【正文】 CLI 命令。 RADIUS認(rèn)證和授權(quán) 遠(yuǎn)程認(rèn)證撥號(hào)的用戶(hù)服務(wù) (RADIUS)是一個(gè)用于認(rèn)證服務(wù)器的協(xié)議，它最多可支持幾萬(wàn)個(gè)用戶(hù)。 RADIUS客戶(hù)端（即 NetScreen設(shè)備）通過(guò)客戶(hù)端與服務(wù)器之間的一系列通信對(duì)用戶(hù)進(jìn)行認(rèn)證。通常， RADIUS會(huì) 要求登錄人員輸入其用戶(hù)名和密碼。然后，它將這些值與其數(shù)據(jù)庫(kù)中的對(duì)應(yīng)值比較，用戶(hù)通過(guò)認(rèn)證后，客戶(hù)端即允許其訪問(wèn)相應(yīng)的網(wǎng)絡(luò)服務(wù)。要針對(duì) RADIUS配置 NetScreen設(shè)備，必須指定 RADIUS服務(wù)器的 IP地址，并定義與 RADIUS服務(wù)器上的定義相同的 shared secret。 shared secret 是一個(gè)密碼， RADIUS 服務(wù)器用它來(lái)生成密鑰，以便對(duì)NetScreen和 RADIUS設(shè)備之間的信息流進(jìn)行加密。此外，還要將 NetScreen 詞典文件加載到 RADIUS 服務(wù)器上，使其能支持下列供應(yīng)商專(zhuān)用屬性 (VSA) 的查詢(xún)：用戶(hù)組、管理權(quán)限、遠(yuǎn)程 L2TP和 XAuth設(shè)置?？蓮?下載詞典文件。 在下例中將其用戶(hù)帳戶(hù)類(lèi)型指定為 admin，將 RADIUS 服務(wù)器命名為 6/20 “radius1”，并接受 NetScreen設(shè)備自動(dòng)指派的 ID 號(hào)。輸入其 IP 地址 ；將其端口號(hào)由缺省值 (1645) 更改為 4500。將其共享機(jī)密定義為 “A56htYY97kl”。將超時(shí)值由缺省值（ 10 分鐘）更改為 30 分鐘。同時(shí)將兩個(gè)備份服務(wù)器的 IP 地址分別指定為 和 。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【注意事項(xiàng)】：無(wú) 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Auth Auth Servers New：輸入以下內(nèi)容，然后單擊 OK。 Name: radius1 IP/Domain Name: Backup1: Backup2: Timeout: 30 Account Type: Admin RADIUS:（選擇） RADIUS Port: 4500 Shared Secret: A56htYY97kl SNMP 協(xié)議 SNMP協(xié)議是目前數(shù)據(jù)網(wǎng)管理中普遍使用的協(xié)議，但 SNMP協(xié)議本身也存在安全問(wèn)題。需要合理配置 SNMP 協(xié)議的相關(guān)屬性，才能讓 SNMP 協(xié)議更好的為日常維護(hù)管理服務(wù)。如不需要，不建議對(duì) NetScreen防火墻使用 SNMP。 NetScreen防火墻支持 SNMPv MIBII，還有其私有 MIB 庫(kù)，可將其加載到網(wǎng)絡(luò)管理系統(tǒng)中。要獲得最新的 MIB 文件，請(qǐng)從 下載。 建議采取以下方法進(jìn)行保護(hù)： 7/20 ? 限制發(fā)起 SNMP連接的源地址； ? 設(shè)置并定期更改 SNMP Community（至少半年一次）； ? 除特殊情況，否則不設(shè)置 SNMP RW Community； 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【注意事項(xiàng)】： SNMP服務(wù)器應(yīng)配置與防火墻 SNMP相同的 Community Name通信子串。 【具體配置】： a. 如果業(yè)務(wù)不需使用 SNMP服務(wù)，可停止 SNMP服務(wù) 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界 面 選擇菜單 Network Interfaces (Edit) Service Options 不選擇 SNMP b. 如果業(yè)務(wù)需要使用 SNMP服務(wù)，可通過(guò)對(duì)其認(rèn)證字符串、讀寫(xiě)權(quán)限和地址進(jìn)行限制。 選擇菜單 Configuration Report Settings SNMP 設(shè)置 Configuration Report Settings SNMP 單擊 New Community Community Name設(shè)置口令 Permissions 設(shè)置讀寫(xiě)權(quán)限 Hosts IP Address/Netmask地址限定 HTTP 的配置要求 NetScreen設(shè)備使用 Web技術(shù)提供了配置和管理軟件的 Web界面，可使用標(biāo)準(zhǔn)的 Web 瀏覽器，通過(guò) “超文本傳輸協(xié)議 ” (HTTP) 遠(yuǎn)程訪問(wèn)、監(jiān)控和控制網(wǎng)絡(luò)安全配置。為了保障 HTTP的安全，可通過(guò)在虛擬專(zhuān)用網(wǎng) (VPN)通道中封裝 HTTP流量或通過(guò) “安全套接字層 ”(SSL)協(xié)議保障安全，還可以通過(guò)將管理流量與網(wǎng)絡(luò)用戶(hù)流量完全分離來(lái)保障它的安全。一些型號(hào)的 NetScreen 設(shè)備支持通過(guò) MGT接口或?qū)⒁粋€(gè)接口（例如 DMZ）完全專(zhuān)用于管理流量來(lái)運(yùn)行所有的管理流量。 8/20 更改 HTTP監(jiān)聽(tīng)端口號(hào) NetScreen使用 HTTP時(shí)缺省使用的 80監(jiān)聽(tīng)端口容易被黑客掃描到，因此可以通過(guò)更改 HTTP監(jiān)聽(tīng)端口號(hào)提高系統(tǒng)安全性。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【注意事項(xiàng)】：更改端口號(hào)后，在下次嘗試通過(guò) HTTP訪問(wèn) NetScreen 設(shè)備時(shí)，必須在 Web 瀏覽器的 URL 字段中鍵入新的端口號(hào)（如 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Managemen 在 “HTTP 端口 ”字段中，鍵入新端口號(hào)（如 50000），然后單擊 Apply 使用 SSL保障 HTTP訪問(wèn)的安全性 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【注意事項(xiàng)】：有關(guān)請(qǐng)求并加載證書(shū)的詳細(xì)信息，請(qǐng)參考 NetScreen 相關(guān)文檔。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 獲得 SSL證書(shū)并在 NetScreen 設(shè)備上加載 啟用 SSL 管理：選擇菜單 Configuration Admin Management：輸入以下內(nèi)容 ，然后單擊 Apply： Certificate：選擇您要從下拉列表中使用的證書(shū)。 Ciphe：選擇您要從下拉列表中使用的密碼。 配置接口，通過(guò)該接口您可管理 NetScreen 設(shè)備，以允許進(jìn)行 SSL 管理：選擇菜單 Network Interfaces Edit（對(duì)于要管理的接口）：?jiǎn)⒂?SSL并禁用 HTTP 管理服務(wù)復(fù)選框，然后單擊 OK。 9/20 使用瀏覽器通過(guò) 連接到 NetScreen 設(shè)備的 SSL 端口進(jìn)行管理。 2 安全審計(jì) 防火墻的日志數(shù)據(jù)能夠幫助系統(tǒng)管理員進(jìn)行歷史信息流跟蹤、事件關(guān)聯(lián)分析和網(wǎng)絡(luò)故障 診斷，因此利用 NetScreen防火墻提供的各種功能加強(qiáng)對(duì)日志的管理，將有助于及時(shí)發(fā)現(xiàn)和判斷安全問(wèn)題。所有 NetScreen 設(shè)備都允許在內(nèi)部（閃存區(qū)域）和外部存儲(chǔ)事件和信息流日志數(shù)據(jù)。盡管在內(nèi)部存儲(chǔ)日志信息很方便，但內(nèi)存的數(shù)量是有限的。當(dāng)內(nèi)部存儲(chǔ)空間被完全占用時(shí)， NetScreen 設(shè)備會(huì)用最新的日志條目覆蓋最舊的日志條目，造成數(shù)據(jù)丟失。要減少這種數(shù)據(jù)損失，可將事件和信息流日志存儲(chǔ)在外部的系統(tǒng)日志或 WebTrends 服務(wù)器中，或NetScreenGlobal PRO 數(shù)據(jù)庫(kù)中。 NetScreen防火墻 提供以下幾種日志存