Juniper網(wǎng)絡(luò)防火墻配置手冊 圖文 全

1、 Juniper 防火墻配置手冊2007-11目錄目錄 (2第一章:Juniper 防火墻基本原理 (4一,安全區(qū)段: (4二,安全區(qū)段接口 (5三,創(chuàng)建二級IP 地址 (12四,接口狀態(tài)更改 (13五,接口透明模式 (15六,接口NAT 模式 (20七,接口路由模式 (25八,地址組 (30九,服務(wù) (32十,動態(tài)IP 池 (32十一,策略 (43十二,系統(tǒng)參數(shù) (641,域名系統(tǒng)支持 (642,DNS 查找 (643,動態(tài)主機配置協(xié)議 (704,以太網(wǎng)點對點協(xié)議 (825,現(xiàn)有設(shè)備或新設(shè)備添加防病毒、Web 過濾、反垃圾郵件和深入檢查 (876,系統(tǒng)時鐘 (87第二章:Juniper 防火

2、墻管理 (91一,通過Web 用戶界面進行管理 (91二,通過命令行界面進行管理 (95三,通過NetScreen-Security Manager 進行管理 (96四,設(shè)置管理接口選項 (100五,管理的級別 (103六,日志信息 (110第三章:Juniper 防火墻路由 (1381,靜態(tài)路由 (1382,OSPF (144第四章:Juniper 防火墻NAT (150一,基于策略的轉(zhuǎn)換選項 (150二,NAT-Dst一對一映射 (161三, NAT-Dst一對多映射 (163四,NAT-Dst多對一映射 (166五,NAT-Dst多對多映射 (168六,帶有端口映射的NAT-Dst (1

3、70七,同一策略中的NA T-Src 和NA T-Dst (173八,Untrust 區(qū)段上的MIP (183九,虛擬IP 地址 (190第五章:Juniper 防火墻VPN (197一,站點到站點的虛擬專用網(wǎng) (1971,站點到站點VPN 配置 (1972,基于路由的站點到站點VPN,自動密鑰IKE (2023,基于路由的站點到站點VPN,動態(tài)對等方 (2094,基于策略的站點到站點VPN,動態(tài)對等方 (2175,基于路由的站點到站點VPN,手動密鑰 (2246,基于策略的站點到站點VPN,手動密鑰 (230二,撥號虛擬專用網(wǎng) (2351,基于策略的撥號VPN,自動密鑰IKE (2352,基

4、于路由的撥號VPN,動態(tài)對等方 (240基于策略的撥號VPN,動態(tài)對等方 (246用于撥號VPN 用戶的雙向策略 (251第六章:Juniper 防火墻攻擊檢測與防御 (256一,Juniper中低端防火墻的UTM功能配置 (2561,Profile的設(shè)置 (2572,防病毒profile在安全策略中的引用 (259二,防垃圾郵件功能的設(shè)置 (2611,Action 設(shè)置 (2622,White List與Black List的設(shè)置 (2623,防垃圾郵件功能的引用 (264三,WEB/URL過濾功能的設(shè)置 (2641轉(zhuǎn)發(fā)URL過濾請求到外置URL過濾服務(wù)器 (2642,使用內(nèi)置的URL過濾引

5、擎進行URL過濾 (2663,手動添加過濾項 (267四,深層檢測功能的設(shè)置 (2691,設(shè)置DI攻擊特征庫自動更新 (2702,深層檢測(DI的引用 (271第一章:Juniper 防火墻基本原理一,安全區(qū)段:概念:安全區(qū)段是由一個或多個網(wǎng)段組成的集合,需要通過策略來對入站和出站信息流進行調(diào)整。安全區(qū)段是綁定了一個或多個接口的邏輯實體。通過多種類型的 Juniper Networks 安全設(shè)備,您可以定義多個安全區(qū)段,確切數(shù)目可根據(jù)網(wǎng)絡(luò)需要來確定。除用戶定義的區(qū)段外,您還可以使用預(yù)定義的區(qū)段:Trust、Untrust 和 DMZ (用于第3 層操作,或者 V1-Trust、V1-Untru

6、st 和 V1-DMZ ( 用于第2 層操作。如果愿意,可以繼續(xù)使用這些預(yù)定義區(qū)段。也可以忽略預(yù)定義區(qū)段而只使用用戶定義的區(qū)段。另外,您還可以同時使用這兩種區(qū)段- 預(yù)定義和用戶定義。利用區(qū)段配置的這種靈活性,您可以創(chuàng)建能夠最好地滿足您的具體需要的網(wǎng)絡(luò)設(shè)計。 功能區(qū)段共有五個功能區(qū)段,分別是Null、MGT、HA、Self 和VLA N。每個區(qū)段的存在都有其專門的目的,如以下小節(jié)所述。Null 區(qū)段此區(qū)段用于臨時存儲沒有綁定到任何其它區(qū)段的接口。MGT 區(qū)段此區(qū)段是帶外管理接口MGT 的宿主區(qū)段。可以在此區(qū)段上設(shè)置防火墻選項以保護管理接口,使其免受不同類型的攻擊。HA 區(qū)段此區(qū)段是高可用性接口H

7、A1 和HA2 的宿主區(qū)段。盡管可以為HA區(qū)段設(shè)置接口,但是此區(qū)段本身是不可配置的。Self 區(qū)段此區(qū)段是遠程管理連接接口的宿主區(qū)段。當您通過HTTP、SCS 或Telnet 連接到安全設(shè)備時,就會連接到Self 區(qū)段。VLAN 區(qū)段此區(qū)段是VLA N1 接口的宿主區(qū)段,可用于管理設(shè)備,并在設(shè)備處于“透明”模式時終止VPN 信息流,也可在此區(qū)段上設(shè)置防火墻選項以保護VLA N1 接口,使其免受各種攻擊。設(shè)置端口模式通過WebUI 或CLI 更改安全設(shè)備上的端口模式設(shè)置。設(shè)置端口模式之前,請注意以下方面:更改端口模式會刪除設(shè)備上任何現(xiàn)有的配置,并要求系統(tǒng)重置。發(fā)布unset all CLI 命令

8、不影響設(shè)備上的端口模式設(shè)置。例如,如果要將端口模式設(shè)置從Combined 模式更改回缺省Trust-Untrust 模式,發(fā)布unset all 命令會刪除現(xiàn)有配置,但不會將設(shè)備設(shè)置為Trust-Untrust 模式。二,安全區(qū)段接口物理接口和子接口的目的是提供一個開口,網(wǎng)絡(luò)信息流可通過它在區(qū)段之間流動。物理接口安全設(shè)備上的每個端口表示一個物理接口,且該接口的名稱是預(yù)先定義的。物理接口的名稱由媒體類型、插槽號( 對于某些設(shè)備 及端口號組成,例如,ethernet3/2或ethernet2。可將物理接口綁定到充當入口的任何安全區(qū)段,信息流通過該入口進出區(qū)段。沒有接口,信息流就無法進入或退出區(qū)段。

9、在支持對“接口至區(qū)段綁定”進行修改的安全設(shè)備上,三個物理以太網(wǎng)接口被預(yù)先綁定到各特定第2 層安全區(qū)段- V1-Trust、V1-Untrust 和V1-DMZ。哪個接口綁定到哪個區(qū)段根據(jù)每個平臺而定。子接口子接口,與物理接口相似,充當信息流進出安全區(qū)段的開口。邏輯上,可將物理接口分成幾個虛擬子接口。每個虛擬子接口都從自己來源的物理接口借用所需的帶寬,因此其名稱是物理接口名稱的擴展,例如,ethernet3/2.1 或ethernet2.1?？梢詫⒆咏涌诮壎ǖ饺魏螀^(qū)段。還可將子接口綁定到其物理接口的相同區(qū)段,或?qū)⑵浣壎ǖ讲煌瑓^(qū)段。通道接口通道接口充當VPN 通道的入口。信息流通過通道接口進出VP

10、N 通道。將通道接口綁定到VPN 通道時,即可在到達特定目標的路由中引用該通道接口,然后在一個或多個策略中引用該目標。利用這種方法,可以精確控制通過該通道的信息流的流量。它還提供VPN 信息流的動態(tài)路由支持。如果沒有通道接口綁定到VPN 通道,則必須在策略中指定通道并選擇tunnel 作為操作。因為操作tunnel意味著允許,所以不能明確拒絕來自VPN 通道的信息流?？墒褂迷谕ǖ澜涌诘南嗤泳W(wǎng)中的動態(tài)IP (DIP 地址池對外向或內(nèi)向信息流上執(zhí)行基于策略的NAT。對通道接口使用基于策略的NAT 的主要原因是為了避免IP 地址在VPN 通道端兩個站點間發(fā)生沖突。必須將基于路由的VPN 通道綁定到

11、通道接口,以便安全設(shè)備可以路由信息流出和流入設(shè)備?？蓪⒒诼酚傻腣PN 通道綁定到一個有編號( 具有IP 地址/ 網(wǎng)絡(luò)掩碼或沒有編號( 沒有IP地址/ 網(wǎng)絡(luò)掩碼 的通道接口。如果通道接口沒有編號,則必須指定它借用IP 地址的接口。安全設(shè)備自行啟動通過通道的信息流- 如OSPF 消息時,安全設(shè)備僅使用借用的IP 地址作為源地址。通道接口可以從相同或不同安全區(qū)段的接口借用IP 地址,只要這兩個區(qū)段位于同一個路由選擇域中?？梢詫PN 信息流路由進行非常安全的控制,方法是將所有沒有編號的通道接口綁定到一個區(qū)段( 該區(qū)段位于其自身的虛擬路由選擇域中,并且從綁定到同一區(qū)段的回傳接口借用IP 地址。例如,

12、可以將所有沒有編號的通道接口綁定到一個名為“VPN”的用戶定義的區(qū)段,并且對這些接口進行配置,以便從loopback.1 接口借用IP 地址,也可綁定到VPN 區(qū)段。VPN 區(qū)段位于名為“vpn-vr”的用戶定義的路由選擇域中。將通道通向的所有目標地址放置在VPN 區(qū)段中。對這些地址的路由指向通道接口,策略則控制其他區(qū)段和VPN 區(qū)段之間的VPN 信息流。 將所有通道接口放置在這樣的區(qū)段中非常安全,因為VPN 不會由于出現(xiàn)故障( 這樣會使通往相關(guān)通道接口的路由變成非活動狀態(tài) 而重新定向原本讓通道使用非通道路由( 如缺省路由 的信息流。還可將一個通道接口綁定到Tunnel 區(qū)段。這時,必須有一個

13、IP 地址。將通道接口綁定到Tunnel 區(qū)段的目的是讓基于策略的VPN 通道能夠使用NAT 服務(wù)。通道接口到區(qū)段的綁定 從概念上講,可將VPN 通道當作鋪設(shè)的管道。它們從本地設(shè)備延伸到遠程網(wǎng)關(guān),而通道接口就是這些管道的開口。管道始終存在,只要路由引擎將流量引導(dǎo)到接口之一就可隨時使用。通常,如果希望接口支持源地址轉(zhuǎn)換(NAT-src 的一個或多個動態(tài)IP (DIP 池和目標地址轉(zhuǎn)換(NAT-dst 的映射IP (MIP 地址,請為該通道接口分配一個IP 地址?？梢栽诎踩珔^(qū)段或通道區(qū)段創(chuàng)建具有IP 地址和網(wǎng)絡(luò)掩碼的通道接口。如果通道接口不需要支持地址轉(zhuǎn)換,并且配置不要求將通道接口綁定到一個Tun

14、nel 區(qū)段,則可以將該接口指定為無編號。必須將一個沒有編號的通道接口綁定到安全區(qū)段;同時不能將其綁定到Tunnel 區(qū)段。還必須指定一個具有IP 地址的接口,該接口位于與綁定沒有編號接口的安全區(qū)段相同的虛擬路由選擇域中。無編號的通道接口借用該接口的IP 地址。如果正在通過VPN 通道傳送組播數(shù)據(jù)包,可以在通道接口上啟用“通用路由封裝”(GRE 以在單播數(shù)據(jù)包中封裝組播數(shù)據(jù)包。Juniper Networks 安全設(shè)備支持可在IPv4 單播數(shù)據(jù)包中封裝IP 數(shù)據(jù)包的GREv1。刪除通道接口不能立即刪除擁有映射IP 地址(MIP 或“動態(tài)IP (DIP”地址池的通道接口。刪除擁有這些特征的通道接

15、口前,必須首先刪除引用它們的所有策略。然后必須刪除通道接口上的MIP 和DIP 池。如果基于路由的VPN 配置引用一個通道接口,則必須首先刪除VPN 配置,然后刪除通道接口。在本范例中,通道接口tunnel.2 被鏈接到DIP 池8。通過名為vpn1 的VPN 通道,從Trust 區(qū)段到Untrust 區(qū)段的VPN 信息流的策略(ID 10 引用DIP 池8。要刪除該通道接口,必須首先刪除該策略( 或從該策略中刪除引用的DIP 池8,然后刪除DIP 池。然后,必須解除tunnel.2 到vpn 1 的綁定。刪除依賴通道接口的所有配置后,即可刪除該通道接口。WebUI1. 刪除引用DIP 池8

16、的策略10Policies (From: Trust, To: Untrust: 單擊策略ID 10 的Remove。2. 刪除鏈接到tunnel.2 的DIP 池8Network > Interfaces > Edit ( 對于tunnel.2 > DIP: 單擊DIP ID 8 的Remove。3. 解除來自vpn1 的tunnel.2 綁定VPNs > AutoKey IKE > Edit ( 對于vpn1 > Advanced: 在Bind to: TunnelInterface 下拉列表中選擇None,單擊Return,然后單擊OK。4. 刪除tu

17、nnel.2Network > Interfaces: 單擊tunnel.2 的Remove。CLI1. 刪除引用DIP 池8 的策略10unset policy 102. 刪除鏈接到tunnel.2 的DIP 池8unset interface tunnel.2 dip 83. 解除來自vpn1 的tunnel.2 綁定unset vpn vpn1 bind interface4. 刪除tunnel.2unset interface tunnel.2save查看接口可查看列出安全設(shè)備上所有接口的表。因為物理接口是預(yù)定義的,所以不管是否配置,它們都會列出。而對于子接口和通道接口來說,只有

18、在創(chuàng)建和配置后才列出。要在WebUI 中查看接口表,請單擊Network > Interfaces?？芍付ń涌陬愋蛷腖ist Interfaces 下拉菜單顯示。要在CLI 中查看接口表,請使用get interface 命令。接口表顯示每個接口的下列信息:Name: 此字段確定接口的名稱。IP/Netmask: 此字段確定接口的IP 地址和網(wǎng)絡(luò)掩碼地址。Zone: 此字段確定將接口綁定到的區(qū)段。Type: 此字段指出接口類型: Layer 2 (第 2 層、Layer 3 (第3 層、tunnel (通道、redundant ( 冗余、aggregate ( 聚合、VSI。Link:

19、此字段確定接口是否為活動(up 或非活動(down。Configure: 此字段允許修改或移除接口。 將接口綁定到安全區(qū)段可將任何物理接口綁定到L2 ( 第 2 層 或L3 ( 第 3 層 安全區(qū)段。由于子接口需要IP 地址,因此僅可將子接口綁定到L3 ( 第 3 層 安全區(qū)段。將接口綁定到L3 安全區(qū)段后,才能將IP 地址指定給接口。在本例中,將ethernet5 綁定到Trust 區(qū)段。WebUINetwork > Interfaces > Edit ( 對于ethernet5: 從Zone Name 下拉列表中選擇Trust,然后單擊OK。CLIset interface e

20、thernet5 zone trustsave從安全區(qū)段解除接口綁定如果接口未編號,那么可解除其到一個安全區(qū)段的綁定,然后綁定到另一個安全區(qū)段。如果接口已編號,則必須首先將其IP 地址和網(wǎng)絡(luò)掩碼設(shè)置為。然后,可解除其到一個安全區(qū)段的綁定,然后綁定到另一個安全區(qū)段,并( 可選 給它分配IP 地址/ 網(wǎng)絡(luò)掩碼。在本例中,ethernet3 的IP 地址為/24 并且被綁定到Untrust 區(qū)段。將其IP 地址和網(wǎng)絡(luò)掩碼設(shè)置為/0 并將其綁定到Null 區(qū)段。WebUINetwork > Interfaces > Edit ( 對于ether

21、net3: 輸入以下內(nèi)容,然后單擊OK:Zone Name: NullIP Address/Netmask: /0CLIset interface ethernet3 ip /0set interface ethernet3 zone nullsave編址接口在本例中,將給ethernet5 分配IP 地址/24,“管理IP”地址。( 請注意,“管理IP”地址必須在與安全區(qū)段接口IP 地址相同的子網(wǎng)中。最后,將接口模式設(shè)置為NAT,將所有內(nèi)部IP 地址轉(zhuǎn)換至綁定到其它安全區(qū)段的缺省接口。WebUINetwork > Inte

22、rfaces > Edit ( 對于ethernet5: 輸入以下內(nèi)容,然后單擊OK:IP Address/Netmask: /24Manage IP: CLIset interface ethernet5 ip /24set interface ethernet5 manage-ip save修改接口設(shè)置配置物理接口、子接口、冗余接口、聚合接口或“虛擬安全接口”(VSI 后,需要時可更改下列任何設(shè)置:IP 地址和網(wǎng)絡(luò)掩碼。管理IP 地址。( 第 3 層區(qū)段接口 管理和網(wǎng)絡(luò)服務(wù)。( 子接口 子接口ID 號和VLA N

23、 標記號。(trust-vr 中綁定到L3 ( 第3 層 安全區(qū)段的接口 接口模式- NAT 或“路由”。( 物理接口 信息流帶寬設(shè)置( 請參閱第181 頁上的“信息流整形”。( 物理、冗余和聚合接口 最大傳輸單位(MTU 大小。( 第 3 層接口 阻止進出相同接口的信息流,包括主子網(wǎng)和輔助子網(wǎng)之間或兩個輔助子網(wǎng)之間的信息流( 通過含有route-deny 選項的CLI set interface 命令來完成。對于某些安全設(shè)備上的物理接口,可以強迫物理鏈接狀態(tài)處于不在工作中或工作中狀態(tài)。如果強迫物理鏈接狀態(tài)處于不在工作中狀態(tài),則可模擬電纜與接口端口的斷開。( 通過含有phylink-down

24、選項的CLI set interface 命令來完成。在本例中,對ethernet1 進行一些修改,它是一個綁定到Trust 區(qū)段的接口。將“管理IP”地址從 更改為2。為了確保管理信息流的絕對安全,還更改了管理服務(wù)選項,啟用SCS 和SSL 并禁用Telnet 和WebUI。WebUINetwork > Interfaces > Edit ( 對于ethernet1: 進行以下修改,然后單擊OK:Manage IP: 2Management Services: ( 選擇 SSH, SSL; ( 清除 Telnet, WebUICLI

25、set interface ethernet1 manage-ip 2set interface ethernet1 manage sshset interface ethernet1 manage sslunset interface ethernet1 manage telnetunset interface ethernet1 manage websave在根系統(tǒng)中創(chuàng)建子接口可在根系統(tǒng)或虛擬系統(tǒng)中的任何物理接口上創(chuàng)建子接口。子接口使用VLA N 標記區(qū)別綁定到該子接口的信息流與綁定到其它接口的信息流。請注意雖然子接口源自物理接口,并借用其需要的帶寬,但是可將子接口綁定到任

26、何區(qū)段,不必綁定到其“父級”接口綁定到的區(qū)段。此外,子接口的IP 地址必須在不同于所有其它物理接口和子接口的IP 地址的子網(wǎng)中。在本例中,將在根系統(tǒng)中為Trust 區(qū)段創(chuàng)建子接口。配置綁定到Trust 區(qū)段的ethernet1 的子接口,將子接口綁定到用戶定義的區(qū)段,名為“accounting”( 在trust-vr 中。為其分配子接口ID 3、IP 地址/24 和VLA N 標記ID 3。接口模式為NAT。WebUINetwork > Interfaces > New Sub-IF: 輸入以下內(nèi)容,然后單擊OK:Interface Name: ethernet1.

27、3Zone Name: accountingIP Address/Netmask: /24VLAN Tag: 3CLIset interface ethernet1.3 zone accountingset interface ethernet1.3 ip /24 tag 3save刪除子接口不能立即刪除映射IP 地址(MIP、虛擬IP 地址(VIP 或“動態(tài)IP”(DIP 地址池的宿主子接口。刪除任何這些地址的宿主子接口前,必須首先刪除所有引用它們的策略或IKE 網(wǎng)關(guān)。然后必須刪除子接口上的MIP、VIP 和DIP 池。在本例中,將刪除子接口ethernet1

28、:1。WebUINetwork > Interfaces: 單擊Remove ( 對于ethernet1:1。會出現(xiàn)一條系統(tǒng)消息,提示您確認移除。單擊Yes 刪除子接口。CLIunset interface ethernet1:1save三,創(chuàng)建二級IP 地址每個ScreenOS 接口都有一個唯一的主IP 地址,但是,某些情況要求一個接口有多個IP 地址。例如,機構(gòu)可能分配額外的IP 地址,但不希望添加路由器來適應(yīng)其需要。此外,機構(gòu)擁有的網(wǎng)絡(luò)設(shè)備可能比其子網(wǎng)所能處理的要多,如有多于254臺的主機連接到LAN。要解決這樣的問題,可將二級IP 地址添加到Trust、DMZ或用戶定義區(qū)段中的接

29、口。二級地址具有某些屬性,這些屬性會影響如何實施此類地址。這些屬性如下:任何兩個二級IP 地址之間不能有子網(wǎng)地址重迭。此外,安全設(shè)備上二級IP 和任何現(xiàn)有子網(wǎng)間不能有子網(wǎng)地址重迭。通過二級IP 地址管理安全設(shè)備時,該地址總是具有與主IP 地址相同的管理屬性。因此,不能為二級IP 地址指定獨立的管理配置。不能為二級IP 地址配置網(wǎng)關(guān)。創(chuàng)建新的二級IP 地址時,安全設(shè)備會自動創(chuàng)建相應(yīng)的路由選擇表條目。刪除二級IP 地址時,設(shè)備會自動刪除其路由選擇表條目。啟用或禁用兩個二級IP 地址之間的路由選擇不會使路由選擇表發(fā)生改變。例如,如果禁用兩個此類地址之間的路由選擇,安全設(shè)備會丟棄從一個接口到另一個接口

30、的任何封包,但是路由選擇表沒有改變。在本例中,為ethernet1 設(shè)置一個二級IP 地址- /24,接口ethernet1的IP 地址為/24 并且綁定到Trust 區(qū)段。WebUINetwork > Interfaces > Edit ( 對于ethernet1 > Secondary IP: 輸入以下內(nèi)容,然后單擊Add:IP Address/Netmask: /24CLIset interface ethernet1 ip /24 secondarysave四,接口狀態(tài)更改接口可以處于以

31、下幾種狀態(tài):物理連接狀態(tài)- 適用于在“開放式系統(tǒng)互連”(OSI 模式下運行在第2 層( 透明模式 或第3 層( 路由模式 的物理以太網(wǎng)接口。當用電纜將接口連接到另一臺網(wǎng)絡(luò)設(shè)備且可建立一個到該設(shè)備的鏈接時,該接口即處于物理連接狀態(tài)。邏輯連接狀態(tài)- 適用于物理接口和邏輯接口( 子接口、冗余接口和聚合接口。當通過接口的信息流能夠到達網(wǎng)絡(luò)上的指定設(shè)備( 在被跟蹤的IP 地址處 時,該接口處于邏輯連接狀態(tài)。物理中斷狀態(tài)- 當未使用電纜將接口連接到另一臺網(wǎng)絡(luò)設(shè)備或者雖然使用電纜將其連接到了另一臺網(wǎng)絡(luò)設(shè)備但卻不能建立鏈接時,該接口處于物理中斷狀態(tài)。也可以使用以下CLI 命令迫使接口處于物理中斷狀態(tài): set

32、 interface interface phy link-down。邏輯中斷狀態(tài)- 當通過接口的信息流不能到達網(wǎng)絡(luò)上的指定設(shè)備( 在被跟蹤的IP 地址處 時,該接口處于邏輯中斷狀態(tài)。接口的物理狀態(tài)優(yōu)先于其邏輯狀態(tài)。接口可以處于物理連接狀態(tài),也可以處于邏輯連接或邏輯中斷狀態(tài)。如果接口處于物理中斷狀態(tài),則其邏輯狀態(tài)如何將無關(guān)緊要。當接口處于連接狀態(tài)時,所有使用該接口的路由將保持活動和可用狀態(tài)。當接口處于中斷狀態(tài)時,安全設(shè)備將中斷使用該接口的所有路由- 雖然信息流仍可能流經(jīng)處于中斷狀態(tài)的接口,這要因該接口是處于物理中斷狀態(tài)還是邏輯中斷狀態(tài)而定( 請參閱第68 頁上的“中斷接口和信息”。要補償因丟失

33、接口而引起的路由丟失,可以使用備用接口來配置備用路由。依據(jù)對觀察到的接口狀態(tài)更改所導(dǎo)致動作的設(shè)置情況,被監(jiān)控接口的狀態(tài)更改( 由連接狀態(tài)變?yōu)橹袛酄顟B(tài) 可能會導(dǎo)致監(jiān)控接口的狀態(tài)發(fā)生更改( 由中斷狀態(tài)變?yōu)檫B接狀態(tài)。要配置這種行為,可以使用以下CLI 命令:set interface interface monitor threshold number action up logically | physically 輸入上面的命令后,安全設(shè)備將自動迫使監(jiān)控接口處于中斷狀態(tài)。如果被監(jiān)控對象( 被跟蹤的IP 地址、接口、區(qū)段 失敗,則監(jiān)控接口的狀態(tài)將變?yōu)檫B接狀態(tài)- 可能為邏輯連接狀態(tài),也可能是物理連接

34、狀態(tài),這取決于您的具體配置。接口可以監(jiān)控對象的以下一個或多個事件。請參閱第57 頁上的圖33。這些事件中的每個事件或其組合均可導(dǎo)致監(jiān)控接口由連接狀態(tài)變?yōu)橹袛酄顟B(tài)以及由中斷狀態(tài)變?yōu)檫B接狀態(tài):物理斷開連接/ 重新連接IP 跟蹤失敗/ 成功被監(jiān)控接口失敗/ 成功被監(jiān)控安全區(qū)段失敗/ 成功物理連接監(jiān)控所有安全設(shè)備上的物理接口監(jiān)控它們到其它網(wǎng)絡(luò)設(shè)備的物理連接的狀態(tài)。當將接口連接到其它網(wǎng)絡(luò)設(shè)備并建立了到該設(shè)備的鏈接時,該接口將處于物理連接狀態(tài),并且所有使用該接口的路由都將處于活動狀態(tài)?？梢栽趃et interface 命令的輸出中的State 列以及在WebUI 的Network >Interfac

35、es 頁面上的Link 列中查看接口狀態(tài)。可能為連接或中斷狀態(tài)?？梢栽趃et route id number 命令的Status 字段以及WebUI 的Network >Routing > Routing Entries 頁面中查看路由的狀態(tài)。如果標有一個星號,則表明該路由處于活動狀態(tài)。如果沒有星號,則表明該路由處于非活動狀態(tài)。跟蹤IP 地址安全設(shè)備可以通過接口跟蹤指定的IP 地址,使得當一個或多個IP 地址不可到達時,即使物理鏈接仍處于活動狀態(tài),安全設(shè)備也可中斷所有與該接口相關(guān)的路由。當安全設(shè)備同那些IP 地址之間恢復(fù)通信后,中斷的路由將再次變?yōu)榛顒訝顟B(tài)。類似于NSRP 中使用的

36、功能,ScreenOS 使用第3 層路徑監(jiān)控( 或IP 跟蹤 通過接口來監(jiān)控指定IP 地址的可到達性。例如,如果接口直接連接到路由器,則可跟蹤接口的下一跳點地址,以確定該路由器是否仍舊可達。當接口上配置了IP 跟蹤時,安全設(shè)備將以用戶定義的時間間隔在該接口上將ping 請求發(fā)送給多達四個目標IP地址。安全設(shè)備監(jiān)控這些目標以查看其是否收到了響應(yīng)。如果在向該目標發(fā)送指定次數(shù)的請求后,仍沒有來自該目標的響應(yīng),那么該IP 地址將被認為是不可到達的。無法從一個或多個目標得到響應(yīng)可能使安全設(shè)備中斷與該接口相關(guān)的路由。如果到同一目標的另一路由可用,則安全設(shè)備將重新定向信息流以使用新路由。可以在以下配置有管理

37、IP 地址的接口上定義IP 跟蹤:綁定到安全區(qū)段( 非HA 或MGT 功能區(qū)段 的物理接口子接口冗余接口聚合接口五,接口透明模式接口處于“透明”模式時,安全設(shè)備將過濾通過防火墻的封包,而不會修改IP 封包包頭中的任何源或目的地信息。所有接口運行起來都像是同一網(wǎng)絡(luò)中的一部分,而安全設(shè)備的作用更像是第2 層交換機或橋接器。在“透明”模式下,接口的IP地址被設(shè)置為,使得安全設(shè)備對于用戶來說是透明( 不可見 的。 透明模式是一種保護Web 服務(wù)器,或者主要從不可信源接收信息流的其它任意類型服務(wù)器的方便手段。使用透明模式有以下優(yōu)點:不需要重新配置路由器或受保護服務(wù)器的IP 地址設(shè)置不需要為

38、到達受保護服務(wù)器的內(nèi)向信息流創(chuàng)建映射或虛擬IP 地址區(qū)段設(shè)置在缺省情況下,ScreenOS 會創(chuàng)建一個功能區(qū)段、VLAN 區(qū)段和三個第 2 層安全區(qū)段: V1-Trust、V1-Untrust 和V1-DMZ。VLAN 區(qū)段VLA N 區(qū)段是VLAN1 接口的宿主區(qū)段,VLA N1 接口具有與物理接口相同的配置和管理能力。安全設(shè)備處于透明模式時,使用VLAN1 接口來管理設(shè)備和終止VPN 信息流?？蓪LA N1 接口配置為允許第 2 層安全區(qū)段中的主機來管理設(shè)備。為此,必須將VLA N1 接口的IP 地址設(shè)置為與第 2 層安全區(qū)段中的主機在同一子網(wǎng)中。對于管理信息流,VLA N1 管理IP

39、優(yōu)先于VLA N1 接口IP?？蔀楣芾硇畔⒘髟O(shè)置“VLA N1 管理IP”,并將VLAN1 接口IP 專用于VPN 通道終端。預(yù)定義的第2 層區(qū)段在缺省情況下,ScreenOS 提供三個第 2 層安全區(qū)段,分別是: V1-Trust、V1-Untrust 和V1-DMZ。這三個區(qū)段共享同一個第 2 層域。在其中一個區(qū)段中配置接口時,它被添加到由所有第 2 層區(qū)段中的所有接口共享的第 2 層域中。第 2 層區(qū)段中的所有主機必須在同一子網(wǎng)上以進行通信。如上一節(jié)所述,設(shè)備處于透明模式時,用戶使用VLA N1 接口管理設(shè)備。對于要到達VLAN1 接口的管理信息流,必須啟用VLA N1 接口和管理信息流

40、通過的區(qū)段上的管理選項。在缺省情況下,啟用V1-Trust 區(qū)段中的所有管理選項。要在其它區(qū)段中啟用主機以管理設(shè)備,必須設(shè)置它們所屬的區(qū)段上的那些選項。配置VLAN1 接口以進行管理在本例中,將按下述內(nèi)容配置安全設(shè)備來管理其VLA N1 接口:為VLAN1 接口分配IP 地址/24。在VLAN1 接口和V1-Trust 安全區(qū)段上啟用Web、Telnet、SSH 和Ping。在信任虛擬路由器中( 所有的Layer 2 ( 第 2 層 安全區(qū)段都在trust-vr 路由選擇域中 添加路由,使管理信息流能在安全設(shè)備和管理工作站( 該工作站在安全設(shè)備的緊鄰子網(wǎng)外 之間流動。所有安全區(qū)域

41、都在trust-vr 路由域中。 WebUI1. VLAN1 接口Network > Interfaces > Edit ( 對于VLA N1: 輸入以下內(nèi)容,然后單擊OK:IP Address/Netmask: /24Management Services: WebUI, Telnet, SSH ( 選擇Other Services: Ping ( 選擇2. V1-Trust 區(qū)段Network > Zones > Edit ( 對于V1-Trust: 選擇以下內(nèi)容,然后單擊OK:Management Services: WebUI, Telnet, S

42、SHOther Services: Ping3. 路由Network > Routing > Routing Entries > trust-vr New: 輸入以下內(nèi)容,然后單擊OK:Network Address/Netmask: /24Gateway: ( 選擇Interface: vlan1(trust-vrGateway IP Address: 51Metric: 1CLI1. VLAN1 接口set interface vlan1 ip /24set interface vlan1 manage webset interf

43、ace vlan1 manage telnetset interface vlan1 manage sshset interface vlan1 manage ping2. V1-Trust 區(qū)段set zone v1-trust manage webset zone v1-trust manage telnetset zone v1-trust manage sshset zone v1-trust manage ping3. 路由set vrouter trust-vr route /24 interface vlan1 gateway 51 metric 1s

44、ave配置透明模式以下范例說明了受處于透明模式的安全設(shè)備保護的單獨LAN 的基本配置。策略允許V1-Trust 區(qū)段中所有主機的外向信息流、郵件服務(wù)器的內(nèi)向SMTP 服務(wù),以及FTP 服務(wù)器的內(nèi)向FTP-GET 服務(wù)。為了提高管理信息流的安全性,將WebUI 管理的HTTP 端口號從80 改為5555,將CLI 管理的Telnet 端口號從23 改為4646。使用VLA N1 IP 地址 /24 來管理V1-Trust 安全區(qū)段的安全設(shè)備。定義FTP 和郵件服務(wù)器的地址。也可配置到外部路由器的缺省路由( 于50 處,以便安全設(shè)備能向其發(fā)送出站VPN 信息流。(V1-

45、Trust 區(qū)段中所有主機的缺省網(wǎng)關(guān)也是 50?；就该髂Ｊ?WebUI1. VLAN1 接口Network > Interfaces > Edit ( 對于VLA N1 interface: 輸入以下內(nèi)容,然后單擊OK:IP Address/Netmask: /24Management Services: WebUI, Telnet ( 選擇Other Services: Ping ( 選擇2. HTTP 端口Configuration > Admin > Management: 在HTTP Port 字段中,鍵入5555,然后單擊Appl

46、y。3. 接口Network > Interfaces > Edit ( 對于ethernet1: 輸入以下內(nèi)容,然后單擊OK:Zone Name: V1-TrustIP Address/Netmask: /0Network > Interfaces > Edit ( 對于ethernet3: 輸入以下內(nèi)容,然后單擊OK:Zone Name: V1-UntrustIP Address/Netmask: /04. V1-Trust 區(qū)段Network > Zones > Edit ( 對于v1-trust: 選擇以下內(nèi)容,然后單擊O

47、K:Management Services: WebUI, TelnetOther Services: Ping5. 地址Objects > Addresses > List > New: 輸入以下內(nèi)容,然后單擊OK:Address Name: FTP_ServerIP Address/Domain Name:IP/Netmask: ( 選擇, /32Zone: V1-TrustObjects > Addresses > List > New: 輸入以下內(nèi)容,然后單擊OK:Address Name: Mail_ServerIP Address/

48、Domain Name:IP/Netmask: ( 選擇, 0/32Zone: V1-Trust6. 路由Network > Routing > Routing Entries > trust-vr New: 輸入以下內(nèi)容,然后單擊OK:Network Address/Netmask: /0Gateway: ( 選擇Interface: vlan1(trust-vrGateway IP Address: 50Metric: 17. 策略Policies > (From: V1-Trust, To: V1-Untrust New:

49、 輸入以下內(nèi)容,然后單擊OK: Source Address:Address Book Entry: ( 選擇, AnyDestination Address:Address Book Entry: ( 選擇, AnyService: AnyAction: PermitPolicies > (From: V1-Untrust, To: V1-Trust New: 輸入以下內(nèi)容,然后單擊OK: Source Address:Address Book Entry: ( 選擇, AnyDestination Address:Address Book Entry: ( 選擇, Mail_Serv

50、erService: MailAction: PermitPolicies > (From: V1-Untrust, To: V1-Trust New: 輸入以下內(nèi)容,然后單擊OK: Source Address:Address Book Entry: ( 選擇, AnyDestination Address:Address Book Entry: ( 選擇, FTP_ServerService: FTP-GETAction: PermitCLI1. VLAN1set interface vlan1 ip /24set interface vlan1 manage webs

51、et interface vlan1 manage telnetset interface vlan1 manage ping2. Telnetset admin telnet port 46463. 接口set interface ethernet1 ip /0set interface ethernet1 zone v1-trustset interface ethernet3 ip /0set interface ethernet3 zone v1-untrust4. V1-Trust 區(qū)段set zone v1-trust manage webset zon

52、e v1-trust manage telnetset zone v1-trust manage ping5. 地址set address v1-trust FTP_Server /32set address v1-trust Mail_Server 0/326. 路由set vrouter trust-vr route /0 interface vlan1 gateway 50 metric 17. 策略set policy from v1-trust to v1-untrust any any any permitset policy

53、 from v1-untrust to v1-trust any Mail_Server mail permitset policy from v1-untrust to v1-trust any FTP_Server ftp-get permitsave六,接口NAT 模式入口接口處于“網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT”模式下時,安全設(shè)備的作用與第 3 層交換機( 或路由器 相似,將通往Untrust 區(qū)段的外向IP 封包包頭中的兩個組件進行轉(zhuǎn)換:其源IP 地址和源端口號。安全設(shè)備用Untrust 區(qū)段接口的IP 地址替換始發(fā)端主機的源IP 地址。另外,它用另一個由安全設(shè)備生成的任意端口號替換源端口號。

54、NAT 拓撲結(jié)構(gòu) 當回復(fù)封包到達安全設(shè)備時,該設(shè)備轉(zhuǎn)換內(nèi)向封包的IP 包頭中的兩個組件: 目的地地址和端口號,它們被轉(zhuǎn)換回初始號碼。安全設(shè)備于是將封包轉(zhuǎn)發(fā)到其目的地。NAT 添加透明模式中未提供的一個安全級別: 通過NAT 模式下的入口接口( 如Trust 區(qū)段接口 發(fā)送信息流的主機地址決不對出口區(qū)段( 如Untrust 區(qū)段 中的主機公開,除非這兩個區(qū)段在相同的虛擬路由選擇域中并且安全設(shè)備通過動態(tài)路由選擇協(xié)議(DRP 向?qū)Φ确酵ǜ媛酚伞１M管這樣,如果有策略允許入站信息流到達,也僅僅可到達Trust 區(qū)段地址。( 如果希望在使用DRP 時隱藏Trust 區(qū)段地址,則可將Untrust 區(qū)段放置

55、在untrust-vr 中,將Trust 區(qū)段放置在trust-vr 中,并且不將trust-vr 中外部地址的路由導(dǎo)出到untrust-vr。如果安全設(shè)備使用靜態(tài)路由選擇并且僅有一個虛擬路由器,由于基于接口的NAT,內(nèi)部地址在信息流出站時保持隱藏。配置的策略控制入站信息流。如果僅使用映射IP (MIP 和虛擬IP (VIP 地址作為入站策略中的目的地,則內(nèi)部地址仍保持隱藏。另外,NAT 還保留對公共IP 地址的使用。在許多環(huán)境中,資源不可用,不能為網(wǎng)絡(luò)上的所有設(shè)備提供公共IP 地址。NAT 服務(wù)允許多個私有IP 地址通過一個或幾個公共IP 地址訪問互聯(lián)網(wǎng)資源。以下IP 地址范圍保留給私有IP

56、 網(wǎng)絡(luò),并且不必在互聯(lián)網(wǎng)上設(shè)定路由: - 55 - 55 - 55入站和出站NAT 信息流通過NAT 模式下的接口發(fā)送信息流的區(qū)段內(nèi)的主機,能夠發(fā)出流向Untrust 區(qū)段的信息流( 假定策略允許。在ScreenOS 5.0.0 之前的版本中,NAT 模式下的接口后的主機無法接收Untrust 區(qū)段的信息流,除非為它設(shè)置了“映射IP (MIP”、“虛擬IP (VIP”或VPN 通道。不過,在ScreenOS 5.0.0 版本中,從任意區(qū)段( 包括Untrust 區(qū)

57、段 向擁有已啟用NAT 的接口的區(qū)段發(fā)送信息流時,不需要使用MIP、VIP 或VPN。如果要保護地址的私密性或使用不在公開網(wǎng)絡(luò)( 如互聯(lián)網(wǎng) 上出現(xiàn)的私有地址,仍可為到達他們的信息流定義MIP、VIP 或VPN。不過,如果不關(guān)注私密性和私有IP 地址的問題,則Untrust 區(qū)段的信息流可直接到達NAT 模式接口后的主機,而不必使用MIP、VIP 或VPN。NAT信息流 接口設(shè)置對于NAT 模式,定義以下接口設(shè)置,其中ip_addr1 和ip_addr2 代表IP 地址中的數(shù)字,mask 代表網(wǎng)絡(luò)掩碼中的數(shù)字,vlan_id_num 代表VLA N 標記的編號,zone代表區(qū)段名稱,number 代表以kbps 為單位的帶寬大小: 1.可在每個接口的基礎(chǔ)上設(shè)置管理IP 地址。主要目的是為從網(wǎng)絡(luò)信息流中分離出來的管理信息流提供IP 地址。當某特定設(shè)備具備高可用性配置時,也可使用管理IP 地址來訪問它。2.用于信息流整型的可選設(shè)置。3.選擇NAT 可將接口模式定義為NAT。選擇“路由”可將接口模式定義為“路由”。IP: