Chinaunix首页 | 论坛 | 博客
  • 博客访问: 325809
  • 博文数量: 57
  • 博客积分: 2101
  • 博客等级: 大尉
  • 技术积分: 966
  • 用 户 组: 普通用户
  • 注册时间: 2007-02-09 14:35
文章分类

全部博文(57)

文章存档

2010年(13)

2009年(44)

我的朋友

分类: 系统运维

2010-01-06 10:06:19

NetScreen 25

                                                                                                                                                                               NetScreen 25是个高性能的安全应用方案,具有四个自适应10/100 Base-以太网口[信任Trust,非信任UntrustDMZ,另外一个留作将来使用,注意:ScreenOS3.0并不支持第四个端口的使用],它能够提供100Mbps的防火墙数据流量和20Mbps3DES加密VPN性能,保护局域网(LANs)以及与外网建立数据交流的mail服务器,web服务器和FTP服务器的安全。NetScreen-25支持4,000个并发TCP/IP会话和25VPN通道。

默认端口分配: 

Ethernet 1

Ethernet 2

Ethernet 3

Ethernet 4

Trust

DMZ

Utrust

Empty

NetScreen 204

                                                                                                                                                                           NetScreen 204是目前市场上功能较多的防火墙产品,可以方便地集成在许多不同的网络环境中,包括大中型企业的办公室,电子商务网站,数据中心和电信运营基础设施。它具有4个自适应10/100M以太网端口,延续了NetScreen防火墙优秀的线速处理能力(400Mbps)--即使在对系统资源要求极高的应用中(诸如VPN-3DES加密)也能保持超过200Mbps的速率,并支持HAHigh Availability高可用性,详见本文后续内容)。

默认的端口分配:

Ethernet 1

Ethernet 2

Ethernet 3

Ethernet 4

Trust

DMZ

Utrust

HA

NetScreen 500

                                                                                                                                                                      NetScreen 500集防火墙、VPN及流量管理等功能于一体,占用2U机架空间。它是       一款高性能的产品,支持多个安全域。NetScreen 500具有NetScreen 1000NetScreen 100的所有优点。另外在功能上设有高可用性交换端口、管理端口及四个流量模块组,还有一个可编辑的LCD指示屏,使管理变得更加容易。

默认端口分配:

模块-Untrust

模块-Trust

N/A

Utrust Port

N/A

Trust Port

模块-DMZ

模块-Empty

N/A

DMZ Port

Empty

Empty

在四个模块下方的并列的几个接口中,有两个接口分别标注“HA1”、“HA2”,这两个接口是用来连接HA心跳线的,其中HA1HA2互为冗余接口,以防止其中一条心跳线出现故障。

注意:

部分NS500的防火墙的软件(可根据防火墙上的标签确定)不支持对每个模块的第一个端口的调用,如果把线缆插在第一个端口上,物理链路都无法建立,直观表现是端口指示灯不亮,这一点在工程设计及施工中尤其要留意。

NetScreen防火墙基础知识

在对NetScreen进行配置前,需要了解一些基础知识。以下的描述是根据NetScreen 200系列,主要以NetScreen 204为例进行讲解,其余型号应该能触类旁通。

NetScreen 200系列的204有四个以太网口,2088个以太网口,其中,网口1缺省为trust口,网口2DMZ口,网口3untrust口,网口4或网口48是可配的。但如果用于HA,则两台防火墙之间通过4口(204型号)或8口(208型号)连接。

200系列的NetScreen工作在两种模式:transparent模式和route模式,缺省为transparent模式。Nat不再是一种模式,现在它通过网口或策略配置来实现(注:在NetScreen 100中,NAT被看作是一种工作模式)。

1. transparent模式:

transparent模式下,NetScreen设备检查通过防火墙的数据包,但并不改变ip包头中的任何源地址和目的地址信息。因为它不改变地址,所以保护网内的ip必须在untrust连接的网络内是有效且可寻路的,untrust很可能就接互连网了。

transparent模式下,对于trust区和untrust区的ip地址就设为0.0.0.0,这样可以使NetScreen在网络中不可见。但是,防火、vpn和流量管理还是要通过配置设备的策略来生效。此时,NetScreen相当于一个2层交换机(2层交换机本身是没有ip地址的)。

2. route模式

当设备处于route模式下,每一个接口都被设立为route模式或nat模式。不像transparent模式,所有的网口都处于不同的子网当中。

当一个网口处于route模式,这个网口处理通过的流量时不nat,即ip包头中的源地址和端口号都保持不变。不像nat模式,连接在route模式网口下的主机必须具有公网ip,没有任何映射和虚拟ip可以被建立起来。

当一个网口处于nat模式,NetScreen会把从trust口往外的ip包中的源ip地址和源端口改掉,将源地址改为untrust口的ip地址,而且,更换源端口为一个随机的产生的端口。

如果将NetScreen作为route模式,则必须为trust口、untrust口和DMZ(如果用到)配置ip地址,如果作为transparent模式,就必须不能为这些口配置ip

Manage iptrust ip不是一回事,manage ip是供登录NetScreen作配置数据的,而trust ip是为了作成route模式必须要配的,同时它也作为trust网内的网关。但实际物理上都是由trust口来提供这两个ip的。实际上在web页面中也不允许将其配为一个ip。但用命令行可以强制地配成一个ip地址。

NetScreen204出厂配置所有的网卡的ip均为0.0.0.0,如果想让其作为transparent模式,不要分配地址给任何网卡。

如果配置设备成route模式,首先改变一个网口(ethernet1/trustethernet3/untrust或者ethernet2/DMZ)到layer 3区域,并配置其ip地址。这将自动改变其它网口到缺省的layer 3区域。可以用命令:

set interface zone

配置网口的ip地址,可以用下面的命令:ip是掩码。

set interface ip

也可以用/n来代理 n为多少位掩码。

可以用如下命令加网关:

set interface gateway

缺省状态下,NetScreen204不允许数据进出。如果希望从trust口到untrust口有外出流量,则必须建立一个外出访问策略。例如:

set policy from trust to untrust any any any permit(第一个any:源地址;第二个any:目的地址;第三个anyip服务)

如果想得到所有的policy

get policy

设置防火墙的保护特性:

您可以绑定一个或多个网口到一个区域上,使在每一个网卡的基础上的唯一的保护策略生效。如下命令可以使网口的保护策略生效

 

 

防火墙的透明模式即防火墙内网和外网不设三层IP地址,不做路由或者地址转换,只有设置

管理IP。一般在现有复杂网络添加防火墙时采用。接口为透明模式时,NetScreen 设备过滤

通过防火墙的封包,而不会修改 IP 封包包头中的任何源或目的地信息。所有接口运行起来

都像是同一网络中的一部分,而NetScreen 设备的作用更像是Layer 2(第 2 层)交换机或

桥接器。在透明模式下,接口的 IP 地址被设置为 0.0.0.0,使得 NetScreen 设备对于用户

来说是可视或“透明”的。

 

实例:透明模式

Netscreen 25

ethent0 V1Trust zone IP0.0.0.0/0

ethent3 V1Untrust zone IP0.0.0.0/0

gateway:209.122.17.253

LAN:209.122.17.0/24

FTP 服务器:209.122.17.250/24

邮件服务器:209.122.17.249/24

VLAN1 IP:209.122.17.252/24 端口 5555

透明模式的 NetScreen 设备保护的单独 LAN 的基本配置。策略允许 V1-Trust 区段中所有

主机的外向信息流、邮件服务器的内向 SMTP 服务,以及 FTP 服务器的内向 FTP-Get 服务

。为了提高管理信息流的安全性,将 WebUI 管理的 HTTP 端口号从 80 改为 5555,将 CLI

管理的 Telnet 端口号从 23改为 5555。使用 VLAN1 IP 地址209.122.17.252/24 来管理

V1-Trust 安全区段的设备。也可配置到外部路由器的缺省路由(于 209.122.17.253 处),

以便 NetScreen 设备能向其发送出站 VPN 信息流。V1-Trust 区段中所有设备的缺省网关也

209.122.17.253。)

Web界面模式

管理设置和接口

1. Network > Interfaces > Edit(对于 VLAN1 接口):输入以下内容,然后单击 OK

IP Address/Netmask: 209.122.17.252/24

Management Services: WebUI, Telnet (选择)

Other Services: Ping(选择)

2. Configuration > Admin > Management:在“HTTP Port”字段中,键入 5555 6,然后单

Apply

3. Network > Interfaces > Edit(对于 ethernet1):输入以下内容,然后单击 OK

Zone Name: V1-Trust

IP Address/Netmask: 0.0.0.0/0

4. Network > Interfaces > Edit(对于 ethernet3):输入以下内容,然后单击 OK

Zone Name: V1-Untrust

IP Address/Netmask: 0.0.0.0/0

5. Network > Interfaces > Edit(对于 v1-trust):选择以下内容,然后单击 OK

Management Services: WebUI, Telnet

Other Services: Ping

路由

6. Network > Routing > Routing Table > trust-vr New:输入以下内容,然后单击 OK

Network Address/Netmask: 0.0.0.0/0

Gateway: (选择)

Interface: vlan1(trust-vr)

Gateway IP Address: 209.122.17.253

Metric: 1

地址

7. Objects > Addresses > List > New:输入以下内容,然后单击 OK

Address Name: Mail Server

IP Address/Domain Name: IP/Netmask: 209.122.17.249/32

Zone: Trust

8. Objects > Addresses > List > New:输入以下内容,然后单击 OK

Address Name: FTP Server

IP Address/Domain Name: IP/Netmask: 209.122.17.250/32

Zone: Trust

策略

9. Policies > (From: Trust, To: Untrust) > New:输入以下内容,然后单击 OK

Source Address:

Address Book: (选择) , Any

Destination Address:

Address Book: (选择) , Any

Service: Any

Action: Permit

10. Policies > (From: Untrust, To: Trust) > New:输入以下内容,然后单击 OK

Source Address:

Address Book: (选择) , Any

Destination Address:

Address Book: (选择) , Mail Server

Service: Mail

Action: Permit

11. Policies > (From: Untrust, To: Trust) > New:输入以下内容,然后单击 OK

Source Address:

Address Book: (选择) , Any

Destination Address:

Address Book: (选择) , FTP Server

Service: FTP-Get

Action: Permit

 

 

 

“区域”这个概念是NetScreen自己定的,它是很多NetScreen设置操作上所使用的单位。这

个参数是在每

个物理接口属性设置的(主菜单->Network->Interfaces),也可以通过:

->set interface 接口号 zone 区域类型名

更改,常见的区域有TrustUntrust。这里有一些需要切记的准则:

1)默认TrustUntrust区域都是挂载在trust-vr虚拟路由上的;

2)若我们把两个物理端口同时挂载在Trust区域时,它们之间就能直接访问了(也就是说路

由与策略默认

都是全通了);

3)但倘若我们把两个物理端口同时挂载在Untrust区域时,它们之间是不能直接互访的(路

由通,但策略

不通),需要添加“对象:Untrust->Untrust、地址:Any->Any、行为:Permit”的策略才

能互访;

4)但若把两个物理端口分别挂载在TrustUntrust两个区域时,即使它们之间的路由是通的

(这个不需要

任何配置,因为它们默认就都在同一张路由表上---Trust虚拟路由表),也是不能互访的,

需要在Policie

s上添加互访的策略(也就是说它们的策略默认是“全部不通”的)。

 

 

“路由”在NetScreen中被命名为虚拟路由,默认有trust-vruntrust-vr。设置虚拟路由表

有多种方式,

其设置可以在WEB UI上主菜单的Network->Routing中找到。关于当前路由与区域的对应关系

可以在WEB UI

上的Network->Binding上找到(其实这些对应关系是可以由我们可以设置的)。有一点是需

要注意的:在

屏蔽其它因素(主要是“策略”的因素)的情况下,在同一虚拟路由表下的所有物理端口间

的路由都是全

通的。

 

“策略”大多用于包过滤、NAT的功能实现上。我们可以直接通过WEB UI上主菜单的Policies

进行设置,它

主要是“区域”作为对象单位的。当需要配置跨区域互访与网络地址NAT伪装时就一定要用到

它。这里有两

个例子:

1)当要配置Trust区域的物理端口与Untrust区域的物理端口的网段互访时需要添加两个规则

规则一:

对象:Trust->Untrust

地址:Any->Any

行为:Permit

规则二:

对象:Untrust->Trust

地址:Any->Any

行为:Permit

2)配置Trust区域通过伪装的方式连通Untrust区域:

对象:Trust->Untrust

地址:Any->Any

高级(规则设置界面的“Advanced”按钮激活):Destination Translation地址设置为

Untrust的网段

行为:Permit

阅读(1412) | 评论(0) | 转发(0) |
0

上一篇:终于可以运动了

下一篇:年年岁岁花相似

给主人留下些什么吧!~~