Các router của Juniper được thiết kế tách biệt phần điều khiển và chuyển mạch dữ liệu. Nếu như phần điều khiển bị tấn công từ chối dịch vụ (DoS), phần chuyển mạch (ví dụ như là PFE) vẫn tiếp tục hoạt động.
Mặc định thì các lưu lượng ICMP sẽ bị giới hạn tốc độ khi gửi tới Routing Engine, việc này sẽ tránh được một số tấn công DoS thông dụng ngay khi router vừa được bật lên và trước khi các giới hạn tốc độ khác được áp dụng. Người khai thác có thể thay đổi hay tinh chỉnh các giới hạn tốc độ này theo yêu cầu và theo điều kiện cụ thể của mạng một cách linh hoạt.
Một tấn công thông dụng thường hay thấy là TCP SYN flood, trong đó kẻ
tấn công sử dụng một đoạn mã để tạo ra yêu cầu kết nối TCP (bản tin SYN) với tốc
độ lớn hơn tốc độ mà mục tiêu tấn công có thể xử lý. Chúng tôi đề nghị giới hạn tốc
độ của các bản tin SYN đến Routing Engine ở mức nhỏ.
Hủy bỏ, chuyển đi, tái tạo, giới hạn tốc độ, thay đổi giá trị ToS, đếm số
lượng các gói giúp cho việc ngăn ngừa một số tấn công và giúp đỡ cho việc liên kết với hệ thống IDS/IDP ở ngoài.
Hệ thống Syslog cho các router trên mạng đóng một vai trò rất quan trọng trong việc phát hiện và khoanh vùng các vấn đề với hệ thống mạng của
EVNTelecom. Tất cả các sự kiện vềđịnh tuyến, lệnh thao tác, truy cập đến router, trạng thái môi trường, các lỗi đều có thể được router gửi đi và ghi nhận lại ở máy chủ Syslog.
Một vấn đề quan trọng trên mạng là phải kiểm soát và khống chế các lưu lượng giả mạo địa chỉ ngay từ nguồn xuất phát ban đầu. Nếu vấn đề này được kiểm soát tốt thì việc truy tìm nguồn gốc tấn công từ nội bộ (vô tình hay cố ý) đều rất dễ
dàng mà không cần áp dụng các kỹ thuật phức tạp khác. Kỹ thuật này được gọi là “Unicast Reversed Forwarding Path”, đều có thể kích hoạt ở trên các router.
Do kiến trúc của router Juniper, việc bảo vệ cho thành phần điều khiển của router là chỉ cần áp firewall filter lên giao diện loopback 0, tất cả các lưu lượng chuyển đến cho Routing Engine sẽ được lọc sạch theo yêu cầu tại tất cả các giao diện WAN.