【正文】 ? 限制發(fā)起 SNMP連接的源地址； ? 設(shè)置并定期更改 SNMP Community（至少半年一次）； ? 除特殊情況，否則不設(shè)置 SNMP RW Community； 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【注意事項(xiàng)】： SNMP服務(wù)器應(yīng)配置與防火墻 SNMP相同的 Community Name通信子串。一些型號(hào)的 NetScreen 設(shè)備支持通過(guò) MGT接口或?qū)⒁粋€(gè)接口（例如 DMZ）完全專用于管理流量來(lái)運(yùn)行所有的管理流量。 Ciphe：選擇您要從下拉列表中使用的密碼。所有 NetScreen 設(shè)備都允許在內(nèi)部（閃存區(qū)域）和外部存儲(chǔ)事件和信息流日志數(shù)據(jù)。 NetScreen防火墻 提供以下幾種日志存儲(chǔ)及呈現(xiàn)方式： ? Console（控制臺(tái)） ? Internal（內(nèi)部數(shù)據(jù)庫(kù)） ? Email（電子郵件） ? SNMP ? Syslog （系統(tǒng)日志） ? WebTrends ? NetScreenGlobal PRO ? CompactFlash (PCMCIA) NetScreen防火墻的日志信息分為以下四種類型： ? 事件日志：用于監(jiān)控系統(tǒng)事件和網(wǎng)絡(luò)流量。 10/20 建議通過(guò)以下幾項(xiàng)措施加強(qiáng)對(duì) NetScreen防火墻的日志管理： 針對(duì)重要策略開(kāi)啟信息流日志。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Report Settings Syslog，輸入以下信息，然 11/20 后單擊 Apply Enable syslog messages:（選擇） Include Traffic Log: （選擇） Syslog Host Name/Port: 輸入服務(wù)器地址和端口 Security Facility: Local0 Facility: Local0 3 設(shè)備 IOS升級(jí)方法 設(shè)備軟件版本升級(jí)和補(bǔ)丁安裝是實(shí)施設(shè)備安全加固一個(gè)不可缺少的環(huán)節(jié)。建議在升級(jí)前必須確認(rèn)軟件是否通過(guò)集團(tuán)公司的入網(wǎng)許可，并且與設(shè)備支撐單位確認(rèn)你所要升級(jí)設(shè)備的硬件滿足升級(jí)操作系統(tǒng)軟件的要求，最好直接向設(shè)備供應(yīng)商獲取。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【具體配置】： 備份操作系統(tǒng)軟件 進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面 輸入命令： save software from flash to tftp [ip_addr] [filename] [ from interface ] 備份配置數(shù)據(jù)文件 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Update Config File，單擊 Save to File。 其他準(zhǔn)備工作 在對(duì) NetScreen 防火墻的操作系統(tǒng)（ ScreenOS）進(jìn)行升級(jí)時(shí)，其管理接口上的 WebUI 或 CLI 用戶界面會(huì)暫時(shí)中斷。并將信息存儲(chǔ)在外部介質(zhì)上，確保升級(jí)完畢后進(jìn)行核對(duì)。 檢查升級(jí)后系統(tǒng)的狀態(tài) 和 。當(dāng)啟用了 ICMP 泛濫保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，一旦超過(guò)此值就會(huì)調(diào)用 ICMP 泛濫攻擊保護(hù)功能。當(dāng)啟用了 UDP 泛濫保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，一旦超過(guò)此臨界值就會(huì)調(diào)用 UDP 泛濫攻擊保護(hù)功能。這個(gè)方案的目的是掃描可用的服務(wù)，希望會(huì)有一個(gè)端口響應(yīng)，因此識(shí)別出作為目標(biāo)的服務(wù)。例如，如果從同一客戶端發(fā)送過(guò)多的請(qǐng)求，就能耗盡 Web 服務(wù)器上的會(huì)話資源。 NetScreen 設(shè)備會(huì)截取封包，通過(guò) Proxy 將 SYNACK 封包發(fā)送給用戶。如果用戶懷有惡意而不登錄，但繼續(xù)啟動(dòng)SYNACKACK 會(huì)話， NetScreen 會(huì)話表就可能填滿到某個(gè)程度，讓設(shè)備開(kāi)始拒絕合法的連接要求。您可以更改這個(gè)臨界值（為 1 到 2,500,000 之間的任何數(shù)目）以更好地適合網(wǎng)絡(luò)環(huán)境的需求。進(jìn)一步的連接無(wú)法進(jìn)行，并且可能會(huì)破壞主機(jī)操作系統(tǒng)。接著，攻擊者可以利用已知的系統(tǒng)漏洞來(lái)實(shí)施進(jìn)一步的攻擊。 6. FIN Bit With No ACK Bit（有 FIN 位無(wú) ACK 位）：設(shè)置了 FIN 標(biāo)志的TCP 封包通常也會(huì)設(shè)置 ACK 位。許多 ping 實(shí)現(xiàn)允許用戶根據(jù)需要指定更大的封包大小 。這個(gè)配置的目的是 Ping 數(shù)個(gè)主機(jī)，希望有一個(gè)會(huì)回復(fù)響應(yīng)，以便找到可以作為目標(biāo)的地址。 11. Tear Drop Attack（撕毀攻擊）：撕毀攻擊利用了 IP 封包碎片的重新組合。 12. Filter IP Source Route Option（過(guò)濾 IP 源路由選項(xiàng)）： IP 包頭信息有一個(gè)選項(xiàng)，其中所含的路由信息可指定與包頭源路由不同的源路由。此選項(xiàng)用于記錄封包的路由。此選項(xiàng)為封包源提供了一種手段，可在向目標(biāo)轉(zhuǎn)發(fā)封包時(shí)提供網(wǎng)關(guān)所要使用的路由信息。 17. IP Spoofing（ IP 欺騙）：當(dāng)攻擊者試圖通過(guò)假冒有效的客戶端 IP 地址來(lái)繞過(guò)防火墻保護(hù) 時(shí)，就發(fā)生了欺騙攻擊。 19. Bad IP Option（壞的 IP 選項(xiàng)）：當(dāng) IP 數(shù)據(jù)包包頭中的 IP 選項(xiàng)列表不完整或殘缺時(shí)，會(huì)觸發(fā)此選項(xiàng)。此選項(xiàng)是松散源路由，因?yàn)樵试S網(wǎng)關(guān)或主機(jī) IP 使用任何數(shù)量的其它中間網(wǎng)關(guān)的任何路由來(lái)到達(dá)路 由中的下一 18/20 地址。 WinNuke 通過(guò)已建立的連接向主機(jī)發(fā)送帶外 (OOB) 數(shù)據(jù) — 通常發(fā)送到 NetBIOS 端口 139— 并引起 NetBIOS 碎片重疊，以此來(lái) 使多臺(tái)機(jī)器崩潰。 24. Land Attack： “陸地 ”攻擊將 SYN 攻擊和 IP 欺騙結(jié)合在了一起，當(dāng)攻擊者發(fā)送含有受害方 IP 地址的欺騙性 SYN 封包，將其作為目的和源 IP 地址時(shí)，就發(fā)生了陸地攻擊。 25. Malicious URL Protection：當(dāng)啟用 “惡意 URL 檢測(cè) ”時(shí)， NetScreen 設(shè)備會(huì)監(jiān)視每個(gè) HTTP 封包并檢測(cè)與若干用戶定義模式中的任意一個(gè)相匹配的任何封包。同樣，特洛伊木馬病毒 2 也可以隱藏在壓縮文件（如 .zip）和可執(zhí)行（ .exe）文件中。如果內(nèi)容類型僅列出 “八位位組流 ”，而不是特定的組件類型，則 NetScreen設(shè)備會(huì)檢查負(fù)荷中的文件類型。當(dāng)目標(biāo)系統(tǒng)收到這些封包時(shí)，造成的結(jié)果小到無(wú)法正確處理封包，大到使整個(gè)系統(tǒng)崩潰。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單選擇菜單 Network Zones 選擇需要啟用抵御攻擊選項(xiàng)的區(qū)段，單擊 Edit SCREEN，輸入以下設(shè)置，然后單擊 Apply： SYN Flood Protection:選擇 Threshold: 200 pps Alarm Threshold： 1024 pps Source Threshold： 4000 pps Destination Threshold： 40000 pps 20/20 Timeout Value： 20 sec Queue Size： 10240