【正文】 ing，單擊 Return，然后單擊 OK 根據(jù)需要開啟 SELF日志功能。 制定升級(jí)計(jì)劃 與設(shè)備支撐單位一起制定詳細(xì)的升級(jí)計(jì)劃，充分考慮實(shí)施升級(jí)和補(bǔ)丁裝載時(shí)系統(tǒng)重啟對(duì)業(yè) 務(wù)的影響，充分考慮網(wǎng)絡(luò)結(jié)構(gòu)的雙機(jī)或雙鏈路結(jié)構(gòu)對(duì)業(yè)務(wù)的保護(hù)，最大限度減少業(yè)務(wù)中斷時(shí)間。因此，為了記錄系統(tǒng)升級(jí)過程中可能出現(xiàn)的意外情況 并能及時(shí)處理，建議通過隨機(jī)配備的 CONSOLE線纜將筆記本電腦的串口連接到防火墻的 CONSOLE口上，并打開超級(jí)終端軟件連接防火墻。 4 特定的安全配置 NetScreen 防火墻軟件針對(duì)多 種常見的網(wǎng)絡(luò)攻擊預(yù)先定義了防御機(jī)制選項(xiàng)，應(yīng)根據(jù)防火墻保護(hù)的網(wǎng)絡(luò)應(yīng)用具體情況啟用合適的防攻擊選項(xiàng)，并配置適當(dāng)?shù)膮?shù)。（缺省的臨界值為每秒 1000 個(gè)封包。此選項(xiàng)定義了每秒鐘 NetScreen 設(shè)備可以為單個(gè)IP 地址建立的最大會(huì)話數(shù)量。要阻擋這類攻擊，您可以啟用SYNACKACK Proxy 保護(hù) SCREEN 選項(xiàng)。當(dāng)協(xié)議字段指示是 ICMP封包，并且片斷標(biāo)志被設(shè)置為 1 或指出了偏移值時(shí)， NetScreen 設(shè)備會(huì)丟棄 ICMP 封包。此選項(xiàng)將使 NetScreen 設(shè)備丟棄在標(biāo) 16/20 志字段中設(shè)置了 FIN 標(biāo)志，但沒有設(shè)置 ACK 位的封包。 NetScreen 設(shè)備 在內(nèi)部記錄從一個(gè)遠(yuǎn)程源 ping 的不同地址的數(shù)目。啟用此選項(xiàng)可封鎖所有使用 “源路由選項(xiàng) ”的 IP 信息流。此選項(xiàng)為嚴(yán)格源路由，因?yàn)榫W(wǎng)關(guān)或主機(jī) IP 必須將數(shù)據(jù)包報(bào)直接發(fā)送到源路由中的下一地址，并且只能通過下一地址中指示的直接連接的網(wǎng)絡(luò)才能到達(dá)路由中指定的下一網(wǎng)關(guān)或主機(jī)。 20. IP Timestamp Option（ IP 時(shí)戳選項(xiàng)）： NetScreen 設(shè)備封鎖 IP 選項(xiàng)列表中包括選項(xiàng) 4（互聯(lián)網(wǎng)時(shí)戳）的封包。如果啟用了 WinNuke 攻擊防御機(jī)制， NetScreen 設(shè)備會(huì)掃描所有進(jìn)入的“Microsoft NetBIOS 會(huì)話服務(wù) ”（端口 139）封包。設(shè)備會(huì)自動(dòng)丟棄所有此類封包。如果文件類型為 ActiveX、 Java、 .exe 或 .zip，而且您將NetScreen 設(shè)備配置為阻塞這些組件， NetScreen 設(shè)備會(huì)阻塞封包。 啟用 SYN 泛濫攻擊保護(hù) 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】 ：無 【注意事項(xiàng)】：具體參數(shù)設(shè)置應(yīng)參考相應(yīng)資料及根據(jù)網(wǎng)絡(luò)實(shí)際情況進(jìn)行調(diào)整。如果 19/20 內(nèi)容類型為 ActiveX、 Java、 .exe 或 .zip，而且您將 NetScreen 設(shè)備配置為阻塞這些組件， NetScreen 設(shè)備會(huì)阻塞封包。通過將 SYN 泛濫防御機(jī)制和 IP 欺騙保護(hù)措施結(jié)合在一起， NetScreen設(shè)備將會(huì)封鎖任何此類性質(zhì)的企圖。 23. WinNuke Attack（ WinNuke 攻擊）： WinNuke 是一種常見的應(yīng)用程序，其唯一目的就是使互聯(lián)網(wǎng)上任何運(yùn)行 Windows 的計(jì)算機(jī)崩潰。在 CLI 中，您可以指示 NetScreen 設(shè)備丟棄沒有包含源路由或包含已保留源 IP 地址（不可路由的，例如 18. ）的封包： set zone zone screen ipspoofing dropnorpfroute。 15. IP Strict Source Route Option（ IP 嚴(yán)格源路由選項(xiàng)）： NetScreen 設(shè)備封鎖 IP 選項(xiàng)為 9（ 嚴(yán)格源路由選擇）的封包。如果 NetScreen 在某封包碎片中發(fā)現(xiàn)了這種不一致現(xiàn)象，將會(huì)丟棄該碎片。 9. Address Sweep Attack（地址掃描攻擊）：與端口掃描攻擊類似，當(dāng)一個(gè)源 IP 地址在定義的時(shí)間間隔（缺省值為 5,000 微秒）內(nèi)向不同的主機(jī)發(fā)送 ICMP 響應(yīng)要求（或 ping）時(shí)，就會(huì)發(fā)生地址掃描攻擊。此選項(xiàng)將使 NetScreen 設(shè)備丟棄字段標(biāo)志缺少或不全的 TCP 封包。通過向服務(wù)器或主機(jī)堆積無法完成的連接，主機(jī)的內(nèi)存緩沖區(qū)最終將會(huì)塞滿。 NetScreen 設(shè)備在其會(huì)話表中建立項(xiàng)目，并向用戶發(fā)送登錄提示。 二）以下選項(xiàng)可用于具有物理接口和子接口的區(qū)段： 1. Limit session（限制會(huì)話）： NetScreen 設(shè)備可限制由單個(gè) IP 地址建立的會(huì)話 數(shù)量。 3. UDP Flood（ UDP 泛濫）：與 ICMP 泛濫相似，當(dāng)以減慢系統(tǒng)速度為目的向該點(diǎn)發(fā)送 UDP 封包，以至于系統(tǒng)再也無法處理有效的連 接時(shí)，就發(fā)生了 UDP 泛濫。 【具體配置】： 使用 Web瀏覽器進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面； 選擇菜單 Configuration Update ScreenOS/Keys 選擇 Firmware Update，在 Load File 處添加軟件升級(jí)軟件 系統(tǒng)自動(dòng)重啟，在 CONSOLE終端上可以觀察到升級(jí)過程。 找到要保存配置文件的位置，然后單擊 Save。新購買的 NetScreen防火墻可以通過網(wǎng)上注冊(cè)得到 3個(gè)月免費(fèi)的登錄帳戶，更長時(shí)間的帳戶需要向 NetScreen購買服務(wù)。 ? SELF日志：用于監(jiān)控并記錄所有丟棄的封包（如被某個(gè)策略拒絕的封包）以及在 NetScreen設(shè)備上自行終止的信息流（如管理信息流）。 2 安全審計(jì) 防火墻的日志數(shù)據(jù)能夠幫助系統(tǒng)管理員進(jìn)行歷史信息流跟蹤、事件關(guān)聯(lián)分析和網(wǎng)絡(luò)故障 診斷，因此利用 NetScreen防火墻提供的各種功能加強(qiáng)對(duì)日志的管理，將有助于及時(shí)發(fā)現(xiàn)和判斷安全問題。為了保障 HTTP的安全，可通過在虛擬專用網(wǎng) (VPN)通道中封裝 HTTP流量或通過 “安全套接字層 ”(SSL)協(xié)議保障安全，還可以通過將管理流量與網(wǎng)絡(luò)用戶流量完全分離來保障它的安全。 Name: radius1 IP/Domain Name: Backup1: Backup2: Timeout: 30 Account Type: Admin RADIUS:（選擇） RADIUS Port: 4500 Shared Secret: A56htYY97kl SNMP 協(xié)議 SNMP協(xié)議是目前數(shù)據(jù)網(wǎng)管理中普遍使用的協(xié)議，但 SNMP協(xié)議本身也存在安全問題。此外，還要將 NetScreen 詞典文件加載到 RADIUS 服務(wù)器上，使其能支持下列供應(yīng)商專用屬性 (VSA) 的查詢：用戶組、管理權(quán)限、遠(yuǎn)程 L2TP和 XAuth設(shè)置。 本機(jī)認(rèn)證和授權(quán) 在 NetScreen 設(shè)備上定義用戶時(shí)， NetScreen 設(shè)備將用戶名和密碼輸入到其本地?cái)?shù)據(jù)庫中。一般情況下密碼至少包含 8 個(gè)字符。如果通過網(wǎng)絡(luò)連接對(duì)設(shè)備進(jìn)行管理，而工作站不包括在指派中，則 NetScreen 設(shè)備立即終止當(dāng)前會(huì)話，并且不再能從該工作站管理設(shè)備。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Management 選擇 Enable SCS并應(yīng)用 選擇 Network Interfaces，針對(duì)每個(gè) interface 進(jìn)行配置 在 Network Interfaces (Edit)