信息安全知识竞赛培训网络设备PPT课件

1、 CISCO设备安全设置 JUNIPER设备安全设置 目录目录 CISCOCISCO设备安全设置设备安全设置 CISCO设备通用安全知识 CISCO设备安全设置-访问控制列表 CISCO设备安全设置-路由协议安全 CISCO设备安全设置-网管安全 CISCO设备安全设置-SNMP协议安全 CISCO设备安全设置-HTTP安全 CISCO设备安全设置-日志 CISCO设备安全设置-特定安全配置 CISCO设备安全维护 作为电信行业主流的路由、交换设备，CISCO设备 除了能提供强大的数据交换功能外，还可以提供最 基础的网络安全防护功能。 由于CISCO设备往往负担着运营商业务、经营等数 据，如何

2、保证CISCO设备自身的安全，是网络管理 人员首当其冲面临的安全问题。 充分的利用CISCO设备自身的安全特性，合理的使 用CISCO设备的安全配置，可保证运营商网络CISCO 设备的运行安全。 CISCOCISCO设备通用安全知识设备通用安全知识 Cisco设备具有强大的访问控制能力： 可以实现对远程登录并发个数和空闲时长的限制； 支持使用SSH代替Telnet，并提供ACL对用户登陆进行严格 控制； 支持AAA认证和授权； 支持SNMP管理认证、限制TRAP主机，修改TRAP端口等； 路由协议的认证支持RIP、OSPF和BGP MD5认证，同时也支 持密码明文认证； CISCOCISCO设

3、备通用安全知识设备通用安全知识- -访问控制访问控制 CISCO设备的数据加密能力主要有： 支持SSH替代Telnet,可以在网络中传递加密的用户 名和密码； 对于enable密码，使用加密的enable secret,并且 密码可以通过service password-encryption命令， 进行密码加密； 提供Cisco加密技术（CET）； IPSec技术实现数据传输的加密技术。 CISCOCISCO设备通用安全知识设备通用安全知识- -数据加密数据加密 CISCO设备可以提供强大的日志功能： Cisco设备将LOG信息分成八个级别，由低到高分别 为debuggingdebugging

4、、informationalinformational、notificationsnotifications、 warningswarnings、errorserrors、criticalcritical、alertsalerts、 emergenciesemergencies。 可以设置将一定级别的LOG消息通过SYSLOG、SNMP TRAP传递给异地的LOG SERVER长期保存，并对LOG SERVER的地址可以进行严格控制。 CISCOCISCO设备通用安全知识设备通用安全知识- -日志日志 Cisco设备的防攻击能力主要体现如下： 可以通过对Q0S技术的配置，起到自身的防护的能力，

5、它支 持排队技术、排队技术、CARCAR和和GTSGTS等； 结合强大的ACL命令，用于自身以及网络的防攻击，支持标 准访问控制列表、扩展的访问控制列表、动态访问列表、 自反访问列表、基于时间的访问控制列表、基于上下文的 访问控制列表，从而保证了强大的防攻击能力； 支持黑洞路由； 支持源路由检查。 CISCOCISCO设备通用安全知识设备通用安全知识- -攻击防御攻击防御 CISCOCISCO设备安全设置设备安全设置- -访问控制列表访问控制列表 访问控制列表是网络防御的前端，Cisco设备支持 两种类型的访问控制列表：标准访问列表（1-99和 1300-1999 ）和扩展访问列表（100-1

6、99和2000- 2699 ）。 对于路由器接口，一个访问表必须在创建之后应用 到某个接口上，它才能产生作用。因为通过接口的 数据流是双向的，所以访问表要应用到接口的特定 方向上，向外的方向或者向内的方向。CISCO设备 对于不匹配任何表项的数据包，默认是拒绝其通过 的操作。 CISCOCISCO设备访问控制列表设备访问控制列表- -应用应用 CiscoCisco访问控制列表提供如下应用：访问控制列表提供如下应用： 标准的访问表：只允许过滤源地址，功能有限。 扩展访问列表：用于扩展报文过滤能力,一个扩展的I P访问表允许用户根据如 下内容过滤报文：源和目的地址、协议、源和目的端口以及在特定报文

7、字段中 允许进行特殊位比较的各种选项。它的建立也支持编号方式和命名方式。 动态访问表（lock-and-key）：能够创建动态访问表项的访问表。 基于时间的访问表：使用基于时间的访问表可以实现根据一天中的不同时间， 或者根据一星期中的不同天，或者二者的结合，来控制对网络资源的访问。 Cisco7500系列路由器不支持该功能。 自反访问表：是扩展的IP命名访问表的一个重要的功能特性，自反访问表创建 开启表项并用于从路由器的不可信方（某个接口），在正常的操作模式下，这 些开启表项并没有启用。 基于上下文的访问控制（ Context-Based Access Control, CBAC）：工作方式

8、类似于自反访问表，它会检查向外的会话，并且创建临时开启表项来允许返回 的通信报文；其不同之处在于，自反访问表表与传统的访问表一样，不能检测 高于第4层的信息，并且只支持单通道的会话。 CISCOCISCO设备访问控制列表设备访问控制列表- -实施原则实施原则 只允许合法的网管网段或网管和维护主机地址作为源地址 发起对设备的远程连接，如Telnet、SSH、HTTP、SNMP、 Syslog等； 只允许需要的协议端口能进入（如OSPF、BGP、RSVP等）； 指定设备自身发包的源地址，如loopback IP；同时只允许 在设备间使用这些地址来互相远程登录； 对ICMP数据包的限制 对非法IP的

9、限制 除此外，以设备端口IP地址为目的地址数据包都被拒收。 CISCOCISCO设备访问控制列表设备访问控制列表- -作用作用 Cisco设备的ACL可以发挥如下作用： 过滤恶意和垃圾路由信息 控制网络的垃圾信息流 控制未授权的远程访问 CISCOCISCO设备安全设置设备安全设置- -路由协议安全路由协议安全 路由协议是数据网络最常用的技术。大部分的路由 协议都会周期发送组播或广播PDU来维持协议运作。 组播和广播模式自身就存在严重安全隐患，而且路 由协议的PDU携带有敏感的路由信息。一旦路由协 议PDU被窃听或冒充后，不对的或被恶意篡改的路 由信息将直接导致网络故障，甚至网络瘫痪。路由 协

10、议运作过程中的安全防护是保证全网安全的重要 一环。 CISCOCISCO设备路由协议安全设备路由协议安全- -协议认证协议认证 OSPF协议认证：默认的OSPF认证密码是明文传输的，要求 启用MD5认证。并设置一定强度密钥(key,相对的路由器必 须有相同的Key)。 RIP协议认证：只有RIP-V2支持，RIP-1不支持。建议启用 RIP-V2。并且采用MD5认证，普通认证同样是明文传输的。 ISIS协议认证：ISIS路由协议只支持明文密码认证，分成 neighbor间认证、area认证和以及域间的认证。 BGP协议认证：BGP路由协议配置认证，自动启用MD5认证。 CISCOCISCO设备

11、路由协议安全设备路由协议安全- -被动端口被动端口 对于不需要路由的端口，建议启用passive- interface，可以禁用一些不需要接收和转发路由 信息的端口。 Router(config-router)# passive-interface serial0/0 RIP协议只是禁止转发路由信息，并没有禁止接收。 在OSPF协议中是禁止转发和接收路由信息。 CISCOCISCO设备安全设置设备安全设置- -源路由检查源路由检查 为了防止利用IP Spoofing手段假冒源地址进行的 DoS攻击对整个网络造成的冲击，建议在所有的边 缘路由设备（即直接与终端用户网络互连的路由设 备）上，根据用

12、户网段规划添加源路由检查。 Cisco路由器提供全局模式下启用URPF（Unicast Reverse Path Forwarding单播反向路径转发）的 功能。 启用源路由检查必须要先启用CEF。 CISCOCISCO设备安全设置设备安全设置- -网管安全网管安全 网管人员都习惯使用CLI来进行设备配置和日常管理，常会 使用Telnet来远程登录设备。Cisco设备提供标准的Telnet 接口，开放TCP 23端口。虽然Telnet在连接建立初期也需 要核查帐号和密码，但是此过程中，以及后续会话中，都 是明文方式传送所有数据，容易造窃听而泄密。Telnet并 不是一个安全的协议。 建议采用S

13、SH协议来取代Telnet进行设备的远程登录。SSH 与Telnet一样提供远程连接手段。但是SSH传送的数据（包 括帐号和密码）都会被加密，且密钥会自动更新，极大提 高了连接的安全性。SSH可以非常有效地防止窃听、防止使 用地址欺骗手段实施的连接尝试。 CISCOCISCO设备网管安全设备网管安全-TELNET-TELNET配置配置 密码设置：长度8位以上，含大、小写，数字及特写字符 超时设置：设置超时自动断开远程连接（180秒） 访问控制：设置针对远程Telnet的专用ACL 并发数目：控制远程Telnet的并发连接数（5个） 定期变更：定期变更远程登录密码（最长3个月） 传播控制：严格控

14、制密码的传播范围和传播方式，如遇网 管人员离职或职位变动应立即更改密码，禁止使用明文邮 件方式传递密码，可使用PGP加密方式。 CISCOCISCO设备网管安全设备网管安全- -帐号、密码管理帐号、密码管理 在日常维护过程中周期性地更改登录密码，甚至登录帐号。 Cisco设备可以为不同的管理员提供权限分级。 当外方人员需要登录设备时，应创建临时帐号，并指定合适的权 限。临时帐号使用完后应及时删除。 登录帐号及密码的保管和更新应由专人负责，并注意保密。帐号 名字应该与使用者存在对应关系，应做到一人对应单独帐号。 帐号名字应尽量混用字符的大小写、数字和符号，密码至少使用 四种可用字符类型中的三种：

15、小写字母、大写字母、数字和符号， 而且密码不得包含用户名或用户全名的一部分。一般情况下密码 至少包含 8 个字符。 Cisco设备采用enable secret命令，为特权模式的进入设置强壮 的密码。 CISCOCISCO设备网管安全设备网管安全- -本地认证和授权本地认证和授权 初始模式下，Cisco设备内一般建有没有密码的管 理员帐号，该帐号只能用于Console连接，不能用 于远程登录。建议用户应在初始化配置时为它们加 添密码。 一般而言，设备允许用户自行创建本机登录帐号， 并为其设定密码和权限。同时，为了AAA服务器出 现问题时，对设备的维护工作仍可正常进行，建议 保留必要的维护用户。

16、 CISCOCISCO设备网管安全设备网管安全-AAA-AAA Cisco设备支持RADIUS或TACACS的AAA（认证、授 权、计费）客户端功能，通过AAA认证可以方便实 现对大量设备的登录帐号和密码的管理。建议采用 集中认证和授权模式。通过AAA服务器还可以弥补 设备本身对执行权限管理的不足。 CISCOCISCO设备安全设置设备安全设置-SNMP-SNMP协议安全协议安全 由于SNMP协议的MIB存放着大量设备状态信息（称之为Object， 并以OID作为唯一标识），既有物理层信息（如端口状态），也 有协议层信息（如端口IP地址）。网管系统通过SNMP GET或M- GET指令采集这些

17、信息作为原始数据，经分析和处理后实现各种 网管功能。部分MIB Object还可以让网管系统通过SNMP SET指令 来赋值。怀有恶意的人可以通过窃取SNMP数据来获得网络的基本 情况，并以此发起恶意攻击，甚至通过修改MIB Object赋值来进 行破坏。因此SNMP的防护非常重要。 SNMP自身也提供了一定的安全手段，即Community。Community相 当于网管系统与设备之间建立SNMP连接合法性的识别字串。它们 两者之间的SNMP交互都需要先做Community检查后，再执行。有2 种Community：Read-Only（简称RO）和Read-Write（简称RW）。 RW相当危

18、险，要求关闭snmp rw功能。 CISCOCISCO设备安全设置设备安全设置-SNMP-SNMP协议安全协议安全 Cisco设备默认开启SNMP协议，并采用了public和private 的口令，故Cisco默认的SNMP配置是及其危险的。 如不需要提供SNMP服务的，要求禁止SNMP协议服务，注意 在禁止时删除一些SNMP服务的默认配置。 如开启SNMP协议，建议更改SNMP trap协议的标准端口号， 并使用访问控制列表控制未授权的SNMP读写，定期更改 SNMP Community,以增强其安全性。 如开启SNMP协议，并且条件许可的话，建议转用SNMPv3。 它引入了除Communi

19、ty外的基于MD5认证和DES加密来保障 SNMP通道安全的机制。 CISCOCISCO设备安全设置设备安全设置-HTTP-HTTP安全安全 Cisco设备的IOS支持HTTP协议进行远端配置和监视。 由于HTTP服务本身具有诸多安全漏洞，如CGI漏洞 等，针对HTTP的认证就相当于在网络上发送明文。 且对于HTTP没有有效的基于挑战或一次性的口令保 护，这使得用HTTP进行管理相当危险。建议关闭 HTTP服务。 CISCOCISCO设备设备HTTPHTTP安全安全- -关闭关闭HTTPHTTP服务服务 如需要使用HTTP服务，要求更改标准的端口号，将 协议运行在其他不用端口上，如“49152

20、 至 65535”，而不是标准端口上。 Router(Config)# no ip http server CISCOCISCO设备设备HTTPHTTP安全安全-HTTP-HTTP安全配置安全配置 如果必须选择使用Http进行管理，最好用ip http access-class命令限定访问地址，并用ip http authentication命令配置认证，修改HTTP的默认端 口。 Router(Config)# ip http port 50000 Router(Config)# access-list 10 permit Router(Config)# access

21、-list 10 deny any Router(Config)# ip http access-class 10 CISCOCISCO设备安全设置设备安全设置- -日志日志 建议对Cisco设备的安全审计进行有效管理，根据 设备本身具有的属性和实际维护经验，建议相关安 全审计信息应包括设备登录信息日志和设备事件信 息日志，同时提供SYSLOG服务器的设置方式。 Cisco设备将LOG信息分成八个级别，由低到高分别 为debugging、informational、notifications、 warnings、errors、critical、alerts、 emergencies。考虑到日志

22、信息的种类和详细程度， 并且日志开启对设备的负荷有一定影响，建议获取 有意义的日志信息进行分析。 CISCOCISCO设备安全设置设备安全设置- -日志日志 日志除在本机保存外，还应异地存储到专用的LOG 服务器，建议将notifications及以上的LOG信息 送到LOG服务器。 为确保日志时间戳的准确，需要配置正确的时间 戳，有助于故障排除，取得安全事件的证物和与 其他路由器进行时间同步。 Router(Config)#service timestamps log datetime localtime CISCOCISCO设备安全设置设备安全设置- -特定安全配置特定安全配置 除上述安全

23、设置外，Cisco设备还应该关闭一些默 认的服务，并进行一些特定的安全配置，尽可能确 保Cisco设备的安全运行。 CISCOCISCO设备特定安全配置设备特定安全配置- -服务关闭服务关闭 Cisco设备本省提供了许多比较危险的服务如CDP、 TCP和UDP Small、Finger、NTP、BOOTp、IP sourcerouting、IP Unreachables,Redirects, MaskReplies、ARP-Proxy、IP Directed Broadcast、IP Classless、WINS和DNS等等，对该 类服务的建议是，如果不需要服务，关闭这些服务。 CISCOCI

24、SCO设备特定安全配置设备特定安全配置- -服务关闭服务关闭 CDP服务可能被攻击者利用获得路由器的版本等信息，从而 进行攻击，所有边界的Cisco设备需要关闭CDP服务。 一些基于TCP和UDP协议的小服务如：echo、chargen等，容 易被攻击者利用来越过包过滤机制，建议关闭。 Finger服务可能被攻击者利用查找用户和口令攻击，建议 关闭。 NTP不是十分危险的，但是如果没有一个很好的认证，则会 影响路由器正确时间，导致日志和其他任务出错，建议关 闭。 ARP-Proxy服务默认是开启的，容易引起路由表的混乱, 建 议关闭。 CISCOCISCO设备特定安全配置设备特定安全配置- -

25、服务关闭服务关闭 禁止ICMP协议的IP Unreachables,Redirects,Mask Replies功能。 明确的禁止IP Directed Broadcast。 禁止IP Source Routing。 禁止BOOTp服务。 CISCOCISCO设备特定安全配置设备特定安全配置- -服务关闭服务关闭 Cisco路由器默认的对IPv4协议报进行处理，但会 导致网络接口拒绝服务，为确保不受到次类型的攻 击，可以在接口上禁止 5353 (SWIPE) 5555 (IP Mobility) 7777 (Sun ND) 103103 (Protocol Independent Multic

26、ast - PIM) CISCOCISCO设备安全设置设备安全设置- -其他其他 COM端口的安全：建议控制CONSOLE端口的访问,给CONSOLE口设置高强 度的密码，设置超时退出时间等。 AUX端口的安全：由于默认打开默认打开，在不使用AUX端口时，则禁止这个端 口。 空闲物理端口的安全：如确认端口（Interface）不使用，使用 shutdown命令关闭。 Banner的设置：对远程登陆的banner的设置要求必须包含非授权用户 禁止登录的字样，banner不能包含-设备名、设备型号、设备所有者及 设备运行软件信息。 Cisco路由器禁止从网络启动和自动从网络下载初始配置文件。 no

27、 boot network no service config CISCOCISCO设备安全维护设备安全维护- -路由器快照路由器快照 为防止意外情况的发生，可对运行的路由器进行快 照保存。 路由器的快照需要保存两个信息： 当前的配置当前的配置-running config-running config 当前的开放端口列表当前的开放端口列表 CISCOCISCO设备安全维护设备安全维护- -常用命令常用命令 Terminal monitor Show users Show version Show clock Show logging Show arp Clear line vty JUNIP

28、ERJUNIPER设备安全设置设备安全设置 JUNIPER设备通用安全知识 JUNIPER设备安全设置-访问控制列表 JUNIPER设备安全设置-路由协议安全 JUNIPER设备安全设置-网管安全 JUNIPER设备安全设置-SNMP协议安全 JUNIPER设备安全设置-日志 JUNIPER设备安全设置-特定安全配置 JUNIPERJUNIPER设备通用安全知识设备通用安全知识 作为电信行业常见的路由设备，JUNIPER设备除了 能提供强大的数据交换功能外，还可以提供最基础 的网络安全防护功能。 由于JUNIPER设备负担着运营商业务、经营等数据， 如何保证JUNIPER设备自身的安全，是网络

29、管理人 员首当其冲面临的安全问题。 充分的利用JUNIPER设备自身的安全特性，合理的 使用JUNIPER设备的安全配置，可保证运营商网络 JUNIPER设备的运行安全。 JUNIPERJUNIPER设备通用安全知识设备通用安全知识 访问控制：JUIPER路由器具有强大的访问控制能力，在设 备的访问控制能力包括：远程登录控制能力、snmp的认证、 路由协议的认证、IP地址限制、流量控制等。 数据加密：JUNOS除了普通的明文telnet连接之外，能提供 标准的SSH连接。JUNOS可支持SSHv1和/或SSHv2，但需要确 认系统加载的版本是否具有安全加密的功能。 日志： JUIPER路由器具

30、有强大的日志功能，可以通过日志 记录各种路由器的相关信息，内容包括登陆日志、系统操 作命令、异常事件日志、系统故障信息等，并具有通过 SYSLOG或snmp trap进行通信的能力。 JUNIPERJUNIPER设备安全设置设备安全设置- -访问控制列表访问控制列表 JUNOS的访问控制列表（ACL）功能（JUNOS称之为 Firewall Filter）非常强大，可以灵活的创建， 以实现众多功能。Juniper路由器采用ASIC芯片来 执行ACL的，而且ACL检查都先于转发处理，不会影 响设备的转发效能和路由处理。 建议ACL的设置应尽量往网络边缘靠，如在接入层 设备和全网出口处。这样能起到

31、更好的防范效果， 也包证了网络的整体转发效能不受影响。 JUNIPERJUNIPER设备访问控制列表设备访问控制列表- -访问地址限制访问地址限制 只允许合法的网管网段或网管和维护主机地址作为 源地址发起对设备的远程连接，如Telnet、SSH、 Http、SNMP、Syslog等。 只允许需要的协议端口能进入（如OSPF、BGP等） 。 禁止所有以设备端口IP地址为目的地址的非法数据 包。 JUNIPERJUNIPER设备访问控制列表设备访问控制列表- -自身防护功能自身防护功能 ICMP数据包：目前网络上泛滥着大量的使用ICMP数据包的DoS攻 击，建议创建ACL来屏蔽所有的ICMP数据流

32、，再加添高优先级的 ACL来允许特殊类型或具体源/目地址的ICMP包通过。 病毒数据包：针对已知的病毒配置ACL，实现对已知攻击模式的 病毒攻击的防护。 非法地址屏蔽：屏蔽不应在Internet上出现的IP地址-回环地址 (/8)；RFC1918私有地址；DHCP自定义地址 (/16)；科学文档作者测试用地址(/24)； 不用的组播地址(/4)；SUN公司的古老的测试地址 (/24;/23)；全网络地址(/8)等 等。 服务端口屏蔽：屏蔽不应在Internet上

33、出现的服务端口。 JUNIPERJUNIPER设备安全设置设备安全设置- -路由协议安全路由协议安全 路由协议是数据网络最常用的技术。大部分的路由 协议都会周期发送组播或广播PDU来维持协议运作。 组播和广播模式自身就存在严重安全隐患，而且路 由协议的PDU携带有敏感的路由信息。一旦路由协 议PDU被窃听或冒充后，不对的或被恶意篡改的路 由信息将直接导致网络故障，甚至网络瘫痪。路由 协议运作过程中的安全防护是保证全网安全的重要 一环。 JUNIPERJUNIPER设备路由协议安全设备路由协议安全- -协议认证协议认证 JUNIPER设备的路由协议OSPF、ISIS和BGP都具有MD5认证功能。

34、 默认不启用默认不启用。建议启用该项功能。 建议在与不可信网络建立路由关系时，或邻居关系承载在不可信 链路上时，加添路由策略来限制只与可信设备间建立路由邻接关 系，以及只发送尽可能简洁和必要的路由信息，和只接受必要的 外部路由更新。将路由协议的交互工作置于受控状态。 设备基本都能提供强大的路由策略配置能力，再配合ACL的过滤， 能对路由更新的发送和接受起到精确控制。建议应根据需要来启 用IP端口对OSPF或ISIS的支持。这样可以净化链路流量，也有助 于提高网络安全性。 双方配置的认证字段与解密id必须完全一致，否则将会中断路由 协议运行，建议双方路由器的配置最好同时进行，保证路由中断 最少时

35、间。 JUNIPERJUNIPER设备路由协议安全设备路由协议安全- -被动端口被动端口 为了使某一直连网段能够通过协议宣告出去，但又 不用路由策略来做直连网段的分发限制，而随意将 该IP端口加入路由域的作法不值得提倡。建议在此 情况下应该将该端口设为Passive模式来满足需要。 JUNIPERJUNIPER设备路由协议安全设备路由协议安全- -源路由源路由 为了防止利用IP Spoofing手段假冒源地址进行的DoS攻击 对整个网络造成的冲击，建议在所有的边缘路由设备（即 直接与终端用户网络互连的路由设备）上，根据用户网段 规划添加源路由检查。 Juniper设备提供全局模式下启用URPF

36、 （UnicastReversePathForwarding单播反向路径转发）的 功能。 注意源路由检查功能更适用于网络接入层设备。汇聚层和 核心层设备不建议使用。汇聚层和核心层设备出现不均衡 路由的机会较高（即输出流量与返回流量分别承载在不同 链路上。这是正常现象）。如果启用源路由检查后，容易 造成正常返回流量的无端被弃。 JUNIPERJUNIPER设备安全设置设备安全设置- -网管安全网管安全 Juniper设备提供标准的Telnet接口，开放TCP 23端口。 Telnet在连接建立初期也需要核查帐号和密码，但是此过 程中，以及后续会话中，都是明文方式传送所有数据，容 易造窃听而泄密。

37、Telnet并不是一个安全的协议。 建议采用SSH协议来取代Telnet进行Juniper设备的远程登 录。SSH与Telnet一样准门提供远程连接手段。但是SSH传 送的数据（包括帐号和密码）都会被加密，且密钥会自动 更新，极大提高了连接的安全性。SSH可以非常有效地防止 窃听、防止使用地址欺骗手段实施的连接尝试。 建议启用SSH V2，并禁止root直接登陆。 JUNIPERJUNIPER设备网管安全设备网管安全- -远程登录远程登录 登录空闲时间：设定登录连接空闲时间限制，让系统自动检查当 前连接是否长时间处于空闲状态，若是则自动将其拆除。 登录尝试次数：设置登录尝试次数限制。当系统收到

38、一个连接请 求，若提供的帐号或密码连续不能通过验证的的次数超过设定值， 就自动中断该连接。JUNOS允许一次登录中连续进行4次快速认证。 若4次都未能通过验证，系统将自动延时一段时间后才接受下一 次认证。若仍未能通过认证，系统会自动加大延时后再接受认证。 相关参数不能调整。 登录并发个数：为了防止穷举式密码试探，建议设置并发登录个 数限制。该限制必须与上述的空闲时间限制一并使用，否则当收 到此类攻击时，将导致无法远程登录设备。JUNOS有很宽的限制。 SSH防护：为了防护通过SSH端口的DoS攻击，应限制Juniper路由 器的SSH并发连接数和1分钟内的尝试连接数 JUNIPERJUNIPE

39、R设备网管安全设备网管安全-SSH-SSH协议设置协议设置 Juniper路由器在配置SSH访问时应注意如下细节： 建立允许访问的SSH-ADDRESSES过滤器 确保只允许来自内部接口的授权用户访问 针对SSH进行限速以保护路由引擎 过滤器应用在loopback接口 JUNIPERJUNIPER设备网管安全设备网管安全- -帐号、密码安全帐号、密码安全 建议应在日常维护过程中周期性地（至少按季度）更改登录密码， 甚至登录帐号。 当外方人员需要登录设备时，应创建临时帐号，并指定合适的权 限。临时帐号使用完后应及时删除。 登录帐号及密码的保管和更新应由专人负责，并注意保密。帐号 名字应该与使用者存在对应关系，如能反应使用者的级别、从属 关系。 为了提高安全性，在方便记忆的前提下，帐号名字应尽量混用字 符的大小写、数字和符号，提高猜度的难度。同样的，密码必须 至少使用四种可用字