动备份到ftp服务器.
5)set system archival configuration transfer-on-commit
6)transfer-interval和transfer-on-commit方式不能共存
I.便用show configuration system archival查看配置-
II.设为transfer-on-commit模式。
III.在路由器/交换机上执行commit命令.
Iv.在FTP服务器10.1.1.1和10.1.1.2上查看备份文件
在路由器咬换机上执行commit后,路由器/交换机将发送当前配置文件到FTP服务器,在FTP服务器上查看到最新的配置备份文件
E-Juniper-其他安全一02 应关闭不必要的服务,如FTP. TFTP等 1.参考配置操作:
delete system services ftp
2.补充操作说明:
默认关闭FTP
I.使用show configuration system services查看配置。II.通过ftp登录juniper设备,查看是否可以正常登录 I.查看路由器/交换机配置FTPoII.通过ftp不能登录juniper设备
E-Juniper-其他安全一03 配置TELNET等远程维护方式时,应配置连接最大数量限制为10个,且每分钟最多为5个,防止TELNET端口上的SYN flood DoS攻击 set system services telnet connection-limit 10
set system services telnet rate-limit 5
I.使用show configuration system services telney查看配置。
II.从终端向路由器/交换机发起超过10个telnet进程
I.路由器/交换机的telnet连接同时不超过10个。II.每分钟不超过5个telnet连接为正常  工信部标准-网络设备检查表
赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 工信部标准-网络设备检查表 - vulsee.com

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册