正文內(nèi)容

netscreen防火墻安全配置指導(dǎo)手冊(cè)(已修改)

2025-05-30 00:49 本頁面

　

【正文】 1/20 1 網(wǎng)管及認(rèn)證問題遠(yuǎn)程登錄一般而言，維護(hù)人員都習(xí)慣使用 CLI來進(jìn)行設(shè)備配置和日常管理，使用 Tel工具來遠(yuǎn)程登錄設(shè)備，并且大部分設(shè)備都提供標(biāo)準(zhǔn)的 Tel接口，開放 TCP 23端口。雖然 Tel在連接建立初期需要進(jìn)行帳號(hào)和密碼的核查，但是在此過程，以及后續(xù)會(huì)話中，都是明文方式傳送所有數(shù)據(jù)，容易造竊聽而泄密。同時(shí) Tel并不是一個(gè)安全的協(xié)議。要求采用 SSH協(xié)議來取代 Tel進(jìn)行設(shè)備的遠(yuǎn)程登錄， SSH與 Tel一樣，提供遠(yuǎn)程連接登錄的手段。但是 SSH 傳送的數(shù)據(jù)（包括帳號(hào)和密碼）都會(huì)被加密，且密鑰會(huì)自動(dòng)更新，極大提高了連接的安全性。 SSH可以非常有效地防止竊聽、防止使用地址欺騙手段實(shí)施的連接嘗試。規(guī)范的配置文檔提供遠(yuǎn)程登陸 SSH 開啟的方式，和 SSH 相關(guān)屬性的設(shè)置，如：超時(shí)間隔、嘗試登錄次數(shù)、控制連接的并發(fā)數(shù)目、如何采用訪問列表嚴(yán)格控制訪問的地址。啟用 SSH 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備【影響】：無【注意事項(xiàng)】：配置 SCS后，工作站需采用支持 SSH2的客戶端軟件，對(duì)防火墻進(jìn)行管理。【具體配置】：進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面選擇菜單 Configuration Admin Management 選擇 Enable SCS并應(yīng)用選擇 Network Interfaces，針對(duì)每個(gè) interface 進(jìn)行配置在 Network Interfaces (Edit) Properties: Basic Service Options 2/20 Management Services 選擇 SCS，禁用 tel 限制登錄嘗試次數(shù) 為了防止窮舉式密碼試探，要求設(shè)置登錄嘗試次數(shù)限制，建議為 3次。當(dāng)系統(tǒng)收到一個(gè)連接請(qǐng)求，若提供的帳號(hào)或密碼連續(xù)不能通過驗(yàn)證的的次數(shù)超過設(shè)定值，就自動(dòng)中斷該連接。【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備【影響】：無【具體配置】：進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面輸入命令： set admin access attempts number 限制 ROOT登錄由于 ROOT 管理員具有最高權(quán)限，為了避免 ROOT 管理員密碼被竊取后造成威脅，可以限制 ROOT 用戶只能通過 CONSOLE 接口訪問設(shè)備，而不能遠(yuǎn)程登錄。【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備【影響】：無【具體配置】：進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面輸入命令： set admin root access console 訪問限制啟用只接受管理流量的邏輯管理 IP地址任何綁定到安全區(qū)段的接口都至少可以具有兩個(gè) IP 地址：一個(gè)連接到網(wǎng)絡(luò)的接口 IP 地址；一個(gè)用于接收管理流量的邏輯管理 IP 地址。從網(wǎng)絡(luò)用戶流量 3/20 分離管理流量大大增加了管理安全性，并確保了穩(wěn)定的管理帶寬。【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備【影響】：無【具體配置】：進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面選擇菜單 Network Interfaces Edit（選擇需要定義管理 IP 的接口） Zone Name: Trust（假設(shè)定義在 Trust區(qū)段） IP Address/Netmask: （接口地址） Manage IP: （管理地址） Management Services: WebUI, Tel, SNMP:（選擇需要的服務(wù)）限制可登錄的訪問地址缺省情況下，可信接口上的任何主機(jī)都可管理 NetScreen 設(shè)備。要限制對(duì)特定工作站的管理能力，必須配置管理客戶端 IP 地址。【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備【影響】：無【注意事項(xiàng)】：管理客戶端 IP 地址的指派立即生效。如果通過網(wǎng)絡(luò)連接對(duì)設(shè)備進(jìn)行管理，而工作站不包括在指派中，則 NetScreen 設(shè)備立即終止當(dāng)前會(huì)話，并且不再能從該工作站管理設(shè)備。【具體配置】：進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面選擇菜單 Configuration Admin Permitted Ips 設(shè)置管理工作站的單一地址或一段地址帳號(hào)和密碼管理建議應(yīng)在日常維護(hù)過程中周期性地（至少按季度）更改登錄密碼，甚至登錄帳號(hào)。當(dāng)外方人員需要登錄設(shè)備時(shí)，應(yīng)創(chuàng)建臨時(shí)帳號(hào)，并指定合適的權(quán)限。臨時(shí)帳號(hào)使用完后應(yīng)及時(shí)刪除。登錄帳號(hào)及密碼的保管和更新應(yīng)由專人負(fù)責(zé)，并注意 4/20 保密。帳號(hào)名字應(yīng)該與使用者存在對(duì)應(yīng)關(guān)系，如能反應(yīng)使用者的級(jí)別、從屬關(guān)系。為了提高安全性，在方便記憶的前提下，帳號(hào)名字應(yīng)盡量混用字符的大小寫、數(shù)字和符號(hào)，提高猜度的難度。同樣的，密碼必須至少使用四種可用字符類型中的三種：小寫字母、大寫字母、數(shù)字和符號(hào)，而且密碼不得包含用戶名或用戶全名的一部分。一般情況下密碼至少包含 8 個(gè)字符。我們建議用密碼生成器軟件（如）來制造隨機(jī)密碼。更改系統(tǒng)初始帳號(hào)和密碼 NetScreen 防火墻出廠時(shí)缺省配置了初始登陸名 screen 和初始密碼screen，在完成初始配置后應(yīng)盡快將初始帳戶修改。【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備【影響】：無【注意事項(xiàng)】：登錄名和密碼都區(qū)分大小寫，每個(gè)都必須為一個(gè)單詞、字母或數(shù)字，但是不能有符號(hào)。【具體配置】：進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面選擇菜單 Configuration Admin Administrators Edit 將系統(tǒng)缺省的初始登陸名 screen和初始密碼 screen更改為新的登陸名和密碼，然后單擊 OK 限制密碼最短長(zhǎng)度要求密碼最短長(zhǎng)度為 8位。【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備【影響】：無【具體配置】：進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面輸入命令： set admin password restrict length 8 5/20 帳號(hào)認(rèn)證和授權(quán) 帳號(hào)的認(rèn)證和授權(quán)分為設(shè)備本身的認(rèn)證和授權(quán)和 AAA 服務(wù)器的認(rèn)證和授權(quán)兩個(gè)部分。 NetScreen 防火墻除了支持本地?cái)?shù)據(jù)庫的認(rèn)證和授權(quán)，還支持外部RADIUS、 SecureID 和 LDAP 服務(wù)器的認(rèn)證和授權(quán)。以下以 RADIUS 為例介紹AAA服務(wù)器認(rèn)證的配置方法。本機(jī)認(rèn)證和授權(quán) 在 NetScreen 設(shè)備上定義用戶時(shí)， NetScreen 設(shè)備將用戶名和密碼輸入到其本地?cái)?shù)據(jù)庫中。 NetScreen設(shè)備的管理員分為三種級(jí)別： ? 根管理員具有完全的管理權(quán)限，每個(gè) NetScreen 設(shè)備只有一個(gè)根管理員； ? 可讀 /寫管理員具有與根管理員相同的權(quán)限，但是他不能創(chuàng)建、修改或刪除其他的 admin 用戶； ? 只讀管理員只具有使用 WebUI 進(jìn)行查看的權(quán)限，他只能發(fā)出 get 和 ping

點(diǎn)擊復(fù)制文檔內(nèi)容

法律信息相關(guān)推薦

ibm—中國(guó)移動(dòng)checkpoint防火墻安全配置手冊(cè)v01-資料下載頁

【總結(jié)】密級(jí)：文檔編號(hào)：項(xiàng)目代號(hào)：中國(guó)移動(dòng)Checkpoint防火墻安全配置手冊(cè)Version*.*中國(guó)移動(dòng)通信有限公司二零零四年十一月擬制:審核:批準(zhǔn):會(huì)簽:標(biāo)準(zhǔn)化:36/36版本控制版本號(hào)日期參與人員更新

2025-06-25 06:53

ibm—中國(guó)移動(dòng)pix防火墻安全配置手冊(cè)v01-資料下載頁

【總結(jié)】中國(guó)移動(dòng)PIX防火墻安全配置手冊(cè)Version中國(guó)移動(dòng)通信有限公司二零零四年十二月擬制:審核:批準(zhǔn):會(huì)簽:標(biāo)準(zhǔn)化:版本控制版本號(hào)日期參與人員更新說明分發(fā)控制編號(hào)讀者文檔權(quán)限與文

2025-06-25 06:53

-天融信版本防火墻常用功能配置手冊(cè)v2-資料下載頁

【總結(jié)】常用功能配置手冊(cè)北京天融信南京分公司2008年5月目錄一、前言 3二、 3三、天融信防火墻一些基本概念 4四、防火墻管理 4五、防火墻配置 6（1）防火墻路由模式案例配置 61、防火墻接口IP地址配置 72、區(qū)域和缺省訪問權(quán)限配置 83、防火墻管理權(quán)限設(shè)置（定義希望從哪個(gè)區(qū)域管理防火墻） 94、路

2025-06-25 04:53

“防火墻”任務(wù)手冊(cè)分娩平安-資料下載頁

【總結(jié)】戊據(jù)延釁噸奪釉播漾硼夕奉采各咕閃切巳特瘡秀笛番指卿譜寞充紉瞧襟娥偵磁艷椒啞報(bào)贓聲銘家桅腥籠銑頒軒偶橋罷礫靠同疊喧虞耘欺瞅縱燭噎宮遷炮掣憎排瞪尖簧娥濟(jì)仙盔鎬懶怯徹馳鈕魯臆烴馴眠蘋坑刷旭集藤爛閻健剪解陡貯粥伸譴劣冬枝薛練計(jì)津閑席曙屹今喘其伯稈葡厄鎬群陡聯(lián)胯元誹游電金附幫鉚凹半瘍眺滬婆粟刀旅固呢瑰卷到述涕希汞操榨亢訛甄插廳演牽熱布愧唐號(hào)疥絨峻扼斂哺狼羨腿柔敞瘋里抽扶浸伴冒登俱喧溉致蹤攆杭獻(xiàn)脊瑞褂優(yōu)艘

2024-11-05 18:11

juniper_ssg-5(ns-5gt)防火墻配置手冊(cè)-資料下載頁

【總結(jié)】JuniperSSG-5（NS-5GT）防火墻配置手冊(cè)初始化設(shè)置 2Internet網(wǎng)絡(luò)設(shè)置 6一般策略設(shè)置 15VPN連接設(shè)置 27初始化設(shè)置，連接網(wǎng)線從防火墻e0\2口連接到電腦網(wǎng)卡。，（），，，如下圖：，測(cè)試連通，在命令行ping，如下圖：，，如下圖向?qū)нx擇最下面No,skip——，然后點(diǎn)擊下面的Next：

2025-06-05 18:54

華為防火墻l2tp配置-資料下載頁

【總結(jié)】配置Client-Initialized方式的L2TP舉例組網(wǎng)需求如圖1所示，某公司的網(wǎng)絡(luò)環(huán)境描述如下：·公司總部通過USG5300與Internet連接?！こ霾顔T工需要通過USG5300訪問公司總部的資源。圖1配置Client-Initialized方式的L2TP組網(wǎng)圖配置L2TP，實(shí)現(xiàn)出差員工能夠通過L2TP隧道訪問公司總部資源，并與公

2025-06-27 23:46

為solaris服務(wù)器配置款安全的防火墻-資料下載頁

【總結(jié)】為Solaris服務(wù)器配置款安全的防火墻作者：曹江華(原創(chuàng))　　連接網(wǎng)上的服務(wù)器系統(tǒng)，不管是什么情況都要明確一點(diǎn)：網(wǎng)絡(luò)是不安全的。因此，雖然創(chuàng)建一個(gè)防火墻并不能保證系統(tǒng)100％安全，但卻是絕對(duì)必要的。傳統(tǒng)意義上的防火墻技術(shù)分為三大類，“包過濾”（PacketFiltering）、“應(yīng)用代理”（ApplicationProxy）和“狀態(tài)檢測(cè)”（StatefulIns

2025-04-09 11:20

ciw-防火墻原理及配置(200607)-資料下載頁

【總結(jié)】防火墻原理及安全配置課程內(nèi)容?防火墻的原理?防火墻系統(tǒng)的設(shè)計(jì)?防火墻的選擇與維護(hù)?防火墻產(chǎn)品的測(cè)試與選型?PIX防火墻實(shí)驗(yàn)?ISA2022實(shí)驗(yàn)防火墻的原理內(nèi)容?Inter的安全風(fēng)險(xiǎn)?Inter的基本安全概念?防火墻的重要性?防火墻的基本概念?防火墻的基

2025-01-21 12:39

linux環(huán)境下的防火墻設(shè)計(jì)和配置-資料下載頁

【總結(jié)】Linux環(huán)境下的netfilter/iptables防火墻設(shè)計(jì)和配置（防火墻課程設(shè)計(jì)-linux篇）1問題和解答引言1）問：采用iptables如何限定QQ。答：QQ的source-port為4000，destination-port為8000只需要在FORWARD里加入一條規(guī)則就可以：iptables-AFORWARD-ieth0-pudp--dport

2024-08-06 11:42

juniper_ssg-5(ns-5gt)vpn防火墻配置手冊(cè)-資料下載頁

【總結(jié)】JuniperSSG-5（NS-5GT）防火墻配置手冊(cè)初始化設(shè)置......................................................................................................................2Inter網(wǎng)絡(luò)設(shè)置.....................

2024-11-03 15:09

思科asa5505防火墻配置成功實(shí)例-資料下載頁

【總結(jié)】配置要求：1、???分別劃分inside（內(nèi)網(wǎng)）、outside（外網(wǎng)）、dmz（安全區(qū)）三個(gè)區(qū)域。2、???內(nèi)網(wǎng)可訪問外網(wǎng)及dmz內(nèi)服務(wù)器（web），外網(wǎng)可訪問dmz內(nèi)服務(wù)器（web）。3、???Dmz服務(wù)器分別開放80、21、3389端口。說明：由于防火墻許可限制“noforwa

2025-06-26 15:46

華為防火墻雙機(jī)熱備配置及組網(wǎng)-資料下載頁

【總結(jié)】防火墻雙機(jī)熱備配置及組網(wǎng)指導(dǎo)內(nèi)部公開防火墻雙機(jī)熱備配置及組網(wǎng)指導(dǎo)防火墻雙機(jī)熱備，主要是提供冗余備份的功能，在網(wǎng)絡(luò)發(fā)生故障的時(shí)候避免業(yè)務(wù)出現(xiàn)中斷。防火墻雙機(jī)熱備組網(wǎng)根據(jù)防火墻的模式，分路由模式下的雙機(jī)熱備組網(wǎng)和透明模式下的雙機(jī)熱備組網(wǎng)，下面分別根據(jù)防火墻的不同模式下的組網(wǎng)提供組網(wǎng)說明及典型配置。11：防火墻雙機(jī)熱備命令行說明防火墻的雙機(jī)熱備的配置主要涉及

2025-06-28 00:22

防火墻安全技術(shù)論-資料下載頁

【總結(jié)】河北大學(xué)人民武裝學(xué)院河北大學(xué)人民武裝學(xué)院2022屆畢業(yè)論文防火墻安全技術(shù)中隊(duì)：三十一中隊(duì)專業(yè)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)班級(jí)：四班姓

2025-01-08 11:20

全新的天融信防火墻ngfw4000的配置-資料下載頁

【總結(jié)】全新的天融信防火墻NGFW4000_配置配置一臺(tái)全新的天融信防火墻NGFW4000，配置完后，，，并且內(nèi)網(wǎng)用戶也可以通過WEB服務(wù)器的外網(wǎng)地址進(jìn)行訪問。網(wǎng)絡(luò)說明：防火墻外網(wǎng)接口地址：防火墻內(nèi)網(wǎng)接口地址：核心交換機(jī)防火墻VLAN：核心交換機(jī)用戶群A的VLAN：核心交換機(jī)用戶群B的VLAN：用戶群A的默認(rèn)網(wǎng)關(guān)：用戶群B的默認(rèn)網(wǎng)關(guān)：防火墻至出口的默認(rèn)網(wǎng)關(guān)：核

2025-06-28 13:42

freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片