第1章:概述
一、安全区
1、安全区是绑定一个或多个接口的逻辑实体。
2、可以定义多个安全区,除预定义发全区:trust、untrust和DMZ以外,还要以自定义安全区段。
3、安全区之间的数据流通需要用策略进行控制。通过定义策略,使两个区段间的信息流向一个或两个方向流动。
二、接口
1、接口:
物理接口:防火墙上实际存在的接口组件。
子接口:在逻辑上将一个物理接口分为几个虚拟子接口。每个子接口都从它的物理接口上借用需要的带宽。
2、信息流的只从一个区段到另一个区段。所以需要将接口绑定到安全区段才能使接口有作用。一个或多个接口可以绑定到一个安全区段。
三、策略
1、默认情况,netscreen拒绝所有方向的所有信息流。只有通过创建策略,才能实现控制区段间的信息流。可以细微的控制一种信息流在预定的时间段内、在一个区段中的指定主机与另一个区段中的指定主机之间流动。
2、策略服务:策略的实现可以细化到从某区段到某区段能实现某种服务。所以需要细化到某种服务时,要预先定义服务。
四、虚拟路由器
1、netscreen设备支持两个预定义的虚拟路由器。分别为:untrust-vr和trust-vr。这两个虚拟路由器维护两个单独的的路由表,并且虚拟路由器彼此之间隐藏路由信息,即互不相干。
untrust-vr通常用来与不可信方通信。trust-vr与可信方通信。
2、从一个虚拟路由器的区段发出的信息流不能自动转发到另一个虚拟路由器区段,即使存在策略允许转发这样的信息流。如果希望信息流在虚拟路由器之间传递,需要导出VR之间的路由,或者定义静态路由,将另一个VR定义为下一跳。
3、命令:
setvrouter{trust-vr|untrust-vr}route{0.0.0.0/0}interface{ethernet3}gateway{2.2.2.2}//设置路由命令。trust-vr和untrust-vr分别代表两个虚拟路由器。0.0.0.0/0是表示目的地址,ethernet3表示从哪个接口,2.2.2.2表示下一跳地址,即网关IP。
五、虚拟系统
一些netscreen防火墙支持虚拟系统。对主系统的细分。即一个实体防火墙,可当多个虚拟防火墙使用。
六、常规配置流程
1、建立zone,即建立区段(在不使用默认区段的情况下)
2、把zone分配置vr(虚拟路由器)
3、把网络接口分配给zone
4、给接口设置ip地址
5、配置虚拟路由
6、配置策略。
第2章:区段详解
一、预定义区段的类型:
1、安全区:untrust、trust、DMZ、global、V1-untrust、v1-trunst、V1-dmz
2、通道区段:untrust-tun
3、功能区段:NULL、self、MGT、HA、VLAN
二、安全区
1、global
global区域不具有其他区都有的特性--接口。即Global区不包含接口。
global区可充当映射ip(MIP)和虚拟ip(VIP)地址的存储区域。
预定义global区段地址“any"应用于global区段中所有mip、vip和其他用户定义的地址组。
global区段还包含全域策略中使用的地址。
global区域类似于CISCO防火墙中的全局映射。
2、untrust和trust区域
是三层的区域。untrust是不信任区域。trust是信任区域。
3、V1-untrust和v1-trust
是二层区域。在透明模式下时使用。
注:screen选项:
每个区域可启用一组预定义的screen选项。检测并阻塞netscreen认定的潜在有害数据流。
二、通道区段untrust-tun
1、通道区段:是一个逻辑区段。附属于某个实际的安全区段。通道区段可包含一个或多个通道接口,并对承载的信息流提供防火墙保护,并支持对数据的封装和解封,还提供NAT服务。
2、默认情况下,通道区段在trunst-vr路由选择域。也可以把通道区段划分到trust-vr路由选择域。
3、每个虚拟系统上的每个承载区段(理解为实际区段,如trust区段)最多只能有一个通道区段。(即一个实际安全区下面只能有一个通道区段)
4、需配置的要点有:通道接口属于哪个通道区段,通道区段附属于哪个实际区段,并属于哪一个路由选择域。
注意:要修改通道区域的名称,或更改通道区段的承载区段,必须先删除该区段,再重建。但可以直接更改区段所属的虚拟路由选择域。
三、功能区段
1、NULL区段:用于临时存储没有绑定到任何其它区段的接口。
2、MGT区段:是带外管理接口MGT的宿主区段。可以在此区段上设置防火墙选项以保护管理接口。
3、HA区段:此区段是高可用性接口HA1和HA2的宿主区段。虽然可以为此区段设置接口,但此区段是不可配置的。
4、Self区段:此区段是远程管理连接接口的宿主区段。当您通过HTTP\SCS\telnet等连接netscreen设备时,就会连接到self区段。
5、vlan区段:此区段是VLAN1接口的宿主区段。可用于管理设备。设备是透明模式时,终止***信息流。
四、端口模式
可以为netscreen设备选择端口模式,端口模式自动为设备设置不同的端口、接口和区段绑定。
1、trust-untrust模式。缺省端口模式
将untrusted以太网端口绑定到untrust接口,并将接口绑定到untrust区段。
将modem端口绑定到serial接口,并作备份接口绑定到untrust区段。
将以太网端口1到4绑定到trunst接口,并将接口绑定到trust区段。
注:端口指设备的物理接口。接口是指通过cli或webui配置的逻辑接口。多个端口可以绑定到一个接口。
2、trust\untrust\Dmz端口模式
将以太网端口1和2绑定到接口ethernet1接口,并把接口绑定到trust区域
将以太网端口3和4绑定到接口ethernet2接口,并把接口绑定到dmz区域
将untrusted以太网端口绑定到untrust接口,并把接口绑定到untrust区域
将邮件服务器、web服务器等这类的服务器与内网分开,放置于dmz区域。
3、双untrust端口模式
将untrusted以太网端口绑定到ehternet3接口,绑定到untrust区域
将以太网4号端口绑定到ethernet2接口,绑定到untrust区域
将以太网1-3号端口绑定到ethernet1接口,绑定到trust区域。
即将两个接口绑定到untrust区域,一个做主接口,一个作备份,当主接口失效时,备份接口才会使用。
4、home\work端口模式
将以太网1和2号端口绑定到ethernet1接口,并把接口绑定到work区域
将以太网3和4号端口绑定到ethernet2接口,并把接口绑定到home区域
将untrusted以太网端口绑定到ehternet3接口,绑定到untrust区域
缺省情况下:work区域的信息可以流向home区域,home区域信息不可以流向work区域
home区域的信息不受限制的流向untrust区域。
5、combined模式
untrusted和以太网端口4绑定到untrust区域。其中以太网端口4作为备份端口。
以太网2、3端口绑定到home区域
以太网1端口绑定到work区域。
第3章、接口
一、接口类型
安全区段接口:
1、物理接口,即设备固有的接口。
2、子接口:在逻辑上将一个物理接口分为几个虚拟子接口。
3、聚合接口:即把多个物理接口聚合成一个聚合接口,每个接口平均承担通过整个聚合接口的数据流。
4、冗余接口:即把两个物理接口绑定成一个冗余接口。当主接口失效时,备份接口才开始接替主接口工作。这与聚合接口不同,不是同时工作。
功能区段接口:
5、HA接口:HA用于组建高可用性时用的接口。即两个防火墙组成一个冗余组,当一个主防火墙失效时,备份防火墙接替主防火墙的工作。
6、通道接口:充当×××通道入口。信息流通过通道接口进出×××通道。
二、配置安全区接口
1、将接口绑定到安全区及解除绑定
2、为接口分配Ip
3、修改接口
设置和命令:
getinterface查看接口的命令。
设置接口:
setinterfaceethernet1zonetrust//把接口绑定到区域
setinterfaceethernet1ip192.168.9.1/24//设置IP地址
setinterfaceehternet1manage-ip192.168.9.2//设置管理Ip地址。管理Ip地址要和接口地址在同一个网段。
setinterfaceethernet1managessh//设置接口的管理协议
setinterfaceethernet1managessl
setinterfaceethernet1managetelnet
setinterfaceethernet1manageweb
unsetinterfaceethernet1managessh//关闭接口的管理协议
unsetinterfaceethernet1managessl
unsetinterfaceethernet1managetelnet
unsetinterfaceethernet1manageweb
解除接口:
setinterfaceehternet1ip0.0.0.0/0//设置接口Ip地址为空,即先解除接口的ip
setinterfaceehternet1zonenull//接口区域为空
save
4、创建子接口和删除子接口
子接口注意点:
(1)子接口虽然源自物理接口,但可以将子接口绑定到任何区段,不必一定和物理接口处于一个区段内。
(2)子接口的Ip地址网段,必须与所有其他物理接口和子接口处于不同网段。
(3)子接口用vlan标记来区别。
配置命令:
setinterfaceethernet1.2zonetrust//把子接口划入区段trunst
setinterfaceethernet1.2ip192.168.10.1/24tag4//设置子接口Ip地址和VLAN标识
unsetinterfaceethernet1.2//删除子接口
5、二级ip地址(即一个接口配第二个地址)
一个接口有一个唯一的主Ip地址,还可配一个或多个二级Ip地址。
(1)二级Ip地址不能与防火墙现有子网重迭。即每个二级Ip都必须是独立网段。不能与现在任何网段冲突。
(2)不能为untrust区域中的接口配置第二ip地址。
(3)不能为二级Ip配置网关。
(4)可用二级IP管理netscreen设备,此时与主IP的管理属性相同。所以不能为二级Ip配置独立的管理配置。
6、环回接口配置
是一个逻辑接口。此接口只要设备开启即开启。
必须给环回接口配置Ip,并绑定到安全区
可以把任何接口定义为环回接口的组成员。
7、
三、接口类型
(一)nat模式
1、当是nat模式时,与普通路由器和三层交换机的作用相似。
2、当内部接口是nat模式时,从内到外的数据包,即流出外向区段untrust的ip数据包,源Ip会用untrust区段的接口的Ip替换,源端口号,会用一个随机生成的端口号替换。
3、从外到内的数据包,即从外向区段untrust到内部区段trust的数据包,会通过mip(映射ip)、vip(虚拟IP)、***通道,转换成内部的目的地址和端口号。
screenos5.0.0之后的版本,untrust区段到内部区段trust、自定义内部区段的数据包,可以直接到过内部主机(nat接口模式后的主机),不用vip\mip\***。但也可以使用mip\vip\***到达。
nat模式时,就想像成一个普通路由器。
(二)路由模式
路由模式时,在不同区段间转发信息时,不执行源NAT。即当数据包穿过防火墙时,数据包的源ip地址和端口号不变。并且每个区段内的接口都在不同网段。
可以在策略中定义需要nat转换的ip,执行相应的Ip进行nat转换。nat模式时,所有的ip都会进行nat转的换。
(三)透明模式
透明模式时,作用类似于二层交换机。
1、透明模式时的区段设置
(1)vlan区段
此区段是vlan1接口的宿主区段。用vlan1接口来管理防火墙。此Ip必须和第2层子网在同一网段。也可以为vlan接口配管理ip.
(2)预定义的第二层区段
v1-trustv1-untrustv1-dmz预定义此三个区段。
2、透明防火墙的信息流转发
(1)在第2层工作的netscreen设备,不允许区段间的任何信息流。即默认情况下,各区段间是不允许任何信息流通过的,除非配置了相应的策略。
(2)允许和拒绝策略中指定的信息流。
(3)允许arp和2层非ip广播信息流。拒绝所有非ip和非arp单点传送信息流及ipsec信息流,即拒绝非ARP单点,允许非IP广播流。
第4章定义构建块(为策略定义对象)
一、定义地址
1、定义地址条目
需要先在一个或多个地址列表中定义地址,才能设置许多netscreen防火墙、***和信息流×××功能。
(1)定义单个地址:只有一个单一的IP地址,所以子网掩码为255.255.255.255
(2)定义一个网段:带有子网掩码的定义一个网段。
不管是单个地址还是一个网段,都是一个对象,都有一个对象名。并且这个地址或网段也要划分到区域中。
2、定义地址组
(1)可以把多个地址条目加到地址组中。这样对一个地址组的策略可以影响所有组中的地址。
(2)一个地址组可以是其他地址组的成员。
(3)地址组只能包含属于同一区段的地址。
(4)地址组名不能和已有地址条目名相同。
(5)地址组被策略引用,则不能删除此地址组,只能编辑。
二、时间表
可以将时间表对象与一个或多个策略相关联以定义策略生效的时间。
三、DIP池
动态Ip池表示一个范围内的Ip地址。比如内网到外网时,nat转换可以是多对一,即一段内网的地址,都转换成一个外网地址。也可以是多对多转换,即一个网段的地址,可以转换成一个范围内的外部地址,所以外网的ip地址也可配置为一个地址范围。取地址时,是动态的在这个范围内取得。
这个动态ip地址池也可以只有一个Ip,但也要设置范围格式。如:192.168.9.1--192.168.9.1,虽然只有一个地址,但也可以设置成范围格式,成了一个DIP。
四、服务
在策略中使用服务,定义对象拥有的服务功能。
1、预定义服务
防火墙预先设置好的一些服务条目。可以直接引用。
2、自定义服务
自行定义的服务,以灵活的应用到策略。
3、icmp服务
4、服务组
即把多个服务加入一个组中,对策略生效时,是一整个组的服务都生效。
第5章:策略
一、策略的基本元素
1、两个安全区间信息流的方向
2、源地址
3、目标地址
4、服务类型,即信息流传输的类型
5、动作,有允许、拒绝或tunnel
二、策略的三种类型
1、区段内部策略之-----从一个安全区到另一个安全区的策略。可以理解为区段间策略。
2、区段内部策略之-----在同一个安全区的接口间的策略。即一个区段内的不同接口之间信息流传递的策略。源地址和目的地址在同一区段内,但属于同区段的不同接口。
3、全局策略:可以管理地址间的信息流,但不必考虑他们所属的安全区。全局策略不引用特定的源和目的区段。全局策略引和用户定义的global区段地址或预定义的global区段地址“any”。这些地址可以跨多个安全区段。
三、策略组列表
三种不同的策略组列表:
区段间策略列表:源区段和目的区段不同,则查找区段间策略列表。
区段内策略列表:源区段和目的区段相同,则查找区段内部策略列表。
全局策略列表:如果防火墙进行区段间策略列表和区段内策略列表查找,都没有找到匹配的项,则查找全局策略列表。
注:如果区段间策略列表、区段内策略列表、全局策略列表都没有找到匹配项,则防火墙会将缺省的策略应用到数据包。或将区段内部阻塞设置应用到数据包。
设备从上到下搜索每个策略组列表。因此注意顺序。一般将特殊的策略置于不太特殊的策略上面。
四、策略
策略能允许、拒绝、加密和解密、认证、排定优先次序、调度、过滤以及监控从一个区段到另一个区段的数据包。可以决定哪些用户和数据可以进出,以及进出的时间和地点。
1、策略和规则
一个策略可以生成一个或多个逻辑规则,每个规则都由一组组件(源地址、目的地址和服务)组成。组件占用内存资源。引用组件的逻辑规则不占用内存。
如1个策略:5个源地址*5个目标地址*5个服务=125条规则。
以上125条规刚的逻辑组件:只产生5个源地址+5个目标地址+5个服务=15个组件。
2、策略的结构
策略必须包含的元素:
ID:自动生成
区段:源区段和目的区段
地址:(源地址和目的地址)
服务
动作:(permit\deny\tunnel)
策略也可以包含下列元素:
应用
名称
×××通道确定
L2TP
深层检测
策略列表顶部位置
源地址转换
目的地址转换
用户认证
HA会话备份
URL过滤
记录
计数
信息流报警临界值
时间表
防病毒扫描
信息流整型
第6章地址转换
一、地址转换概述
1、源地址转换:即nat转换,可以转换源网络地址,还可以转换源网络地址+端口号。
2、目的地址转换:可用策略转换、映射ip地址、虚拟IP地址。映射地址转换是一对一的,是双向的,即一个外部IP对应一个内部IP。虚拟IP是,一对多的。一个外部IP加上端口号,对应内部IP加上端口号。这样一个外部IP,可以对应很多内部IP应用。
不支持同时将基于策略的NAT-dst与MIP和VIP配合使用。如果MIP、VIP和NAT-DST混合使用同于同一数据包,将以MIP和VIP的为准。不应用策略上的NAT-DST。
二、源地址转换(nat-src)
1、多对一:即多个内部IP转换成一个外部IP。(
2、多对多:即多个内部IP转换成多个外部IP中的一个。即多个外部IP组成一个地址池(dip),内部地址转换成外部IP时,从DIP中随机抽取一个外部IP。
DIP地址池,最小可以只有一个IP地址。但是当启用PAT(端口地址转换:ip地址+端口的方式)时,单个地址的DIP地址池可以转换最多达64500台主机。会根据地址+端口识别是哪个内部地址主机的请求。
一、安全区
1、安全区是绑定一个或多个接口的逻辑实体。
2、可以定义多个安全区,除预定义发全区:trust、untrust和DMZ以外,还要以自定义安全区段。
3、安全区之间的数据流通需要用策略进行控制。通过定义策略,使两个区段间的信息流向一个或两个方向流动。
二、接口
1、接口:
物理接口:防火墙上实际存在的接口组件。
子接口:在逻辑上将一个物理接口分为几个虚拟子接口。每个子接口都从它的物理接口上借用需要的带宽。
2、信息流的只从一个区段到另一个区段。所以需要将接口绑定到安全区段才能使接口有作用。一个或多个接口可以绑定到一个安全区段。
三、策略
1、默认情况,netscreen拒绝所有方向的所有信息流。只有通过创建策略,才能实现控制区段间的信息流。可以细微的控制一种信息流在预定的时间段内、在一个区段中的指定主机与另一个区段中的指定主机之间流动。
2、策略服务:策略的实现可以细化到从某区段到某区段能实现某种服务。所以需要细化到某种服务时,要预先定义服务。
四、虚拟路由器
1、netscreen设备支持两个预定义的虚拟路由器。分别为:untrust-vr和trust-vr。这两个虚拟路由器维护两个单独的的路由表,并且虚拟路由器彼此之间隐藏路由信息,即互不相干。
untrust-vr通常用来与不可信方通信。trust-vr与可信方通信。
2、从一个虚拟路由器的区段发出的信息流不能自动转发到另一个虚拟路由器区段,即使存在策略允许转发这样的信息流。如果希望信息流在虚拟路由器之间传递,需要导出VR之间的路由,或者定义静态路由,将另一个VR定义为下一跳。
3、命令:
setvrouter{trust-vr|untrust-vr}route{0.0.0.0/0}interface{ethernet3}gateway{2.2.2.2}//设置路由命令。trust-vr和untrust-vr分别代表两个虚拟路由器。0.0.0.0/0是表示目的地址,ethernet3表示从哪个接口,2.2.2.2表示下一跳地址,即网关IP。
五、虚拟系统
一些netscreen防火墙支持虚拟系统。对主系统的细分。即一个实体防火墙,可当多个虚拟防火墙使用。
六、常规配置流程
1、建立zone,即建立区段(在不使用默认区段的情况下)
2、把zone分配置vr(虚拟路由器)
3、把网络接口分配给zone
4、给接口设置ip地址
5、配置虚拟路由
6、配置策略。
第2章:区段详解
一、预定义区段的类型:
1、安全区:untrust、trust、DMZ、global、V1-untrust、v1-trunst、V1-dmz
2、通道区段:untrust-tun
3、功能区段:NULL、self、MGT、HA、VLAN
二、安全区
1、global
global区域不具有其他区都有的特性--接口。即Global区不包含接口。
global区可充当映射ip(MIP)和虚拟ip(VIP)地址的存储区域。
预定义global区段地址“any"应用于global区段中所有mip、vip和其他用户定义的地址组。
global区段还包含全域策略中使用的地址。
global区域类似于CISCO防火墙中的全局映射。
2、untrust和trust区域
是三层的区域。untrust是不信任区域。trust是信任区域。
3、V1-untrust和v1-trust
是二层区域。在透明模式下时使用。
注:screen选项:
每个区域可启用一组预定义的screen选项。检测并阻塞netscreen认定的潜在有害数据流。
二、通道区段untrust-tun
1、通道区段:是一个逻辑区段。附属于某个实际的安全区段。通道区段可包含一个或多个通道接口,并对承载的信息流提供防火墙保护,并支持对数据的封装和解封,还提供NAT服务。
2、默认情况下,通道区段在trunst-vr路由选择域。也可以把通道区段划分到trust-vr路由选择域。
3、每个虚拟系统上的每个承载区段(理解为实际区段,如trust区段)最多只能有一个通道区段。(即一个实际安全区下面只能有一个通道区段)
4、需配置的要点有:通道接口属于哪个通道区段,通道区段附属于哪个实际区段,并属于哪一个路由选择域。
注意:要修改通道区域的名称,或更改通道区段的承载区段,必须先删除该区段,再重建。但可以直接更改区段所属的虚拟路由选择域。
三、功能区段
1、NULL区段:用于临时存储没有绑定到任何其它区段的接口。
2、MGT区段:是带外管理接口MGT的宿主区段。可以在此区段上设置防火墙选项以保护管理接口。
3、HA区段:此区段是高可用性接口HA1和HA2的宿主区段。虽然可以为此区段设置接口,但此区段是不可配置的。
4、Self区段:此区段是远程管理连接接口的宿主区段。当您通过HTTP\SCS\telnet等连接netscreen设备时,就会连接到self区段。
5、vlan区段:此区段是VLAN1接口的宿主区段。可用于管理设备。设备是透明模式时,终止***信息流。
四、端口模式
可以为netscreen设备选择端口模式,端口模式自动为设备设置不同的端口、接口和区段绑定。
1、trust-untrust模式。缺省端口模式
将untrusted以太网端口绑定到untrust接口,并将接口绑定到untrust区段。
将modem端口绑定到serial接口,并作备份接口绑定到untrust区段。
将以太网端口1到4绑定到trunst接口,并将接口绑定到trust区段。
注:端口指设备的物理接口。接口是指通过cli或webui配置的逻辑接口。多个端口可以绑定到一个接口。
2、trust\untrust\Dmz端口模式
将以太网端口1和2绑定到接口ethernet1接口,并把接口绑定到trust区域
将以太网端口3和4绑定到接口ethernet2接口,并把接口绑定到dmz区域
将untrusted以太网端口绑定到untrust接口,并把接口绑定到untrust区域
将邮件服务器、web服务器等这类的服务器与内网分开,放置于dmz区域。
3、双untrust端口模式
将untrusted以太网端口绑定到ehternet3接口,绑定到untrust区域
将以太网4号端口绑定到ethernet2接口,绑定到untrust区域
将以太网1-3号端口绑定到ethernet1接口,绑定到trust区域。
即将两个接口绑定到untrust区域,一个做主接口,一个作备份,当主接口失效时,备份接口才会使用。
4、home\work端口模式
将以太网1和2号端口绑定到ethernet1接口,并把接口绑定到work区域
将以太网3和4号端口绑定到ethernet2接口,并把接口绑定到home区域
将untrusted以太网端口绑定到ehternet3接口,绑定到untrust区域
缺省情况下:work区域的信息可以流向home区域,home区域信息不可以流向work区域
home区域的信息不受限制的流向untrust区域。
5、combined模式
untrusted和以太网端口4绑定到untrust区域。其中以太网端口4作为备份端口。
以太网2、3端口绑定到home区域
以太网1端口绑定到work区域。
第3章、接口
一、接口类型
安全区段接口:
1、物理接口,即设备固有的接口。
2、子接口:在逻辑上将一个物理接口分为几个虚拟子接口。
3、聚合接口:即把多个物理接口聚合成一个聚合接口,每个接口平均承担通过整个聚合接口的数据流。
4、冗余接口:即把两个物理接口绑定成一个冗余接口。当主接口失效时,备份接口才开始接替主接口工作。这与聚合接口不同,不是同时工作。
功能区段接口:
5、HA接口:HA用于组建高可用性时用的接口。即两个防火墙组成一个冗余组,当一个主防火墙失效时,备份防火墙接替主防火墙的工作。
6、通道接口:充当×××通道入口。信息流通过通道接口进出×××通道。
二、配置安全区接口
1、将接口绑定到安全区及解除绑定
2、为接口分配Ip
3、修改接口
设置和命令:
getinterface查看接口的命令。
设置接口:
setinterfaceethernet1zonetrust//把接口绑定到区域
setinterfaceethernet1ip192.168.9.1/24//设置IP地址
setinterfaceehternet1manage-ip192.168.9.2//设置管理Ip地址。管理Ip地址要和接口地址在同一个网段。
setinterfaceethernet1managessh//设置接口的管理协议
setinterfaceethernet1managessl
setinterfaceethernet1managetelnet
setinterfaceethernet1manageweb
unsetinterfaceethernet1managessh//关闭接口的管理协议
unsetinterfaceethernet1managessl
unsetinterfaceethernet1managetelnet
unsetinterfaceethernet1manageweb
解除接口:
setinterfaceehternet1ip0.0.0.0/0//设置接口Ip地址为空,即先解除接口的ip
setinterfaceehternet1zonenull//接口区域为空
save
4、创建子接口和删除子接口
子接口注意点:
(1)子接口虽然源自物理接口,但可以将子接口绑定到任何区段,不必一定和物理接口处于一个区段内。
(2)子接口的Ip地址网段,必须与所有其他物理接口和子接口处于不同网段。
(3)子接口用vlan标记来区别。
配置命令:
setinterfaceethernet1.2zonetrust//把子接口划入区段trunst
setinterfaceethernet1.2ip192.168.10.1/24tag4//设置子接口Ip地址和VLAN标识
unsetinterfaceethernet1.2//删除子接口
5、二级ip地址(即一个接口配第二个地址)
一个接口有一个唯一的主Ip地址,还可配一个或多个二级Ip地址。
(1)二级Ip地址不能与防火墙现有子网重迭。即每个二级Ip都必须是独立网段。不能与现在任何网段冲突。
(2)不能为untrust区域中的接口配置第二ip地址。
(3)不能为二级Ip配置网关。
(4)可用二级IP管理netscreen设备,此时与主IP的管理属性相同。所以不能为二级Ip配置独立的管理配置。
6、环回接口配置
是一个逻辑接口。此接口只要设备开启即开启。
必须给环回接口配置Ip,并绑定到安全区
可以把任何接口定义为环回接口的组成员。
7、
三、接口类型
(一)nat模式
1、当是nat模式时,与普通路由器和三层交换机的作用相似。
2、当内部接口是nat模式时,从内到外的数据包,即流出外向区段untrust的ip数据包,源Ip会用untrust区段的接口的Ip替换,源端口号,会用一个随机生成的端口号替换。
3、从外到内的数据包,即从外向区段untrust到内部区段trust的数据包,会通过mip(映射ip)、vip(虚拟IP)、***通道,转换成内部的目的地址和端口号。
screenos5.0.0之后的版本,untrust区段到内部区段trust、自定义内部区段的数据包,可以直接到过内部主机(nat接口模式后的主机),不用vip\mip\***。但也可以使用mip\vip\***到达。
nat模式时,就想像成一个普通路由器。
(二)路由模式
路由模式时,在不同区段间转发信息时,不执行源NAT。即当数据包穿过防火墙时,数据包的源ip地址和端口号不变。并且每个区段内的接口都在不同网段。
可以在策略中定义需要nat转换的ip,执行相应的Ip进行nat转换。nat模式时,所有的ip都会进行nat转的换。
(三)透明模式
透明模式时,作用类似于二层交换机。
1、透明模式时的区段设置
(1)vlan区段
此区段是vlan1接口的宿主区段。用vlan1接口来管理防火墙。此Ip必须和第2层子网在同一网段。也可以为vlan接口配管理ip.
(2)预定义的第二层区段
v1-trustv1-untrustv1-dmz预定义此三个区段。
2、透明防火墙的信息流转发
(1)在第2层工作的netscreen设备,不允许区段间的任何信息流。即默认情况下,各区段间是不允许任何信息流通过的,除非配置了相应的策略。
(2)允许和拒绝策略中指定的信息流。
(3)允许arp和2层非ip广播信息流。拒绝所有非ip和非arp单点传送信息流及ipsec信息流,即拒绝非ARP单点,允许非IP广播流。
第4章定义构建块(为策略定义对象)
一、定义地址
1、定义地址条目
需要先在一个或多个地址列表中定义地址,才能设置许多netscreen防火墙、***和信息流×××功能。
(1)定义单个地址:只有一个单一的IP地址,所以子网掩码为255.255.255.255
(2)定义一个网段:带有子网掩码的定义一个网段。
不管是单个地址还是一个网段,都是一个对象,都有一个对象名。并且这个地址或网段也要划分到区域中。
2、定义地址组
(1)可以把多个地址条目加到地址组中。这样对一个地址组的策略可以影响所有组中的地址。
(2)一个地址组可以是其他地址组的成员。
(3)地址组只能包含属于同一区段的地址。
(4)地址组名不能和已有地址条目名相同。
(5)地址组被策略引用,则不能删除此地址组,只能编辑。
二、时间表
可以将时间表对象与一个或多个策略相关联以定义策略生效的时间。
三、DIP池
动态Ip池表示一个范围内的Ip地址。比如内网到外网时,nat转换可以是多对一,即一段内网的地址,都转换成一个外网地址。也可以是多对多转换,即一个网段的地址,可以转换成一个范围内的外部地址,所以外网的ip地址也可配置为一个地址范围。取地址时,是动态的在这个范围内取得。
这个动态ip地址池也可以只有一个Ip,但也要设置范围格式。如:192.168.9.1--192.168.9.1,虽然只有一个地址,但也可以设置成范围格式,成了一个DIP。
四、服务
在策略中使用服务,定义对象拥有的服务功能。
1、预定义服务
防火墙预先设置好的一些服务条目。可以直接引用。
2、自定义服务
自行定义的服务,以灵活的应用到策略。
3、icmp服务
4、服务组
即把多个服务加入一个组中,对策略生效时,是一整个组的服务都生效。
第5章:策略
一、策略的基本元素
1、两个安全区间信息流的方向
2、源地址
3、目标地址
4、服务类型,即信息流传输的类型
5、动作,有允许、拒绝或tunnel
二、策略的三种类型
1、区段内部策略之-----从一个安全区到另一个安全区的策略。可以理解为区段间策略。
2、区段内部策略之-----在同一个安全区的接口间的策略。即一个区段内的不同接口之间信息流传递的策略。源地址和目的地址在同一区段内,但属于同区段的不同接口。
3、全局策略:可以管理地址间的信息流,但不必考虑他们所属的安全区。全局策略不引用特定的源和目的区段。全局策略引和用户定义的global区段地址或预定义的global区段地址“any”。这些地址可以跨多个安全区段。
三、策略组列表
三种不同的策略组列表:
区段间策略列表:源区段和目的区段不同,则查找区段间策略列表。
区段内策略列表:源区段和目的区段相同,则查找区段内部策略列表。
全局策略列表:如果防火墙进行区段间策略列表和区段内策略列表查找,都没有找到匹配的项,则查找全局策略列表。
注:如果区段间策略列表、区段内策略列表、全局策略列表都没有找到匹配项,则防火墙会将缺省的策略应用到数据包。或将区段内部阻塞设置应用到数据包。
设备从上到下搜索每个策略组列表。因此注意顺序。一般将特殊的策略置于不太特殊的策略上面。
四、策略
策略能允许、拒绝、加密和解密、认证、排定优先次序、调度、过滤以及监控从一个区段到另一个区段的数据包。可以决定哪些用户和数据可以进出,以及进出的时间和地点。
1、策略和规则
一个策略可以生成一个或多个逻辑规则,每个规则都由一组组件(源地址、目的地址和服务)组成。组件占用内存资源。引用组件的逻辑规则不占用内存。
如1个策略:5个源地址*5个目标地址*5个服务=125条规则。
以上125条规刚的逻辑组件:只产生5个源地址+5个目标地址+5个服务=15个组件。
2、策略的结构
策略必须包含的元素:
ID:自动生成
区段:源区段和目的区段
地址:(源地址和目的地址)
服务
动作:(permit\deny\tunnel)
策略也可以包含下列元素:
应用
名称
×××通道确定
L2TP
深层检测
策略列表顶部位置
源地址转换
目的地址转换
用户认证
HA会话备份
URL过滤
记录
计数
信息流报警临界值
时间表
防病毒扫描
信息流整型
第6章地址转换
一、地址转换概述
1、源地址转换:即nat转换,可以转换源网络地址,还可以转换源网络地址+端口号。
2、目的地址转换:可用策略转换、映射ip地址、虚拟IP地址。映射地址转换是一对一的,是双向的,即一个外部IP对应一个内部IP。虚拟IP是,一对多的。一个外部IP加上端口号,对应内部IP加上端口号。这样一个外部IP,可以对应很多内部IP应用。
不支持同时将基于策略的NAT-dst与MIP和VIP配合使用。如果MIP、VIP和NAT-DST混合使用同于同一数据包,将以MIP和VIP的为准。不应用策略上的NAT-DST。
二、源地址转换(nat-src)
1、多对一:即多个内部IP转换成一个外部IP。(
2、多对多:即多个内部IP转换成多个外部IP中的一个。即多个外部IP组成一个地址池(dip),内部地址转换成外部IP时,从DIP中随机抽取一个外部IP。
DIP地址池,最小可以只有一个IP地址。但是当启用PAT(端口地址转换:ip地址+端口的方式)时,单个地址的DIP地址池可以转换最多达64500台主机。会根据地址+端口识别是哪个内部地址主机的请求。
DIPnat-src时,
可启用端口转换:即转换为外部地址池+随机端口号。
不启用端口转换:源端口号和转换后的外部地址池中任一地址端口号相同,即不启用端口转换。
带地址变换的地址池转换:即源地址一直对应地址池中的一个外部IP地址,而不是地址池中的随机IP地址。
要将DIP地址池中的相同IP分配给主机的多个同时会话,即一个地址永远分配置这个主机,则需要启用DIP地址附着功能。命令模式下:setdipsticky
3、策略源地址转换:只在策略上定义了源地址转换,而没有定义地址池时,将把源地址转换为目的区段的出接口地址(外部接口地址)
注意:需要将源地址端口保持固定的应用程序,需要禁用PAT,且将DIP地址池设置到足够大,确保每台内部地址都能分到一个不同的外部地址。
要将DIP地址池中的相同IP分配给主机的多个同时会话,即一个地址永远分配置这个主机,则需要启用DIP地址附着功能。命令模式下:setdipsticky
三、目的地址转换(外部取内部地址转换)
3、策略源地址转换:只在策略上定义了源地址转换,而没有定义地址池时,将把源地址转换为目的区段的出接口地址(外部接口地址)
注意:需要将源地址端口保持固定的应用程序,需要禁用PAT,且将DIP地址池设置到足够大,确保每台内部地址都能分到一个不同的外部地址。
要将DIP地址池中的相同IP分配给主机的多个同时会话,即一个地址永远分配置这个主机,则需要启用DIP地址附着功能。命令模式下:setdipsticky
三、目的地址转换(外部取内部地址转换)
juniper的外部到内部的转换过程:
先将防火墙上的外部IP地址作为一个初始目的地址
再将初始目的地址(防火墙的外部IP地址)转换为最终目标地址(即内网的真实IP地址)。
基本策略的nat-des和VIP可以使用端口号。mip不能使用。
(一)基于策略的NAT-des
可将一个目的IP地址转换成另一个IP地址,即外部到内部的一对一映射。支持端口映射。
将一个目的IP地址范围转换成一个IP地址,即多对一的映射。支持端口映射。
将一个目的IP地址范围转换成另一个IP地址范围,即外到内的多对多。不支持端口映射。
NAT-DES中可使用端口进行端口转换
但此时一定需要有指向最终目的地址的路由。
防火墙使用初始目的地址执行路由查找,来确定出口接口。然后根据出接口确定接口所在的区段,再在出接口区段中查找策略。策略中定义了从初始地址到最终地址的映射。当找到合适的策略后,防火墙再进行第二次路由查找,确定最终目的地址从哪个接口可以到达。
例如:
(一)基于策略的NAT-des
可将一个目的IP地址转换成另一个IP地址,即外部到内部的一对一映射。支持端口映射。
将一个目的IP地址范围转换成一个IP地址,即多对一的映射。支持端口映射。
将一个目的IP地址范围转换成另一个IP地址范围,即外到内的多对多。不支持端口映射。
NAT-DES中可使用端口进行端口转换
但此时一定需要有指向最终目的地址的路由。
防火墙使用初始目的地址执行路由查找,来确定出口接口。然后根据出接口确定接口所在的区段,再在出接口区段中查找策略。策略中定义了从初始地址到最终地址的映射。当找到合适的策略后,防火墙再进行第二次路由查找,确定最终目的地址从哪个接口可以到达。
例如:
把一个外部IP地址218.107.238.249映射为一个内部IP地址192.168.9.1。
先查找MIP和VIP条目,如果有外部地址218.107.238.249到192.168.9.1的MIP或VIP映射,则根据VIP或MIP中的目标IP地址查找路由,有路由的话,再查找untrust区到global区域(MIP和VIP条目属于全局区域)的策略,如允许,则把转发数据包。如果没有MIP或VIP条目才会执行以下的NAT-DST查找:
在路由中必须有一条到达192.168.9.1目标IP地址的路由。如果有路由,根据这条路由查找出接口,再根据出接口确定所属区段(目的IP所属区段)。再查找外部区段到目标所属区段的策略,如果有允许通过的策略,则数据通过策略,到达最终目标地址(192.168.9.1)。
untrust地址--->最终地址。
配置过程:
先建立外部接口的ip地址和所属区段。
再给连接内部目标IP地址的接口分配IP和分配区段。
配置到目标地址段的路由
配置策略,从外部IP地址所属区段到目的地址所属区段的策略(一般是untrust到trust或dmz区的策略)。并应用服务、刚定义的初始地址和动作。并在高级配置选项目定义到最终目标地址的转换。
(二)映射IP(MIP)
是一个IP地址到另一个IP地址的直接一对一映射。
1、MIP和Global区段
无论哪个区段接口的MIP,都会在global区段中生成该MIP条目。global区段存储所有MIP地址,不管是哪个区段的接口。
在策略上引用MIP时,既可以使用GLOBAL区段,也可以使用MIP指向的目标区段。(以地址形式表示)
可以将这些MIP地址作两个区段策略的目标地址,还可以在定义全局策略时作为目标地址。
2、基本配置方法
(1)定义各实际接口的地址及接口所属区段
(2)接口设置栏,定义MIP地址及所属虚拟路由,并定义MIP地址到内部地址的映射。(实际映射在此处已经定义)
(3)定义映射策略,即从MIP地址到目的地址的映射策略。一般从untrust区段到trust区段的策略。此时的目标地址选择MIP地址。还要定义服务和动作。
注意:如果MIP地址不是实际入接口的实际地址时,此地址一定要与入接口的实际地址在一个网段。
如定义一个外部到内部的映射时,(untrust到trunst区段的映射),如果不用untrust区段的实际接口地址作为MIP地址时,此MIP地址则必须与untrust区段的物理接口地址处于同一网段。
配置:(从配置MIP的接口到达到达MIP)
1、接口:
network->interfaces->interface1->edit
zonename:trust
staticip:设置IP地址
interfacemode:nat
network->interfaces->interface2->edit(外部IP地址所在接口)
zonename:untrust
staticip:设置IP地址
interfacemode:router
2、MIP
network->interfaces->interface2->edit->mip->new
mappedip:外部IP地址
hostip:要映射到内部的IP地址
3、路由
如果用untrust接口直接作为外部映射IP地址,就需要加一条到内部IP地址的路由
4、策略
policies->(from:untrust,to:trust)new:
sourceaddress:any
destinationaddress:mip(上面设定的MIP)
service:http(允许映射的服务)
action:permit
3、从不同区段到达MIP的配置方法
(1)设置各接口的地址和所属区段
(2)在地址设置栏设置MIP地址
(3)接口设置栏,定义MIP地址及所属虚拟路由,并定义MIP地址到内部地址的映射。
(4)定义策略。不属于MIP所在区域的,定义到MIP的策略。还需要在此区域定义一条到达MIP地址的路由。
(5)定义策略。定义MIP到内部地址的策略。即从MIP地址到目的地址的映射策略。一般从untrust区段到trust区段的策略。此时的目标地址选择MIP地址,而不是上面在地址设置栏设置的地址。还要定义服务和动作。
(三)虚拟IP(VIP)
就是动态映射。带端口的。一个外部地址可以映射很多个内部地址。通过地址+端口加以区别。
论哪个区段接口的VIP,都会在global区段中生成该VIP条目。global区段存储所有MIP地址,不管是哪个区段的接口。
在策略上引用VIP时,既可以使用GLOBAL区段,也可以使用MIP指向的目标区段。(以地址形式表示)
可以将这些VIP地址作两个区段策略的目标地址,还可以在定义全局策略时作为目标地址。
(1)设置各接口的地址和所属区段
(2)在接口设置栏设置VIP地址
(3)在刚设置的VIP地址上设置VIP地址的服务,即映射,带端口的映射。
(4)定义策略,从VIP所属区到最终目的地址所在区的策略。
1、接口:
network->interfaces->interface1->edit
zonename:trust
staticip:设置IP地址
interfacemode:nat
network->interfaces->interface2->edit(外部IP地址所在接口)
zonename:untrust
staticip:设置IP地址
interfacemode:router
2、VIP
network->interfaces->interface2->edit->Vip->new
virtualip:外部IP地址
virtualport:端口号
maptoservice:要映射的服务
maptoip:要映射到内部的IP地址
3、路由
如果用untrust接口直接作为外部映射IP地址,就需要加一条到内部IP地址的路由
4、策略
policies->(from:untrust,to:trust)new:
sourceaddress:any
destinationaddress:vip(上面设定的vIP)
service:http(允许映射的服务)
action:permit
转载于:https://blog.51cto.com/kuangkuang/448446
366
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
