juniper路由器配置

juniper路由器配置

一．路由器网络服务安全配置：

默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务

1． SNMP服务

使用如下命令来停止SNMP服务：

setsystemprocessessnmpdisable

使用如下命令来设置SNMP通讯字符串：setsnmpcommunitymysnmpauthorizationread-only

使用如下命令来在接口上设备SNMP通讯字符串：

setsnmpinterfacefxp0communitymysnmp

使用如下命令来在接口上禁止SNMP服务trap：

setinterfacesfxp0unit0trapsdisable

使用如下命令来限制SNMP的访问客户端：setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict

上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务

2．停止接口广播转发：

广播转发容易造成smurf攻击，因此应该使用如下命令停止：

setsystemno-redirects

接口级别停止广播转发使用如下命令：

setinterfacesfxp0unit0familyinetno-redirects

3．停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp 服务器，如果没有使用，则应该使用如下命令停止：

setsystemdhcp-relaydisable

4．禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolsigmpinterfacealldisable

5．禁止PIM服务（？），PIM服务如果在没有使用的情况下应该使用如下命令禁止：

setprotocolspimdisable

6．禁止SAP服务（？），SAP服务如果在没有使用的情况下应该使用如下命令禁止：

setprotocolssapdisable

7．禁止IPSourceRouting源路由

setchassisno-source-route

二．路由器登录控制：

1．设置系统登录Banner:

setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW!

2．设置登录超时时间：

默认情况下，系统登录没有登录超时时间限制，应该将登录超时时间设置为15分钟：

setcliidle-timeout15

3．建议采取用户权限分级管理策略

setsystemloginclasstier1idle-timeout15

setsystemloginclasstier1permissions[configureinterfacenetworkroutings nmpsystemtraceviewfirewall]

setsystemloginclasstier2idle-timeout15

setsystemloginclasstier2permissionsall

setsystemloginuseradminfull-nameAdministrator setsystemloginuseradminuid2000

setsystemloginuseradminclasstier2 setsystemloginuseradminauthenticationencrypted-password setsystemloginusertier1uid2001

setsystemloginusertier1classtier1

setsystemloginusertier2uid2002

setsystemloginusertier2classtier2

4. 限制系统ssh、telnet服务连接数量：

以下配置将ssh,telnet连接最大数量限制为10个，并且每分钟最多有5个可以连接：

setsystemservicessshconnection-limit10rate-limit5 setsystemservicestelnetconnection-limit10rate-limit5

以下特性JUNOS5.0以上支持：

setsystemservicesroot-logindeny（禁止root远程登陆）setsystemservicesprotocol-versionv2（使用sshv2）

三．配置系统日志服务：

1．设置系统kernel级警告发到console上setsystemsyslogconsolekernelwarning

2．配置登录系统日志到单独的auth.log文件中

setsystemsyslogfileauth.logauthorizationinfo

3．配置系统配置更改日志到单独的change.log文件中setsystemsyslogfilechange.logchange-loginfo

4．配置系统所有日志到日志服务器

setsystemsysloghostx.x.x.x.anyinfo

四．路由策略安全

1．配置以下保留地址的黑洞路由

setrouting-optionsoptionsno-resolve

setrouting-optionsoptionssyslogleveldebug

setrouting-optionsstaticroute0.0.0.0/8discard

setrouting-optionsstaticroute10.0.0.0/8discard

setrouting-optionsstaticroute20.20.20.0/24discard

setrouting-optionsstaticroute127.0.0.0/8discard

setrouting-optionsstaticroute169.254.0.0/16discard

setrouting-optionsstaticroute172.16.0.0/12discard

setrouting-optionsstaticroute192.0.2.0/24discard

setrouting-optionsstaticroute192.168.0.0/16discard