【導讀】雖然Tel在連接建立初期需要進行帳號和密碼的核查，但是在此過程，以及后續(xù)會話中，都是明文方式傳送所有數(shù)據(jù)，容易造竊聽而泄密。要求采用SSH協(xié)議來取代Tel進行設(shè)備的遠程登錄，SSH與Tel一樣，密，且密鑰會自動更新，極大提高了連接的安全性。SSH可以非常有效地防止竊。聽、防止使用地址欺騙手段實施的連接嘗試。規(guī)范的配置文檔提供遠程登陸SSH開啟的方式，和SSH相關(guān)屬性的設(shè)置，為了防止窮舉式密碼試探，要求設(shè)置登錄嘗試次數(shù)限制，建議為3次。的接口IP地址；一個用于接收管理流量的邏輯管理IP地址。分離管理流量大大增加了管理安全性，并確保了穩(wěn)定的管理帶寬。缺省情況下，可信接口上的任何主機都可管理NetScreen設(shè)備。設(shè)備進行管理，而工作站不包括在指派中，則NetScreen設(shè)備立即終止當前會話，帳號使用完后應(yīng)及時刪除。screen，在完成初始配置后應(yīng)盡快將初始帳戶修改。NetScreen防火墻除了支持本地數(shù)據(jù)庫的認證和授權(quán)，還支持外部。根管理員具有完全的管理權(quán)限，每個NetScreen設(shè)備只有一個根管理員；

　　

【正文】 聯(lián)網(wǎng)地址組成，外來者經(jīng)過分析可以了解到您的網(wǎng)絡(luò)的編址方案及拓撲結(jié)構(gòu)方面的詳細信息。 14. IP Security Option（ IP 安全性選項）：此選項為主機提供了一種手段，可發(fā)送與 DOD 要求兼容的安全性、分隔、 TCC（非公開用戶組）參數(shù)以及 “處理限制代碼 ”。 15. IP Strict Source Route Option（ IP 嚴格源路由選項）： NetScreen 設(shè)備封鎖 IP 選項為 9（ 嚴格源路由選擇）的封包。此選項為封包源提供了一種手段，可在向目標轉(zhuǎn)發(fā)封包時提供網(wǎng)關(guān)所要使用的路由信息。此選項為嚴格源路由，因為網(wǎng)關(guān)或主機 IP 必須將數(shù)據(jù)包報直接發(fā)送到源路由中的下一地址，并且只能通過下一地址中指示的直接連接的網(wǎng)絡(luò)才能到達路由中指定的下一網(wǎng)關(guān)或主機。 16. Unknown Protocol（未知協(xié)議）： NetScreen 設(shè)備丟棄協(xié)議字段設(shè)置為 101 或更大值的封包。目前，這些協(xié)議類型被保留，尚未定義。 17. IP Spoofing（ IP 欺騙）：當攻擊者試圖通過假冒有效的客戶端 IP 地址來繞過防火墻保護 時，就發(fā)生了欺騙攻擊。如果啟用了 IP 欺騙防御機制， NetScreen 設(shè)備會用自己的路由表對 IP 地址進行分析，來抵御這種攻擊。如果 IP 地址不在路由表中，則不允許來自該源的信息流通過NetScreen 設(shè)備進行通信，并且會丟棄來自該源的所有封包。在 CLI 中，您可以指示 NetScreen 設(shè)備丟棄沒有包含源路由或包含已保留源 IP 地址（不可路由的，例如 18. ）的封包： set zone zone screen ipspoofing dropnorpfroute。 19. Bad IP Option（壞的 IP 選項）：當 IP 數(shù)據(jù)包包頭中的 IP 選項列表不完整或殘缺時，會觸發(fā)此選項。 20. IP Timestamp Option（ IP 時戳選項）： NetScreen 設(shè)備封鎖 IP 選項列表中包括選項 4（互聯(lián)網(wǎng)時戳）的封包。 21. Loose Source Route Option： NetScreen 設(shè)備封鎖 IP 選項為 3（松散源路由）的封包。此選項為封包源提供了一種手段，可在向目標轉(zhuǎn)發(fā)封包時提供網(wǎng)關(guān)所要使用的路由信息。此選項是松散源路由，因為允許網(wǎng)關(guān)或主機 IP 使用任何數(shù)量的其它中間網(wǎng)關(guān)的任何路由來到達路 由中的下一 18/20 地址。 22. IP Stream Option（ IP 流選項）： NetScreen 設(shè)備封鎖 IP 選項為 8（流 ID）的封包。此選項提供了一種方法，用于在不支持流概念的網(wǎng)絡(luò)中輸送 16 位 SATNET 流標識符。 23. WinNuke Attack（ WinNuke 攻擊）： WinNuke 是一種常見的應(yīng)用程序，其唯一目的就是使互聯(lián)網(wǎng)上任何運行 Windows 的計算機崩潰。 WinNuke 通過已建立的連接向主機發(fā)送帶外 (OOB) 數(shù)據(jù) — 通常發(fā)送到 NetBIOS 端口 139— 并引起 NetBIOS 碎片重疊，以此來 使多臺機器崩潰。如果啟用了 WinNuke 攻擊防御機制， NetScreen 設(shè)備會掃描所有進入的“Microsoft NetBIOS 會話服務(wù) ”（端口 139）封包。如果 NetScreen 設(shè)備發(fā)現(xiàn)某個封包上設(shè)置了 TCP URG 代碼位，就會檢查偏移值、刪除碎片重疊并根據(jù)需要糾正偏移值以防止發(fā)生 OOB 錯誤。然后讓經(jīng)過修正的封包通過，并在 “事件警報 ”日志中創(chuàng)建一個 WinNuke 攻擊日志條目。 24. Land Attack： “陸地 ”攻擊將 SYN 攻擊和 IP 欺騙結(jié)合在了一起，當攻擊者發(fā)送含有受害方 IP 地址的欺騙性 SYN 封包，將其作為目的和源 IP 地址時，就發(fā)生了陸地攻擊。接收系統(tǒng)通過向自己發(fā)送 SYNACK 封包來進行響應(yīng)，同時創(chuàng)建一個空的連接，該連接將會一直保持到達到空閑超時值為止。向系統(tǒng)堆積過多的這種空連接會耗盡系統(tǒng)資源，導致 DoS。通過將 SYN 泛濫防御機制和 IP 欺騙保護措施結(jié)合在一起， NetScreen設(shè)備將會封鎖任何此類性質(zhì)的企圖。 25. Malicious URL Protection：當啟用 “惡意 URL 檢測 ”時， NetScreen 設(shè)備會監(jiān)視每個 HTTP 封包并檢測與若干用戶定義模式中的任意一個相匹配的任何封包。設(shè)備會自動丟棄所有此類封包。 26. Block Java/ActiveX/ZIP/EXE Component： Web 網(wǎng)頁中可能藏有惡意的Java 或 ActiveX 組件。下載完以后，這些 applet 會在您的計算機上安裝特洛伊木馬病毒。同樣，特洛伊木馬病毒 2 也可以隱藏在壓縮文件（如 .zip）和可執(zhí)行（ .exe）文件中。在安全區(qū)中啟用這些組件的阻塞時，NetScreen 設(shè)備會檢查每個到達綁定到該區(qū)域的接口的 HTTP 包頭。會檢查包頭中列出的內(nèi)容類型是否指示封包負荷中有任何目的組件。如果 19/20 內(nèi)容類型為 ActiveX、 Java、 .exe 或 .zip，而且您將 NetScreen 設(shè)備配置為阻塞這些組件， NetScreen 設(shè)備會阻塞封包。如果內(nèi)容類型僅列出 “八位位組流 ”，而不是特定的組件類型，則 NetScreen設(shè)備會檢查負荷中的文件類型。如果文件類型為 ActiveX、 Java、 .exe 或 .zip，而且您將NetScreen 設(shè)備配置為阻塞這些組件， NetScreen 設(shè)備會阻塞封包。 27. Deny Fragment：封包通過不同的網(wǎng)絡(luò)時，有時必須根據(jù)網(wǎng)絡(luò)的最大傳輸單位 (MTU) 將封包分成更小的部分（片斷）。攻 擊者可能會利用 IP 棧具體實現(xiàn)的封包重新組合代碼中的漏洞，通過 IP 碎片進行攻擊。當目標系統(tǒng)收到這些封包時，造成的結(jié)果小到無法正確處理封包，大到使整個系統(tǒng)崩潰。如果允許 NetScreen 設(shè)備拒絕安全區(qū)段上的 IP 碎片，設(shè)備將封鎖在綁定到該區(qū)段的接口處接收到的所有 IP 封包碎片。 NetScreen防火墻防攻擊選項配置方法 以下以啟用 SYN 泛濫攻擊保護為例說明 NetScreen 防火墻防攻擊選項的配置方法，其它選項配置方法與此類似。 啟用 SYN 泛濫攻擊保護 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】 ：無 【注意事項】：具體參數(shù)設(shè)置應(yīng)參考相應(yīng)資料及根據(jù)網(wǎng)絡(luò)實際情況進行調(diào)整。 【具體配置】： 進入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單選擇菜單 Network Zones 選擇需要啟用抵御攻擊選項的區(qū)段，單擊 Edit SCREEN，輸入以下設(shè)置，然后單擊 Apply： SYN Flood Protection:選擇 Threshold: 200 pps Alarm Threshold： 1024 pps Source Threshold： 4000 pps Destination Threshold： 40000 pps 20/20 Timeout Value： 20 sec Queue Size： 10240