【正文】 起信息流，因此，將基于源的會話限值設(shè)置為可能的最低值:1個會話。配置實例:在本例中，通過為Untrust 區(qū)段啟用SYN 泛濫保護SCREEN 選項，保護DMZ 區(qū)段中的Web 服務(wù)器，使其免受始發(fā)自 Untrust 區(qū)段中的SYN 泛濫攻擊。但是，URL過濾過程確定所請求的URL 是被禁止的。如果NetScreen 設(shè)備失去與URL 過濾服務(wù)器的連接，則您希望NetScreen 設(shè)備允許出站HTTP信息流。CLI1. 接口set interface ethernet1 zone trustset interface ethernet1 ip set interface ethernet3 zone untrustset interface ethernet3 ip 2. URL過濾服務(wù)器set url server 15868 10set url failmode permitset url type NetScreenset url message “We’re sorry, but the requested URL is prohibited. If thisprohibition appears to be in error, contact .”set url config enable3. 路由set vrouter trustvr route interface ethernet3 gateway set vrouter trustvr route 4. 策略set policy from trust to untrust any any permit urlfilter 典型配置（9）――站點到站點IPSEC VPN 配置IPSec VPN 通道存在于兩個網(wǎng)關(guān)之間，同時每個網(wǎng)關(guān)都需要一個IP 地址。在本例中，“自動密鑰IKE”通道使用預(yù)共享機密或一對證書(通道兩端各一個)，提供東京和巴黎分公司之間的安全連接。在以下例子中，預(yù)共享密鑰為h1p8A24nG5。 中輸入通向外部路由器的缺省路由，并輸入通過通道接口通向目的地的路由。由于只有那些位于動態(tài)對等方后面的主機的遠程網(wǎng)關(guān)才有固定的IP 地址，并且可以從它們的本地網(wǎng)關(guān)到達，因此只有它們才能使用動態(tài)對等方站點到站點VPN 發(fā)起VPN 通道設(shè)置。WebUI1. 接口Network Interfaces Edit (對于ethernet1 ): 輸入以下內(nèi)容，然后單擊Apply:Zone Name: TrustStatic IP: (有此選項時將其選定)IP Address/Netmask: 輸入以下內(nèi)容，然后單擊OK:Interface Mode: NATNetwork Interfaces Edit (對于ethernet3 ): 輸入以下內(nèi)容，然后單擊OK:Zone Name: UntrustStatic IP: (有此選項時將其選定)IP Address/Netmask: 2. URL過濾服務(wù)器Screening URL Filtering: 輸入以下內(nèi)容，然后單擊Apply:Enable URL Filtering via Websense Server: (選擇)Websense Server Name: Websense Server Port: 15868Communication Timeout: 10 (秒)If connectivity to the Websense server is lost ... all HTTP requests: PermitBlocked URL Message Type: NetScreenNetScreen Blocked URL Message: We39。URL 過濾服務(wù)器位于Trust 區(qū)段中。使用直接嵌入在NetScreen 防火墻中的Websense API，NetScreen 設(shè)備可以直接鏈接到Websense URL 過濾服務(wù)器。B用SYN/ACK 片段響應(yīng)這些地址，然后等待響應(yīng)的ACK 片段。由于所有由病毒生成的信息流都始發(fā)自相同的IP 地址，因此，基于源的會話限制可以保證NetScreen 防火墻能抑制這類巨量的信息流。在缺省情況下，NetScreen 設(shè)備在路由表中自動為接口IP 地址中指定的子網(wǎng)生成條目。當(dāng)含有欺騙性源IP地址的封包到來時，您希望NetScreen設(shè)備發(fā)出通知，但不將其丟棄，而是讓其通過，或許是將其引導(dǎo)到您在DMZ接口連接上連接的“蜜罐” (honeypot)中。如果您希望收集有關(guān)攻擊的信息，可以讓它發(fā)生、監(jiān)視它、分析它、執(zhí)行辯論練習(xí)，然后按照先前準備好的事件響應(yīng)計劃的描述做出響應(yīng)。如果信息流請求超過可用帶寬，則將丟棄優(yōu)先級最低的信息流。配置實例：在本例中，您需要在T3 接口上劃分45Mbps 的帶寬，其中該接口處于同一子網(wǎng)的三個部門之間。另外，它用另一個由NetScreen 設(shè)備生成的任意端口號替換源端口號。3. 接口Network Interfaces Edit ( 對于ethernet1 ): 輸入以下內(nèi)容，然后單擊OK:Zone Name: V1TrustIP Address/Netmask: Network Interfaces Edit ( 對于ethernet3 ): 輸入以下內(nèi)容，然后單擊OK:Zone Name: V1UntrustIP Address/Netmask: 4. V1Trust 區(qū)段Network Zones Edit ( 對于v1trust ): 選擇以下內(nèi)容，然后單擊OK:Management Services: WebUI, TelnetOther Services: Ping5. 地址Objects Addresses List New: 輸入以下內(nèi)容，然后單擊OK:Address Name: FTP _ServerIP Address/Domain Name:IP/Netmask: ( 選擇), Zone: V1TrustObjects Addresses List New: 輸入以下內(nèi)容，然后單擊OK:Address Name: Mail_ServerIP Address/Domain Name:IP/Netmask: ( 選擇), Zone: V1Trust6. 路由Network Routing Routing Entries trustvr New: 輸入以下內(nèi)容，然后單擊OK:Network Address/Netmask: Gateway: (選擇)Interface: vlan1(trustvr)Gateway IP Address: Metric: 17. 策略Policies (From: V1Trust, To: V1Untrust) New: 輸入以下內(nèi)容，然后單擊OK:Source Address:Address Book Entry: (選擇), AnyDestination Address:Address Book Entry: (選擇), AnyService: AnyAction: PermitPolicies (From: V1Untrust, To: V1Trust) New: 輸入以下內(nèi)容，然后單擊OK:Source Address:Address Book Entry: (選擇), AnyDestination Address:Address Book Entry: (選擇), Mail_ServerService: MailAction: PermitPolicies (From: V1Untrust, To: V1Trust) New: 輸入以下內(nèi)容，然后單擊OK:Source Address:Address Book Entry: (選擇), AnyDestination Address:Address Book Entry: (選擇), FTP_ServerService: FTPGETAction: PermitCLI1. VLAN1set interface vlan1 ip set interface vlan1 manage webset interface vlan1 manage telnetset interface vlan1 manage ping2. Telnetset admin telnet port 46463. 接口set interface ethernet1 ip set interface ethernet1 zone v1trustset interface ethernet3 ip set interface ethernet3 zone v1untrust4. V1Trust 區(qū)段set zone v1trust manage webset zone v1trust manage telnetset zone v1trust manage ping5. 地址set address v1trust FTP_Server set address v1trust Mail_Server 6. 路由set vrouter trustvr route 7. 策略set policy from v1trust to v1untrust any any any permitset policy from v1untrust to v1trust any Mail_Server mail permitset policy from v1untrust to v1trust any FTP_Server ftpget permit 路由模式接口為路由模式時，NetScreen 設(shè)備在不同區(qū)段間轉(zhuǎn)發(fā)信息流時不執(zhí)行源NAT (NATsrc) ；即，當(dāng)信息流穿過NetScreen 設(shè)備時，IP 封包包頭中的源地址和端口號保持不變。在透明模式下，接口的IP ，使得NetScreen 設(shè)備對于用戶來說是可視或“透明”的。例如，如果接口直接連接到路由器，則可跟蹤接口的下一跳躍地址，以確定該路由器是否仍舊可達。同時也提供了Netscreen防火墻自身的安全加固建議，防止針對防火墻的直接攻擊。如果目標在指定的次數(shù)內(nèi)未響應(yīng)，則視該IP 地址為不可達。使用VLAN1 IP 。配置實例：Trust 區(qū)段LAN 中的主機具有私有IP 地址和郵件服務(wù)器的映射IP。內(nèi)向郵件通過虛擬IP 地址被發(fā)送到郵件服務(wù)器。優(yōu)先級排列功能允許所有用戶和應(yīng)用程序在需要時都能夠訪問可用帶寬，同時又確保重要的信息流可以通過，必要時可以能夠以犧牲次重要信息流的帶寬為代價。只有在處理完其它所有信息流之后， NetScreen 設(shè)備才處理低優(yōu)先級信息流。增加了對網(wǎng)絡(luò)的威脅的了解之后，就能讓您更好地加強防御。也可以與上游ISP(互聯(lián)網(wǎng)服務(wù)提供商)合作開始跟蹤封包來源以找出其來源。WebUINetwork Interfaces Edit (對于ethernet1 ): 輸入以下內(nèi)容，然后單擊Apply:Zone Name: TrustStatic IP: (有此選項時將其選定)IP Address/Netmask: 輸入以下內(nèi)容，然后單擊OK:Interface Mode: NATNetwork Interfaces Edit (對于ethernet2 ): 輸入以下內(nèi)容，然后單擊OK:Zone Name: DMZStatic IP: (有此選項時將其選定)IP Address/Netmask: Network Interfaces Edit (對于ethernet3 ): 輸入以下內(nèi)容，然后單擊OK:Zone Name: UntrustStatic IP: (有此選項時將其選定)IP Address/Netmask: Network Routing Routing Entries trustvr New: 輸入以下內(nèi)容，然后單擊OK:Network Address/Netmask: Gateway: (選擇)Interface: ethernet1Gateway IP Address: Network Routing Routing Entries trustvr New: 輸入以下內(nèi)容，然后單擊OK:Network Address/Netmask: Gateway: (選擇)Interface: ethernet2Gateway IP Address: Network Routing Routing Entries trustvr New: 輸入以下內(nèi)容，然后單擊OK:Network Address/Netmask: Gateway: (選擇)Interface: ethernet3Gateway IP Address: 3. IP欺騙保護Screening Screen (Zone: Trust): 選擇IP Address Spoof Protection，然后單擊Apply。另一方面，Trust 區(qū)段包含個人計算機、服務(wù)器、打印機，等等，其中很多主機都會發(fā)出信息流。WebUI1. 接口Network Interfaces Edit (對于ethernet2 ): 輸入以下內(nèi)容，然后單擊OK:Zone Name: DMZStatic IP: (有此選項時將其選定)IP Addre