【正文】 ? 限制發(fā)起 SNMP連接的源地址； ? 設置并定期更改 SNMP Community（至少半年一次）； ? 除特殊情況，否則不設置 SNMP RW Community； 【應用網(wǎng)絡層次】：所有層面防火墻設備 【影響】：無 【注意事項】： SNMP服務器應配置與防火墻 SNMP相同的 Community Name通信子串。一些型號的 NetScreen 設備支持通過 MGT接口或將一個接口（例如 DMZ）完全專用于管理流量來運行所有的管理流量。 Ciphe：選擇您要從下拉列表中使用的密碼。所有 NetScreen 設備都允許在內(nèi)部（閃存區(qū)域）和外部存儲事件和信息流日志數(shù)據(jù)。 NetScreen防火墻 提供以下幾種日志存儲及呈現(xiàn)方式： ? Console（控制臺） ? Internal（內(nèi)部數(shù)據(jù)庫） ? Email（電子郵件） ? SNMP ? Syslog （系統(tǒng)日志） ? WebTrends ? NetScreenGlobal PRO ? CompactFlash (PCMCIA) NetScreen防火墻的日志信息分為以下四種類型： ? 事件日志：用于監(jiān)控系統(tǒng)事件和網(wǎng)絡流量。 10/20 建議通過以下幾項措施加強對 NetScreen防火墻的日志管理： 針對重要策略開啟信息流日志。 【具體配置】： 進入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Report Settings Syslog，輸入以下信息，然 11/20 后單擊 Apply Enable syslog messages:（選擇） Include Traffic Log: （選擇） Syslog Host Name/Port: 輸入服務器地址和端口 Security Facility: Local0 Facility: Local0 3 設備 IOS升級方法 設備軟件版本升級和補丁安裝是實施設備安全加固一個不可缺少的環(huán)節(jié)。建議在升級前必須確認軟件是否通過集團公司的入網(wǎng)許可，并且與設備支撐單位確認你所要升級設備的硬件滿足升級操作系統(tǒng)軟件的要求，最好直接向設備供應商獲取。 【應用網(wǎng)絡層次】：所有層面防火墻設備 【影響】：無 【具體配置】： 備份操作系統(tǒng)軟件 進入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面 輸入命令： save software from flash to tftp [ip_addr] [filename] [ from interface ] 備份配置數(shù)據(jù)文件 進入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Update Config File，單擊 Save to File。 其他準備工作 在對 NetScreen 防火墻的操作系統(tǒng)（ ScreenOS）進行升級時，其管理接口上的 WebUI 或 CLI 用戶界面會暫時中斷。并將信息存儲在外部介質上，確保升級完畢后進行核對。 檢查升級后系統(tǒng)的狀態(tài) 和 。當啟用了 ICMP 泛濫保護功能時，可以設置一個臨界值，一旦超過此值就會調(diào)用 ICMP 泛濫攻擊保護功能。當啟用了 UDP 泛濫保護功能時，可以設置一個臨界值，一旦超過此臨界值就會調(diào)用 UDP 泛濫攻擊保護功能。這個方案的目的是掃描可用的服務，希望會有一個端口響應，因此識別出作為目標的服務。例如，如果從同一客戶端發(fā)送過多的請求，就能耗盡 Web 服務器上的會話資源。 NetScreen 設備會截取封包，通過 Proxy 將 SYNACK 封包發(fā)送給用戶。如果用戶懷有惡意而不登錄，但繼續(xù)啟動SYNACKACK 會話， NetScreen 會話表就可能填滿到某個程度，讓設備開始拒絕合法的連接要求。您可以更改這個臨界值（為 1 到 2,500,000 之間的任何數(shù)目）以更好地適合網(wǎng)絡環(huán)境的需求。進一步的連接無法進行，并且可能會破壞主機操作系統(tǒng)。接著，攻擊者可以利用已知的系統(tǒng)漏洞來實施進一步的攻擊。 6. FIN Bit With No ACK Bit（有 FIN 位無 ACK 位）：設置了 FIN 標志的TCP 封包通常也會設置 ACK 位。許多 ping 實現(xiàn)允許用戶根據(jù)需要指定更大的封包大小 。這個配置的目的是 Ping 數(shù)個主機，希望有一個會回復響應，以便找到可以作為目標的地址。 11. Tear Drop Attack（撕毀攻擊）：撕毀攻擊利用了 IP 封包碎片的重新組合。 12. Filter IP Source Route Option（過濾 IP 源路由選項）： IP 包頭信息有一個選項，其中所含的路由信息可指定與包頭源路由不同的源路由。此選項用于記錄封包的路由。此選項為封包源提供了一種手段，可在向目標轉發(fā)封包時提供網(wǎng)關所要使用的路由信息。 17. IP Spoofing（ IP 欺騙）：當攻擊者試圖通過假冒有效的客戶端 IP 地址來繞過防火墻保護 時，就發(fā)生了欺騙攻擊。 19. Bad IP Option（壞的 IP 選項）：當 IP 數(shù)據(jù)包包頭中的 IP 選項列表不完整或殘缺時，會觸發(fā)此選項。此選項是松散源路由，因為允許網(wǎng)關或主機 IP 使用任何數(shù)量的其它中間網(wǎng)關的任何路由來到達路 由中的下一 18/20 地址。 WinNuke 通過已建立的連接向主機發(fā)送帶外 (OOB) 數(shù)據(jù) — 通常發(fā)送到 NetBIOS 端口 139— 并引起 NetBIOS 碎片重疊，以此來 使多臺機器崩潰。 24. Land Attack： “陸地 ”攻擊將 SYN 攻擊和 IP 欺騙結合在了一起，當攻擊者發(fā)送含有受害方 IP 地址的欺騙性 SYN 封包，將其作為目的和源 IP 地址時，就發(fā)生了陸地攻擊。 25. Malicious URL Protection：當啟用 “惡意 URL 檢測 ”時， NetScreen 設備會監(jiān)視每個 HTTP 封包并檢測與若干用戶定義模式中的任意一個相匹配的任何封包。同樣，特洛伊木馬病毒 2 也可以隱藏在壓縮文件（如 .zip）和可執(zhí)行（ .exe）文件中。如果內(nèi)容類型僅列出 “八位位組流 ”，而不是特定的組件類型，則 NetScreen設備會檢查負荷中的文件類型。當目標系統(tǒng)收到這些封包時，造成的結果小到無法正確處理封包，大到使整個系統(tǒng)崩潰。 【具體配置】： 進入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單選擇菜單 Network Zones 選擇需要啟用抵御攻擊選項的區(qū)段，單擊 Edit SCREEN，輸入以下設置，然后單擊 Apply： SYN Flood Protection:選擇 Threshold: 200 pps Alarm Threshold： 1024 pps Source Threshold： 4000 pps Destination Threshold： 40000 pps 20/20 Timeout Value： 20 sec Queue Size： 10240