Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

保护控制台端口访问的配置准则

我们建议您(网络管理员)禁用控制台端口以防止对设备进行未经授权的访问。

保护控制台端口

您可以使用设备上的控制台端口通过 RJ-45 串行电缆连接到设备。在控制台端口,您可以使用 CLI 配置设备。默认情况下,控制台端口处于启用状态。要保护控制台端口,您可以将设备配置为执行以下操作:

  • 拔下连接到控制台端口的串行电缆时注销控制台会话。

  • 禁用与控制台的 root 登录连接。此操作可防止非 root 用户使用控制台执行密码恢复操作。

  • 禁用控制台端口。我们建议您禁用控制台端口以防止对设备进行未经授权的访问。当设备用作客户端设备 (CPE) 并转发敏感流量时,防止未经授权的访问尤为重要。

    注:

    并非总是可以禁用控制台端口,因为在软件升级等操作期间控制台访问非常重要。
    警告:

    在 SRX300、SRX320、SRX340 和 SRX345 设备上,如果同时配置和选项,则在 Junos OS 无法启动时没有可用的替代恢复方法。set system ports console insecureset chassis routing-engine bios uninterrupt

要保护控制台端口,请执行以下操作:

  1. 执行下列操作之一:

    • 禁用控制台端口。

    • 禁用与控制台的 root 登录连接。

      注:

      将控制台端口配置为不安全后,如果用户尝试通过以单用户模式引导来执行密码恢复操作,设备将提示输入 root 密码。这样,只有知道 root 密码的用户才能登录到单用户模式进行密码恢复。

    • 拔下连接到控制台端口的串行电缆时注销控制台会话。Enter

    注:

    该 语句在 SRX1500、SRX4100、SRX4200 或 SRX4600 设备上不起作用;在这些设备上,您必须使用 命令手动注销控制台。log-out-on-disconnectrequest system logout
  2. 配置设备后,进入 配置模式。commit

安全的迷你 USB 端口

SRX320、SRX320、SRX340 和 SRX345 设备都有一个迷你 USB B 型端口。您可以将管理设备连接到 Mini-USB Type-B 控制台端口以进行 CLI 管理。

您可以禁用 SRX 系列防火墙上的迷你 USB 端口,以阻止用户将 USB 大容量存储设备连接到服务网关。禁用设备上的迷你 USB 端口时,USB 设备上正在进行的任何事务都将终止。

使用以下命令禁用迷你 USB 端口:

使用以下命令启用迷你 USB 端口:

此操作将重新启用已禁用的迷你 USB 端口。

使用 命令验证迷你 USB 的状态:show

输出显示 USB 大容量存储设备的当前状态,并指示 USB 端口是启用还是禁用。