Juniper SRX (Junos OS) 網路設備的安全配置和操作
Juniper SRX 網路設備 (JUNOS OS) 的安全配置和操作 我們在這裡要先說明的是,以下所要敘述的內容並不只是侷限於套用在 Juniper SRX 的設備之上,大家除了能夠瞭解 Juniper SRX 設備的安全加固方式之外,更重要的是我們可以將這一套網路設備的安全配置之觀念和方法,加以應用到您身邊其他廠牌的設備之上。 網絡設備安全加固怎麼做 ? 常見的做法: 我相信很多朋友腦海裡面首先浮現的是採用類似 ACL 訪問控制列表的方法,只允許信任的管理員訪問管理設備,限制特定的協議等。 路由器或交換機介面配置 ACL 允許特定流量。 限制特定網段使用 SSH 、 HTTPS 等訪問設備。 這就夠了麼? 1. 如何限制網絡設備的帶內帶外安全 ? 2. 如何只允許特定源位址連接設備協議,如 BGP 等? 3. 是否關閉了不必要的網絡服務? 4. 是否正確配置了設備日誌記錄,記錄設備登陸記錄以及其他網絡管理痕跡,並將記錄同步到遠端系統日誌主機 ? 5. 配置是否定期保存,以免意外故障發生? 我是土豪,找協力廠商安全公司做安全掃描。 或者,如果你是土財主,可以直接找協力廠商安全公司做安全掃描,並根據評估報告進行整頓。但是會花費一筆不小的費用。 我是動手族,自己幹,一把梭! 其實,除了花錢,我們還可以選擇自己動手解決問題,一方面節約了公司成本,也鍛鍊了個人技能。這麼好的事情,何樂而不為呢? 以下為小弟在 Juniper SRX 使用上的安全建議: Juniper SRX (JUNOS OS) 系列產品在遠端連線安全設定方面,並不建議大家使用 http 以及 telnet 的方式,因為這兩種連線資料傳輸過程並沒有經過加密手續,容易被駭客竊取訊息,所以在安全上建議直接禁止這兩種服務,並建議只用 https 和 ssh 這兩種傳輸過程有經過加密手續的服務為上策。 root 帳戶只使用於近端登入,例如透過 console 連線登入,禁止使用遠端連線來登入 root 帳戶,因為 root 帳戶為 Juniper SRX (JUNOS OS) 設備以及 linux 或是 UNIX 系統等 (Juniper SRX...