【文章內(nèi)容簡介】 儲及呈現(xiàn)方式： ? Console（控制臺） ? Internal（內(nèi)部數(shù)據(jù)庫） ? Email（電子郵件） ? SNMP ? Syslog （系統(tǒng)日志） ? WebTrends ? NetScreenGlobal PRO ? CompactFlash (PCMCIA) NetScreen防火墻的日志信息分為以下四種類型： ? 事件日志：用于監(jiān)控系統(tǒng)事件和網(wǎng)絡(luò)流量。分為 Emergency（緊急）、Emergency（緊急）、 Alert（警示）、 Critical（關(guān)鍵）、 Error（錯誤）、Warning（警告）、 Notification（通知）、 Information（信息）、 Debugging（調(diào)試） 8種級別。 ? 信息流日志：用于監(jiān)控并記錄策略允許通過防火墻的信息流。 ? SELF日志：用于監(jiān)控并記錄所有丟棄的封包（如被某個策略拒絕的封包）以及在 NetScreen設(shè)備上自行終止的信息流（如管理信息流）。 10/20 建議通過以下幾項措施加強(qiáng)對 NetScreen防火墻的日志管理： 針對重要策略開啟信息流日志。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Policies Edit（選擇需要開啟信息流日志的策略） 單擊 Advanced: 選擇 Logging，單擊 Return，然后單擊 OK 根據(jù)需要開啟 SELF日志功能。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項】：在網(wǎng)絡(luò)應(yīng)用多樣，網(wǎng)絡(luò)流量大、策略復(fù)雜的環(huán)境中建議不配置該項，例如防火墻部署于骨干路由器后的情況，以避免造成海量日志無法審計。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Management 選擇 Log Packets Terminated to Self，然后單擊 Apply 將日志轉(zhuǎn)發(fā)至 SYSLOG服務(wù)器 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項】：設(shè)置 Include Traffic Log 有效時，將會把策略中記錄的流量日志，同時發(fā)送到 Syslog服務(wù)器，可按具體情況配置。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Report Settings Syslog，輸入以下信息，然 11/20 后單擊 Apply Enable syslog messages:（選擇） Include Traffic Log: （選擇） Syslog Host Name/Port: 輸入服務(wù)器地址和端口 Security Facility: Local0 Facility: Local0 3 設(shè)備 IOS升級方法 設(shè)備軟件版本升級和補(bǔ)丁安裝是實施設(shè)備安全加固一個不可缺少的環(huán)節(jié)。為了確保 IOS升級的順利進(jìn)行，建議考慮從以下幾個細(xì)節(jié)進(jìn)行考慮。 前期準(zhǔn)備 軟件的獲取 NetScreen公司會在其官方網(wǎng)站（ 件版本和對應(yīng)的升級包，但必須有對應(yīng)的登陸帳戶。新購買的 NetScreen防火墻可以通過網(wǎng)上注冊得到 3個月免費(fèi)的登錄帳戶，更長時間的帳戶需要向 NetScreen購買服務(wù)。建議在升級前必須確認(rèn)軟件是否通過集團(tuán)公司的入網(wǎng)許可，并且與設(shè)備支撐單位確認(rèn)你所要升級設(shè)備的硬件滿足升級操作系統(tǒng)軟件的要求，最好直接向設(shè)備供應(yīng)商獲取。 制定升級計劃 與設(shè)備支撐單位一起制定詳細(xì)的升級計劃，充分考慮實施升級和補(bǔ)丁裝載時系統(tǒng)重啟對業(yè) 務(wù)的影響，充分考慮網(wǎng)絡(luò)結(jié)構(gòu)的雙機(jī)或雙鏈路結(jié)構(gòu)對業(yè)務(wù)的保護(hù)，最大限度減少業(yè)務(wù)中斷時間。 12/20 數(shù)據(jù)備份 為確保升級過程的可恢復(fù)性，對操作系統(tǒng)軟件和配置數(shù)據(jù)有必要進(jìn)行完全備份。要求在備份前確認(rèn)備份介質(zhì)的可用性和可靠性，并在備份完升級前進(jìn)行驗證。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【具體配置】： 備份操作系統(tǒng)軟件 進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面 輸入命令： save software from flash to tftp [ip_addr] [filename] [ from interface ] 備份配置數(shù)據(jù)文件 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Update Config File，單擊 Save to File。會出現(xiàn)一條系統(tǒng)消息，提示您打開該文件或?qū)⑵浔４娴接嬎銠C(jī)上。 單擊 Save。 找到要保存配置文件的位置，然后單擊 Save。 其他準(zhǔn)備工作 在對 NetScreen 防火墻的操作系統(tǒng)（ ScreenOS）進(jìn)行升級時，其管理接口上的 WebUI 或 CLI 用戶界面會暫時中斷。因此，為了記錄系統(tǒng)升級過程中可能出現(xiàn)的意外情況 并能及時處理，建議通過隨機(jī)配備的 CONSOLE線纜將筆記本電腦的串口連接到防火墻的 CONSOLE口上，并打開超級終端軟件連接防火墻。 升級操作 記錄升級前系統(tǒng)狀態(tài) 為了確保對升級過程中問題的解決提供相依據(jù)，建議在升級前記錄系統(tǒng)的狀態(tài)。包括：設(shè)備各模塊硬件、工作狀態(tài)、模塊端口及工作狀態(tài)、路由協(xié)議、路由 13/20 表等。并將信息存儲在外部介質(zhì)上，確保升級完畢后進(jìn)行核對。 升級操作系統(tǒng)軟件 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項】：操作系統(tǒng)版本升級過程中可能出現(xiàn)防火墻工作異常， HA 模式工作的多個防火 墻必須同時升級并保證最終版本一致。建議由 Netscreen設(shè)備支持廠商提供升級服務(wù)。 【具體配置】： 使用 Web瀏覽器進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面； 選擇菜單 Configuration Update ScreenOS/Keys 選擇 Firmware Update，在 Load File 處添加軟件升級軟件 系統(tǒng)自動重啟，在 CONSOLE終端上可以觀察到升級過程。 檢查升級后系統(tǒng)的狀態(tài) 和 。 4 特定的安全配置 NetScreen 防火墻軟件針對多 種常見的網(wǎng)絡(luò)攻擊預(yù)先定義了防御機(jī)制選項，應(yīng)根據(jù)防火墻保護(hù)的網(wǎng)絡(luò)應(yīng)用具體情況啟用合適的防攻擊選項，并配置適當(dāng)?shù)膮?shù)。 NetScreen防火墻的防攻擊選項 當(dāng)前版本的 ScreenOS包括了以下防攻擊選項： 一）以下選項可用于具有物理接口的區(qū)段，但不適用于子接口： 1. SYN Attack（ SYN 攻擊）：當(dāng)網(wǎng)絡(luò)中充滿了會發(fā)出無法完成的連接請求的 SYN 封包，以至于網(wǎng)絡(luò)無法再處理合法的連接請求，從而導(dǎo)致拒絕 14/20 服務(wù) (DoS) 時，就發(fā)生了 SYN 泛濫攻擊。 2. ICMP Flood（ ICMP 泛濫）：當(dāng) ICMP ping 產(chǎn)生的大量回應(yīng)請求