适用于设备安全的 Junos OS 功能

用于设备管理的远程访问方法

首次安装 Junos OS 时，将禁用对设备的所有远程访问，从而确保只有在授权用户特意启用远程访问的情况下才能进行。您可以通过以下方式之一与设备建立远程通信：

• 带外管理：通过专用于设备管理的接口连接到设备。瞻博网络设备通过专用管理以太网接口以及 EIA-232 控制台和辅助端口支持带外管理。在路由矩阵中连接到 TX Matrix Plus 设备、T1600、T1600 或 T4000 设备以及 PTX 系列数据包传输路由器之外的所有设备上，管理接口为 fxp0。在路由矩阵中的 TX Matrix Plus、T1600、T1600 或 T4000 设备和 PTX 系列数据包传输路由器上，管理以太网接口标记为 em0。管理以太网接口直接连接到路由引擎。此接口不允许传输任何传输流量，从而将客户和管理流量完全分离，并确保传输网络拥塞或故障不会影响设备的管理。

• 带内管理：允许使用与客户流量流动的相同接口连接到设备。虽然这种方法很简单，不需要专门的管理资源，但它有两个缺点：

  • 管理流和传输流量混合在一起。与正常流量混杂的任何攻击流量都可能会影响与设备的通信。

  • 设备组件之间的链路可能并不完全值得信赖，从而导致窃听和重放攻击的可能性。

对于对设备的管理访问，从远程控制台与设备通信的标准方法是使用 Telnet 和 SSH。SSH 提供安全加密通信，因此可用于带内设备管理。Telnet 提供对设备的未加密访问，因此安全性较低。

Junos OS 支持的用于用户身份验证的协议和方法

在设备上，您可以创建本地用户登录帐户，以控制谁可以登录设备以及他们拥有的访问权限。每个登录帐户都有一个密码（SSH 密钥或消息摘要 5 （MD5） 密码）。要定义访问权限，请创建登录类，将具有类似作业或工作职能的用户分组到其中。您可以使用这些类来显式定义用户登录设备时，其用户是哪些命令，哪些命令不允许发出。

由许多不同人员管理多个设备可能会导致用户帐户管理问题。一种解决方案是使用中央身份验证服务来简化帐户管理，仅在单个中央服务器上创建和删除用户帐户。中央身份验证系统还简化了一次性密码系统的使用，例如 SecureID，可以防御密码侦听和密码重放攻击（有人使用捕获的密码充当设备管理员的攻击）。

Junos OS 支持两种协议，用于对多个设备上的用户进行集中身份验证：

• 终端接入控制器接入控制系统增强版 （TACACS+）。

• 远程身份验证拨号用户服务 （RADIUS），一种多供应商 IETF 标准，其功能比 TACACS+ 或其他专有系统更容易接受。所有一次性密码系统供应商都支持 RADIUS。

Junos OS 还支持以下身份验证方法：

• 互联网协议安全 （IPsec）。IPsec 架构为 IPv4 和 IPv6 网络层提供了一个安全套件。该套件提供源身份验证、数据完整性、机密性、重放保护和源不可否认性等功能。除了 IPsec，Junos OS 还支持互联网密钥交换 （IKE），该交换为密钥生成和交换定义机制，并管理安全关联 （SA）。

• MSDP 对等会话的 MD5 身份验证。此身份验证提供保护，防止将欺骗数据包引入对等会话。

• SNMPv3 身份验证和加密。SNMPv3 使用基于用户的安全模型 （USM） 实现消息安全，使用基于视图的访问控制模型 （VACM） 实现访问控制。USM 用于指定身份验证和加密。VACM 用于指定访问控制规则。

Junos OS 纯文本密码要求

当您在设备上创建纯文本密码时，Junos OS 有特殊要求。纯文本密码的默认要求如下：

• 密码长度必须为 6 到 128 个字符。

• 您可以包括大写字母、小写字母、数字、标点符号和以下任何一个特殊字符： ！ @ # $ % × & * ，+ = < >：; 不建议使用控制字符。

• 密码必须至少包含一个大写或字符类更改。

您可以更改纯文本密码的要求。

您可以在以下层级包含语句 plain-text-password ：

• [edit system diag-port-authentication]

• [edit system pic-console-authentication]

• [edit system root-authentication]

• [edit system login user username authentication]

Junos OS 对路由协议安全功能和 IPsec 的支持

设备的主要任务是，根据设备的路由和转发表中的信息，将用户流量转发到其预期目标位置。您可以配置路由策略来定义通过网络的路由信息流，从而控制路由协议在路由表中的位置，以及路由协议从表中播发的路由。您还可以使用路由策略更改特定路由特征，更改 BGP 路由抖动抑制值，按数据包执行负载平衡，并启用 服务等级 （CoS）。

攻击者可以向设备发送伪造协议数据包，企图更改或损坏其路由表或其他数据库的内容，这可能会降低设备的功能。为了防止此类攻击，必须确保设备与可信对等方形成路由协议对等关系或邻接关系。实现这一点的一种方法是验证路由协议消息。Junos OS BGP、IS-IS、OSPF、RIP 和 RSVP 协议都支持 HMAC-MD5 身份验证，后者使用密钥与受保护数据相结合计算散列。当协议发送消息时，计算得出的散列数据将随数据一起传输。接收方使用匹配密钥验证消息散列。

Junos OS 支持适用于 IPv4 和 IPv6 网络层的 IPsec 安全套件。该套件提供源身份验证、数据完整性、机密性、重放保护和源不可否认性等功能。Junos OS 还支持 IKE，IKE 定义密钥生成和交换机制，并管理 SA。

Junos OS 对防火墙过滤器的支持

防火墙过滤器允许您控制将设备传输至网络目标的数据包以及发往设备并由设备发送的数据包。您可以配置防火墙过滤器，以控制在物理接口上接受和传输哪些数据包，以及从物理接口和路由引擎传输哪些本地数据包。防火墙过滤器提供了一种保护设备免受流量过多的方法。控制本地数据包的防火墙过滤器还可以保护您的设备免受外部攻击（例如 DoS 攻击）。

为了保护路由引擎，只能在设备的环路接口上配置 防火墙过滤器 。无需为设备上的每个接口添加或修改过滤器。您可以设计防火墙过滤器，以防止 ICMP 和传输控制协议 （TCP） 连接请求 （SYN） 泛洪，以及发送到路由引擎的限速流量。

Junos OS 支持分布式拒绝服务保护

拒绝服务攻击是指通过使用网络元素或服务器的所有资源来拒绝有效用户访问网络或服务器资源的任何尝试。分布式拒绝服务攻击涉及多个来源的攻击，从而允许大量流量攻击网络。攻击通常使用网络协议控制数据包来触发设备控制平面的大量异常。这会导致处理负载过重，中断正常的网络运维。

Junos OS DDoS 防御使设备在受到攻击时能够继续运行。它可识别并抑制恶意控制数据包，同时启用要处理的合法控制流量。单点 DDoS 保护管理使网络管理员能够为其网络控制流量自定义配置文件。在平滑路由引擎切换 （GRES） 和统一服务内软件升级 （ISSU） 切换中，保护和监控持续存在。保护不会随着订阅者数量的增加而减少。

为了抵御 DDoS 攻击，您可以为受主机绑定的异常流量配置监管器。监管器会为个别类型的协议控制数据包指定速率限制，或者为一个协议指定所有控制数据包类型的速率限制。您可以在设备、路由引擎和线卡级别监控数据包类型和协议组的监管器操作。您还可以控制监管器事件的日志记录。

流检测是对 DDoS 保护的增强，通过使用有限数量的硬件资源来监控控制流量受主机绑定的流的到达速率，对 DDoS 监管器层次结构进行了补充。与基于过滤器监管器的解决方案相比，流量检测的可扩展性要高得多。过滤器监管器会跟踪所有流量，这会消耗大量资源。相比之下，流检测仅跟踪它识别为可疑的流，而使用的资源要少得多。

流检测应用程序有两个相互关联的组件，检测和跟踪。检测是识别并随后控制涉嫌不当流量的过程。跟踪是跟踪流的过程，用于确定它们是否真正存在恶意，以及这些流何时恢复到可接受的限制内。

Junos OS 安全审计支持

Junos OS 会记录设备上和网络中发生的重大事件。尽管日志记录本身不会增加安全性，但您可以使用系统日志来监控安全策略和设备配置的有效性。在对持续的蓄意攻击做出反应时，您还可以将这些日志用于识别攻击者流量的源地址、设备或端口。您可以配置不同级别的事件的日志记录，从关键事件到所有事件，包括信息事件。然后，您可以实时或稍后检查系统日志文件的内容。

当同步所有设备的系统日志文件中的时间戳时，调试和故障排除就更容易了，因为跨网络的事件可能与多个日志中的同步条目相关联。Junos OS 支持网络时间协议 （NTP），您可以在设备上启用该协议以同步设备和其他网络设备的系统时钟。默认情况下，NTP 在未经身份验证的模式下运行。您可以配置不同类型的身份验证，包括 HMAC-MD5 方案。