中国移动JUNIPER路由器安全配置规范正式下发版电子版本.doc

Good is good, but better carries it.精益求精，善益求善。中国移动JUNIPER路由器安全配置规范正式下发版-2008-01-01实施2007-12-13发布中国移动Juniper路由器安全配置规范SpecificationforJuniperRouterConfigurationUsedinChinaMobile版本号：.网络与信息安全规范编号:【网络与信息安全规范】·【第二层：技术规范·网元类】·【第2501号】？中国移动通信集团公司发布-目录1概述11.1适用范围11.2内部适用性说明11.3外部引用说明21.4术语和定义21.5符号和缩略语22JUNIPER路由器安全配置要求32.1账号管理、认证授权32.1.1账号32.1.2口令62.1.2授权72.1.3认证92.2日志要求102.3IP协议安全要求142.3.1基本协议安全142.3.2路由协议安全162.3.3SNMP协议安全202.3.4MPLS安全222.4设备其他安全23前言本标准由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。本标准起草单位：中国移动通信有限公司网络部。本标准解释单位：同提出单位。本标准主要起草人：中国移动集团广东公司吴卓明13802880701中国移动通信集团公司陈敏时139117738021 概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的Juniper路由器。本规范明确了Juniper路由器安全配置方面的基本要求。1.2 内部适用性说明本规范是在中国移动设备通用设备安全功能和配置规范（以下简称通用规范）各项设备配置要求的基础上，提出的Juniper路由器安全配置规范。以下分项列出本规范对通用规范设备配置要求的修订情况。设备通用安全配置要求编号采纳意见补充说明安全要求-设备-通用-配置-1-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-1”安全要求-设备-通用-配置-2-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-2”安全要求-设备-通用-配置-3-可选不采纳系统不支持安全要求-设备-通用-配置-4完全采纳安全要求-设备-通用-配置-5完全采纳安全要求-设备-通用-配置-6-可选不采纳系统不支持安全要求-设备-通用-配置-7-可选不采纳系统不支持安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12完全采纳安全要求-设备-通用-配置-13-可选部分采纳参见“安全要求-设备-通用-JUNIPER-配置-10”安全要求-设备-通用-配置-24-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-11”安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-16-可选完全采纳安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19-可选部分采纳参见“安全要求-设备-通用-JUNIPER-配置-26-可选”安全要求-设备-通用-配置-20-可选不采纳系统不支持安全要求-设备-通用-TY-GN-27-可选增强要求参见“安全要求-设备-通用-JUNIPER-配置-27”本规范新增的安全配置要求，如下：安全要求-设备-通用-JUNIPER-配置-3安全要求-设备-通用-JUNIPER-配置-6安全要求-设备-通用-JUNIPER-配置-8-可选安全要求-设备-通用-JUNIPER-配置-13安全要求-设备-通用-JUNIPER-配置-14-可选安全要求-设备-通用-JUNIPER-配置-17-可选安全要求-设备-通用-JUNIPER-配置-18安全要求-设备-通用-JUNIPER-配置-19安全要求-设备-通用-JUNIPER-配置-20安全要求-设备-通用-JUNIPER-配置-21-可选安全要求-设备-通用-JUNIPER-配置-22安全要求-设备-通用-JUNIPER-配置-23-可选安全要求-设备-通用-JUNIPER-配置-24-可选安全要求-设备-通用-JUNIPER-配置-25-可选安全要求-设备-通用-JUNIPER-配置-28安全要求-设备-通用-JUNIPER-配置-29安全要求-设备-通用-JUNIPER-配置-30-可选？安全要求-设备-通用-JUNIPER-配置-31-可选？安全要求-设备-通用-JUNIPER-配置-32安全要求-设备-通用-JUNIPER-配置-33安全要求-设备-通用-JUNIPER-配置-34-可选安全要求-设备-通用-JUNIPER-配置-35本规范还针对通用规范中所列的配置要求，给出了在Juniper路由器上的具体配置方法和检测方法。1.3 外部引用说明中国移动设备通用安全功能和配置规范1.4 术语和定义符号和缩略语缩写英文描述中文描述2 Juniper路由器安全配置要求本规范所指的设备为Juniper路由器设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于所有版本的Juniper路由器。2.1 本规范从Juniper路由器的认证授权功能、安全日志功能以及路由协议安全功能，和其他自身安全配置功能8个方面提出安全要求。账号管理、认证授权认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。对于存在字符或图形界面（WEB界面）的人机交互的设备，应提供账号管理及认证授权功能，并应满足以下各项要求。2.1.1 账号编号：安全要求-设备-通用-JUNIPER-配置-1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作setsystemloginuserabc1setsystemloginuserabc22、补充操作说明1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称；2、账号取名，建议使用：姓名的简写手机号码。检测方法3、 判定条件各账号都可以登录路由器为正常4、 检测操作（1）、用showconfigurationsystemlogin命令查看配置是否正确（2）、在终端上用telnet方式登录路由器,输入用户名abc1和密码（3）、在终端上用telnet方式登录路由器,输入用户名abc2和密码）5、 补充说明编号：安全要求-设备-通用-JUNIPER-配置-2要求内容应删除与设备运行、维护等工作无关的账号。操作指南1、参考配置操作deletesystemloginuserabc32、补充操作说明abc3是与工作无关的账号。检测方法3、 判定条件被删除的与工作无关的账号abc3不能登录为正常。4、 检测操作（1）、用showconfigurationsystemlogin命令查看配置是否正确。（2）、在终端上用telnet方式登录路由器,输入用户名abc3和密码。5、 补充说明编号：安全要求-设备-通用-JUNIPER-配置-3要求内容为了控制不同用户的访问级别，建立多用户级别，根据用户的业务需求，将用户账号分配到相应的用户级别。操作指南1、参考配置操作创建用户级别：setsystemloginclassABC1permissionsviewview-configuration将用户账号分配到相应的用户级别：setsystemloginuserabc1classread-onlysetsystemloginuserabc2classABC1setsystemloginuserabc3classsuper-user2、补充操作说明（1）、ABC1是手工创建的组，该组具有的权限：查看设备运行状态（如接口状态、设备硬件状态、路由状态等），并且可以查看设备的配置；（2）、read-only组具有的权限：查看设备运行状态，但不能查看设备的配置；（3）、super-user是超级用户组，具有的权限：所有权限；（4）、read-only和super-user是路由器已经创建的组，不需要手工创建；（5）、abc1、abc2、abc3是不同的用户，它们分别分配到相应的用户级别。检测方法3、判定条件（1）、用户abc1属于组read-only，这个组只设置了查看设备运行状态权限,因而可使用showinterfacesters及其它查看路由器状态的命令，而不能使用showconfiguration和configure命令（2）、用户abc2属于组ABC1，这个组设置了查看设备运状态和查看路由器配置权限，因而可使用showinterfacesters和其它查看路由器状态命令及showconfiguration命令，不能使用configure命令（3）、用户abc3属于组super-user,这是超级用户组，具有所有权限，因而可使用全部命令。6、 检测操作（1）、用showconfigurationsystemloginclassABC1命令查看配置（2）、在终端上用telnet方式登录路由器,输入用户名abc1和密码成功登录路由器后,用showinterfacesterse命令查看端口状态；用showconfiguration命令查看路由器配置；用configure命令进入路由器的配置模式。（3）、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后，用showinterfacesterse命令查看端口状态；用showconfiguration命令查看路由器配置；用configure命令进入路由器的配置模式。（4）、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后，用showinterfacesterse命令查看端口状态；用showconfiguration命令查看路由器配置；用configure命令进入路由器的配置模式。7、 补充说明2.1.2口令编号：安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作setsystemloginuserabc1authenticationplain-text-password2、补充操作说明（1）、输入指令回车后，将两次提示输入新口令（Newpassword:和Retypenewpassword:）。（2）、口令要求：长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测方法3、 判定条件可以登录路由器为正常。4、 检测操作（1）、用showconfigurationsystemlogin命令查看配置是否正确（2）、在终端上用telnet方式登录路由器,输入用户名abc1和密码。5、 补充说明编号：安全要求-设备-通用-配置-5要求内容对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。操作指南1、参考配置操作无。2、补充操作说明Juniper设备不能设置账户口令的生存期限，账户口令的生存期限可通过定期手工更改口令的方式实现。检测方法3、 判定条件无。4、 检测操作每隔90天修改一次路由器的账号密码以提高安全性。5、 补充说明编号：安全要求-设备-通用-JUNIPER-配置-6要求内容修改root密码。root的默认密码是空，修改root密码，避免非管理员使用root账号登录。操作指南1、参考配置操作setsystemroot-authenticationplain-text-password2、补充操作说明（1）、输入指令回车后，将两次提示输入新口令（Newpassword:和Retypenewpassword:）；（2）、口令要求：长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类；。检测方法3、 判定条件（1）、输入root用户和正确密码可以正常登录路由器；（2）、输入root用户和空密码无法登录路由器。4、 检测操作（1）、用showconfigurationsystemlogin命令查看配置是否正确；（2）、通过console口方式登录路由器,输入root用户名和密码；（3）、通过console口方式登录路由器，输入root用户和空密码。5、 补充说明2.1.2 授权编号：安全要求-设备-通用-配置-9要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作创建用户级别，即创建用户的配置权限：setsystemloginclassABC1permissionsconfiguresetsystemloginclassABC1allow-configuration"routing-可选ionsstatic|interfaces|chassisfpc"setsystemloginclassABC2permissionsconfigurerouting-control将用户账号分配到相应的用户级别：setsystemloginuserabc1classABC1setsystemloginuserabc2classABC2setsystemloginuserabc3classsuper-user2、补充操作说明（1）、ABC1组具有的权限：可配置interfaces，可配置routing-可选ions中的static，可配置chassis中的fpc；（2）、ABC2组具有的权限：可配置有关于路由的所有配置，包括routing-可选ions、protocols、policy-可选ions、routing-instances等；（3）、allow-configuration参数是以等级来限制，可以限制各个等级的配置，可以细化到各个小等级；（4）、permissions参数是以功能来限制，限制的范围较大；（5）、allow-commands参数是以具体的指令来限制，allow-comands参数需要设定具体指令,不建议使用。检测方法3、 判定条件（1）、账号abc1属于组ABC1，该组只能配置routing-可选ionsstatic、interfaces、Chassisfpc项里的内容。不能做其它未授权的配置；（2）、账号abc2属于组ABC2，该组只能配置关于路由的所有配置，包括routing-可选ions、protocols、policy-可选ions、routing-instances等，不能做其它未授权的配置；（3）、账号abc3属于组super-user，拥有全部配置权限。4、检测操作（1）、用showconfigurationsystemloginclassABC1命令查看配置（2）、用showconfigurationsystemloginclassABC2命令查看配置（3）、在终端上用telnet方式登录路由器,输入用户名abc1和密码成功登录路由器后，用configure命令进入配置模式。使用以下命令检测：setrouting-可选ionsstaticsetinterfacessetchassisfpc使用其它set命令（4）、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后，用configure命令进入配置模式。使用以下命令检测：setpolicy-可选ionssetprotocolssetrouting-instancessetrouting-可选ions使用其它set命令（5）、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后，用configure命令进入配置模式。使用set命令以及其它命令检测。5、补充说明2.1.3 认证编号：安全要求-设备-通用-JUNIPER-配置-8-可选要求内容设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。操作指南1、参考配置操作setsystemauthentication-orderradiussetsystemauthentication-orderpasswordsetsystemradius-server10.1.1.1setsystemradius-server10.1.1.2setsystemradius-server10.1.1.1port1645setsystemradius-server10.1.1.2port1645setsystemradius-server10.1.1.1secretabc123setsystemradius-server10.1.1.2secretabc1232、补充操作说明（1）、配置认证方式，可通过radius和本地认证；（2）、10.1.1.1和10.1.1.2是radius认证服务器的IP地址，建议建立两个radius认证服务器作为互备；（3）、port1645是radius认证开启的端口号，可根据本地radius认证服务器开启的端口号进行配置；（4）、abc123是与radius认证系统建立连接所设定的密码，建议：与radius认证服务器建立连接时，使用密码认证建立连接。检测方法3、 判定条件（1）、可以正常ping通Radius服务器的IP地址；（2）、用户可以登录路由器为正常；（3）、用户只能使用授权内的命令。4、 检测操作（1）、使用showconfigurationsystem查看配置；（2）、查看Radius服务器配置；（3）、用本地账号登录到路由器pingRadius服务器地址10.1.1.1和10.1.1.2；（4）、使用Raidus服务器建立的账号通过telnet方式登录路由器；（5）、检查授权内的命令是否可用及其它未授权命令。5、补充说明2.2 日志要求本部分对JUNIPER路由器设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。编号：安全要求-设备-通用-配置-12要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1、参考配置操作setsystemsyslogfileauthor.logauthorizationinfo2、补充操作说明（1）、author.log是记录登录信息的log文件，该文件名称可手工定义；（2）、author.log文件保存在juniper路由器的存储上。检测方法3、 判定条件可以在author.log中查看到用户名、登录时间和源IP等内容。4、 检测操作（1）、使用showconfigurationsystemsyslog命令查看配置；（2）、在终端上使用tetlnet方式登录路由器,输入用户名密码；（3）、使用showlogauthor.log命令查看日志。5、 补充说明编号：安全要求-设备-通用-JUNIPER-配置-10要求内容设备应配置日志功能，记录用户对设备的操作，比如以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。操作指南1、参考配置操作setsystemsyslogfilemessagesanyany2、补充操作说明（1）、messages是记录所有log信息的文件，该文件名称可手工定义；（2）、messages文件保存在juniper路由器的存储器上。检测方法3、 判定条件可以在message.log中查看到用户的操作内容、操作时间、操作结果等所有路由器的log信息。4、 检测操作（1）、使用showconfigurationsystemsyslog命令查看配置；（2）、在终端上以telnet方式登录路由器,输入用户名密码；（3）、进行创建、删除帐号和修改用户密码等修改设备配置操作；（4）、用showlogmessage.log查看日志。5、 补充说明编号：安全要求-设备-通用-JUNIPER-配置-11要求内容设备应配置日志功能，记录对与设备相关的安全事件，比如：记录路由协议事件和错误。操作指南1、参考配置操作setsystemsyslogfiledaemon.logdaemonwarningsetsystemsyslogfilefirewall.logfirewallwarning2、补充操作说明（1）、daemon.log是记录路由协议事件的文件，该文件名称可手工定义；（2）、firewall.log是记录安全事件的文件，该文件名称可手工定义；（3）、daemon和firewall可定义有九个等级，建议将其设定为warning等级，即仅记录warning等级以上的安全事件。检测方法3、 判定条件在daemon.log可查看到路由事件及相关路由信息。4、 检测操作（1）、使用showconfiguration命令查看配置；（2）、重启路由进程，如bgp，ospf(该操作可能会影响业务、不建议现网操作；（3）、使用showlogdaemon.log和showlogfirewall.log查看日志。5、 补充说明编号：安全要求-设备-通用-配置-14-可选要求内容设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。操作指南1、参考配置操作setsystemsysloghost10.1.1.1anynoticesetsystemsysloghost10.1.1.1log-prefixRouter1setsystemsysloghost10.1.1.2anynoticesetsystemsysloghost10.1.1.2log-prefixRouter22、补充操作说明（1）、10.1.1.1和10.1.1.2是远程日志服务器的IP地址，建议建设两个远程日志服务器作为互备；（2）、syslog有九个等级的记录信息，建议将notice等级以上的信息传送到远程日志服务器；（3）、Router1为路由器的主机名称。检测方法3、 判定条件日志服务器可以记录相关路由器的notice等级以上的信息为正常。4、 检测操作（1）、使用showconfigurationsystemsyslog命令查看配置；（2）、登录远程日志服务器查看日志。5、 补充说明编号：安全要求-设备-通用-JUNIPER-配置-13要求内容设置系统的配置更改信息保存到单独的change.log文件内。操作指南1、参考配置操作setsystemsyslogfilechange.logchange-loginfo2、补充操作说明（1）、change.log是记录配置更改的文件，该文件名称可手工定义；（2）、change.log文件保存在juniper路由器的存储上。检测方法3、 判定条件可以在change.log中查看到用户的操作内容、操作时间。4、 检测操作（1）、使用showconfigurationsystemsyslog命令查看配置；（2）、在终端上以telnet方式登录路由器,输入用户名密码；（3）、进行创建、删除帐号和修改用户密码等修改设备配置操作；（4）、用showlogchange.log命令查看日志。5、 补充说明编号：安全要求-设备-通用-JUNIPER-配置-14-可选要求内容开启NTP服务，保证日志功能记录的时间的准确性。路由器与NTPSERVER之间开启认证功能。操作指南1、参考配置操作setsystemntpauthentication-key1typemd5valueabc123setsystemntpserver10.1.1.1setsystemntpserver10.1.1.22、补充操作说明（1）、abc123是路由器与NTPSERVER之间md5认证密码；（2）、10.1.1.1和10.1.1.2是NTPSETVER的IP地址，建议建设两个NTP服务器作为互备。检测方法3、 判定条件（1）、用showntpassociations命令查看，信息如下面所示:remoterefidsttwhenpoll=*ROUTER110.1.1.12u6411024+ROUTER210.1.1.22u7131024reachdelayoffsetjitter=3770.964-24.1260.0673774.490-12.0130.457ROUTER1前面的(*)号表示ROUTER1是已和路由器时间同步的NTP服务器,(+)号为备用的NTP服务器.（2）、有showntpstatus命令查看，信息如下:status=0644leap_none,sync_ntp,4events,event_peer/strat_chg,version="ntpd4.1.0-aWedOct518:44:40GMT2005(1)",processor="i386",system="JUNOS7.3R2.7",leap=00,stratum=3,precision=-28,rootdelay=9.814,rootdispersion=102.250,peer=42484,refid=ROUTER,reftime=ca227da4.4b3ffac1Wed,Jun2020070:07:00.293,poll=10,clock=ca2280ce.02849cb2Wed,Jun2020070:20:30.009,state=4,offset=-17.830,frequency=85.438,jitter=28.377,stability=0.048如上面信息的第一句第二部分显示”sync_ntp”表示路由器时间已和NTP服务器同步,如果显示”sync_unspec”即未同步.。4、 检测操作（1）、使用showconfigurationsystemntp命令查看配置；（2）、使用showsystemuptime命令查看路由器时间与并与北京时间对比；（3）、使用showntpassociations查看路由器是否与NTP服务器同步；（4）、使用showntpstatus查看路由器时间同步状态。5、 补充说明2.3 IP协议安全要求IP协议安全分为基本协议安全、路由协议安全、snmp协议安全。基本协议安全配置可防止非法访问，过滤不必要的数据流量。路由协议安全配置主要针对各类动态路由协议，防止未认证设备将外来路由引入本地。SNMP是目前路由器广泛应用的管理协议，SNMP安全配置可防止未许可的SNMP访问，避免设备信息的外泄。2.3.1 基本协议安全编号：安全要求-设备-通用-配置-16-可选要求内容对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。操作指南1、参考配置操作setfirewallfilterabctermafromsource-address10.1.1.1/32setfirewallfilterabctermafromdestination-address10.1.2.1/32setfirewallfilterabctermafromprotocoltcpsetfirewallfilterabctermafromprotocoludpsetfirewallfilterabctermafromsource-port445setfirewallfilterabctermafromdestination-port145setfirewallfilterabctermathenacceptsetfirewallfilterabctermbthenreject2、补充操作说明（1）、abc为filter的名称，可手工定义；（2）、a和b为term的名称，可手工定义，一个filter可设定多个term；（3）、第一条指令为配置基于源IP地址的过滤，10.1.1.1/32为源IP地址，源地址可以是主机IP，也可以是网段；（4）、第二条指令为配置基于目的IP地址的过滤，10.1.1.2/32为目的IP地址，目的IP地址可以是主机IP，也可以是网段；（5）、第三条指令为配置协议TCP；（6）、第四条指令为配置协议UDP；（7）、第五条指令为配置基于源端口，445是端口号，端口号可根据需求设置；（8）、第五条指令为配置基于目的端口，145是端口号，端口号可根据需求设置；（9）、第六条指令为允许，即符合from里的条件时，允许该数据包通过；若设置为reject，则符合from里的条件时，不允许数据包通过；（10）、“setfirewallfilterabctermbthenreject”指令拒绝所有不符合terma条件的数据包通过（then之后可根据需求设置为reject或者accept）。（11）、必须使用如下指令将filter绑定到指定接口该filter才能生效：setinterfacesfe-0/0/0unit0familyinetfilterinputabc。检测方法3、判定条件（1）、用nmap-sS-g44510.1.2.1p145扫描端口时，出现结果如下信息为正常：Interestingportson10.1.2.1:PORTSTATESERVICE145/tcpopenuaac（2）、用nmapsS10.1.2.1p80访问非业务端口时，出现如下结果为正常：Interestingportson10.1.2.1:PORTSTATESERVICE80/tcpclosedhttp（3）、真实业务流量正常通过，非业务流量禁止通过为正常。4、检测操作（1）、使用showconfigurationfirewallfilterabc查看配置（2）、将终端的IP地址设为:10.1.1.1（3）、在终端上安装Nmap端口扫描工具(本例基于windowsXP2系统)（4）、在DOS下输入：nmap-sS-g44510.1.2.1p145这指令的意思是以源端口为445来访问主机IP为10.1.2.1的TCP145端口。（5）、用namp访问其它非业务端口，如访问80端口，在DOS下输入：nmapsS10.1.2.1p80这指令的意思是以任何端口访问10.1.2.1的TCP80端口（6）、运行真实业务测试业务流量和非业务流量。5、补充说明2.3.2 路由协议安全编号：安全要求-设备-通用-配置-17-可选要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。操作指南1、参考配置操作海外版的Junos不支持SSH协议，美国和加拿大版的Junos才支持该功能。2、补充操作说明无。检测方法3、 判定条件无。4、 检测操作无。5、 补充说明编号：安全要求-设备-通用-JUNIPER-配置-17-可选要求内容配置动态路由协议（BGP/MP-BGP/OSPF等）时必须启用带加密方式的身份验证功能，相邻路由器只有在身份验证通过后，才能互相通告路由信息。操作指南1、参考配置操作setprotocolsbgpgroupabcneighbor10.1.1.1authentication-keyabc123setprotocolsospfarea0.0.0.0authentication-typemd52、补充操作说明10.1.1.1为对端BGPpeer的IP地址，可根据需求设定。检测方法3、 判定条件1）、确定配置已经启用加密的身份认证；2）、BGP邻居处于establish状态为正常，能学到邻居的路由为正常；3）、OSPF邻居处于full状态为正常,能学到邻居的路由为正常；4）、路由能连通为正常。4、 检测操作（1）、使用showconfigurationprotocol命令查看配置；（2）、使用showbgpneighbor命令查看BGP邻居状态；（3）、使用showrouteprotocolbgpbrief命令查看BGP路由表；（4）、使用showospfneighbor命令查看OSPF邻居状态；（5）、使用showrouteprotocolospfbrief命令查看OSPF路由表；5、 （6）、使用ping命令检查路由连通性。补充说明编号：J安全要求-设备-通用-JUNIPER-配置-18要求内容配置MP-BGP路由协议，应配置MD5加密认证，通过MD5加密