陜西移動(dòng)JUNIPER路由器安全配置操作指南VIP

第 I 頁 共 12 頁 陜陜 西西 移移 動(dòng)動(dòng)通通 信信 企企 業(yè)業(yè) 標(biāo)標(biāo) 準(zhǔn)準(zhǔn) QB QB 陜西移動(dòng)通信集團(tuán)公司發(fā)布陜西移動(dòng)通信集團(tuán)公司發(fā)布 發(fā)布 實(shí)施 版版 本本 號(hào)號(hào) V 1 0 0 陜陜西西移移動(dòng)動(dòng)JUNIPER 路路由由器器 安安全全配配置置操操作作指指南南 注J U N I P E R內(nèi) 容 需 和 相 應(yīng) 的 配 置 基 線 規(guī) 范 一 致 第 2 頁 共 12 頁 QB QB 目 錄 1范圍范圍 3 2適用性說明適用性說明 3 3引用標(biāo)準(zhǔn)引用標(biāo)準(zhǔn) 3 4符號(hào)及縮略語符號(hào)及縮略語 3 5配置操作指南配置操作指南 3 6編制歷史編制歷史 12 第 3 頁 共 12 頁 QB QB 1范圍范圍 本操作指南適用于 陜西移動(dòng) JUNIPER 路由器安全配置基線規(guī)范 適用范圍內(nèi)的各 類設(shè)備 為上述設(shè)備滿足安全配置基線規(guī)范要求 提供具體的配置操作參考 2適用性說明適用性說明 本操作指南針對(duì) 陜西移動(dòng) JUNIPER 路由器安全配置基線規(guī)范 中的各項(xiàng)安全基線 要求 提出明確的參考配置操作 本文提供的是安全基線配置參考范例 并不等同于 實(shí)際的設(shè)備配置 在具體實(shí)施安全配置時(shí) 需根據(jù)實(shí)際應(yīng)用環(huán)境 形成具體的配置方 法 3引用標(biāo)準(zhǔn)引用標(biāo)準(zhǔn) 1 陜西移動(dòng)設(shè)備通用安全基線規(guī)范 2 陜西移動(dòng) JUNIPER 路由器安全配置基線規(guī)范 4符號(hào)及縮略語符號(hào)及縮略語 5配置操作指南配置操作指南 基線編號(hào)JX JUNIPER PZ 1 基線內(nèi)容應(yīng)按照不同的用戶分配不同的賬號(hào) 避免不同用戶間共享賬號(hào) 避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享 參考配置操作set system login user abc1 set system login user abc2 補(bǔ)充操作說明1 abc1 和 abc2 是兩個(gè)不同的賬號(hào)名稱 可根據(jù)不同用戶 取不同的名 稱 2 賬號(hào)取名 建議使用 姓名的簡寫 手機(jī)號(hào)碼 基線編號(hào)JX JUNIPER PZ 2 基線內(nèi)容應(yīng)刪除與設(shè)備運(yùn)行 維護(hù)等工作無關(guān)的賬號(hào) 參考配置操作delete system login user abc3 補(bǔ)充操作說明1 abc3 是與工作無關(guān)的賬號(hào) 基線編號(hào)JX JUNIPER PZ 3 基線內(nèi)容為了控制不同用戶的訪問級(jí)別 建立多用戶級(jí)別 根據(jù)用戶的 業(yè)務(wù)需求 將用戶賬號(hào)分配到相應(yīng)的用戶級(jí)別 參考配置操作創(chuàng)建用戶級(jí)別 set system login class ABC1 permissions view view configuration 第 4 頁 共 12 頁 QB QB 將用戶賬號(hào)分配到相應(yīng)的用戶級(jí)別 set system login user abc1 class read only set system login user abc2 class ABC1 set system login user abc3 class super user 補(bǔ)充操作說明1 ABC1 是手工創(chuàng)建的組 該組具有的權(quán)限 查看設(shè)備運(yùn)行狀態(tài) 如接 口狀態(tài) 設(shè)備硬件狀態(tài) 路由狀態(tài)等 并且可以查看設(shè)備的配置 2 read only 組具有的權(quán)限 查看設(shè)備運(yùn)行狀態(tài) 但不能查看設(shè)備的配 置 3 super user 是超級(jí)用戶組 具有的權(quán)限 所有權(quán)限 4 read only 和 super user 是路由器已經(jīng)創(chuàng)建的組 不需要手工創(chuàng)建 5 abc1 abc2 abc3 是不同的用戶 它們分別分配到相應(yīng)的用戶級(jí)別 基線編號(hào)JX TY PZ 4 基線內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備 口令長度至少 6 位 并包 括數(shù)字 小寫字母 大寫字母和特殊符號(hào) 4 類中至少 2 類 參考配置操作set system login user abc1 authentication plain text password 補(bǔ)充操作說明1 輸入指令回車后 將兩次提示輸入新口令 New password 和 Retype new password 2 口令要求 長度至少 6 位 并包括數(shù)字 小寫字母 大寫字母和特 殊符號(hào) 4 類中至少 2 類 基線編號(hào)JX TY PZ 5 基線內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備 賬戶口令的生存期不長于 90 天 參考配置操作無 補(bǔ)充操作說明1 Juniper 設(shè)備不能設(shè)置賬戶口令的生存期限 賬戶口令的生存期限可 通過定期手工更改口令的方式實(shí)現(xiàn) 基線編號(hào)JX JUNIPER PZ 6 基線內(nèi)容修改 root 密碼 root 的默認(rèn)密碼是空 修改 root 密碼 避免非 管理員使用 root 賬號(hào)登錄 參考配置操作set system root authentication plain text password 補(bǔ)充操作說明1 輸入指令回車后 將兩次提示輸入新口令 New password 和 Retype new password 2 口令要求 長度至少 6 位 并包括數(shù)字 小寫字母 大寫字母和特 殊符號(hào) 4 類中至少 2 類 基線編號(hào)JX TY PZ 9 基線內(nèi)容在設(shè)備權(quán)限配置能力內(nèi) 根據(jù)用戶的業(yè)務(wù)需要 配置其所需的 最小權(quán)限 參考配置操作創(chuàng)建用戶級(jí)別 即創(chuàng)建用戶的配置權(quán)限 set system login class ABC1 permissions configure set system login class ABC1 allow configuration routing options 第 5 頁 共 12 頁 QB QB static interfaces chassis fpc set system login class ABC2 permissions configure routing control 將用戶賬號(hào)分配到相應(yīng)的用戶級(jí)別 set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super user 補(bǔ)充操作說明1 ABC1 組具有的權(quán)限 可配置 interfaces 可配置 routing options 中的 static 可配置 chassis 中的 fpc 2 ABC2 組具有的權(quán)限 可配置有關(guān)于路由的所有配置 包括 routing options protocols policy options routing instances 等 3 allow configuration 參數(shù)是以等級(jí)來限制 可以限制各個(gè)等級(jí)的配置 可以細(xì)化到各個(gè)小等級(jí) 4 permissions 參數(shù)是以功能來限制 限制的范圍較大 5 allow commands 參數(shù)是以具體的指令來限制 allow comands 參數(shù)需 要設(shè)定具體指令 不建議使用 基線編號(hào)JX JUNIPER PZ 8 opt 基線內(nèi)容設(shè)備通過相關(guān)參數(shù)配置 與認(rèn)證系統(tǒng)聯(lián)動(dòng) 滿足帳號(hào) 口令和 授權(quán)的強(qiáng)制要求 參考配置操作set system authentication order radius set system authentication order password set system radius server 10 1 1 1 set system radius server 10 1 1 2 set system radius server 10 1 1 1 port 1645 set system radius server 10 1 1 2 port 1645 set system radius server 10 1 1 1 secret abc123 set system radius server 10 1 1 2 secret abc123 補(bǔ)充操作說明1 配置認(rèn)證方式 可通過 radius 和本地認(rèn)證 2 10 1 1 1 和 10 1 1 2 是 radius 認(rèn)證服務(wù)器的 IP 地址 建議建立兩個(gè) radius 認(rèn)證服務(wù)器作為互備 3 port 1645 是 radius 認(rèn)證開啟的端口號(hào) 可根據(jù)本地 radius 認(rèn)證服務(wù) 器開啟的端口號(hào)進(jìn)行配置 4 abc123 是與 radius 認(rèn)證系統(tǒng)建立連接所設(shè)定的密碼 建議 與 radius 認(rèn)證服務(wù)器建立連接時(shí) 使用密碼認(rèn)證建立連接 基線編號(hào)JX TY PZ 12 基線內(nèi)容設(shè)備應(yīng)配置日志功能 對(duì)用戶登錄進(jìn)行記錄 記錄內(nèi)容包括用 戶登錄使用的賬號(hào) 登錄是否成功 登錄時(shí)間 以及遠(yuǎn)程登錄 時(shí) 用戶使用的 IP 地址 參考配置操作set system syslog file author log authorization info 補(bǔ)充操作說明1 author log 是記錄登錄信息的 log 文件 該文件名稱可手工定義 2 author log 文件保存在 juniper 路由器的存儲(chǔ)上 第 6 頁 共 12 頁 QB QB 基線編號(hào)JX JUNIPER PZ 10 基線內(nèi)容設(shè)備應(yīng)配置日志功能 記錄用戶對(duì)設(shè)備的操作 比如以下內(nèi)容 賬號(hào)創(chuàng)建 刪除和權(quán)限修改 口令修改 讀取和修改設(shè)備配置 涉及通信隱私數(shù)據(jù) 記錄需要包含用戶賬號(hào) 操作時(shí)間 操作 內(nèi)容以及操作結(jié)果 參考配置操作set system syslog file messages any any 補(bǔ)充操作說明1 messages 是記錄所有 log 信息的文件 該文件名稱可手工定義 2 messages 文件保存在 juniper 路由器的存儲(chǔ)器上 基線編號(hào)JX JUNIPER PZ 11 基線內(nèi)容設(shè)備應(yīng)配置日志功能 記錄與設(shè)備相關(guān)的安全事件 比如 記 錄路由協(xié)議事件和錯(cuò)誤 參考配置操作set system syslog file daemon log daemon warning set system syslog file firewall log firewall warning 補(bǔ)充操作說明1 daemon log 是記錄路由協(xié)議事件的文件 該文件名稱可手工定義 2 firewall log 是記錄安全事件的文件 該文件名稱可手工定義 3 daemon 和 firewall 可定義有九個(gè)等級(jí) 建議將其設(shè)定為 warning 等級(jí) 即僅記錄 warning 等級(jí)以上的安全事件 基線編號(hào)JX TY PZ 14 opt 基線內(nèi)容設(shè)備配置遠(yuǎn)程日志功能 將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺?志服務(wù)器 參考配置操作set system syslog host 10 1 1 1 any notice set system syslog host 10 1 1 1 log prefix Router1 set system syslog host 10 1 1 2 any notice set system syslog host 10 1 1 2 log prefix Router2 補(bǔ)充操作說明1 10 1 1 1 和 10 1 1 2 是遠(yuǎn)程日志服務(wù)器的 IP 地址 建議建設(shè)兩個(gè)遠(yuǎn)程 日志服務(wù)器作為互備 2 syslog 有九個(gè)等級(jí)的記錄信息 建議將 notice 等級(jí)以上的信息傳送到 遠(yuǎn)程日志服務(wù)器 3 Router1 為路由器的主機(jī)名稱 基線編號(hào)JX JUNIPER PZ 13 基線內(nèi)容設(shè)置系統(tǒng)的配置更改信息保存到單獨(dú)的 change log 文件內(nèi) 參考配置操作set system syslog file change log change log info 補(bǔ)充操作說明1 change log 是記錄配置更改的文件 該文件名稱可手工定義 2 change log 文件保存在 juniper 路由器的存儲(chǔ)上 基線編號(hào)JX JUNIPER PZ 14 opt 基線內(nèi)容開啟 NTP 服務(wù) 保證日志功能記錄的時(shí)間的準(zhǔn)確性 路由器與 NTP SERVER 之間開啟認(rèn)證功能 第 7 頁 共 12 頁 QB QB 參考配置操作set system ntp authentication key 1 type md5 value abc123 set system ntp server 10 1 1 1 set system ntp server 10 1 1 2 補(bǔ)充操作說明1 abc123 是路由器與 NTP SERVER 之間 md5 認(rèn)證密碼 2 10 1 1 1 和 10 1 1 2 是 NTP SETVER 的 IP 地址 建議建設(shè)兩個(gè) NTP 服務(wù)器作為互備 基線編號(hào)JX TY PZ 16 opt 基線內(nèi)容對(duì)于具備 TCP UDP 協(xié)議功能的設(shè)備 設(shè)備應(yīng)根據(jù)業(yè)務(wù)需要 配置基于源 IP 地址 通信協(xié)議 TCP 或 UDP 目的 IP 地址 源 端口 目的端口的流量過濾 過濾所有和業(yè)務(wù)不相關(guān)的流量 參考配置操作set firewall filter abc term a from source address 10 1 1 1 32 set firewall filter abc term a from destination address 10 1 2 1 32 set firewall filter abc term a from protocol tcp set firewall filter abc term a from protocol udp set firewall filter abc term a from source port 445 set firewall filter abc term a from destination port 145 set firewall filter abc term a then accept set firewall filter abc term b then reject 補(bǔ)充操作說明1 abc 為 filter 的名稱 可手工定義 2 a 和 b 為 term 的名稱 可手工定義 一個(gè) filter 可設(shè)定多個(gè) term 3 第一條指令為配置基于源 IP 地址的過濾 10 1 1 1 32 為源 IP 地址 源地址可以是主機(jī) IP 也可以是網(wǎng)段 4 第二條指令為配置基于目的 IP 地址的過濾 10 1 1 2 32 為目的 IP 地 址 目的 IP 地址可以是主機(jī) IP 也可以是網(wǎng)段 5 第三條指令為配置協(xié)議 TCP 6 第四條指令為配置協(xié)議 UDP 7 第五條指令為配置基于源端口 445 是端口號(hào) 端口號(hào)可根據(jù)需求設(shè) 置 8 第五條指令為配置基于目的端口 145 是端口號(hào) 端口號(hào)可根據(jù)需求 設(shè)置 9 第六條指令為允許 即符合 from 里的條件時(shí) 允許該數(shù)據(jù)包通過 若設(shè)置為 reject 則符合 from 里的條件時(shí) 不允許數(shù)據(jù)包通過 10 set firewall filter abc term b then reject 指令拒絕所有不符合 term a 條件的數(shù)據(jù)包通過 then 之后可根據(jù)需求設(shè)置為 reject 或者 accept 11 必須使用如下指令將 filter 綁定到指定接口該 filter 才能生效 set interfaces fe 0 0 0 unit 0 family inet filter input abc 基線編號(hào)JX TY PZ 17 opt 基線內(nèi)容對(duì)于使用 IP 協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備 設(shè)備應(yīng)配置使用 SSH 等加密協(xié)議 參考配置操作海外版的 Junos 不支持 SSH 協(xié)議 美國和加拿大版的 Junos 才支持該 功能 第 8 頁 共 12 頁 QB QB 補(bǔ)充操作說明 基線編號(hào)JX JUNIPER PZ 17 opt 基線內(nèi)容配置動(dòng)態(tài)路由協(xié)議 BGP MP BGP OSPF 等 時(shí)必須啟用帶加 密方式的身份驗(yàn)證功能 相鄰路由器只有在身份驗(yàn)證通過后 才能互相通告路由信息 參考配置操作set protocols bgp group abc neighbor 10 1 1 1 authentication key abc123 set protocols ospf area 0 0 0 0 authentication type md5 補(bǔ)充操作說明1 10 1 1 1 為對(duì)端 BGP peer 的 IP 地址 可根據(jù)需求設(shè)定 基線編號(hào)JX JUNIPER PZ 18 基線內(nèi)容配置 BGP 路由協(xié)議 應(yīng)配置 MD5 加密認(rèn)證 通過 MD5 加密 認(rèn)證建立 peer 參考配置操作set protocols bgp group abc neighbor 10 1 1 1 authentication key abc123 補(bǔ)充操作說明1 abc 為 group 的名稱 可自行設(shè)定 2 10 1 1 1 為對(duì)端 peer 的 IP 地址 可根據(jù)需求設(shè)定 3 abc123 為 MD5 加密認(rèn)證的認(rèn)證密碼 該密碼和對(duì)端 peer 的密碼要 一致 基線編號(hào)JX JUNIPER PZ 19 基線內(nèi)容配置 MP BGP 路由協(xié)議 應(yīng)配置 MD5 加密認(rèn)證 通過 MD5 加密認(rèn)證建立 peer 參考配置操作set protocols bgp group abc neighbor 10 1 1 1 authentication key abc123 補(bǔ)充操作說明1 abc 為 group 的名稱 可自行設(shè)定 2 10 1 1 1 為對(duì)端 peer 的 IP 地址 可根據(jù)需求設(shè)定 3 abc123 為 MD5 加密認(rèn)證的認(rèn)證密碼 該密碼和對(duì)端 peer 的密碼要 一致 基線編號(hào)JX JUNIPER PZ 20 基線內(nèi)容對(duì)于非點(diǎn)到點(diǎn)的 OSPF 協(xié)議配置 應(yīng)配置 MD5 加密認(rèn)證 通 過 MD5 加密認(rèn)證建立 neighbor 參考配置操作set protocols ospf area 0 0 0 0 authentication type md5 set protocols ospf area 0 0 0 0 interface fe 0 0 0 0 authentication md5 1 key abc123 補(bǔ)充操作說明1 fe 0 0 0 為用于建立 OSPF 的端口 可根據(jù)需求設(shè)置 2 abc123 為 MD5 加密認(rèn)證的認(rèn)證密碼 該密碼和對(duì)端 peer 的密碼要 一致 基線編號(hào)JX JUNIPER PZ 21 opt 基線內(nèi)容制定路由策略 禁止發(fā)布或接收不安全的路由信息 參考配置操作制定發(fā)布的路由策略 set policy options policy statement abc term a from route filter 10 0 0 0 24 exact 第 9 頁 共 12 頁 QB QB set policy options policy statement abc term a then accept set policy options policy statement abc term b then reject 補(bǔ)充操作說明1 abc 是路由策略的名稱 該名稱可自行定義 2 10 0 0 0 24 是將發(fā)布 或接收 或者禁止發(fā)布 或接收 路由 可根 據(jù)具體需求設(shè)置 3 制定路由策略之后 必須將該策略應(yīng)用于路由協(xié)議上才生效 基線編號(hào)JX JUNIPER PZ 22 基線內(nèi)容設(shè)置 SNMP 訪問安全限制 只允許特定主機(jī)通過 SNMP 訪問 網(wǎng)絡(luò)設(shè)備 參考配置操作set snmp community abcd123 clients 10 1 1 1 32 set snmp community abcd123 clients 10 1 2 1 32 set snmp community abcd123 clients ready only 補(bǔ)充操作說明1 abcd123 是 communtity 字符串 可自行定義 但必須和 client 的主機(jī) 一致 2 10 1 1 1 和 10 1 2 1 是主機(jī) IP 地址 即允許 10 1 1 1 和 10 1 2 1 主機(jī) 通過 SNMP 訪問網(wǎng)絡(luò)設(shè)備 3 未在 client 列表中的主機(jī) 不允許通過 SNMP 訪問網(wǎng)絡(luò)設(shè)備 4 設(shè)置主機(jī)訪問網(wǎng)絡(luò)設(shè)備具有讀的權(quán)限 可根據(jù)需求設(shè)置為具有讀寫 的權(quán)限 read write 基線編號(hào)JX JUNIPER PZ 23 opt 基線內(nèi)容系統(tǒng)應(yīng)關(guān)閉未使用的 SNMP 協(xié)議及未使用的 RW 權(quán)限 參考配置操作默認(rèn)關(guān)閉所有 SNMP 功能的 按需求啟動(dòng)相應(yīng)的功能即可 補(bǔ)充操作說明 基線編號(hào)JX JUNIPER PZ 24 opt 基線內(nèi)容系統(tǒng)應(yīng)配置為 SNMP V2 或以上版本 參考配置操作set snmp trap group abc123 version v2 補(bǔ)充操作說明1 abc123 是 trap group 組的名稱 可自行設(shè)置 基線編號(hào)JX JUNIPER PZ 25 opt 基線內(nèi)容系統(tǒng)應(yīng)配置可接收 SNMP 消息的主機(jī)地址 參考配置操作set snmp trap group abc123 targets 10 1 1 1 set snmp trap group abc123 targets 10 1 2 1 補(bǔ)充操作說明1 abc123 是 trap group 組的名稱 可自行設(shè)置 2 10 1 1 1 和 10 1 2 1 是主機(jī) IP 地址 即允許 10 1 1 1 和 10 1 2 1 主機(jī) 接收該網(wǎng)絡(luò)設(shè)備的 SNMP 消息 基線編號(hào)JX JUNIPER PZ 26 opt 基線內(nèi)容對(duì)于 Juniper 路由器 應(yīng)配置定時(shí)賬戶自動(dòng)登出 參考配置操作set system login class abc idle timeout 10 第 10 頁 共 12 頁 QB QB 補(bǔ)充操作說明1 abc 是 class 組的名稱 2 配置定時(shí)賬戶自動(dòng)登出功能 僅能在自定義的 class 組里定義 不能 在系統(tǒng)默認(rèn)的組 如 super user read only 中配置 因此 建議 自定義 class 組 基線編號(hào)JX JUNIPER PZ 27 基線內(nèi)容對(duì)于具備 consol 口的設(shè)備 應(yīng)配置 consol 口密碼保護(hù)功能 參考配置操作Juniper 設(shè)備不具有 console 密碼 登錄方式是通過用戶名和該用戶名的 密碼登錄 補(bǔ)充操作說明 基線編號(hào)JX JUNIPER PZ 28 基線內(nèi)容開啟配置文件定期備份功能 定期備份配置文件 參考配置操作set system archival configuration transfer interval 2880 set system archival configuration archive sites ftp juniper 10 1 1 1 password abc123 set system archival configuration archive sites ftp juniper 10 1 1 2 password abc123 補(bǔ)充操作說明1 2880 是時(shí)間間隔 單位是分鐘 時(shí)間間隔可設(shè)置的范圍為 15 2880 2 juniper 是 ftp 的用戶名稱 10 1 1 1 和 10 1 1 2 是 ftp 服務(wù)器的 IP 地 址 abc123 是登錄 frp 服務(wù)器的密碼 建議設(shè)置兩個(gè) IP 地址作為互 備 3 定期備份僅能通過 ftp 服務(wù)備份 4 通過定期備份配置文件 時(shí)間間隔較短 即備份比較頻繁 建議采 用 transfer on commit 方式 即只要執(zhí)行 commit 指令 配置將自動(dòng) 備份到 ftp 服務(wù)器 指令為 set system archival configuration transfer on commit 5 transfer interval 和 transfer on commit 方式不能共存 基線編號(hào)JX JUNIPER PZ 29 基線內(nèi)容關(guān)閉網(wǎng)絡(luò)設(shè)備不必要的服務(wù) 比如 FTP TFTP 服務(wù)等 參考配置操作delete system services ftp 補(bǔ)充操作說明默認(rèn)是關(guān)閉 FTP 服務(wù) 基線編號(hào)JX JUNIPER GN 30 opt 基線內(nèi)容開啟安全防護(hù)功能 如狀態(tài)防火墻等 如果具備類似功能 參考配置操作Juniper 設(shè)備默認(rèn)已開啟安全防護(hù)功能 安全補(bǔ)充操作說 明 基線編號(hào)JX JUNIPER GN 31 opt 基線內(nèi)容如接受統(tǒng)一網(wǎng)管系統(tǒng)管理 建議配置 SNMP VERSION3 協(xié)議 第 11 頁 共 12 頁 QB QB 參考配置操作set snmp v3 usm local engine user abc1 authentication md5 authentication key set snmp v3 vacm access group CMNET default context prefix security model usm security level authentication read view readonly set snmp v3 target address ta1 address 10 1 1 1 set snmp v3 target address ta1 target parameters tp1 set snmp v3 target parameters tp1 parameters message processing model v3 set snmp v3 target parameters tp1 parameters security model usm set snmp v3 target parameters tp1 parameters security level none set snmp v3 target parameters tp1 parameters security name abc set snmp v3 snmp community index1 community name ABC set snmp v3 snmp community index1 security name abc set snmp engine id use mac address set snmp view readonly oid 1 3 6 1 2 1 2 include 補(bǔ)充操作說明1 第一條命令設(shè)定 SNMP V3 的用戶 abc1 采用 MD5 方式認(rèn)證 2 第二條命令設(shè)定 SNMP 的訪問控制模塊 VACM 的參數(shù) 訪問組 為 CMNET 安全模式采用基于用戶的模式 USM 安全級(jí)別設(shè)為 驗(yàn)證級(jí)別 設(shè)定視圖為 readonly 3 第三條命令指定 SNMP 主機(jī)組 ta1 這組包括的地址為 211 139 136 100 4 第四條命令設(shè)定主機(jī)組 ta1 的具體參數(shù)引用參數(shù)集 tp1 5 第五至八條命令設(shè)定參數(shù)集 tp1 的具體內(nèi)容 信息處理采用 SNMPv3 模式 安全模式采用基于用戶的模式 USM 安全級(jí)別采用非驗(yàn)證 安全名字設(shè)定為 abc 6 第九 十條命令行設(shè)定 SNMP 團(tuán)體號(hào)為 ABC 安全名字為 abc 7 第十一條命令設(shè)定 SNMP 的引擎 ID 8 第十二條命令設(shè)定視圖 readonly 的管理對(duì)像標(biāo)識(shí) 基線編號(hào)JX JUNIPER PZ 32 基線內(nèi)容系統(tǒng)遠(yuǎn)程管理服務(wù) TELNET SSH 默認(rèn)可以接受任何地址的連接 出于安全考慮 應(yīng)該只允許特定地址訪問 參考配置操作set firewall filter abc term a from source address 10 1 1 1 32 set firewall filter abc term a from source address 10 1 1 2 32 set firewall filter abc term a then accept set firewall filter abc term b from protocol tcp port telnet set firewall filter abc term b then reject set firewa