版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、 Juniper 防火墙配置手册2007-11目录目录 (2第一章:Juniper 防火墙基本原理 (4一,安全区段: (4二,安全区段接口 (5三,创建二级IP 地址 (12四,接口状态更改 (13五,接口透明模式 (15六,接口NAT 模式 (20七,接口路由模式 (25八,地址组 (30九,服务 (32十,动态IP 池 (32十一,策略 (43十二,系统参数 (641,域名系统支持 (642,DNS 查找 (643,动态主机配置协议 (704,以太网点对点协议 (825,现有设备或新设备添加防病毒、Web 过滤、反垃圾邮件和深入检查 (876,系统时钟 (87第二章:Juniper 防火
2、墙管理 (91一,通过Web 用户界面进行管理 (91二,通过命令行界面进行管理 (95三,通过NetScreen-Security Manager 进行管理 (96四,设置管理接口选项 (100五,管理的级别 (103六,日志信息 (110第三章:Juniper 防火墙路由 (1381,静态路由 (1382,OSPF (144第四章:Juniper 防火墙NAT (150一,基于策略的转换选项 (150二,NAT-Dst一对一映射 (161三, NAT-Dst一对多映射 (163四,NAT-Dst多对一映射 (166五,NAT-Dst多对多映射 (168六,带有端口映射的NAT-Dst (1
3、70七,同一策略中的NA T-Src 和NA T-Dst (173八,Untrust 区段上的MIP (183九,虚拟IP 地址 (190第五章:Juniper 防火墙VPN (197一,站点到站点的虚拟专用网 (1971,站点到站点VPN 配置 (1972,基于路由的站点到站点VPN,自动密钥IKE (2023,基于路由的站点到站点VPN,动态对等方 (2094,基于策略的站点到站点VPN,动态对等方 (2175,基于路由的站点到站点VPN,手动密钥 (2246,基于策略的站点到站点VPN,手动密钥 (230二,拨号虚拟专用网 (2351,基于策略的拨号VPN,自动密钥IKE (2352,基
4、于路由的拨号VPN,动态对等方 (240基于策略的拨号VPN,动态对等方 (246用于拨号VPN 用户的双向策略 (251第六章:Juniper 防火墙攻击检测与防御 (256一,Juniper中低端防火墙的UTM功能配置 (2561,Profile的设置 (2572,防病毒profile在安全策略中的引用 (259二,防垃圾邮件功能的设置 (2611,Action 设置 (2622,White List与Black List的设置 (2623,防垃圾邮件功能的引用 (264三,WEB/URL过滤功能的设置 (2641转发URL过滤请求到外置URL过滤服务器 (2642,使用内置的URL过滤引
5、擎进行URL过滤 (2663,手动添加过滤项 (267四,深层检测功能的设置 (2691,设置DI攻击特征库自动更新 (2702,深层检测(DI的引用 (271第一章:Juniper 防火墙基本原理一,安全区段:概念:安全区段是由一个或多个网段组成的集合,需要通过策略来对入站和出站信息流进行调整。安全区段是绑定了一个或多个接口的逻辑实体。通过多种类型的 Juniper Networks 安全设备,您可以定义多个安全区段,确切数目可根据网络需要来确定。除用户定义的区段外,您还可以使用预定义的区段:Trust、Untrust 和 DMZ (用于第3 层操作,或者 V1-Trust、V1-Untru
6、st 和 V1-DMZ ( 用于第2 层操作。如果愿意,可以继续使用这些预定义区段。也可以忽略预定义区段而只使用用户定义的区段。另外,您还可以同时使用这两种区段- 预定义和用户定义。利用区段配置的这种灵活性,您可以创建能够最好地满足您的具体需要的网络设计。 功能区段共有五个功能区段,分别是Null、MGT、HA、Self 和VLA N。每个区段的存在都有其专门的目的,如以下小节所述。Null 区段此区段用于临时存储没有绑定到任何其它区段的接口。MGT 区段此区段是带外管理接口MGT 的宿主区段。可以在此区段上设置防火墙选项以保护管理接口,使其免受不同类型的攻击。HA 区段此区段是高可用性接口H
7、A1 和HA2 的宿主区段。尽管可以为HA区段设置接口,但是此区段本身是不可配置的。Self 区段此区段是远程管理连接接口的宿主区段。当您通过HTTP、SCS 或Telnet 连接到安全设备时,就会连接到Self 区段。VLAN 区段此区段是VLA N1 接口的宿主区段,可用于管理设备,并在设备处于“透明”模式时终止VPN 信息流,也可在此区段上设置防火墙选项以保护VLA N1 接口,使其免受各种攻击。设置端口模式通过WebUI 或CLI 更改安全设备上的端口模式设置。设置端口模式之前,请注意以下方面:更改端口模式会删除设备上任何现有的配置,并要求系统重置。发布unset all CLI 命令
8、不影响设备上的端口模式设置。例如,如果要将端口模式设置从Combined 模式更改回缺省Trust-Untrust 模式,发布unset all 命令会删除现有配置,但不会将设备设置为Trust-Untrust 模式。二,安全区段接口物理接口和子接口的目的是提供一个开口,网络信息流可通过它在区段之间流动。物理接口安全设备上的每个端口表示一个物理接口,且该接口的名称是预先定义的。物理接口的名称由媒体类型、插槽号( 对于某些设备 及端口号组成,例如,ethernet3/2或ethernet2。可将物理接口绑定到充当入口的任何安全区段,信息流通过该入口进出区段。没有接口,信息流就无法进入或退出区段。
9、在支持对“接口至区段绑定”进行修改的安全设备上,三个物理以太网接口被预先绑定到各特定第2 层安全区段- V1-Trust、V1-Untrust 和V1-DMZ。哪个接口绑定到哪个区段根据每个平台而定。子接口子接口,与物理接口相似,充当信息流进出安全区段的开口。逻辑上,可将物理接口分成几个虚拟子接口。每个虚拟子接口都从自己来源的物理接口借用所需的带宽,因此其名称是物理接口名称的扩展,例如,ethernet3/2.1 或ethernet2.1。可以将子接口绑定到任何区段。还可将子接口绑定到其物理接口的相同区段,或将其绑定到不同区段。通道接口通道接口充当VPN 通道的入口。信息流通过通道接口进出VP
10、N 通道。将通道接口绑定到VPN 通道时,即可在到达特定目标的路由中引用该通道接口,然后在一个或多个策略中引用该目标。利用这种方法,可以精确控制通过该通道的信息流的流量。它还提供VPN 信息流的动态路由支持。如果没有通道接口绑定到VPN 通道,则必须在策略中指定通道并选择tunnel 作为操作。因为操作tunnel意味着允许,所以不能明确拒绝来自VPN 通道的信息流。可使用在通道接口的相同子网中的动态IP (DIP 地址池对外向或内向信息流上执行基于策略的NAT。对通道接口使用基于策略的NAT 的主要原因是为了避免IP 地址在VPN 通道端两个站点间发生冲突。必须将基于路由的VPN 通道绑定到
11、通道接口,以便安全设备可以路由信息流出和流入设备。可将基于路由的VPN 通道绑定到一个有编号( 具有IP 地址/ 网络掩码或没有编号( 没有IP地址/ 网络掩码 的通道接口。如果通道接口没有编号,则必须指定它借用IP 地址的接口。安全设备自行启动通过通道的信息流- 如OSPF 消息时,安全设备仅使用借用的IP 地址作为源地址。通道接口可以从相同或不同安全区段的接口借用IP 地址,只要这两个区段位于同一个路由选择域中。可以对VPN 信息流路由进行非常安全的控制,方法是将所有没有编号的通道接口绑定到一个区段( 该区段位于其自身的虚拟路由选择域中,并且从绑定到同一区段的回传接口借用IP 地址。例如,
12、可以将所有没有编号的通道接口绑定到一个名为“VPN”的用户定义的区段,并且对这些接口进行配置,以便从loopback.1 接口借用IP 地址,也可绑定到VPN 区段。VPN 区段位于名为“vpn-vr”的用户定义的路由选择域中。将通道通向的所有目标地址放置在VPN 区段中。对这些地址的路由指向通道接口,策略则控制其他区段和VPN 区段之间的VPN 信息流。 将所有通道接口放置在这样的区段中非常安全,因为VPN 不会由于出现故障( 这样会使通往相关通道接口的路由变成非活动状态 而重新定向原本让通道使用非通道路由( 如缺省路由 的信息流。还可将一个通道接口绑定到Tunnel 区段。这时,必须有一个
13、IP 地址。将通道接口绑定到Tunnel 区段的目的是让基于策略的VPN 通道能够使用NAT 服务。通道接口到区段的绑定 从概念上讲,可将VPN 通道当作铺设的管道。它们从本地设备延伸到远程网关,而通道接口就是这些管道的开口。管道始终存在,只要路由引擎将流量引导到接口之一就可随时使用。通常,如果希望接口支持源地址转换(NAT-src 的一个或多个动态IP (DIP 池和目标地址转换(NAT-dst 的映射IP (MIP 地址,请为该通道接口分配一个IP 地址。可以在安全区段或通道区段创建具有IP 地址和网络掩码的通道接口。如果通道接口不需要支持地址转换,并且配置不要求将通道接口绑定到一个Tun
14、nel 区段,则可以将该接口指定为无编号。必须将一个没有编号的通道接口绑定到安全区段;同时不能将其绑定到Tunnel 区段。还必须指定一个具有IP 地址的接口,该接口位于与绑定没有编号接口的安全区段相同的虚拟路由选择域中。无编号的通道接口借用该接口的IP 地址。如果正在通过VPN 通道传送组播数据包,可以在通道接口上启用“通用路由封装”(GRE 以在单播数据包中封装组播数据包。Juniper Networks 安全设备支持可在IPv4 单播数据包中封装IP 数据包的GREv1。删除通道接口不能立即删除拥有映射IP 地址(MIP 或“动态IP (DIP”地址池的通道接口。删除拥有这些特征的通道接
15、口前,必须首先删除引用它们的所有策略。然后必须删除通道接口上的MIP 和DIP 池。如果基于路由的VPN 配置引用一个通道接口,则必须首先删除VPN 配置,然后删除通道接口。在本范例中,通道接口tunnel.2 被链接到DIP 池8。通过名为vpn1 的VPN 通道,从Trust 区段到Untrust 区段的VPN 信息流的策略(ID 10 引用DIP 池8。要删除该通道接口,必须首先删除该策略( 或从该策略中删除引用的DIP 池8,然后删除DIP 池。然后,必须解除tunnel.2 到vpn 1 的绑定。删除依赖通道接口的所有配置后,即可删除该通道接口。WebUI1. 删除引用DIP 池8
16、的策略10Policies (From: Trust, To: Untrust: 单击策略ID 10 的Remove。2. 删除链接到tunnel.2 的DIP 池8Network > Interfaces > Edit ( 对于tunnel.2 > DIP: 单击DIP ID 8 的Remove。3. 解除来自vpn1 的tunnel.2 绑定VPNs > AutoKey IKE > Edit ( 对于vpn1 > Advanced: 在Bind to: TunnelInterface 下拉列表中选择None,单击Return,然后单击OK。4. 删除tu
17、nnel.2Network > Interfaces: 单击tunnel.2 的Remove。CLI1. 删除引用DIP 池8 的策略10unset policy 102. 删除链接到tunnel.2 的DIP 池8unset interface tunnel.2 dip 83. 解除来自vpn1 的tunnel.2 绑定unset vpn vpn1 bind interface4. 删除tunnel.2unset interface tunnel.2save查看接口可查看列出安全设备上所有接口的表。因为物理接口是预定义的,所以不管是否配置,它们都会列出。而对于子接口和通道接口来说,只有
18、在创建和配置后才列出。要在WebUI 中查看接口表,请单击Network > Interfaces。可指定接口类型从List Interfaces 下拉菜单显示。要在CLI 中查看接口表,请使用get interface 命令。接口表显示每个接口的下列信息:Name: 此字段确定接口的名称。IP/Netmask: 此字段确定接口的IP 地址和网络掩码地址。Zone: 此字段确定将接口绑定到的区段。Type: 此字段指出接口类型: Layer 2 (第 2 层、Layer 3 (第3 层、tunnel (通道、redundant ( 冗余、aggregate ( 聚合、VSI。Link:
19、此字段确定接口是否为活动(up 或非活动(down。Configure: 此字段允许修改或移除接口。 将接口绑定到安全区段可将任何物理接口绑定到L2 ( 第 2 层 或L3 ( 第 3 层 安全区段。由于子接口需要IP 地址,因此仅可将子接口绑定到L3 ( 第 3 层 安全区段。将接口绑定到L3 安全区段后,才能将IP 地址指定给接口。在本例中,将ethernet5 绑定到Trust 区段。WebUINetwork > Interfaces > Edit ( 对于ethernet5: 从Zone Name 下拉列表中选择Trust,然后单击OK。CLIset interface e
20、thernet5 zone trustsave从安全区段解除接口绑定如果接口未编号,那么可解除其到一个安全区段的绑定,然后绑定到另一个安全区段。如果接口已编号,则必须首先将其IP 地址和网络掩码设置为。然后,可解除其到一个安全区段的绑定,然后绑定到另一个安全区段,并( 可选 给它分配IP 地址/ 网络掩码。在本例中,ethernet3 的IP 地址为/24 并且被绑定到Untrust 区段。将其IP 地址和网络掩码设置为/0 并将其绑定到Null 区段。WebUINetwork > Interfaces > Edit ( 对于ether
21、net3: 输入以下内容,然后单击OK:Zone Name: NullIP Address/Netmask: /0CLIset interface ethernet3 ip /0set interface ethernet3 zone nullsave编址接口在本例中,将给ethernet5 分配IP 地址/24,“管理IP”地址。( 请注意,“管理IP”地址必须在与安全区段接口IP 地址相同的子网中。最后,将接口模式设置为NAT,将所有内部IP 地址转换至绑定到其它安全区段的缺省接口。WebUINetwork > Inte
22、rfaces > Edit ( 对于ethernet5: 输入以下内容,然后单击OK:IP Address/Netmask: /24Manage IP: CLIset interface ethernet5 ip /24set interface ethernet5 manage-ip save修改接口设置配置物理接口、子接口、冗余接口、聚合接口或“虚拟安全接口”(VSI 后,需要时可更改下列任何设置:IP 地址和网络掩码。管理IP 地址。( 第 3 层区段接口 管理和网络服务。( 子接口 子接口ID 号和VLA N
23、 标记号。(trust-vr 中绑定到L3 ( 第3 层 安全区段的接口 接口模式- NAT 或“路由”。( 物理接口 信息流带宽设置( 请参阅第181 页上的“信息流整形”。( 物理、冗余和聚合接口 最大传输单位(MTU 大小。( 第 3 层接口 阻止进出相同接口的信息流,包括主子网和辅助子网之间或两个辅助子网之间的信息流( 通过含有route-deny 选项的CLI set interface 命令来完成。对于某些安全设备上的物理接口,可以强迫物理链接状态处于不在工作中或工作中状态。如果强迫物理链接状态处于不在工作中状态,则可模拟电缆与接口端口的断开。( 通过含有phylink-down
24、选项的CLI set interface 命令来完成。在本例中,对ethernet1 进行一些修改,它是一个绑定到Trust 区段的接口。将“管理IP”地址从 更改为2。为了确保管理信息流的绝对安全,还更改了管理服务选项,启用SCS 和SSL 并禁用Telnet 和WebUI。WebUINetwork > Interfaces > Edit ( 对于ethernet1: 进行以下修改,然后单击OK:Manage IP: 2Management Services: ( 选择 SSH, SSL; ( 清除 Telnet, WebUICLI
25、set interface ethernet1 manage-ip 2set interface ethernet1 manage sshset interface ethernet1 manage sslunset interface ethernet1 manage telnetunset interface ethernet1 manage websave在根系统中创建子接口可在根系统或虚拟系统中的任何物理接口上创建子接口。子接口使用VLA N 标记区别绑定到该子接口的信息流与绑定到其它接口的信息流。请注意虽然子接口源自物理接口,并借用其需要的带宽,但是可将子接口绑定到任
26、何区段,不必绑定到其“父级”接口绑定到的区段。此外,子接口的IP 地址必须在不同于所有其它物理接口和子接口的IP 地址的子网中。在本例中,将在根系统中为Trust 区段创建子接口。配置绑定到Trust 区段的ethernet1 的子接口,将子接口绑定到用户定义的区段,名为“accounting”( 在trust-vr 中。为其分配子接口ID 3、IP 地址/24 和VLA N 标记ID 3。接口模式为NAT。WebUINetwork > Interfaces > New Sub-IF: 输入以下内容,然后单击OK:Interface Name: ethernet1.
27、3Zone Name: accountingIP Address/Netmask: /24VLAN Tag: 3CLIset interface ethernet1.3 zone accountingset interface ethernet1.3 ip /24 tag 3save删除子接口不能立即删除映射IP 地址(MIP、虚拟IP 地址(VIP 或“动态IP”(DIP 地址池的宿主子接口。删除任何这些地址的宿主子接口前,必须首先删除所有引用它们的策略或IKE 网关。然后必须删除子接口上的MIP、VIP 和DIP 池。在本例中,将删除子接口ethernet1
28、:1。WebUINetwork > Interfaces: 单击Remove ( 对于ethernet1:1。会出现一条系统消息,提示您确认移除。单击Yes 删除子接口。CLIunset interface ethernet1:1save三,创建二级IP 地址每个ScreenOS 接口都有一个唯一的主IP 地址,但是,某些情况要求一个接口有多个IP 地址。例如,机构可能分配额外的IP 地址,但不希望添加路由器来适应其需要。此外,机构拥有的网络设备可能比其子网所能处理的要多,如有多于254台的主机连接到LAN。要解决这样的问题,可将二级IP 地址添加到Trust、DMZ或用户定义区段中的接
29、口。二级地址具有某些属性,这些属性会影响如何实施此类地址。这些属性如下:任何两个二级IP 地址之间不能有子网地址重迭。此外,安全设备上二级IP 和任何现有子网间不能有子网地址重迭。通过二级IP 地址管理安全设备时,该地址总是具有与主IP 地址相同的管理属性。因此,不能为二级IP 地址指定独立的管理配置。不能为二级IP 地址配置网关。创建新的二级IP 地址时,安全设备会自动创建相应的路由选择表条目。删除二级IP 地址时,设备会自动删除其路由选择表条目。启用或禁用两个二级IP 地址之间的路由选择不会使路由选择表发生改变。例如,如果禁用两个此类地址之间的路由选择,安全设备会丢弃从一个接口到另一个接口
30、的任何封包,但是路由选择表没有改变。在本例中,为ethernet1 设置一个二级IP 地址- /24,接口ethernet1的IP 地址为/24 并且绑定到Trust 区段。WebUINetwork > Interfaces > Edit ( 对于ethernet1 > Secondary IP: 输入以下内容,然后单击Add:IP Address/Netmask: /24CLIset interface ethernet1 ip /24 secondarysave四,接口状态更改接口可以处于以
31、下几种状态:物理连接状态- 适用于在“开放式系统互连”(OSI 模式下运行在第2 层( 透明模式 或第3 层( 路由模式 的物理以太网接口。当用电缆将接口连接到另一台网络设备且可建立一个到该设备的链接时,该接口即处于物理连接状态。逻辑连接状态- 适用于物理接口和逻辑接口( 子接口、冗余接口和聚合接口。当通过接口的信息流能够到达网络上的指定设备( 在被跟踪的IP 地址处 时,该接口处于逻辑连接状态。物理中断状态- 当未使用电缆将接口连接到另一台网络设备或者虽然使用电缆将其连接到了另一台网络设备但却不能建立链接时,该接口处于物理中断状态。也可以使用以下CLI 命令迫使接口处于物理中断状态: set
32、 interface interface phy link-down。逻辑中断状态- 当通过接口的信息流不能到达网络上的指定设备( 在被跟踪的IP 地址处 时,该接口处于逻辑中断状态。接口的物理状态优先于其逻辑状态。接口可以处于物理连接状态,也可以处于逻辑连接或逻辑中断状态。如果接口处于物理中断状态,则其逻辑状态如何将无关紧要。当接口处于连接状态时,所有使用该接口的路由将保持活动和可用状态。当接口处于中断状态时,安全设备将中断使用该接口的所有路由- 虽然信息流仍可能流经处于中断状态的接口,这要因该接口是处于物理中断状态还是逻辑中断状态而定( 请参阅第68 页上的“中断接口和信息”。要补偿因丢失
33、接口而引起的路由丢失,可以使用备用接口来配置备用路由。依据对观察到的接口状态更改所导致动作的设置情况,被监控接口的状态更改( 由连接状态变为中断状态 可能会导致监控接口的状态发生更改( 由中断状态变为连接状态。要配置这种行为,可以使用以下CLI 命令:set interface interface monitor threshold number action up logically | physically 输入上面的命令后,安全设备将自动迫使监控接口处于中断状态。如果被监控对象( 被跟踪的IP 地址、接口、区段 失败,则监控接口的状态将变为连接状态- 可能为逻辑连接状态,也可能是物理连接
34、状态,这取决于您的具体配置。接口可以监控对象的以下一个或多个事件。请参阅第57 页上的图33。这些事件中的每个事件或其组合均可导致监控接口由连接状态变为中断状态以及由中断状态变为连接状态:物理断开连接/ 重新连接IP 跟踪失败/ 成功被监控接口失败/ 成功被监控安全区段失败/ 成功物理连接监控所有安全设备上的物理接口监控它们到其它网络设备的物理连接的状态。当将接口连接到其它网络设备并建立了到该设备的链接时,该接口将处于物理连接状态,并且所有使用该接口的路由都将处于活动状态。可以在get interface 命令的输出中的State 列以及在WebUI 的Network >Interfac
35、es 页面上的Link 列中查看接口状态。可能为连接或中断状态。可以在get route id number 命令的Status 字段以及WebUI 的Network >Routing > Routing Entries 页面中查看路由的状态。如果标有一个星号,则表明该路由处于活动状态。如果没有星号,则表明该路由处于非活动状态。跟踪IP 地址安全设备可以通过接口跟踪指定的IP 地址,使得当一个或多个IP 地址不可到达时,即使物理链接仍处于活动状态,安全设备也可中断所有与该接口相关的路由。当安全设备同那些IP 地址之间恢复通信后,中断的路由将再次变为活动状态。类似于NSRP 中使用的
36、功能,ScreenOS 使用第3 层路径监控( 或IP 跟踪 通过接口来监控指定IP 地址的可到达性。例如,如果接口直接连接到路由器,则可跟踪接口的下一跳点地址,以确定该路由器是否仍旧可达。当接口上配置了IP 跟踪时,安全设备将以用户定义的时间间隔在该接口上将ping 请求发送给多达四个目标IP地址。安全设备监控这些目标以查看其是否收到了响应。如果在向该目标发送指定次数的请求后,仍没有来自该目标的响应,那么该IP 地址将被认为是不可到达的。无法从一个或多个目标得到响应可能使安全设备中断与该接口相关的路由。如果到同一目标的另一路由可用,则安全设备将重新定向信息流以使用新路由。可以在以下配置有管理
37、IP 地址的接口上定义IP 跟踪:绑定到安全区段( 非HA 或MGT 功能区段 的物理接口子接口冗余接口聚合接口五,接口透明模式接口处于“透明”模式时,安全设备将过滤通过防火墙的封包,而不会修改IP 封包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分,而安全设备的作用更像是第2 层交换机或桥接器。在“透明”模式下,接口的IP地址被设置为,使得安全设备对于用户来说是透明( 不可见 的。 透明模式是一种保护Web 服务器,或者主要从不可信源接收信息流的其它任意类型服务器的方便手段。使用透明模式有以下优点:不需要重新配置路由器或受保护服务器的IP 地址设置不需要为
38、到达受保护服务器的内向信息流创建映射或虚拟IP 地址区段设置在缺省情况下,ScreenOS 会创建一个功能区段、VLAN 区段和三个第 2 层安全区段: V1-Trust、V1-Untrust 和V1-DMZ。VLAN 区段VLA N 区段是VLAN1 接口的宿主区段,VLA N1 接口具有与物理接口相同的配置和管理能力。安全设备处于透明模式时,使用VLAN1 接口来管理设备和终止VPN 信息流。可将VLA N1 接口配置为允许第 2 层安全区段中的主机来管理设备。为此,必须将VLA N1 接口的IP 地址设置为与第 2 层安全区段中的主机在同一子网中。对于管理信息流,VLA N1 管理IP
39、优先于VLA N1 接口IP。可为管理信息流设置“VLA N1 管理IP”,并将VLAN1 接口IP 专用于VPN 通道终端。预定义的第2 层区段在缺省情况下,ScreenOS 提供三个第 2 层安全区段,分别是: V1-Trust、V1-Untrust 和V1-DMZ。这三个区段共享同一个第 2 层域。在其中一个区段中配置接口时,它被添加到由所有第 2 层区段中的所有接口共享的第 2 层域中。第 2 层区段中的所有主机必须在同一子网上以进行通信。如上一节所述,设备处于透明模式时,用户使用VLA N1 接口管理设备。对于要到达VLAN1 接口的管理信息流,必须启用VLA N1 接口和管理信息流
40、通过的区段上的管理选项。在缺省情况下,启用V1-Trust 区段中的所有管理选项。要在其它区段中启用主机以管理设备,必须设置它们所属的区段上的那些选项。配置VLAN1 接口以进行管理在本例中,将按下述内容配置安全设备来管理其VLA N1 接口:为VLAN1 接口分配IP 地址/24。在VLAN1 接口和V1-Trust 安全区段上启用Web、Telnet、SSH 和Ping。在信任虚拟路由器中( 所有的Layer 2 ( 第 2 层 安全区段都在trust-vr 路由选择域中 添加路由,使管理信息流能在安全设备和管理工作站( 该工作站在安全设备的紧邻子网外 之间流动。所有安全区域
41、都在trust-vr 路由域中。 WebUI1. VLAN1 接口Network > Interfaces > Edit ( 对于VLA N1: 输入以下内容,然后单击OK:IP Address/Netmask: /24Management Services: WebUI, Telnet, SSH ( 选择Other Services: Ping ( 选择2. V1-Trust 区段Network > Zones > Edit ( 对于V1-Trust: 选择以下内容,然后单击OK:Management Services: WebUI, Telnet, S
42、SHOther Services: Ping3. 路由Network > Routing > Routing Entries > trust-vr New: 输入以下内容,然后单击OK:Network Address/Netmask: /24Gateway: ( 选择Interface: vlan1(trust-vrGateway IP Address: 51Metric: 1CLI1. VLAN1 接口set interface vlan1 ip /24set interface vlan1 manage webset interf
43、ace vlan1 manage telnetset interface vlan1 manage sshset interface vlan1 manage ping2. V1-Trust 区段set zone v1-trust manage webset zone v1-trust manage telnetset zone v1-trust manage sshset zone v1-trust manage ping3. 路由set vrouter trust-vr route /24 interface vlan1 gateway 51 metric 1s
44、ave配置透明模式以下范例说明了受处于透明模式的安全设备保护的单独LAN 的基本配置。策略允许V1-Trust 区段中所有主机的外向信息流、邮件服务器的内向SMTP 服务,以及FTP 服务器的内向FTP-GET 服务。为了提高管理信息流的安全性,将WebUI 管理的HTTP 端口号从80 改为5555,将CLI 管理的Telnet 端口号从23 改为4646。使用VLA N1 IP 地址 /24 来管理V1-Trust 安全区段的安全设备。定义FTP 和邮件服务器的地址。也可配置到外部路由器的缺省路由( 于50 处,以便安全设备能向其发送出站VPN 信息流。(V1-
45、Trust 区段中所有主机的缺省网关也是 50。基本透明模式 WebUI1. VLAN1 接口Network > Interfaces > Edit ( 对于VLA N1 interface: 输入以下内容,然后单击OK:IP Address/Netmask: /24Management Services: WebUI, Telnet ( 选择Other Services: Ping ( 选择2. HTTP 端口Configuration > Admin > Management: 在HTTP Port 字段中,键入5555,然后单击Appl
46、y。3. 接口Network > Interfaces > Edit ( 对于ethernet1: 输入以下内容,然后单击OK:Zone Name: V1-TrustIP Address/Netmask: /0Network > Interfaces > Edit ( 对于ethernet3: 输入以下内容,然后单击OK:Zone Name: V1-UntrustIP Address/Netmask: /04. V1-Trust 区段Network > Zones > Edit ( 对于v1-trust: 选择以下内容,然后单击O
47、K:Management Services: WebUI, TelnetOther Services: Ping5. 地址Objects > Addresses > List > New: 输入以下内容,然后单击OK:Address Name: FTP_ServerIP Address/Domain Name:IP/Netmask: ( 选择, /32Zone: V1-TrustObjects > Addresses > List > New: 输入以下内容,然后单击OK:Address Name: Mail_ServerIP Address/
48、Domain Name:IP/Netmask: ( 选择, 0/32Zone: V1-Trust6. 路由Network > Routing > Routing Entries > trust-vr New: 输入以下内容,然后单击OK:Network Address/Netmask: /0Gateway: ( 选择Interface: vlan1(trust-vrGateway IP Address: 50Metric: 17. 策略Policies > (From: V1-Trust, To: V1-Untrust New:
49、 输入以下内容,然后单击OK: Source Address:Address Book Entry: ( 选择, AnyDestination Address:Address Book Entry: ( 选择, AnyService: AnyAction: PermitPolicies > (From: V1-Untrust, To: V1-Trust New: 输入以下内容,然后单击OK: Source Address:Address Book Entry: ( 选择, AnyDestination Address:Address Book Entry: ( 选择, Mail_Serv
50、erService: MailAction: PermitPolicies > (From: V1-Untrust, To: V1-Trust New: 输入以下内容,然后单击OK: Source Address:Address Book Entry: ( 选择, AnyDestination Address:Address Book Entry: ( 选择, FTP_ServerService: FTP-GETAction: PermitCLI1. VLAN1set interface vlan1 ip /24set interface vlan1 manage webs
51、et interface vlan1 manage telnetset interface vlan1 manage ping2. Telnetset admin telnet port 46463. 接口set interface ethernet1 ip /0set interface ethernet1 zone v1-trustset interface ethernet3 ip /0set interface ethernet3 zone v1-untrust4. V1-Trust 区段set zone v1-trust manage webset zon
52、e v1-trust manage telnetset zone v1-trust manage ping5. 地址set address v1-trust FTP_Server /32set address v1-trust Mail_Server 0/326. 路由set vrouter trust-vr route /0 interface vlan1 gateway 50 metric 17. 策略set policy from v1-trust to v1-untrust any any any permitset policy
53、 from v1-untrust to v1-trust any Mail_Server mail permitset policy from v1-untrust to v1-trust any FTP_Server ftp-get permitsave六,接口NAT 模式入口接口处于“网络地址转换(NAT”模式下时,安全设备的作用与第 3 层交换机( 或路由器 相似,将通往Untrust 区段的外向IP 封包包头中的两个组件进行转换:其源IP 地址和源端口号。安全设备用Untrust 区段接口的IP 地址替换始发端主机的源IP 地址。另外,它用另一个由安全设备生成的任意端口号替换源端口号。
54、NAT 拓扑结构 当回复封包到达安全设备时,该设备转换内向封包的IP 包头中的两个组件: 目的地地址和端口号,它们被转换回初始号码。安全设备于是将封包转发到其目的地。NAT 添加透明模式中未提供的一个安全级别: 通过NAT 模式下的入口接口( 如Trust 区段接口 发送信息流的主机地址决不对出口区段( 如Untrust 区段 中的主机公开,除非这两个区段在相同的虚拟路由选择域中并且安全设备通过动态路由选择协议(DRP 向对等方通告路由。尽管这样,如果有策略允许入站信息流到达,也仅仅可到达Trust 区段地址。( 如果希望在使用DRP 时隐藏Trust 区段地址,则可将Untrust 区段放置
55、在untrust-vr 中,将Trust 区段放置在trust-vr 中,并且不将trust-vr 中外部地址的路由导出到untrust-vr。如果安全设备使用静态路由选择并且仅有一个虚拟路由器,由于基于接口的NAT,内部地址在信息流出站时保持隐藏。配置的策略控制入站信息流。如果仅使用映射IP (MIP 和虚拟IP (VIP 地址作为入站策略中的目的地,则内部地址仍保持隐藏。另外,NAT 还保留对公共IP 地址的使用。在许多环境中,资源不可用,不能为网络上的所有设备提供公共IP 地址。NAT 服务允许多个私有IP 地址通过一个或几个公共IP 地址访问互联网资源。以下IP 地址范围保留给私有IP
56、 网络,并且不必在互联网上设定路由: - 55 - 55 - 55入站和出站NAT 信息流通过NAT 模式下的接口发送信息流的区段内的主机,能够发出流向Untrust 区段的信息流( 假定策略允许。在ScreenOS 5.0.0 之前的版本中,NAT 模式下的接口后的主机无法接收Untrust 区段的信息流,除非为它设置了“映射IP (MIP”、“虚拟IP (VIP”或VPN 通道。不过,在ScreenOS 5.0.0 版本中,从任意区段( 包括Untrust 区
57、段 向拥有已启用NAT 的接口的区段发送信息流时,不需要使用MIP、VIP 或VPN。如果要保护地址的私密性或使用不在公开网络( 如互联网 上出现的私有地址,仍可为到达他们的信息流定义MIP、VIP 或VPN。不过,如果不关注私密性和私有IP 地址的问题,则Untrust 区段的信息流可直接到达NAT 模式接口后的主机,而不必使用MIP、VIP 或VPN。NAT信息流 接口设置对于NAT 模式,定义以下接口设置,其中ip_addr1 和ip_addr2 代表IP 地址中的数字,mask 代表网络掩码中的数字,vlan_id_num 代表VLA N 标记的编号,zone代表区段名称,number
58、 代表以kbps 为单位的带宽大小: 1.可在每个接口的基础上设置管理IP 地址。主要目的是为从网络信息流中分离出来的管理信息流提供IP 地址。当某特定设备具备高可用性配置时,也可使用管理IP 地址来访问它。2.用于信息流整型的可选设置。3.选择NAT 可将接口模式定义为NAT。选择“路由”可将接口模式定义为“路由”。IP: ip_addr1Netmask: maskVLAN Tag: vlan_id_numZone Name: zoneNAT3: ( 选择Untrust44.尽管能选择NAT 作为绑定到Untrust 区段的接口模式,但是,安全设备不在该接口上执行任何NAT 操作。配置NAT
59、 模式以下范例说明了Trust 区段中有单独子网的LAN 的简单配置。LA N 受NAT 模式下的安全设备保护。策略允许Trust 区段中所有主机的外向信息流和邮件服务器的内向邮件。内向邮件通过虚拟IP 地址被发送到邮件服务器。Trust 和Untrust 区段都在trust-vr 路由选择域中。 WebUI1. 接口Network > Interfaces > Edit ( 对于ethernet1: 输入以下内容,然后单击Apply:Zone Name: TrustStatic IP: ( 出现时选择此选项IP Address/Netmask: /24输入以下内容
60、,然后单击OK:Interface Mode: NATNetwork > Interfaces > Edit ( 对于ethernet3: 输入以下内容,然后单击OK:Zone Name: UntrustStatic IP: ( 出现时选择此选项IP Address/Netmask: /24Interface Mode: Route2. VIPNetwork > Interfaces > Edit ( 对于ethernet3 > VIP: 输入以下内容,然后单击Add:Virtual IP Address: Network > I
61、nterfaces > Edit ( 对于ethernet3 > VIP > New VIP Service: 输入以下内容,然后单击OK:Virtual Port: 25Map to Service: MailMap to IP: 3. 路由Network > Routing > Routing Entries > trust-vr New: 输入以下内容,然后单击OK: Network Address/Netmask: /0Gateway: ( 选择Interface: ethernet3Gateway IP Address
62、: 504. 策略Policies > (From: Trust, To: Untrust New: 输入以下内容,然后单击OK:Source Address:Address Book Entry: ( 选择, AnyDestination Address:Address Book Entry: ( 选择, AnyService: ANYAction: PermitPolicies > (From: Untrust, To: Global New: 输入以下内容,然后单击OK: Source Address:Address Book Entry: ( 选择, AnyD
63、estination Address:Address Book Entry: ( 选择, VIP(Service: MAILAction: PermitCLI1. 接口set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip /24set interface ethernet3 route2. VIPset interface ethernet3 vip 25 mail 3. 路由set vrouter trust-vr route /0 interface ethernet3 gateway 504. 策略set policy from trust to untrust any any any permitset policy from untrust to global any vip( mail permitsave七,接口路由模式接口为路由模式时,安全设备在不同区段间转发信息
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 二零二五年度设施农业种植与销售合同3篇
- 2025农村自建房绿色建材采购与应用合同
- 二零二五年度兼职业务员客户满意度调查合同3篇
- 2025年度公司解除与因自然灾害影响员工劳动合同证明3篇
- 二零二五年度环保材料研发与应用股东合伙人协议3篇
- 2025技术培训合同范本
- 2025年度创意产业园区商铺租赁管理协议3篇
- 2025年度矿山矿产资源勘查与开发利用合作协议3篇
- 二零二五年度地质勘探驾驶员聘用合同协议书3篇
- 二零二五年度市政工程机械租赁与施工合同3篇
- 苏州市2022-2023学年七年级上学期期末数学试题【带答案】
- 工行人工智能风控
- 简易呼吸器使用及检测评分表
- 康复科进修汇报
- 2024-2030年中国水培蔬菜行业发展分析及投资前景预测研究报告
- 2023风电机组预应力混凝土塔筒与基础结构设计标准
- 3D打印技术在医疗领域的应用
- 人员招聘的程序与信息发布
- 仓库班长年终总结
- 2024-2029年中国IP授权行业市场现状分析及竞争格局与投资发展研究报告
- 北京市海淀区2023-2024学年四年级上学期期末英语试题
评论
0/150
提交评论