Juniper路由安全配置基线(4)

Juniper路由器安全配置基线

2、补充操作说明 （1）、10.1.1.1和10.1.1.2是远程日志服务器的IP地址，建议建设两个远程日志服务器作为互备； （2）、syslog有九个等级的记录信息，建议将notice等级以上的信息传送到远程日志服务器； （3）、Router1为路由器的主机名称。 基线符合性判定依据 1、 判定条件 日志服务器可以记录相关路由器的notice等级以上的信息为正常。 2、 检测操作 （1）、使用show configuration system syslog命令查看配置； （2）、登录远程日志服务器查看日志。 3、 补充说明 备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。建议核心设备必选，其它根据实际情况启用 3.1.5 设置系统的配置更改信息

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 设置系统的配置更改信息安全基线要求项 SBL-JuniperRouter-03-01-05 设置系统的配置更改信息保存到单独的change.log文件内 1、参考配置操作 set system syslog file change.log change-log info 2、补充操作说明 （1）、change.log是记录配置更改的文件，该文件名称可手工定义； （2）、change.log文件保存在juniper路由器的存储上。 基线符合性判定依据 1、 判定条件 可以在change.log中查看到用户的操作内容、操作时间。 2、 检测操作 （1）、使用show configuration system syslog命令查看配置； 中国移动通信有限公司

第 12 页 共 42 页

Juniper路由器安全配置基线

（2）、在终端上以telnet方式登录路由器,输入用户名密码； （3）、进行创建、删除帐号和修改用户密码等修改设备配置操作； （4）、用show log change.log命令查看日志。 补充说明 备注 3.1.6 保证日志功能记录的时间的准确性

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 保证日志功能记录的时间的准确性安全基线要求项 SBL-JuniperRouter-03-01-06 开启NTP服务，保证日志功能记录的时间的准确性。路由器与NTP SERVER之间开启认证功能。 1、参考配置操作 set system ntp authentication-key 1 type md5 value abc123 set system ntp server 10.1.1.1 set system ntp server 10.1.1.2 2、补充操作说明 （1）、abc123是路由器与NTP SERVER之间md5认证密码； （2）、10.1.1.1和10.1.1.2是NTP SETVER的IP地址，建议建设两个NTP服务器作为互备。 基线符合性判定依据 1、 判定条件 （1）、用show ntp associations命令查看，信息如下面所示: remote refid st t when poll ============================== * ROUTER1 10.1.1.1 2 u 641 1024 + ROUTER2 10.1.1.2 2 u 713 1024 reach delay offset jitter ============================== 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1前面的(*)号表示ROUTER1是已和路由器时间同步的NTP服务器,(+)号为备用的NTP服务器. （2）、有show ntp status命令查看，信息如下: 中国移动通信有限公司 第 13 页 共 42 页

Juniper路由器安全配置基线

status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version=\ 5 18:44:40 GMT 2005 (1)\processor=\precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484, refid=ROUTER1.gd.cnmobile.net, reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10, clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4, offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 如上面信息的第一句第二部分显示”sync_ntp”表示路由器时间已和NTP服务器同步,如果显示”sync_unspec”即未同步.。 2、 检测操作 （1）、使用show configuration system ntp命令查看配置； （2）、使用show system uptime命令查看路由器时间与并与北京时间对比； （3）、使用show ntp associations查看路由器是否与NTP服务器同步； （4）、使用show ntp status查看路由器时间同步状态。 3、 补充说明 备注 中国移动通信有限公司 第 14 页 共 42 页

Juniper路由器安全配置基线

中国移动通信有限公司 第 15 页 共 42 页

Juniper路由器安全配置基线

第4章 IP协议安全配置

4.1 IP协议

4.1.1 远程维护的设备配置加密协议

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 基线符合性判定依据 备注 远程维护的设备配置加密协议安全基线要求项 SBL-JuniperRouter-04-01-01 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。 海外版的Junos不支持SSH协议，美国和加拿大版的Junos才支持该功能 4.1.2 启用带加密方式的身份验证功能*

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 启用带加密方式的身份验证功能安全基线要求项 SBL-JuniperRouter-04-01-02 配置动态路由协议（BGP/ MP-BGP /OSPF等）时必须启用带加密方式的身份验证功能，相邻路由器只有在身份验证通过后，才能互相通告路由信息。 1、参考配置操作 set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 set protocols ospf area 0.0.0.0 authentication-type md5 2、补充操作说明 10.1.1.1为对端BGP peer的IP地址，可根据需求设定。 中国移动通信有限公司 第 16 页 共 42 页

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库Juniper路由安全配置基线(4)在线全文阅读。