Juniper网络设备加固规范2024年9月目录1.账号管理、认证授权.......................................................................................................................31.1.账号...........................................................................................................................................31.1.1.SHG-Juniper-01-01-01..................................................................................................31.1.2.SHG-Juniper-01-01-02..................................................................................................31.1.3.SHG-Juniper-01-01-03..................................................................................................41.2.口令...........................................................................................................................................51.2.1.SHG-Juniper-01-02-01..................................................................................................51.2.2.SHG-Juniper-01-02-02..................................................................................................61.2.3.SHG-Juniper-01-02-03..................................................................................................81.3.认证...........................................................................................................................................91.3.1.SHG-Juniper-01-03-01..................................................................................................92.日志配置.........................................................................................................................................102.1.1.SHG-JUNIPER-02-01-01.......................................................................................................102.1.2.SHG-JUNIPER-02-01-02.......................................................................................................112.1.3.SHG-JUNIPER-02-01-03.......................................................................................................122.1.4.SHG-JUNIPER-02-01-04.......................................................................................................122.1.5.SHG-JUNIPER-02-01-05.......................................................................................................132.1.6.SHG-JUNIPER-02-01-06.......................................................................................................143.通信协议.........................................................................................................................................153.1.1.SHG-JUNIPER-03-01-01.......................................................................................................153.1.2.SHG-JUNIPER-03-01-02.......................................................................................................163.1.3.SHG-JUNIPER-03-01-03.......................................................................................................173.1.4.SHG-JUNIPER-03-01-04.......................................................................................................183.1.5.SHG-JUNIPER-03-01-05.......................................................................................................193.1.6.SHG-JUNIPER-03-01-06.......................................................................................................204.设备其他安全要求.........................................................................................................................204.1.1.SHG-JUNIPER-04-01-01.......................................................................................................204.1.2.SHG-JUNIPER-04-01-02.......................................................................................................214.1.3.SHG-JUNIPER-04-01-03.......................................................................................................224.1.4.SHG-JUNIPER-04-01-04.......................................................................................................234.1.5.SHG-Juniper-04-01-05.....................................................................................................24第2页共23页1.账号管理、认证授权1.1.账号1.1.1.SHG-Juniper-01-01-01编号:SHG-Juniper-01-01-01名称:按照用户类型分配账号实施目的:按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。问题影响:权限不明确,存在用户越权使用的可能。系统当前状态:使用showconfigurationsystemlogin查看当前配置实施方案:1、参考配置操作setsystemloginuserabc1setsystemloginuserabc22、补充操作说明1、abc1和abc2是两个不同的账号名称,可根据不同用户,取不同的名称;2、账号取名,建议使用:姓名的简写+手机号码。回退方案:删除新增加用户判断依据:标记用户用途,定期建立用户列表,比较是否有非法用户实施风险:低重要等级:★★★1.1.2.SHG-Juniper-01-01-02编号:SHG-Juniper-01-01-02名称:删除无效账号实施目的:按照不同的用户分配不同的账号,避免不同用户间共享账第3页共23页号,避免用户账号和设备间通信使用的账号共享。问题影响:非法利用系统默认账号系统当前状态:使用showconfigurationsystemlogin查看当前配置实施方案:1、参考配置操作deletesystemloginuserabc32、补充操作说明abc3是与工作无关的账号。回退方案:增加被删除的用户判断依据:查看配置文件,核对用户列表。实施风险:低重要等级:★★★1.1.3.SHG-Juniper-01-01-03编号:SHG-Juniper-01-01-03名称:建立分配系统用户组实施目的:为了控制不同用户的访问级别,建立多用户级别,根据用户的业务需求,将用户账号分配到相应的用户级别。问题影响:账号越权使用系统当前状态:使用showconfigurationsystemlogin查看当前配置实施方案:1、参考配置操作创建用户级别:setsystemloginclassABC1permissions[viewview-configuration]将用户账号分配到相应的用户级别:setsystemloginuserabc1classread-onlysetsystemloginuserabc2classABC1setsystemloginuserabc3classsuper-user2、补充操作说明(1)、ABC1是手工创建的组,该组具有的权限:查看设备运行状态(如接口状态、设备硬件状态、路由状态等),并且可以查看设备的配置;第4页共23页(2)、read-only组具有的权限:查看设备运行状态,但不能查看设备的配置;(3)、super-user是超级用户组,具有的权限:所有权限;(4)、read-only和super-user是路由器已经创建的组,不需要手工创建;(5)、abc1、abc2、abc3是不同的用户,它们分别分配到相应的用户级别。回退方案:还原系统配置文件判断依据:使用showconfigurationsystemlogin查看当前配置实施风险:高重要等级:★★★1.2.口令1.2.1.SHG-Juniper-01-02-01编号:SHG-Juniper-01-02-01名称:提高口令强度实施目的:对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。问题影响:增加密码被暴力破解的成功率系统当前状态:使用showconfigurationsystemlogin查看当前配置实施方案:1、参考配置操作setsystemloginuserabc1authenticationplain-text-password2、补充操作说明(1)、输入指令回车后,将两次提示输入新口令(Newpassword:和Retypenewpassword:)。(2)、口令要求:长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。回退方案:还原系统配置文件判断依据:使用showconfigurationsystemlogin查看当前配置实施风险:低第5页共23页重要等级:★★★1.2.2.SHG-Juniper-01-02-02编号:SHG-Juniper-01-02-02名称:根据用户的业务需要配置其所需的最小权限实施目的:在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。问题影响:越权使用,非法访问。系统当前状态:使用showconfigurationsystemlogin查看当前配置实施方案:(1)、用showconfigurationsystemloginclassABC1命令查看配置(2)、用showconfigurationsystemloginclassABC2命令查看配置(3)、在终端上用telnet方式登录路由器,输入用户名abc1和密码成功登录路由器后,用configure命令进入配置模式。使用以下命令检测:setrouting-可选ionsstaticsetinterfacessetchassisfpc使用其它set命令(4)、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后,用configure命令进入配置模式。使用以下命令检测:setpolicy-可选ionssetprotocolssetrouting-instancessetrouting-可选ions使用其它set命令(5)、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后,用configure命令进入配置模式。使用set命令以及其它命令检测。第6页共23页回退方案:使用showconfigurationsystemlogin查看当前配置。还原系统配置文件。判断依据:(1)、账号abc1属于组ABC1,该组只能配置routing-可选ionsstatic、interfaces、Chassisfpc项里的内容。不能做其它未授权的配置;(2)、账号abc2属于组ABC2,该组只能配置关于路由的所有配置,包括routing-可选ions、protocols、policy-可选ions、routing-instances等,不能做其它未授权的配置;(3)、账号abc3属于组super-user,拥有全部配置权限。备注:创建用户级别,即创建用户的配置权限:setsystemloginclassABC1permissionsconfiguresetsystemloginclassABC1allow-configuration"routing-可选ionsstatic|interfaces|chassisfpc"setsystemloginclassABC2permissions[configurerouting-control]将用户账号分配到相应的用户级别:setsystemloginuserabc1classABC1setsystemloginuserabc2classABC2setsystemloginuserabc3classsuper-user2、补充操作说明(1)、ABC1组具有的权限:可配置interfaces,可配置routing-可选ions中的static,可配置chassis中的fpc;(2)、ABC2组具有的权限:可配置有关于路由的所有配置,包括routing-可选ions、protocols、policy-可选ions、routing-instances等;(3)、allow-configuration参数是以等级来限制,可以限制各个等级的配置,可以细化到各个小等级;(4)、permissions参数是以功能来限制,限制的范围较大;(5)、allow-commands参数是以具体的指令来限制,allow-comands参数需要设定具体指令,不建议使用。实施风险:低第7页共23页重要等级:★★★1.2.3.SHG-Juniper-01-02-03编号:SHG-Juniper-01-02-03名称:提高ROOT用户口令强度实施目的:修改root密码。root的默认密码是空,修改root密码,避免非管理员使用root账号登录。问题影响:增加密码被暴力破解的成功率系统当前状态:使用showconfigurationsystemlogin查看当前配置实施方案:1、参考配置操作(1)、用showconfigurationsystemlogin命令查看配置是否正确;(2)、通过console口方式登录路由器,输入root用户名和密码;(3)、通过console口方式登录路由器,输入root用户和空密码。2、补充操作说明(1)、输入指令回车后,将两次提示输入新口令(Newpassword:和Retypenewpassword:)。(2)、口令要求:长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。回退方案:还原系统配置文件判断依据:(1)、输入root用户和正确密码可以正常登录路由器;(2)、输入root用户和空密码无法登录路由器。实施风险:低重要等级:★★★第8页共23页1.3.认证1.3.1.SHG-Juniper-01-03-01编号:SHG-Juniper-01-03-01名称:设置认证系统联动实施目的:设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。问题影响:密码泄露。系统当前状态:使用showconfigurationsystemlogin查看当前配置并查看Radius服务器配置实施方案:1、参考配置操作setsystemauthentication-orderradiussetsystemauthentication-orderpasswordsetsystemradius-server10.1.1.1setsystemradius-server10.1.1.2setsystemradius-server10.1.1.1port1645setsystemradius-server10.1.1.2port1645setsystemradius-server10.1.1.1secretabc123setsystemradius-server10.1.1.2secretabc1232、补充操作说明(1)、配置认证方式,可通过radius和本地认证;(2)、10.1.1.1和10.1.1.2是radius认证服务器的IP地址,建议建立两个radius认证服务器作为互备;(3)、port1645是radius认证开启的端口号,可根据本地radius认证服务器开启的端口号进行配置;(4)、abc123是与radius认证系统建立连接所设定的密码,建议:与radius认证服务器建立连接时,使用密码认证建立连接。回退方案:还原系统配置文件判断依据:使用showconfigurationsystemlogin查看当前配置实施风险:低重要等级:★第9页共23页2.日志配置本部分对JUNIPER设备的日志功能提出建议,主要加强设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反安全策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计分析工具,发现安全隐患。如出现大量违反ACL规则的事件时,通过对日志的审计分析,能发现隐患,提高设备维护人员的警惕性,防止恶化。2.1.1.SHG-Juniper-02-01-01编号:SHG-Juniper-02-01-01名称:开启系统日志功能实施目的:设备应配置日志功能,记录用户对设备的操作,比如:账号创建、删除和权限修改,口令修改,读取和修改设备配置,涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果。问题影响:无法对用户的登陆进行日志记录。系统当前状态:使用showconfigurationsystemsyslog查看当前配置实施方案:1、参考配置操作setsystemsyslogfileauthor.logauthorizationinfo2、补充操作说明(1)、author.log是记录登录信息的log文件,该文件名称可手工定义;(2)、author.log文件保存在juniper路由器的存储上。回退方案:还原系统配置文件判断依据:使用showconfigurationsystemsyslog查看当前配置实施风险:低重要等级:★★★第10页共23页2.1.2.SHG-Juniper-02-01-02编号:SHG-Juniper-02-01-02名称:开启系统安全日志功能实施目的:设备应配置日志功能,记录对与设备相关的安全事件,比如:记录路由协议事件和错误。问题影响:无法记录路由协议事件和错误。系统当前状态:使用showconfiguration查看当前配置实施方案:1、参考配置操作setsystemsyslogfiledaemon.logdaemonwarningsetsystemsyslogfilefirewall.logfirewallwarning2、补充操作说明(1)、daemon.log是记录路由协议事件的文件,该文件名称可手工定义;(2)、firewall.log是记录安全事件的文件,该文件名称可手工定义;(3)、daemon和firewall可定义有九个等级,建议将其设定为warning等级,即仅记录warning等级以上的安全事件。回退方案:还原系统配置文件判断依据:使用showconfiguration查看当前配置实施风险:中重要等级:★★★2.1.3.SHG-Juniper-02-01-03编号:SHG-Juniper-02-01-03名称:设置配置更改日志路径实施目的:设置系统的配置更改信息保存到单独的change.log文件内。问题影响:暴露系统日志。系统当前状态:使用showconfigurationsystemsyslog查看当前配置实施方案:1、参考配置操作第11页共23页setsystemsyslogfilechange.logchange-loginfo2、补充操作说明(1)、change.log是记录配置更改的文件,该文件名称可手工定义;(2)、change.log文件保存在juniper路由器的存储上。回退方案:还原系统配置文件判断依据:使用showconfigurationsystemsyslog查看当前配置实施风险:中重要等级:★★2.1.4.SHG-Juniper-02-01-04编号:SHG-Juniper-02-01-04名称:设置配置远程日志功能实施目的:设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。问题影响:丢失重要日志。系统当前状态:使用showconfigurationsystemsyslog命令查看配置实施方案:setsystemsysloghost10.1.1.1anynoticesetsystemsysloghost10.1.1.1log-prefixRouter1setsystemsysloghost10.1.1.2anynoticesetsystemsysloghost10.1.1.2log-prefixRouter2补充操作说明(1)、10.1.1.1和10.1.1.2是远程日志服务器的IP地址,建议建设两个远程日志服务器作为互备;(2)、syslog有九个等级的记录信息,建议将notice等级以上的信息传送到远程日志服务器;(3)、Router1为路由器的主机名称。回退方案:还原系统配置文件判断依据:(1)、使用showconfigurationsystemsyslog命令查看配置;(2)、登录远程日志服务器查看日志。第12页共23页实施风险:中重要等级:★★2.1.5.SHG-Juniper-02-01-05编号:SHG-Juniper-02-01-05名称:设置系统的配置更改信息实施目的:设置系统的配置更改信息保存到单独的change.log文件内问题影响:丢失重要日志。系统当前状态:使用showconfigurationsystemsyslog命令查看配置实施方案:(1)、使用showconfigurationsystemsyslog命令查看配置;(2)、在终端上以telnet方式登录路由器,输入用户名密码;(3)、进行创建、删除帐号和修改用户密码等修改设备配置操作;(4)、用showlogchange.log命令查看日志。回退方案:使用showconfigurationsystemsyslog命令查看配置,恢复默认配置判断依据:可以在change.log中查看到用户的操作内容、操作时间实施风险:中重要等级:★★2.1.6.SHG-Juniper-02-01-06编号:SHG-Juniper-02-01-06名称:保证日志功能记录的时间的准确性。实施目的:开启NTP服务,保证日志功能记录的时间的准确性。路由器与NTPSERVER之间开启认证功能。问题影响:丢失重要日志。系统当前状态:使用showconfigurationsystemsyslog命令查看配置实施方案:(1)、使用showconfigurationsystemntp命令查看配置;(2)、使用showsystemuptime命令查看路由器时间与并与北第13页共23页京时间对比;(3)、使用showntpassociations查看路由器是否与NTP服务器同步;(4)、使用showntpstatus查看路由器时间同步状态。回退方案:使用showconfigurationsystemsyslog命令查看配置,恢复默认配置判断依据:(1)、用showntpassociations命令查看,信息如下面所示:remoterefidsttwhenpoll==============================*ROUTER110.1.1.12u6411024+ROUTER210.1.1.22u7131024reachdelayoffsetjitter==============================3770.964-24.1260.0673774.490-12.0130.457ROUTER1前面的(*)号表示ROUTER1是已和路由器时间同步的NTP服务器,(+)号为备用的NTP服务器.(2)、有showntpstatus命令查看,信息如下:status=0644leap_none,sync_ntp,4events,event_peer/strat_chg,version="ntpd4.1.0-aWedOct518:44:40GMT2005(1)",processor="i386",system="JUNOS7.3R2.7",leap=00,stratum=3,precision=-28,rootdelay=9.814,rootdispersion=102.250,peer=42484,refid=ROUTER1.gd.cnmobile.net,reftime=ca227da4.4b3ffac1Wed,Jun2020070:07:00.293,poll=10,clock=ca2280ce.02849cb2Wed,Jun2020070:20:30.009,state=4,offset=-17.830,frequency=85.438,jitter=28.377,stability=0.048如上面信息的第一句第二部分显示”sync_ntp”表示路由器时间已和NTP服务器同步,如果显示”sync_unspec”即未同步.。实施风险:中重要等级:★★第14页共23页3.通信协议3.1.1.SHG-Juniper-03-01-01编号:SHG-Juniper-03-01-01名称:OSPF协议安全实施目的:对于非点到点的OSPF协议配置,应配置MD5加密认证,通过MD5加密认证建立neighbor问题影响:恶意攻击系统当前状态:使用showconfigurationprotocolsrsvp查看当前配置实施方案:1)、使用showconfiguration命令查看配置2)、使用showospfneighbor命令查看OSPF邻居状态3)、使用showrouteprotocolospfbrief命令查看OSPF路由表4)、使用ping检查路由连通性回退方案:还原系统配置文件判断依据:1)、OSPF邻居处于full状态为正常,能学到邻居的路由为正常2)、路由能连通为正常实施风险:低重要等级:★3.1.2.SHG-Juniper-03-01-02编号:SHG-Juniper-03-01-02名称:启用带加密方式的身份验证实施目的:配置动态路由协议(BGP/MP-BGP/OSPF等)时必须启用带加密方式的身份验证功能,相邻路由器只有在身份验证通过后,才能互相通告路由信息。问题影响:非法访问,系统当前状态:使用showconfigurationprotocol、showbgpneighbor、showrouteprotocolbgpbrief、showospfneighbor查看当前配置第15页共23页实施方案:(1)、使用showconfigurationprotocol命令查看配置;(2)、使用showbgpneighbor命令查看BGP邻居状态;(3)、使用showrouteprotocolbgpbrief命令查看BGP路由表;(4)、使用showospfneighbor命令查看OSPF邻居状态;(5)、使用showrouteprotocolospfbrief命令查看OSPF路由表;(6)、使用ping命令检查路由连通性。回退方案:使用showconfigurationprotocol、showbgpneighbor、showrouteprotocolbgpbrief、showospfneighbor查看当前配置,还原给原始状态。判断依据:1)、确定配置已经启用加密的身份认证;2)、BGP邻居处于establish状态为正常,能学到邻居的路由为正常;3)、OSPF邻居处于full状态为正常,能学到邻居的路由为正常;4)、路由能连通为正常。实施风险:中重要等级:★★3.1.3.SHG-Juniper-03-01-03编号:SHG-Juniper-03-01-03名称:过滤所有和业务不相关的流量实施目的:对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。问题影响:恶意攻击。系统当前状态:使用showconfigurationfirewallfilterabc查看配置实施方案:(1)、使用showconfigurationfirewallfilterabc查看配置(2)、将终端的IP地址设为:10.1.1.1(3)、在终端上安装Nmap端口扫描工具(本例基于windowsXP2系统)第16页共23页(4)、在DOS下输入:nmap-sS-g44510.1.2.1–p145这指令的意思是以源端口为445来访问主机IP为10.1.2.1的TCP145端口。(5)、用namp访问其它非业务端口,如访问80端口,在DOS下输入:nmap–sS10.1.2.1–p80这指令的意思是以任何端口访问10.1.2.1的TCP80端口(6)、运行真实业务测试业务流量和非业务流量。回退方案:还原系统配置文件判断依据:使用showconfigurationfirewallfilterabc查看配置,还原为原始状态。实施风险:中重要等级:★★3.1.4.SHG-Juniper-03-01-04编号:SHG-Juniper-03-01-04名称:配置MP-BGP的MD5加密认实施目的:配置MP-BGP路由协议,应配置MD5加密认证,通过MD5加密认证建立peer。问题影响:信息泄露。系统当前状态:使用showconfigurationprotocolbgp查看当前配置实施方案:1、参考配置操作setprotocolsbgpgroupabcneighbor10.1.1.1authentication-keyabc1232、补充操作说明1)、abc为group的名称,可自行设定;2)、10.1.1.1为对端peer的IP地址,可根据需求设定;3)、abc123为MD5加密认证的认证密码,该密码和对端peer的密码要一致。回退方案:还原系统配置文件第17页共23页判断依据:使用showconfigurationprotocolbgp查看当前配置实施风险:中重要等级:★★3.1.5.SHG-Juniper-03-01-05编号:SHG-Juniper-03-01-05名称:设置SNMP访问安全限制实施目的:设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。问题影响:非法登陆。系统当前状态:使用showconfigurationsnmp查看当前配置实施方案:1、参考配置操作setsnmpcommunityabcd123clients10.1.1.1/32setsnmpcommunityabcd123clients10.1.2.1/32setsnmpcommunityabcd123clientsready-only2、补充操作说明1)、abcd123是communtity字符串,可自行定义,但必须和client的主机一致;2)、10.1.1.1和10.1.2.1是主机IP地址,即允许10.1.1.1.和10.1.2.1主机通过SNMP访问网络设备;3)、未在client列表中的主机,不允许通过SNMP访问网络设备。4)、设置主机访问网络设备具有读的权限,可根据需求设置为具有读写的权限(read-write)。回退方案:还原系统配置文件判断依据:使用showconfigurationsnmp查看当前配置实施风险:高重要等级:★★★第18页共23页3.1.6.SHG-Juniper-03-01-06编号:SHG-Juniper-03-01-06名称:RSVP标签分发协议实施目的:启用RSVP标签分发协议时,打开RSVP协议认证功能,如MD5加密,确保与可信方进行RSVP协议交互。问题影响:非法登陆。系统当前状态:使用showconfigurationprotocolsrsvp查看当前配置实施方案:1、参考配置操作setprotocolsrsvpinterfacefe-0/0/0.0authentication-keyabc1232、补充操作说明abc123为MD5加密密码。回退方案:还原系统配置文件判断依据:各邻居状态为UP正常各RSVPsession状为UP正常实施风险:中重要等级:★★4.设备其他安全要求4.1.1.SHG-Juniper-04-01-01编号:SHG-Juniper-04-01-01名称:开启配置定期备份实施目的:开启配置文件定期备份功能,定期备份配置文件。问题影响:容易丢失数据。系统当前状态:使用showconfigurationsystemarchival查看当前配置实施方案:1、参考配置操作setsystemarchivalconfigurationtransfer-interval第19页共23页2880setsystemarchivalconfigurationarchive-sitesftp://juniper@10.1.1.1passwordabc123setsystemarchivalconfigurationarchive-sitesftp://juniper@10.1.1.2passwordabc1232、补充操作说明1)、2880是时间间隔,单位是分钟,时间间隔可设置的范围为15-2880;2)、juniper是ftp的用户名称,10.1.1.1和10.1.1.2是ftp服务器的IP地址,abc123是登录frp服务器的密码;建议设置两个IP地址作为互备;3)、定期备份仅能通过ftp服务备份;4)、通过定期备份配置文件,时间间隔较短,即备份比较频繁,建议采用transfer-on-commit方式,即只要执行commit指令,配置将自动备份到ftp服务器,指令为setsystemarchivalconfigurationtransfer-on-commit;5)、transfer-interval和transfer-on-commit方式不能共存。回退方案:还原系统配置文件判断依据:使用showconfigurationsystemarchival查看当前配置实施风险:高重要等级:★★★4.1.2.SHG-Juniper-04-01-02编号:SHG-Juniper-04-01-02名称:关闭不必要服务实施目的:关闭网络设备不必要的服务,比如FTP、TFTP服务等。问题影响:对系统造成不稳定。系统当前状态:使用showconfigurationsystemservices查看当前配置第20页共23页实施方案:1、参考配置操作deletesystemservicesftp2、补充操作说明默认是关闭FTP服务回退方案:还原系统配置文件判断依据:使用showconfigurationsystemservices查看当前配置实施风险:低重要等级:★★★4.1.3.SHG-Juniper-04-01-03编号:SHG-Juniper-04-01-03名称:限制远程管理IP实施目的:系统远程管理服务TELNET、SSH默认可以接受任何地址的连接,出于安全考虑,应该只允许特定地址访问。问题影响:非法登陆。系统当前状态:使用showconfigurationfirewallfilter查看当前配置实施方案:1、参考配置操作setfirewallfilterabctermafromsource-address10.1.1.1/32setfirewallfilterabctermafromsource-address10.1.1.2/32setfirewallfilterabctermathenacceptsetfirewallfilterabctermbfromprotocoltcpporttelnetsetfirewallfilterabctermbthenrejectsetfirewallfilterabctermcthenaccept2、补充操作说明1)、abc为filter名称,可自定义;2)、10.1.1.1/32和10.1.1.2/32上允许telnet的主机IP地址;3)、terma实现的功能为:允许特定地址访问;4)、termb实现的功能为:除了允许特定地址访问之外,不允许其它地址访问telnet端口。第21页共23页回退方案:还原系统配置文件判断依据:使用showconfigurationfirewallfilter查看当前配置实施风险:高重要等级:★★★4.1.4.SHG-Juniper-04-01-04编号:SHG-Juniper-04-01-04名称:限制telnet并发连接数实施目的:TELNET默认可以接受250个同时连接。配置TELNET等远程维护方式时,应配置连接最大数量限制为10个,并且每分钟最多有5个可以连接,可以防止在TELNET端口上的SYNfloodDoS攻击。问题影响:非法登陆。系统当前状态:使用showconfigurationsystemservicestelnet查看当前配置实施方案:1、参考配置操作setsystemservicestelnetconnection-limit10setsystemservicestelnetrate-limit5回退方案:还原系统配置文件判断依据:使用showconfigurationsystemservicestelnet查看当前配置实施风险:高重要等级:★★★4.1.5.SHG-Juniper-04-01-05编号:SHG-Juniper-04-01-05第22页共23页名称:定时账户自动登出安全实施目的:对于Juniper路由器,应配置定时账户自动登出,防止被非法利用。问题影响:非法利用。系统当前状态:使用showconfigurationsystemservicestelnet查看当前配置实施方案:setcliidle-timeout15回退方案:还原系统配置文件判断依据:当时间超时,用户会自动退出路由器实施风险:低重要等级:★★★第23页共23页
