【正文】 ：無 【注意事項】：操作系統(tǒng)版本升級過程中可能出現防火墻工作異常， HA 模式工作的多個防火 墻必須同時升級并保證最終版本一致。因此，為了記錄系統(tǒng)升級過程中可能出現的意外情況 并能及時處理，建議通過隨機配備的 CONSOLE線纜將筆記本電腦的串口連接到防火墻的 CONSOLE口上，并打開超級終端軟件連接防火墻。會出現一條系統(tǒng)消息，提示您打開該文件或將其保存到計算機上。 制定升級計劃 與設備支撐單位一起制定詳細的升級計劃，充分考慮實施升級和補丁裝載時系統(tǒng)重啟對業(yè) 務的影響，充分考慮網絡結構的雙機或雙鏈路結構對業(yè)務的保護，最大限度減少業(yè)務中斷時間。為了確保 IOS升級的順利進行，建議考慮從以下幾個細節(jié)進行考慮。 【應用網絡層次】：所有層面防火墻設備 【影響】：無 【具體配置】： 進入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Policies Edit（選擇需要開啟信息流日志的策略） 單擊 Advanced: 選擇 Logging，單擊 Return，然后單擊 OK 根據需要開啟 SELF日志功能。分為 Emergency（緊急）、Emergency（緊急）、 Alert（警示）、 Critical（關鍵）、 Error（錯誤）、Warning（警告）、 Notification（通知）、 Information（信息）、 Debugging（調試） 8種級別。盡管在內部存儲日志信息很方便，但內存的數量是有限的。 配置接口，通過該接口您可管理 NetScreen 設備，以允許進行 SSL 管理：選擇菜單 Network Interfaces Edit（對于要管理的接口）：啟用 SSL并禁用 HTTP 管理服務復選框，然后單擊 OK。 8/20 更改 HTTP監(jiān)聽端口號 NetScreen使用 HTTP時缺省使用的 80監(jiān)聽端口容易被黑客掃描到，因此可以通過更改 HTTP監(jiān)聽端口號提高系統(tǒng)安全性。 【具體配置】： a. 如果業(yè)務不需使用 SNMP服務，可停止 SNMP服務 進入 Netscreen防火墻的操作系統(tǒng) WebUI界 面 選擇菜單 Network Interfaces (Edit) Service Options 不選擇 SNMP b. 如果業(yè)務需要使用 SNMP服務，可通過對其認證字符串、讀寫權限和地址進行限制。如不需要，不建議對 NetScreen防火墻使用 SNMP。同時將兩個備份服務器的 IP 地址分別指定為 和 。 在下例中將其用戶帳戶類型指定為 admin，將 RADIUS 服務器命名為 6/20 “radius1”，并接受 NetScreen設備自動指派的 ID 號。要針對 RADIUS配置 NetScreen設備，必須指定 RADIUS服務器的 IP地址，并定義與 RADIUS服務器上的定義相同的 shared secret。 RADIUS認證和授權 遠程認證撥號的用戶服務 (RADIUS)是一個用于認證服務器的協(xié)議，它最多可支持幾萬個用戶。 NetScreen 防火墻除了支持本地數據庫的認證和授權，還支持外部RADIUS、 SecureID 和 LDAP 服務器的認證和授權。 更改系統(tǒng)初始帳號和密碼 NetScreen 防火墻出廠時缺省配置了初始登陸名 screen 和初始密碼screen，在完成初始配置后應盡快將初始帳戶修改。為了提高安全性，在方便記憶的前提下，帳號名字應盡量混用字符的大小寫、數字和符號，提高猜度的難度。當外方人員需要登錄設備時，應創(chuàng)建臨時帳號，并指定合適的權限。要限制對特定工作站的管理能 力，必須配置管理客戶端 IP 地址。 【應用網絡層次】：所有層面防火墻設備 【影響】：無 【具體配置】： 進入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面 輸入命令： set admin access attempts number 限制 ROOT登錄 由于 ROOT 管理員具有最高權限，為了避免 ROOT 管理員密碼被竊取后造成威脅，可以限制 ROOT 用戶只能通過 CONSOLE 接口訪問設備，而不能遠程登錄。 規(guī)范的配置文檔提供遠程登陸 SSH 開啟的方式，和 SSH 相關屬性的設置，如：超時間隔、嘗試登錄次數、控制連接的并發(fā)數目、如何采用訪問列表嚴格控制訪問的地址。同時 Tel并不是一個安全的協(xié)議。雖然 Tel在連接建立初期需要進行帳號和密碼的核查，但是在此過程，以及后續(xù)會話中，都是明文方式傳送所有數據，容易造竊聽而泄密。 SSH可以非常有效地防止竊聽、防止使用地址欺騙手段實施的連接嘗試。當系統(tǒng)收到一個連接請求，若 提供的帳號或密碼連續(xù)不能通過驗證的的次數超過設定值，就自動中斷該連接。 【應用網絡層次】：所有層面防火墻設備 【影響】：無 【具體配置】： 進入 Netscreen防火墻的操作系統(tǒng) WebUI界 面 選擇菜單 Network Interfaces Edit（選擇需要定義管理 IP 的接口） Zone Name: Trust（假設定義在 Trust區(qū)段） IP Address/Netmask: （接口地址） Manage IP: （管理地址） Management Services: WebUI, Tel, SNMP:（選擇需要的服務） 限制可登錄的訪問地址 缺省情況下，可信接口上的任何主機都可管理 NetScreen 設備。 【具體配置】： 進入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Permitted Ips 設置管理工作站的單一地址或一段地址 帳號和密碼管理 建議應在日常維護過程中 周期性地（至少按季度）更改登錄密碼，甚至登錄帳號。帳號名字應該與使用者存在對應關系，如能反應使用者的級別、從屬關系。 我們建議用密碼生成器軟件（如 ） 來制造隨機密碼。 【應用網絡層次】：所有層面防火墻設備 【影響】：無 【具體配置】： 進入 Netscreen防火墻的操作系統(tǒng) CLI命令行 界面 輸入命令： set admin password restrict length 8 5/20 帳號認證和授權 帳號的認證和授權分為設備本身的認證和授權和 AAA 服務器的認證和授權兩個部分。 NetScreen設備的管 理員分為三種級別： ? 根管理員具有完全的管理權限，每個 NetScreen 設備只有一個根管理員； ? 可讀 /寫管理員具有與根管理員相同的權限，但是他不能創(chuàng)建、修改或刪除其他的 admin 用戶； ? 只讀管理員只具有使用 WebUI 進行查看的權限，他只能發(fā)出 get 和 ping CLI 命令。然后，它將這些值與其數據庫中的對應值比較，用戶通過認證后，客戶端即允許其訪問相應的網絡服務?？蓮?下載詞典文件。將超時值由缺省值（ 10 分鐘）更改為 30 分鐘。需要合理配置 SNMP 協(xié)議的相關屬性，才能讓 SNMP 協(xié)議更好的為日常維護管理服務。 建議采取以下方法進行保護： 7/20