【正文】 or authenticationkey abc123補(bǔ)充操作說明1） 、 abc 為 group 的名稱，可自行設(shè)定；2） 、 為對端 peer 的 IP 地址，可根據(jù)需求設(shè)定；3） 、 abc123 為 MD5 加密認(rèn)證的認(rèn)證密碼，該密碼和對端peer 的密碼要一致?；赝朔桨福?還原系統(tǒng)配置文件判斷依據(jù)： 使用 show configuration protocol bgp 查看當(dāng)前配置實(shí)施風(fēng)險： 中重要等級： ★★. ELKJuniper030105編號： ELKJuniper030105名稱： 設(shè)置 SNMP 訪問安全限制實(shí)施目的： 設(shè)置 SNMP 訪問安全限制，只允許特定主機(jī)通過 SNMP 訪問網(wǎng)絡(luò)設(shè)備。問題影響： 非法登陸。系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration snmp 查看當(dāng)前配置實(shí)施方案：參考配置操作set snmp munity abcd123 clients set snmp munity abcd123 clients set snmp munity abcd123 clients readyonly補(bǔ)充操作說明1） 、 abcd123 是 muntity 字符串，可自行定義，但必須和 client 的主機(jī)一致；2） 、 和 是主機(jī) IP 地址，即允許 主機(jī)通過 SNMP 訪問網(wǎng)絡(luò)設(shè)備；3） 、未在 client 列表中的主機(jī)，不允許通過 SNMP 訪問網(wǎng)絡(luò)設(shè)備。第 20 頁 共 25 頁4） 、設(shè)置主機(jī)訪問網(wǎng)絡(luò)設(shè)備具有讀的權(quán)限，可根據(jù)需求設(shè)置為具有讀寫的權(quán)限（readwrite） ?；赝朔桨福?還原系統(tǒng)配置文件判斷依據(jù)： 使用 show configuration snmp 查看當(dāng)前配置實(shí)施風(fēng)險： 高重要等級： ★★★. ELKJuniper030106編號： ELKJuniper030106名稱： RSVP 標(biāo)簽分發(fā)協(xié)議實(shí)施目的： 啟用 RSVP 標(biāo)簽分發(fā)協(xié)議時，打開 RSVP 協(xié)議認(rèn)證功能，如MD5 加密，確保與可信方進(jìn)行 RSVP 協(xié)議交互。問題影響： 非法登陸。系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration protocols rsvp 查看當(dāng)前配置實(shí)施方案：參考配置操作set protocols rsvp interface fe0/0/ authenticationkey abc123補(bǔ)充操作說明abc123 為 MD5 加密密碼?；赝朔桨福?還原系統(tǒng)配置文件判斷依據(jù)： 各鄰居狀態(tài)為 UP 正常各 RSVP session 狀為 UP 正常實(shí)施風(fēng)險： 中重要等級： ★★第 21 頁 共 25 頁4. 設(shè)備其他安全要求. ELKJuniper040101編號： ELKJuniper040101名稱： 開啟配置定期備份實(shí)施目的： 開啟配置文件定期備份功能，定期備份配置文件。問題影響： 容易丟失數(shù)據(jù)。系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system archival 查看當(dāng)前配置實(shí)施方案：參考配置操作set system archival configuration transferinterval 2880set system archival configuration archivesites ftp: password abc123set system archival configuration archivesites ftp: password abc123補(bǔ)充操作說明1） 、 2880 是時間間隔，單位是分鐘，時間間隔可設(shè)置的范圍為 15－2880。2） 、juniper 是 ftp 的用戶名稱， 和 是ftp 服務(wù)器的 IP 地址， abc123 是登錄 frp 服務(wù)器的密碼；建議設(shè)置兩個 IP 地址作為互備；3） 、定期備份僅能通過 ftp 服務(wù)備份；4） 、通過定期備份配置文件，時間間隔較短，即備份比較頻繁，建議采用 transferonmit 方式，即只要執(zhí)行 mit 指令，配置將自動備份到 ftp 服務(wù)器，指令為set system archival configuration transferonmit；5） 、transferinterval 和 transferonmit 方式不能共存。回退方案： 還原系統(tǒng)配置文件判斷依據(jù)： 使用 show configuration system archival 查看當(dāng)前配置第 22 頁 共 25 頁實(shí)施風(fēng)險： 高重要等級： ★★★. ELKJuniper040102編號： ELKJuniper040102名稱： 關(guān)閉不必要服務(wù)實(shí)施目的： 關(guān)閉網(wǎng)絡(luò)設(shè)備不必要的服務(wù)，比如 FTP、TFTP 服務(wù)等。問題影響： 對系統(tǒng)造成不穩(wěn)定。系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system services 查看當(dāng)前配置實(shí)施方案：參考配置操作delete system services ftp補(bǔ)充操作說明默認(rèn)是關(guān)閉 FTP 服務(wù)回退方案： 還原系統(tǒng)配置文件判斷依據(jù)： 使用 show configuration system services 查看當(dāng)前配置實(shí)施風(fēng)險： 低重要等級： ★★★. ELKJuniper040103編號： ELKJuniper040103名稱： 限制遠(yuǎn)程管理 IP實(shí)施目的： 系統(tǒng)遠(yuǎn)程管理服務(wù) TELNET、SSH 默認(rèn)可以接受任何地址的連接，出于安全考慮，應(yīng)該只允許特定地址訪問。問題影響： 非法登陸。第 23 頁 共 25 頁系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration firewall filter 查看當(dāng)前配置實(shí)施方案：參考配置操作set firewall filter abc term a from sourceaddress set firewall filter abc term a from sourceaddress set firewall filter abc term a then acceptset firewall filter abc term b from protocol tcp port telset firewall filter abc term b then rejectset firewall filter abc term c then accept補(bǔ)充操作說明1） 、 abc 為 filter 名稱，可自定義；2） 、地址；3） 、term a 實(shí)現(xiàn)的功能為：允許特定地址訪問；4） 、term b 實(shí)現(xiàn)的功能為：除了允許特定地址訪問之外，不允許其它地址訪問 tel 端口?；赝朔桨福?還原系統(tǒng)配置文件判斷依據(jù)： 使用 show configuration firewall filter 查看當(dāng)前配置實(shí)施風(fēng)險： 高重要等級： ★★★. ELKJuniper040104編號： ELKJuniper040104名稱： 限制 tel 并發(fā)連接數(shù)實(shí)施目的：TELNET 默認(rèn)可以接受 250 個同時連接。配置 TELNET 等遠(yuǎn)程維護(hù)方式時，應(yīng)配置連接最大數(shù)量限制為 10 個，并且每分鐘最多有 5 個可以連接，可以防止在 TELNET 端口上的 SYN flood DoS 攻擊。問題影響： 非法登陸。第 24 頁 共 25 頁系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system services tel 查看當(dāng)前配置實(shí)施方案：參考配置操作set system services tel connectionlimit 10 set system services tel ratelimit 5回退方案： 還原系統(tǒng)配置文件判斷依據(jù)： 使用 show configuration system services tel 查看當(dāng)前配置實(shí)施風(fēng)險： 高重要等級： ★★★. ELKJuniper040105編號： ELKJuniper040105名稱： 定時賬戶自動登出安全實(shí)施目的： 對于 Juniper 路由器，應(yīng)配置定時賬戶自動登出，防止被非法利用。問題影響： 非法利用。系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system services tel 查看當(dāng)前配置實(shí)施方案：set cli idletimeout 15 回退方案： 還原系統(tǒng)配置文件判斷依據(jù)： 當(dāng)時間超時，用戶會自動退出路由器實(shí)施風(fēng)險： 低第 25 頁 共 25 頁重要等級： ★★