NetScreen防火墙安全配置指导手册.doc

1 网管及认证问题1.1 远程登录一般而言，维护人员都习惯使用CLI来进行设备配置和日常管理，使用Telnet工具来远程登录设备，并且大部分设备都提供标准的Telnet接口，开放TCP 23端口。虽然Telnet在连接建立初期需要进行帐号和密码的核查，但是在此过程，以及后续会话中，都是明文方式传送所有数据，容易造窃听而泄密。同时Telnet并不是一个安全的协议。要求采用SSH协议来取代Telnet进行设备的远程登录，SSH与Telnet一样，提供远程连接登录的手段。但是SSH传送的数据（包括帐号和密码）都会被加密，且密钥会自动更新，极大提高了连接的安全性。SSH可以非常有效地防止窃听、防止使用地址欺骗手段实施的连接尝试。规范的配置文档提供远程登陆SSH开启的方式，和SSH相关属性的设置，如：超时间隔、尝试登录次数、控制连接的并发数目、如何采用访问列表严格控制访问的地址。1.1.1 启用SSH【应用网络层次】：所有层面防火墙设备 【影响】：无【注意事项】：配置SCS后，工作站需采用支持SSH2的客户端软件，对防火墙进行管理。【具体配置】：1、进入Netscreen防火墙的操作系统WebUI界面2、选择菜单Configuration Admin Management3、选择Enable SCS并应用4、选择Network Interfaces，针对每个interface进行配置5、在Network Interfaces (Edit) Properties:Basic Service Options Management Services6、选择SCS，禁用telnet1.1.2 限制登录尝试次数为了防止穷举式密码试探，要求设置登录尝试次数限制，建议为3次。当系统收到一个连接请求，若提供的帐号或密码连续不能通过验证的的次数超过设定值，就自动中断该连接。【应用网络层次】：所有层面防火墙设备 【影响】：无【具体配置】：1、进入Netscreen防火墙的操作系统CLI命令行界面2、输入命令：set admin access attempts 1.1.3 限制ROOT登录由于ROOT管理员具有最高权限，为了避免ROOT管理员密码被窃取后造成威胁，可以限制ROOT用户只能通过CONSOLE接口访问设备，而不能远程登录。【应用网络层次】：所有层面防火墙设备 【影响】：无【具体配置】：1、 进入Netscreen防火墙的操作系统CLI命令行界面2、 输入命令：set admin root access console1.1.4 访问限制 启用只接受管理流量的逻辑管理IP地址任何绑定到安全区段的接口都至少可以具有两个IP 地址：一个连接到网络的接口IP 地址；一个用于接收管理流量的逻辑管理IP 地址。从网络用户流量分离管理流量大大增加了管理安全性，并确保了稳定的管理带宽。【应用网络层次】：所有层面防火墙设备 【影响】：无【具体配置】：1、进入Netscreen防火墙的操作系统WebUI界面2、选择菜单Network Interfaces Edit（选择需要定义管理IP的接口）Zone Name: Trust（假设定义在Trust区段）IP Address/Netmask: /24（接口地址）Manage IP: （管理地址）Management Services: WebUI, Telnet, SNMP:（选择需要的服务） 限制可登录的访问地址缺省情况下，可信接口上的任何主机都可管理NetScreen 设备。要限制对特定工作站的管理能力，必须配置管理客户端IP 地址。【应用网络层次】：所有层面防火墙设备 【影响】：无【注意事项】：管理客户端IP 地址的指派立即生效。如果通过网络连接对设备进行管理，而工作站不包括在指派中，则NetScreen 设备立即终止当前会话，并且不再能从该工作站管理设备。【具体配置】：1、进入Netscreen防火墙的操作系统WebUI界面2、选择菜单Configuration Admin Permitted Ips3、设置管理工作站的单一地址或一段地址1.2 帐号和密码管理建议应在日常维护过程中周期性地（至少按季度）更改登录密码，甚至登录帐号。当外方人员需要登录设备时，应创建临时帐号，并指定合适的权限。临时帐号使用完后应及时删除。登录帐号及密码的保管和更新应由专人负责，并注意保密。帐号名字应该与使用者存在对应关系，如能反应使用者的级别、从属关系。为了提高安全性，在方便记忆的前提下，帐号名字应尽量混用字符的大小写、数字和符号，提高猜度的难度。同样的，密码必须至少使用四种可用字符类型中的三种：小写字母、大写字母、数字和符号，而且密码不得包含用户名或用户全名的一部分。一般情况下密码至少包含 8 个字符。我们建议用密码生成器软件（如 /download/skpp26.zip ）来制造随机密码。1.2.1 更改系统初始帐号和密码NetScreen防火墙出厂时缺省配置了初始登陆名netscreen和初始密码netscreen，在完成初始配置后应尽快将初始帐户修改。【应用网络层次】：所有层面防火墙设备 【影响】：无【注意事项】：登录名和密码都区分大小写，每个都必须为一个单词、字母或数字，但是不能有符号。【具体配置】：1、进入Netscreen防火墙的操作系统WebUI界面2、选择菜单Configuration Admin Administrators Edit3、将系统缺省的初始登陆名netscreen和初始密码netscreen更改为新的登陆名和密码，然后单击OK1.2.2 限制密码最短长度要求密码最短长度为8位。【应用网络层次】：所有层面防火墙设备 【影响】：无【具体配置】：1、进入Netscreen防火墙的操作系统CLI命令行界面2、输入命令：set admin password restrict length 81.3 帐号认证和授权帐号的认证和授权分为设备本身的认证和授权和AAA服务器的认证和授权两个部分。NetScreen防火墙除了支持本地数据库的认证和授权，还支持外部RADIUS、SecureID和LDAP服务器的认证和授权。以下以RADIUS为例介绍AAA服务器认证的配置方法。1.3.1 本机认证和授权在NetScreen 设备上定义用户时， NetScreen 设备将用户名和密码输入到其本地数据库中。NetScreen设备的管理员分为三种级别：n 根管理员具有完全的管理权限，每个NetScreen 设备只有一个根管理员；n 可读/写管理员具有与根管理员相同的权限，但是他不能创建、修改或删除其他的admin 用户；n 只读管理员只具有使用WebUI 进行查看的权限，他只能发出get 和ping CLI 命令。1.3.2 RADIUS认证和授权远程认证拨号的用户服务(RADIUS)是一个用于认证服务器的协议，它最多可支持几万个用户。RADIUS客户端（即NetScreen设备）通过客户端与服务器之间的一系列通信对用户进行认证。通常，RADIUS会要求登录人员输入其用户名和密码。然后，它将这些值与其数据库中的对应值比较，用户通过认证后，客户端即允许其访问相应的网络服务。要针对RADIUS配置NetScreen设备，必须指定RADIUS服务器的IP地址，并定义与RADIUS服务器上的定义相同的shared secret。shared secret是一个密码，RADIUS 服务器用它来生成密钥，以便对NetScreen和RADIUS设备之间的信息流进行加密。此外，还要将NetScreen 词典文件加载到RADIUS 服务器上，使其能支持下列供应商专用属性(VSA) 的查询：用户组、管理权限、远程L2TP和XAuth设置。可从/support/ 下载词典文件。在下例中将其用户帐户类型指定为admin，将RADIUS服务器命名为“radius1”，并接受NetScreen设备自动指派的ID 号。输入其IP 地址00；将其端口号由缺省值(1645) 更改为4500。将其共享机密定义为“A56htYY97kl”。将超时值由缺省值（10 分钟）更改为30 分钟。同时将两个备份服务器的IP 地址分别指定为10 和20。【应用网络层次】：所有层面防火墙设备 【影响】：无【注意事项】：无【具体配置】：1、进入Netscreen防火墙的操作系统WebUI界面2、选择菜单Configuration Auth Auth Servers New：输入以下内容，然后单击OK。Name: radius1IP/Domain Name: 00Backup1: 10Backup2: 20Timeout: 30Account Type: AdminRADIUS:（选择）RADIUS Port: 4500Shared Secret: A56htYY97kl1.4 SNMP协议SNMP协议是目前数据网管理中普遍使用的协议，但SNMP协议本身也存在安全问题。需要合理配置SNMP协议的相关属性，才能让SNMP协议更好的为日常维护管理服务。如不需要，不建议对NetScreen防火墙使用SNMP。NetScreen防火墙支持SNMPv1、MIB-II，还有其私有MIB库，可将其加载到网络管理系统中。要获得最新的MIB文件，请从/support下载。建议采取以下方法进行保护：l 限制发起SNMP连接的源地址；l 设置并定期更改SNMP Community（至少半年一次）；l 除特殊情况，否则不设置SNMP RW Community；【应用网络层次】：所有层面防火墙设备 【影响】：无【注意事项】：SNMP服务器应配置与防火墙SNMP相同的Community Name通信子串。【具体配置】：a. 如果业务不需使用SNMP服务，可停止SNMP服务进入Netscreen防火墙的操作系统WebUI界面选择菜单Network Interfaces (Edit) Service Options不选择SNMPb. 如果业务需要使用SNMP服务，可通过对其认证字符串、读写权限和地址进行限制。选择菜单Configuration Report Settings SNMP设置Configuration Report Settings SNMP单击New CommunityCommunity Name设置口令Permissions设置读写权限Hosts IP Address/Netmask地址限定1.5 HTTP的配置要求NetScreen设备使用Web技术提供了配置和管理软件的Web界面，可使用标准的Web 浏览器，通过“超文本传输协议” (HTTP) 远程访问、监控和控制网络安全配置。为了保障HTTP的安全，可通过在虚拟专用网(VPN)通道中封装HTTP流量或通过“安全套接字层”(SSL)协议保障安全，还可以通过将管理流量与网络用户流量完全分离来保障它的安全。一些型号的NetScreen 设备支持通过MGT接口或将一个接口（例如DMZ）完全专用于管理流量来运行所有的管理流量。1.5.1 更改HTTP监听端口号NetScreen使用HTTP时缺省使用的80监听端口容易被黑客扫描到，因此可以通过更改HTTP监听端口号提高系统安全性。【应用网络层次】：所有层面防火墙设备 【影响】：无【注意事项】：更改端口号后，在下次尝试通过HTTP访问NetScreen 设备时，必须在Web 浏览器的URL 字段中键入新的端口号（如:50000）【具体配置】：1、进入Netscreen防火墙的操作系统WebUI界面2、选择菜单Configuration Admin Managemen3、在“HTTP 端口”字段中，键入新端口号（如50000），然后单击Apply1.5.2 使用SSL保障HTTP访问的安全性【应用网络层次】：所有层面防火墙设备 【影响】：无【注意事项】：有关请求并加载证书的详细信息，请参考NetScreen相关文档。【具体配置】：1、 进入Netscreen防火墙的操作系统WebUI界面2、 获得SSL证书并在NetScreen 设备上加载3、 启用SSL 管理：选择菜单Configuration Admin Management：输入以下内容，然后单击Apply：Certificate：选择您要从下拉列表中使用的证书。Ciphe：选择您要从下拉列表中使用的密码。4、 配置接口，通过该接口您可管理NetScreen 设备，以允许进行SSL 管理：选择菜单Network Interfaces Edit（对于要管理的接口）：启用SSL并禁用HTTP 管理服务复选框，然后单击OK。5、 使用浏览器通过https连接到NetScreen 设备的SSL 端口进行管理。2 安全审计防火墙的日志数据能够帮助系统管理员进行历史信息流跟踪、事件关联分析和网络故障诊断，因此利用NetScreen防火墙提供的各种功能加强对日志的管理，将有助于及时发现和判断安全问题。所有NetScreen 设备都允许在内部（闪存区域）和外部存储事件和信息流日志数据。尽管在内部存储日志信息很方便，但内存的数量是有限的。当内部存储空间被完全占用时，NetScreen 设备会用最新的日志条目覆盖最旧的日志条目，造成数据丢失。要减少这种数据损失，可将事件和信息流日志存储在外部的系统日志或WebTrends 服务器中，或NetScreen-Global PRO 数据库中。NetScreen防火墙提供以下几种日志存储及呈现方式：n Console（控制台）n Internal（内部数据库）n Email（电子邮件）n SNMPn Syslog （系统日志）n WebTrendsn NetScreen-Global PROn CompactFlash (PCMCIA)NetScreen防火墙的日志信息分为以下四种类型：n 事件日志：用于监控系统事件和网络流量。分为Emergency（紧急）、Emergency（紧急）、Alert（警示）、Critical（关键）、Error（错误）、Warning（警告）、Notification（通知）、Information（信息）、Debugging（调试）8种级别。n 信息流日志：用于监控并记录策略允许通过防火墙的信息流。n SELF日志：用于监控并记录所有丢弃的封包（如被某个策略拒绝的封包）以及在NetScreen设备上自行终止的信息流（如管理信息流）。建议通过以下几项措施加强对NetScreen防火墙的日志管理：2.1 针对重要策略开启信息流日志。【应用网络层次】：所有层面防火墙设备 【影响】：无【具体配置】：1、 进入Netscreen防火墙的操作系统WebUI界面2、 选择菜单Policies Edit（选择需要开启信息流日志的策略）3、 单击Advanced: 选择Logging，单击Return，然后单击OK2.2 根据需要开启SELF日志功能。【应用网络层次】：所有层面防火墙设备 【影响】：无【注意事项】：在网络应用多样，网络流量大、策略复杂的环境中建议不配置该项，例如防火墙部署于骨干路由器后的情况，以避免造成海量日志无法审计。【具体配置】：1、 进入Netscreen防火墙的操作系统WebUI界面2、 选择菜单Configuration Admin Management3、 选择Log Packets Terminated to Self，然后单击Apply2.3 将日志转发至SYSLOG服务器【应用网络层次】：所有层面防火墙设备 【影响】：无【注意事项】：设置Include Traffic Log 有效时，将会把策略中记录的流量日志，同时发送到Syslog服务器，可按具体情况配置。【具体配置】：1、 进入Netscreen防火墙的操作系统WebUI界面2、 选择菜单Configuration Report Settings Syslog，输入以下信息，然后单击ApplyEnable syslog messages:（选择）Include Traffic Log: （选择）Syslog Host Name/Port: Security Facility: Local0Facility: Local03 设备IOS升级方法设备软件版本升级和补丁安装是实施设备安全加固一个不可缺少的环节。为了确保IOS升级的顺利进行，建议考虑从以下几个细节进行考虑。3.1 前期准备3.1.1 软件的获取NetScreen公司会在其官方网站（）上提供最新的软件版本和对应的升级包，但必须有对应的登陆帐户。新购买的NetScreen防火墙可以通过网上注册得到3个月免费的登录帐户，更长时间的帐户需要向NetScreen购买服务。建议在升级前必须确认软件是否通过集团公司的入网许可，并且与设备支撑单位确认你所要升级设备的硬件满足升级操作系统软件的要求，最好直接向设备供应商获取。3.1.2 制定升级计划与设备支撑单位一起制定详细的升级计划，充分考虑实施升级和补丁装载时系统重启对业务的影响，充分考虑网络结构的双机或双链路结构对业务的保护，最大限度减少业务中断时间。3.1.3 数据备份为确保升级过程的可恢复性，对操作系统软件和配置数据有必要进行完全备份。要求在备份前确认备份介质的可用性和可靠性，并在备份完升级前进行验证。【应用网络层次】：所有层面防火墙设备 【影响】：无【具体配置】：备份操作系统软件1、 进入Netscreen防火墙的操作系统CLI命令行界面2、 输入命令：save software from flash to tftp ip_addr filename from interface 备份配置数据文件1、 进入Netscreen防火墙的操作系统WebUI界面2、 选择菜单Configuration Update Config File，单击Save to File。会出现一条系统消息，提示您打开该文件或将其保存到计算机上。3、 单击Save。4、 找到要保存配置文件的位置，然后单击Save。3.1.4 其他准备工作在对NetScreen防火墙的操作系统（ScreenOS）进行升级时，其管理接口上的WebUI或CLI用户界面会暂时中断。因此，为了记录系统升级过程中可能出现的意外情况并能及时处理，建议通过随机配备的CONSOLE线缆将笔记本电脑的串口连接到防火墙的CONSOLE口上，并打开超级终端软件连接防火墙。3.2 升级操作3.2.1 记录升级前系统状态为了确保对升级过程中问题的解决提供相依据，建议在升级前记录系统的状态。包括：设备各模块硬件、工作状态、模块端口及工作状态、路由协议、路由表等。并将信息存储在外部介质上，确保升级完毕后进行核对。3.2.2 升级操作系统软件【应用网络层次】：所有层面防火墙设备 【影响】：无【注意事项】：操作系统版本升级过程中可能出现防火墙工作异常，HA模式工作的多个防火墙必须同时升级并保证最终版本一致。建议由Netscreen设备支持厂商提供升级服务。【具体配置】：1、 使用Web浏览器进入Netscreen防火墙的操作系统WebUI界面；2、 选择菜单Configuration Update ScreenOS/Keys3、 选择Firmware Update，在Load File处添加软件升级软件4、 系统自动重启，在CONSOLE终端上可以观察到升级过程。3.2.3 检查升级后系统的状态和3.2.1步骤备份的系统状态信息进行核对。4 特定的安全配置NetScreen防火墙软件针对多种常见的网络攻击预先定义了防御机制选项，应根据防火墙保护的网络应用具体情况启用合适的防攻击选项，并配置适当的参数。4.1 NetScreen防火墙的防攻击选项当前版本的ScreenOS包括了以下防攻击选项：一）以下选项可用于具有物理接口的区段，但不适用于子接口：1. SYN Attack（SYN 攻击）：当网络中充满了会发出无法完成的连接请求的SYN 封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务(DoS) 时，就发生了SYN 泛滥攻击。2. ICMP Flood（ICMP 泛滥）：当ICMP ping 产生的大量回应请求超出了系统的最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时，就发生了ICMP 泛滥。当启用了ICMP 泛滥保护功能时，可以设置一个临界值，一旦超过此值就会调用ICMP 泛滥攻击保护功能。（缺省的临界值为每秒1000 个封包。）如果超过了该临界值，NetScreen 设备在该秒余下的时间和下一秒内会忽略其它的ICMP 回应要求。3. UDP Flood（UDP 泛滥）：与ICMP 泛滥相似，当以减慢系统速度为目的向该点发送UDP 封包，以至于系统再也无法处理有效的连接时，就发生了UDP 泛滥。当启用了UDP 泛滥保护功能时，可以设置一个临界值，一旦超过此临界值就会调用UDP 泛滥攻击保护功能。（缺省的临界值为每秒1000 个封包。）如果从一个或多个源向单个目表发送的UDP 封包数超过了此临界值，NetScreen 设备在该秒余下的时间和下一秒内会忽略其它到该目标的UDP 封包。4. Port Scan Attack（端口扫描攻击）：当一个源IP 地址在定义的时间间隔内（缺省值为5,000 微秒）向位于相同目标IP 地址10 个不同的端口发送IP 封包时，就会发生端口扫描攻击。这个方案的目的是扫描可用的服务，希望会有一个端口响应，因此识别出作为目标的服务。NetScreen 设备在内部记录从某一远程源地点扫描的不同端口的数目。使用缺省设置，如果远程主机在0.005 秒内扫描了10 个端口（5,000 微秒），NetScreen 会将这一情况标记为端口扫描攻击，并在该秒余下的时间内拒绝来自该源地点的其它封包（不论目标IP 地址为何）。二）以下选项可用于具有物理接口和子接口的区段：1. Limit session（限制会话）：NetScreen 设备可限制由单个IP 地址建立的会话数量。例如，如果从同一客户端发送过多的请求，就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟NetScreen 设备可以为单个IP 地址建立的最大会话数量。（缺省临界值为每个IP 地址每秒128 个会话。）2. SYN-ACK-ACK Proxy 保护：当认证用户初始化Telnet 或FTP 连接时，用户会SYN 封包到Telnet 或FTP服务器。NetScreen 设备会截取封包，通过Proxy 将SYN-ACK 封包发送给用户。用户用ACK 封包响应。此时，初始的三方握手就已完成。NetScreen 设备在其会话表中建立项目，并向用户发送登录提示。如果用户怀有恶意而不登录，但继续启动SYN-ACK-ACK 会话，NetScreen 会话表就可能填满到某个程度，让设备开始拒绝合法的连接要求。要阻挡这类攻击，您可以启用SYN-ACK-ACK Proxy 保护SCREEN 选项。从相同IP 地址的连接数目到达syn-ack-ack-proxy 临界值后，NetScreen 设备就会拒绝来自该IP 地址的进一步连接要求。缺省情况下，来自单一IP 地址的临界值是512 次连接。您可以更改这个临界值（为1 到2,500,000 之间的任何数目）以更好地适合网络环境的需求。3. SYN Fragment（SYN 碎片）：SYN 碎片攻击使目标主机充塞过量的SYN 封包碎片。主机接到这些碎片后，会等待其余的封包到达以便将其重新组合在起来。通过向服务器或主机堆积无法完成的连接，主机的内存缓冲区最终将会塞满。进一步的连接无法进行，并且可能会破坏主机操作系统。当协议字段指示是ICMP封包，并且片断标志被设置为1 或指出了偏移值时，NetScreen 设备会丢弃ICMP 封包。4. SYN and FIN Bits Set（SYN 和FIN 位的封包）：通常不会在同一封包中同时设置SYN 和FIN 标志。但是，攻击者可以通过发送同时置位两个标志的封包来查看将返回何种系统应答，从而确定出接收端上的系统的种类。接着，攻击者可以利用已知的系统漏洞来实施进一步的攻击。启用此选项可使NetScreen 设备丢弃在标志字段中同时设置SYN 和FIN 位的封包。5. TCP Packet Without Flag（无标记的TCP 封包）：通常，在发送的TCP 封包的标志字段中至少会有一位被置位。此选项将使NetScreen 设备丢弃字段标志缺少或不全的TCP 封包。6. FIN Bit With No ACK Bit（有FIN 位无ACK 位）：设置了FIN 标志的TCP 封包通常也会设置ACK 位。此选项将使NetScreen 设备丢弃在标志字段中设置了FIN 标志，但没有设置ACK 位的封包。7. ICMP Fragment（ICMP 碎片）：检测任何设置了“更多片断”标志，或在偏移字段中指出了偏移值的ICMP 帧。8. Ping of Death：TCP/IP 规范要求用于数据包报传输的封包必须具有特定的大小。许多ping 实现允许用户根据需要指定更大的封包大小。过大的ICMP 封包会引发一系列负面的系统反应，如拒绝服务(DoS)、系统崩溃、死机以及重新启动。如果允许NetScreen 设备执行此操作，它可以检测并拒绝此类过大且不规则的封包。9. Address Sweep Attack（地址扫描攻击）：与端口扫描攻击类似，当一个源IP 地址在定义的时间间隔（缺省值为5,000 微秒）内向不同的主机发送ICMP 响应要求（或ping）时，就会发生地址扫描攻击。这个配置的目的是Ping 数个主机，希望有一个会回复响应，以便找到可以作为目标的地址。NetScreen 设备在内部记录从一个远程源ping 的不同地址的数目。使用缺省设置，如果某远程主机在0.005 秒（5,000 微秒）内ping 了10 个地址，NetScreen 会将这一情况标记为地址扫描攻击，并在该秒余下的时间内拒绝来自于该主机的ICMP 回应要求。10. Large ICMP Packet（大的ICMP 封包）：NetScreen 设备丢弃长度大于1024 的ICMP 封包。11. Tear Drop Attack（撕毁攻击）：撕毁攻击利用了IP 封包碎片的重新组合。在IP 包头中，选项之一为偏移值。当一个封包碎片的偏移值与大小之和不同于下一封包碎片时，封包发生重叠，并且服务器尝试重新组合封包时会引起系统崩溃。如果NetScreen 在某封包碎片中发现了这种不一致现象，将会丢弃该碎片。12. Filter IP Source Route Option（过滤IP 源路由选项）：IP 包头信息有一个选项，其中所含的路由信息可指定与包头源路由不同的源路由。启用此选项可封锁所有使用“源路由选项”的IP 信息流。“源路由选项”可允许攻击者以假的IP 地址进入网络，并将数据送回到其真正的地址。13. Record Route Option（记录路由选项）：NetScreen 设备封锁IP 选项为7（记录路由）的封包。此选项用于记录封包的路由。记录的路由由一系列互联网地址组成，外来者经过分析可以了解到您的网络的编址方案及拓扑结构方面的详细信息。14. IP Security Option（IP 安全性选项）：此选项为主机提供了一种手段，可发送与DOD 要求兼容的安全性、分隔、TCC（非公开用户组）参数以及“处理限制代码”。15. IP Strict Source Route Option（IP 严格源路由选项）：NetScreen 设备封锁IP 选项为9（严格源路由选择）的封包。此选项为封包源提供了一种手段，可在向目标转发封包时提供网关所要使用的路由信息。此选项为严格源路由，因为网关或主机IP 必须将数据包报直接发送到源路由中的下一地址，并且只能通过下一地址中指示的直接连接的网络才能到达路由中指定的下一网关或主机。16. Unknown Protocol（未知协议）：NetScreen 设备丢弃协议字段设置为101 或更大值的封包。目前，这些协议类型被保留，尚未定义。17. IP Spoofing（IP 欺骗）：当攻击者试图通过假冒有效的客户端IP 地址来绕过防火墙保护时，就发生了欺骗攻击。如果启用了IP 欺骗防御机制，NetScreen 设备会用自己的路由表对IP 地址进行分析，来抵御这种攻击。如果IP 地址不在路由表中，则不允许来自该源的信息流通过NetScreen 设备进行通信，并且会丢弃来自该源的所有封包。在CLI 中，您可以指示NetScreen 设备丢弃没有包含源路由或包含已保留源IP 地址（不可路由的，例如18. ）的封包：set zone zone screen ip-spoofing drop-no-rpf-route。19. Bad IP Option（坏的IP 选项）：当IP 数据包包头中的IP 选项列表不完整或残缺时，会触发此选项。20. IP Timestamp Option（IP 时戳选项）：NetScreen 设备封锁IP 选项列表中包括选项4（互联网时戳）的封包。21. Loose Source Route Option：NetScreen 设备封锁IP 选项为3（松散源路由）的封包。此选项为封包源提供了一种手段，可在向目标转发封包时提供网关所要使用的路由信息。此选项是松散源路由，因为允许网关或主机IP 使用任何数量的其它中间网关的任何路由来到达路由中的下一地址。22. IP Stream Option（IP 流选项）：NetScreen 设备封锁IP 选项为8（流ID）的封包。此选项提供了一种方法，用于在不支持流概念的网络中输送16 位SATNET 流标识符。23. WinNuke Attack（WinNuke 攻击）：WinNuke 是一种常见的应用程序，其唯一目的就是使互联网上任何运行Windows 的计算机崩溃。WinNuke 通过已建立的连接向主机发送带外(OOB) 数据 通常发送到NetBIOS 端口139 并引起NetBIOS 碎片重叠，以此来使多台机器崩溃。如果启用了WinNuke 攻击防御机制，NetScreen 设备会扫描所有进入的“Microsoft NetBIOS 会话服务”（端口139）封包。如果NetScreen 设备发现某个封包上设置了TCP URG 代码位，就会检查偏移值、删除碎片重叠并根据需要纠正偏移值以防止发生OOB 错误。然后让经过修正的封包通过，并在“事件警报