分类: 网络与安全
2008-09-06 14:14:46
NetScreen系列防火墙是由NetScreen公司推出的网络安全产品。
本章将对综合业务工程中常用的几种NS的防火墙的外观及性能作简要介绍。
NetScreen 25是个高性能的安全应用方案,具有四个自适应10/100 Base-以太网口[信任Trust,非信任Untrust,DMZ,另外一个留作将来使用,注意:ScreenOS3.0并不支持第四个端口的使用],它能够提供100Mbps的防火墙数据流量和20Mbps的3倍DES加密VPN性能,保护局域网(LANs)以及与外网建立数据交流的mail服务器,web服务器和FTP服务器的安全。NetScreen-25支持4,000个并发TCP/IP会话和25个VPN通道。
默认端口分配:
|
Ethernet 1 |
Ethernet 2 |
Ethernet 3 |
Ethernet 4 |
|
Trust |
DMZ |
Utrust |
Empty |
NetScreen 204是目前市场上功能较多的防火墙产品,可以方便地集成在许多不同的网络环境中,包括大中型企业的办公室,电子商务网站,数据中心和电信运营基础设施。它具有4个自适应10/100M以太网端口,延续了NetScreen防火墙优秀的线速处理能力(400Mbps)--即使在对系统资源要求极高的应用中(诸如VPN-3DES加密)也能保持超过200Mbps的速率,并支持HA(High Availability高可用性,详见本文后续内容)。
默认的端口分配:
|
Ethernet 1 |
Ethernet 2 |
Ethernet 3 |
Ethernet 4 |
|
Trust |
DMZ |
Utrust |
HA |
NetScreen 500集防火墙、VPN及流量管理等功能于一体,占用2U机架空间。它是 一款高性能的产品,支持多个安全域。NetScreen 500具有NetScreen 1000及NetScreen 100的所有优点。另外在功能上设有高可用性交换端口、管理端口及四个流量模块组,还有一个可编辑的LCD指示屏,使管理变得更加容易。
默认端口分配:
|
模块-Untrust |
模块-Trust | ||
|
N/A |
|
N/A |
|
|
模块-DMZ |
模块-Empty | ||
|
N/A |
|
Empty |
Empty |
在四个模块下方的并列的几个接口中,有两个接口分别标注“HA1”、“HA2”,这两个接口是用来连接HA心跳线的,其中HA1与HA2互为冗余接口,以防止其中一条心跳线出现故障。
注意:
部分NS500的防火墙的软件(可根据防火墙上的标签确定)不支持对每个模块的第一个端口的调用,如果把线缆插在第一个端口上,物理链路都无法建立,直观表现是端口指示灯不亮,这一点在工程设计及施工中尤其要留意。
在对NetScreen进行配置前,需要了解一些基础知识。以下的描述是根据NetScreen 200系列,主要以NetScreen 204为例进行讲解,其余型号应该能触类旁通。
NetScreen 200系列的204有四个以太网口,208有8个以太网口,其中,网口1缺省为trust口,网口2为DMZ口,网口3为untrust口,网口4或网口4到8是可配的。但如果用于HA,则两台防火墙之间通过4口(204型号)或8口(208型号)连接。
200系列的NetScreen工作在两种模式:transparent模式和route模式,缺省为transparent模式。Nat不再是一种模式,现在它通过网口或策略配置来实现(注:在NetScreen 100中,NAT被看作是一种工作模式)。
在transparent模式下,NetScreen设备检查通过防火墙的数据包,但并不改变ip包头中的任何源地址和目的地址信息。因为它不改变地址,所以保护网内的ip必须在untrust连接的网络内是有效且可寻路的,untrust很可能就接互连网了。
在transparent模式下,对于trust区和untrust区的ip地址就设为0.0.0.0,这样可以使NetScreen在网络中不可见。但是,防火、vpn和流量管理还是要通过配置设备的策略来生效。此时,NetScreen相当于一个2层交换机(2层交换机本身是没有ip地址的)。
当设备处于route模式下,每一个接口都被设立为route模式或nat模式。不像transparent模式,所有的网口都处于不同的子网当中。
当一个网口处于route模式,这个网口处理通过的流量时不nat,即ip包头中的源地址和端口号都保持不变。不像nat模式,连接在route模式网口下的主机必须具有公网ip,没有任何映射和虚拟ip可以被建立起来。
当一个网口处于nat模式,NetScreen会把从trust口往外的ip包中的源ip地址和源端口改掉,将源地址改为untrust口的ip地址,而且,更换源端口为一个随机的产生的端口。
如果将NetScreen作为route模式,则必须为trust口、untrust口和DMZ(如果用到)配置ip地址,如果作为transparent模式,就必须不能为这些口配置ip。
Manage ip和trust ip不是一回事,manage ip是供登录NetScreen作配置数据的,而trust ip是为了作成route模式必须要配的,同时它也作为trust网内的网关。但实际物理上都是由trust口来提供这两个ip的。实际上在web页面中也不允许将其配为一个ip。但用命令行可以强制地配成一个ip地址。
NetScreen204出厂配置所有的网卡的ip均为0.0.0.0,如果想让其作为transparent模式,不要分配地址给任何网卡。
如果配置设备成route模式,首先改变一个网口(ethernet1/trust、ethernet3/untrust或者ethernet2/DMZ)到layer 3区域,并配置其ip地址。这将自动改变其它网口到缺省的layer 3区域。可以用命令:
set interface
配置网口的ip地址,可以用下面的命令:
set interface
也可以用
可以用如下命令加网关:
set interface
缺省状态下,NetScreen204不允许数据进出。如果希望从trust口到untrust口有外出流量,则必须建立一个外出访问策略。例如:
set policy from trust to untrust any any any permit(第一个any:源地址;第二个any:目的地址;第三个any:ip服务)
如果想得到所有的policy:
get policy
设置防火墙的保护特性:
您可以绑定一个或多个网口到一个区域上,使在每一个网卡的基础上的唯一的保护策略生效。如下命令可以使
