【正文】 望NetScreen 設(shè)備允許出站HTTP信息流。URL 過濾服務(wù)器位于Trust 區(qū)段中。但是，URL 過濾過程確定所請求的URL 是被禁止的。使用直接嵌入在NetScreen 防火墻中的Websense API，NetScreen 設(shè)備可以直接鏈接到Websense URL 過濾服務(wù)器。但是，URL過濾過程確定所請求的URL 是被禁止的。使用直接嵌入在NetScreen 防火墻中的Websense API，NetScreen 設(shè)備可以直接鏈接到Websense URL 過濾服務(wù)器。選擇ws4，并使用 按鈕將地址從Available Members 欄移動到GroupMembers 欄中。選擇ws2，并使用 按鈕將地址從Available Members 欄移動到GroupMembers 欄中。配置實例:在本例中，通過為Untrust 區(qū)段啟用SYN 泛濫保護SCREEN 選項，保護DMZ 區(qū)段中的Web 服務(wù)器，使其免受始發(fā)自 Untrust 區(qū)段中的SYN 泛濫攻擊。B用SYN/ACK 片段響應(yīng)這些地址，然后等待響應(yīng)的ACK 片段。利用三方封包交換，即常說的三方握手，兩個主機之間建立TCP 連接:A向B發(fā)送SYN 片段； B用SYN/ACK 片段進行響應(yīng)；然后A又用ACK 片段進行響應(yīng)。對于Trust 區(qū)段，將源會話數(shù)最大限值設(shè)置為80 個并發(fā)會話。由于DMZ 區(qū)段僅保護Web 服務(wù)器，其中任一個主機都不應(yīng)發(fā)起信息流，因此，將基于源的會話限值設(shè)置為可能的最低值:1個會話。由于所有由病毒生成的信息流都始發(fā)自相同的IP 地址，因此，基于源的會話限制可以保證NetScreen 防火墻能抑制這類巨量的信息流。 典型配置（6）――基于源的會話限制除了限制來自相同源IP 地址的并發(fā)會話數(shù)目之外，也可以限制對相同目標(biāo)IP 地址的并發(fā)會話數(shù)目。Screening Screen (Zone: DMZ): 選擇IP Address Spoof Protection，然后單擊Apply。例如， 的封包到達ethernet1，并且沒有通過ethernet1 ，則NetScreen 設(shè)備將確定該封包已到達無效的接口，并將其丟棄。在缺省情況下，NetScreen 設(shè)備在路由表中自動為接口IP 地址中指定的子網(wǎng)生成條目。NetScreen 具有兩種 IP 欺騙檢測方法，這兩種方法能完成同樣的任務(wù):確定封包并非來自其包頭所指示的位置。WebUIScreening Screen (Zone: Untrust): 輸入以下內(nèi)容，然后單擊Apply:Generate Alarms without Dropping Packet: (選擇)IP Address Spoof Protection: (選擇)CLIset zone untrust screen alarmwithoutdropset zone untrust screen ipspoofingsave 典型配置（5）――三層IP欺騙保護試獲得網(wǎng)絡(luò)中受限區(qū)域的訪問權(quán)限的一個方法是，在封包包頭中插入虛假的源地址，以使該封包看似發(fā)自信任來源。當(dāng)該攻擊發(fā)生時，即可使用該“蜜罐”監(jiān)視攻擊者越過防火墻后的活動。當(dāng)含有欺騙性源IP地址的封包到來時，您希望NetScreen設(shè)備發(fā)出通知，但不將其丟棄，而是讓其通過，或許是將其引導(dǎo)到您在DMZ接口連接上連接的“蜜罐” (honeypot)中。這種信息使您能評估一些響應(yīng)。雖然精明的攻擊者會隱藏其位置和身份，但您或許能通過收集足夠的信息來識別攻擊的始發(fā)點。然后可以研究所發(fā)生的現(xiàn)象，并嘗試了解攻擊者的方法、策略和目的。如果您希望收集有關(guān)攻擊的信息，可以讓它發(fā)生、監(jiān)視它、分析它、執(zhí)行辯論練習(xí)，然后按照先前準(zhǔn)備好的事件響應(yīng)計劃的描述做出響應(yīng)。WebUI1. 接口帶寬Interfaces Edit ( 對于ethernet1 ): 輸入以下內(nèi)容，然后單擊OK:Traffic Bandwidth: 40000Interfaces Edit ( 對于ethernet3 ): 輸入以下內(nèi)容，然后單擊OK:Traffic Bandwidth: 400002. 策略帶寬Policies (From: Trust, To: Untrust) New: 輸入以下內(nèi)容，然后單擊OK:Name: SupoutSource Address:Address Book Entry: (選擇), SupportDestination Address:Address Book Entry: (選擇), AnyService: AnyAction: Permit Advanced: 輸入以下內(nèi)容，然后單擊Return，設(shè)置高級選項并返回基本配置頁:Traffic Shaping: ( 選擇)Guaranteed Bandwidth: 5000Maximum Bandwidth: 40000Traffic Priority: High priorityDiffServ Codepoint Marking5 : (選擇)Policies (From: Trust, To: Untrust) New: 輸入以下內(nèi)容，然后單擊OK:Name: SaloutSource Address:Address Book Entry: (選擇), SalesDestination Address:Address Book Entry: (選擇), AnyService: AnyAction: Permit Advanced: 輸入以下內(nèi)容，然后單擊Return，設(shè)置高級選項并返回基本配置頁:Traffic Shaping: ( 選擇)Guaranteed Bandwidth: 2500Maximum Bandwidth: 40000Traffic Priority: 2nd priorityDiffServ Codepoint Marking: EnablePolicies (From: Trust, To: Untrust) New: 輸入以下內(nèi)容，然后單擊OK:Name: MaroutSource Address:Address Book Entry: (選擇), MarketingDestination Address:Address Book Entry: (選擇), AnyService: AnyAction: Permit Advanced: 輸入以下內(nèi)容，然后單擊Return，設(shè)置高級選項并返回基本配置頁:Traffic Shaping: ( 選擇)Guaranteed Bandwidth: 2500Maximum Bandwidth: 40000Traffic Priority: 3rd priorityDiffServ Codepoint Marking: ( 選擇)Policies (From: Untrust, To: Trust) New: 輸入以下內(nèi)容，然后單擊OK:Name: SupinSource Address:Address Book Entry: (選擇), AnyDestination Address:Address Book Entry: (選擇), SupportService: AnyAction: Permit Advanced: 輸入以下內(nèi)容，然后單擊Return，設(shè)置高級選項并返回基本配置頁:Traffic Shaping: ( 選擇)Guaranteed Bandwidth: 5000Maximum Bandwidth: 40000Traffic Priority: High priorityDiffServ Codepoint Marking: ( 選擇)Policies (From: Untrust, To: Trust) New: 輸入以下內(nèi)容，然后單擊OK:Name: SalinSource Address:Address Book Entry: (選擇), AnyDestination Address:Address Book Entry: (選擇), SalesService: AnyAction: Permit Advanced: 輸入以下內(nèi)容，然后單擊Return，設(shè)置高級選項并返回基本配置頁:Traffic Shaping: ( 選擇)Guaranteed Bandwidth: 3500Maximum Bandwidth: 40000Traffic Priority: 2nd priorityDiffServ Codepoint Marking: ( 選擇)Policies (From: Untrust, To: Trust) New: 輸入以下內(nèi)容，然后單擊OK:Name: MarinSource Address:Address Book Entry: (選擇), AnyDestination Address:Address Book Entry: (選擇), MarketingService: AnyAction: Permit Advanced: 輸入以下內(nèi)容，然后單擊Return，設(shè)置高級選項并返回基本配置頁:Traffic Shaping: ( 選擇)Guaranteed Bandwidth: 1500Maximum Bandwidth: 40000Traffic Priority: 3rd priorityDiffServ Codepoint Marking: ( 選擇)CLI1. 接口帶寬set interface ethernet1 bandwidth 40000set interface ethernet3 bandwidth 400002. 策略帶寬set policy name supout from trust to untrust support any any permit trafficgbw 5000 priority 0 mbw 40000 dscp enableset policy name salout from trust to untrust sales any any permit traffic gbw2500 priority 2 mbw 40000 dscp enableset policy name marout from trust to untrust marketing any any permit trafficgbw 2500 priority 3 mbw 40000 dscp enableset policy name supin from untrust to trust any support any permit traffic gbw5000 priority 0 mbw 40000 dscp enableset policy name salin from untrust to trust any sales any permit traffic gbw3500 priority 2 mbw 40000 dscp enableset policy name marin from untrust to trust any marketing any permit trafficgbw 1500 priority 3 mbw 40000 dscp enable 典型配置（4）――攻擊監(jiān)視雖然您通常希望 NetScreen設(shè)備封鎖攻擊，有時也可能希望收集有關(guān)這些攻擊的信息。配置實例：在本例中，您需要為三個部門(Support、Sales 和Marketing) 配置保障帶寬和最大帶寬，如下所示:如果三個部門同時通過NetScreen 防火墻發(fā)送和接收信息流，那么NetScreen 設(shè)備必須分配20 Mbps 的帶寬以滿足保證的策略要求。也就是說，必須在發(fā)送完全部高優(yōu)先級信息流之后，才能發(fā)送2nd priority 信息流，依此類推。如果信息流請求超過可用帶寬，則將丟棄優(yōu)先級最低的信息流。具有相同優(yōu)先級設(shè)置的策略將以輪詢方式競爭帶寬。通過排列功能， NetScreen 能夠以八種不同的優(yōu)先級排列對信息流進行緩沖。WebUI1. 接口帶寬Network Interfaces Edit ( 對于ethernet1 ): 輸入以下內(nèi)容，然后單擊OK:Traffic Bandwidth: 450002Network Interfaces Edit ( 對于ethernet3 ): 輸入以下內(nèi)容，然后單擊OK:Traffic Bandwidth: 450002. 策略帶寬Policies (From: Trust, To: Untrust) New: 輸入以下內(nèi)容，然后單擊OK:Name: Marketing Traffic ShapingSource Address:Address Book Entry: (選擇), MarketingDestination Address:Address Book Entry: (選擇), AnyService: AnyAction: PermitVPN Tunnel: None3 Advanced: 輸入以下內(nèi)容，然后單擊Return，設(shè)置高級選項并返回基本配置頁:Traffic Shaping: ( 選擇)Guaranteed Bandwidth: 10000Maximum Bandwidth: 15000Policies (From: Trust, To: