網絡攻擊肆虐-給你的網絡設備來套防彈衣吧！

網絡攻擊 無處不在

2018年1月，你們仍像往常同樣忙忙碌碌，IT設備機房內設備轟隆隆的風扇聲嘈雜而響亮，一切看似那麼正常。 但是，若是換個視角看看設備裏面的數字世界，風景徹底不一樣。數據包暗流涌動，爭先恐後搶着到達世界的盡頭。 俗話說，有人的地方就有江湖。而被人操控的網絡世界，免不了殺機四伏。

看看上面這張圖，這可不是我我的PS上去的煙花圖。它是實實在在的世界級的網絡攻擊流量圖。各式各樣的攻擊流量跨越國界影響着每一臺互聯網設備。 在我的電腦難逃網絡攻擊魔爪的狀況下，網絡設備怎能獨善其身？？ 根本不可能，網絡設備也是攻擊者的目標之一，並且是重要目標，除非你把電源線拔了。 這就比如打蛇打七寸，攻擊者若是想製造大範圍的互聯網故障，拿下網絡設備相比嘗試攻克各個終端目標划算得多。 老闆，給個人網絡設備來套防彈衣！

怎麼避免被攻擊者攻陷，作安全加固啊！有本事咱就給它套上一個金鐘罩鐵布衫，刀槍不入。 網絡設備安全加固怎麼作? 常見的作法： 我相信不少朋友腦海裏面首先浮現的是採用相似ACL訪問控制列表的方法，只容許信任的管理員訪問管理設備，限制特定的協議等。 路由器或交換機接口配置ACL容許特定流量。 限制特定網段使用SSH、HTTPS等訪問設備。 這就夠了麼？ 1.如何限制網絡設備的帶內帶外安全? 2.如何只容許特定源地址鏈接設備協議，如BGP等？ 3.是否關閉了沒必要要的網絡服務？ 4.是否正確配置了設備日誌記錄，記錄設備登錄記錄以及其餘網絡管理痕跡? 5.配置是否認期保存，以避免意外故障發生？ 我是土豪，找第三方安全公司作安全掃描。 或者，若是你是土財主，能夠直接找第三方安全公司作安全掃描，並根據評估報告進行整頓。可是會花費一筆不小的費用。 我是動手族，本身幹，一把梭！ 其實，除了花錢，咱們還能夠選擇本身動手解決問題，一方面節約了公司成本，也鍛鍊了我的技能。這麼好的事情，何樂而不爲呢？

故此，爲了知足部分葛朗臺土豪的需求，認真貫徹本身動手，豐衣足食的精神。本文特意總結了一套網絡設備安全加固的思惟方法，供你們參考。 拋磚引玉，以Juniper爲例一步步教你網絡設備安全加固。

既然要討論網絡設備加固，咱們須要以一個特定的產品來做爲展現對象， 由於本人長期使用Juniper設備，就以其產品爲例給你們講述。 同時，須要說明的是，如下內容並不只是侷限在Juniper設備，你們除了瞭解Juniper的加固方式之外，最重要的是理解這一套思惟方法，並應用到你身邊對應的廠商設備。 基本功：確保設備軟件沒有重大bug並安裝廠商建議的OS操做系統

實時關注系統bug 這一步尤爲重要，可是又極其容易被忽略。 蒼蠅不叮無縫蛋，網絡攻擊亦然。若是攻擊者只是盯着你們都會去關注的網絡安全，例如嘗試碰運氣telnet登陸設備等。那這個攻擊者水平就值得懷疑了。 因此真正的攻擊者，是攻擊那些他知道而你不知道的系統Bug漏洞。很顯然，實時掌握系統bug漏洞很是有必要，就拿我本身來講。我隔一小段時間就要去看看當前Juniper設備運行的JUNOS軟件是否爆出重大bug，而後提出修補建議。（領導會以爲你很高瞻遠矚，漲工資哦！） 如何查看JUNOS系統漏洞 方法一：查看Juniper網站bug庫： https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES 方法二：查閱Juniper網站Problem Search 軟件bug庫：https://prsearch.juniper.net 經過按期查閱你所使用的JUNOS系統Bug信息並根據Juniper建議採起相關措施，從而大大避免由於系統bug從而致使網絡癱瘓的問題。 安裝廠商建議的OS操做系統 這一步很是好理解，通常狀況網絡設備廠商會建議你使用某個版本的OS系統。它是根據廠商統計以及客戶反饋彙總後，廠商認爲此版本系統相對較穩定，bug相對較少。 Juniper廠商建議OS系統彙總 https://kb.juniper.net/InfoCenter/index?page=content&id=KB21476&actp=METADATA 肉身都保不住了，還談什麼靈魂：設備物理安全

什麼是物理設備安全，物理設備安全包含但不只限於以下： 設備物理環境安全。 設備實際端口、接口安全。 設備顯示屏安全。 設備物理環境安全 網絡設備通常都安裝於機房特定機架上。可是若是機房安全環境較差，隨時能夠有人員進入機房挪動已經在網的網絡設備，或者實施斷電，插拔線纜等操做。那其餘的一切安全問題都是浮雲。 正如戀愛中的女孩老是給男孩說：「若是連基本的安全感你都給不了我，還談個屁的愛情啊！」 因此，工程師們，給大家的網絡設備買套好點的「房子」，給他們點安全感吧。例如我以前OOB文章《構建帶外OOB網絡》中提到的，採用機架門鎖+感應器的方式保障設備安全。 設備端口安全 Console 接口安全 Console接口做爲設備的管理接口。論重要性，沒有任何其餘帶內帶外管理方式可以與之相提並論。 平常運維中，總免不了須要去現場經過console調試設備。當工程師用console登錄設備之後，每每忘了logout登出系統。而是直接拔出console線。其危害是，其餘人員能夠隨後插線經過console登錄設備無需任何驗證，直接使用前一位用戶的權限經過console對網絡設備執行各類操做。 換而言之，假如前一位工程師使用root帳戶登錄，那隨後的攻擊者一樣也處於root模式下，能夠隨時對設備進行離線，重啓，關機等重大操做。 安全設置建議 1.開啓logout-on-disconnect功能，拔除console線之後直接登出當前用戶。 [edit system ports] GingerBeer@Juniper# set console log-out-on-disconnect 2.禁止console接口上使用root帳戶登錄。 [edit system ports] GingerBeer@Juniper# set console insecure 3.使狠招：關閉console接口。在某些特定狀況，例如在沒法保證設備的物理環境安全的狀況下，爲了不有人惡意使用console猜想密碼或者執行其餘任務，能夠直接關閉console接口。 [edit system ports] GingerBeer@Juniper# set console disable 輔助接口以及設備板卡診斷接口安全 Auxiliary Port 輔助接口 輔助接口，通常狀況下沒幾我的用。它主要有兩個功能。第一是能夠鏈接一個外界modem，經過modem撥號後鏈接遠端場所，遠端能夠經過此modem管理設備。輔助接口有時候能夠做爲第二個console使用。 既然你們平時都不用，因此最好把它關閉。以Junos爲例，Junos默認狀況下是關閉了Auxiliary接口，雖然配置裏面看不出來。可是從安全角度出發，能夠顯式配置關閉Auxiliary輔助接口。 顯式關閉輔助接口 [edit system ports] GingerBeer@Juniper# set auxiliary disable 板卡診斷接口 對於高端路由器或者交換機而言，通常會存在兩個Routing Engine路由引擎卡，兩個交換矩陣板卡，多個業務板卡。 而就在交換矩陣板卡上，會存在一個相似於路由引擎的console接口的東西。其意義爲如有一些故障須要從板卡層面診斷的話，能夠經過鏈接交換板卡的診斷口來收集信息。 從安全角度而言，診斷接口通常沒有密碼。對你沒看錯，沒-有-密-碼。 以Juniper爲例，某些SCB，SSB，SFM，FEB卡會存在此診斷接口。從安全角度，咱們應該給他設置密碼驗證。 診斷接口設置密碼驗證 設置方法以下： [edit system] GingerBeer@Juniper# set diag-port-authentication plain-text-password New password: Retype new password: [edit system] 或 GingerBeer@Juniper# set pic-console-authentication plain-text-password New password: Retype new password: [edit system] GingerBeer@Juniper# USB接口安全 USB提供了便捷的文件傳輸和存儲擴展，基於你的安全需求，你能夠考慮關閉它。 [edit chassis] GingerBeer@Juniper# show usb { storage { disable; } } [edit chassis] GingerBeer@Juniper# 設備顯示屏安全 這一點頗有趣，在某些交換機上，會有一個小小的LCD的單色屏幕，旁邊通常會有幾個小小的按鈕。可別小看了這個LCD顯示屏。經過這個屏幕能夠執行一些基本的系統維護和控制功能，例如離線板卡，重置系統配置等。因此若不經常使用其功能，咱們能夠選擇關閉LCD屏幕的操做功能。 鎖掉LCD屏幕操做功能，只許看，不準摸！ [edit] GingerBeer@Juniper# set chassis craft-lockout 讓系統變得簡單，關閉沒必要要的服務

總的來講，相似於路由器，交換機甚至防火牆等設備。其安全性要高於服務器，緣由在於網絡設備通常默認開啓的服務遠遠少於服務器。 既然作安全加固，就須要一種雞蛋裏面挑骨頭的精神，讓咱們來看看在網絡設備上還能關閉什麼沒必要要的服務。 關閉自動安裝配置服務 不少Juniper設備初始環境下，爲了迎合自動化需求，例如大批量配置設備。默認是開啓了自動安裝配置功能。從安全角度來講，若是你不須要此功能，能夠選擇關閉它。 關閉自動安裝 [edit] GingerBeer@Juniper# delete system autoinstallation 僅限Juniper SRX，關閉從USB自動安裝 [edit] GingerBeer@Juniper# set system autoinstallation usb disable 關閉ICMP重定向 ICMP重定向是路由器向IP數據包的發送者發送的通知，以通知他們到達特定目標主機或網絡的更好方式。 收到重定向後，源設備應修改其路由的方式，而後經過路由器建議的下一跳發送後續數據包。 攻擊者能夠利用ICMP重定向的特性，向路由器發送大量的非最優路由的數據包，促使路由器返回成千上萬的ICMP重定向，從而實現DDOS攻擊。 但是，在一個設計良好的網絡環境裏面，是不須要也不該該出現ICMP重定向的信息，爲此咱們能夠關閉它。 同其餘廠商相似，Juniper的Junos默認是開啓ICMP重定向的。 關閉ICMP重定向 [edit] GingerBeer@Juniper# set system no-redirects 禁止TCP惡意flag以及TCP 探測 TCP惡意flag 先說說TCP惡意flag，你們知道正常TCP協商流程會用到SYN或FIN flag標記，SYN用於TCP創建，而FIN用於TCP會話拆除。 可是沒有哪個正常數據包會同時把SYN和FIN放到標記flag裏面，由於邏輯是矛盾衝突的。 但是，有人就會故意人爲製造此數據包，並經過發送大量的無效數據包來製造DOS攻擊，並獲悉目標設備的操做系統信息等。 咱們能夠配置JUNOS丟棄同時含有SYN和FIN字段的無效數據，不作迴應。 配置以下： {master:0}[edit] GingerBeer@Juniper# set system internet-options tcp-drop-synfin-set TCP探測 攻擊者爲了探測目標網絡設備的端口打開範圍和狀態，能夠發送大量的TCP-SYN鏈接請求，經過查看網絡設備的回覆信息來知曉端口打開狀況。 在高強度掃描的狀況下，網絡設備的負載會增長，並形成DOS攻擊。 **配置JUNOS對未開啓的端口不回覆TCP-RST，從而讓攻擊者沒法知曉此端口是否開啓。 {master:0}[edit] GingerBeer@Juniper# set system internet-options tcp-drop-synfin-set 合理使用LLDP鄰居發現 LLDP，相似於Cisco的CDP。不過是被IEEE標準化了的鄰居發現協議而已。既然是鄰居發現，天然會徹底暴露網絡設備自己的詳細信息。因此僅僅在須要的端口上開啓LLDP，是網絡安全的首選項。 案例以下： 以下案例，默認在全部接口關閉LLDP，除了須要的ge-0/0/0 & ge-0/0/3接口。 [edit] GingerBeer@Juniper# edit protocols lldp [edit protocols lldp] GingerBeer@Juniper# set interface all disable [edit protocols lldp] GingerBeer@Juniper# set interface ge-0/0/0.0 [edit protocols lldp] GingerBeer@Juniper# set interface ge-0/0/3.0 踏雪無痕？門都沒有 - 開啓Syslog日誌監控用戶活動記錄。 對於運維人員而言，咱們但願可以看到用戶登陸網絡設備之後的一舉一動，例如哪一個帳號登錄的，登陸之後他都執行了哪些命令。 擁有這樣的功能之後，就好似在網絡設備上安裝了一個無形的攝像頭，監控登陸用戶的一舉一動。同時也起到了震懾做用。 Juniper的Junos在日誌這方面作得很是好，它可以根據用戶需求，從全部日誌記錄中挑出你須要的信息，並存放到特定文件或者syslog服務器上。 配置以下： set system syslog file interactive-commands interactive-commands any set system syslog file authorization authorization info 查看用戶登錄記錄: show log authorization 效果以下： Jan 20 01:17:08 GingerBeer-RTR01 sshd[11590]: (pam_sm_acct_mgmt): DEBUG: PAM_USER: ro Jan 20 01:17:08 GingerBeer-RTR01 sshd[11590]: (pam_sm_acct_mgmt): DEBUG: PAM_ACTUAL_USER: Gingerbeer Jan 20 01:17:08 GingerBeer-RTR01 sshd[11590]: Accepted password for Gingerbeer from 1.2.3.4 port 12345 ssh2 Jan 20 01:21:10 GingerBeer-RTR01 sshd[11777]: (pam_sm_acct_mgmt): DEBUG: PAM_USER: ro Jan 20 01:21:10 GingerBeer-RTR01 sshd[11777]: (pam_sm_acct_mgmt): DEBUG: PAM_ACTUAL_USER: Gingerbeer Jan 20 01:21:10 GingerBeer-RTR01 sshd[11775]: Accepted keyboard-interactive/pam for Gingerbeer from 12345 port 12345 ssh2 Jan 20 01:21:10 GingerBeer-RTR01 sshd[11775]: Received disconnect from 1.2.3.4: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2) Jan 20 01:21:10 GingerBeer-RTR01 sshd[11775]: Disconnected from 1.2.3.4 查看用戶執行命令記錄： show log interactive-commands | last 效果以下： Jan 20 07:52:30 GingerBeer-RTR01 mgd[30631]: UI_CMDLINE_READ_LINE: User 'Gingerbeer', command 'show interfaces terse ' Jan 20 07:53:03 GingerBeer-RTR01 mgd[30631]: UI_CMDLINE_READ_LINE: User 'Gingerbeer', command 'show route ' Jan 20 07:53:37 GingerBeer-RTR01 mgd[30631]: UI_CMDLINE_READ_LINE: User 'Gingerbeer', command 'show configuration | display set | no-more ' Jan 20 07:53:56 GingerBeer-RTR01 mgd[30631]: UI_CMDLINE_READ_LINE: User 'Gingerbeer', command 'show log interactive-commands | last 自動備份設備配置 網絡設備配置，毋庸置疑，最寶貴的資料莫過於它了。我見過不少工程師朋友在網絡設備down掉後急的迫不及待，就是由於沒有按期備份配置。想找設備頂替都沒辦法。 而在Juniper的Junos中，自動備份配置是一件很是簡單的事情。 設置以下： [edit system archival configuration] GingerBeer@Juniper# show transfer-interval 1440; archive-sites { "scp://Gingerbeer@1.2.3.4:/Configs" password "EGCyMCVb1JGnev2aajPf359AO1"; ## SECRET-DATA } 簡單解讀上述設置，每隔24小時此路由器會就經過SCP給1.2.3.4的服務器發送當前配置。 關閉不安全的系統服務 所謂的不安全系統服務，是指那些在傳輸過程當中是以明文傳輸。所以極其容易被中間人截獲從而獲取系統登陸權限等。 例如以下服務： 1.關閉 Berkeley 「r」 [edit system services] GingerBeer@Juniper# delete rsh [edit system services] GingerBeer@Juniper# delete rlogin 2.關閉 FTP: [edit system services] GingerBeer@Juniper# delete ftp 3.關閉 Finger: [edit system services] GingerBeer@Juniper# delete finger 4.關閉 Telnet: [edit system services] GingerBeer@Juniper# delete telnet 5.關閉 經過HTTP登陸的J-web: [edit system services] GingerBeer@Juniper# delete web-management http 6.關閉 Reverse Telnet: [edit system services] GingerBeer@Juniper# delete reverse telnet 7.關閉 clear-text Junoscript access: [edit system services] GingerBeer@Juniper# delete xnm-clear-text 8.關閉 TFTP server: [edit system services] GingerBeer@Juniper# delete tftp-server 設定用戶登陸參數。 這一步算是一個加分項，通常狀況系統都會有默認值。而你們能夠根據自身網絡的需求修改成特定值。 用戶登錄參數設置案例 {master:0}[edit system login retry-options] GingerBeer@Juniper# show tries-before-disconnect 3; ##在斷開鏈接以前最多嘗試3次 backoff-threshold 1; #若是用戶由於密碼登陸失敗一次之後，就會啓動用戶登陸等待時間。 backoff-factor 6; #此處定義了用戶登陸等待時長。 minimum-time 30; #等待用戶30秒鍵入密碼 maximum-time 60; #當用戶ssh或者其餘方式登陸設備時，在用戶未鍵入用戶名和密碼以前，等待60秒。超時後tcp鏈接終止。 lockout-period 10; #當用戶登錄失敗超出上文限定次數之後，鎖定用戶名10分鐘。 壓軸大戲，路由引擎保護設計邏輯

以上各項設置，僅僅起到了保護部分功能的效果，可是若要全盤保護整個路由器。仍是得靠一個複雜而全面的路由引擎保護機制。 別搞些名詞來忽悠人了，還壓軸大戲，說白了不就是套個ACL訪問列表限制訪問路由引擎的流量麼。 哥別急，ACL也有它的高級套路，不然怎麼好意思稱之爲「設計」呢。 設計思路解析 首先，咱們須要把到達路由器的流量分爲兩大類： 1.管理類流量 2.協議類流量 其次，分別列出以上兩類流量的全部協議。 舉例說明： 管理流量，通常爲SSH，SNMP，NTP，Radius，ICMP以及traceroute。 因爲ACL是非狀態化的。換而言之，對於路由器發往外界的流量，也須要有一個條目來容許其返回流量。例如Radius請求回覆。（很重要） 協議類流量，通常爲OSPF，RIP，BGP。或者MPLS類的LDP，RSVP等。 根據協議端口特性，在條目中寫出開放的源和目標端口。 分析完畢之後，讓咱們來看個編寫案例，看案例最實在了。 Juniper Firewall Policy 編寫案例與解析。 條目註釋：第一條爲防止TCP SYN 洪泛攻擊，首先匹配全部BGP鄰居地址，以及管理地址。而後匹配TCP字段是SYN 或者Fin 或者RST，可是不包含SYN ACK的TCP包，最後用QOS的Policer限制突發最多100k。 set firewall family inet filter protect-re term synflood-protect from source-prefix-list bgp-neighbors set firewall family inet filter protect-re term synflood-protect from source-prefix-list mgmt-nets set firewall family inet filter protect-re term synflood-protect from protocol tcp set firewall family inet filter protect-re term synflood-protect from tcp-flags "(syn & !ack) | fin| rst" set firewall family inet filter protect-re term synflood-protect then policer limit-100k set firewall family inet filter protect-re term synflood-protect then accept 附加配置： set policy-options prefix-list bgp-neighbors apply-path "protocols bgp group <> neighbor <>" 此命令用於自動匹配全部全局下BGP鄰居的IP地址，媽媽不再用擔憂我須要一個個配地址啦！ set policy-options prefix-list ipv4-interfaces apply-path "interfaces <> unit <> family inet address <*>" 此命令用於自動匹配路由器設備上配置的全部IPv4地址。 PS，可能有些朋友對於Junos的這些好玩而高效的特性不太理解，那請移步我以前寫的另一篇Juniper JUNOS技術文:回車恐懼症？13個 JUNOS 技巧助你輕鬆無憂配置網絡 條目註釋：第二條爲容許隔壁鄰居老王主動發起BGP到此路由器，目標地址範圍爲全部本地路由器的IP地址。請注意有一條是「destination-port」，目標端口179。由於這個Firewall Policy最終是應用於路由引擎的入方向，因此目標端口179是朝向路由器自己。 set firewall family inet filter protect-re term allow-bgp from source-prefix-list bgp-neighbors set firewall family inet filter protect-re term allow-bgp from destination-prefix-list ipv4-interfaces set firewall family inet filter protect-re term allow-bgp from protocol tcp set firewall family inet filter protect-re term allow-bgp from destination-port bgp set firewall family inet filter protect-re term allow-bgp then accept 條目註釋：第三條爲容許OSPF協議 set firewall family inet filter protect-re term allow-ospf from source-prefix-list ipv4-interfaces set firewall family inet filter protect-re term allow-ospf from destination-prefix-list ospf-allrouters set firewall family inet filter protect-re term allow-ospf from destination-prefix-list ipv4-interfaces set firewall family inet filter protect-re term allow-ospf from protocol ospf set firewall family inet filter protect-re term allow-ospf then accept 條目註釋：第四條爲容許SSH協議，並且經過Policer限速最高10Mbps的SSH流量，正常ssh管理流量通常都不會超過此數值 set firewall family inet filter protect-re term allow-ssh from source-prefix-list mgmt-nets set firewall family inet filter protect-re term allow-ssh from protocol tcp set firewall family inet filter protect-re term allow-ssh from destination-port ssh set firewall family inet filter protect-re term allow-ssh then policer limit-10m set firewall family inet filter protect-re term allow-ssh then accept 條目註釋：第五條爲容許SNMP協議，限速1Mbps set firewall family inet filter protect-re term allow-snmp from source-prefix-list snmp-servers set firewall family inet filter protect-re term allow-snmp from protocol udp set firewall family inet filter protect-re term allow-snmp from destination-port snmp set firewall family inet filter protect-re term allow-snmp then policer limit-1m set firewall family inet filter protect-re term allow-snmp then accept 條目註釋：第六條爲容許NTP協議，限速32kbps set firewall family inet filter protect-re term allow-ntp from source-prefix-list ntp-servers set firewall family inet filter protect-re term allow-ntp from source-prefix-list localhost set firewall family inet filter protect-re term allow-ntp from protocol udp set firewall family inet filter protect-re term allow-ntp from destination-port ntp set firewall family inet filter protect-re term allow-ntp then policer limit-32k set firewall family inet filter protect-re term allow-ntp then accept 條目註釋：第七條爲容許Radius協議，限速32kbps set firewall family inet filter protect-re term allow-radius from source-prefix-list radiusservers set firewall family inet filter protect-re term allow-radius from protocol udp set firewall family inet filter protect-re term allow-radius from source-port radius set firewall family inet filter protect-re term allow-radius then policer limit-32k set firewall family inet filter protect-re term allow-radius then accept 條目註釋：第八條爲限制ICMP分片包 set firewall family inet filter protect-re term icmp-frags from is-fragment set firewall family inet filter protect-re term icmp-frags from protocol icmp set firewall family inet filter protect-re term icmp-frags then syslog set firewall family inet filter protect-re term icmp-frags then discard 條目註釋：第九條爲容許常見ICMP消息，並限速1Mbps set firewall family inet filter protect-re term allow-icmp from protocol icmp set firewall family inet filter protect-re term allow-icmp from icmp-type echo-request set firewall family inet filter protect-re term allow-icmp from icmp-type echo-reply set firewall family inet filter protect-re term allow-icmp from icmp-type unreachable set firewall family inet filter protect-re term allow-icmp from icmp-type time-exceeded set firewall family inet filter protect-re term allow-icmp then policer limit-1m set firewall family inet filter protect-re term allow-icmp then accept 條目註釋：第十條爲容許常見Traceroute消息，並限速1Mbps set firewall family inet filter protect-re term allow-traceroute from protocol udp set firewall family inet filter protect-re term allow-traceroute from destination-port 33434-33523 set firewall family inet filter protect-re term allow-traceroute then policer limit-1m set firewall family inet filter protect-re term allow-traceroute then accept 條目註釋：第十一條爲容許路由器發起的SSH，BGP可以被容許返回路由器，正如以前所說，Juniper的Firewall policy就是Cisco 的ACL，是沒有session狀態化，因此返回路由器的流量還須要明確指定。並限速10Mbps set firewall family inet filter protect-re term tcp-established from protocol tcp set firewall family inet filter protect-re term tcp-established from source-port ssh set firewall family inet filter protect-re term tcp-established from source-port bgp set firewall family inet filter protect-re term tcp-established from tcp-established set firewall family inet filter protect-re term tcp-established then policer limit-10m set firewall family inet filter protect-re term tcp-established then accept 條目註釋：第十二條就很容易理解了，除了以上全部指定的流量，其餘流量所有丟棄。不迴應ICMP unreachable消息。 set firewall family inet filter protect-re term default-deny then log set firewall family inet filter protect-re term default-deny then syslog set firewall family inet filter protect-re term default-deny then discard 應用策略 在Juniper設備上，lo0接口設計比較巧妙，他除了你們知道例如router-id，或者永不down的接口等經常使用功能之外。更重要的是，它是通往路由引擎的特殊通道。若是你想限制到達路由引擎的流量，相比Cisco使用control-plane policy，你只須要在Juniper的lo0上綁定一個Firewall policy便可。 完成firewall policy的配置之後，讓咱們把策略應用到還回lo0接口，從而限制了到達路由引擎的流量。 set interfaces lo0 unit 0 family inet filter input protect-re 其餘加固內容

除了以上描述的安全加固之外，你們平常工做中應該針對路由器上的二層冗餘網關協議，三層路由協議以及其餘協議經過md5等密碼加固： 1.設定VRRP認證密碼。 2.設定OSPF，RIP，BGP認證密碼。 3.設定ldp，rsvp等MPLS協議認證密碼。 總結：

這篇文章，咱們一塊兒討論瞭如何在網絡攻擊日益猖獗的今天，針對網絡設備進行安全加固的經驗分享和案例分析。 固然，每個設備廠家對於自身設備都有相關的安全加固方法，Juniper的加固方式並不徹底適用於Cisco和華爲。 可是，咱們作網工的，重要的在於思路兩字。配置是不同的，可是思路都是相通的。 我話多，還密密麻麻的放了一堆命令行。能看到這裏的朋友們耐心可不是通常的好啊，往後必成大器！

若是你也想在IT行業拿高薪，能夠參加咱們的訓練營課程，選擇最適合本身的課程學習，技術大牛親授，7個月後，進入名企拿高薪。咱們的課程內容有：Java工程化、高性能及分佈式、高性能、深刻淺出。高架構。性能調優、Spring，MyBatis，Netty源碼分析和大數據等多個知識點。若是你想拿高薪的，想學習的，想就業前景好的，想跟別人競爭能取得優點的，想進阿里面試但擔憂面試不過的，你均可以來，羣號爲： 454377428 注：加羣要求 一、具備1-5工做經驗的，面對目前流行的技術不知從何下手，須要突破技術瓶頸的能夠加。 二、在公司待久了，過得很安逸，但跳槽時面試碰壁。須要在短期內進修、跳槽拿高薪的能夠加。 三、若是沒有工做經驗，但基礎很是紮實，對java工做機制，經常使用設計思想，經常使用java開發框架掌握熟練的，能夠加。 四、以爲本身很牛B，通常需求都能搞定。可是所學的知識點沒有系統化，很難在技術領域繼續突破的能夠加。 5.阿里Java高級大牛直播講解知識點，分享知識，多年工做經驗的梳理和總結，帶着你們全面、科學地創建本身的技術體系和技術認知！ 6.小號或者小白之類加羣一概不給過，謝謝。 目標已經有了，下面就看行動了！記住：學習永遠是本身的事情，你不學時間也不會多，你學了有時候卻可以使用本身學到的知識換得更多自由自在的美好時光！時間是生命的基本組成部分，也是萬物存在的根本尺度，咱們的時間在那裏咱們的生活就在那裏！咱們價值也將在那裏提高或消弭！Java程序員，加油吧