【正文】 當(dāng)目標(biāo)系統(tǒng)收到這些封包時(shí)，造成的結(jié)果小到無(wú)法正確處理封包，大到使整個(gè)系統(tǒng)崩潰。同樣，特洛伊木馬病毒 2 也可以隱藏在壓縮文件（如 .zip）和可執(zhí)行（ .exe）文件中。 24. Land Attack： “陸地 ”攻擊將 SYN 攻擊和 IP 欺騙結(jié)合在了一起，當(dāng)攻擊者發(fā)送含有受害方 IP 地址的欺騙性 SYN 封包，將其作為目的和源 IP 地址時(shí)，就發(fā)生了陸地攻擊。此選項(xiàng)是松散源路由，因?yàn)樵试S網(wǎng)關(guān)或主機(jī) IP 使用任何數(shù)量的其它中間網(wǎng)關(guān)的任何路由來(lái)到達(dá)路 由中的下一 18/20 地址。 17. IP Spoofing（ IP 欺騙）：當(dāng)攻擊者試圖通過(guò)假冒有效的客戶(hù)端 IP 地址來(lái)繞過(guò)防火墻保護(hù) 時(shí)，就發(fā)生了欺騙攻擊。此選項(xiàng)用于記錄封包的路由。 11. Tear Drop Attack（撕毀攻擊）：撕毀攻擊利用了 IP 封包碎片的重新組合。許多 ping 實(shí)現(xiàn)允許用戶(hù)根據(jù)需要指定更大的封包大小 。接著，攻擊者可以利用已知的系統(tǒng)漏洞來(lái)實(shí)施進(jìn)一步的攻擊。您可以更改這個(gè)臨界值（為 1 到 2,500,000 之間的任何數(shù)目）以更好地適合網(wǎng)絡(luò)環(huán)境的需求。 NetScreen 設(shè)備會(huì)截取封包，通過(guò) Proxy 將 SYNACK 封包發(fā)送給用戶(hù)。這個(gè)方案的目的是掃描可用的服務(wù)，希望會(huì)有一個(gè)端口響應(yīng)，因此識(shí)別出作為目標(biāo)的服務(wù)。當(dāng)啟用了 ICMP 泛濫保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，一旦超過(guò)此值就會(huì)調(diào)用 ICMP 泛濫攻擊保護(hù)功能。并將信息存儲(chǔ)在外部介質(zhì)上，確保升級(jí)完畢后進(jìn)行核對(duì)。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【具體配置】： 備份操作系統(tǒng)軟件 進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面 輸入命令： save software from flash to tftp [ip_addr] [filename] [ from interface ] 備份配置數(shù)據(jù)文件 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Update Config File，單擊 Save to File。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Report Settings Syslog，輸入以下信息，然 11/20 后單擊 Apply Enable syslog messages:（選擇） Include Traffic Log: （選擇） Syslog Host Name/Port: 輸入服務(wù)器地址和端口 Security Facility: Local0 Facility: Local0 3 設(shè)備 IOS升級(jí)方法 設(shè)備軟件版本升級(jí)和補(bǔ)丁安裝是實(shí)施設(shè)備安全加固一個(gè)不可缺少的環(huán)節(jié)。 NetScreen防火墻 提供以下幾種日志存儲(chǔ)及呈現(xiàn)方式： ? Console（控制臺(tái)） ? Internal（內(nèi)部數(shù)據(jù)庫(kù)） ? Email（電子郵件） ? SNMP ? Syslog （系統(tǒng)日志） ? WebTrends ? NetScreenGlobal PRO ? CompactFlash (PCMCIA) NetScreen防火墻的日志信息分為以下四種類(lèi)型： ? 事件日志：用于監(jiān)控系統(tǒng)事件和網(wǎng)絡(luò)流量。 Ciphe：選擇您要從下拉列表中使用的密碼。 建議采取以下方法進(jìn)行保護(hù)： 7/20 ? 限制發(fā)起 SNMP連接的源地址； ? 設(shè)置并定期更改 SNMP Community（至少半年一次）； ? 除特殊情況，否則不設(shè)置 SNMP RW Community； 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【注意事項(xiàng)】： SNMP服務(wù)器應(yīng)配置與防火墻 SNMP相同的 Community Name通信子串。將超時(shí)值由缺省值（ 10 分鐘）更改為 30 分鐘。然后，它將這些值與其數(shù)據(jù)庫(kù)中的對(duì)應(yīng)值比較，用戶(hù)通過(guò)認(rèn)證后，客戶(hù)端即允許其訪(fǎng)問(wèn)相應(yīng)的網(wǎng)絡(luò)服務(wù)。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行 界面 輸入命令： set admin password restrict length 8 5/20 帳號(hào)認(rèn)證和授權(quán) 帳號(hào)的認(rèn)證和授權(quán)分為設(shè)備本身的認(rèn)證和授權(quán)和 AAA 服務(wù)器的認(rèn)證和授權(quán)兩個(gè)部分。帳號(hào)名字應(yīng)該與使用者存在對(duì)應(yīng)關(guān)系，如能反應(yīng)使用者的級(jí)別、從屬關(guān)系。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界 面 選擇菜單 Network Interfaces Edit（選擇需要定義管理 IP 的接口） Zone Name: Trust（假設(shè)定義在 Trust區(qū)段） IP Address/Netmask: （接口地址） Manage IP: （管理地址） Management Services: WebUI, Tel, SNMP:（選擇需要的服務(wù)） 限制可登錄的訪(fǎng)問(wèn)地址 缺省情況下，可信接口上的任何主機(jī)都可管理 NetScreen 設(shè)備。 SSH可以非常有效地防止竊聽(tīng)、防止使用地址欺騙手段實(shí)施的連接嘗試。同時(shí) Tel并不是一個(gè)安全的協(xié)議。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面 輸入命令： set admin access attempts number 限制 ROOT登錄 由于 ROOT 管理員具有最高權(quán)限，為了避免 ROOT 管理員密碼被竊取后造成威脅，可以限制 ROOT 用戶(hù)只能通過(guò) CONSOLE 接口訪(fǎng)問(wèn)設(shè)備，而不能遠(yuǎn)程登錄。當(dāng)外方人員需要登錄設(shè)備時(shí)，應(yīng)創(chuàng)建臨時(shí)帳號(hào)，并指定合適的權(quán)限。 更改系統(tǒng)初始帳號(hào)和密碼 NetScreen 防火墻出廠(chǎng)時(shí)缺省配置了初始登陸名 screen 和初始密碼screen，在完成初始配置后應(yīng)盡快將初始帳戶(hù)修改。 RADIUS認(rèn)證和授權(quán) 遠(yuǎn)程認(rèn)證撥號(hào)的用戶(hù)服務(wù) (RADIUS)是一個(gè)用于認(rèn)證服務(wù)器的協(xié)議，它最多可支持幾萬(wàn)個(gè)用戶(hù)。 在下例中將其用戶(hù)帳戶(hù)類(lèi)型指定為 admin，將 RADIUS 服務(wù)器命名為 6/20 “radius1”，并接受 NetScreen設(shè)備自動(dòng)指派的 ID 號(hào)。如不需要，不建議對(duì) NetScreen防火墻使用 SNMP。 8/20 更改 HTTP監(jiān)聽(tīng)端口號(hào) NetScreen使用 HTTP時(shí)缺省使用的 80監(jiān)聽(tīng)端口容易被黑客掃描到，因此可以通過(guò)更改 HTTP監(jiān)聽(tīng)端口號(hào)提高系統(tǒng)安全性。盡管在內(nèi)部存儲(chǔ)日志信息很方便，但內(nèi)存的數(shù)量是有限的。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Policies Edit（選擇需要開(kāi)啟信息流日志的策略） 單擊 Advanced: 選擇 Logg