【正文】 使用 Web瀏覽器進入 Netscreen防火墻的操作系統(tǒng) WebUI界面； 選擇菜單 Configuration Update ScreenOS/Keys 選擇 Firmware Update，在 Load File 處添加軟件升級軟件 系統(tǒng)自動重啟，在 CONSOLE終端上可以觀察到升級過程。 升級操作系統(tǒng)軟件 【應用網(wǎng)絡層次】：所有層面防火墻設備 【影響】：無 【注意事項】：操作系統(tǒng)版本升級過程中可能出現(xiàn)防火墻工作異常， HA 模式工作的多個防火 墻必須同時升級并保證最終版本一致。包括：設備各模塊硬件、工作狀態(tài)、模塊端口及工作狀態(tài)、路由協(xié)議、路由 13/20 表等。因此，為了記錄系統(tǒng)升級過程中可能出現(xiàn)的意外情況 并能及時處理，建議通過隨機配備的 CONSOLE線纜將筆記本電腦的串口連接到防火墻的 CONSOLE口上，并打開超級終端軟件連接防火墻。 找到要保存配置文件的位置，然后單擊 Save。會出現(xiàn)一條系統(tǒng)消息，提示您打開該文件或?qū)⑵浔４娴接嬎銠C上。要求在備份前確認備份介質(zhì)的可用性和可靠性，并在備份完升級前進行驗證。 制定升級計劃 與設備支撐單位一起制定詳細的升級計劃，充分考慮實施升級和補丁裝載時系統(tǒng)重啟對業(yè) 務的影響，充分考慮網(wǎng)絡結(jié)構(gòu)的雙機或雙鏈路結(jié)構(gòu)對業(yè)務的保護，最大限度減少業(yè)務中斷時間。新購買的 NetScreen防火墻可以通過網(wǎng)上注冊得到 3個月免費的登錄帳戶，更長時間的帳戶需要向 NetScreen購買服務。為了確保 IOS升級的順利進行，建議考慮從以下幾個細節(jié)進行考慮。 【具體配置】： 進入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Management 選擇 Log Packets Terminated to Self，然后單擊 Apply 將日志轉(zhuǎn)發(fā)至 SYSLOG服務器 【應用網(wǎng)絡層次】：所有層面防火墻設備 【影響】：無 【注意事項】：設置 Include Traffic Log 有效時，將會把策略中記錄的流量日志，同時發(fā)送到 Syslog服務器，可按具體情況配置。 【應用網(wǎng)絡層次】：所有層面防火墻設備 【影響】：無 【具體配置】： 進入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Policies Edit（選擇需要開啟信息流日志的策略） 單擊 Advanced: 選擇 Logging，單擊 Return，然后單擊 OK 根據(jù)需要開啟 SELF日志功能。 ? SELF日志：用于監(jiān)控并記錄所有丟棄的封包（如被某個策略拒絕的封包）以及在 NetScreen設備上自行終止的信息流（如管理信息流）。分為 Emergency（緊急）、Emergency（緊急）、 Alert（警示）、 Critical（關鍵）、 Error（錯誤）、Warning（警告）、 Notification（通知）、 Information（信息）、 Debugging（調(diào)試） 8種級別。要減少這種數(shù)據(jù)損失，可將事件和信息流日志存儲在外部的系統(tǒng)日志或 WebTrends 服務器中，或NetScreenGlobal PRO 數(shù)據(jù)庫中。盡管在內(nèi)部存儲日志信息很方便，但內(nèi)存的數(shù)量是有限的。 2 安全審計 防火墻的日志數(shù)據(jù)能夠幫助系統(tǒng)管理員進行歷史信息流跟蹤、事件關聯(lián)分析和網(wǎng)絡故障 診斷，因此利用 NetScreen防火墻提供的各種功能加強對日志的管理，將有助于及時發(fā)現(xiàn)和判斷安全問題。 配置接口，通過該接口您可管理 NetScreen 設備，以允許進行 SSL 管理：選擇菜單 Network Interfaces Edit（對于要管理的接口）：啟用 SSL并禁用 HTTP 管理服務復選框，然后單擊 OK。 【具體配置】： 進入 Netscreen防火墻的操作系統(tǒng) WebUI界面 獲得 SSL證書并在 NetScreen 設備上加載 啟用 SSL 管理：選擇菜單 Configuration Admin Management：輸入以下內(nèi)容 ，然后單擊 Apply： Certificate：選擇您要從下拉列表中使用的證書。 8/20 更改 HTTP監(jiān)聽端口號 NetScreen使用 HTTP時缺省使用的 80監(jiān)聽端口容易被黑客掃描到，因此可以通過更改 HTTP監(jiān)聽端口號提高系統(tǒng)安全性。為了保障 HTTP的安全，可通過在虛擬專用網(wǎng) (VPN)通道中封裝 HTTP流量或通過 “安全套接字層 ”(SSL)協(xié)議保障安全，還可以通過將管理流量與網(wǎng)絡用戶流量完全分離來保障它的安全。 【具體配置】： a. 如果業(yè)務不需使用 SNMP服務，可停止 SNMP服務 進入 Netscreen防火墻的操作系統(tǒng) WebUI界 面 選擇菜單 Network Interfaces (Edit) Service Options 不選擇 SNMP b. 如果業(yè)務需要使用 SNMP服務，可通過對其認證字符串、讀寫權限和地址進行限制。要獲得最新的 MIB 文件，請從 下載。如不需要，不建議對 NetScreen防火墻使用 SNMP。 Name: radius1 IP/Domain Name: Backup1: Backup2: Timeout: 30 Account Type: Admin RADIUS:（選擇） RADIUS Port: 4500 Shared Secret: A56htYY97kl SNMP 協(xié)議 SNMP協(xié)議是目前數(shù)據(jù)網(wǎng)管理中普遍使用的協(xié)議，但 SNMP協(xié)議本身也存在安全問題。同時將兩個備份服務器的 IP 地址分別指定為 和 。將其共享機密定義為 “A56htYY97kl”。 在下例中將其用戶帳戶類型指定為 admin，將 RADIUS 服務器命名為 6/20 “radius1”，并接受 NetScreen設備自動指派的 ID 號。此外，還要將 NetScreen 詞典文件加載到 RADIUS 服務器上，使其能支持下列供應商專用屬性 (VSA) 的查詢：用戶組、管理權限、遠程 L2TP和 XAuth設置。要針對 RADIUS配置 NetScreen設備，必須指定 RADIUS服務器的 IP地址，并定義與 RADIUS服務器上的定義相同的 shared secret。通常， RADIUS會 要求登錄人員輸入其用戶名和密碼。 RADIUS認證和授權 遠程認證撥號的用戶服務 (RADIUS)是一個用于認證服務器的協(xié)議，它最多可支持幾萬個用戶。 本機認證和授權 在 NetScreen 設備上定義用戶時， NetScreen 設備將用戶名和密碼輸入到其本地數(shù)據(jù)庫中。 NetScreen 防火墻除了支持本地數(shù)據(jù)庫的認證和授權，還支持外部RADIUS、 SecureID 和 LDAP 服務器的認證和授權。 【具體配置】： 進入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Administrators Edit 將系統(tǒng)缺省的初始登陸名 s