Juniper网络设备安全加固规范.doc

Juniper网络设备安全基线规范2019年9月目录1. 账号管理、认证授权 . 账号 . ELK-Juniper-01-01-01 . ELK-Juniper-01-01-02 . ELK-Juniper-01-01-03 . 口令 . ELK-Juniper-01-02-01 . ELK-Juniper-01-02-02 . ELK-Juniper-01-02-03 . 认证 . ELK-Juniper-01-03-01 92. 日志配置 . ELK-Juniper-02-01-01 . ELK-Juniper-02-01-02 . ELK-Juniper-02-01-03 . ELK-Juniper-02-01-04 . ELK-Juniper-02-01-05 . ELK-Juniper-02-01-06 143. 通信协议 . ELK-Juniper-03-01-01 . ELK-Juniper-03-01-02 . ELK-Juniper-03-01-03 . ELK-Juniper-03-01-04 . ELK-Juniper-03-01-05 . ELK-Juniper-03-01-06 204. 设备其他安全要求 . ELK-Juniper-04-01-01 . ELK-Juniper-04-01-02 . ELK-Juniper-04-01-03 . ELK-Juniper-04-01-04 . ELK-Juniper-04-01-05 24账号管理、认证授权账号 ELK-Juniper-01-01-01编号:ELK-Juniper-01-01-01名称:按照用户类型分配账号实施目的:按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。问题影响:权限不明确,存在用户越权使用的可能。系统当前状态:使用showconfigurationsystemlogin查看当前配置实施方案:1、参考配置操作setsystemloginuserabc1setsystemloginuserabc22、补充操作说明1、abc1和abc2是两个不同的账号名称,可根据不同用户,取不同的名称;2、账号取名,建议使用:姓名的简写+手机号码。回退方案:删除新增加用户判断依据:标记用户用途,定期建立用户列表,比较是否有非法用户实施风险:低重要等级:★★★ELK-Juniper-01-01-02编号:ELK-Juniper-01-01-02名称:删除无效账号实施目的:按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。问题影响:非法利用系统默认账号系统当前状态:使用showconfigurationsystemlogin查看当前配置实施方案:1、参考配置操作deletesystemloginuserabc32、补充操作说明abc3是与工作无关的账号。回退方案:增加被删除的用户判断依据:查看配置文件,核对用户列表。实施风险:低重要等级:★★★ELK-Juniper-01-01-03编号:ELK-Juniper-01-01-03名称:建立分配系统用户组实施目的:为了控制不同用户的访问级别,建立多用户级别,根据用户的业务需求,将用户账号分配到相应的用户级别。问题影响:账号越权使用系统当前状态:使用showconfigurationsystemlogin查看当前配置实施方案:1、参考配置操作创建用户级别:setsystemloginclassABC1permissions[viewview-configuration]将用户账号分配到相应的用户级别:setsystemloginuserabc1classread-onlysetsystemloginuserabc2classABC1setsystemloginuserabc3classsuper-user2、补充操作说明(1)、ABC1是手工创建的组,该组具有的权限:查看设备运行状态(如接口状态、设备硬件状态、路由状态等),并且可以查看设备的配置;(2)、read-only组具有的权限:查看设备运行状态,但不能查看设备的配置;(3)、super-user是超级用户组,具有的权限:所有权限;(4)、read-only和super-user是路由器已经创建的组,不需要手工创建;(5)