【正文】 ：無 【注意事項(xiàng)】：操作系統(tǒng)版本升級(jí)過程中可能出現(xiàn)防火墻工作異常， HA 模式工作的多個(gè)防火 墻必須同時(shí)升級(jí)并保證最終版本一致。因此，為了記錄系統(tǒng)升級(jí)過程中可能出現(xiàn)的意外情況 并能及時(shí)處理，建議通過隨機(jī)配備的 CONSOLE線纜將筆記本電腦的串口連接到防火墻的 CONSOLE口上，并打開超級(jí)終端軟件連接防火墻。會(huì)出現(xiàn)一條系統(tǒng)消息，提示您打開該文件或?qū)⑵浔４娴接?jì)算機(jī)上。 制定升級(jí)計(jì)劃 與設(shè)備支撐單位一起制定詳細(xì)的升級(jí)計(jì)劃，充分考慮實(shí)施升級(jí)和補(bǔ)丁裝載時(shí)系統(tǒng)重啟對(duì)業(yè) 務(wù)的影響，充分考慮網(wǎng)絡(luò)結(jié)構(gòu)的雙機(jī)或雙鏈路結(jié)構(gòu)對(duì)業(yè)務(wù)的保護(hù)，最大限度減少業(yè)務(wù)中斷時(shí)間。為了確保 IOS升級(jí)的順利進(jìn)行，建議考慮從以下幾個(gè)細(xì)節(jié)進(jìn)行考慮。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Policies Edit（選擇需要開啟信息流日志的策略） 單擊 Advanced: 選擇 Logging，單擊 Return，然后單擊 OK 根據(jù)需要開啟 SELF日志功能。分為 Emergency（緊急）、Emergency（緊急）、 Alert（警示）、 Critical（關(guān)鍵）、 Error（錯(cuò)誤）、Warning（警告）、 Notification（通知）、 Information（信息）、 Debugging（調(diào)試） 8種級(jí)別。盡管在內(nèi)部存儲(chǔ)日志信息很方便，但內(nèi)存的數(shù)量是有限的。 配置接口，通過該接口您可管理 NetScreen 設(shè)備，以允許進(jìn)行 SSL 管理：選擇菜單 Network Interfaces Edit（對(duì)于要管理的接口）：?jiǎn)⒂?SSL并禁用 HTTP 管理服務(wù)復(fù)選框，然后單擊 OK。 8/20 更改 HTTP監(jiān)聽端口號(hào) NetScreen使用 HTTP時(shí)缺省使用的 80監(jiān)聽端口容易被黑客掃描到，因此可以通過更改 HTTP監(jiān)聽端口號(hào)提高系統(tǒng)安全性。 【具體配置】： a. 如果業(yè)務(wù)不需使用 SNMP服務(wù)，可停止 SNMP服務(wù) 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界 面 選擇菜單 Network Interfaces (Edit) Service Options 不選擇 SNMP b. 如果業(yè)務(wù)需要使用 SNMP服務(wù)，可通過對(duì)其認(rèn)證字符串、讀寫權(quán)限和地址進(jìn)行限制。如不需要，不建議對(duì) NetScreen防火墻使用 SNMP。同時(shí)將兩個(gè)備份服務(wù)器的 IP 地址分別指定為 和 。 在下例中將其用戶帳戶類型指定為 admin，將 RADIUS 服務(wù)器命名為 6/20 “radius1”，并接受 NetScreen設(shè)備自動(dòng)指派的 ID 號(hào)。要針對(duì) RADIUS配置 NetScreen設(shè)備，必須指定 RADIUS服務(wù)器的 IP地址，并定義與 RADIUS服務(wù)器上的定義相同的 shared secret。 RADIUS認(rèn)證和授權(quán) 遠(yuǎn)程認(rèn)證撥號(hào)的用戶服務(wù) (RADIUS)是一個(gè)用于認(rèn)證服務(wù)器的協(xié)議，它最多可支持幾萬個(gè)用戶。 NetScreen 防火墻除了支持本地?cái)?shù)據(jù)庫的認(rèn)證和授權(quán)，還支持外部RADIUS、 SecureID 和 LDAP 服務(wù)器的認(rèn)證和授權(quán)。 更改系統(tǒng)初始帳號(hào)和密碼 NetScreen 防火墻出廠時(shí)缺省配置了初始登陸名 screen 和初始密碼screen，在完成初始配置后應(yīng)盡快將初始帳戶修改。為了提高安全性，在方便記憶的前提下，帳號(hào)名字應(yīng)盡量混用字符的大小寫、數(shù)字和符號(hào)，提高猜度的難度。當(dāng)外方人員需要登錄設(shè)備時(shí)，應(yīng)創(chuàng)建臨時(shí)帳號(hào)，并指定合適的權(quán)限。要限制對(duì)特定工作站的管理能 力，必須配置管理客戶端 IP 地址。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面 輸入命令： set admin access attempts number 限制 ROOT登錄 由于 ROOT 管理員具有最高權(quán)限，為了避免 ROOT 管理員密碼被竊取后造成威脅，可以限制 ROOT 用戶只能通過 CONSOLE 接口訪問設(shè)備，而不能遠(yuǎn)程登錄。 規(guī)范的配置文檔提供遠(yuǎn)程登陸 SSH 開啟的方式，和 SSH 相關(guān)屬性的設(shè)置，如：超時(shí)間隔、嘗試登錄次數(shù)、控制連接的并發(fā)數(shù)目、如何采用訪問列表嚴(yán)格控制訪問的地址。同時(shí) Tel并不是一個(gè)安全的協(xié)議。雖然 Tel在連接建立初期需要進(jìn)行帳號(hào)和密碼的核查，但是在此過程，以及后續(xù)會(huì)話中，都是明文方式傳送所有數(shù)據(jù)，容易造竊聽而泄密。 SSH可以非常有效地防止竊聽、防止使用地址欺騙手段實(shí)施的連接嘗試。當(dāng)系統(tǒng)收到一個(gè)連接請(qǐng)求，若 提供的帳號(hào)或密碼連續(xù)不能通過驗(yàn)證的的次數(shù)超過設(shè)定值，就自動(dòng)中斷該連接。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界 面 選擇菜單 Network Interfaces Edit（選擇需要定義管理 IP 的接口） Zone Name: Trust（假設(shè)定義在 Trust區(qū)段） IP Address/Netmask: （接口地址） Manage IP: （管理地址） Management Services: WebUI, Tel, SNMP:（選擇需要的服務(wù)） 限制可登錄的訪問地址 缺省情況下，可信接口上的任何主機(jī)都可管理 NetScreen 設(shè)備。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Permitted Ips 設(shè)置管理工作站的單一地址或一段地址 帳號(hào)和密碼管理 建議應(yīng)在日常維護(hù)過程中 周期性地（至少按季度）更改登錄密碼，甚至登錄帳號(hào)。帳號(hào)名字應(yīng)該與使用者存在對(duì)應(yīng)關(guān)系，如能反應(yīng)使用者的級(jí)別、從屬關(guān)系。 我們建議用密碼生成器軟件（如 ） 來制造隨機(jī)密碼。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行 界面 輸入命令： set admin password restrict length 8 5/20 帳號(hào)認(rèn)證和授權(quán) 帳號(hào)的認(rèn)證和授權(quán)分為設(shè)備本身的認(rèn)證和授權(quán)和 AAA 服務(wù)器的認(rèn)證和授權(quán)兩個(gè)部分。 NetScreen設(shè)備的管 理員分為三種級(jí)別： ? 根管理員具有完全的管理權(quán)限，每個(gè) NetScreen 設(shè)備只有一個(gè)根管理員； ? 可讀 /寫管理員具有與根管理員相同的權(quán)限，但是他不能創(chuàng)建、修改或刪除其他的 admin 用戶； ? 只讀管理員只具有使用 WebUI 進(jìn)行查看的權(quán)限，他只能發(fā)出 get 和 ping CLI 命令。然后，它將這些值與其數(shù)據(jù)庫中的對(duì)應(yīng)值比較，用戶通過認(rèn)證后，客戶端即允許其訪問相應(yīng)的網(wǎng)絡(luò)服務(wù)?？蓮?下載詞典文件。將超時(shí)值由缺省值（ 10 分鐘）更改為 30 分鐘。需要合理配置 SNMP 協(xié)議的相關(guān)屬性，才能讓 SNMP 協(xié)議更好的為日常維護(hù)管理服務(wù)。 建議采取以下方法進(jìn)行保護(hù)： 7/20