Juniper路由器安全配置方案一． 路由器网络服务安全配置：默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务1． SNMP服务使用如下命令来停止SNMP服务：set system processes snmp disable使用如下命令来设置SNMP通讯字符串：set snmp community mysnmp authorization read-only使用如下命令来在接口上设备SNMP通讯字符串：set snmp interface fxp0 community mysnmp使用如下命令来在接口上禁止SNMP服务trap：set interfaces fxp0 unit 0 traps disable使用如下命令来限制SNMP的访问客户端：set snmp community mysnmp clients 192.168.0.0/24set snmp community mysnmp clients 0.0.0.0/0 restrict上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务<2． 停止接口广播转发：广播转发容易造成smurf攻击，因此应该使用如下命令停止：set system no-redirects接口级别停止广播转发使用如下命令：set interfaces fxp0 unit 0 family inet no-redirects3． 停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp服务器，如果没有使用，则应该使用如下命令停止：set system dhcp-relay disable4． 禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止：set protocols igmp interface all disable5． 禁止PIM服务，PIM服务如果在没有使用的情况下应该使用如下命令禁止：set protocols pim disable6． 禁止SAP服务，SAP服务如果在没有使用的情况下应该使用如下命令禁止：set protocols sap disable</P>7．禁止IP Source Routing源路由 set chassis no-source-route二． 路由器登录控制：1． 设置系统登录Banner:set system login message "Warning: if you NOT authorized to access this system,disconnect NOW!"2． 设置登录超时时间：默认情况下，系统登录没有登录超时时间限制，应该将登录超时时间设置为15分钟：set cli idle-timeout 153． 建议采取用户权限分级管理策略set system login class tier1 idle-timeout 15set system login class tier1 permissions [ configureinterface network routing snmp system trace view firewall ] set system login class tier2 idle-timeout 15set system login class tier2 permissions all</P>set system login user admin full-name Administratorset system login user admin uid 2000set system login user admin class tier2set system login user admin authentication encrypted-password "<ASSWORD>"</P>set system login user tier1 uid 2001set system login user tier1 class tier1set system login user tier2 uid 2002set system login user tier2 class tier2</P>4. 限制系统ssh、telnet服务连接数量：以下配置将ssh, telnet连接最大数量限制为10个，并且每分钟最多有5个可以连接：set system services ssh connection-limit 10 rate-limit 5set system services telnet connection-limit 10 rate-limit 5 以下特性JUNOS5.0以上支持：set system services root-login deny（禁止root远程登陆）set system services protocol-version v2（使用sshv2）三． 配置系统日志服务：1． 设置系统kernel级警告发到console上set system syslog console kernel warning2． 配置登录系统日志到单独的auth.log文件中set system syslog file auth.log authorization info3． 配置系统配置更改日志到单独的change.log文件中set system syslog file change.log change-log info4． 配置系统所有日志到日志服务器set system syslog host x.x.x.x. any info四． 路由策略安全1． 配置以下保留地址的黑洞路由set routing-options options no-resolveset routing-options options syslog level debugset routing-options static route 0.0.0.0/8 discardset routing-options static route 10.0.0.0/8 discardset routing-options static route 20.20.20.0/24 discardset routing-options static route 127.0.0.0/8 discardset routing-options static route 169.254.0.0/16 discard set routing-options static route 172.16.0.0/12 discardset routing-options static route 192.0.2.0/24 discardset routing-options static route 192.168.0.0/16 discard set routing-options static route 204.152.64.0/23 discard set routing-options static route 224.0.0.0/4 discard2．设置strict模式的unicast RPFset interfaces so-0/0/0 unit 0 family inet rpf-check <fail-filter filter-name3．设置相应prefix-list，禁止保留地址访问set policy-options prefix-list reserved 0.0.0.0/8set policy-options prefix-list reserved 10.0.0.0/8set policy-options prefix-list reserved 20.20.20.0/24set policy-options prefix-list reserved 127.0.0.0/8set policy-options prefix-list reserved 169.254.0.0/16set policy-options prefix-list reserved 172.16.0.0/12set policy-options prefix-list reserved 192.0.2.0/24set policy-options prefix-list reserved 204.152.64.0/23set policy-options prefix-list reserved 224.0.0.0/4set firewall filter inbound-filter term 1 from prefix-list reservedset firewall filter inbound-filter term 1 then count spoof-inbound-reservedset firewall filter inbound-filter term 1 then discardset interfaces ge-0/0/0 unit 0 family inet filter input inbound-filter五． Firewall-Policy设置Firewall-Policy可以限制进入及流量主机数据包的来源、目标地址、协议、端口号、流量等，应用Firewall-Policy可以实现类似于防火墙的性能，但一般不建议在骨干路由器上使用，以下是Firewall-Policy 的使用方法：1． 创建Firewall-Policy：set firewall filter local-sec term sec-in1 from destination-port telnetset firewall filter local-sec term sec-in1 from destination-address 172.16.0.1/32set firewall filter local-sec term sec-in1 from source-address 192.168.0.0/24set firewall filter local-sec term sec-in1 then acceptset firewall filter local-sec term sec-in2 from destination-port telnetset firewall filter local-sec term sec-in2 from destination-address 172.16.0.1/32set firewall filter local-sec term sec-in2 then discardset firewall filter local-sec term sec-in3 fromset firewall filter local-sec term sec-in1 then accept2． 应用到路由器的端口上：set interfaces fxp0 unit 0 family inet filter input local-sec 以上例子不允许除192.168.0.0/24网段外所有地址telnet访问172.16.0.1，但允许其它任何包通过。