收藏
下载资源

Juniper路由器安全配置方案

上传人:鲁** 文档编号:505555377 上传时间:2024-01-09 格式:DOCX 页数:3 大小:16.11KB
返回 下载 相关 举报
Juniper路由器安全配置方案_第1页
第1页 / 共3页
Juniper路由器安全配置方案_第2页
第2页 / 共3页
Juniper路由器安全配置方案_第3页
第3页 / 共3页
亲,该文档总共3页,全部预览完了,如果喜欢就下载吧!
资源描述

《Juniper路由器安全配置方案》由会员分享,可在线阅读,更多相关《Juniper路由器安全配置方案(3页珍藏版)》请在金锄头文库上搜索。

1、精选优质文档-倾情为你奉上Juniper路由器安全配置方案一 路由器网络服务安全配置: 默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务 1 SNMP服务 使用如下命令来停止SNMP服务: set system processes snmp disable 使用如下命令来设置SNMP通讯字符串: set snmp community mysnmp authorization read-only 使用如下命令来在接口上设备SNMP通讯字符串: set snmp interface fxp0 community mysnm

2、p 使用如下命令来在接口上禁止SNMP服务trap: set interfaces fxp0 unit 0 traps disable 使用如下命令来限制SNMP的访问客户端: set snmp community mysnmp clients 192.168.0.0/24 set snmp community mysnmp clients 0.0.0.0/0 restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务 2 停止接口广播转发: 广播转发容易造成smurf攻击,因此应该使用如下命令停止: set system no-redirects 接口级别停止广

3、播转发使用如下命令: set interfaces fxp0 unit 0 family inet no-redirects 3 停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp服务器,如果没有使用,则应该使用如下命令停止: set system dhcp-relay disable 4 禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止: set protocols igmp interface all disable 5 禁止PIM服务,PIM服务如果在没有使用的情况下应该使用如下命令禁止: set protocols pim d

4、isable 6 禁止SAP服务,SAP服务如果在没有使用的情况下应该使用如下命令禁止: set protocols sap disable7禁止IP Source Routing源路由 set chassis no-source-route 二 路由器登录控制: 1 设置系统登录Banner: set system login message Warning: if you NOT authorized to access this system,disconnect NOW! 2 设置登录超时时间: 默认情况下,系统登录没有登录超时时间限制,应该将登录超时时间设置为15分钟: set cl

5、i idle-timeout 15 3 建议采取用户权限分级管理策略 set system login class tier1 idle-timeout 15 set system login class tier1 permissions configure interface network routing snmp system trace view firewall set system login class tier2 idle-timeout 15 set system login class tier2 permissions allset system login user

6、admin full-name Administrator set system login user admin uid 2000 set system login user admin class tier2 set system login user admin authentication encrypted-password set system login user tier1 uid 2001 set system login user tier1 class tier1 set system login user tier2 uid 2002 set system login

7、user tier2 class tier2 4. 限制系统ssh、telnet服务连接数量: 以下配置将ssh, telnet连接最大数量限制为10个,并且每分钟最多有5个可以连接: set system services ssh connection-limit 10 rate-limit 5 set system services telnet connection-limit 10 rate-limit 5 以下特性JUNOS5.0以上支持: set system services root-login deny(禁止root远程登陆) set system services prot

8、ocol-version v2(使用sshv2) 三 配置系统日志服务: 1 设置系统kernel级警告发到console上 set system syslog console kernel warning 2 配置登录系统日志到单独的auth.log文件中 set system syslog file auth.log authorization info 3 配置系统配置更改日志到单独的change.log文件中 set system syslog file change.log change-log info 4 配置系统所有日志到日志服务器 set system syslog host

9、 x.x.x.x. any info 四 路由策略安全 1 配置以下保留地址的黑洞路由 set routing-options options no-resolve set routing-options options syslog level debug set routing-options static route 0.0.0.0/8 discard set routing-options static route 10.0.0.0/8 discard set routing-options static route 20.20.20.0/24 discard set routing-

10、options static route 127.0.0.0/8 discard set routing-options static route 169.254.0.0/16 discard set routing-options static route 172.16.0.0/12 discard set routing-options static route 192.0.2.0/24 discard set routing-options static route 192.168.0.0/16 discard set routing-options static route 204.1

11、52.64.0/23 discard set routing-options static route 224.0.0.0/4 discard 2设置strict模式的unicast RPF set interfaces so-0/0/0 unit 0 family inet rpf-check fail-filter filter-name 3设置相应prefix-list,禁止保留地址访问 set policy-options prefix-list reserved 0.0.0.0/8 set policy-options prefix-list reserved 10.0.0.0/8

12、set policy-options prefix-list reserved 20.20.20.0/24 set policy-options prefix-list reserved 127.0.0.0/8 set policy-options prefix-list reserved 169.254.0.0/16 set policy-options prefix-list reserved 172.16.0.0/12 set policy-options prefix-list reserved 192.0.2.0/24 set policy-options prefix-list r

13、eserved 204.152.64.0/23 set policy-options prefix-list reserved 224.0.0.0/4 set firewall filter inbound-filter term 1 from prefix-list reserved set firewall filter inbound-filter term 1 then count spoof-inbound-reserved set firewall filter inbound-filter term 1 then discard set interfaces ge-0/0/0 u

14、nit 0 family inet filter input inbound-filter 五 Firewall-Policy设置 Firewall-Policy可以限制进入及流量主机数据包的来源、目标地址、协议、端口号、流量等,应用Firewall-Policy可以实现类似于防火墙的性能,但一般不建议在骨干路由器上使用,以下是Firewall-Policy的使用方法: 1 创建Firewall-Policy: set firewall filter local-sec term sec-in1 from destination-port telnet set firewall filter

15、local-sec term sec-in1 from destination-address 172.16.0.1/32 set firewall filter local-sec term sec-in1 from source-address 192.168.0.0/24 set firewall filter local-sec term sec-in1 then accept set firewall filter local-sec term sec-in2 from destination-port telnet set firewall filter local-sec ter

16、m sec-in2 from destination-address 172.16.0.1/32 set firewall filter local-sec term sec-in2 then discard set firewall filter local-sec term sec-in3 from set firewall filter local-sec term sec-in1 then accept 2 应用到路由器的端口上: set interfaces fxp0 unit 0 family inet filter input local-sec 以上例子不允许除192.168.0.0/24网段外所有地

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号