【正文】 絡(luò)流量大、策略復(fù)雜的環(huán)境中建議不配置該項(xiàng)，例如防火墻部署于骨干路由器后的情況，以避免造成海量日志無法審計(jì)。當(dāng)內(nèi)部存儲空間被完全占用時(shí)， NetScreen 設(shè)備會用最新的日志條目覆蓋最舊的日志條目，造成數(shù)據(jù)丟失。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項(xiàng)】：更改端口號后，在下次嘗試通過 HTTP訪問 NetScreen 設(shè)備時(shí)，必須在 Web 瀏覽器的 URL 字段中鍵入新的端口號（如 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Managemen 在 “HTTP 端口 ”字段中，鍵入新端口號（如 50000），然后單擊 Apply 使用 SSL保障 HTTP訪問的安全性 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項(xiàng)】：有關(guān)請求并加載證書的詳細(xì)信息，請參考 NetScreen 相關(guān)文檔。 NetScreen防火墻支持 SNMPv MIBII，還有其私有 MIB 庫，可將其加載到網(wǎng)絡(luò)管理系統(tǒng)中。輸入其 IP 地址 ；將其端口號由缺省值 (1645) 更改為 4500。 RADIUS客戶端（即 NetScreen設(shè)備）通過客戶端與服務(wù)器之間的一系列通信對用戶進(jìn)行認(rèn)證。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項(xiàng)】：登錄名和密碼都區(qū)分大小 寫，每個(gè)都必須為一個(gè)單詞、字母或數(shù)字，但是不能有符號。臨時(shí)帳號使用完后應(yīng)及時(shí)刪除。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【具 體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面 輸入命令： set admin root access console 訪問限制 啟用只接受管理流量的邏輯管理 IP地址 任何綁定到安全區(qū)段的接口都至少可以具有兩個(gè) IP 地址：一個(gè)連接到網(wǎng)絡(luò)的接口 IP 地址；一個(gè)用于接收管理流量的邏輯管理 IP 地址。 要求采用 SSH協(xié)議來取代 Tel進(jìn)行設(shè)備的遠(yuǎn)程登錄， SSH與 Tel一樣，提供遠(yuǎn)程連接登錄的手段。但是 SSH 傳送的數(shù)據(jù)（包括帳號和密碼）都會被加密 ，且密鑰會自動更新，極大提高了連接的安全性。從網(wǎng)絡(luò)用戶流量 3/20 分離管理流量大大增加了管理安全性，并確保了穩(wěn)定的管理帶寬。登錄帳號及密碼的保管和更新應(yīng)由專人負(fù)責(zé)，并注意 4/20 保密。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Administrators Edit 將系統(tǒng)缺省的初始登陸名 screen和初始密碼 screen更改為新的登陸名和密碼，然后單擊 OK 限制密碼最短長度 要求密碼最短長度為 8位。通常， RADIUS會 要求登錄人員輸入其用戶名和密碼。將其共享機(jī)密定義為 “A56htYY97kl”。要獲得最新的 MIB 文件，請從 下載。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 獲得 SSL證書并在 NetScreen 設(shè)備上加載 啟用 SSL 管理：選擇菜單 Configuration Admin Management：輸入以下內(nèi)容 ，然后單擊 Apply： Certificate：選擇您要從下拉列表中使用的證書。要減少這種數(shù)據(jù)損失，可將事件和信息流日志存儲在外部的系統(tǒng)日志或 WebTrends 服務(wù)器中，或NetScreenGlobal PRO 數(shù)據(jù)庫中。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Management 選擇 Log Packets Terminated to Self，然后單擊 Apply 將日志轉(zhuǎn)發(fā)至 SYSLOG服務(wù)器 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項(xiàng)】：設(shè)置 Include Traffic Log 有效時(shí)，將會把策略中記錄的流量日志，同時(shí)發(fā)送到 Syslog服務(wù)器，可按具體情況配置。要求在備份前確認(rèn)備份介質(zhì)的可用性和可靠性，并在備份完升級前進(jìn)行驗(yàn)證。包括：設(shè)備各模塊硬件、工作狀態(tài)、模塊端口及工作狀態(tài)、路由協(xié)議、路由 13/20 表等。 2. ICMP Flood（ ICMP 泛濫）：當(dāng) ICMP ping 產(chǎn)生的大量回應(yīng)請求超出了系統(tǒng)的最大限度，以至于系統(tǒng)耗費(fèi)所有資源來進(jìn)行響應(yīng)直至再也無法處理有效的網(wǎng)絡(luò)信息流時(shí)，就發(fā)生了 ICMP 泛濫。 4. Port Scan Attack（端口掃描攻擊）：當(dāng)一個(gè)源 IP 地址在定義的時(shí)間間隔內(nèi)（缺省值為 5,000 微秒）向位于相同目標(biāo) IP 地址 10 個(gè)不同的端口發(fā)送 IP 封包時(shí)，就會發(fā)生端口掃描攻 擊。） 15/20 2. SYNACKACK Proxy 保護(hù)：當(dāng)認(rèn)證用戶初始化 Tel 或 FTP 連接時(shí)，用戶會 SYN 封包到 Tel 或 FTP服務(wù)器。缺省情況下，來自單一 IP 地址的臨界值是 512 次連接。但是，攻擊者可以通過發(fā)送同時(shí)置位兩個(gè)標(biāo)志的封包來查看將返回何種系統(tǒng)應(yīng)答，從而確定出接收端上的系統(tǒng)的種類。 8. Ping of Death： TCP/IP 規(guī)范要求用于數(shù)據(jù)包報(bào)傳輸?shù)姆獍仨毦哂刑囟ǖ拇笮　? 10. Large ICMP Packet（大的 ICMP 封包）： NetScreen 設(shè)備丟棄長度大于1024 的 ICMP 封包。 13. Record Route Option（ 記錄路由選項(xiàng)）： NetScreen 設(shè)備封鎖 IP 選項(xiàng)為 7（記錄路由）的封包。目前，這些協(xié)議類型被保留，尚未定義。此選項(xiàng)為封包源提供了一種手段，可在向目標(biāo)轉(zhuǎn)發(fā)封包時(shí)提供網(wǎng)關(guān)所要使用的路由信息。然后讓經(jīng)過修正的封包通過，并在 “事件警報(bào) ”日志中創(chuàng)建一個(gè) WinNuke 攻擊日志條目。下載完以后，這些 applet 會在您的計(jì)算機(jī)上安裝特洛伊木馬病毒。攻 擊者可能會利用 IP 棧具體實(shí)現(xiàn)的封包重新組合代碼中的漏洞，通過 IP 碎片進(jìn)行攻擊。如果允許 NetScreen 設(shè)備拒絕安全區(qū)段上的 IP 碎片，設(shè)備將封鎖在綁定到該區(qū)段的接口處接收到的所有 IP 封包碎片。在安全區(qū)中啟用這些組件的阻塞時(shí)，NetScreen 設(shè)備會檢查每個(gè)到達(dá)綁定到該區(qū)域的接口的 HTTP 包頭。接收系統(tǒng)通過向自己發(fā)送 SYNACK 封包來進(jìn)行響應(yīng)，同時(shí)創(chuàng)建一個(gè)空的連接，該連接將會一直保持到達(dá)到空閑超時(shí)值為止。 22. IP Stream Option（ IP 流選項(xiàng)）： NetScreen 設(shè)備封鎖 IP 選項(xiàng)為 8（流 ID）的封包。如果啟用了 IP 欺騙防御機(jī)制， NetScreen 設(shè)備會用自己的路由表對 IP 地址進(jìn)行分析，來抵御這種攻擊。記錄的路由由一系 17/20 列互聯(lián)網(wǎng)地址組成，外來者經(jīng)過分析可以了解到您的網(wǎng)絡(luò)的編址方案及拓?fù)浣Y(jié)構(gòu)方面的詳細(xì)信息。在 IP 包頭中，選項(xiàng)之一為偏移值。過大的ICMP 封包會引發(fā)一系列負(fù)面的系統(tǒng)反應(yīng)，如拒絕服務(wù) (DoS)、系統(tǒng)崩潰、