信息安全知識(shí)競賽培訓(xùn)-網(wǎng)絡(luò)設(shè)備課件

1、 網(wǎng)絡(luò)設(shè)備基礎(chǔ)理論知識(shí)培訓(xùn)CISCO設(shè)備安全設(shè)置JUNIPER設(shè)備安全設(shè)置目錄CISCO設(shè)備安全設(shè)置CISCO設(shè)備通用安全知識(shí)CISCO設(shè)備安全設(shè)置-訪問控制列表CISCO設(shè)備安全設(shè)置-路由協(xié)議安全CISCO設(shè)備安全設(shè)置-網(wǎng)管安全CISCO設(shè)備安全設(shè)置-SNMP協(xié)議安全CISCO設(shè)備安全設(shè)置-HTTP安全CISCO設(shè)備安全設(shè)置-日志CISCO設(shè)備安全設(shè)置-特定安全配置CISCO設(shè)備安全維護(hù)作為電信行業(yè)主流的路由、交換設(shè)備，CISCO設(shè)備除了能提供強(qiáng)大的數(shù)據(jù)交換功能外，還可以提供最基礎(chǔ)的網(wǎng)絡(luò)安全防護(hù)功能。由于CISCO設(shè)備往往負(fù)擔(dān)著運(yùn)營商業(yè)務(wù)、經(jīng)營等數(shù)據(jù)，如何保證CISCO設(shè)備自身的安全，是網(wǎng)絡(luò)

2、管理人員首當(dāng)其沖面臨的安全問題。充分的利用CISCO設(shè)備自身的安全特性，合理的使用CISCO設(shè)備的安全配置，可保證運(yùn)營商網(wǎng)絡(luò)CISCO設(shè)備的運(yùn)行安全。CISCO設(shè)備通用安全知識(shí)Cisco設(shè)備具有強(qiáng)大的訪問控制能力：可以實(shí)現(xiàn)對(duì)遠(yuǎn)程登錄并發(fā)個(gè)數(shù)和空閑時(shí)長的限制；支持使用SSH代替Telnet，并提供ACL對(duì)用戶登陸進(jìn)行嚴(yán)格控制；支持AAA認(rèn)證和授權(quán)；支持SNMP管理認(rèn)證、限制TRAP主機(jī)，修改TRAP端口等；路由協(xié)議的認(rèn)證支持RIP、OSPF和BGP MD5認(rèn)證，同時(shí)也支持密碼明文認(rèn)證；CISCO設(shè)備通用安全知識(shí)-訪問控制CISCO設(shè)備的數(shù)據(jù)加密能力主要有：支持SSH替代Telnet,可以在網(wǎng)絡(luò)中

3、傳遞加密的用戶名和密碼；對(duì)于enable密碼，使用加密的enable secret,并且密碼可以通過service password-encryption命令，進(jìn)行密碼加密；提供Cisco加密技術(shù)（CET）；IPSec技術(shù)實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)募用芗夹g(shù)。CISCO設(shè)備通用安全知識(shí)-數(shù)據(jù)加密CISCO設(shè)備可以提供強(qiáng)大的日志功能：Cisco設(shè)備將LOG信息分成八個(gè)級(jí)別，由低到高分別為debugging、informational、notifications、warnings、errors、critical、alerts、emergencies?？梢栽O(shè)置將一定級(jí)別的LOG消息通過SYSLOG、SNMP TR

4、AP傳遞給異地的LOG SERVER長期保存，并對(duì)LOG SERVER的地址可以進(jìn)行嚴(yán)格控制。 CISCO設(shè)備通用安全知識(shí)-日志Cisco設(shè)備的防攻擊能力主要體現(xiàn)如下：可以通過對(duì)Q0S技術(shù)的配置，起到自身的防護(hù)的能力，它支持排隊(duì)技術(shù)、CAR和GTS等；結(jié)合強(qiáng)大的ACL命令，用于自身以及網(wǎng)絡(luò)的防攻擊，支持標(biāo)準(zhǔn)訪問控制列表、擴(kuò)展的訪問控制列表、動(dòng)態(tài)訪問列表、自反訪問列表、基于時(shí)間的訪問控制列表、基于上下文的訪問控制列表，從而保證了強(qiáng)大的防攻擊能力；支持黑洞路由；支持源路由檢查。CISCO設(shè)備通用安全知識(shí)-攻擊防御CISCO設(shè)備安全設(shè)置-訪問控制列表訪問控制列表是網(wǎng)絡(luò)防御的前端，Cisco設(shè)備支持兩

5、種類型的訪問控制列表：標(biāo)準(zhǔn)訪問列表（1-99和1300-1999 ）和擴(kuò)展訪問列表（100-199和2000-2699 ）。對(duì)于路由器接口，一個(gè)訪問表必須在創(chuàng)建之后應(yīng)用到某個(gè)接口上，它才能產(chǎn)生作用。因?yàn)橥ㄟ^接口的數(shù)據(jù)流是雙向的，所以訪問表要應(yīng)用到接口的特定方向上，向外的方向或者向內(nèi)的方向。CISCO設(shè)備對(duì)于不匹配任何表項(xiàng)的數(shù)據(jù)包，默認(rèn)是拒絕其通過的操作。 CISCO設(shè)備訪問控制列表-應(yīng)用Cisco訪問控制列表提供如下應(yīng)用：標(biāo)準(zhǔn)的訪問表：只允許過濾源地址，功能有限。擴(kuò)展訪問列表：用于擴(kuò)展報(bào)文過濾能力,一個(gè)擴(kuò)展的I P訪問表允許用戶根據(jù)如下內(nèi)容過濾報(bào)文：源和目的地址、協(xié)議、源和目的端口以及在特定報(bào)

6、文字段中允許進(jìn)行特殊位比較的各種選項(xiàng)。它的建立也支持編號(hào)方式和命名方式。動(dòng)態(tài)訪問表（lock-and-key）：能夠創(chuàng)建動(dòng)態(tài)訪問表項(xiàng)的訪問表?；跁r(shí)間的訪問表：使用基于時(shí)間的訪問表可以實(shí)現(xiàn)根據(jù)一天中的不同時(shí)間，或者根據(jù)一星期中的不同天，或者二者的結(jié)合，來控制對(duì)網(wǎng)絡(luò)資源的訪問。Cisco7500系列路由器不支持該功能。自反訪問表：是擴(kuò)展的IP命名訪問表的一個(gè)重要的功能特性，自反訪問表創(chuàng)建開啟表項(xiàng)并用于從路由器的不可信方（某個(gè)接口），在正常的操作模式下，這些開啟表項(xiàng)并沒有啟用?；谏舷挛牡脑L問控制（ Context-Based Access Control, CBAC）：工作方式類似于自反訪問表，

7、它會(huì)檢查向外的會(huì)話，并且創(chuàng)建臨時(shí)開啟表項(xiàng)來允許返回的通信報(bào)文；其不同之處在于，自反訪問表表與傳統(tǒng)的訪問表一樣，不能檢測高于第4層的信息，并且只支持單通道的會(huì)話。CISCO設(shè)備訪問控制列表-實(shí)施原則只允許合法的網(wǎng)管網(wǎng)段或網(wǎng)管和維護(hù)主機(jī)地址作為源地址發(fā)起對(duì)設(shè)備的遠(yuǎn)程連接，如Telnet、SSH、HTTP、SNMP、Syslog等；只允許需要的協(xié)議端口能進(jìn)入（如OSPF、BGP、RSVP等）；指定設(shè)備自身發(fā)包的源地址，如loopback IP；同時(shí)只允許在設(shè)備間使用這些地址來互相遠(yuǎn)程登錄；對(duì)ICMP數(shù)據(jù)包的限制對(duì)非法IP的限制除此外，以設(shè)備端口IP地址為目的地址數(shù)據(jù)包都被拒收。CISCO設(shè)備訪問控制

8、列表-作用Cisco設(shè)備的ACL可以發(fā)揮如下作用：過濾惡意和垃圾路由信息控制網(wǎng)絡(luò)的垃圾信息流控制未授權(quán)的遠(yuǎn)程訪問CISCO設(shè)備安全設(shè)置-路由協(xié)議安全路由協(xié)議是數(shù)據(jù)網(wǎng)絡(luò)最常用的技術(shù)。大部分的路由協(xié)議都會(huì)周期發(fā)送組播或廣播PDU來維持協(xié)議運(yùn)作。組播和廣播模式自身就存在嚴(yán)重安全隱患，而且路由協(xié)議的PDU攜帶有敏感的路由信息。一旦路由協(xié)議PDU被竊聽或冒充后，不對(duì)的或被惡意篡改的路由信息將直接導(dǎo)致網(wǎng)絡(luò)故障，甚至網(wǎng)絡(luò)癱瘓。路由協(xié)議運(yùn)作過程中的安全防護(hù)是保證全網(wǎng)安全的重要一環(huán)。CISCO設(shè)備路由協(xié)議安全-協(xié)議認(rèn)證OSPF協(xié)議認(rèn)證：默認(rèn)的OSPF認(rèn)證密碼是明文傳輸?shù)?，要求啟用MD5認(rèn)證。并設(shè)置一定強(qiáng)度密鑰(

9、key,相對(duì)的路由器必須有相同的Key)。RIP協(xié)議認(rèn)證：只有RIP-V2支持，RIP-1不支持。建議啟用RIP-V2。并且采用MD5認(rèn)證，普通認(rèn)證同樣是明文傳輸?shù)?。ISIS協(xié)議認(rèn)證：ISIS路由協(xié)議只支持明文密碼認(rèn)證，分成neighbor間認(rèn)證、area認(rèn)證和以及域間的認(rèn)證。 BGP協(xié)議認(rèn)證：BGP路由協(xié)議配置認(rèn)證，自動(dòng)啟用MD5認(rèn)證。CISCO設(shè)備路由協(xié)議安全-被動(dòng)端口對(duì)于不需要路由的端口，建議啟用passive-interface，可以禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口。Router(config-router)# passive-interface serial0/0RIP協(xié)議只是

10、禁止轉(zhuǎn)發(fā)路由信息，并沒有禁止接收。在OSPF協(xié)議中是禁止轉(zhuǎn)發(fā)和接收路由信息。 CISCO設(shè)備安全設(shè)置-源路由檢查為了防止利用IP Spoofing手段假冒源地址進(jìn)行的DoS攻擊對(duì)整個(gè)網(wǎng)絡(luò)造成的沖擊，建議在所有的邊緣路由設(shè)備（即直接與終端用戶網(wǎng)絡(luò)互連的路由設(shè)備）上，根據(jù)用戶網(wǎng)段規(guī)劃添加源路由檢查。Cisco路由器提供全局模式下啟用URPF（Unicast Reverse Path Forwarding單播反向路徑轉(zhuǎn)發(fā)）的功能。啟用源路由檢查必須要先啟用CEF。CISCO設(shè)備安全設(shè)置-網(wǎng)管安全網(wǎng)管人員都習(xí)慣使用CLI來進(jìn)行設(shè)備配置和日常管理，常會(huì)使用Telnet來遠(yuǎn)程登錄設(shè)備。Cisco設(shè)備提供標(biāo)

11、準(zhǔn)的Telnet接口，開放TCP 23端口。雖然Telnet在連接建立初期也需要核查帳號(hào)和密碼，但是此過程中，以及后續(xù)會(huì)話中，都是明文方式傳送所有數(shù)據(jù)，容易造竊聽而泄密。Telnet并不是一個(gè)安全的協(xié)議。建議采用SSH協(xié)議來取代Telnet進(jìn)行設(shè)備的遠(yuǎn)程登錄。SSH與Telnet一樣提供遠(yuǎn)程連接手段。但是SSH傳送的數(shù)據(jù)（包括帳號(hào)和密碼）都會(huì)被加密，且密鑰會(huì)自動(dòng)更新，極大提高了連接的安全性。SSH可以非常有效地防止竊聽、防止使用地址欺騙手段實(shí)施的連接嘗試。CISCO設(shè)備網(wǎng)管安全-TELNET配置密碼設(shè)置：長度8位以上，含大、小寫，數(shù)字及特寫字符超時(shí)設(shè)置：設(shè)置超時(shí)自動(dòng)斷開遠(yuǎn)程連接（180秒）訪問

12、控制：設(shè)置針對(duì)遠(yuǎn)程Telnet的專用ACL并發(fā)數(shù)目：控制遠(yuǎn)程Telnet的并發(fā)連接數(shù)（5個(gè)）定期變更：定期變更遠(yuǎn)程登錄密碼（最長3個(gè)月）傳播控制：嚴(yán)格控制密碼的傳播范圍和傳播方式，如遇網(wǎng)管人員離職或職位變動(dòng)應(yīng)立即更改密碼，禁止使用明文郵件方式傳遞密碼，可使用PGP加密方式。CISCO設(shè)備網(wǎng)管安全-帳號(hào)、密碼管理在日常維護(hù)過程中周期性地更改登錄密碼，甚至登錄帳號(hào)。Cisco設(shè)備可以為不同的管理員提供權(quán)限分級(jí)。 當(dāng)外方人員需要登錄設(shè)備時(shí)，應(yīng)創(chuàng)建臨時(shí)帳號(hào)，并指定合適的權(quán)限。臨時(shí)帳號(hào)使用完后應(yīng)及時(shí)刪除。登錄帳號(hào)及密碼的保管和更新應(yīng)由專人負(fù)責(zé)，并注意保密。帳號(hào)名字應(yīng)該與使用者存在對(duì)應(yīng)關(guān)系，應(yīng)做到一人對(duì)應(yīng)

13、單獨(dú)帳號(hào)。帳號(hào)名字應(yīng)盡量混用字符的大小寫、數(shù)字和符號(hào)，密碼至少使用四種可用字符類型中的三種：小寫字母、大寫字母、數(shù)字和符號(hào)，而且密碼不得包含用戶名或用戶全名的一部分。一般情況下密碼至少包含 8 個(gè)字符。Cisco設(shè)備采用enable secret命令，為特權(quán)模式的進(jìn)入設(shè)置強(qiáng)壯的密碼。 CISCO設(shè)備網(wǎng)管安全-本地認(rèn)證和授權(quán)初始模式下，Cisco設(shè)備內(nèi)一般建有沒有密碼的管理員帳號(hào)，該帳號(hào)只能用于Console連接，不能用于遠(yuǎn)程登錄。建議用戶應(yīng)在初始化配置時(shí)為它們加添密碼。一般而言，設(shè)備允許用戶自行創(chuàng)建本機(jī)登錄帳號(hào)，并為其設(shè)定密碼和權(quán)限。同時(shí)，為了AAA服務(wù)器出現(xiàn)問題時(shí)，對(duì)設(shè)備的維護(hù)工作仍可正常進(jìn)

14、行，建議保留必要的維護(hù)用戶。CISCO設(shè)備網(wǎng)管安全-AAACisco設(shè)備支持RADIUS或TACACS的AAA（認(rèn)證、授權(quán)、計(jì)費(fèi)）客戶端功能，通過AAA認(rèn)證可以方便實(shí)現(xiàn)對(duì)大量設(shè)備的登錄帳號(hào)和密碼的管理。建議采用集中認(rèn)證和授權(quán)模式。通過AAA服務(wù)器還可以彌補(bǔ)設(shè)備本身對(duì)執(zhí)行權(quán)限管理的不足。CISCO設(shè)備安全設(shè)置-SNMP協(xié)議安全由于SNMP協(xié)議的MIB存放著大量設(shè)備狀態(tài)信息（稱之為Object，并以O(shè)ID作為唯一標(biāo)識(shí)），既有物理層信息（如端口狀態(tài)），也有協(xié)議層信息（如端口IP地址）。網(wǎng)管系統(tǒng)通過SNMP GET或M-GET指令采集這些信息作為原始數(shù)據(jù)，經(jīng)分析和處理后實(shí)現(xiàn)各種網(wǎng)管功能。部分MIB O

15、bject還可以讓網(wǎng)管系統(tǒng)通過SNMP SET指令來賦值。懷有惡意的人可以通過竊取SNMP數(shù)據(jù)來獲得網(wǎng)絡(luò)的基本情況，并以此發(fā)起惡意攻擊，甚至通過修改MIB Object賦值來進(jìn)行破壞。因此SNMP的防護(hù)非常重要。SNMP自身也提供了一定的安全手段，即Community。Community相當(dāng)于網(wǎng)管系統(tǒng)與設(shè)備之間建立SNMP連接合法性的識(shí)別字串。它們兩者之間的SNMP交互都需要先做Community檢查后，再執(zhí)行。有2種Community：Read-Only（簡稱RO）和Read-Write（簡稱RW）。RW相當(dāng)危險(xiǎn)，要求關(guān)閉snmp rw功能。CISCO設(shè)備安全設(shè)置-SNMP協(xié)議安全Cisco

16、設(shè)備默認(rèn)開啟SNMP協(xié)議，并采用了public和private的口令，故Cisco默認(rèn)的SNMP配置是及其危險(xiǎn)的。如不需要提供SNMP服務(wù)的，要求禁止SNMP協(xié)議服務(wù)，注意在禁止時(shí)刪除一些SNMP服務(wù)的默認(rèn)配置。如開啟SNMP協(xié)議，建議更改SNMP trap協(xié)議的標(biāo)準(zhǔn)端口號(hào)，并使用訪問控制列表控制未授權(quán)的SNMP讀寫，定期更改SNMP Community,以增強(qiáng)其安全性。如開啟SNMP協(xié)議，并且條件許可的話，建議轉(zhuǎn)用SNMPv3。它引入了除Community外的基于MD5認(rèn)證和DES加密來保障SNMP通道安全的機(jī)制。 CISCO設(shè)備安全設(shè)置-HTTP安全Cisco設(shè)備的IOS支持HTTP協(xié)議進(jìn)

17、行遠(yuǎn)端配置和監(jiān)視。由于HTTP服務(wù)本身具有諸多安全漏洞，如CGI漏洞等，針對(duì)HTTP的認(rèn)證就相當(dāng)于在網(wǎng)絡(luò)上發(fā)送明文。且對(duì)于HTTP沒有有效的基于挑戰(zhàn)或一次性的口令保護(hù)，這使得用HTTP進(jìn)行管理相當(dāng)危險(xiǎn)。建議關(guān)閉HTTP服務(wù)。CISCO設(shè)備HTTP安全-關(guān)閉HTTP服務(wù)如需要使用HTTP服務(wù)，要求更改標(biāo)準(zhǔn)的端口號(hào)，將協(xié)議運(yùn)行在其他不用端口上，如“49152 至 65535”，而不是標(biāo)準(zhǔn)端口上。Router(Config)# no ip http serverCISCO設(shè)備HTTP安全-HTTP安全配置如果必須選擇使用Http進(jìn)行管理，最好用ip http access-class命令限定訪問地址

18、，并用ip http authentication命令配置認(rèn)證，修改HTTP的默認(rèn)端口。Router(Config)# ip http port 50000 Router(Config)# access-list 10 permit Router(Config)# access-list 10 deny any Router(Config)# ip http access-class 10 CISCO設(shè)備安全設(shè)置-日志建議對(duì)Cisco設(shè)備的安全審計(jì)進(jìn)行有效管理，根據(jù)設(shè)備本身具有的屬性和實(shí)際維護(hù)經(jīng)驗(yàn)，建議相關(guān)安全審計(jì)信息應(yīng)包括設(shè)備登錄信息日志和設(shè)備事件信息日志，同時(shí)提供SYSLOG服務(wù)器的設(shè)置方

19、式。Cisco設(shè)備將LOG信息分成八個(gè)級(jí)別，由低到高分別為debugging、informational、notifications、warnings、errors、critical、alerts、emergencies?？紤]到日志信息的種類和詳細(xì)程度，并且日志開啟對(duì)設(shè)備的負(fù)荷有一定影響，建議獲取有意義的日志信息進(jìn)行分析。CISCO設(shè)備安全設(shè)置-日志日志除在本機(jī)保存外，還應(yīng)異地存儲(chǔ)到專用的LOG服務(wù)器，建議將notifications及以上的LOG信息送到LOG服務(wù)器。為確保日志時(shí)間戳的準(zhǔn)確，需要配置正確的時(shí)間戳，有助于故障排除，取得安全事件的證物和與其他路由器進(jìn)行時(shí)間同步。Router(Co

20、nfig)#service timestamps log datetime localtime CISCO設(shè)備安全設(shè)置-特定安全配置除上述安全設(shè)置外，Cisco設(shè)備還應(yīng)該關(guān)閉一些默認(rèn)的服務(wù)，并進(jìn)行一些特定的安全配置，盡可能確保Cisco設(shè)備的安全運(yùn)行。CISCO設(shè)備特定安全配置-服務(wù)關(guān)閉Cisco設(shè)備本省提供了許多比較危險(xiǎn)的服務(wù)如CDP、TCP和UDP Small、Finger、NTP、BOOTp、IP sourcerouting、IP Unreachables,Redirects, MaskReplies、ARP-Proxy、IP Directed Broadcast、IP Classles

21、s、WINS和DNS等等，對(duì)該類服務(wù)的建議是，如果不需要服務(wù)，關(guān)閉這些服務(wù)。CISCO設(shè)備特定安全配置-服務(wù)關(guān)閉CDP服務(wù)可能被攻擊者利用獲得路由器的版本等信息，從而進(jìn)行攻擊，所有邊界的Cisco設(shè)備需要關(guān)閉CDP服務(wù)。一些基于TCP和UDP協(xié)議的小服務(wù)如：echo、chargen等，容易被攻擊者利用來越過包過濾機(jī)制，建議關(guān)閉。Finger服務(wù)可能被攻擊者利用查找用戶和口令攻擊，建議關(guān)閉。NTP不是十分危險(xiǎn)的，但是如果沒有一個(gè)很好的認(rèn)證，則會(huì)影響路由器正確時(shí)間，導(dǎo)致日志和其他任務(wù)出錯(cuò)，建議關(guān)閉。ARP-Proxy服務(wù)默認(rèn)是開啟的，容易引起路由表的混亂, 建議關(guān)閉。CISCO設(shè)備特定安全配置-服

22、務(wù)關(guān)閉禁止ICMP協(xié)議的IP Unreachables,Redirects,MaskReplies功能。明確的禁止IP Directed Broadcast。禁止IP Source Routing。禁止BOOTp服務(wù)。CISCO設(shè)備特定安全配置-服務(wù)關(guān)閉Cisco路由器默認(rèn)的對(duì)IPv4協(xié)議報(bào)進(jìn)行處理，但會(huì)導(dǎo)致網(wǎng)絡(luò)接口拒絕服務(wù)，為確保不受到次類型的攻擊，可以在接口上禁止53 (SWIPE)55 (IP Mobility)77 (Sun ND)103 (Protocol Independent Multicast - PIM)CISCO設(shè)備安全設(shè)置-其他COM端口的安全：建議控制CONSOLE端口

23、的訪問,給CONSOLE口設(shè)置高強(qiáng)度的密碼，設(shè)置超時(shí)退出時(shí)間等。AUX端口的安全：由于默認(rèn)打開，在不使用AUX端口時(shí)，則禁止這個(gè)端口。空閑物理端口的安全：如確認(rèn)端口（Interface）不使用，使用shutdown命令關(guān)閉。Banner的設(shè)置：對(duì)遠(yuǎn)程登陸的banner的設(shè)置要求必須包含非授權(quán)用戶禁止登錄的字樣，banner不能包含-設(shè)備名、設(shè)備型號(hào)、設(shè)備所有者及設(shè)備運(yùn)行軟件信息。 Cisco路由器禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件。no boot networkno service configCISCO設(shè)備安全維護(hù)-路由器快照為防止意外情況的發(fā)生，可對(duì)運(yùn)行的路由器進(jìn)行快照保存。路由器

24、的快照需要保存兩個(gè)信息：當(dāng)前的配置-running config當(dāng)前的開放端口列表CISCO設(shè)備安全維護(hù)-常用命令Terminal monitorShow usersShow versionShow clockShow loggingShow arpClear line vtyJUNIPER設(shè)備安全設(shè)置JUNIPER設(shè)備通用安全知識(shí)JUNIPER設(shè)備安全設(shè)置-訪問控制列表JUNIPER設(shè)備安全設(shè)置-路由協(xié)議安全JUNIPER設(shè)備安全設(shè)置-網(wǎng)管安全JUNIPER設(shè)備安全設(shè)置-SNMP協(xié)議安全JUNIPER設(shè)備安全設(shè)置-日志JUNIPER設(shè)備安全設(shè)置-特定安全配置JUNIPER設(shè)備通用安全知識(shí)作為

25、電信行業(yè)常見的路由設(shè)備，JUNIPER設(shè)備除了能提供強(qiáng)大的數(shù)據(jù)交換功能外，還可以提供最基礎(chǔ)的網(wǎng)絡(luò)安全防護(hù)功能。由于JUNIPER設(shè)備負(fù)擔(dān)著運(yùn)營商業(yè)務(wù)、經(jīng)營等數(shù)據(jù)，如何保證JUNIPER設(shè)備自身的安全，是網(wǎng)絡(luò)管理人員首當(dāng)其沖面臨的安全問題。充分的利用JUNIPER設(shè)備自身的安全特性，合理的使用JUNIPER設(shè)備的安全配置，可保證運(yùn)營商網(wǎng)絡(luò)JUNIPER設(shè)備的運(yùn)行安全。JUNIPER設(shè)備通用安全知識(shí)訪問控制：JUIPER路由器具有強(qiáng)大的訪問控制能力，在設(shè)備的訪問控制能力包括：遠(yuǎn)程登錄控制能力、snmp的認(rèn)證、路由協(xié)議的認(rèn)證、IP地址限制、流量控制等。數(shù)據(jù)加密：JUNOS除了普通的明文telnet連

26、接之外，能提供標(biāo)準(zhǔn)的SSH連接。JUNOS可支持SSHv1和/或SSHv2，但需要確認(rèn)系統(tǒng)加載的版本是否具有安全加密的功能。日志： JUIPER路由器具有強(qiáng)大的日志功能，可以通過日志記錄各種路由器的相關(guān)信息，內(nèi)容包括登陸日志、系統(tǒng)操作命令、異常事件日志、系統(tǒng)故障信息等，并具有通過SYSLOG或snmp trap進(jìn)行通信的能力。 JUNIPER設(shè)備安全設(shè)置-訪問控制列表JUNOS的訪問控制列表（ACL）功能（JUNOS稱之為Firewall Filter）非常強(qiáng)大，可以靈活的創(chuàng)建，以實(shí)現(xiàn)眾多功能。Juniper路由器采用ASIC芯片來執(zhí)行ACL的，而且ACL檢查都先于轉(zhuǎn)發(fā)處理，不會(huì)影響設(shè)備的轉(zhuǎn)發(fā)

27、效能和路由處理。建議ACL的設(shè)置應(yīng)盡量往網(wǎng)絡(luò)邊緣靠，如在接入層設(shè)備和全網(wǎng)出口處。這樣能起到更好的防范效果，也包證了網(wǎng)絡(luò)的整體轉(zhuǎn)發(fā)效能不受影響。 JUNIPER設(shè)備訪問控制列表-訪問地址限制只允許合法的網(wǎng)管網(wǎng)段或網(wǎng)管和維護(hù)主機(jī)地址作為源地址發(fā)起對(duì)設(shè)備的遠(yuǎn)程連接，如Telnet、SSH、Http、SNMP、Syslog等。只允許需要的協(xié)議端口能進(jìn)入（如OSPF、BGP等） 。禁止所有以設(shè)備端口IP地址為目的地址的非法數(shù)據(jù)包。JUNIPER設(shè)備訪問控制列表-自身防護(hù)功能ICMP數(shù)據(jù)包：目前網(wǎng)絡(luò)上泛濫著大量的使用ICMP數(shù)據(jù)包的DoS攻擊，建議創(chuàng)建ACL來屏蔽所有的ICMP數(shù)據(jù)流，再加添高優(yōu)先級(jí)的AC

28、L來允許特殊類型或具體源/目地址的ICMP包通過。 病毒數(shù)據(jù)包：針對(duì)已知的病毒配置ACL，實(shí)現(xiàn)對(duì)已知攻擊模式的病毒攻擊的防護(hù)。非法地址屏蔽：屏蔽不應(yīng)在Internet上出現(xiàn)的IP地址-回環(huán)地址(/8)；RFC1918私有地址；DHCP自定義地址(/16)；科學(xué)文檔作者測試用地址(/24)；不用的組播地址(/4)；SUN公司的古老的測試地址(/24;/23)；全網(wǎng)絡(luò)地址(/8)等等。服務(wù)端口屏蔽：屏蔽不應(yīng)在Internet上出現(xiàn)的服務(wù)端口。 JUNIPER設(shè)備安全設(shè)置-路由協(xié)議安全路由協(xié)議是數(shù)據(jù)網(wǎng)絡(luò)最常用的技術(shù)。大部分的路由協(xié)議都會(huì)周期發(fā)送組播或廣播PDU來維持協(xié)議運(yùn)作。組播和廣播模式自身就存在

29、嚴(yán)重安全隱患，而且路由協(xié)議的PDU攜帶有敏感的路由信息。一旦路由協(xié)議PDU被竊聽或冒充后，不對(duì)的或被惡意篡改的路由信息將直接導(dǎo)致網(wǎng)絡(luò)故障，甚至網(wǎng)絡(luò)癱瘓。路由協(xié)議運(yùn)作過程中的安全防護(hù)是保證全網(wǎng)安全的重要一環(huán)。 JUNIPER設(shè)備路由協(xié)議安全-協(xié)議認(rèn)證JUNIPER設(shè)備的路由協(xié)議OSPF、ISIS和BGP都具有MD5認(rèn)證功能。默認(rèn)不啟用。建議啟用該項(xiàng)功能。建議在與不可信網(wǎng)絡(luò)建立路由關(guān)系時(shí)，或鄰居關(guān)系承載在不可信鏈路上時(shí)，加添路由策略來限制只與可信設(shè)備間建立路由鄰接關(guān)系，以及只發(fā)送盡可能簡潔和必要的路由信息，和只接受必要的外部路由更新。將路由協(xié)議的交互工作置于受控狀態(tài)。設(shè)備基本都能提供強(qiáng)大的路由策略

30、配置能力，再配合ACL的過濾，能對(duì)路由更新的發(fā)送和接受起到精確控制。建議應(yīng)根據(jù)需要來啟用IP端口對(duì)OSPF或ISIS的支持。這樣可以凈化鏈路流量，也有助于提高網(wǎng)絡(luò)安全性。雙方配置的認(rèn)證字段與解密id必須完全一致，否則將會(huì)中斷路由協(xié)議運(yùn)行，建議雙方路由器的配置最好同時(shí)進(jìn)行，保證路由中斷最少時(shí)間。 JUNIPER設(shè)備路由協(xié)議安全-被動(dòng)端口為了使某一直連網(wǎng)段能夠通過協(xié)議宣告出去，但又不用路由策略來做直連網(wǎng)段的分發(fā)限制，而隨意將該IP端口加入路由域的作法不值得提倡。建議在此情況下應(yīng)該將該端口設(shè)為Passive模式來滿足需要。 JUNIPER設(shè)備路由協(xié)議安全-源路由為了防止利用IP Spoofing手段

31、假冒源地址進(jìn)行的DoS攻擊對(duì)整個(gè)網(wǎng)絡(luò)造成的沖擊，建議在所有的邊緣路由設(shè)備（即直接與終端用戶網(wǎng)絡(luò)互連的路由設(shè)備）上，根據(jù)用戶網(wǎng)段規(guī)劃添加源路由檢查。Juniper設(shè)備提供全局模式下啟用URPF（UnicastReversePathForwarding單播反向路徑轉(zhuǎn)發(fā)）的功能。注意源路由檢查功能更適用于網(wǎng)絡(luò)接入層設(shè)備。匯聚層和核心層設(shè)備不建議使用。匯聚層和核心層設(shè)備出現(xiàn)不均衡路由的機(jī)會(huì)較高（即輸出流量與返回流量分別承載在不同鏈路上。這是正?，F(xiàn)象）。如果啟用源路由檢查后，容易造成正常返回流量的無端被棄。 JUNIPER設(shè)備安全設(shè)置-網(wǎng)管安全Juniper設(shè)備提供標(biāo)準(zhǔn)的Telnet接口，開放TCP 2

32、3端口。Telnet在連接建立初期也需要核查帳號(hào)和密碼，但是此過程中，以及后續(xù)會(huì)話中，都是明文方式傳送所有數(shù)據(jù)，容易造竊聽而泄密。Telnet并不是一個(gè)安全的協(xié)議。建議采用SSH協(xié)議來取代Telnet進(jìn)行Juniper設(shè)備的遠(yuǎn)程登錄。SSH與Telnet一樣準(zhǔn)門提供遠(yuǎn)程連接手段。但是SSH傳送的數(shù)據(jù)（包括帳號(hào)和密碼）都會(huì)被加密，且密鑰會(huì)自動(dòng)更新，極大提高了連接的安全性。SSH可以非常有效地防止竊聽、防止使用地址欺騙手段實(shí)施的連接嘗試。建議啟用SSH V2，并禁止root直接登陸。 JUNIPER設(shè)備網(wǎng)管安全-遠(yuǎn)程登錄登錄空閑時(shí)間：設(shè)定登錄連接空閑時(shí)間限制，讓系統(tǒng)自動(dòng)檢查當(dāng)前連接是否長時(shí)間處于空

33、閑狀態(tài)，若是則自動(dòng)將其拆除。登錄嘗試次數(shù)：設(shè)置登錄嘗試次數(shù)限制。當(dāng)系統(tǒng)收到一個(gè)連接請(qǐng)求，若提供的帳號(hào)或密碼連續(xù)不能通過驗(yàn)證的的次數(shù)超過設(shè)定值，就自動(dòng)中斷該連接。JUNOS允許一次登錄中連續(xù)進(jìn)行4次快速認(rèn)證。若4次都未能通過驗(yàn)證，系統(tǒng)將自動(dòng)延時(shí)一段時(shí)間后才接受下一次認(rèn)證。若仍未能通過認(rèn)證，系統(tǒng)會(huì)自動(dòng)加大延時(shí)后再接受認(rèn)證。相關(guān)參數(shù)不能調(diào)整。登錄并發(fā)個(gè)數(shù)：為了防止窮舉式密碼試探，建議設(shè)置并發(fā)登錄個(gè)數(shù)限制。該限制必須與上述的空閑時(shí)間限制一并使用，否則當(dāng)收到此類攻擊時(shí)，將導(dǎo)致無法遠(yuǎn)程登錄設(shè)備。JUNOS有很寬的限制。 SSH防護(hù)：為了防護(hù)通過SSH端口的DoS攻擊，應(yīng)限制Juniper路由器的SSH并發(fā)

34、連接數(shù)和1分鐘內(nèi)的嘗試連接數(shù)JUNIPER設(shè)備網(wǎng)管安全-SSH協(xié)議設(shè)置Juniper路由器在配置SSH訪問時(shí)應(yīng)注意如下細(xì)節(jié)：建立允許訪問的SSH-ADDRESSES過濾器確保只允許來自內(nèi)部接口的授權(quán)用戶訪問針對(duì)SSH進(jìn)行限速以保護(hù)路由引擎過濾器應(yīng)用在loopback接口JUNIPER設(shè)備網(wǎng)管安全-帳號(hào)、密碼安全建議應(yīng)在日常維護(hù)過程中周期性地（至少按季度）更改登錄密碼，甚至登錄帳號(hào)。當(dāng)外方人員需要登錄設(shè)備時(shí)，應(yīng)創(chuàng)建臨時(shí)帳號(hào)，并指定合適的權(quán)限。臨時(shí)帳號(hào)使用完后應(yīng)及時(shí)刪除。登錄帳號(hào)及密碼的保管和更新應(yīng)由專人負(fù)責(zé)，并注意保密。帳號(hào)名字應(yīng)該與使用者存在對(duì)應(yīng)關(guān)系，如能反應(yīng)使用者的級(jí)別、從屬關(guān)系。為了提高安全性，在方便記憶的前提下，帳號(hào)名字應(yīng)盡量混用字符的大小寫、數(shù)字和符號(hào)，提高猜度的難度。同樣的，密碼必須至少使用四種可用字符類型中的三種：小寫字母、大寫字母、數(shù)字和符號(hào)，而且密碼不得包含用戶名或用戶全名的一部分。一般情況下密碼至少包