瞻博 Juniper 网络设备基线安全加固操作

目录

账号管理、认证授权账号 ELK-Juniper-01-01-01

口令 ELK-Juniper-01-02-01

​​​​​​​认证 ELK-Juniper-01-03-01

日志配置

通信协议 ELK-Juniper-03-01-01

设备其他安全要求 ELK-Juniper-04-01-01


账号管理、认证授权账号 ELK-Juniper-01-01-01

编号:

ELK-Juniper-01-01-01

名称:

按照用户类型分配账号

实施目的:

按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。

问题影响:

权限不明确,存在用户越权使用的可能。

系统当前状态:

使用show configuration system login 查看当前配置

实施方案:

1、参考配置操作

set system login user abc1

set system login user abc2

2、补充操作说明

1、abc1abc2是两个不同的账号名称,可根据不同用户,取不同的名称;

2、账号取名,建议使用:姓名的简写+手机号码。

回退方案:

删除新增加用户

判断依据:

标记用户用途,定期建立用户列表,比较是否有非法用户

实施风险:

重要等级:

★★★

ELK-Juniper-01-01-02

编号:

ELK-Juniper-01-01-02

名称:

删除无效账号

实施目的:

按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。

问题影响:

非法利用系统默认账号

系统当前状态:

使用show configuration system login 查看当前配置

实施方案:

1、参考配置操作

delete system login user abc3

2、补充操作说明

abc3是与工作无关的账号。

回退方案:

增加被删除的用户

判断依据:

查看配置文件,核对用户列表。

实施风险:

重要等级:

★★★

​​​​​​​ELK-Juniper-01-01-03

编号:

ELK-Juniper-01-01-03

名称:

建立分配系统用户组

实施目的:

为了控制不同用户的访问级别,建立多用户级别,根据用户的业务需求,将用户账号分配到相应的用户级别。

问题影响:

账号越权使用

系统当前状态:

使用show configuration system login 查看当前配置

实施方案:

1、参考配置操作

创建用户级别:

set system login class ABC1 permissions [ view view-configuration ]

将用户账号分配到相应的用户级别:

set system login user abc1 class read-only

set system login user abc2 class ABC1

set system login user abc3 class super-user

2、补充操作说明

(1)、ABC1是手工创建的组,该组具有的权限:查看设备运行状态(如接口状态、设备硬件状态、路由状态等),并且可以查看设备的配置;

(2)、read-only组具有的权限:查看设备运行状态,但不能查看设备的配置;

(3)、super-user是超级用户组,具有的权限:所有权限;

(4)、read-only和super-user是路由器已经创建的组,不需要手工创建;

(5)、abc1、abc2、abc3是不同的用户,它们分别分配到相应的用户级别。

回退方案:

还原系统配置文件

判断依据:

使用show configuration system login 查看当前配置

实施风险:

重要等级:

★★★

​​​​​​​口令 ELK-Juniper-01-02-01

编号:

ELK-Juniper-01-02-01

名称:

提高口令强度

实施目的:

对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

问题影响:

增加密码被暴力破解的成功率

系统当前状态:

使用show configuration system login 查看当前配置

实施方案:

1、参考配置操作

set system login user abc1 authentication plain-text-password 

2、补充操作说明

(1)、输入指令回车后,将两次提示输入新口令(New password:和Retype new password:)。

(2)、口令要求:长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

回退方案:

还原系统配置文件

判断依据:

使用show configuration system login 查看当前配置

实施风险:

重要等级:

★★★

​​​​​​​ELK-Juniper-01-02-02

编号:

ELK-Juniper-01-02-02

名称:

根据用户的业务需要配置其所需的最小权限

实施目的:

在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。

问题影响:

越权使用,非法访问。

系统当前状态:

使用show configuration system login 查看当前配置

实施方案:

(1)、用show configuration system login class ABC1命令查看配置

(2)、用show configuration system login class ABC2命令查看配置

(3)、在终端上用telnet方式登录路由器,输入用户名abc1和密码

   成功登录路由器后,用configure命令进入配置模式。

   使用以下命令检测:

   set routing-可选ions static

   set interfaces

   set chassis fpc

   使用其它set命令

(4)、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后,用configure命令进入配置模式。

使用以下命令检测:

set policy-可选ions       

set protocols           

set routing-instances    

set routing-可选ions

使用其它set命令

(5)、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后,用configure命令进入配置模式。

使用set命令以及其它命令检测。

回退方案:

使用show configuration system login 查看当前配置。还原系统配置文件。

判断依据:

(1)、账号abc1属于组ABC1,该组只能配置routing-可选ions static、interfaces、  Chassis fpc项里的内容。不能做其它未授权的配置;

(2)、账号abc2属于组ABC2,该组只能配置关于路由的所有配置,包括routing-可选ions、protocols、policy-可选ions、routing-instances等,不能做其它未授权的配置;

(3)、账号abc3属于组super-user,拥有全部配置权限。

备注:

创建用户级别,即创建用户的配置权限:

set system login class ABC1 permissions configure

set system login class ABC1 allow-configuration "routing-可选ions static|interfaces|chassis fpc"

set system login class ABC2 permissions [ configure routing-control ]

将用户账号分配到相应的用户级别:

set system login user abc1 class ABC1

set system login user abc2 class ABC2

set system login user abc3 class super-user

2、补充操作说明

(1)、ABC1组具有的权限:可配置interfaces,可配置routing-可选ions中的static,可配置chassis中的fpc;

(2)、ABC2组具有的权限:可配置有关于路由的所有配置,包括routing-可选ions、protocols、policy-可选ions、routing-instances等;

(3)、allow-configuration参数是以等级来限制,可以限制各个等级的配置,可以细化到各个小等级;

(4)、permissions参数是以功能来限制,限制的范围较大;

(5)、allow-commands参数是以具体的指令来限制,allow-comands参数需要设定具体指令,不建议使用。

实施风险:

重要等级:

★★★

​​​​​​​ELK-Juniper-01-02-03

编号:

ELK-Juniper-01-02-03

名称:

提高ROOT用户口令强度

实施目的:

修改root密码。root的默认密码是空,修改root密码,避免非管理员使用root账号登录。

问题影响:

增加密码被暴力破解的成功率

系统当前状态:

使用show configuration system login 查看当前配置

实施方案:

1、参考配置操作

(1)、用show configuration system login命令查看配置是否正确;

(2)、通过console口方式登录路由器,输入root用户名和密码;

(3)、通过console口方式登录路由器,输入root用户和空密码。

2、补充操作说明

(1)、输入指令回车后,将两次提示输入新口令(New password:和Retype new password:)。

(2)、口令要求:长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

回退方案:

还原系统配置文件

判断依据:

(1)、输入root用户和正确密码可以正常登录路由器;

(2)、输入root用户和空密码无法登录路由器。

实施风险:

重要等级:

★★★

​​​​​​​认证 ELK-Juniper-01-03-01

编号:

ELK-Juniper-01-03-01

名称:

设置认证系统联动

实施目的:

设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。

问题影响:

密码泄露。

系统当前状态:

使用show configuration system login查看当前配置 并查看Radius服务器配置

实施方案:

1、参考配置操作

set system authentication-order radius

set system authentication-order password

set system radius-server 10.1.1.1

set system radius-server 10.1.1.2

set system radius-server 10.1.1.1 port 1645

set system radius-server 10.1.1.2 port 1645

set system radius-server 10.1.1.1 secret abc123

set system radius-server 10.1.1.2 secret abc123

2、补充操作说明

(1)、配置认证方式,可通过radius和本地认证;

(2)、10.1.1.110.1.1.2是radius认证服务器的IP地址,建议建立两个radius认证服务器作为互备;

(3)、port 1645是radius认证开启的端口号,可根据本地radius认证服务器开启的端口号进行配置;

(4)、abc123是与radius认证系统建立连接所设定的密码,建议:与radius认证服务器建立连接时,使用密码认证建立连接。

回退方案:

还原系统配置文件

判断依据:

使用show configuration system login查看当前配置

实施风险:

重要等级:

日志配置

本部分对JUNIPER设备的日志功能提出建议,主要加强设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反安全策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计分析工具,发现安全隐患。如出现大量违反ACL规则的事件时,通过对日志的审计分析,能发现隐患,提高设备维护人员的警惕性,防止恶化。

​​​​​​​ELK-Juniper-02-01-01

编号:

ELK-Juniper-02-01-01

名称:

开启系统日志功能

实施目的:

设备应配置日志功能,记录用户对设备的操作,比如:账号创建、删除和权限修改,口令修改,读取和修改设备配置,涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果。

问题影响:

无法对用户的登陆进行日志记录。

系统当前状态:

使用show configuration system syslog查看当前配置

实施方案:

1、参考配置操作

set system syslog file author.log authorization info 

2、补充操作说明

(1)、author.log是记录登录信息的log文件,该文件名称可手工定义;

(2)、author.log文件保存在juniper路由器的存储上。

回退方案:

还原系统配置文件

判断依据:

使用show configuration system syslog查看当前配置

实施风险:

重要等级:

★★★

​​​​​​​ELK-Juniper-02-01-02

编号:

ELK-Juniper-02-01-02

名称:

开启系统安全日志功能

实施目的:

设备应配置日志功能,记录对与设备相关的安全事件,比如:记录路由协议事件和错误。

问题影响:

无法记录路由协议事件和错误。

系统当前状态:

使用show configuration查看当前配置

实施方案:

1、参考配置操作

set system syslog file daemon.log daemon warning

set system syslog file firewall.log firewall warning

2、补充操作说明

(1)、daemon.log是记录路由协议事件的文件,该文件名称可手工定义;

(2)、firewall.log是记录安全事件的文件,该文件名称可手工定义;

(3)、daemon和firewall可定义有九个等级,建议将其设定为warning等级,即仅记录warning等级以上的安全事件。

回退方案:

还原系统配置文件

判断依据:

使用show configuration查看当前配置

实施风险:

重要等级:

★★★

​​​​​​​ELK-Juniper-02-01-03

编号:

ELK-Juniper-02-01-03

名称:

设置配置更改日志路径

实施目的:

设置系统的配置更改信息保存到单独的change.log文件内。

问题影响:

暴露系统日志。

系统当前状态:

使用show configuration system syslog查看当前配置

实施方案:

1、参考配置操作

set system syslog file change.log change-log info 

2、补充操作说明

(1)、change.log是记录配置更改的文件,该文件名称可手工定义;

(2)、change.log文件保存在juniper路由器的存储上。

回退方案:

还原系统配置文件

判断依据:

使用show configuration system syslog查看当前配置

实施风险:

重要等级:

★★

​​​​​​​ELK-Juniper-02-01-04

编号:

ELK-Juniper-02-01-04

名称:

设置配置远程日志功能

实施目的:

设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。

问题影响:

丢失重要日志。

系统当前状态:

使用show configuration system syslog命令查看配置

实施方案:

set system syslog host 10.1.1.1 any notice

set system syslog host 10.1.1.1 log-prefix Router1

set system syslog host 10.1.1.2 any notice

set system syslog host 10.1.1.2 log-prefix Router2

补充操作说明

(1)、10.1.1.1和10.1.1.2是远程日志服务器的IP地址,建议建设两个远程日志服务器作为互备;

(2)、syslog有九个等级的记录信息,建议将notice等级以上的信息传送到远程日志服务器;

(3)、Router1为路由器的主机名称。

回退方案:

还原系统配置文件

判断依据:

(1)、使用show configuration system syslog命令查看配置;

(2)、登录远程日志服务器查看日志。

实施风险:

重要等级:

★★

​​​​​​​ELK-Juniper-02-01-05

编号:

ELK-Juniper-02-01-05

名称:

设置系统的配置更改信息

实施目的:

设置系统的配置更改信息保存到单独的change.log文件内

问题影响:

丢失重要日志。

系统当前状态:

使用show configuration system syslog命令查看配置

实施方案:

(1)、使用show configuration system syslog命令查看配置;

(2)、在终端上以telnet方式登录路由器,输入用户名密码;

(3)、进行创建、删除帐号和修改用户密码等修改设备配置操作;

(4)、用show log change.log命令查看日志。

回退方案:

使用show configuration system syslog命令查看配置,恢复默认配置

判断依据:

可以在change.log中查看到用户的操作内容、操作时间

实施风险:

重要等级:

★★

​​​​​​​ELK-Juniper-02-01-06

编号:

ELK-Juniper-02-01-06

名称:

保证日志功能记录的时间的准确性。

实施目的:

开启NTP服务,保证日志功能记录的时间的准确性。路由器与NTP SERVER之间开启认证功能。

问题影响:

丢失重要日志。

系统当前状态:

使用show configuration system syslog命令查看配置

实施方案:

(1)、使用show configuration system ntp命令查看配置;

(2)、使用show system uptime命令查看路由器时间与并与北京时间对比;

(3)、使用show ntp associations查看路由器是否与NTP服务器同步;

(4)、使用show ntp status查看路由器时间同步状态。

回退方案:

使用show configuration system syslog命令查看配置,恢复默认配置

判断依据:

(1)、用show ntp associations命令查看,信息如下面所示:

   remote    refid   st t  when  poll

==============================

* ROUTER1 10.1.1.1  2 u  641  1024

+ ROUTER2 10.1.1.2  2 u  713  1024

reach   delay   offset    jitter  

==============================

 377    0.964  -24.126   0.067  

 377    4.490  -12.013   0.457  

ROUTER1前面的(*)号表示ROUTER1是已和路由器时间同步的NTP服务器,(+)号为备用的NTP服务器.

(2)、有show ntp status命令查看,信息如下:

status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg,

version="ntpd 4.1.0-a Wed Oct  5 18:44:40 GMT 2005 (1)",

processor="i386", system="JUNOS7.3R2.7", leap=00, stratum=3,

precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484,

refid=ROUTER1.gd.cnmobile.net,

reftime=ca227da4.4b3ffac1  Wed, Jun 20 2007  0:07:00.293, poll=10,

clock=ca2280ce.02849cb2  Wed, Jun 20 2007  0:20:30.009, state=4,

offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048

  如上面信息的第一句第二部分显示”sync_ntp”表示路由器时间已和NTP服务器同步,如果显示”sync_unspec”即未同步.。

实施风险:

重要等级:

★★

通信协议 ELK-Juniper-03-01-01

编号:

ELK-Juniper-03-01-01

名称:

OSPF协议安全

实施目的:

对于非点到点的OSPF协议配置,应配置MD5加密认证,通过MD5加密认证建立neighbor

问题影响:

恶意攻击

系统当前状态:

使用show configuration protocols rsvp查看当前配置

实施方案:

1)、使用show configuration命令查看配置

2)、使用show ospf neighbor命令查看OSPF邻居状态

3)、使用show route protocol ospf brief命令查看OSPF路由表

4)、使用ping检查路由连通性

回退方案:

还原系统配置文件

判断依据:

1)、OSPF邻居处于full状态为正常,能学到邻居的路由为正常

2)、路由能连通为正常

实施风险:

重要等级:

​​​​​​​ELK-Juniper-03-01-02

编号:

ELK-Juniper-03-01-02

名称:

启用带加密方式的身份验证

实施目的:

配置动态路由协议(BGP/ MP-BGP /OSPF等)时必须启用带加密方式的身份验证功能,相邻路由器只有在身份验证通过后,才能互相通告路由信息。

问题影响:

非法访问,

系统当前状态:

使用show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor查看当前配置

实施方案:

(1)、使用show configuration protocol命令查看配置;

(2)、使用show bgp neighbor命令查看BGP邻居状态;

(3)、使用show route protocol bgp brief命令查看BGP路由表;

(4)、使用show ospf neighbor命令查看OSPF邻居状态;

(5)、使用show route protocol ospf brief命令查看OSPF路由表;

(6)、使用ping命令检查路由连通性。

回退方案:

使用show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor查看当前配置,还原给原始状态。

判断依据:

1)、确定配置已经启用加密的身份认证;

2)、BGP邻居处于establish状态为正常,能学到邻居的路由为正常;

3)、OSPF邻居处于full状态为正常,能学到邻居的路由为正常;

4)、路由能连通为正常。

实施风险:

重要等级:

★★

​​​​​​​ELK-Juniper-03-01-03

编号:

ELK-Juniper-03-01-03

名称:

过滤所有和业务不相关的流量

实施目的:

对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。

问题影响:

恶意攻击。

系统当前状态:

使用show configuration firewall filter abc查看配置

实施方案:

(1)、使用show configuration firewall filter abc查看配置

(2)、将终端的IP地址设为: 10.1.1.1

(3)、在终端上安装Nmap端口扫描工具(本例基于windowsXP2系统)

(4)、在DOS下输入:nmap -sS -g 445 10.1.2.1 –p 145 这指令的意思是以源端口为445来访问主机IP为10.1.2.1的TCP145端口。

(5)、用namp访问其它非业务端口,如访问80端口,在DOS 下输入:

nmap –sS 10.1.2.1 –p 80 这指令的意思是以任何端口访问10.1.2.1的TCP80端口

(6)、运行真实业务测试业务流量和非业务流量。

回退方案:

还原系统配置文件

判断依据:

使用show configuration firewall filter abc查看配置,还原为原始状态。

实施风险:

重要等级:

★★

​​​​​​​ELK-Juniper-03-01-04

编号:

ELK-Juniper-03-01-04

名称:

配置MP-BGP的MD5加密认

实施目的:

配置MP-BGP路由协议,应配置MD5加密认证,通过MD5加密认证建立peer。

问题影响:

信息泄露。

系统当前状态:

使用show configuration protocol bgp查看当前配置

实施方案:

1、参考配置操作

set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123

2、补充操作说明

1)、abc为group的名称,可自行设定;

2)、10.1.1.1为对端peer的IP地址,可根据需求设定;

3)、abc123为MD5加密认证的认证密码,该密码和对端peer的密码要一致。

回退方案:

还原系统配置文件

判断依据:

使用show configuration protocol bgp查看当前配置

实施风险:

重要等级:

★★

​​​​​​​ELK-Juniper-03-01-05

编号:

ELK-Juniper-03-01-05

名称:

设置SNMP访问安全限制

实施目的:

设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。

问题影响:

非法登陆。

系统当前状态:

使用show configuration snmp查看当前配置

实施方案:

1、参考配置操作

set snmp community abcd123 clients 10.1.1.1/32

set snmp community abcd123 clients 10.1.2.1/32

set snmp community abcd123 clients ready-only

2、补充操作说明

1)、abcd123是communtity字符串,可自行定义,但必须和client的主机一致;

2)、10.1.1.110.1.2.1是主机IP地址,即允许10.1.1.1.和10.1.2.1主机通过SNMP访问网络设备;

3)、未在client列表中的主机,不允许通过SNMP访问网络设备。

4)、设置主机访问网络设备具有读的权限,可根据需求设置为具有读写的权限(read-write)。

回退方案:

还原系统配置文件

判断依据:

使用show configuration snmp查看当前配置

实施风险:

重要等级:

★★★

​​​​​​​ELK-Juniper-03-01-06

编号:

ELK-Juniper-03-01-06

名称:

RSVP标签分发协议

实施目的:

启用RSVP标签分发协议时,打开RSVP协议认证功能,如MD5加密,确保与可信方进行RSVP协议交互。

问题影响:

非法登陆。

系统当前状态:

使用show configuration protocols rsvp查看当前配置

实施方案:

1、参考配置操作

set protocols rsvp interface fe-0/0/0.0 authentication-key abc123

2、补充操作说明

abc123为MD5加密密码。

回退方案:

还原系统配置文件

判断依据:

各邻居状态为UP正常

各RSVP session状为 UP正常

实施风险:

重要等级:

★★

设备其他安全要求 ELK-Juniper-04-01-01

编号:

ELK-Juniper-04-01-01

名称:

开启配置定期备份

实施目的:

开启配置文件定期备份功能,定期备份配置文件。

问题影响:

容易丢失数据。

系统当前状态:

使用show configuration system archival查看当前配置

实施方案:

1、参考配置操作

set system archival configuration transfer-interval 2880

set system archival configuration archive-sites ftp://juniper@10.1.1.1 password abc123

set system archival configuration archive-sites ftp://juniper@10.1.1.2 password abc123

2、补充操作说明

1)、2880是时间间隔,单位是分钟,时间间隔可设置的范围为15-2880;

2)、juniper是ftp的用户名称,10.1.1.110.1.1.2是ftp服务器的IP地址,abc123是登录frp服务器的密码;建议设置两个IP地址作为互备;

3)、定期备份仅能通过ftp服务备份;

4)、通过定期备份配置文件,时间间隔较短,即备份比较频繁,建议采用transfer-on-commit 方式,即只要执行commit指令,配置将自动备份到ftp服务器,指令为

set system archival configuration transfer-on-commit;

5)、transfer-interval和transfer-on-commit 方式不能共存。

回退方案:

还原系统配置文件

判断依据:

使用show configuration system archival查看当前配置

实施风险:

重要等级:

★★★

​​​​​​​ELK-Juniper-04-01-02

编号:

ELK-Juniper-04-01-02

名称:

关闭不必要服务

实施目的:

关闭网络设备不必要的服务,比如FTP、TFTP服务等。

问题影响:

对系统造成不稳定。

系统当前状态:

使用show configuration system services查看当前配置

实施方案:

1、参考配置操作

delete system services ftp

2、补充操作说明

默认是关闭FTP服务

回退方案:

还原系统配置文件

判断依据:

使用show configuration system services查看当前配置

实施风险:

重要等级:

★★★

​​​​​​​ELK-Juniper-04-01-03

编号:

ELK-Juniper-04-01-03

名称:

限制远程管理IP

实施目的:

系统远程管理服务TELNET、SSH默认可以接受任何地址的连接,出于安全考虑,应该只允许特定地址访问。

问题影响:

非法登陆。

系统当前状态:

使用show configuration firewall filter查看当前配置

实施方案:

1、参考配置操作

set firewall filter abc term a from source-address 10.1.1.1/32

set firewall filter abc term a from source-address 10.1.1.2/32

set firewall filter abc term a then accept

set firewall filter abc term b from protocol tcp port telnet

set firewall filter abc term b then reject

set firewall filter abc term c then accept

2、补充操作说明

1)、abc为filter名称,可自定义;

2)、10.1.1.1/32和10.1.1.2/32上允许telnet的主机IP地址;

3)、term a实现的功能为:允许特定地址访问;

4)、term b实现的功能为:除了允许特定地址访问之外,不允许其它地址访问telnet端口。

回退方案:

还原系统配置文件

判断依据:

使用show configuration firewall filter查看当前配置

实施风险:

重要等级:

★★★

​​​​​​​ELK-Juniper-04-01-04

编号:

ELK-Juniper-04-01-04

名称:

限制telnet并发连接数

实施目的:

TELNET默认可以接受250个同时连接。配置TELNET等远程维护方式时,应配置连接最大数量限制为10个,并且每分钟最多有5个可以连接,可以防止在TELNET端口上的SYN flood DoS 攻击。

问题影响:

非法登陆。

系统当前状态:

使用show configuration system services telnet查看当前配置

实施方案:

1、参考配置操作

set system services telnet connection-limit 10 

set system services telnet rate-limit 5

回退方案:

还原系统配置文件

判断依据:

使用show configuration system services telnet查看当前配置

实施风险:

重要等级:

★★★

​​​​​​​​​​​​​​ELK-Juniper-04-01-05

编号:

ELK-Juniper-04-01-05

名称:

定时账户自动登出安全

实施目的:

对于Juniper路由器,应配置定时账户自动登出,防止被非法利用。

问题影响:

非法利用。

系统当前状态:

使用show configuration system services telnet查看当前配置

实施方案:

set cli idle-timeout 15 

回退方案:

还原系统配置文件

判断依据:

当时间超时,用户会自动退出路由器

实施风险:

重要等级:

★★★

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/159336.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C#实现批量生成二维码

相信大家都使用过草料二维码生成器&#xff0c;单独生成二维码可以&#xff0c;但是批量生成二维码就需要收费了。既然要收费&#xff0c;那就自己写一个。 接口采用导入Excel文件生成二维码&#xff0c;首先需要读取Excel的数据&#xff0c;方法如下所示&#xff1a; /// <…

python练习题(markdown中的60道题)

1.Demo01 摄氏温度转化为华氏温度 celsius float(input(输入摄氏温度&#xff1a;)) fahrenheit (9/5)*celsius 32 print(%0.1f 摄氏温度转为华氏温度为 %0.1f % (celsius, fahrenheit))结果&#xff1a; 2.Demo02 计算圆柱体的体积 h, r map(float, input().split())# …

python tkinter 使用(三)

python tkinter 使用(三) 本篇文章主要讲下tkinter下的filedialog的使用. 1: askopenfilename 首先使用tkinter中fiedialog来实现一个简单的文件选择器. 这里使用askopenfilename()来启动文件选择器,选择成功后打印下所选文件的名称. #!/usr/bin/python3 # -*- coding: UT…

echarts实现如下图功能代码

这里写自定义目录标题 const option {tooltip: {trigger: axis},legend: {left: "-1px",top:15px,type: "scroll",icon:rect,data: [{name:1, textStyle:{color: theme?"#E5EAF3":#303133,fontSize:14}}, {name: 2, textStyle:{color: theme…

小程序泄露腾讯地图apikey

今天挖小程序时测了很久&#xff0c;一直没有头绪&#xff0c;后来想要测试一下支付漏洞&#xff0c;但是这里却出问题了 添加地址时我发现&#xff0c;当我添加一个地址时&#xff0c;他会显示腾讯地图的logo和一部分小图&#xff0c;那时候我就在想&#xff0c;既然这里可以调…

函数隐式声明的危害及处理(C语言)

1.为什么要将函数隐式声明提升为编译错误 请看这个编译警告&#xff1a; [ 71%] Building C object main/CMakeFiles/shake.dir/pjt_helper.c.o /home/fengxh/shake_src/data_dispatch/main/pjt_helper.c: In function ‘SysMqtt_GetStateJsonPayload’: /home/fengxh/shake_s…

Vmware 扩展硬盘空间后的操作-Ubuntu

在VMware中扩展了Ubuntu虚拟机的硬盘容量后&#xff0c;你需要在Ubuntu内部进行操作才能使用新增的空间。过程包括为增加的空间建立分区、格式化以及挂载该分区供使用。下面是具体的步骤&#xff1a; 首先登录到你的Ubuntu系统&#xff0c;用lsblk命令查看分区情况。这样你可以…

多普勒流速仪的功能作用是什么?

我国地域广大&#xff0c;各地降雨分布不均&#xff0c;某些城市经常会出现连续的降雨进而导致城市排水压力过大&#xff0c;为了提高城市应对排水过量的极端情况的出现&#xff0c;亟需一种方案能够对城市排水进行有效及时的监测&#xff0c;从而能够及时的采取应对方案。 在污…

IO口电压下降那么多是怎么回事??

前几天一个工程师向我反馈他测得如下电路MCU IO口的电压不是3.3V&#xff0c;只有2V多。 IO配置的是输入功能&#xff0c;无上下拉。最初我不太相信这个结果&#xff0c;后来自己用万用表实际测量了下&#xff0c;还真是这个结果 这是咋回事呢&#xff1f;不应该电压就是3.3V吗…

前缀和的动态维护——树状数组[C/C++]

文章目录 前言lowbitlowbit的定义lowbit的计算 树状数组的思想树状数组的操作单点修改 update前缀查询 query树状数组的建立 build 前言 树状数组巧妙了利用位运算和树形结构实现了允许单点修改的情况下&#xff0c;动态维护前缀和&#xff0c;并且实现单点修改和前缀和查询的效…

【JavaEE】操作系统与进程

作者主页&#xff1a;paper jie_博客 本文作者&#xff1a;大家好&#xff0c;我是paper jie&#xff0c;感谢你阅读本文&#xff0c;欢迎一建三连哦。 本文录入于《JavaEE》专栏&#xff0c;本专栏是针对于大学生&#xff0c;编程小白精心打造的。笔者用重金(时间和精力)打造&…

python 水质日历热力图

利用日历热力图可以方便的查看站点水质全年的变化情况。 接口获取站点数据 这一步根据自己实际情况&#xff0c;也可以读取excel、MySQL读取数据。这里把API地址已隐去。 import numpy as np import calendar import requests import json import pandas as pd import time f…

给定两个字符串 s 和 t ,找不同

题意&#xff1a; 给定两个字符串 s 和 t &#xff0c;它们只包含小写字母。 字符串 t 由字符串 s 随机重排&#xff0c;然后在随机位置添加一个字母。 请找出在 t 中被添加的字母。 示例 1&#xff1a; 输入&#xff1a;s “abcd”, t “abcde” 输出&#xff1a;“e”…

【python学习】基础篇-常用第三方库-psutil:用于获取CPU、磁盘与网络等系统信息和进程管理

psutil是一个跨平台的Python库&#xff0c;用于获取系统信息和进程管理。以下是一些基本的用法&#xff1a; 获取CPU使用率 cpu_percent psutil.cpu_percent(interval1) print(cpu_percent)获取内存使用情况 memory_info psutil.virtual_memory() print(memory_info.perce…

Linux:进度条(小程序)以及git三板斧

Linux小程序&#xff1a;进度条 在实现小程序前我们要弄清楚&#xff1a; 1.缓冲区&#xff1b; 2.回车与换行。 缓冲区&#xff1a; 分别用gcc来编译下面两个程序&#xff1a; 程序一&#xff1a; #include <stdio.h> int main() { printf("hello Makefil…

前后端分离SpringBoot+vue的买菜农副产品多功能商城

1&#xff0c;项目介绍 本系统主要针对买菜而设计&#xff0c;其功能有菜品基本信息管理、商品类别管理、系统订单管理、评论管理、系统用户管理等功能模块。并且本系统采用了现在流行的SpringBootVue进行的设计与实现&#xff0c;其中Tomcat为服务器&#xff0c;MySQL为数据库…

QT中的lambda表达式

面是对Qt中在QObject::connect()中的lambda表达式常用用法 QString str("I am a string!"); devicestr; connect(ui- connect(m_imgshowUI, &ImgShow::GetImgPath, m_visionplatform, [](const std::string filename){m_visionplatform->ReadImg(filename);}…

moviepy 视频剪切,拼接,音频处理

官网 使用matplotlib — moviepy-cn 文档 案例 from moviepy.editor import * from moviepy.video.fx import resize from PIL import Imagefile1r"D:\xy_fs_try\video_to_deal\spider_video\file\vedeo3.mp4" file2r"D:\xy_fs_try\video_to_deal\spider_video\…

Maven聚合项目发布至私服指定模块

无论是从事框架开发工作还是公共服务模块开发&#xff0c;为了解决通用性问题&#xff0c;常常需要发布一些依赖组件至maven私服。然而通常我们得maven工程都是由多个模块组成得聚合工程&#xff08;一个父工程下有多个模块&#xff09;。 这个时候可能会面临两个窘境&#xf…