分类: 系统运维
2006-09-30 00:12:29
可将单个NetScreen安全系统逻辑划分成多个虚拟系统,以提供多客户式托管服务。此概念即是可以将一个NetScreen防火墙逻辑上当作多个防火墙来使用,在NetScreen OS 5.0中,只有NetScreen 500支持多个虚拟系统。在缺省情况下,NetScreen防火墙只有一个root 根系统。在业务与软件产品线中,所有NetScreen防火墙都不配置多个虚拟系统,在实际配置中,可以不考虑此项配置。
虚拟路由器(VR)的功能与路由器相同,它拥有自己的接口和路由表,NetScreenOS可以将其路由选择组件分成两个或多个虚拟路由器,从而允许NetScreen设备维护多个单独的路由表,并隐藏虚拟路由器彼此之间的路由信息。在NetScreenOS中,NetScreen设备支持两个预定义的虚拟路由器(Trust-vr和Untrust-vr)。
区段(ZONE)可以是网络空间中应用了安全措施的部分 ( 安全区) 、绑定了 VPN 通道接口的逻辑部分 ( 通道区段),或者是执行特定功能的物理或逻辑实体 (功能区段)。
安全区段是由一个或多个网段组成的集合,需要通过策略来对入站和出站信息流进行调整。安全区是绑定了一个或多个接口的逻辑实体。除用户定义的区段外,用户还可以使用预定义的区段: Trust、Untrust 和 DMZ ( 用于第3 层操作),或者 V1-Trust、V1-Untrust 和 V1-DMZ ( 用于第 2 层操作) 。
Global 区段充当映射 IP (MIP) 和虚拟 IP (VIP) 地址的存储区域。预定义 Global 区段地址“Any”应用于 Global 区段中所有 MIP、VIP 和其它用户定义的地址组。因为转向这些地址的信息流被映射到其它地址,所以 Global 区段不需要用于使信息流从中流过的接口。
通道区段是一个或多个通道接口的宿主逻辑网段。通道区段在概念上以一种“子父”关系附属于安全区。安全区充当“父”,也可以将其想象为载体区段,该区段对封装的信息流提供防火墙保护。通道区段提供封包封装/ 解封,还提供基于策略的 NAT 服务 ( 通过支持具有可以接纳映射 IP (MIP) 地址和动态 IP (DIP) 池的 IP 地址和网络掩码的通
道接口)。
NetScreen防火墙共有五个功能区段,分别是 Null、MGT、HA、Self 和 VLAN。每个区段的存在都有其专门的目的。
● Null区段:此区段用于临时存储没有绑定到任何其它区段的接口。
● MGT区段:此区段是带外管理接口 MGT(NetScreen 500有专站的MGT管理接口) 的宿主区段。可以在此区段上设置防火墙选项以保护管理接口,使其免受不同类型的攻击。
● HA区段:此区段是高可用性接口 HA1 和 HA2 的宿主区段。尽管可以为 HA 区段设置接口,但是此区段本身是不可配置的。
● Self区段:此区段是远程管理连接接口的宿主区段。当通过 HTTP、SCS 或 Telnet 连接到 NetScreen 设备时,就会连接到Self 区段。
● Vlan区段:此区段是 VLAN1 接口的宿主区段,可用于管理设备,并在设备处于“透明”模式时终止 VPN 信息流,也可在此区段上设置防火墙选项以保护 VLAN1 接口,使其免受各种攻击。
NetScreen防火墙接口分为安全区段接口、功能区段接口、通道接口。
● 物理接口:NetScreen 设备上的每个端口表示一个物理接口,且该接口的名称是预先定义的。物理接口的名称由介质类型、插槽号 (对于某些 NetScreen 设备) 及端口号组成。例如, ethernet3/2 或 ethernet2。
● 子接口:子接口,与物理接口相似,充当信息流进出安全区的开口。逻辑上,可将物理接口分成几个虚拟子接口。每个虚拟子接口都从自己来源的物理接口借用所需的带宽,因此其名称是物理接口名称的扩展,例如, ethernet3/2.1 或ethernet2.1。
● 冗余接口:可以将两个物理接口绑定在一起来创建一个冗余接口,然后再将其绑定到安全区。两个物理接口的其中一个接口充当主接口,并处理流向冗余接口的所有信息流。另一个物理接口充当辅助接口以及活动接口失效时的备用接口。如果发生故障,流向冗余接口的信息流切换至辅助接口,该接口成为新的主接口。
● 虚拟安全接口:虚拟安全接口 (VSI) 是在高可用性 (HA) 模式运行时,两个 NetScreen 设备形成虚拟安全设备 (VSD) 共享的虚拟接口。
● 管理接口:在一些 NetScreen 设备上,可以通过独立的物理接口 — 管理 (MGT) 接口 — 管理设备,将管理信息流从常规网络用户信息流中分出。将管理信息流从网络用户信息流中分出,大大增加了管理安全性,并确保了稳定的管理带宽。
● HA接口:HA 接口是专用于 HA 功能的物理端口。使用具有专用“高可用性” (HA) 接口的 NetScreen 设备,可将两个设备链接在一起,组成冗余组或集群。
● 虚拟HA接口:在没有专用 HA 接口的 NetScreen 设备上,虚拟高可用性 (HA) 接口提供相同的功能。由于没有 HA 信息流专用的独立物理端口,因此必须将“虚拟 HA”接口绑定到物理以太网端口之一。
通道接口:通道接口充当 VPN 通道的入口。信息流通过通道接口进出 VPN 通道。
入口接口处于“网络地址转换 (NAT)”模式下时,NetScreen 设备的作用与第 3 层交换机 (或路由器) 相似,将通往Untrust 区段的外向 IP 封包包头中的两个组件进行转换:其源 IP 地址和源端口号。 NetScreen 设备用 Untrust 区段接口的 IP 地址替换发端主机的源 IP 地址。另外,它用另一个由 NetScreen 设备生成的任意端口号替换源端口号。当回复封包到达 NetScreen 设备时,该设备转换内向封包的 IP 包头中的两个组件:目的地地址和端口号,它们被转换回初始号码,NetScreen 设备于是将封包转发到其目的地。
接口为路由模式时,NetScreen 设备在不同区段间转发信息流时不执行源 NAT (NAT-src) ;即,当信息流穿过NetScreen 设备时,IP 封包包头中的源地址和端口号保持不变。 与 NAT-src 不同,目的地区段接口为路由模式时,不需要为了允许入站信息流到达主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址。 与透明模式不同,每个区段内的接口都
在不同的子网中。
不必在接口级应用源网络地址转换 (“NAT-src”),可以在策略级选择性地执行 NAT-src。通过为内向或外向信息流上的指定源地址创建启用 NAT-src的策略,可确定要确定路由的信息流,以及对哪些信息流执行 NAT-src。对于网络信息流,NAT 可使用 IP 地址或动态 IP (DIP) 池的目的地区段接口地址,动态 IP 池与目的地区段接口在同一子网中。 对于 VPN 信息流, NAT 可使用通道接口 IP 地址或与其关联的 DIP 池的地址。
接口为透明模式时,NetScreen 设备过滤通过防火墙的封包,而不会修改 IP 封包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分,而 NetScreen 设备的作用更像是第 2 层交换机或桥接器。在透明模式下,接口的 IP 地址被设置为 0.0.0.0,使得 NetScreen 设备对于用户来说是可视或“透明”的。使用透明模式有以下优点:
● 不需要重新配置路由器或受保护服务器的 IP 地址设置
● 不需要为到达受保护服务器的内向信息流创建映射或虚拟 IP 地址
有时, NetScreen 设备需要将 IP 封包包头中的初始源 IP 地址转换成另一个地址。 例如,当私有 IP 地址上的主机发起流向公共地址空间的信息流时,NetScreen 设备必须将私有源 IP 地址转换成公共地址。
执行源网络地址转换 (NAT-src) 时, NetScreen 设备将初始源 IP 地址转换成不同的地址, 转换成的地址可以来自动态IP (DIP) 池或 NetScreen 设备的出口接口。 如果从 DIP 池中提取地址, NetScreen 设备可以从 DIP 池中随机提取地址; 如果转换成的地址是出口接口的IP地址, NetScreen 设备会将所有封包中的源 IP 地址转换成该接口的 IP 地址。 可以配置NetScreen 设备,在接口级或策略级应用 NAT-src。 如果配置策略以应用 NAT-src,且入口接口处于 NAT 模式,则基于策略的 NAT-src 设置会覆盖基于接口的 NAT。
映射 IP (MIP) 是从一个 IP 地址到另一个 IP 地址的直接一对一映射。NetScreen 设备将目的地为 MIP 的向内的信息流转发至地址为 MIP 指向地址的主机。 实际上,MIP 是一个静态目的地址转换,将 IP 封包包头中的目的 IP 地址映射成另一个静态 IP 地址。 当MIP 主机发起出站信息流时, NetScreen 设备将该主机的源 IP 地址转换成 MIP 地址的源IP 地址。从数据流上来说,MIP地址是双向映射的。
根据 TCP 或 UDP 片段包头的目的地端口号,虚拟 IP (VIP) 地址将在一个 IP 地址处接收到的信息流映射到另一个地址。例如,
● 目的地址为 1.1.1.3:80 ( 也就是 IP 地址为 1.1.1.3,端口号为 80) 的 HTTP 封包可能映射到地址为 10.1.1.10的 Web 服务器。
● 目的地址为 1.1.1.3:21 的 FTP 封包可能映射到地址为 10.1.1.20 的 FTP 服务器。
● 目的地址为 1.1.1.3:25 的 SMTP 封包可能映射到地址为 10.1.1.30 的邮件服务器。
目的地 IP 地址相同。目的地端口号确定 NetScreen 设备将信息流转发到的主机。NetScreen 设备将去往 VIP 的内向信息流转发到 VIP 指向地址上的主机,VIP 主机发起出站信息流时, NetScreen设备将该主机的源 IP 地址转换成 VIP 地址的源 IP 地址,从数据流上来说,VIP地址是双向映射的。
注意:只能在untrust区段接口上设置VIP,VIP的IP地址必须与untrust区段中
尽管可以有其它组件,但是共同构成策略核心部分的必要元素如下:
● Direction – 两个安全区 (从源区段到目的区段) 间信息流的方向
● Source address – 信息流发起的地址
● Destination address – 信息流发送到的地址
● Service – 信息流传输的类型
● Action – NetScreen 设备接收到满足头四个标准的信息流时执行的动作,这些标准为: permit、deny 或 tunnel
例如,在下列 CLI 命令中声明的策略允许 FTP 信息流从 Trust 区段中的任何地址流向 DMZ 区段中名为“server1”的 FTP 服务器:
set policy from trust to untrust any server1 ftp permit
● Direction: from trust to untrust (即从 Trust 区段到 Untrust 区段)
● Source Address: any (即 Trust 区段中的任何地址。术语“any”代表应用到区段中任何地址的预定义地址)
● Destination Address: server1 ( Untrust 区段通讯簿中用户定义的地址)
● Service: ftp (文件传输协议)
● Action: permit ( NetScreen 设备允许此信息流通过其防火墙)
NetScreen ScreenOS 通过位置和网络掩码对所有其它设备的地址进行分类。每个区段都具有自己的地址和地址组列表。单个主机只定义一个单一的 IP 地址,因此,必须具有设置为 255.255.255.255 的网络掩码 (它掩蔽除该主机以外的所有其它设备)。必须先在按区段组织的 NetScreen 地址列表中为其构造条目,才能配置允许、拒绝或导向出入单个主机和子网的信息流策略。
地址条目:需要先在一个或多个地址列表中定义地址,才能设置许多 NetScreen 防火墙、VPN 和信息流整形功能。安全区的地址列表包含主机或子网的 IP 地址或域名,这些主机或子网的信息流将被允许、阻塞、加密或进行用户验证。NetScreen防火墙缺省有一个any的地址条目,表示所有的地址。
地址组:NetScreen 允许创建地址组,这样可以仅管理少数的组,而不用管理大量的地址条目。对组的更改将应用到组中的每个地址条目。
服务是 IP 信息流的类型,它们有相应的协议标准。每个服务都有一个端口号与之相关联,如 FTP 的端口号为 21,Telnet 的端口号为 23。创建策略时,必须为它指定服务。可以从服务簿中选择一个预定义的服务。除了使用预定义服务之外,也可以利用定制名称、端口号和传输协议轻松创建自己的服务。
服务组是一组集合在一个名称下的服务。在创建包含几个服务的组后,就可以在组级将服务应用到策略,从而简化了管理。
NetScreen 服务组选项具有下列功能:
● 每个服务簿条目都可以被一个或多个服务组引用。
● 每个服务组都可包含预定义的和用户定义的服务簿条目。
