您的位置:360文档中心› Juniper路由器安全配置方案

Juniper路由器安全配置方案

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Juniper路由器安全配置方案

一. 路由器网络服务安全配置:

默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务

1. SNMP服务

使用如下命令来停止SNMP服务:

set system processes snmp disable

使用如下命令来设置SNMP通讯字符串:

set snmp community mysnmp authorization read-only

使用如下命令来在接口上设备SNMP通讯字符串:

set snmp interface fxp0 community mysnmp

使用如下命令来在接口上禁止SNMP服务trap:

set interfaces fxp0 unit 0 traps disable

使用如下命令来限制SNMP的访问客户端:

set snmp community mysnmp clients 192.168.0.0/24

set snmp community mysnmp clients 0.0.0.0/0 restrict

上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务<

2. 停止接口广播转发:

广播转发容易造成smurf攻击,因此应该使用如下命令停止:

set system no-redirects

接口级别停止广播转发使用如下命令:

set interfaces fxp0 unit 0 family inet no-redirects

3. 停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp服务器,如果没有使用,则应该使用如下命令停止:

set system dhcp-relay disable

4. 禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止:

set protocols igmp interface all disable

5. 禁止PIM服务,PIM服务如果在没有使用的情况下应该使用如下命令禁止:

set protocols pim disable

6. 禁止SAP服务,SAP服务如果在没有使用的情况下应该使用如下命令禁止:

set protocols sap disable

7.禁止IP Source Routing源路由 set chassis no-source-route

二. 路由器登录控制:

1. 设置系统登录Banner:

set system login message "Warning: if you NOT authorized to access this system,disconnect NOW!"

2. 设置登录超时时间:

默认情况下,系统登录没有登录超时时间限制,应该将登录超时时间设置为15分钟:

set cli idle-timeout 15

3. 建议采取用户权限分级管理策略

set system login class tier1 idle-timeout 15

set system login class tier1 permissions [ configure

interface network routing snmp system trace view firewall ] set system login class tier2 idle-timeout 15

set system login class tier2 permissions all

set system login user admin full-name Administrator

set system login user admin uid 2000

set system login user admin class tier2

set system login user admin authentication encrypted-password ""

set system login user tier1 uid 2001

set system login user tier1 class tier1

set system login user tier2 uid 2002

set system login user tier2 class tier2

4. 限制系统ssh、telnet服务连接数量:

以下配置将ssh, telnet连接最大数量限制为10个,并且每分钟最多有5个可以连接:

set system services ssh connection-limit 10 rate-limit 5

set system services telnet connection-limit 10 rate-limit 5 以下特性JUNOS5.0以上支持:

set system services root-login deny(禁止root远程登陆)

set system services protocol-version v2(使用sshv2)

三. 配置系统日志服务:

1. 设置系统kernel级警告发到console上

set system syslog console kernel warning

2. 配置登录系统日志到单独的auth.log文件中

set system syslog file auth.log authorization info

3. 配置系统配置更改日志到单独的change.log文件中

set system syslog file change.log change-log info

4. 配置系统所有日志到日志服务器

set system syslog host x.x.x.x. any info

四. 路由策略安全

1. 配置以下保留地址的黑洞路由

set routing-options options no-resolve

set routing-options options syslog level debug

set routing-options static route 0.0.0.0/8 discard

set routing-options static route 10.0.0.0/8 discard

set routing-options static route 20.20.20.0/24 discard

set routing-options static route 127.0.0.0/8 discard

set routing-options static route 169.254.0.0/16 discard set routing-options static route 172.16.0.0/12 discard

set routing-options static route 192.0.2.0/24 discard

set routing-options static route 192.168.0.0/16 discard set routing-options static route 204.152.64.0/23 discard set routing-options static route 224.0.0.0/4 discard

2.设置strict模式的unicast RPF

set interfaces so-0/0/0 unit 0 family inet rpf-check

3.设置相应prefix-list,禁止保留地址访问

set policy-options prefix-list reserved 0.0.0.0/8

set policy-options prefix-list reserved 10.0.0.0/8

set policy-options prefix-list reserved 20.20.20.0/24

set policy-options prefix-list reserved 127.0.0.0/8

set policy-options prefix-list reserved 169.254.0.0/16

set policy-options prefix-list reserved 172.16.0.0/12

相关文档
最新文档