保护控制台端口访问的配置准则
我们建议您(网络管理员)禁用控制台端口以防止对设备进行未经授权的访问。
保护控制台端口
您可以使用设备上的控制台端口通过 RJ-45 串行电缆连接到设备。在控制台端口,您可以使用 CLI 配置设备。默认情况下,控制台端口处于启用状态。要保护控制台端口,您可以将设备配置为执行以下操作:
-
拔下连接到控制台端口的串行电缆时注销控制台会话。
-
禁用与控制台的 root 登录连接。此操作可防止非 root 用户使用控制台执行密码恢复操作。
-
禁用控制台端口。我们建议您禁用控制台端口以防止对设备进行未经授权的访问。当设备用作客户端设备 (CPE) 并转发敏感流量时,防止未经授权的访问尤为重要。
注:并非总是可以禁用控制台端口,因为在软件升级等操作期间控制台访问非常重要。
警告:在 SRX300、SRX320、SRX340 和 SRX345 设备上,如果同时配置和选项,则在 Junos OS 无法启动时没有可用的替代恢复方法。
set system ports console insecure
set chassis routing-engine bios uninterrupt
要保护控制台端口,请执行以下操作:
安全的迷你 USB 端口
SRX320、SRX320、SRX340 和 SRX345 设备都有一个迷你 USB B 型端口。您可以将管理设备连接到 Mini-USB Type-B 控制台端口以进行 CLI 管理。
您可以禁用 SRX 系列防火墙上的迷你 USB 端口,以阻止用户将 USB 大容量存储设备连接到服务网关。禁用设备上的迷你 USB 端口时,USB 设备上正在进行的任何事务都将终止。
使用以下命令禁用迷你 USB 端口:
[edit]
user@host#
set chassis usb storage disable
使用以下命令启用迷你 USB 端口:
[edit]
user@host#
delete chassis usb storage disable
此操作将重新启用已禁用的迷你 USB 端口。
使用 命令验证迷你 USB 的状态:show
user@host>
show chassis usb storage
输出显示 USB 大容量存储设备的当前状态,并指示 USB 端口是启用还是禁用。