【正文】 如果內(nèi)容類型僅列出 “八位位組流 ”，而不是特定的組件類型，則 NetScreen設(shè)備會(huì)檢查負(fù)荷中的文件類型。 WinNuke 通過已建立的連接向主機(jī)發(fā)送帶外 (OOB) 數(shù)據(jù) — 通常發(fā)送到 NetBIOS 端口 139— 并引起 NetBIOS 碎片重疊，以此來(lái) 使多臺(tái)機(jī)器崩潰。此選項(xiàng)為封包源提供了一種手段，可在向目標(biāo)轉(zhuǎn)發(fā)封包時(shí)提供網(wǎng)關(guān)所要使用的路由信息。這個(gè)配置的目的是 Ping 數(shù)個(gè)主機(jī)，希望有一個(gè)會(huì)回復(fù)響應(yīng)，以便找到可以作為目標(biāo)的地址。進(jìn)一步的連接無(wú)法進(jìn)行，并且可能會(huì)破壞主機(jī)操作系統(tǒng)。例如，如果從同一客戶端發(fā)送過多的請(qǐng)求，就能耗盡 Web 服務(wù)器上的會(huì)話資源。 檢查升級(jí)后系統(tǒng)的狀態(tài) 和 。建議在升級(jí)前必須確認(rèn)軟件是否通過集團(tuán)公司的入網(wǎng)許可，并且與設(shè)備支撐單位確認(rèn)你所要升級(jí)設(shè)備的硬件滿足升級(jí)操作系統(tǒng)軟件的要求，最好直接向設(shè)備供應(yīng)商獲取。所有 NetScreen 設(shè)備都允許在內(nèi)部（閃存區(qū)域）和外部存儲(chǔ)事件和信息流日志數(shù)據(jù)。需要合理配置 SNMP 協(xié)議的相關(guān)屬性，才能讓 SNMP 協(xié)議更好的為日常維護(hù)管理服務(wù)。 NetScreen設(shè)備的管 理員分為三種級(jí)別： ? 根管理員具有完全的管理權(quán)限，每個(gè) NetScreen 設(shè)備只有一個(gè)根管理員； ? 可讀 /寫管理員具有與根管理員相同的權(quán)限，但是他不能創(chuàng)建、修改或刪除其他的 admin 用戶； ? 只讀管理員只具有使用 WebUI 進(jìn)行查看的權(quán)限，他只能發(fā)出 get 和 ping CLI 命令。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Permitted Ips 設(shè)置管理工作站的單一地址或一段地址 帳號(hào)和密碼管理 建議應(yīng)在日常維護(hù)過程中 周期性地（至少按季度）更改登錄密碼，甚至登錄帳號(hào)。雖然 Tel在連接建立初期需要進(jìn)行帳號(hào)和密碼的核查，但是在此過程，以及后續(xù)會(huì)話中，都是明文方式傳送所有數(shù)據(jù)，容易造竊聽而泄密。要限制對(duì)特定工作站的管理能 力，必須配置管理客戶端 IP 地址。 NetScreen 防火墻除了支持本地?cái)?shù)據(jù)庫(kù)的認(rèn)證和授權(quán)，還支持外部RADIUS、 SecureID 和 LDAP 服務(wù)器的認(rèn)證和授權(quán)。同時(shí)將兩個(gè)備份服務(wù)器的 IP 地址分別指定為 和 。 配置接口，通過該接口您可管理 NetScreen 設(shè)備，以允許進(jìn)行 SSL 管理：選擇菜單 Network Interfaces Edit（對(duì)于要管理的接口）：?jiǎn)⒂?SSL并禁用 HTTP 管理服務(wù)復(fù)選框，然后單擊 OK。為了確保 IOS升級(jí)的順利進(jìn)行，建議考慮從以下幾個(gè)細(xì)節(jié)進(jìn)行考慮。 升級(jí)操作系統(tǒng)軟件 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【注意事項(xiàng)】：操作系統(tǒng)版本升級(jí)過程中可能出現(xiàn)防火墻工作異常， HA 模式工作的多個(gè)防火 墻必須同時(shí)升級(jí)并保證最終版本一致。 NetScreen 設(shè)備在內(nèi)部記錄從某一遠(yuǎn)程源地點(diǎn)掃描的不同端口的數(shù)目。 3. SYN Fragment（ SYN 碎片）： SYN 碎片攻擊使目標(biāo)主機(jī)充塞過量的 SYN 封包碎片。過大的ICMP 封包會(huì)引發(fā)一系列負(fù)面的系統(tǒng)反應(yīng)，如拒絕服務(wù) (DoS)、系統(tǒng)崩潰、死機(jī)以及重新啟動(dòng)。記錄的路由由一系 17/20 列互聯(lián)網(wǎng)地址組成，外來(lái)者經(jīng)過分析可以了解到您的網(wǎng)絡(luò)的編址方案及拓?fù)浣Y(jié)構(gòu)方面的詳細(xì)信息。 22. IP Stream Option（ IP 流選項(xiàng)）： NetScreen 設(shè)備封鎖 IP 選項(xiàng)為 8（流 ID）的封包。在安全區(qū)中啟用這些組件的阻塞時(shí)，NetScreen 設(shè)備會(huì)檢查每個(gè)到達(dá)綁定到該區(qū)域的接口的 HTTP 包頭。攻 擊者可能會(huì)利用 IP 棧具體實(shí)現(xiàn)的封包重新組合代碼中的漏洞，通過 IP 碎片進(jìn)行攻擊。然后讓經(jīng)過修正的封包通過，并在 “事件警報(bào) ”日志中創(chuàng)建一個(gè) WinNuke 攻擊日志條目。目前，這些協(xié)議類型被保留，尚未定義。 10. Large ICMP Packet（大的 ICMP 封包）： NetScreen 設(shè)備丟棄長(zhǎng)度大于1024 的 ICMP 封包。但是，攻擊者可以通過發(fā)送同時(shí)置位兩個(gè)標(biāo)志的封包來(lái)查看將返回何種系統(tǒng)應(yīng)答，從而確定出接收端上的系統(tǒng)的種類。） 15/20 2. SYNACKACK Proxy 保護(hù)：當(dāng)認(rèn)證用戶初始化 Tel 或 FTP 連接時(shí)，用戶會(huì) SYN 封包到 Tel 或 FTP服務(wù)器。 2. ICMP Flood（ ICMP 泛濫）：當(dāng) ICMP ping 產(chǎn)生的大量回應(yīng)請(qǐng)求超出了系統(tǒng)的最大限度，以至于系統(tǒng)耗費(fèi)所有資源來(lái)進(jìn)行響應(yīng)直至再也無(wú)法處理有效的網(wǎng)絡(luò)信息流時(shí)，就發(fā)生了 ICMP 泛濫。要求在備份前確認(rèn)備份介質(zhì)的可用性和可靠性，并在備份完升級(jí)前進(jìn)行驗(yàn)證。要減少這種數(shù)據(jù)損失，可將事件和信息流日志存儲(chǔ)在外部的系統(tǒng)日志或 WebTrends 服務(wù)器中，或NetScreenGlobal PRO 數(shù)據(jù)庫(kù)中。要獲得最新的 MIB 文件，請(qǐng)從 下載。通常， RADIUS會(huì) 要求登錄人員輸入其用戶名和密碼。登錄帳號(hào)及密碼的保管和更新應(yīng)由專人負(fù)責(zé)，并注意 4/20 保密。但是 SSH 傳送的數(shù)據(jù)（包括帳號(hào)和密碼）都會(huì)被加密 ，且密鑰會(huì)自動(dòng)更新，極大提高了連接的安全性。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【具 體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面 輸入命令： set admin root access console 訪問限制 啟用只接受管理流量的邏輯管理 IP地址 任何綁定到安全區(qū)段的接口都至少可以具有兩個(gè) IP 地址：一個(gè)連接到網(wǎng)絡(luò)的接口 IP 地址；一個(gè)用于接收管理流量的邏輯管理 IP 地址。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【注意事項(xiàng)】：登錄名和密碼都區(qū)分大小 寫，每個(gè)都必須為一個(gè)單詞、字母或數(shù)字，但是不能有符號(hào)。輸入其 IP 地址 ；將其端口號(hào)由缺省值 (1645) 更改為 4500。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【注意事項(xiàng)】：更改端口號(hào)后，在下次嘗試通過 HTTP訪問 NetScreen 設(shè)備時(shí)，必須在 Web 瀏覽器的 URL 字段中鍵入新的端口號(hào)（如 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Managemen 在 “HTTP 端口 ”字段中，鍵入新端口號(hào)（如 50000），然后單擊 Apply 使用 SSL保障 HTTP訪問的安全性 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【注意事項(xiàng)】：有關(guān)請(qǐng)求并加載證書的詳細(xì)信息，請(qǐng)參考 NetScreen 相關(guān)文檔。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【注意事項(xiàng)】：在網(wǎng)絡(luò)應(yīng)用多樣，網(wǎng)絡(luò)流量大、策略復(fù)雜的環(huán)境中建議不配置該項(xiàng)，例如防火墻部署于骨干路由器后的情況，以避免造成海量日志無(wú)法審計(jì)。 升級(jí)操作 記錄升級(jí)前系統(tǒng)狀態(tài) 為了確保對(duì)升級(jí)過程中問題的解決提供相依據(jù)，建議在升級(jí)前記錄系統(tǒng)的狀態(tài)。）如果從一個(gè)或多個(gè)源