Juniper路由器安全配置方案
绝对值得一看.很详细.
一. 路由器网络服务安全配置:
默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务
1. SNMP服务
使用如下命令来停止SNMP服务:
set system processes snmp disable
使用如下命令来设置SNMP通讯字符串:
set snmp community mysnmp authorization read-only
使用如下命令来在接口上设备SNMP通讯字符串:
set snmp interface fxp0 community mysnmp
使用如下命令来在接口上禁止SNMP服务trap:
set interfaces fxp0 unit 0 traps disable
使用如下命令来限制SNMP的访问客户端:
set snmp community mysnmp clients 192.168.0.0/24
set snmp community mysnmp clients 0.0.0.0/0 restrict
上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务<
2. 停止接口广播转发:
广播转发容易造成smurf攻击,因此应该使用如下命令停止:
set system no-redirects
接口级别停止广播转发使用如下命令:
set interfaces fxp0 unit 0 family inet no-redirects
3. 停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp服务器,如果没有使用,则应该使用如下命令停止:
set system dhcp-relay disable
4. 禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止:
set protocols igmp interface all disable
5. 禁止PIM服务,PIM服务如果在没有使用的情况下应该使用如下命令禁止:
set protocols pim disable
6. 禁止SAP服务,SAP服务如果在没有使用的情况下应该使用如下命令禁止:
set protocols sap disable</P>7.禁止IP Source Routing源路由
set chassis no-source-route
二. 路由器登录控制:
1. 设置系统登录Banner:
set system login message "Warning: if you NOT authorized to access this system,disconnect NOW!"
2. 设置登录超时时间:
默认情况下,系统登录没有登录超时时间限制,应该将登录超时时间设置为15分钟:
set cli idle-timeout 15
3. 建议采取用户权限分级管理策略
set system login class tier1 idle-timeout 15
set system login class tier1 permissions [ configure interface network routing snmp system trace view firewall ]
set system login class tier2 idle-timeout 15
set system login class tier2 permissions all</P>set system login user admin full-name Administrator
set system login user admin uid 2000
set system login user admin class tier2
set system login user admin authentication encrypted-password "<ASSWORD>"</P>set system login user tier1 uid 2001
set system login user tier1 class tier1
set system login user tier2 uid 2002
set system login user tier2 class tier2</P>
4. 限制系统ssh、telnet服务连接数量:
以下配置将ssh, telnet连接最大数量限制为10个,并且每分钟最多有5个可以连接:
set system services ssh connection-limit 10 rate-limit 5
set system services telnet connection-limit 10 rate-limit 5
以下特性JUNOS5.0以上支持:
set system services root-login deny(禁止root远程登陆)
set system services protocol-version v2(使用sshv2)
三. 配置系统日志服务:
1. 设置系统kernel级警告发到console上
set system syslog console kernel warning
2. 配置登录系统日志到单独的auth.log文件中
set system syslog file auth.log authorization info
3. 配置系统配置更改日志到单独的change.log文件中
set system syslog file change.log change-log info
4. 配置系统所有日志到日志服务器
set system syslog host x.x.x.x. any info
四. 路由策略安全
1. 配置以下保留地址的黑洞路由
set routing-options options no-resolve
set routing-options options syslog level debug
set routing-options static route 0.0.0.0/8 discard
set routing-options static route 10.0.0.0/8 discard
set routing-options static route 20.20.20.0/24 discard
set routing-options static route 127.0.0.0/8 discard
set routing-options static route 169.254.0.0/16 discard
set routing-options static route 172.16.0.0/12 discard
set routing-options static route 192.0.2.0/24 discard
set routing-options static route 192.168.0.0/16 discard
set routing-options static route 204.152.64.0/23 discard
set routing-options static route 224.0.0.0/4 discard
2.设置strict模式的unicast RPF
set interfaces so-0/0/0 unit 0 family inet rpf-check <fail-filter filter-name
3.设置相应prefix-list,禁止保留地址访问
set policy-options prefix-list reserved 0.0.0.0/8
set policy-options prefix-list reserved 10.0.0.0/8
set policy-options prefix-list reserved 20.20.20.0/24
set policy-options prefix-list reserved 127.0.0.0/8
set policy-options prefix-list reserved 169.254.0.0/16
set policy-options prefix-list reserved 172.16.0.0/12
set policy-options prefix-list reserved 192.0.2.0/24
set policy-options prefix-list reserved 204.152.64.0/23
set policy-options prefix-list reserved 224.0.0.0/4
set firewall filter inbound-filter term 1 from prefix-list reserved
set firewall filter inbound-filter term 1 then count spoof-inbound-reserved
set firewall filter inbound-filter term 1 then discard
set interfaces ge-0/0/0 unit 0 family inet filter input inbound-filter
五. Firewall-Policy设置
Firewall-Policy可以限制进入及流量主机数据包的来源、目标地址、协议、端口号、流量等,应用Firewall-Policy可以实现类似于防火墙的性能,但一般不建议在骨干路由器上使用,以下是Firewall-Policy的使用方法:
1. 创建Firewall-Policy:
set firewall filter local-sec term sec-in1 from destination-port telnet
set firewall filter local-sec term sec-in1 from destination-address 172.16.0.1/32
set firewall filter local-sec term sec-in1 from source-address 192.168.0.0/24
set firewall filter local-sec term sec-in1 then accept
set firewall filter local-sec term sec-in2 from destination-port telnet
set firewall filter local-sec term sec-in2 from destination-address 172.16.0.1/32
set firewall filter local-sec term sec-in2 then discard
set firewall filter local-sec term sec-in3 from
set firewall filter local-sec term sec-in1 then accept
2. 应用到路由器的端口上:
set interfaces fxp0 unit 0 family inet filter input local-sec
以上例子不允许除192.168.0.0/24网段外所有地址telnet访问172.16.0.1,但允许其它任何包通过。转自:杜松之家
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论