【正文】 如果內(nèi)容類型僅列出 “八位位組流 ”，而不是特定的組件類型，則 NetScreen設(shè)備會檢查負荷中的文件類型。 WinNuke 通過已建立的連接向主機發(fā)送帶外 (OOB) 數(shù)據(jù) — 通常發(fā)送到 NetBIOS 端口 139— 并引起 NetBIOS 碎片重疊，以此來 使多臺機器崩潰。此選項為封包源提供了一種手段，可在向目標轉(zhuǎn)發(fā)封包時提供網(wǎng)關(guān)所要使用的路由信息。這個配置的目的是 Ping 數(shù)個主機，希望有一個會回復響應(yīng)，以便找到可以作為目標的地址。進一步的連接無法進行，并且可能會破壞主機操作系統(tǒng)。例如，如果從同一客戶端發(fā)送過多的請求，就能耗盡 Web 服務(wù)器上的會話資源。 檢查升級后系統(tǒng)的狀態(tài) 和 。建議在升級前必須確認軟件是否通過集團公司的入網(wǎng)許可，并且與設(shè)備支撐單位確認你所要升級設(shè)備的硬件滿足升級操作系統(tǒng)軟件的要求，最好直接向設(shè)備供應(yīng)商獲取。所有 NetScreen 設(shè)備都允許在內(nèi)部（閃存區(qū)域）和外部存儲事件和信息流日志數(shù)據(jù)。需要合理配置 SNMP 協(xié)議的相關(guān)屬性，才能讓 SNMP 協(xié)議更好的為日常維護管理服務(wù)。 NetScreen設(shè)備的管 理員分為三種級別： ? 根管理員具有完全的管理權(quán)限，每個 NetScreen 設(shè)備只有一個根管理員； ? 可讀 /寫管理員具有與根管理員相同的權(quán)限，但是他不能創(chuàng)建、修改或刪除其他的 admin 用戶； ? 只讀管理員只具有使用 WebUI 進行查看的權(quán)限，他只能發(fā)出 get 和 ping CLI 命令。 【具體配置】： 進入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Permitted Ips 設(shè)置管理工作站的單一地址或一段地址 帳號和密碼管理 建議應(yīng)在日常維護過程中 周期性地（至少按季度）更改登錄密碼，甚至登錄帳號。雖然 Tel在連接建立初期需要進行帳號和密碼的核查，但是在此過程，以及后續(xù)會話中，都是明文方式傳送所有數(shù)據(jù)，容易造竊聽而泄密。要限制對特定工作站的管理能 力，必須配置管理客戶端 IP 地址。 NetScreen 防火墻除了支持本地數(shù)據(jù)庫的認證和授權(quán)，還支持外部RADIUS、 SecureID 和 LDAP 服務(wù)器的認證和授權(quán)。同時將兩個備份服務(wù)器的 IP 地址分別指定為 和 。 配置接口，通過該接口您可管理 NetScreen 設(shè)備，以允許進行 SSL 管理：選擇菜單 Network Interfaces Edit（對于要管理的接口）：啟用 SSL并禁用 HTTP 管理服務(wù)復選框，然后單擊 OK。為了確保 IOS升級的順利進行，建議考慮從以下幾個細節(jié)進行考慮。 升級操作系統(tǒng)軟件 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項】：操作系統(tǒng)版本升級過程中可能出現(xiàn)防火墻工作異常， HA 模式工作的多個防火 墻必須同時升級并保證最終版本一致。 NetScreen 設(shè)備在內(nèi)部記錄從某一遠程源地點掃描的不同端口的數(shù)目。 3. SYN Fragment（ SYN 碎片）： SYN 碎片攻擊使目標主機充塞過量的 SYN 封包碎片。過大的ICMP 封包會引發(fā)一系列負面的系統(tǒng)反應(yīng)，如拒絕服務(wù) (DoS)、系統(tǒng)崩潰、死機以及重新啟動。記錄的路由由一系 17/20 列互聯(lián)網(wǎng)地址組成，外來者經(jīng)過分析可以了解到您的網(wǎng)絡(luò)的編址方案及拓撲結(jié)構(gòu)方面的詳細信息。 22. IP Stream Option（ IP 流選項）： NetScreen 設(shè)備封鎖 IP 選項為 8（流 ID）的封包。在安全區(qū)中啟用這些組件的阻塞時，NetScreen 設(shè)備會檢查每個到達綁定到該區(qū)域的接口的 HTTP 包頭。攻 擊者可能會利用 IP 棧具體實現(xiàn)的封包重新組合代碼中的漏洞，通過 IP 碎片進行攻擊。然后讓經(jīng)過修正的封包通過，并在 “事件警報 ”日志中創(chuàng)建一個 WinNuke 攻擊日志條目。目前，這些協(xié)議類型被保留，尚未定義。 10. Large ICMP Packet（大的 ICMP 封包）： NetScreen 設(shè)備丟棄長度大于1024 的 ICMP 封包。但是，攻擊者可以通過發(fā)送同時置位兩個標志的封包來查看將返回何種系統(tǒng)應(yīng)答，從而確定出接收端上的系統(tǒng)的種類。） 15/20 2. SYNACKACK Proxy 保護：當認證用戶初始化 Tel 或 FTP 連接時，用戶會 SYN 封包到 Tel 或 FTP服務(wù)器。 2. ICMP Flood（ ICMP 泛濫）：當 ICMP ping 產(chǎn)生的大量回應(yīng)請求超出了系統(tǒng)的最大限度，以至于系統(tǒng)耗費所有資源來進行響應(yīng)直至再也無法處理有效的網(wǎng)絡(luò)信息流時，就發(fā)生了 ICMP 泛濫。要求在備份前確認備份介質(zhì)的可用性和可靠性，并在備份完升級前進行驗證。要減少這種數(shù)據(jù)損失，可將事件和信息流日志存儲在外部的系統(tǒng)日志或 WebTrends 服務(wù)器中，或NetScreenGlobal PRO 數(shù)據(jù)庫中。要獲得最新的 MIB 文件，請從 下載。通常， RADIUS會 要求登錄人員輸入其用戶名和密碼。登錄帳號及密碼的保管和更新應(yīng)由專人負責，并注意 4/20 保密。但是 SSH 傳送的數(shù)據(jù)（包括帳號和密碼）都會被加密 ，且密鑰會自動更新，極大提高了連接的安全性。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【具 體配置】： 進入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面 輸入命令： set admin root access console 訪問限制 啟用只接受管理流量的邏輯管理 IP地址 任何綁定到安全區(qū)段的接口都至少可以具有兩個 IP 地址：一個連接到網(wǎng)絡(luò)的接口 IP 地址；一個用于接收管理流量的邏輯管理 IP 地址。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項】：登錄名和密碼都區(qū)分大小 寫，每個都必須為一個單詞、字母或數(shù)字，但是不能有符號。輸入其 IP 地址 ；將其端口號由缺省值 (1645) 更改為 4500。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項】：更改端口號后，在下次嘗試通過 HTTP訪問 NetScreen 設(shè)備時，必須在 Web 瀏覽器的 URL 字段中鍵入新的端口號（如 【具體配置】： 進入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Managemen 在 “HTTP 端口 ”字段中，鍵入新端口號（如 50000），然后單擊 Apply 使用 SSL保障 HTTP訪問的安全性 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項】：有關(guān)請求并加載證書的詳細信息，請參考 NetScreen 相關(guān)文檔。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項】：在網(wǎng)絡(luò)應(yīng)用多樣，網(wǎng)絡(luò)流量大、策略復雜的環(huán)境中建議不配置該項，例如防火墻部署于骨干路由器后的情況，以避免造成海量日志無法審計。 升級操作 記錄升級前系統(tǒng)狀態(tài) 為了確保對升級過程中問題的解決提供相依據(jù)，建議在升級前記錄系統(tǒng)的狀態(tài)。）如果從一個或多個源