欢迎来到中国文库网! | 帮助中心 分享价值,成长自我!
中国文库网
全部分类
  • 实用文档 >
    实用文档
    求职/职场 PPT模板库 总结/汇报/计划 主持/演讲稿/致辞/ 思想汇报/心得体会 规章制度 调研述职 学习专题 行政公文 合同协议 方案/研究报告 说明文档 其它范文模版
  • 专业资料 >
    专业资料
    经管营销 IT/计算机 工程科技 人文社科 自然科学 医药卫生 农林牧渔
  • 教育资料 >
    教育资料
    幼儿教育 小学教育 初中教育 高中教育 职业教育 成人教育 高等教育 其它教育资料
  • 资格认证/考试 >
    资格认证/考试
    公务员考试 成考 自考 专升本考试 教师资格考试 司法考试 微软认证 思科认证 注册会计师 全国翻译资格认证 医师/药师资格考试 会计职称考试 报关员资格考试 人力资源管理师 安全工程师考试 出国培训 资产评估师考试 技工类职业技能考试 银行从业资格 计算机等级考试 营养师认证 物流师考试 证券从业资格考试 注册税务师 理财规划师 建筑师考试 质量管理体系认证 建造师考试 英语四六级 英语专业四八级 GRE 雅思/LSAT 托福 其它
  • 学术论文/大学论文 >
    学术论文/大学论文
    毕业论文 期刊/会议论文 管理论文 社科论文 文学论文 开题报告 经济论文 法律论文 医学论文 哲学论文 艺术论文 通讯论文 自然科学论文 论文指导/设计 其它论文
  • 生活休闲专区 >
    生活休闲专区
    饮食 游戏 体育/运动 音乐 旅游购物 娱乐时尚 美容化妆 家具家电 社会民生 影视/动漫 保健养生 随笔 摄影摄像 幽默滑稽 综合/其它
  • 首页 中国文库网 > 资源分类 > DOC文档下载

    juniper junos网络设备现场测评记录表( 模板).doc

    • 资源大小:95.00KB        全文页数:13页
    • 资源格式: DOC        下载权限:游客/注册会员/VIP会员    下载费用:1金币 【人民币1元】
    游客快捷下载 游客一键下载
    会员登录下载
    下载资源需要1金币 【人民币1元】

    邮箱/手机:
    温馨提示:
    支付成功后,系统会根据您填写的邮箱或者手机号作为您下次登录的用户名和密码(如填写的是手机,那登陆用户名和密码就是手机号),方便下次登录下载和查询订单;
    特别说明:
    请自助下载,系统不会自动发送文件的哦;
    支付方式: 微信支付    支付宝   
    验证码:   换一换

          加入VIP,免费下载资源
     
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,既可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰   

    juniper junos网络设备现场测评记录表( 模板).doc

    深圳市信息安全测评中心 第 1 页 共 13页项目编号SISITEC(DC)**网络设备测评现场记录表2011 年_月深圳市信息安全测评中心 第 2 页 共 13页1.测评对象2.入场确认3.离场确认对象名称及 IP 地址 备注序号 确认内容1 测评对象中的关键数据已备份。如果没有备份则不进行核查。2 测评对象工作正常。如工作异常则不进行核查。开始时间 确认签字序号 确认内容1 测评工作未对测评对象造成不良影响,测评对象工作正常。结束时间 确认签字深圳市信息安全测评中心 第 3 页 共 13页4.测评记录序号 类别 测评内容 测评方法示例 结果记录 符合情况1a 应在网络边界部署访问控制设备,启用访问控制功能;该项一般在防火墙上进行实现,若没有,则检查网络拓扑结构和相关路由器配置,查看是否在网络边界网络设备上启用了访问控制功能。使用 get config 命令,检查配置文件中应当存在类似如下配置项Set intefaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24Set firewall family inet filter fil term t1 from source-address 1.1.1.1/32Set interfaces ge-0/0/0 unit 0 family inet iput2网络访问控制b 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;在网络边界路由器有针对流入与流出的流量设定 ACL,查看是否在网络边界网络设备上启用了访问控制功能,使用get config 命令,检查配置文件中应当存在类似如下配置项Set intefaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24Set firewall family inet filter fil term t1 from source-address 1.1.1.1/32Set interfaces ge-0/0/0 unit 0 family inet iput流入流量过滤管理员应该在位于网络深圳市信息安全测评中心 第 4 页 共 13页入口处的路由器上过滤掉一些源 IP 不是公网 IP 的数据包流出流量过滤为了防止由单位内部机器发出的伪造源 IP 的攻击数据流,管理员在入口路由器上应该进行流出流量过滤,即只允许源 IP 地址是公司内部合法IP 的数据包被转发出去。3c 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制;此项不适合,该项要求一般在防火墙上实现序号 类别 测评内容 测评方法示例 结果记录 符合情况4d 应在会话处于非活跃一定时间或会话结束后终止网络连接;每种登录方式均设置了 timeout 值,使用 get config 命令,检查配置文件中应当存在类似如下配置项userhostget configsession will be closed in 5 minutes if there is no activity5 e 应限制网络最大流量数及网络连接数;访谈系统管理员,依据实际网络状态是否需要限制网络最大流量数及网络连接数,并检查路由器配置。如果网络中部署防火墙,该项要求一般在防火墙上实现。用 get config 命令,检查配置文件中应当存在类似如下配置项深圳市信息安全测评中心 第 5 页 共 13页userhostget configset forwarding-classes class app queue-num 5 set family Ethernet-switching filter voip_classset family Ethernet-switching filter voip_class term voip from source_address 192.168.1.2/32set family Ethernet-switching filter voip_class tern best-effort_traffic then forwarding_class best-effort loss-priority lowSet ge-0/0/0 description phone1-voip-ingress-portSet ge-0/0/0 unit 0 family etheret-switchingFilter iput voip_class 序号 类别 测评内容 测评方法示例 结果记录 符合情况6 f 重要网段应采取技术手段防止地址欺骗;检查设备配置命令, 重要网段是否配置了 ip/mac 地址绑定。输入命令get ip arp例如检查配置文件中应当存在类似如下配置项arp 10.10.10.1 0000.E268.9980 arpa7g 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控对通过远程采用 VPN 技术或其它方式连入单位内网的用户,路由器或相关设备应提供用户认证功能,通过配置用户、用户组,并结合访问控制规则可以实现深圳市信息安全测评中心 第 6 页 共 13页制粒度为单个用户; 对认证成功的用户允许访问控制资源。使用 get config 命令,检查配置文件中应当存在类似如下配置项Set security ike policy ike_pol_1 mode aggressiveSet security ike policy ike_pol_1 description “new ike policy”Set security ike policy ike_pol_1 proposals ike_pol_1Set security ike policy ike_pol_1 pre-shared-key ascii-textSet security ike policy ike_pol_1 description “new ipsec policy”Set security ipsec policy ipsec_pol_1 perfect-forward-secrecy keys group2Set security ipsec policy ipsec_pol_1 proposals ipsec_pol_18 h 应限制具有拨号访问权限的用户数量。确认设备中是否设置拨号接入,若有设置,则允许拨号接入的用户个数不能超过三个.userswitchget user all9 安全审计a 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;确认网络设备的日志服务与 SNMP 服务已开启,使用 get config 命令,检查配置文件中应当存在类似如下配置项检查 snmp 管理配置userhostget configsnmp-serversnmp-server community “boston” view everything rw深圳市信息安全测评中心 第 7 页 共 13页snmp-server user fred auth sha fred-password priv des password grop user检查 syslog 服务器userhostget configlogging onlogging trap debugginglogging 10. 10. 10. 10序号 类别 测评内容 测评方法示例 结果记录 符合情况10b 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;确认网络设备的日志服务与 SNMP 服务已开启,只要 snmp 功能与日志功能开启,该项要求则满足对于 juniper 网络设备来说,可以对系统错误、网络和接口的变化、登录失败、ACL 匹配等进行审计,审计内容包括了时间、类型、用户等相关信息。因此,对于 juniper 路由器来说,只要审计功能开启用就能符合该项要求使用 get config 命令,检查配置文件中应当存在类似如下配置项检查 snmp 管理配置userhostget configsnmp-serversnmp-server community “boston” view everything rwsnmp-server user fred auth sha fred-password priv des password grop user检查 syslog 服务器userhostget config深圳市信息安全测评中心 第 8 页 共 13页logging onlogging trap debugginglogging 10. 10. 10. 1011c 应能够根据记录数据进行分析,并生成审计报表;只要网络设备开启了日志服务,则该项满足要求。在等保要求,txt 的日志服务输出文件格式也是报表。12d 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。访谈网络设备管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。例如可以设置专门的日志服务器,接受路由器等网络设备发送出的报警信息。输入命令get config例如,检查配置文件中应当存在类似如下配置项loging x.x.x.x查看日志服务器是否收到网络的日志信息,并且查看日志信息的历史记录,是否保存 3 个月内日志信息。13 网络设备防范 a 应对登录网络设备的用户进行身份鉴别;确认配置文件中有为 vty 与 console 登陆用户密码。输入命令get config,如下例userswitchshow line vty //查看 vty的密码no access-class inpassword XXX //一定有这一句data-character-bits 8exec-timeout 3w 3d 7h 20m 0sexec-banner enabledexec-banner enabled深圳市信息安全测评中心 第 9 页 共 13页login-timeout 30 secondsuserswitchshow line console //查看console 的密码序号 类别 测评内容 测评方法示例 结果记录 符合情况password XXX //一定有这一句data-character-bits 8exec-timeout 3w 3d 7h 20m 0sexec-banner enabledexec-banner enabledlogin-timeout 30 seconds14 b 应对网络设备的管理员登录地址进行限制;确认配置文件中对登陆设置了访问控制使用 show line vty 命令,如下例userswitchshow line vty //查看 vty的密码no access-class 1 in//一定有这一句password XXX data-character-bits 8exec-timeout 3w 3d 7h 20m 0sexec-banner enabledexec-banner enabledlogin-timeout 30 seconds深圳市信息安全测评中心 第 10 页 共 13页15 c 网络设备用户的标识应唯一; 该项 JUNIPER 网络设备支持,不需检查序号 类别 测评内容 测评方法示例 结果记录 符合情况16d 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;可以通过访谈网络设备管理采用了两种或以上组合的鉴别技术进行身份鉴别,可验证双因子鉴别的有效性。使用 get config 命令,检查配置文件中应当存在类似如下配置项userhostget configaaa new-modelaaa authentication login my_auth_list tacacsaaa authentication enable deault tacacsaaa authorization commands 15 boston17e 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;询问网络管理员对身份鉴别所采取的具体措施,使用口令的组成、长度和更改周期等。使用 get config 命令,检查配置文件中应当存在类似如下配置项

    注意事项

    本文(juniper junos网络设备现场测评记录表( 模板).doc)为本站会员(520AC)主动上传,中国文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知中国文库网(发送邮件至277317659@qq.com或直接QQ联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。

    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们

    copyright@ 2018 zgwenku网站版权所有
    ICP备案编号:蜀ICP备18016090号

    收起
    展开