分类: 系统运维
2010-01-06 10:06:19
NetScreen 25
NetScreen 25是个高性能的安全应用方案,具有四个自适应10/100 Base-以太网口[信任Trust,非信任Untrust,DMZ,另外一个留作将来使用,注意:ScreenOS3.0并不支持第四个端口的使用],它能够提供100Mbps的防火墙数据流量和20Mbps的3倍DES加密VPN性能,保护局域网(LANs)以及与外网建立数据交流的mail服务器,web服务器和FTP服务器的安全。NetScreen-25支持4,000个并发TCP/IP会话和25个VPN通道。
默认端口分配:
|
Ethernet 1 |
Ethernet 2 |
Ethernet 3 |
Ethernet 4 |
|
Trust |
DMZ |
Utrust |
Empty |
NetScreen 204
NetScreen 204是目前市场上功能较多的防火墙产品,可以方便地集成在许多不同的网络环境中,包括大中型企业的办公室,电子商务网站,数据中心和电信运营基础设施。它具有4个自适应10/100M以太网端口,延续了NetScreen防火墙优秀的线速处理能力(400Mbps)--即使在对系统资源要求极高的应用中(诸如VPN-3DES加密)也能保持超过200Mbps的速率,并支持HA(High Availability高可用性,详见本文后续内容)。
默认的端口分配:
|
Ethernet 1 |
Ethernet 2 |
Ethernet 3 |
Ethernet 4 |
|
Trust |
DMZ |
Utrust |
HA |
NetScreen 500
NetScreen 500集防火墙、VPN及流量管理等功能于一体,占用2U机架空间。它是 一款高性能的产品,支持多个安全域。NetScreen 500具有NetScreen 1000及NetScreen 100的所有优点。另外在功能上设有高可用性交换端口、管理端口及四个流量模块组,还有一个可编辑的LCD指示屏,使管理变得更加容易。
默认端口分配:
|
模块-Untrust |
模块-Trust | ||
|
N/A |
Utrust Port |
N/A |
Trust Port |
|
模块-DMZ |
模块-Empty | ||
|
N/A |
DMZ Port |
Empty |
Empty |
在四个模块下方的并列的几个接口中,有两个接口分别标注“HA1”、“HA2”,这两个接口是用来连接HA心跳线的,其中HA1与HA2互为冗余接口,以防止其中一条心跳线出现故障。
注意:
部分NS500的防火墙的软件(可根据防火墙上的标签确定)不支持对每个模块的第一个端口的调用,如果把线缆插在第一个端口上,物理链路都无法建立,直观表现是端口指示灯不亮,这一点在工程设计及施工中尤其要留意。
NetScreen防火墙基础知识
在对NetScreen进行配置前,需要了解一些基础知识。以下的描述是根据NetScreen 200系列,主要以NetScreen 204为例进行讲解,其余型号应该能触类旁通。
NetScreen 200系列的204有四个以太网口,208有8个以太网口,其中,网口1缺省为trust口,网口2为DMZ口,网口3为untrust口,网口4或网口4到8是可配的。但如果用于HA,则两台防火墙之间通过4口(204型号)或8口(208型号)连接。
200系列的NetScreen工作在两种模式:transparent模式和route模式,缺省为transparent模式。Nat不再是一种模式,现在它通过网口或策略配置来实现(注:在NetScreen 100中,NAT被看作是一种工作模式)。
1. transparent模式:
在transparent模式下,NetScreen设备检查通过防火墙的数据包,但并不改变ip包头中的任何源地址和目的地址信息。因为它不改变地址,所以保护网内的ip必须在untrust连接的网络内是有效且可寻路的,untrust很可能就接互连网了。
在transparent模式下,对于trust区和untrust区的ip地址就设为0.0.0.0,这样可以使NetScreen在网络中不可见。但是,防火、vpn和流量管理还是要通过配置设备的策略来生效。此时,NetScreen相当于一个2层交换机(2层交换机本身是没有ip地址的)。
2. route模式
当设备处于route模式下,每一个接口都被设立为route模式或nat模式。不像transparent模式,所有的网口都处于不同的子网当中。
当一个网口处于route模式,这个网口处理通过的流量时不nat,即ip包头中的源地址和端口号都保持不变。不像nat模式,连接在route模式网口下的主机必须具有公网ip,没有任何映射和虚拟ip可以被建立起来。
当一个网口处于nat模式,NetScreen会把从trust口往外的ip包中的源ip地址和源端口改掉,将源地址改为untrust口的ip地址,而且,更换源端口为一个随机的产生的端口。
如果将NetScreen作为route模式,则必须为trust口、untrust口和DMZ(如果用到)配置ip地址,如果作为transparent模式,就必须不能为这些口配置ip。
Manage ip和trust ip不是一回事,manage ip是供登录NetScreen作配置数据的,而trust ip是为了作成route模式必须要配的,同时它也作为trust网内的网关。但实际物理上都是由trust口来提供这两个ip的。实际上在web页面中也不允许将其配为一个ip。但用命令行可以强制地配成一个ip地址。
NetScreen204出厂配置所有的网卡的ip均为0.0.0.0,如果想让其作为transparent模式,不要分配地址给任何网卡。
如果配置设备成route模式,首先改变一个网口(ethernet1/trust、ethernet3/untrust或者ethernet2/DMZ)到layer 3区域,并配置其ip地址。这将自动改变其它网口到缺省的layer 3区域。可以用命令:
set interface
配置网口的ip地址,可以用下面的命令:
set interface
也可以用
可以用如下命令加网关:
set interface
缺省状态下,NetScreen204不允许数据进出。如果希望从trust口到untrust口有外出流量,则必须建立一个外出访问策略。例如:
set policy from trust to untrust any any any permit(第一个any:源地址;第二个any:目的地址;第三个any:ip服务)
如果想得到所有的policy:
get policy
设置防火墙的保护特性:
您可以绑定一个或多个网口到一个区域上,使在每一个网卡的基础上的唯一的保护策略生效。如下命令可以使
防火墙的透明模式即防火墙内网和外网不设三层IP地址,不做路由或者地址转换,只有设置
管理IP。一般在现有复杂网络添加防火墙时采用。接口为透明模式时,NetScreen 设备过滤
通过防火墙的封包,而不会修改 IP 封包包头中的任何源或目的地信息。所有接口运行起来
都像是同一网络中的一部分,而NetScreen 设备的作用更像是Layer 2(第 2 层)交换机或
桥接器。在透明模式下,接口的 IP 地址被设置为 0.0.0.0,使得 NetScreen 设备对于用户
来说是可视或“透明”的。
实例:透明模式
Netscreen 25
ethent0 V1-Trust zone IP:0.0.0.0/0
ethent3 V1-Untrust zone IP:0.0.0.0/0
gateway:209.122.17.253
LAN:209.122.17.0/24
FTP 服务器:209.122.17.250/24
邮件服务器:209.122.17.249/24
VLAN1 IP:209.122.17.252/24 端口 5555
透明模式的 NetScreen 设备保护的单独 LAN 的基本配置。策略允许 V1-Trust 区段中所有
主机的外向信息流、邮件服务器的内向 SMTP 服务,以及 FTP 服务器的内向 FTP-Get 服务
。为了提高管理信息流的安全性,将 WebUI 管理的 HTTP 端口号从 80 改为 5555,将 CLI
管理的 Telnet 端口号从 23改为 5555。使用 VLAN1 IP 地址209.122.17.252/24 来管理
V1-Trust 安全区段的设备。也可配置到外部路由器的缺省路由(于 209.122.17.253 处),
以便 NetScreen 设备能向其发送出站 VPN 信息流。V1-Trust 区段中所有设备的缺省网关也
是 209.122.17.253。)
Web界面模式
管理设置和接口
1. Network > Interfaces > Edit(对于 VLAN1 接口):输入以下内容,然后单击 OK:
IP Address/Netmask: 209.122.17.252/24
Management Services: WebUI, Telnet (选择)
Other Services: Ping(选择)
2. Configuration > Admin > Management:在“HTTP Port”字段中,键入 5555 6,然后单
击 Apply
3. Network > Interfaces > Edit(对于 ethernet1):输入以下内容,然后单击 OK:
Zone Name: V1-Trust
IP Address/Netmask: 0.0.0.0/0
4. Network > Interfaces > Edit(对于 ethernet3):输入以下内容,然后单击 OK:
Zone Name: V1-Untrust
IP Address/Netmask: 0.0.0.0/0
5. Network > Interfaces > Edit(对于 v1-trust):选择以下内容,然后单击 OK:
Management Services: WebUI, Telnet
Other Services: Ping
路由
6. Network > Routing > Routing Table > trust-vr New:输入以下内容,然后单击 OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (选择)
Interface: vlan1(trust-vr)
Gateway IP Address: 209.122.17.253
Metric: 1
地址
7. Objects > Addresses > List > New:输入以下内容,然后单击 OK:
Address Name: Mail Server
IP Address/Domain Name: IP/Netmask: 209.122.17.249/32
Zone: Trust
8. Objects > Addresses > List > New:输入以下内容,然后单击 OK:
Address Name: FTP Server
IP Address/Domain Name: IP/Netmask: 209.122.17.250/32
Zone: Trust
策略
9. Policies > (From: Trust, To: Untrust) > New:输入以下内容,然后单击 OK:
Source Address:
Address Book: (选择) , Any
Destination Address:
Address Book: (选择) , Any
Service: Any
Action: Permit
10. Policies > (From: Untrust, To: Trust) > New:输入以下内容,然后单击 OK:
Source Address:
Address Book: (选择) , Any
Destination Address:
Address Book: (选择) , Mail Server
Service: Mail
Action: Permit
11. Policies > (From: Untrust, To: Trust) > New:输入以下内容,然后单击 OK:
Source Address:
Address Book: (选择) , Any
Destination Address:
Address Book: (选择) , FTP Server
Service: FTP-Get
Action: Permit
“区域”这个概念是NetScreen自己定的,它是很多NetScreen设置操作上所使用的单位。这
个参数是在每
个物理接口属性设置的(主菜单->Network->Interfaces),也可以通过:
->set interface 接口号 zone 区域类型名
更改,常见的区域有Trust与Untrust。这里有一些需要切记的准则:
1)默认Trust与Untrust区域都是挂载在trust-vr虚拟路由上的;
2)若我们把两个物理端口同时挂载在Trust区域时,它们之间就能直接访问了(也就是说路
由与策略默认
都是全通了);
3)但倘若我们把两个物理端口同时挂载在Untrust区域时,它们之间是不能直接互访的(路
由通,但策略
不通),需要添加“对象:Untrust->Untrust、地址:Any->Any、行为:Permit”的策略才
能互访;
4)但若把两个物理端口分别挂载在Trust与Untrust两个区域时,即使它们之间的路由是通的
(这个不需要
任何配置,因为它们默认就都在同一张路由表上---Trust虚拟路由表),也是不能互访的,
需要在Policie
s上添加互访的策略(也就是说它们的策略默认是“全部不通”的)。
“路由”在NetScreen中被命名为虚拟路由,默认有trust-vr与untrust-vr。设置虚拟路由表
有多种方式,
其设置可以在WEB UI上主菜单的Network->Routing中找到。关于当前路由与区域的对应关系
可以在WEB UI
上的Network->Binding上找到(其实这些对应关系是可以由我们可以设置的)。有一点是需
要注意的:在
屏蔽其它因素(主要是“策略”的因素)的情况下,在同一虚拟路由表下的所有物理端口间
的路由都是全
通的。
“策略”大多用于包过滤、NAT的功能实现上。我们可以直接通过WEB UI上主菜单的Policies
进行设置,它
主要是“区域”作为对象单位的。当需要配置跨区域互访与网络地址NAT伪装时就一定要用到
它。这里有两
个例子:
1)当要配置Trust区域的物理端口与Untrust区域的物理端口的网段互访时需要添加两个规则
:
规则一:
对象:Trust->Untrust
地址:Any->Any
行为:Permit
规则二:
对象:Untrust->Trust
地址:Any->Any
行为:Permit
2)配置Trust区域通过伪装的方式连通Untrust区域:
对象:Trust->Untrust
地址:Any->Any
高级(规则设置界面的“Advanced”按钮激活):Destination Translation地址设置为
Untrust的网段
行为:Permit
