查理王的電腦部落格

Juniper SRX 網路設備 (JUNOS OS) 的安全配置和操作 我們在這裡要先說明的是，以下所要敘述的內容並不只是侷限於套用在 Juniper SRX 的設備之上，大家除了能夠瞭解 Juniper SRX 設備的安全加固方式之外，更重要的是我們可以將這一套網路設備的安全配置之觀念和方法，加以應用到您身邊其他廠牌的設備之上。 網絡設備安全加固怎麼做 ? 常見的做法： 我相信很多朋友腦海裡面首先浮現的是採用類似 ACL 訪問控制列表的方法，只允許信任的管理員訪問管理設備，限制特定的協議等。 路由器或交換機介面配置 ACL 允許特定流量。 限制特定網段使用 SSH 、 HTTPS 等訪問設備。 這就夠了麼？ 1. 如何限制網絡設備的帶內帶外安全 ? 2. 如何只允許特定源位址連接設備協議，如 BGP 等？ 3. 是否關閉了不必要的網絡服務？ 4. 是否正確配置了設備日誌記錄，記錄設備登陸記錄以及其他網絡管理痕跡，並將記錄同步到遠端系統日誌主機 ? 5. 配置是否定期保存，以免意外故障發生？ 我是土豪，找協力廠商安全公司做安全掃描。 或者，如果你是土財主，可以直接找協力廠商安全公司做安全掃描，並根據評估報告進行整頓。但是會花費一筆不小的費用。 我是動手族，自己幹，一把梭！ 其實，除了花錢，我們還可以選擇自己動手解決問題，一方面節約了公司成本，也鍛鍊了個人技能。這麼好的事情，何樂而不為呢？ 以下為小弟在 Juniper SRX 使用上的安全建議：     Juniper SRX (JUNOS OS) 系列產品在遠端連線安全設定方面，並不建議大家使用 http 以及 telnet 的方式，因為這兩種連線資料傳輸過程並沒有經過加密手續，容易被駭客竊取訊息，所以在安全上建議直接禁止這兩種服務，並建議只用 https 和 ssh 這兩種傳輸過程有經過加密手續的服務為上策。     root 帳戶只使用於近端登入，例如透過 console 連線登入，禁止使用遠端連線來登入 root 帳戶，因為 root 帳戶為 Juniper SRX (JUNOS OS) 設備以及 linux 或是 UNIX 系統等 (Juniper SRX 是建立在 freeBSD 之上的防火牆 ) ，為眾所皆知

管制器(Policer)中的帶寬限制(bandwidth-limit)和突發大小限制(burst-size-limit)有什麼不同？ 基本上，突發 (burst) 是一種在短時間內允許高於正常頻寬使用的方式。 這使得像網頁這樣的小檔下載速度更快，但不允許您使用突發速度下載大檔。 因此，頻寬限制將是您的正常最高速度，突發限制將是“加力燃燒室”速度。 沒有突發大小限制的突發流量管制 圖 1 ：沒有配置突發大小限制的突發流量管制（太多的未使用頻寬） 圖 2 ：配置了突發大小限制的突發流量管制（更少的未使用頻寬） 如上圖所示， 頻寬限制 (bandwidth-limit) + 突發大小限制 (burst-size-limit) = 突發最大頻寬 我們在這裡舉個例子：     policer limit -1m {         if-exceeding {             bandwidth-limit 1m;   /* 這裡的位元單位為 bits ，不是 bytes */             burst-size-limit 15k;   /* 這裡的位元單位為 bytes ，不是 bits*/         }         then discard;     } 本例的 突發最大頻寬 = 1000k/8 + 15k = 125k + 15k = 140k bytes 注意 如果將突發大小限制設置得太低，則會有太多的數據包受到速率限制。如果將突發大小限制設置得太高，則會有太少的數據包受到速率限制。 在這裡我們可以做個實驗來測試 burst-size-limit 的作用，在 wan 介面 ( 網速 20M ) 的輸入流量套用 policer limit -1m 來限速，下載一個 1G 的大檔來測試，您會發現檔案下載速率穩定在約 120k bytes 左右 (bandwidth-limit 1m =1000k/8=125k) ，然後我們再把 burst-size-limit 從 15k 變成 1m 並提交命令，您會突然看到檔案下載速度瞬間提升兩三倍左右，但又在兩秒後恢復到正常的下載速率 120k ，之後速率一直保持不變，接下來我們再把 bu

強化 Juniper SRX (Junos OS) 遠端管理 SSH 、 https 的安全性 關於從遠端來管理 Juniper SRX 網路設備，我們可以使用 telne t 、 ssh 、 http 、 https 四種服務來達成。 但是其中 telnet 、 http 兩種服務在傳輸資料時採用明文傳輸的方式，並未對傳輸資料內容進行加密的動作，也就是網路駭客可透過簡單的網路封包監聽的軟體，就能取得您的 SRX 設備的超級管理員之帳號密碼，所以我們強烈建議您在進行 遠端管理時千萬 不要使用 telnet 、 http 這兩種服務 ，而是使用會對 傳輸資料內容進行加密動作的 ssh 、 https 兩種服務 。 但即使我們使用了加密的 ssh 、 https 服務來進行 遠端管理，卻仍然不夠安全， SRX 網路設備出廠時的配置是為了方便使用者來進行初始化設定而設計的，乃是最基本的設定，所以我們還要進一步的強化安全方面的設定，以降低被駭客入侵的風險。 強化 Juniper SRX 設備 https 的 使用安全 (Harden https) 我們會進行以下的設定： l    變更 https 服務的預設端口號碼 (port number ) ，以避免駭客能直接登入設備進行暴力密碼破解。 l    限定能管理設備的介面 (interface ) ，如果 wan 介面是 ge-0/0/0.0 ，建議不要加入設定之中，最好是透過 vpn 來進行遠端管理 ( 後面會敘述 ) 安全性較佳，若非要透過 wan 介面來使用 https ，則勢必要 強化 Juniper SRX (Junos OS)  帳戶登 入安全 ，並給 root 帳戶設定一個超級強悍的密碼 ( 千萬不要使用 root 帳戶來進行遠端管理 ) ，以及   建立自訂的帳戶類別 (login class) ，建立遠端管理專用帳戶，給予適當及有限的管理權限，只使用遠端管理專用帳戶來進行設備遠端管理，這樣即使帳號被破解，駭客也只能擁有有限的管理權限，而不是全面淪陷 。 l    限定閒置 15 分鐘後就切斷連線 ( 要重新登入，避免暫時離開座位後被有心人趁機入侵 ) 。 l    限制連接總數以保留資源並降低拒絕服務（ DoS ）的可能性 。本例限定同時只能有兩個用戶能利用