【正文】 配置 TELNET 等遠程維護方式時，應配置連接最大數(shù)量限制為 10 個，并且每分鐘最多有 5 個可以連接，可以防止在 TELNET 端口上的 SYN flood DoS 攻擊。系統(tǒng)當前狀態(tài)： 使用 show configuration system archival 查看當前配置實施方案：參考配置操作set system archival configuration transferinterval 2880set system archival configuration archivesites ftp: password abc123set system archival configuration archivesites ftp: password abc123補充操作說明1） 、 2880 是時間間隔，單位是分鐘，時間間隔可設置的范圍為 15－2880。問題影響： 非法登陸。問題影響： 惡意攻擊。問題影響： 丟失重要日志。問題影響： 丟失重要日志。系統(tǒng)當前狀態(tài)： 使用 show configuration system syslog 查看當前配置實施方案：參考配置操作set system syslog file authorization info 補充操作說明（1） 、 是記錄登錄信息的 log 文件，該文件名稱可手工定義；（2） 、 文件保存在 juniper 路由器的存儲上。問題影響： 密碼泄露。備注：創(chuàng)建用戶級別，即創(chuàng)建用戶的配置權限：set system login class ABC1 permissions configureset system login class ABC1 allowconfiguration routing可選ions static|interfaces|chassis fpc set system login class ABC2 permissions [ configure routing第 8 頁 共 25 頁control ]將用戶賬號分配到相應的用戶級別：set system login user abc1 class ABC1set system login user abc2 class ABC2set system login user abc3 class superuser補充操作說明（1） 、ABC1 組具有的權限：可配置 interfaces，可配置routing可選 ions 中的 static，可配置 chassis 中的 fpc；（2） 、ABC2 組具有的權限：可配置有關于路由的所有配置，包括 routing可選 ions、protocols、policy 可選ions、 routinginstances 等；（3） 、allowconfiguration 參數(shù)是以等級來限制，可以限制各個等級的配置，可以細化到各個小等級；（4） 、permissions 參數(shù)是以功能來限制，限制的范圍較大；（5） 、allowmands 參數(shù)是以具體的指令來限制，allowands 參數(shù)需要設定具體指令,不建議使用。系統(tǒng)當前狀態(tài)： 使用 show configuration system login 查看當前配置實施方案：（1） 、用 show configuration system login class ABC1 命令查看配置（2） 、用 show configuration system login class ABC2 命令查看配置（3） 、在終端上用 tel 方式登錄路由器,輸入用戶名 abc1和密碼 成功登錄路由器后，用 configure 命令進入配置模式?；赝朔桨福?增加被刪除的用戶判斷依據(jù)： 查看配置文件，核對用戶列表。系統(tǒng)當前狀態(tài)： 使用 show configuration system login 查看當前配置實施方案：參考配置操作set system login user abc1set system login user abc2補充操作說明 abc1 和 abc2 是兩個不同的賬號名稱，可根據(jù)不同用戶，取不同的名稱；賬號取名，建議使用：姓名的簡寫＋手機號碼。（2） 、口令要求：長度至少 6 位，并包括數(shù)字、小寫字母、大寫字母和特殊符號 4 類中至少 2 類。還原系統(tǒng)配置文件。（2） 、口令要求：長度至少 6 位，并包括數(shù)字、小寫字母、大寫字母和特殊符號 4 類中至少 2 類。. ELKJuniper020101編號： ELKJuniper020101名稱： 開啟系統(tǒng)日志功能實施目的：設備應配置日志功能，記錄用戶對設備的操作，比如：賬號創(chuàng)建、刪除和權限修改，口令修改，讀取和修改設備配置，涉及通信隱私數(shù)據(jù)。問題影響： 暴露系統(tǒng)日志?；赝朔桨福?使用 show configuration system syslog 命令查看配置，恢復默認配置判斷依據(jù)： 可以在 中查看到用戶的操作內(nèi)容、操作時間實施風險： 中重要等級： ★★. ELKJuniper020106編號： ELKJuniper020106名稱： 保證日志功能記錄的時間的準確性。回退方案：使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看當前配置，還原給原始狀態(tài)。問題影響： 信息泄露。系統(tǒng)當前狀態(tài)： 使用 show configuration protocols rsvp 查看當前配置實施方案：參考配置操作set protocols rsvp interface fe0/0/ authenticationkey abc123補充操作說明abc123 為 MD5 加密密碼。問題影響： 非法登陸。問題影響： 非法利用。問題影響： 對系統(tǒng)造成不穩(wěn)定?；赝朔桨福?還原系統(tǒng)配置文件判斷依據(jù)： 使用 show configuration snmp 查看當前配置實施風險： 高重要等級： ★★★. ELKJuniper030106編號： ELKJuniper030106名稱： RSVP 標簽分發(fā)協(xié)議實施目的： 啟用 RSVP 標簽分發(fā)協(xié)議時，打開 RSVP 協(xié)議認證功能，如MD5 加密，確保與可信方進行 RSVP 協(xié)議交互?；赝朔桨福?還原系統(tǒng)配置文件判斷依據(jù)： 使用 show configuration firewall filter abc 查看配置，還原為原始狀態(tài)。實施風險： 中重要等級： ★★第 16 頁 共 25 頁3. 通信協(xié)議. ELKJuniper030101編號： ELKJuniper030101名稱： OSPF 協(xié)議安全實施目的： 對于非點到點的 OSPF 協(xié)議配置，應配置 MD5 加密認證，通過 MD5 加密認證建立 neighbor問題影響： 惡意攻擊系統(tǒng)當前狀態(tài)： 使用 show configuration protocols rsvp 查看當前配置實施方案：1） 、使用 show configuration 命令查看配置2） 、使用 show ospf neighbor 命令查看 OSPF 鄰居狀態(tài)3） 、使用 show route protocol ospf brief 命令查看 OSPF 路由表4） 、使用 ping 檢查路由連通性回退方案： 還原系統(tǒng)配置文件判斷依據(jù)：1） 、OSPF 鄰居處于 full 狀態(tài)為正常 ,能學到鄰居的路由為正常2） 、路由能連通為正常實施風險： 低重要等級： ★. ELKJuniper030102編號： ELKJuniper030102名稱： 啟用帶加密方式的身份驗證實施目的：配置動態(tài)路由協(xié)議（BGP/ MPBGP /OSPF 等）時必須啟用帶加密方式的身份驗證功能，相鄰路由器只有在身份驗證通過后，才能互相通告路由信息。實施風險： 中第 14 頁 共 25 頁重要等級： ★★. ELKJuniper020105編號： ELKJuniper020105名稱： 設置系統(tǒng)的配置更改信息實施目的： 設置系統(tǒng)的配置更改信息保存到單獨的 文件內(nèi)問題影響： 丟失重要日志。第 12 頁 共 25 頁系統(tǒng)當前狀態(tài)： 使用 show configuration 查看當前配置實施方案：參考配置操作set system syslog file daemon warningset system syslog file firewa