密级：
文档编号：
项目代号：
中国移动Netscreen防火墙
安全配置手册
Version1.0
中国移动通信有限公司
二零零四年十二月
目录
1 综述 3
2 Netscreen的几种典型配置 4
2.1 典型配置（1）――跟踪IP地址 4
2.2 典型配置（2）――接口模式配置 5
2.2.1 透明模式 5
2.2.2 路由模式 8
2.2.3 NAT模式 11
2.3 典型配置（3）――信息流整形与优先级排列 13
2.3.1 信息流整形 13
2.3.2 优先级排列 18
2.4 典型配置（4）――攻击监视 23
2.5 典型配置（5）――三层IP欺骗保护 24
2.6 典型配置（6）――基于源的会话限制 26
2.7 典型配置（7）――SYN泛滥保护 27
2.8 典型配置（8）――URL过滤配置 30
2.9 典型配置（9）――站点到站点IPSECVPN配置 33
2.10 典型配置（10）――高可靠性 44
2.10.1 NSRP概述 44
2.10.2 主动/被动配置的NSRP 45
2.10.3 双主动配置的NSRP 48
3 Netscreen防火墙自身加固 54
3.1 网管及认证问题 54
3.1.1 远程登录 54
3.1.2 帐号和密码管理 56
3.1.3 帐号认证和授权 57
3.1.4 SNMP协议 58
3.1.5 HTTP的配置要求 59
3.2 安全审计 61
3.2.1 针对重要策略开启信息流日志 62
3.2.2 根据需要开启SELF日志功能 62
3.2.3 将日志转发至SYSLOG服务器 62
3.3 设备IOS升级方法 63
3.3.1 前期准备 63
3.3.2 升级操作 64
3.4 特定的安全配置 65
3.4.1 NetScreen防火墙的防攻击选项 65
3.4.2 NetScreen防火墙防攻击选项配置方法 71
综述
本配置手册介绍了Netscreen防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。同时也提供了Netscreen防火墙自身的安全加固建议，防止针对防火墙的直接攻击。通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。
Netscreen的几种典型配置
典型配置（1）――跟踪IP地址
NetScreen设备可以通过接口跟踪指定的IP地址，所以，如果一个或多个IP地址不可达，NetScreen设备就可以禁用所有与该接口相关联的路由，即使物理链接仍处于活动状态5。在NetScreen设备与这些IP地址重新取得联系后，禁用的路由就恢复为活动路由。
类似于NSRP中使用的功能，NetScreen使用第3层路径监控或IP跟踪监控经过接口的指定IP地址的可达性。例如，如果接口直接连接到路由器，则可跟踪接口的下一跳跃地址，以确定该路由器是否仍旧可达。在配置接口上的IP跟踪时，NetScreen设备在接口上向最多4个目标IP地址以用户定义的时间间隔发送ping请求。NetScreen设备监控这些目标以确定是否能接收到响应。如果目标在指定的次数内未响应，则视该IP地址为不可达。不能引发一个或多个目标响应时，会导致NetScreen设备禁用与该接口相关联的路由。如果存在另外一个连接同一目标的路由，NetScreen设备就会重新定向信息流以使用新路由。
WebUI
NetworkInterfacesEdit(对于ethernet3)TrackIPOptions:输入以下内容，然后单击Apply:
EnableTrackIP:(选择)
Threshold:5
TrackIP:输入以下内容，然后单击Add:
Static:(选择)
TrackIP:1.1.1.250
Weight:10
CLI
setinterfaceethernet3track-ip
setinterfaceethernet3track-ipthreshold5
setinterfaceethernet3track-ipip1.1.1.250weight10