理想情况下，您希望使用基于 SSH 密钥的身份验证并尽可能远离基于用户的身份验证，但在我需要使用用户名和密码日志记录的领域，我倾向于在以下方面进行标准化：

set system login retry-options backoff-threshold 2
set system login retry-options backoff-factor 10
set system login retry-options tries-before-disconnect 3
set system ssh root-login deny
set system ssh protocol-version v2
set system ssh max-sessions-per-connection 1
set system ssh client-alive-interval 30

这让您可以猜测密码三次，但是在第二次错误尝试之后，它会让您等待 10 秒才能进行第三次尝试。

这也会阻止该root帐户远程登录（您可以稍后在 shell 中升级到rootvia su）

非常小心set system login retry-options lockout-period- 它不像fail2ban那样按IP工作，而是按用户名工作（这对于安全功能来说非常令人失望）。

这意味着如果有人暴力破解您的合法用户名，他们将持续锁定您的帐户，您将无法登录自己的设备。

这提出了最后一点，即使您的网络基础设施用户名唯一，例如：不是您的电子邮件地址前缀，也不是通用帐户，例如admin.

我没有瞻博网络 EX 来测试它，它适用于 SRX，但 JunOS 是为跨平台标准化而构建的，因此这些步骤可能适用于 EX。

如何阻止 Telnet 和 SSH 暴力登录攻击