【正文】 向單個(gè)目表發(fā)送的 UDP 封包數(shù)超過了此臨界值， NetScreen 設(shè)備在該秒余下的時(shí)間和下一秒內(nèi)會(huì)忽略其它到該目標(biāo)的 UDP 封包。從相同 IP 地址的連接數(shù)目到達(dá) synackackproxy 臨界值后， NetScreen 設(shè)備就會(huì)拒絕來自該 IP 地址的進(jìn)一步連接要求。 7. ICMP Fragment（ ICMP 碎片）：檢測任何設(shè)置了 “更多片斷 ”標(biāo)志，或在偏移字段中指出了偏移值的 ICMP 幀。 “源路由選項(xiàng) ”可允許攻擊者以假的 IP 地址進(jìn)入網(wǎng)絡(luò)，并將數(shù)據(jù)送回到其真正的地址。 21. Loose Source Route Option： NetScreen 設(shè)備封鎖 IP 選項(xiàng)為 3（松散源路由）的封包。 26. Block Java/ActiveX/ZIP/EXE Component： Web 網(wǎng)頁中可能藏有惡意的Java 或 ActiveX 組件。 NetScreen防火墻防攻擊選項(xiàng)配置方法 以下以啟用 SYN 泛濫攻擊保護(hù)為例說明 NetScreen 防火墻防攻擊選項(xiàng)的配置方法，其它選項(xiàng)配置方法與此類似。向系統(tǒng)堆積過多的這種空連接會(huì)耗盡系統(tǒng)資源，導(dǎo)致 DoS。如果 IP 地址不在路由表中，則不允許來自該源的信息流通過NetScreen 設(shè)備進(jìn)行通信，并且會(huì)丟棄來自該源的所有封包。當(dāng)一個(gè)封包碎片 的偏移值與大小之和不同于下一封包碎片時(shí)，封包發(fā)生重疊，并且服務(wù)器嘗試重新組合封包時(shí)會(huì)引起系統(tǒng)崩潰。 5. TCP Packet Without Flag（無標(biāo)記的 TCP 封包）：通常，在發(fā)送的 TCP 封包的標(biāo)志字段中至少會(huì)有一位被置位。此時(shí)，初始的三方握手就已完成。）如果超過了該臨界值， NetScreen 設(shè)備在該秒余下的時(shí)間和下一秒內(nèi)會(huì)忽略其它的 ICMP 回應(yīng)要求。 單擊 Save。 ? 信息流日志：用于監(jiān)控并記錄策略允許通過防火墻的信息流。 選擇菜單 Configuration Report Settings SNMP 設(shè)置 Configuration Report Settings SNMP 單擊 New Community Community Name設(shè)置口令 Permissions 設(shè)置讀寫權(quán)限 Hosts IP Address/Netmask地址限定 HTTP 的配置要求 NetScreen設(shè)備使用 Web技術(shù)提供了配置和管理軟件的 Web界面，可使用標(biāo)準(zhǔn)的 Web 瀏覽器，通過 “超文本傳輸協(xié)議 ” (HTTP) 遠(yuǎn)程訪問、監(jiān)控和控制網(wǎng)絡(luò)安全配置。 shared secret 是一個(gè)密碼， RADIUS 服務(wù)器用它來生成密鑰，以便對NetScreen和 RADIUS設(shè)備之間的信息流進(jìn)行加密。同樣的，密碼必須至少使用四種可用字符類型中的三種：小寫字母、大寫字母、數(shù)字和符號，而且密碼不得包含用戶名或用戶全名的一部分。 啟用 SSH 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項(xiàng)】：配置 SCS后，工作站需采用支持 SSH2的客戶端軟件，對防火墻進(jìn)行管理。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Management 選擇 Enable SCS并應(yīng)用 選擇 Network Interfaces，針對每個(gè) interface 進(jìn)行配置 在 Network Interfaces (Edit) Properties: Basic Service Options 2/20 Management Services 選擇 SCS，禁用 tel 限制登錄嘗試次數(shù) 為了防止窮舉式密碼試探，要求設(shè)置登錄嘗試次數(shù)限制，建議為 3次。一般情況下密碼至少包含 8 個(gè)字符。此外，還要將 NetScreen 詞典文件加載到 RADIUS 服務(wù)器上，使其能支持下列供應(yīng)商專用屬性 (VSA) 的查詢：用戶組、管理權(quán)限、遠(yuǎn)程 L2TP和 XAuth設(shè)置。為了保障 HTTP的安全，可通過在虛擬專用網(wǎng) (VPN)通道中封裝 HTTP流量或通過 “安全套接字層 ”(SSL)協(xié)議保障安全，還可以通過將管理流量與網(wǎng)絡(luò)用戶流量完全分離來保障它的安全。 ? SELF日志：用于監(jiān)控并記錄所有丟棄的封包（如被某個(gè)策略拒絕的封包）以及在 NetScreen設(shè)備上自行終止的信息流（如管理信息流）。 找到要保存配置文件的位置，然后單擊 Save。 3. UDP Flood（ UDP 泛濫）：與 ICMP 泛濫相似，當(dāng)以減慢系統(tǒng)速度為目的向該點(diǎn)發(fā)送 UDP 封包，以至于系統(tǒng)再也無法處理有效的連 接時(shí)，就發(fā)生了 UDP 泛濫。 NetScreen 設(shè)備在其會(huì)話表中建立項(xiàng)目，并向用戶發(fā)送登錄提示。此選項(xiàng)將使 NetScreen 設(shè)備丟棄字段標(biāo)志缺少或不全的 TCP 封包。如果 NetScreen 在某封包碎片中發(fā)現(xiàn)了這種不一致現(xiàn)象，將會(huì)丟棄該碎片。在 CLI 中，您可以指示 NetScreen 設(shè)備丟棄沒有包含源路由或包含已保留源 IP 地址（不可路由的，例如 18. ）的封包： set zone zone screen ipspoofing dropnorpfroute。通過將 SYN 泛濫防御機(jī)制和 IP 欺騙保護(hù)措施結(jié)合在一起， NetScreen設(shè)備將會(huì)封鎖任何此類性質(zhì)的企圖。 啟用 SYN 泛濫攻擊保護(hù) 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】 ：無 【注意事項(xiàng)】：具體參數(shù)設(shè)置應(yīng)參考相應(yīng)資料及根據(jù)網(wǎng)絡(luò)實(shí)際情況進(jìn)行調(diào)整。設(shè)備會(huì)自動(dòng)丟棄所有此類封包。 20. IP Timestamp Option（ IP 時(shí)戳選項(xiàng)）： NetScreen 設(shè)備封鎖 IP 選項(xiàng)列表中包括選項(xiàng) 4（互聯(lián)網(wǎng)時(shí)戳）的封包。啟用此選項(xiàng)可封鎖所有使用 “源路由選項(xiàng) ”的 IP 信息流。此選項(xiàng)將使 NetScreen 設(shè)備丟棄在標(biāo) 16/20 志字段中設(shè)置了 FIN 標(biāo)志，但沒有設(shè)置 ACK 位的封包。要阻擋這類攻擊，您可以啟用SYNACKACK Proxy 保護(hù) SCREEN 選項(xiàng)。（缺省的臨界值為每秒 1000 個(gè)封包。因此，為了記錄系統(tǒng)升級過程中可能出現(xiàn)的意外情況 并能及時(shí)處理，建議通過隨機(jī)配備的 CONSOLE線纜將筆記本電腦的串口連接到防火墻的 CONSOLE口上，并打開超級終端軟件連接防火墻。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Policies Edit（選擇需要開啟信息流日志的策略） 單擊 Advanced: 選擇 Logging，單擊 Return，然后單擊 OK 根據(jù)需要開啟 SELF日志功能。 8/20 更改 HTTP監(jiān)聽端口號 NetScreen使用 HTTP時(shí)缺省使用的 80監(jiān)聽端口容易被黑客掃描到，因此可以通過更改 HTTP監(jiān)聽端口號提高系統(tǒng)安全性。 在下例中將其用戶帳戶類型指定為 admin，將 RADIUS 服務(wù)器命名為 6/20 “radius1”，并接受 NetScreen設(shè)備自