视频: JUNOS Aggregate/Generate动态默认路由接入设计 06/07 2024
Junos OS具有许多默认行为,这些行为有助于提高路由器的安全性,一旦执行初始路由器配置,行为将立即生效。
-
路由器访问: 默认情况下,访问路由器的唯一方法是通过物理连接到路由器的控制台端口。要最初配置路由器,您必须将笔记本电脑或其他终端直接连接到控制台端口。所有其他远程管理访问和管理访问协议(如Telnet,FTP和SSH)均被禁用。 (在J系列路由器上,Web界面启用以帮助初始系统配置。)
<! - 1 - >初始配置完成后,您需要启用远程登录到路由器的方式,以便您不必在物理上连接到路由器的控制台端口。 SSH提供最好的安全性,您可以按如下方式进行配置:
[编辑] fred @ router#set system services ssh
-
使用SNMP设置命令配置路由器: Junos OS不支持SNMP设置功能用于编辑配置数据,允许网管修改被管网络设备的配置。 Junos OS在缺省情况下允许SNMP查询路由器的状态,虽然没有已知的安全风险与此相关。
-
定向广播消息: Junos OS不会转发这些消息,这些消息是具有IP子网广播地址目标地址的数据报。定向广播很容易被欺骗,这是DoS攻击中使用的一种方法。
-
火星地址: Junos操作系统会忽略多个保留地址的路由(但不包括RFC 1918中定义的私有地址)。火星地址永远不能在互联网上看到,但这些地址的路由有时通过错误配置的路由器发布。如果你愿意,你可以修改火星地址列表。
<! - 3 - >火星地址是主机或网络地址,所有路由信息都被忽略。它们通常是由网络上不正确配置的系统发送的,并且目标地址显然是无效的。
-
密码加密: 配置路由器时,需要输入各种功能的密码。所有这些密码都可以通过 加密 (一对一映射,可以解密)或者 哈希 (多对多映射是不可能的),或通过算法 - 以防止被发现。
即使在Junos OS提示输入明文密码的情况下,软件也会在您键入密码后立即对其进行加密。在配置文件中显示密码时,只能看到加密的版本,标记为SECRET-DATA。例如,如果您为用户登录帐户配置纯文本密码,则Junos会使用SHA1对其进行加密。
-
强密码的部分实施: Junos OS在一定程度上强制使用强密码,要求您配置的所有密码长度至少为六个字符,更改大小写并包含数字或标点符号。该软件拒绝不符合这些标准的密码。
您可以通过配置较长的最小密码长度和增加案例,数字和标点符号更改的最小数量来增强强密码的执行:
[编辑系统] fred @ router#设置登录密码最小长度 number [编辑系统] fred @ router#设置登录密码minimum-changes number
在新路由器的初始配置期间,将root密码设置为纯文本密码。由于root用户能够在路由器上执行任何和所有操作,因此加强对root登录帐户的访问是一个好主意。一种方法是使用SSH密钥认证来配置root密码。
