信息安全知识竞赛培训网络设备.pptx

1、 网络设备基础理论知识培训网络设备基础理论知识培训网络设备基础理论知识培训网络设备基础理论知识培训CISCO设备安全设置JUNIPER设备安全设置目目目目录录CISCOCISCO设备设备安全安全安全安全设设置置置置CISCO设备通用安全知识CISCO设备安全设置-访问控制列表CISCO设备安全设置-路由协议安全CISCO设备安全设置-网管安全CISCO设备安全设置-SNMP协议安全CISCO设备安全设置-HTTP安全CISCO设备安全设置-日志CISCO设备安全设置-特定安全配置CISCO设备安全维护作为电信行业主流的路由、交换设备，CISCO设备除了能提供强大的数据交换功能外，还可以提供最基

2、础的网络安全防护功能。由于CISCO设备往往负担着运营商业务、经营等数据，如何保证CISCO设备自身的安全，是网络管理人员首当其冲面临的安全问题。充分的利用CISCO设备自身的安全特性，合理的使用CISCO设备的安全配置，可保证运营商网络CISCO设备的运行安全。CISCOCISCOCISCOCISCO设备通用安全知识设备通用安全知识设备通用安全知识设备通用安全知识Cisco设备具有强大的访问控制能力：可以实现对远程登录并发个数和空闲时长的限制；支持使用SSH代替Telnet，并提供ACL对用户登陆进行严格控制；支持AAA认证和授权；支持SNMP管理认证、限制TRAP主机，修改TRAP端口等；

3、路由协议的认证支持RIP、OSPF和BGP MD5认证，同时也支持密码明文认证；CISCOCISCOCISCOCISCO设备通用安全知识设备通用安全知识设备通用安全知识设备通用安全知识-访问控制访问控制访问控制访问控制CISCO设备的数据加密能力主要有：支持SSH替代Telnet,可以在网络中传递加密的用户名和密码；对于enable密码，使用加密的enable secret,并且密码可以通过service password-encryption命令，进行密码加密；提供Cisco加密技术（CET）；IPSec技术实现数据传输的加密技术。CISCOCISCOCISCOCISCO设备通用安全知识设备

4、通用安全知识设备通用安全知识设备通用安全知识-数据加密数据加密数据加密数据加密CISCO设备可以提供强大的日志功能：Cisco设备将LOG信息分成八个级别，由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。可以设置将一定级别的LOG消息通过SYSLOG、SNMP TRAP传递给异地的LOG SERVER长期保存，并对LOG SERVER的地址可以进行严格控制。CISCOCISCOCISCOCISCO设备通用安全知识设备通用安全知识设备通用安全知识设备通用安全知识-日志

5、日志日志日志Cisco设备的防攻击能力主要体现如下：可以通过对Q0S技术的配置，起到自身的防护的能力，它支持排排队技技术、CAR和和GTS等；结合强大的ACL命令，用于自身以及网络的防攻击，支持标准访问控制列表、扩展的访问控制列表、动态访问列表、自反访问列表、基于时间的访问控制列表、基于上下文的访问控制列表，从而保证了强大的防攻击能力；支持黑洞路由；支持源路由检查。CISCOCISCOCISCOCISCO设备通用安全知识设备通用安全知识设备通用安全知识设备通用安全知识-攻击防御攻击防御攻击防御攻击防御CISCOCISCO设备设备安全安全安全安全设设置置置置-访问访问控制列控制列控制列控制列表表

6、表表访问控制列表是网络防御的前端，Cisco设备支持两种类型的访问控制列表：标准访问列表（1-99和1300-1999）和扩展访问列表（100-199和2000-2699）。对于路由器接口，一个访问表必须在创建之后应用到某个接口上，它才能产生作用。因为通过接口的数据流是双向的，所以访问表要应用到接口的特定方向上，向外的方向或者向内的方向。CISCO设备对于不匹配任何表项的数据包，默认是拒绝其通过的操作。CISCOCISCO设备访问设备访问控制列表控制列表控制列表控制列表-应应用用用用Cisco访问控制列表提供如下控制列表提供如下应用：用：标准的访问表：只允许过滤源地址，功能有限。扩展访问列表：

7、用于扩展报文过滤能力,一个扩展的I P访问表允许用户根据如下内容过滤报文：源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。它的建立也支持编号方式和命名方式。动态访问表（lock-and-key）：能够创建动态访问表项的访问表。基于时间的访问表：使用基于时间的访问表可以实现根据一天中的不同时间，或者根据一星期中的不同天，或者二者的结合，来控制对网络资源的访问。Cisco7500系列路由器不支持该功能。自反访问表：是扩展的IP命名访问表的一个重要的功能特性，自反访问表创建开启表项并用于从路由器的不可信方（某个接口），在正常的操作模式下，这些开启表项并没有启用。基于

8、上下文的访问控制（Context-Based Access Control,CBAC）：工作方式类似于自反访问表，它会检查向外的会话，并且创建临时开启表项来允许返回的通信报文；其不同之处在于，自反访问表表与传统的访问表一样，不能检测高于第4层的信息，并且只支持单通道的会话。CISCOCISCO设备访问设备访问控制列表控制列表控制列表控制列表-实实施原施原施原施原则则只允许合法的网管网段或网管和维护主机地址作为源地址发起对设备的远程连接，如Telnet、SSH、HTTP、SNMP、Syslog等；只允许需要的协议端口能进入（如OSPF、BGP、RSVP等）；指定设备自身发包的源地址，如loopb

9、ack IP；同时只允许在设备间使用这些地址来互相远程登录；对ICMP数据包的限制对非法IP的限制除此外，以设备端口IP地址为目的地址数据包都被拒收。CISCOCISCO设备访问设备访问控制列表控制列表控制列表控制列表-作用作用作用作用Cisco设备的ACL可以发挥如下作用：过滤恶意和垃圾路由信息控制网络的垃圾信息流控制未授权的远程访问CISCOCISCO设备设备安全安全安全安全设设置置置置-路由路由路由路由协议协议安全安全安全安全路由协议是数据网络最常用的技术。大部分的路由协议都会周期发送组播或广播PDU来维持协议运作。组播和广播模式自身就存在严重安全隐患，而且路由协议的PDU携带有敏感的路

10、由信息。一旦路由协议PDU被窃听或冒充后，不对的或被恶意篡改的路由信息将直接导致网络故障，甚至网络瘫痪。路由协议运作过程中的安全防护是保证全网安全的重要一环。CISCOCISCO设备设备路由路由路由路由协议协议安全安全安全安全-协议认协议认证证OSPF协议认证：默认的OSPF认证密码是明文传输的，要求启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。RIP协议认证：只有RIP-V2支持，RIP-1不支持。建议启用RIP-V2。并且采用MD5认证，普通认证同样是明文传输的。ISIS协议认证：ISIS路由协议只支持明文密码认证，分成neighbor间认证、area认证和

11、以及域间的认证。BGP协议认证：BGP路由协议配置认证，自动启用MD5认证。CISCOCISCO设备设备路由路由路由路由协议协议安全安全安全安全-被被被被动动端口端口端口端口对于不需要路由的端口，建议启用passive-interface，可以禁用一些不需要接收和转发路由信息的端口。Router(config-router)#passive-interface serial0/0RIP协议只是禁止转发路由信息，并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。CISCOCISCO设备设备安全安全安全安全设设置置置置-源路由源路由源路由源路由检查检查为了防止利用IP Spoofing手段

12、假冒源地址进行的DoS攻击对整个网络造成的冲击，建议在所有的边缘路由设备（即直接与终端用户网络互连的路由设备）上，根据用户网段规划添加源路由检查。Cisco路由器提供全局模式下启用URPF（Unicast Reverse Path Forwarding单播反向路径转发）的功能。启用源路由检查必须要先启用CEF。CISCOCISCO设备设备安全安全安全安全设设置置置置-网管安全网管安全网管安全网管安全网管人员都习惯使用CLI来进行设备配置和日常管理，常会使用Telnet来远程登录设备。Cisco设备提供标准的Telnet接口，开放TCP 23端口。虽然Telnet在连接建立初期也需要核查帐号和密

13、码，但是此过程中，以及后续会话中，都是明文方式传送所有数据，容易造窃听而泄密。Telnet并不是一个安全的协议。建议采用SSH协议来取代Telnet进行设备的远程登录。SSH与Telnet一样提供远程连接手段。但是SSH传送的数据（包括帐号和密码）都会被加密，且密钥会自动更新，极大提高了连接的安全性。SSH可以非常有效地防止窃听、防止使用地址欺骗手段实施的连接尝试。CISCOCISCO设备设备网管安全网管安全网管安全网管安全-TELNET-TELNET配置配置配置配置密码设置：长度8位以上，含大、小写，数字及特写字符超时设置：设置超时自动断开远程连接（180秒）访问控制：设置针对远程Telne

14、t的专用ACL并发数目：控制远程Telnet的并发连接数（5个）定期变更：定期变更远程登录密码（最长3个月）传播控制：严格控制密码的传播范围和传播方式，如遇网管人员离职或职位变动应立即更改密码，禁止使用明文邮件方式传递密码，可使用PGP加密方式。CISCOCISCO设备设备网管安全网管安全网管安全网管安全-帐帐号、密号、密号、密号、密码码管理管理管理管理在日常维护过程中周期性地更改登录密码，甚至登录帐号。Cisco设备可以为不同的管理员提供权限分级。当外方人员需要登录设备时，应创建临时帐号，并指定合适的权限。临时帐号使用完后应及时删除。登录帐号及密码的保管和更新应由专人负责，并注意保密。帐号名

15、字应该与使用者存在对应关系，应做到一人对应单独帐号。帐号名字应尽量混用字符的大小写、数字和符号，密码至少使用四种可用字符类型中的三种：小写字母、大写字母、数字和符号，而且密码不得包含用户名或用户全名的一部分。一般情况下密码至少包含8 个字符。Cisco设备采用enable secret命令，为特权模式的进入设置强壮的密码。CISCOCISCO设备设备网管安全网管安全网管安全网管安全-本地本地本地本地认证认证和授和授和授和授权权初始模式下，Cisco设备内一般建有没有密码的管理员帐号，该帐号只能用于Console连接，不能用于远程登录。建议用户应在初始化配置时为它们加添密码。一般而言，设备允许用

16、户自行创建本机登录帐号，并为其设定密码和权限。同时，为了AAA服务器出现问题时，对设备的维护工作仍可正常进行，建议保留必要的维护用户。CISCOCISCO设备设备网管安全网管安全网管安全网管安全-AAA-AAACisco设备支持RADIUS或TACACS的AAA（认证、授权、计费）客户端功能，通过AAA认证可以方便实现对大量设备的登录帐号和密码的管理。建议采用集中认证和授权模式。通过AAA服务器还可以弥补设备本身对执行权限管理的不足。CISCOCISCO设备设备安全安全安全安全设设置置置置-SNMP-SNMP协议协议安全安全安全安全由于SNMP协议的MIB存放着大量设备状态信息（称之为Obje

17、ct，并以OID作为唯一标识），既有物理层信息（如端口状态），也有协议层信息（如端口IP地址）。网管系统通过SNMP GET或M-GET指令采集这些信息作为原始数据，经分析和处理后实现各种网管功能。部分MIB Object还可以让网管系统通过SNMP SET指令来赋值。怀有恶意的人可以通过窃取SNMP数据来获得网络的基本情况，并以此发起恶意攻击，甚至通过修改MIB Object赋值来进行破坏。因此SNMP的防护非常重要。SNMP自身也提供了一定的安全手段，即Community。Community相当于网管系统与设备之间建立SNMP连接合法性的识别字串。它们两者之间的SNMP交互都需要先做Com

18、munity检查后，再执行。有2种Community：Read-Only（简称RO）和Read-Write（简称RW）。RW相当危险，要求关闭snmp rw功能。CISCOCISCO设备设备安全安全安全安全设设置置置置-SNMP-SNMP协议协议安全安全安全安全Cisco设备默认开启SNMP协议，并采用了public和private的口令，故Cisco默认的SNMP配置是及其危险的。如不需要提供SNMP服务的，要求禁止SNMP协议服务，注意在禁止时删除一些SNMP服务的默认配置。如开启SNMP协议，建议更改SNMP trap协议的标准端口号，并使用访问控制列表控制未授权的SNMP读写，定期更改

19、SNMP Community,以增强其安全性。如开启SNMP协议，并且条件许可的话，建议转用SNMPv3。它引入了除Community外的基于MD5认证和DES加密来保障SNMP通道安全的机制。CISCOCISCO设备设备安全安全安全安全设设置置置置-HTTP-HTTP安全安全安全安全Cisco设备的IOS支持HTTP协议进行远端配置和监视。由于HTTP服务本身具有诸多安全漏洞，如CGI漏洞等，针对HTTP的认证就相当于在网络上发送明文。且对于HTTP没有有效的基于挑战或一次性的口令保护，这使得用HTTP进行管理相当危险。建议关闭HTTP服务。CISCOCISCO设备设备HTTPHTTP安全安

20、全安全安全-关关关关闭闭HTTPHTTP服服服服务务如需要使用HTTP服务，要求更改标准的端口号，将协议运行在其他不用端口上，如“49152 至65535”，而不是标准端口上。Router(Config)#no ip http serverCISCOCISCO设备设备HTTPHTTP安全安全安全安全-HTTP-HTTP安全配置安全配置安全配置安全配置如果必须选择使用Http进行管理，最好用ip http access-class命令限定访问地址，并用ip http authentication命令配置认证，修改HTTP的默认端口。Router(Config)#ip http port 5000

21、0 Router(Config)#access-list 10 permit 192.168.0.1 Router(Config)#access-list 10 deny any Router(Config)#ip http access-class 10 CISCOCISCO设备设备安全安全安全安全设设置置置置-日志日志日志日志建议对Cisco设备的安全审计进行有效管理，根据设备本身具有的属性和实际维护经验，建议相关安全审计信息应包括设备登录信息日志和设备事件信息日志，同时提供SYSLOG服务器的设置方式。Cisco设备将LOG信息分成八个级别，由低到高分别为debugging、inform

22、ational、notifications、warnings、errors、critical、alerts、emergencies。考虑到日志信息的种类和详细程度，并且日志开启对设备的负荷有一定影响，建议获取有意义的日志信息进行分析。CISCOCISCO设备设备安全安全安全安全设设置置置置-日志日志日志日志日志除在本机保存外，还应异地存储到专用的LOG服务器，建议将notifications及以上的LOG信息送到LOG服务器。为确保日志时间戳的准确，需要配置正确的时间戳，有助于故障排除，取得安全事件的证物和与其他路由器进行时间同步。Router(Config)#service timestam

23、ps log datetime localtime CISCOCISCO设备设备安全安全安全安全设设置置置置-特定安全配置特定安全配置特定安全配置特定安全配置除上述安全设置外，Cisco设备还应该关闭一些默认的服务，并进行一些特定的安全配置，尽可能确保Cisco设备的安全运行。CISCOCISCO设备设备特定安全配置特定安全配置特定安全配置特定安全配置-服服服服务务关关关关闭闭Cisco设备本省提供了许多比较危险的服务如CDP、TCP和UDP Small、Finger、NTP、BOOTp、IP sourcerouting、IP Unreachables,Redirects,MaskReplie

24、s、ARP-Proxy、IP Directed Broadcast、IP Classless、WINS和DNS等等，对该类服务的建议是，如果不需要服务，关闭这些服务。CISCOCISCO设备设备特定安全配置特定安全配置特定安全配置特定安全配置-服服服服务务关关关关闭闭CDP服务可能被攻击者利用获得路由器的版本等信息，从而进行攻击，所有边界的Cisco设备需要关闭CDP服务。一些基于TCP和UDP协议的小服务如：echo、chargen等，容易被攻击者利用来越过包过滤机制，建议关闭。Finger服务可能被攻击者利用查找用户和口令攻击，建议关闭。NTP不是十分危险的，但是如果没有一个很好的认证，则

25、会影响路由器正确时间，导致日志和其他任务出错，建议关闭。ARP-Proxy服务默认是开启的，容易引起路由表的混乱,建议关闭。CISCOCISCO设备设备特定安全配置特定安全配置特定安全配置特定安全配置-服服服服务务关关关关闭闭禁止ICMP协议的IP Unreachables,Redirects,MaskReplies功能。明确的禁止IP Directed Broadcast。禁止IP Source Routing。禁止BOOTp服务。CISCOCISCO设备设备特定安全配置特定安全配置特定安全配置特定安全配置-服服服服务务关关关关闭闭Cisco路由器默认的对IPv4协议报进行处理，但会导致网络

26、接口拒绝服务，为确保不受到次类型的攻击，可以在接口上禁止53(SWIPE)55(IP Mobility)77(Sun ND)103(Protocol Independent Multicast-PIM)CISCOCISCO设备设备安全安全安全安全设设置置置置-其他其他其他其他COM端口的安全：建议控制CONSOLE端口的访问,给CONSOLE口设置高强度的密码，设置超时退出时间等。AUX端口的安全：由于默默认打开打开，在不使用AUX端口时，则禁止这个端口。空闲物理端口的安全：如确认端口（Interface）不使用，使用shutdown命令关闭。Banner的设置：对远程登陆的banner的设置

27、要求必须包含非授权用户禁止登录的字样，banner不能包含-设备名、设备型号、设备所有者及设备运行软件信息。Cisco路由器禁止从网络启动和自动从网络下载初始配置文件。no boot networkno service configCISCOCISCO设备设备安全安全安全安全维护维护-路由器快照路由器快照路由器快照路由器快照为防止意外情况的发生，可对运行的路由器进行快照保存。路由器的快照需要保存两个信息：当前的配置当前的配置-running config当前的开放端口列表当前的开放端口列表CISCOCISCO设备设备安全安全安全安全维护维护-常用命令常用命令常用命令常用命令Terminal m

28、onitorShow usersShow versionShow clockShow loggingShow arpClear line vtyJUNIPERJUNIPER设备设备安全安全安全安全设设置置置置JUNIPER设备通用安全知识JUNIPER设备安全设置-访问控制列表JUNIPER设备安全设置-路由协议安全JUNIPER设备安全设置-网管安全JUNIPER设备安全设置-SNMP协议安全JUNIPER设备安全设置-日志JUNIPER设备安全设置-特定安全配置JUNIPERJUNIPER设备设备通用安全知通用安全知通用安全知通用安全知识识作为电信行业常见的路由设备，JUNIPER设备除了

29、能提供强大的数据交换功能外，还可以提供最基础的网络安全防护功能。由于JUNIPER设备负担着运营商业务、经营等数据，如何保证JUNIPER设备自身的安全，是网络管理人员首当其冲面临的安全问题。充分的利用JUNIPER设备自身的安全特性，合理的使用JUNIPER设备的安全配置，可保证运营商网络JUNIPER设备的运行安全。JUNIPERJUNIPER设备设备通用安全知通用安全知通用安全知通用安全知识识访问控制：JUIPER路由器具有强大的访问控制能力，在设备的访问控制能力包括：远程登录控制能力、snmp的认证、路由协议的认证、IP地址限制、流量控制等。数据加密：JUNOS除了普通的明文telne

30、t连接之外，能提供标准的SSH连接。JUNOS可支持SSHv1和/或SSHv2，但需要确认系统加载的版本是否具有安全加密的功能。日志：JUIPER路由器具有强大的日志功能，可以通过日志记录各种路由器的相关信息，内容包括登陆日志、系统操作命令、异常事件日志、系统故障信息等，并具有通过SYSLOG或snmp trap进行通信的能力。JUNIPERJUNIPER设备设备安全安全安全安全设设置置置置-访问访问控制列表控制列表控制列表控制列表JUNOS的访问控制列表（ACL）功能（JUNOS称之为Firewall Filter）非常强大，可以灵活的创建，以实现众多功能。Juniper路由器采用ASIC芯

31、片来执行ACL的，而且ACL检查都先于转发处理，不会影响设备的转发效能和路由处理。建议ACL的设置应尽量往网络边缘靠，如在接入层设备和全网出口处。这样能起到更好的防范效果，也包证了网络的整体转发效能不受影响。JUNIPERJUNIPER设备访问设备访问控制列表控制列表控制列表控制列表-访问访问地址限制地址限制地址限制地址限制只允许合法的网管网段或网管和维护主机地址作为源地址发起对设备的远程连接，如Telnet、SSH、Http、SNMP、Syslog等。只允许需要的协议端口能进入（如OSPF、BGP等）。禁止所有以设备端口IP地址为目的地址的非法数据包。JUNIPERJUNIPER设备访问设备

32、访问控制列表控制列表控制列表控制列表-自身防自身防自身防自身防护护功能功能功能功能ICMP数据包：目前网络上泛滥着大量的使用ICMP数据包的DoS攻击，建议创建ACL来屏蔽所有的ICMP数据流，再加添高优先级的ACL来允许特殊类型或具体源/目地址的ICMP包通过。病毒数据包：针对已知的病毒配置ACL，实现对已知攻击模式的病毒攻击的防护。非法地址屏蔽：屏蔽不应在Internet上出现的IP地址-回环地址(127.0.0.0/8)；RFC1918私有地址；DHCP自定义地址(169.254.0.0/16)；科学文档作者测试用地址(192.0.2.0/24)；不用的组播地址(224.0.0.0/4)

33、；SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23)；全网络地址(0.0.0.0/8)等等。服务端口屏蔽：屏蔽不应在Internet上出现的服务端口。JUNIPERJUNIPER设备设备安全安全安全安全设设置置置置-路由路由路由路由协议协议安全安全安全安全路由协议是数据网络最常用的技术。大部分的路由协议都会周期发送组播或广播PDU来维持协议运作。组播和广播模式自身就存在严重安全隐患，而且路由协议的PDU携带有敏感的路由信息。一旦路由协议PDU被窃听或冒充后，不对的或被恶意篡改的路由信息将直接导致网络故障，甚至网络瘫痪。路由协议运作过程中的安全防护是保证全网

34、安全的重要一环。JUNIPERJUNIPER设备设备路由路由路由路由协议协议安全安全安全安全-协议认证协议认证JUNIPER设备的路由协议OSPF、ISIS和BGP都具有MD5认证功能。默默认不启用不启用。建议启用该项功能。建议在与不可信网络建立路由关系时，或邻居关系承载在不可信链路上时，加添路由策略来限制只与可信设备间建立路由邻接关系，以及只发送尽可能简洁和必要的路由信息，和只接受必要的外部路由更新。将路由协议的交互工作置于受控状态。设备基本都能提供强大的路由策略配置能力，再配合ACL的过滤，能对路由更新的发送和接受起到精确控制。建议应根据需要来启用IP端口对OSPF或ISIS的支持。这样可

35、以净化链路流量，也有助于提高网络安全性。双方配置的认证字段与解密id必须完全一致，否则将会中断路由协议运行，建议双方路由器的配置最好同时进行，保证路由中断最少时间。JUNIPERJUNIPER设备设备路由路由路由路由协议协议安全安全安全安全-被被被被动动端口端口端口端口为了使某一直连网段能够通过协议宣告出去，但又不用路由策略来做直连网段的分发限制，而随意将该IP端口加入路由域的作法不值得提倡。建议在此情况下应该将该端口设为Passive模式来满足需要。JUNIPERJUNIPER设备设备路由路由路由路由协议协议安全安全安全安全-源路由源路由源路由源路由为了防止利用IP Spoofing手段假冒

36、源地址进行的DoS攻击对整个网络造成的冲击，建议在所有的边缘路由设备（即直接与终端用户网络互连的路由设备）上，根据用户网段规划添加源路由检查。Juniper设备提供全局模式下启用URPF（UnicastReversePathForwarding单播反向路径转发）的功能。注意源路由检查功能更适用于网络接入层设备。汇聚层和核心层设备不建议使用。汇聚层和核心层设备出现不均衡路由的机会较高（即输出流量与返回流量分别承载在不同链路上。这是正常现象）。如果启用源路由检查后，容易造成正常返回流量的无端被弃。JUNIPERJUNIPER设备设备安全安全安全安全设设置置置置-网管安全网管安全网管安全网管安全Ju

37、niper设备提供标准的Telnet接口，开放TCP 23端口。Telnet在连接建立初期也需要核查帐号和密码，但是此过程中，以及后续会话中，都是明文方式传送所有数据，容易造窃听而泄密。Telnet并不是一个安全的协议。建议采用SSH协议来取代Telnet进行Juniper设备的远程登录。SSH与Telnet一样准门提供远程连接手段。但是SSH传送的数据（包括帐号和密码）都会被加密，且密钥会自动更新，极大提高了连接的安全性。SSH可以非常有效地防止窃听、防止使用地址欺骗手段实施的连接尝试。建议启用SSH V2，并禁止root直接登陆。JUNIPERJUNIPER设备设备网管安全网管安全网管安全

38、网管安全-远远程登程登程登程登录录登录空闲时间：设定登录连接空闲时间限制，让系统自动检查当前连接是否长时间处于空闲状态，若是则自动将其拆除。登录尝试次数：设置登录尝试次数限制。当系统收到一个连接请求，若提供的帐号或密码连续不能通过验证的的次数超过设定值，就自动中断该连接。JUNOS允许一次登录中连续进行4次快速认证。若4次都未能通过验证，系统将自动延时一段时间后才接受下一次认证。若仍未能通过认证，系统会自动加大延时后再接受认证。相关参数不能调整。登录并发个数：为了防止穷举式密码试探，建议设置并发登录个数限制。该限制必须与上述的空闲时间限制一并使用，否则当收到此类攻击时，将导致无法远程登录设备。

39、JUNOS有很宽的限制。SSH防护：为了防护通过SSH端口的DoS攻击，应限制Juniper路由器的SSH并发连接数和1分钟内的尝试连接数JUNIPERJUNIPER设备设备网管安全网管安全网管安全网管安全-SSH-SSH协议设协议设置置置置Juniper路由器在配置SSH访问时应注意如下细节：建立允许访问的SSH-ADDRESSES过滤器确保只允许来自内部接口的授权用户访问针对SSH进行限速以保护路由引擎过滤器应用在loopback接口JUNIPERJUNIPER设备设备网管安全网管安全网管安全网管安全-帐帐号、密号、密号、密号、密码码安安安安全全全全建议应在日常维护过程中周期性地（至少按季

40、度）更改登录密码，甚至登录帐号。当外方人员需要登录设备时，应创建临时帐号，并指定合适的权限。临时帐号使用完后应及时删除。登录帐号及密码的保管和更新应由专人负责，并注意保密。帐号名字应该与使用者存在对应关系，如能反应使用者的级别、从属关系。为了提高安全性，在方便记忆的前提下，帐号名字应尽量混用字符的大小写、数字和符号，提高猜度的难度。同样的，密码必须至少使用四种可用字符类型中的三种：小写字母、大写字母、数字和符号，而且密码不得包含用户名或用户全名的一部分。一般情况下密码至少包含8 个字符。JUNIPERJUNIPER设备设备安全安全安全安全设设置置置置-SNMP-SNMP安全安全安全安全SNMP

41、自身也提供了一定的安全手段，即Community。Community相当于网管系统与设备之间建立SNMP连接合法性的识别字串。它们两者之间的SNMP交互都需要先做Community检查后，再执行。有2种Community：Read-Only（简称RO）和Read-Write（简称RW）。RO提供给SNMP GET、SNMP M-GET、SNMP TRAP指令使用；RW还提供给SNMP SET指令使用。SNMP自身也提供了一定的安全手段，即Community。Community相当于网管系统与设备之间建立SNMP连接合法性的识别字串。它们两者之间的SNMP交互都需要先做Community检查后，

42、再执行。有2种Community：Read-Only（简称RO）和Read-Write（简称RW）。RO提供给SNMP GET、SNMP M-GET、SNMP TRAP指令使用；RW还提供给SNMP SET指令使用。JUNOS没有内建的Community，需要用户自行创建。JUNIPERJUNIPER设备设备安全安全安全安全设设置置置置-SNMP-SNMP安全安全安全安全建议采取以下方法保护JUNIPER设备的SNMP：更改SNMP TRAP协议端口；限制发起SNMP连接的源地址；设置并定期更改SNMP Community（至少半年一次）；除特殊情况，否则不设置SNMP RW Communit

43、y；条件许可的话，使用SNMPv3。JUNIPERJUNIPER设备设备安全安全安全安全设设置置置置-日志日志日志日志Juniper设备能发送SYSLOG日志信息。建议设置专用的日志服务器，配置Juniper设备发送的SYSLOG级别至information，使其能接收用户登录记录。JUNOS能对用户登录作出SYSLOG记录，包括登录时间、退出时间、帐号名、发起地址等信息。Juniper设备能记录该用户执行过的所有CLI指令，并发往日志服务器。JUNIPERJUNIPER设备设备安全安全安全安全设设置置置置-特定安全配置特定安全配置特定安全配置特定安全配置Juniper设备初始化时，所有网管协议，如Telnet、HTTP、SNMP TRAP等，都是运作在标准端口上。建议更改部分此类端口到不用端口上，如“49152 至65535”。Juniper设备对网管端口的开放做了严格的限制。只开放必要的端口，如Telnet、HTTP等。其他的如SNMP、SNMP TRAP、NTP、SYSLOG、SSH等端口只会根据用户配置来启用。当用户删除相应配置后，系统将自动关闭端口。由于Juniper路由器的日常维护中经常要使用FTP服务。如果没有在使用完成后及时关闭FTP服务，将会造成安全隐患。我们建议当使用完FTP服务后，应立即将其关闭，或设置严格的访问策略来保证FTP连接的安全。