【正文】 creen和初始密碼 screen更改為新的登陸名和密碼，然后單擊 OK 限制密碼最短長(zhǎng)度 要求密碼最短長(zhǎng)度為 8位。 更改系統(tǒng)初始帳號(hào)和密碼 NetScreen 防火墻出廠時(shí)缺省配置了初始登陸名 screen 和初始密碼screen，在完成初始配置后應(yīng)盡快將初始帳戶(hù)修改。一般情況下密碼至少包含 8 個(gè)字符。為了提高安全性，在方便記憶的前提下，帳號(hào)名字應(yīng)盡量混用字符的大小寫(xiě)、數(shù)字和符號(hào)，提高猜度的難度。登錄帳號(hào)及密碼的保管和更新應(yīng)由專(zhuān)人負(fù)責(zé)，并注意 4/20 保密。當(dāng)外方人員需要登錄設(shè)備時(shí)，應(yīng)創(chuàng)建臨時(shí)帳號(hào)，并指定合適的權(quán)限。如果通過(guò)網(wǎng)絡(luò)連接對(duì)設(shè)備進(jìn)行管理，而工作站不包括在指派中，則 NetScreen 設(shè)備立即終止當(dāng)前會(huì)話，并且不再能從該工作站管理設(shè)備。要限制對(duì)特定工作站的管理能 力，必須配置管理客戶(hù)端 IP 地址。從網(wǎng)絡(luò)用戶(hù)流量 3/20 分離管理流量大大增加了管理安全性，并確保了穩(wěn)定的管理帶寬。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面 輸入命令： set admin access attempts number 限制 ROOT登錄 由于 ROOT 管理員具有最高權(quán)限，為了避免 ROOT 管理員密碼被竊取后造成威脅，可以限制 ROOT 用戶(hù)只能通過(guò) CONSOLE 接口訪問(wèn)設(shè)備，而不能遠(yuǎn)程登錄。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Management 選擇 Enable SCS并應(yīng)用 選擇 Network Interfaces，針對(duì)每個(gè) interface 進(jìn)行配置 在 Network Interfaces (Edit) Properties: Basic Service Options 2/20 Management Services 選擇 SCS，禁用 tel 限制登錄嘗試次數(shù) 為了防止窮舉式密碼試探，要求設(shè)置登錄嘗試次數(shù)限制，建議為 3次。 規(guī)范的配置文檔提供遠(yuǎn)程登陸 SSH 開(kāi)啟的方式，和 SSH 相關(guān)屬性的設(shè)置，如：超時(shí)間隔、嘗試登錄次數(shù)、控制連接的并發(fā)數(shù)目、如何采用訪問(wèn)列表嚴(yán)格控制訪問(wèn)的地址。但是 SSH 傳送的數(shù)據(jù)（包括帳號(hào)和密碼）都會(huì)被加密 ，且密鑰會(huì)自動(dòng)更新，極大提高了連接的安全性。同時(shí) Tel并不是一個(gè)安全的協(xié)議。 1/20 1 網(wǎng)管及認(rèn)證問(wèn)題 遠(yuǎn)程登錄 一般而言，維護(hù)人員都習(xí)慣使用 CLI來(lái)進(jìn)行設(shè)備配置和日常管理，使用 Tel工具來(lái)遠(yuǎn)程登錄設(shè)備，并且大部分設(shè)備都提供標(biāo)準(zhǔn)的 Tel接口，開(kāi)放 TCP 23端口。雖然 Tel在連接建立初期需要進(jìn)行帳號(hào)和密碼的核查，但是在此過(guò)程，以及后續(xù)會(huì)話中，都是明文方式傳送所有數(shù)據(jù)，容易造竊聽(tīng)而泄密。 要求采用 SSH協(xié)議來(lái)取代 Tel進(jìn)行設(shè)備的遠(yuǎn)程登錄， SSH與 Tel一樣，提供遠(yuǎn)程連接登錄的手段。 SSH可以非常有效地防止竊聽(tīng)、防止使用地址欺騙手段實(shí)施的連接嘗試。 啟用 SSH 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【注意事項(xiàng)】：配置 SCS后，工作站需采用支持 SSH2的客戶(hù)端軟件，對(duì)防火墻進(jìn)行管理。當(dāng)系統(tǒng)收到一個(gè)連接請(qǐng)求，若 提供的帳號(hào)或密碼連續(xù)不能通過(guò)驗(yàn)證的的次數(shù)超過(guò)設(shè)定值，就自動(dòng)中斷該連接。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【具 體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面 輸入命令： set admin root access console 訪問(wèn)限制 啟用只接受管理流量的邏輯管理 IP地址 任何綁定到安全區(qū)段的接口都至少可以具有兩個(gè) IP 地址：一個(gè)連接到網(wǎng)絡(luò)的接口 IP 地址；一個(gè)用于接收管理流量的邏輯管理 IP 地址。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界 面 選擇菜單 Network Interfaces Edit（選擇需要定義管理 IP 的接口） Zone Name: Trust（假設(shè)定義在 Trust區(qū)段） IP Address/Netmask: （接口地址） Manage IP: （管理地址） Management Services: WebUI, Tel, SNMP:（選擇需要的服務(wù)） 限制可登錄的訪問(wèn)地址 缺省情況下，可信接口上的任何主機(jī)都可管理 NetScreen 設(shè)備。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【注意事項(xiàng)】：管理客戶(hù)端 IP 地址的指派立即生效。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Permitted Ips 設(shè)置管理工作站的單一地址或一段地址 帳號(hào)和密碼管理 建議應(yīng)在日常維護(hù)過(guò)程中 周期性地（至少按季度）更改登錄密碼，甚至登錄帳號(hào)。臨時(shí)帳號(hào)使用完后應(yīng)及時(shí)刪除。帳號(hào)名字應(yīng)該與使用者存在對(duì)應(yīng)關(guān)系，如能反應(yīng)使用者的級(jí)別、從屬關(guān)系。同樣的，密碼必須至少使用四種可用字符類(lèi)型中的三種：小寫(xiě)字母、大寫(xiě)字母、數(shù)字和符號(hào)，而且密碼不得包含用戶(hù)名或用戶(hù)全名的一部分。 我們建議用密碼生成器軟件（如 ） 來(lái)制造隨機(jī)密碼。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【注意事項(xiàng)】：登錄名和密碼都區(qū)分大小 寫(xiě)，每個(gè)都必須為一個(gè)單詞、字母或數(shù)字，但是不能有符號(hào)。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無(wú) 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行 界面 輸入命令： set admin password restrict length 8 5/20 帳號(hào)認(rèn)證和授權(quán) 帳號(hào)的認(rèn)證和授權(quán)分為設(shè)備本身的認(rèn)證和授權(quán)和 AAA 服務(wù)器的認(rèn)證和授權(quán)兩個(gè)部分。以下以 RADIUS 為例介紹AAA服務(wù)器認(rèn)證的配置方法。 NetScreen設(shè)備的管 理員分為三種級(jí)別： ? 根管理員具有完全的管理權(quán)限，每個(gè) NetScreen 設(shè)備只有一個(gè)根管理員； ? 可讀 /寫(xiě)管理員具有與根管理員相同的權(quán)限，但是他不能創(chuàng)建、修改或刪除其他的 admin 用戶(hù)； ? 只讀管理員只具有使用 WebUI 進(jìn)行查看的權(quán)限，他只能發(fā)出 get 和 ping CLI 命令。 RADIUS客戶(hù)端（即 NetScreen設(shè)備）通過(guò)客戶(hù)端與服務(wù)器之間的一系列通信對(duì)用戶(hù)進(jìn)行認(rèn)證。然后，它將這些值與其數(shù)據(jù)庫(kù)中的對(duì)應(yīng)值比較，用戶(hù)通過(guò)認(rèn)證后，客戶(hù)端即允許其訪問(wèn)相應(yīng)的網(wǎng)絡(luò)服務(wù)。 shared secret 是一個(gè)密碼， RADIUS 服務(wù)器用它來(lái)生成密鑰，以便對(duì)NetScreen和 RADIUS設(shè)備之間的信息流進(jìn)行加密?？蓮?下載詞典文件。輸入其 IP 地址 ；將其端口號(hào)由缺省值 (1645) 更改為 4500。將超時(shí)值由缺省值（ 10 分鐘）更改為 30 分鐘。 【應(yīng)用網(wǎng)絡(luò)