【正文】 CLI 命令。 RADIUS認(rèn)證和授權(quán) 遠(yuǎn)程認(rèn)證撥號的用戶服務(wù) (RADIUS)是一個用于認(rèn)證服務(wù)器的協(xié)議，它最多可支持幾萬個用戶。 RADIUS客戶端（即 NetScreen設(shè)備）通過客戶端與服務(wù)器之間的一系列通信對用戶進(jìn)行認(rèn)證。通常， RADIUS會 要求登錄人員輸入其用戶名和密碼。然后，它將這些值與其數(shù)據(jù)庫中的對應(yīng)值比較，用戶通過認(rèn)證后，客戶端即允許其訪問相應(yīng)的網(wǎng)絡(luò)服務(wù)。要針對 RADIUS配置 NetScreen設(shè)備，必須指定 RADIUS服務(wù)器的 IP地址，并定義與 RADIUS服務(wù)器上的定義相同的 shared secret。 shared secret 是一個密碼， RADIUS 服務(wù)器用它來生成密鑰，以便對NetScreen和 RADIUS設(shè)備之間的信息流進(jìn)行加密。此外，還要將 NetScreen 詞典文件加載到 RADIUS 服務(wù)器上，使其能支持下列供應(yīng)商專用屬性 (VSA) 的查詢：用戶組、管理權(quán)限、遠(yuǎn)程 L2TP和 XAuth設(shè)置?？蓮?下載詞典文件。 在下例中將其用戶帳戶類型指定為 admin，將 RADIUS 服務(wù)器命名為 6/20 “radius1”，并接受 NetScreen設(shè)備自動指派的 ID 號。輸入其 IP 地址 ；將其端口號由缺省值 (1645) 更改為 4500。將其共享機(jī)密定義為 “A56htYY97kl”。將超時值由缺省值（ 10 分鐘）更改為 30 分鐘。同時將兩個備份服務(wù)器的 IP 地址分別指定為 和 。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項】：無 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Auth Auth Servers New：輸入以下內(nèi)容，然后單擊 OK。 Name: radius1 IP/Domain Name: Backup1: Backup2: Timeout: 30 Account Type: Admin RADIUS:（選擇） RADIUS Port: 4500 Shared Secret: A56htYY97kl SNMP 協(xié)議 SNMP協(xié)議是目前數(shù)據(jù)網(wǎng)管理中普遍使用的協(xié)議，但 SNMP協(xié)議本身也存在安全問題。需要合理配置 SNMP 協(xié)議的相關(guān)屬性，才能讓 SNMP 協(xié)議更好的為日常維護(hù)管理服務(wù)。如不需要，不建議對 NetScreen防火墻使用 SNMP。 NetScreen防火墻支持 SNMPv MIBII，還有其私有 MIB 庫，可將其加載到網(wǎng)絡(luò)管理系統(tǒng)中。要獲得最新的 MIB 文件，請從 下載。 建議采取以下方法進(jìn)行保護(hù)： 7/20 ? 限制發(fā)起 SNMP連接的源地址； ? 設(shè)置并定期更改 SNMP Community（至少半年一次）； ? 除特殊情況，否則不設(shè)置 SNMP RW Community； 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項】： SNMP服務(wù)器應(yīng)配置與防火墻 SNMP相同的 Community Name通信子串。 【具體配置】： a. 如果業(yè)務(wù)不需使用 SNMP服務(wù)，可停止 SNMP服務(wù) 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界 面 選擇菜單 Network Interfaces (Edit) Service Options 不選擇 SNMP b. 如果業(yè)務(wù)需要使用 SNMP服務(wù)，可通過對其認(rèn)證字符串、讀寫權(quán)限和地址進(jìn)行限制。 選擇菜單 Configuration Report Settings SNMP 設(shè)置 Configuration Report Settings SNMP 單擊 New Community Community Name設(shè)置口令 Permissions 設(shè)置讀寫權(quán)限 Hosts IP Address/Netmask地址限定 HTTP 的配置要求 NetScreen設(shè)備使用 Web技術(shù)提供了配置和管理軟件的 Web界面，可使用標(biāo)準(zhǔn)的 Web 瀏覽器，通過 “超文本傳輸協(xié)議 ” (HTTP) 遠(yuǎn)程訪問、監(jiān)控和控制網(wǎng)絡(luò)安全配置。為了保障 HTTP的安全，可通過在虛擬專用網(wǎng) (VPN)通道中封裝 HTTP流量或通過 “安全套接字層 ”(SSL)協(xié)議保障安全，還可以通過將管理流量與網(wǎng)絡(luò)用戶流量完全分離來保障它的安全。一些型號的 NetScreen 設(shè)備支持通過 MGT接口或?qū)⒁粋€接口（例如 DMZ）完全專用于管理流量來運行所有的管理流量。 8/20 更改 HTTP監(jiān)聽端口號 NetScreen使用 HTTP時缺省使用的 80監(jiān)聽端口容易被黑客掃描到，因此可以通過更改 HTTP監(jiān)聽端口號提高系統(tǒng)安全性。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項】：更改端口號后，在下次嘗試通過 HTTP訪問 NetScreen 設(shè)備時，必須在 Web 瀏覽器的 URL 字段中鍵入新的端口號（如 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Managemen 在 “HTTP 端口 ”字段中，鍵入新端口號（如 50000），然后單擊 Apply 使用 SSL保障 HTTP訪問的安全性 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項】：有關(guān)請求并加載證書的詳細(xì)信息，請參考 NetScreen 相關(guān)文檔。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 獲得 SSL證書并在 NetScreen 設(shè)備上加載 啟用 SSL 管理：選擇菜單 Configuration Admin Management：輸入以下內(nèi)容 ，然后單擊 Apply： Certificate：選擇您要從下拉列表中使用的證書。 Ciphe：選擇您要從下拉列表中使用的密碼。 配置接口，通過該接口您可管理 NetScreen 設(shè)備，以允許進(jìn)行 SSL 管理：選擇菜單 Network Interfaces Edit（對于要管理的接口）：啟用 SSL并禁用 HTTP 管理服務(wù)復(fù)選框，然后單擊 OK。 9/20 使用瀏覽器通過 連接到 NetScreen 設(shè)備的 SSL 端口進(jìn)行管理。 2 安全審計 防火墻的日志數(shù)據(jù)能夠幫助系統(tǒng)管理員進(jìn)行歷史信息流跟蹤、事件關(guān)聯(lián)分析和網(wǎng)絡(luò)故障 診斷，因此利用 NetScreen防火墻提供的各種功能加強(qiáng)對日志的管理，將有助于及時發(fā)現(xiàn)和判斷安全問題。所有 NetScreen 設(shè)備都允許在內(nèi)部（閃存區(qū)域）和外部存儲事件和信息流日志數(shù)據(jù)。盡管在內(nèi)部存儲日志信息很方便，但內(nèi)存的數(shù)量是有限的。當(dāng)內(nèi)部存儲空間被完全占用時， NetScreen 設(shè)備會用最新的日志條目覆蓋最舊的日志條目，造成數(shù)據(jù)丟失。要減少這種數(shù)據(jù)損失，可將事件和信息流日志存儲在外部的系統(tǒng)日志或 WebTrends 服務(wù)器中，或NetScreenGlobal PRO 數(shù)據(jù)庫中。 NetScreen防火墻 提供以下幾種日志存