JUNIPER路由器安全配置规范(最新版)

1、J u n i p e r 路路 由由 器器 安安 全全 配配 置置 规规 范范 S S p p e e c c i i f f i i c c a a t t i i o o n n f f o o r r J J u u n n i i p p e e r r R R o o u u t t e e r r C C o o n n f f i i g g u u r r a a t t i i o o n n U U s s e e d d i i n n C C h h i i n n a a M M o o b b i i l l e e 版版 本本 号号 ： . . 网络与信息安全规

2、范编号网络与信息安全规范编号:【网络与信息安全规范网络与信息安全规范】【】【第二层：技术规范第二层：技术规范网元类网元类】【】【第第 2501 号号】？ 2007-12-13 发布2008-01-01 实施 中国移动通信集团公司中国移动通信集团公司 发布发布 目录 1概述概述.1 1.1适用范围 .1 1.2内部适用性说明 .1 1.3外部引用说明 .2 1.4术语和定义 .2 1.5符号和缩略语 .2 2JUNIPER 路由器安全配置要求路由器安全配置要求 .3 2.1账号管理、认证授权 .3 2.1.1账号.3 2.1.2口令.6 2.1.2授权.7 2.1.3认证.9 2.2日志要求 .

3、10 2.3IP 协议安全要求.14 2.3.1基本协议安全.14 2.3.2路由协议安全.16 2.3.3SNMP 协议安全.20 2.3.4MPLS 安全.22 2.4设备其他安全 .23 前言 本标准由中国移动通信有限公司网络部提出并归口。 本标准由标准提出并归口部门负责解释。 本标准起草单位：中国移动通信有限公司网络部。 本标准解释单位：同提出单位。 本标准主要起草人：中国移动集团广东公司 吴卓明 中国移动通信集团公司 陈敏时 1 概述概述 1.1 适用范围适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的 Juniper 路由器。本规范明确了 Juniper 路由器安全配置方

4、面的基本要求。 1.2 内部适用性说明内部适用性说明 本规范是在中国移动设备通用设备安全功能和配置规范 （以下简称通用规范 ） 各项设备配置要求的基础上，提出的 Juniper 路由器安全配置规范。以下分项列出本规范对 通用规范设备配置要求的修订情况。 设备通用安全配置要求编号采纳意见补充说明 安全要求安全要求-设备设备-通用通用-配置配置-1-可选可选增强要求参见“安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-1” 安全要求安全要求-设备设备-通用通用-配置配置-2-可选可选增强要求参见“安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-2” 安全要求安全要求

5、-设备设备-通用通用-配置配置-3-可选可选不采纳系统不支持 安全要求安全要求-设备设备-通用通用-配置配置-4完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-5完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-6-可选可选 不采纳 系统不支持 安全要求安全要求-设备设备-通用通用-配置配置-7-可选可选 不采纳 系统不支持 安全要求安全要求-设备设备-通用通用-配置配置-9 完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-12完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-13-可选可选部分采纳参见“安全要求安全要求-设备设备-通用通用-JUNIPER-

6、配置配置- 10” 安全要求安全要求-设备设备-通用通用-配置配置-24-可选可选增强要求参见“安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置- 11” 安全要求安全要求-设备设备-通用通用-配置配置-14-可选可选完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-16-可选可选完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-17-可选可选完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-19-可选可选部分采纳 参见“安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-26- 可选可选” 安全要求安全要求-设备设备-通用通用-配置配置-20

7、-可选可选不采纳 系统不支持 安全要求安全要求-设备设备-通用通用-TY-GN-27-可选可选增强要求 参见“安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置- 27” 本规范新增的安全配置要求，如下： 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-3 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-6 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-8-可选可选 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-13 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-14-可选可选 安全要求安全要求-

8、设备设备-通用通用-JUNIPER-配置配置-17-可选可选 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-18 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-19 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-20 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-21-可选可选 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-22 安全要求安全要求-设备设备-通用通用- JUNIPER -配置配置-23-可选可选 安全要求安全要求-设备设备-通用通用- JUNIPER -配置配置-24-可选可选 安全要求安

9、全要求-设备设备-通用通用- JUNIPER -配置配置-25-可选可选 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-28 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-29 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-30-可选？可选？ 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-31-可选？可选？ 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-32 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-33 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-34-可选可选

10、 安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-35 本规范还针对通用规范中所列的配置要求，给出了在 Juniper 路由器上的具体 配置方法和检测方法。 1.3 外部引用说明外部引用说明 中国移动设备通用安全功能和配置规范 1.4 术语和定义术语和定义 1.5 符号和缩略语符号和缩略语 缩写英文描述中文描述 2 Juniper 路由器安全配置要求路由器安全配置要求 本规范所指的设备为 Juniper 路由器设备。本规范提出的安全配置要求，在未特 别说明的情况下，均适用于所有版本的 Juniper 路由器。 本规范从 Juniper 路由器的认证授权功能、安全日志功能以及路由

11、协议安全功能， 和其他自身安全配置功能 8 个方面提出安全要求。 2.1 账号管理、认证授权账号管理、认证授权 认证功能认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态 口令、动态口令、指纹等生物鉴别技术等。授权功能授权功能赋予系统账号的操作权限，并限 制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。 对于存在字符或图形界面（WEB 界面）的人机交互的设备，应提供账号管理及认 证授权功能，并应满足以下各项要求。 2.1.1 账号账号 编号编号：安全要求安全要求-设备设备-通用通用-JUNIPER-配置配置-1 要求内容要求内容应按照不同的用户分

12、配不同的账号，避免不同用户间共享账号， 避免用户账号和设备间通信使用的账号共享。 操作指南操作指南1、参考配置操作、参考配置操作 set system login user abc1 set system login user abc2 2、补充操作说明、补充操作说明 1、abc1 和 abc2 是两个不同的账号名称，可根据不同用户，取不 同的名称； 2、账号取名，建议使用：姓名的简写手机号码。 检测方法检测方法3、判定条件判定条件 各账号都可以登录路由器为正常 4、检测操作检测操作 （1） 、用 show configuration system login 命令查看配置是否正 确 （2）

13、、在终端上用 telnet 方式登录路由器,输入用户名 abc1 和密 码 （3） 、在终端上用 telnet 方式登录路由器,输入用户名 abc2 和密 码） 5、补充说明补充说明 编号：安全要求编号：安全要求-设备设备-通用通用-JUNIPER-配置配置-2 要求内容要求内容应删除与设备运行、维护等工作无关的账号。 操作指南操作指南1、参考配置操作、参考配置操作 delete system login user abc3 2、补充操作说明、补充操作说明 abc3 是与工作无关的账号。 检测方法检测方法3、判定条件判定条件 被删除的与工作无关的账号 abc3 不能登录为正常。 4、检测操作检

14、测操作 （1） 、用 show configuration system login 命令查看配置是否正 确。 （2） 、在终端上用 telnet 方式登录路由器,输入用户名 abc3 和 密码。 5、补充说明补充说明 编号：编号：安全要求-设备-通用-JUNIPER-配置-3 要求内容要求内容为了控制不同用户的访问级别，建立多用户级别，根据用户的业 务需求，将用户账号分配到相应的用户级别。 操作指南操作指南1、参考配置操作、参考配置操作 创建用户级别： set system login class ABC1 permissions view view-configuration 将用户账号分

15、配到相应的用户级别： set system login user abc1 class read-only set system login user abc2 class ABC1 set system login user abc3 class super-user 2、补充操作说明、补充操作说明 （1） 、ABC1 是手工创建的组，该组具有的权限：查看设备运 行状态（如接口状态、设备硬件状态、路由状态等） ，并且可以查 看设备的配置； （2） 、read-only 组具有的权限：查看设备运行状态，但不能查 看设备的配置； （3） 、super-user 是超级用户组，具有的权限：所有权限

16、； （4） 、read-only 和 super-user 是路由器已经创建的组，不需要 手工创建； （5） 、abc1、abc2、abc3 是不同的用户，它们分别分配到相应 的用户级别。 检测方法检测方法3、判定条件、判定条件 （1） 、用户 abc1 属于组 read-only，这个组只设置了查看设备 运行状态权限,因而可使用 show interfaces ters 及其它查看路由器状 态的命令，而不能使用 show configuration 和 configure 命令 （2） 、用户 abc2 属于组 ABC1，这个组设置了查看设备运状态 和查看路由器配置权限，因而可使用 show

17、 interfaces ters 和其它查 看路由器状态命令及 show configuration 命令，不能使用 configure 命令 （3） 、用户 abc3 属于组 super-user,这是超级用户组，具有所有 权限，因而可使用全部命令。 6、检测操作检测操作 （1） 、用 show configuration system login class ABC1 命令查看 配置 （2） 、在终端上用 telnet 方式登录路由器,输入用户名 abc1 和 密码成功登录路由器后, 用 show interfaces terse 命令查看端口状态； 用 show configuratio

18、n 命令查看路由器配置； 用 configure 命令进入路由器的配置模式。 （3） 、在终端上用 telnet 方式登录路由器,输入用户名 abc2 和 密码成功登录路由器后， 用 show interfaces terse 命令查看端口状态； 用 show configuration 命令查看路由器配置； 用 configure 命令进入路由器的配置模式。 （4） 、在终端上用 telnet 方式登录路由器,输入用户名 abc3 和 密码成功登录路由器后， 用 show interfaces terse 命令查看端口状态； 用 show configuration 命令查看路由器配置； 用

19、 configure 命令进入路由器的配置模式。 7、补充说明补充说明 2.1.2 口令口令 编号：编号：安全要求-设备-通用-配置-4 要求内容要求内容对于采用静态口令认证技术的设备，口令长度至少 6 位，并包括 数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。 操作指南操作指南1、参考配置操作、参考配置操作 set system login user abc1 authentication plain-text-password 2、补充操作说明、补充操作说明 （1） 、输入指令回车后，将两次提示输入新口令（New password: 和 Retype new password:

20、） 。 （2） 、口令要求：长度至少 6 位，并包括数字、小写字母、大写 字母和特殊符号 4 类中至少 2 类。 检测方法检测方法3、判定条件判定条件 可以登录路由器为正常。 4、检测操作检测操作 （1） 、用 show configuration system login 命令查看配置是否正确 （2） 、在终端上用 telnet 方式登录路由器,输入用户名 abc1 和密 码。 5、补充说明补充说明 编号：编号：安全要求-设备-通用-配置-5 要求内容要求内容对于采用静态口令认证技术的设备，账户口令的生存期不长于 90 天。 操作指南操作指南1、参考配置操作、参考配置操作 无。 2、补充操作

21、说明、补充操作说明 Juniper 设备不能设置账户口令的生存期限，账户口令的生存期限 可通过定期手工更改口令的方式实现。 检测方法检测方法3、判定条件判定条件 无。 4、检测操作检测操作 每隔 90 天修改一次路由器的账号密码以提高安全性。 5、补充说明补充说明 编号：编号：安全要求-设备-通用-JUNIPER-配置-6 要求内容要求内容修改 root 密码。root 的默认密码是空，修改 root 密码，避免非管 理员使用 root 账号登录。 操作指南操作指南1、参考配置操作、参考配置操作 set system root-authentication plain-text-passwor

22、d 2、补充操作说明、补充操作说明 （1） 、输入指令回车后，将两次提示输入新口令（New password:和 Retype new password:） ； （2） 、口令要求：长度至少 6 位，并包括数字、小写字母、大 写字母和特殊符号 4 类中至少 2 类；。 检测方法检测方法3、判定条件判定条件 （1） 、输入 root 用户和正确密码可以正常登录路由器； （2） 、输入 root 用户和空密码无法登录路由器。 4、检测操作检测操作 （1） 、用 show configuration system login 命令查看配置是否正确； （2） 、通过 console 口方式登录路由器,

23、输入 root 用户名和密码； （3） 、通过 console 口方式登录路由器，输入 root 用户和空密码。 5、补充说明补充说明 2.1.2 授权授权 编号：编号：安全要求-设备-通用-配置-9 要求内容要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最 小权限。 操作指南操作指南1、参考配置操作、参考配置操作 创建用户级别，即创建用户的配置权限： set system login class ABC1 permissions configure set system login class ABC1 allow-configuration routing-可选 ions

24、static|interfaces|chassis fpc set system login class ABC2 permissions configure routing-control 将用户账号分配到相应的用户级别： set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super-user 2、补充操作说明、补充操作说明 （1） 、ABC1 组具有的权限：可配置 interfaces，可配置 routing-可 选 ion

25、s 中的 static，可配置 chassis 中的 fpc； （2） 、ABC2 组具有的权限：可配置有关于路由的所有配置，包括 routing-可选 ions、protocols、policy-可选 ions、routing- instances 等； （3） 、allow-configuration 参数是以等级来限制，可以限制各个等 级的配置，可以细化到各个小等级； （4） 、permissions 参数是以功能来限制，限制的范围较大； （5） 、allow-commands 参数是以具体的指令来限制，allow- comands 参数需要设定具体指令,不建议使用。 检测方法检测方法3

26、、判定条件判定条件 （1） 、账号 abc1 属于组 ABC1，该组只能配置 routing-可选 ions static、interfaces、 Chassis fpc 项里的内容。不能做其它未授权 的配置； （2） 、账号 abc2 属于组 ABC2，该组只能配置关于路由的所有配 置，包括 routing-可选 ions、protocols、policy-可选 ions、routing- instances 等，不能做其它未授权的配置； （3） 、账号 abc3 属于组 super-user，拥有全部配置权限。 4、检测操作、检测操作 （1） 、用 show configuration s

27、ystem login class ABC1 命令查看配置 （2） 、用 show configuration system login class ABC2 命令查看配置 （3） 、在终端上用 telnet 方式登录路由器,输入用户名 abc1 和密码 成功登录路由器后，用 configure 命令进入配置模式。 使用以下命令检测： set routing-可选 ions static set interfaces set chassis fpc 使用其它 set 命令 （4） 、在终端上用 telnet 方式登录路由器,输入用户名 abc2 和密码 成功登录路由器后，用 configure

28、 命令进入配置模式。 使用以下命令检测： set policy-可选 ions set protocols set routing-instances set routing-可选 ions 使用其它 set 命令 （5） 、在终端上用 telnet 方式登录路由器,输入用户名 abc3 和密码 成功登录路由器后，用 configure 命令进入配置模式。 使用 set 命令以及其它命令检测。 5、补充说明、补充说明 2.1.3 认证认证 编号：编号：安全要求-设备-通用-JUNIPER-配置-8-可选 要求内容要求内容设备通过相关参数配置，与认证系统联动，满足帐号、口令和授 权的强制要求。

29、操作指南操作指南1、参考配置操作、参考配置操作 set system authentication-order radius set system authentication-order password set system radius-server set system radius-server set system radius-server port 1645 set system radius-server port 1645 set system radius-server secret

30、 abc123 set system radius-server secret abc123 2、补充操作说明、补充操作说明 （1） 、配置认证方式，可通过 radius 和本地认证； （2） 、 和 是 radius 认证服务器的 IP 地址，建议建 立两个 radius 认证服务器作为互备； （3） 、port 1645 是 radius 认证开启的端口号，可根据本地 radius 认证服务器开启的端口号进行配置； （4） 、abc123 是与 radius 认证系统建立连接所设定的密码，建议： 与 radius 认证服务器建立连接时，使

31、用密码认证建立连接。 检测方法检测方法3、判定条件判定条件 （1） 、可以正常 ping 通 Radius 服务器的 IP 地址； （2） 、用户可以登录路由器为正常； （3） 、用户只能使用授权内的命令。 4、检测操作检测操作 （1） 、使用 show configuration system 查看配置； （2） 、查看 Radius 服务器配置； （3） 、用本地账号登录到路由器 ping Radius 服务器地址 和 ； （4） 、使用 Raidus 服务器建立的账号通过 telnet 方式登录路由器； （5） 、检查授权内的命令是否可用及其它未授权命令

32、。 5、补充说明、补充说明 2.2 日志要求日志要求 本部分对 JUNIPER 路由器设备的日志功能提出要求，主要考察设备所具备的日 志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据 这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、 设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如 出现大量违反 ACL 规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维 护人员的警惕性，防止恶化。 编号：编号：安全要求-设备-通用-配置-12 要求内容要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户 登录使

33、用的账号，登录是否成功，登录时间，以及远程登录时， 用户使用的 IP 地址。 操作指南操作指南1、参考配置操作、参考配置操作 set system syslog file author.log authorization info 2、补充操作说明、补充操作说明 （1） 、author.log 是记录登录信息的 log 文件，该文件名称可手工 定义； （2） 、author.log 文件保存在 juniper 路由器的存储上。 检测方法检测方法3、判定条件判定条件 可以在 author.log 中查看到用户名、登录时间和源 IP 等内容。 4、检测操作检测操作 （1） 、使用 show con

34、figuration system syslog 命令查看配置； （2） 、在终端上使用 tetlnet 方式登录路由器,输入用户名密码； （3） 、使用 show log author.log 命令查看日志。 5、补充说明补充说明 编号：编号：安全要求-设备-通用-JUNIPER-配置-10 要求内容要求内容设备应配置日志功能，记录用户对设备的操作，比如以下内容： 账号创建、删除和权限修改，口令修改，读取和修改设备配置， 涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内 容以及操作结果。 操作指南操作指南1、参考配置操作、参考配置操作 set system syslog file m

35、essages any any 2、补充操作说明、补充操作说明 （1） 、messages 是记录所有 log 信息的文件，该文件名称可手工 定义； （2） 、messages 文件保存在 juniper 路由器的存储器上。 检测方法检测方法3、判定条件判定条件 可以在 message.log 中查看到用户的操作内容、操作时间、操作结 果等所有路由器的 log 信息。 4、检测操作检测操作 （1） 、使用 show configuration system syslog 命令查看配置； （2） 、在终端上以 telnet 方式登录路由器,输入用户名密码； （3） 、进行创建、删除帐号和修改用户

36、密码等修改设备配置操作； （4） 、用 show log message.log 查看日志。 5、补充说明补充说明 编号：编号：安全要求-设备-通用-JUNIPER-配置-11 要求内容要求内容 设备应配置日志功能，记录对与设备相关的安全事件，比如：记 录路由协议事件和错误。 操作指南操作指南1、参考配置操作、参考配置操作 set system syslog file daemon.log daemon warning set system syslog file firewall.log firewall warning 2、补充操作说明、补充操作说明 （1） 、daemon.log 是记录

37、路由协议事件的文件，该文件名称可手 工定义； （2） 、firewall.log 是记录安全事件的文件，该文件名称可手工定 义； （3） 、daemon 和 firewall 可定义有九个等级，建议将其设定为 warning 等级，即仅记录 warning 等级以上的安全事件。 检测方法检测方法3、判定条件判定条件 在 daemon.log 可查看到路由事件及相关路由信息。 4、检测操作检测操作 （1） 、使用 show configuration 命令查看配置； （2） 、重启路由进程，如 bgp，ospf (该操作可能会影响业务、不 建议现网操作； （3） 、使用 show log dae

38、mon.log 和 show log firewall.log 查看日志。 5、补充说明补充说明 编号：编号：安全要求-设备-通用-配置-14-可选 要求内容要求内容设备配置远程日志功能，将需要重点关注的日志内容传输到日志 服务器。 操作指南操作指南1、参考配置操作、参考配置操作 set system syslog host any notice set system syslog host log-prefix Router1 set system syslog host any notice set system syslog host

39、 log-prefix Router2 2、补充操作说明、补充操作说明 （1） 、 和 是远程日志服务器的 IP 地址，建议建设 两个远程日志服务器作为互备； （2） 、syslog 有九个等级的记录信息，建议将 notice 等级以上的信 息传送到远程日志服务器； （3） 、Router1 为路由器的主机名称。 检测方法检测方法3、判定条件判定条件 日志服务器可以记录相关路由器的 notice 等级以上的信息为正常。 4、检测操作检测操作 （1） 、使用 show configuration system syslog 命令查看配置； （2

40、） 、登录远程日志服务器查看日志。 5、补充说明补充说明 编号：编号：安全要求-设备-通用-JUNIPER-配置-13 要求内容要求内容设置系统的配置更改信息保存到单独的 change.log 文件内。 操作指南操作指南1、参考配置操作、参考配置操作 set system syslog file change.log change-log info 2、补充操作说明、补充操作说明 （1） 、change.log 是记录配置更改的文件，该文件名称可手工定义； （2） 、change.log 文件保存在 juniper 路由器的存储上。 检测方法检测方法3、判定条件判定条件 可以在 change.

41、log 中查看到用户的操作内容、操作时间。 4、检测操作检测操作 （1） 、使用 show configuration system syslog 命令查看配置； （2） 、在终端上以 telnet 方式登录路由器,输入用户名密码； （3） 、进行创建、删除帐号和修改用户密码等修改设备配置操作； （4） 、用 show log change.log 命令查看日志。 5、补充说明补充说明 编号：编号：安全要求-设备-通用-JUNIPER-配置-14-可选 要求内容要求内容开启 NTP 服务，保证日志功能记录的时间的准确性。路由器与 NTP SERVER 之间开启认证功能。 操作指南操作指南1、参

42、考配置操作、参考配置操作 set system ntp authentication-key 1 type md5 value abc123 set system ntp server set system ntp server 2、补充操作说明、补充操作说明 （1） 、abc123 是路由器与 NTP SERVER 之间 md5 认证密码； （2） 、 和 是 NTP SETVER 的 IP 地址，建议建设 两个 NTP 服务器作为互备。 检测方法检测方法3、判定条件判定条件 （1） 、用 show ntp associa

43、tions 命令查看，信息如下面所示: remote refid st t when poll = * ROUTER1 2 u 641 1024 + ROUTER2 2 u 713 1024 reach delay offset jitter = 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1 前面的(*)号表示 ROUTER1 是已和路由器时间同步 的 NTP 服务器,(+)号为备用的 NTP 服务器. （2） 、有 show ntp status 命令查看，信息如下: status=0644

44、 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version=ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1), processor=i386, system=JUNOS7.3R2.7, leap=00, stratum=3, precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484, refid=ROUTER, reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.29

45、3, poll=10, clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4, offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 如上面信息的第一句第二部分显示”sync_ntp”表示路由器时间已 和 NTP 服务器同步,如果显示”sync_unspec”即未同步.。 4、检测操作检测操作 （1） 、使用 show configuration system ntp 命令查看配置； （2） 、使用 show system uptime 命令查看路由

46、器时间与并与北京时 间对比； （3） 、使用 show ntp associations 查看路由器是否与 NTP 服务器同 步； （4） 、使用 show ntp status 查看路由器时间同步状态。 5、补充说明补充说明 2.3 IP 协议安全要求协议安全要求 IP 协议安全分为基本协议安全、路由协议安全、snmp 协议安全。基本协议安全 配置可防止非法访问，过滤不必要的数据流量。路由协议安全配置主要针对各类动态 路由协议，防止未认证设备将外来路由引入本地。SNMP 是目前路由器广泛应用的管 理协议，SNMP 安全配置可防止未许可的 SNMP 访问，避免设备信息的外泄。

47、.1 基本协议安全基本协议安全 编号：编号：安全要求-设备-通用-配置-16-可选 要求内容要求内容对于具备 TCP/UDP 协议功能的设备，设备应根据业务需要，配置 基于源 IP 地址、通信协议 TCP 或 UDP、目的 IP 地址、源端口、 目的端口的流量过滤，过滤所有和业务不相关的流量。 操作指南操作指南1、参考配置操作、参考配置操作 set firewall filter abc term a from source-address /32 set firewall filter abc term a from destination-address /

48、32 set firewall filter abc term a from protocol tcp set firewall filter abc term a from protocol udp set firewall filter abc term a from source-port 445 set firewall filter abc term a from destination-port 145 set firewall filter abc term a then accept set firewall filter abc term b then reject 2、补充

49、操作说明、补充操作说明 （1） 、abc 为 filter 的名称，可手工定义； （2） 、a 和 b 为 term 的名称，可手工定义，一个 filter 可设定多个 term； （3） 、第一条指令为配置基于源 IP 地址的过滤，/32 为源 IP 地址，源地址可以是主机 IP，也可以是网段； （4） 、第二条指令为配置基于目的 IP 地址的过滤，/32 为 目的 IP 地址，目的 IP 地址可以是主机 IP，也可以是网段； （5） 、第三条指令为配置协议 TCP； （6） 、第四条指令为配置协议 UDP； （7） 、第五条指令为配置基于源端口，445 是端

50、口号，端口号可根 据需求设置； （8） 、第五条指令为配置基于目的端口，145 是端口号，端口号可 根据需求设置； （9） 、第六条指令为允许，即符合 from 里的条件时，允许该数据 包通过；若设置为 reject，则符合 from 里的条件时，不允许数 据包通过； （10） 、 “set firewall filter abc term b then reject”指令拒绝所有不符 合 term a 条件的数据包通过（then 之后可根据需求设置为 reject 或者 accept） 。 （11） 、必须使用如下指令将 filter 绑定到指定接口该 filter 才能生 效： set i

51、nterfaces fe-0/0/0 unit 0 family inet filter input abc。 检测方法检测方法3、判定条件、判定条件 （1） 、用 nmap -sS -g 445 p 145 扫描端口时，出现结果如 下信息为正常： Interesting ports on : PORT STATE SERVICE 145/tcp open uaac （2） 、用 nmap sS p 80 访问非业务端口时，出现如下结 果为正常： Interesting ports on : PORT STATE SERVICE 80/tcp closed http （3） 、真实业务流量正常通过，非业务流量禁止通过为正常。 4、检