junos安全解决方案.doc

Juniper路由器安全配置方案 绝对值得一看.很详细.[hide]一． 路由器网络服务安全配置： 默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务 1． SNMP服务 使用如下命令来停止SNMP服务： set system processes snmp disable 使用如下命令来设置SNMP通讯字符串： set snmp community mysnmp authorization read-only 使用如下命令来在接口上设备SNMP通讯字符串： set snmp interface fxp0 community mysnmp 使用如下命令来在接口上禁止SNMP服务trap： set interfaces fxp0 unit 0 traps disable 使用如下命令来限制SNMP的访问客户端： set snmp community mysnmp clients 192.168.0.0/24 set snmp community mysnmp clients 0.0.0.0/0 restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务 2． 停止接口广播转发： 广播转发容易造成smurf攻击，因此应该使用如下命令停止： set system no-redirects 接口级别停止广播转发使用如下命令： set interfaces fxp0 unit 0 family inet no-redirects 3． 停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp服务器，如果没有使用，则应该使用如下命令停止： set system dhcp-relay disable 4． 禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止： set protocols igmp interface all disable? 5． 禁止PIM服务，PIM服务如果在没有使用的情况下应该使用如下命令禁止： set protocols pim disable 6． 禁止SAP服务，SAP服务如果在没有使用的情况下应该使用如下命令禁止： set protocols sap disable/P7．禁止IP Source Routing源路由 set chassis no-source-route 二． 路由器登录控制： 1． 设置系统登录Banner: set system login message Warning: if you NOT authorized to access this system,disconnect NOW! 2． 设置登录超时时间： 默认情况下，系统登录没有登录超时时间限制，应该将登录超时时间设置为15分钟： set cli idle-timeout 15 3． 建议采取用户权限分级管理策略 set system login class tier1 idle-timeout 15 set system login class tier1 permissions [ configure interface network routing snmp system trace view firewall ] set system login class tier2 idle-timeout 15 set system login class tier2 permissions all/Pset system login user admin full-name Administrator set system login user admin uid 2000 set system login user admin class tier2 set system login user admin authentication encrypted-password ASSWORD/Pset system login user tier1 uid 2001 set system login user tier1 class tier1 set system login user tier2 uid 2002 set system login user tier2 class tier2/P 4. 限制系统ssh、telnet服务连接数量： 以下配置将ssh, telnet连接最大数量限制为10个，并且每分钟最多有5个可以连接： set system ser