收藏
下载资源 加入VIP,免费下载

管理制度-JUNIPER路由器安全配置规范最新版 精品.doc

上传人:lao****ou 文档编号:27490 上传时间:2022-11-07 格式:DOC 页数:33 大小:417.94KB
下载 相关 举报
管理制度-JUNIPER路由器安全配置规范最新版 精品.doc_第1页
第1页 / 共33页
管理制度-JUNIPER路由器安全配置规范最新版 精品.doc_第2页
第2页 / 共33页
管理制度-JUNIPER路由器安全配置规范最新版 精品.doc_第3页
第3页 / 共33页
管理制度-JUNIPER路由器安全配置规范最新版 精品.doc_第4页
第4页 / 共33页
管理制度-JUNIPER路由器安全配置规范最新版 精品.doc_第5页
第5页 / 共33页
亲,该文档总共33页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《管理制度-JUNIPER路由器安全配置规范最新版 精品.doc》由会员分享,可在线阅读,更多相关《管理制度-JUNIPER路由器安全配置规范最新版 精品.doc(33页珍藏版)》请在第一文库网上搜索。

1、20XX-01-01实施20XX-12-13发布Juniper路由器安全配置规范Specification for Juniper Router Configuration Used in China Mobile版本号:. 网络与信息安全规范编号:【网络与信息安全规范】【第二层:技术规范网元类】【第2501号】?中国移动通信集团公司 发布目录1概述11.1适用范围11.2内部适用性说明11.3外部引用说明21.4术语和定义21.5符号和缩略语22JUNIPER路由器安全配置要求32.1账号管理、认证授权32.1.1账号32.1.2口令62.1.2授权72.1.3认证92.2日志要求102.3

2、IP协议安全要求142.3.1基本协议安全142.3.2路由协议安全162.3.3SNMP协议安全202.3.4MPLS安全222.4设备其他安全23前言本标准由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。本标准起草单位:中国移动通信有限公司网络部。本标准解释单位:同提出单位。本标准主要起草人:中国移动集团广东公司 吴卓明 13802880701 中国移动通信集团公司 陈敏时 139117738021 概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的Juniper路由器。本规范明确了Juniper路由器安全配置方面的基本要求。1.2 内部适用性

3、说明本规范是在中国移动设备通用设备安全功能和配置规范(以下简称通用规范)各项设备配置要求的基础上,提出的Juniper路由器安全配置规范。以下分项列出本规范对通用规范设备配置要求的修订情况。设备通用安全配置要求编号采纳意见补充说明安全要求-设备-通用-配置-1-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-1”安全要求-设备-通用-配置-2-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-2”安全要求-设备-通用-配置-3-可选不采纳系统不支持安全要求-设备-通用-配置-4完全采纳安全要求-设备-通用-配置-5完全采纳安全要求-设备-通用-配置-6-可选不采纳系统

4、不支持安全要求-设备-通用-配置-7-可选不采纳系统不支持安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12完全采纳安全要求-设备-通用-配置-13-可选部分采纳参见“安全要求-设备-通用-JUNIPER-配置-10”安全要求-设备-通用-配置-24-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-11”安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-16-可选完全采纳安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19-可选部分采纳参见“安全要求-设备-通用-JUNIPER-配置-26-可选”安全要求-设备

5、-通用-配置-20-可选不采纳系统不支持安全要求-设备-通用-TY-GN-27-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-27”本规范新增的安全配置要求,如下:安全要求-设备-通用-JUNIPER-配置-3安全要求-设备-通用-JUNIPER-配置-6安全要求-设备-通用-JUNIPER-配置-8-可选安全要求-设备-通用-JUNIPER-配置-13安全要求-设备-通用-JUNIPER-配置-14-可选安全要求-设备-通用-JUNIPER-配置-17-可选安全要求-设备-通用-JUNIPER-配置-18安全要求-设备-通用-JUNIPER-配置-19安全要求-设备-通用-J

6、UNIPER-配置-20安全要求-设备-通用-JUNIPER-配置-21-可选安全要求-设备-通用-JUNIPER-配置-22安全要求-设备-通用- JUNIPER -配置-23-可选安全要求-设备-通用- JUNIPER -配置-24-可选安全要求-设备-通用- JUNIPER -配置-25-可选安全要求-设备-通用-JUNIPER-配置-28安全要求-设备-通用-JUNIPER-配置-29安全要求-设备-通用-JUNIPER-配置-30-可选?安全要求-设备-通用-JUNIPER-配置-31-可选?安全要求-设备-通用-JUNIPER-配置-32安全要求-设备-通用-JUNIPER-配置-

7、33安全要求-设备-通用-JUNIPER-配置-34-可选安全要求-设备-通用-JUNIPER-配置-35本规范还针对通用规范中所列的配置要求,给出了在Juniper路由器上的具体配置方法和检测方法。1.3 外部引用说明中国移动设备通用安全功能和配置规范1.4 术语和定义1.5 符号和缩略语缩写英文描述中文描述2 Juniper路由器安全配置要求本规范所指的设备为Juniper路由器设备。本规范提出的安全配置要求,在未特别说明的情况下,均适用于所有版本的Juniper路由器。本规范从Juniper路由器的认证授权功能、安全日志功能以及路由协议安全功能,和其他自身安全配置功能8个方面提出安全要求

8、。2.1 账号管理、认证授权认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限,并限制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。对于存在字符或图形界面(WEB界面)的人机交互的设备,应提供账号管理及认证授权功能,并应满足以下各项要求。2.1.1 账号编号:安全要求-设备-通用-JUNIPER-配置-1要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作set system login user abc

9、1set system login user abc22、补充操作说明1、abc1和abc2是两个不同的账号名称,可根据不同用户,取不同的名称;2、账号取名,建议使用:姓名的简写手机号码。检测方法3、 判定条件各账号都可以登录路由器为正常4、 检测操作(1)、用show configuration system login命令查看配置是否正确(2)、在终端上用telnet方式登录路由器,输入用户名abc1和密码(3)、在终端上用telnet方式登录路由器,输入用户名abc2和密码)5、 补充说明编号:安全要求-设备-通用-JUNIPER-配置-2要求内容应删除与设备运行、维护等工作无关的账号。

10、操作指南1、参考配置操作delete system login user abc32、补充操作说明abc3是与工作无关的账号。检测方法3、 判定条件被删除的与工作无关的账号abc3不能登录为正常。4、 检测操作(1)、用show configuration system login命令查看配置是否正确。(2)、在终端上用telnet方式登录路由器,输入用户名abc3和密码。5、 补充说明编号:安全要求-设备-通用-JUNIPER-配置-3要求内容为了控制不同用户的访问级别,建立多用户级别,根据用户的业务需求,将用户账号分配到相应的用户级别。操作指南1、参考配置操作创建用户级别:set syst

11、em login class ABC1 permissions view view-configuration 将用户账号分配到相应的用户级别:set system login user abc1 class read-onlyset system login user abc2 class ABC1set system login user abc3 class super-user2、补充操作说明(1)、ABC1是手工创建的组,该组具有的权限:查看设备运行状态(如接口状态、设备硬件状态、路由状态等),并且可以查看设备的配置;(2)、read-only组具有的权限:查看设备运行状态,但不能查

12、看设备的配置;(3)、super-user是超级用户组,具有的权限:所有权限;(4)、read-only和super-user是路由器已经创建的组,不需要手工创建;(5)、abc1、abc2、abc3是不同的用户,它们分别分配到相应的用户级别。检测方法3、判定条件(1)、用户abc1属于组read-only,这个组只设置了查看设备运行状态权限,因而可使用show interfaces ters及其它查看路由器状态的命令,而不能使用show configuration和configure命令(2)、用户abc2属于组ABC1,这个组设置了查看设备运状态和查看路由器配置权限,因而可使用show i

13、nterfaces ters和其它查看路由器状态命令及show configuration命令,不能使用 configure命令(3)、用户abc3属于组super-user,这是超级用户组,具有所有权限,因而可使用全部命令。6、 检测操作(1)、用show configuration system login class ABC1命令查看配置(2)、在终端上用telnet方式登录路由器,输入用户名abc1和密码成功登录路由器后,用show interfaces terse命令查看端口状态;用show configuration命令查看路由器配置;用configure命令进入路由器的配置模式。

14、(3)、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后,用show interfaces terse命令查看端口状态;用show configuration命令查看路由器配置;用configure命令进入路由器的配置模式。(4)、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后,用show interfaces terse命令查看端口状态;用show configuration命令查看路由器配置;用configure命令进入路由器的配置模式。7、 补充说明2.1.2口令编号:安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作set system login user abc1 authentication plain-text-password 2、补充操作说明(1)、输入指令回车后,将两次提示输入新口令(New password:和Retype new password:)。(2)、口令要求

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 企业管理 > 发展战略

copyright@ 2008-2022 001doc.com网站版权所有   

经营许可证编号:宁ICP备2022001085号

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有,必要时第一文库网拥有上传用户文档的转载和下载权。第一文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知第一文库网,我们立即给予删除!



客服