【正文】 層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項(xiàng)】：無 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Auth Auth Servers New：輸入以下內(nèi)容，然后單擊 OK。需要合理配置 SNMP 協(xié)議的相關(guān)屬性，才能讓 SNMP 協(xié)議更好的為日常維護(hù)管理服務(wù)。 NetScreen防火墻支持 SNMPv MIBII，還有其私有 MIB 庫，可將其加載到網(wǎng)絡(luò)管理系統(tǒng)中。 建議采取以下方法進(jìn)行保護(hù)： 7/20 ? 限制發(fā)起 SNMP連接的源地址； ? 設(shè)置并定期更改 SNMP Community（至少半年一次）； ? 除特殊情況，否則不設(shè)置 SNMP RW Community； 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項(xiàng)】： SNMP服務(wù)器應(yīng)配置與防火墻 SNMP相同的 Community Name通信子串。 選擇菜單 Configuration Report Settings SNMP 設(shè)置 Configuration Report Settings SNMP 單擊 New Community Community Name設(shè)置口令 Permissions 設(shè)置讀寫權(quán)限 Hosts IP Address/Netmask地址限定 HTTP 的配置要求 NetScreen設(shè)備使用 Web技術(shù)提供了配置和管理軟件的 Web界面，可使用標(biāo)準(zhǔn)的 Web 瀏覽器，通過 “超文本傳輸協(xié)議 ” (HTTP) 遠(yuǎn)程訪問、監(jiān)控和控制網(wǎng)絡(luò)安全配置。一些型號的 NetScreen 設(shè)備支持通過 MGT接口或?qū)⒁粋€(gè)接口（例如 DMZ）完全專用于管理流量來運(yùn)行所有的管理流量。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項(xiàng)】：更改端口號后，在下次嘗試通過 HTTP訪問 NetScreen 設(shè)備時(shí)，必須在 Web 瀏覽器的 URL 字段中鍵入新的端口號（如 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Admin Managemen 在 “HTTP 端口 ”字段中，鍵入新端口號（如 50000），然后單擊 Apply 使用 SSL保障 HTTP訪問的安全性 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項(xiàng)】：有關(guān)請求并加載證書的詳細(xì)信息，請參考 NetScreen 相關(guān)文檔。 Ciphe：選擇您要從下拉列表中使用的密碼。 9/20 使用瀏覽器通過 連接到 NetScreen 設(shè)備的 SSL 端口進(jìn)行管理。所有 NetScreen 設(shè)備都允許在內(nèi)部（閃存區(qū)域）和外部存儲事件和信息流日志數(shù)據(jù)。當(dāng)內(nèi)部存儲空間被完全占用時(shí)， NetScreen 設(shè)備會用最新的日志條目覆蓋最舊的日志條目，造成數(shù)據(jù)丟失。 NetScreen防火墻 提供以下幾種日志存儲及呈現(xiàn)方式： ? Console（控制臺） ? Internal（內(nèi)部數(shù)據(jù)庫） ? Email（電子郵件） ? SNMP ? Syslog （系統(tǒng)日志） ? WebTrends ? NetScreenGlobal PRO ? CompactFlash (PCMCIA) NetScreen防火墻的日志信息分為以下四種類型： ? 事件日志：用于監(jiān)控系統(tǒng)事件和網(wǎng)絡(luò)流量。 ? 信息流日志：用于監(jiān)控并記錄策略允許通過防火墻的信息流。 10/20 建議通過以下幾項(xiàng)措施加強(qiáng)對 NetScreen防火墻的日志管理： 針對重要策略開啟信息流日志。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【注意事項(xiàng)】：在網(wǎng)絡(luò)應(yīng)用多樣，網(wǎng)絡(luò)流量大、策略復(fù)雜的環(huán)境中建議不配置該項(xiàng)，例如防火墻部署于骨干路由器后的情況，以避免造成海量日志無法審計(jì)。 【具體配置】： 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Report Settings Syslog，輸入以下信息，然 11/20 后單擊 Apply Enable syslog messages:（選擇） Include Traffic Log: （選擇） Syslog Host Name/Port: 輸入服務(wù)器地址和端口 Security Facility: Local0 Facility: Local0 3 設(shè)備 IOS升級方法 設(shè)備軟件版本升級和補(bǔ)丁安裝是實(shí)施設(shè)備安全加固一個(gè)不可缺少的環(huán)節(jié)。 前期準(zhǔn)備 軟件的獲取 NetScreen公司會在其官方網(wǎng)站（ 件版本和對應(yīng)的升級包，但必須有對應(yīng)的登陸帳戶。建議在升級前必須確認(rèn)軟件是否通過集團(tuán)公司的入網(wǎng)許可，并且與設(shè)備支撐單位確認(rèn)你所要升級設(shè)備的硬件滿足升級操作系統(tǒng)軟件的要求，最好直接向設(shè)備供應(yīng)商獲取。 12/20 數(shù)據(jù)備份 為確保升級過程的可恢復(fù)性，對操作系統(tǒng)軟件和配置數(shù)據(jù)有必要進(jìn)行完全備份。 【應(yīng)用網(wǎng)絡(luò)層次】：所有層面防火墻設(shè)備 【影響】：無 【具體配置】： 備份操作系統(tǒng)軟件 進(jìn)入 Netscreen防火墻的操作系統(tǒng) CLI命令行界面 輸入命令： save software from flash to tftp [ip_addr] [filename] [ from interface ] 備份配置數(shù)據(jù)文件 進(jìn)入 Netscreen防火墻的操作系統(tǒng) WebUI界面 選擇菜單 Configuration Update Config File，單擊 Save to File。 單擊 Save。 其他準(zhǔn)備工作 在對 NetScreen 防火墻的操作系統(tǒng)（ ScreenOS）進(jìn)行升級時(shí)，其管理接口上的 WebUI 或 CLI 用戶界面會暫時(shí)中斷。 升級操作 記錄升級前系統(tǒng)狀態(tài) 為了確保對升級過程中問題的解決提供相依據(jù)，建議在升級前記錄系統(tǒng)的狀態(tài)。并將信息存儲在外部介質(zhì)上，確保升級完畢后進(jìn)行核對。建議由 Netscreen設(shè)備支持廠商提供升級服務(wù)。 檢查升級后系統(tǒng)的狀態(tài) 和 。 NetScreen防火墻的防攻擊選項(xiàng) 當(dāng)前版本的 ScreenOS包括了以下防攻擊選項(xiàng)： 一）以下選項(xiàng)可用于具有物理接口的區(qū)段，但不適用于子接口： 1. SYN Attack（ SYN 攻擊）：當(dāng)網(wǎng)絡(luò)中充滿了會發(fā)出無法完成的連接請求的 SYN 封包，以至于網(wǎng)絡(luò)無法再處理合法的連接請求，從而導(dǎo)致拒絕 14/20 服務(wù) (DoS) 時(shí)，就發(fā)生了 SYN 泛濫攻擊。當(dāng)啟用了 ICMP 泛濫保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，一旦超過此值就會調(diào)用 ICMP 泛濫攻擊保護(hù)功能。）如果超過了該臨界值， NetScreen 設(shè)備在該秒余下的時(shí)間和下一秒內(nèi)會忽略其它的 ICMP 回應(yīng)要求。當(dāng)啟用了 UDP 泛濫保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，一旦超過此臨界值就會調(diào)用 UDP 泛濫攻擊保護(hù)功能。）如果從一個(gè)或多個(gè)源向單個(gè)目表發(fā)送的 UDP