Chinaunix首页 | 论坛 | 博客
  • 博客访问: 181629
  • 博文数量: 44
  • 博客积分: 2071
  • 博客等级: 大尉
  • 技术积分: 490
  • 用 户 组: 普通用户
  • 注册时间: 2008-03-18 19:07
文章分类

全部博文(44)

文章存档

2009年(4)

2008年(40)

最近访客

分类: 网络与安全

2008-09-06 14:14:46

 

系列防火墙介绍

NetScreen系列防火墙是由NetScreen公司推出的网络安全产品。

本章将对综合业务工程中常用的几种NS的防火墙的外观及性能作简要介绍。

                                                                                                                                                                               NetScreen 25是个高性能的安全应用方案,具有四个自适应10/100 Base-以太网口[信任Trust,非信任UntrustDMZ,另外一个留作将来使用,注意:ScreenOS3.0并不支持第四个端口的使用],它能够提供100Mbps的防火墙数据流量和20Mbps3DES加密VPN性能,保护局域网(LANs)以及与外网建立数据交流的mail服务器,web服务器和FTP服务器的安全。NetScreen-25支持4,000个并发TCP/IP会话和25VPN通道。

默认端口分配:  

Ethernet 1

Ethernet 2

Ethernet 3

Ethernet 4

Trust

DMZ

Utrust

Empty

                                                                                                                                                                           NetScreen 204是目前市场上功能较多的防火墙产品,可以方便地集成在许多不同的网络环境中,包括大中型企业的办公室,电子商务网站,数据中心和电信运营基础设施。它具有4个自适应10/100M以太网端口,延续了NetScreen防火墙优秀的线速处理能力(400Mbps)--即使在对系统资源要求极高的应用中(诸如VPN-3DES加密)也能保持超过200Mbps的速率,并支持HAHigh Availability高可用性,详见本文后续内容)。

默认的端口分配:

Ethernet 1

Ethernet 2

Ethernet 3

Ethernet 4

Trust

DMZ

Utrust

HA

                                                                                                                                                                      NetScreen 500集防火墙、VPN及流量管理等功能于一体,占用2U机架空间。它是    一款高性能的产品,支持多个安全域。NetScreen 500具有NetScreen 1000NetScreen 100的所有优点。另外在功能上设有高可用性交换端口、管理端口及四个流量模块组,还有一个可编辑的LCD指示屏,使管理变得更加容易。

默认端口分配:

模块-Untrust

模块-Trust

N/A

Utrust Port

N/A

Trust Port

模块-DMZ

模块-Empty

N/A

DMZ Port

Empty

Empty

在四个模块下方的并列的几个接口中,有两个接口分别标注“HA1”、“HA2”,这两个接口是用来连接HA心跳线的,其中HA1HA2互为冗余接口,以防止其中一条心跳线出现故障。

注意:

部分NS500的防火墙的软件(可根据防火墙上的标签确定)不支持对每个模块的第一个端口的调用,如果把线缆插在第一个端口上,物理链路都无法建立,直观表现是端口指示灯不亮,这一点在工程设计及施工中尤其要留意。

防火墙基础知识

在对NetScreen进行配置前,需要了解一些基础知识。以下的描述是根据NetScreen 200系列,主要以NetScreen 204为例进行讲解,其余型号应该能触类旁通。

NetScreen 200系列的204有四个以太网口,2088个以太网口,其中,网口1缺省为trust口,网口2DMZ口,网口3untrust口,网口4或网口48是可配的。但如果用于HA,则两台防火墙之间通过4口(204型号)或8口(208型号)连接。

200系列的NetScreen工作在两种模式:transparent模式和route模式,缺省为transparent模式。Nat不再是一种模式,现在它通过网口或策略配置来实现(注:在NetScreen 100中,NAT被看作是一种工作模式)。

1. transparent模式:

transparent模式下,NetScreen设备检查通过防火墙的数据包,但并不改变ip包头中的任何源地址和目的地址信息。因为它不改变地址,所以保护网内的ip必须在untrust连接的网络内是有效且可寻路的,untrust很可能就接互连网了。

transparent模式下,对于trust区和untrust区的ip地址就设为0.0.0.0,这样可以使NetScreen在网络中不可见。但是,防火、vpn和流量管理还是要通过配置设备的策略来生效。此时,NetScreen相当于一个2层交换机(2层交换机本身是没有ip地址的)。

2. route模式

当设备处于route模式下,每一个接口都被设立为route模式或nat模式。不像transparent模式,所有的网口都处于不同的子网当中。

当一个网口处于route模式,这个网口处理通过的流量时不nat,即ip包头中的源地址和端口号都保持不变。不像nat模式,连接在route模式网口下的主机必须具有公网ip,没有任何映射和虚拟ip可以被建立起来。

当一个网口处于nat模式,NetScreen会把从trust口往外的ip包中的源ip地址和源端口改掉,将源地址改为untrust口的ip地址,而且,更换源端口为一个随机的产生的端口。

如果将NetScreen作为route模式,则必须为trust口、untrust口和DMZ(如果用到)配置ip地址,如果作为transparent模式,就必须不能为这些口配置ip

Manage iptrust ip不是一回事,manage ip是供登录NetScreen作配置数据的,而trust ip是为了作成route模式必须要配的,同时它也作为trust网内的网关。但实际物理上都是由trust口来提供这两个ip的。实际上在web页面中也不允许将其配为一个ip。但用命令行可以强制地配成一个ip地址。

NetScreen204出厂配置所有的网卡的ip均为0.0.0.0,如果想让其作为transparent模式,不要分配地址给任何网卡。

如果配置设备成route模式,首先改变一个网口(ethernet1/trustethernet3/untrust或者ethernet2/DMZ)到layer 3区域,并配置其ip地址。这将自动改变其它网口到缺省的layer 3区域。可以用命令:

set interface zone

配置网口的ip地址,可以用下面的命令:ip是掩码。

set interface ip

也可以用/n来代理 n为多少位掩码。

可以用如下命令加网关:

set interface gateway

缺省状态下,NetScreen204不允许数据进出。如果希望从trust口到untrust口有外出流量,则必须建立一个外出访问策略。例如:

set policy from trust to untrust any any any permit(第一个any:源地址;第二个any:目的地址;第三个anyip服务)

如果想得到所有的policy

get policy

设置防火墙的保护特性:

您可以绑定一个或多个网口到一个区域上,使在每一个网卡的基础上的唯一的保护策略生效。如下命令可以使网口的保护策略生效

阅读(2355) | 评论(0) | 转发(0) |
0

上一篇:Linux启动优化(Z)

下一篇:linux一些命令使用

给主人留下些什么吧!~~