juniper Netscreen防火墻策略路由配置

1、juniper Netscreen防火墻策略路由配置Netscreen-25 概述Juniper網(wǎng)絡(luò)公司NetScreen-25和NetScreen-50是面向大企業(yè)分支辦事處和遠(yuǎn)程辦事處、以 及中小企業(yè)的集成安全產(chǎn)品。它們可提供網(wǎng)絡(luò)周邊安全解決方案，并帶有多個DMZ和VPN， 可以確保無線LAN的安全性，或保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。NetScreen-25設(shè)備可提供100 Mbps 的防火墻和20 Mbps的3DES或AES VPN性能，可支持32,000條并發(fā)會話和125條VPN 隧道。NetScreen-50設(shè)備是高性能的集成安全產(chǎn)品，可提供170 Mbps的防火墻和45 Mbps 的3DES

2、或AES VPN性能，可支持64,000條并發(fā)會話和500條VPN隧道。一、特性與優(yōu)勢NetScreen-25和NetScreen-50產(chǎn)品的主要特性和優(yōu)勢如下：集成的深層檢測防火墻可以逐策略提供應(yīng)用層攻擊防護(hù)，以保護(hù)互聯(lián)網(wǎng)協(xié)議安全；集成的Web過濾功能，可制訂企業(yè)Web使用策略、提高整體生產(chǎn)率、并最大限度地減少因 濫用企業(yè)資源而必須承擔(dān)的賠償責(zé)任；拒絕服務(wù)攻擊防護(hù)功能，可抵御30多種不同的內(nèi)外部攻擊；高可用性功能，可最大限度地消除單點故障；動態(tài)路由支持，以減少對手工建立新路由的依賴性；冗余的VPN隧道和VPN監(jiān)控，可縮短VPN連接的故障切換時間；虛擬路由器支持，可將內(nèi)部、專用或重疊的IP地址

3、映射到全新的IP地址，提供到最終目的 地的備用路由，且不被公眾看到；可定制的安全區(qū)，能夠提高接口密度，無需增加硬件開銷、降低策略制訂成本、限制未授權(quán) 用戶接入與攻擊、簡化VPN管理；通過圖形Web UI、CLI或NetScreen-Security Manager集中管理系統(tǒng)進(jìn)行管理； 基于策略的管理，用于進(jìn)行集中的端到端生命周期管理；.二、技術(shù)規(guī)格Netscreen25或Netscreen50都有兩種不同的許可選項(Advanced/Baseline)，提供不同級 別的功能和容量。高級特性/功能NetScreen-25NetScreen-50接口數(shù)4個 10/1004 個 10/100可信接

4、口中的最多IP地址數(shù)無限無限旦一Krr_L 日100M防火墻170M防火墻最大吞吐量20M 3DES VPN45 M 3DES VPN最多會話數(shù)32,00064,000最多VPN隧道數(shù)125500隧道接口2550最多策略數(shù)5001,000最多虛擬LAN數(shù)1616最多安全區(qū)域數(shù)44最多虛擬路由器數(shù)33支持的高可用性模式HA Lite主用/備用高級特性/功能NetScreen-25NetScreen-50路由協(xié)議支持OSPF, BGP,OSPF, BGP,RIPv1/v2RIPv1/v2支持的高可用性模式HA Lite主動/備用IPS （深層檢測防火墻）是是嵌入式防垃圾郵件功能是是集成/外部Web

5、過濾是/是是/是上表描述的特性和功能是NetScreen-25和NetScreen-50的高級許可選項?；拒浖S可也可用作客戶環(huán)境的入門級解決方案。在客戶環(huán)境中，深層檢測、OSPF和BGP 動態(tài)路由、先進(jìn)的高可用性以及全功能等特性都不是關(guān)鍵要求。下表列出了有別于高級版本的基礎(chǔ)版本的特性和功能。基本特性/功能NetScreen-25 BaselineNetScreen-50 Baseline最多會話數(shù)24,00048,000最多同步VPN隧道50150虛擬LANs不提供不提供路由協(xié)議支持RIPv1/v2 OnlyRIPv1/v2 Only支持的高可用性模式HA Lite*HA Lite*IPS

6、 （深層檢測防火墻）不提供不提供防病毒不支持不支持集成/外部Web過濾否/是否/是NetScreen-安全管理支持支持l HA Lite只提供配置同步（不提供會話或隧道同步）。三、NetScreen系列防火墻介紹NetScreen系列防火墻是由NetScreen公司推出的網(wǎng)絡(luò)安全產(chǎn)品。本章將對綜合業(yè)務(wù)工程中常用的幾種NS的防火墻的外觀及性能作簡要介紹。1 NetScreen 25NetScreen 25是個高性能的安全應(yīng)用方案，具有四個自適應(yīng)10/100 Base-以太網(wǎng)口信任 Trust，非信任Untrust，DMZ，另外一個留作將來使用，注意：Screen OS3.0并不支持第四 個端口的

7、使用，它能夠提供100Mbps的防火墻數(shù)據(jù)流量和20Mbps的3倍DES加密VPN 性能，保護(hù)局域網(wǎng)（LANs）以及與外網(wǎng)建立數(shù)據(jù)交流的mail服務(wù)器，web服務(wù)器和FTP服務(wù) 器的安全。默認(rèn)端口分配：Ethernet 1Ethernet 2Ethernet 3Ethernet 4TrustDMZUtrustEmpty2 NetScreen 204NetScreen 204是目前市場上功能較多的防火墻產(chǎn)品，可以方便地集成在許多不同的 網(wǎng)絡(luò)環(huán)境中，包括大中型企業(yè)的辦公室，電子商務(wù)網(wǎng)站，數(shù)據(jù)中心和電信運(yùn)營基礎(chǔ)設(shè)施。它 具有4個自適應(yīng)10/100M以太網(wǎng)端口，延續(xù)了 NetScreen防火墻優(yōu)秀的線

8、速處理能力 （400Mbps）-即使在對系統(tǒng)資源要求極高的應(yīng)用中（諸如 VPN-3DES加密）也能保持超過 200Mbps的速率，并支持HA（High Availability高可用性，詳見本文后續(xù)內(nèi)容）。 默認(rèn)的端口分配：Ethernet 1Ethernet 2Ethernet 3Ethernet 4TrustDMZUtrustHA3.3 NetScreen 500NetScreen 500集防火墻、VPN及流量管理等功能于一體，占用2U機(jī)架空間。它是 一款 高性能的產(chǎn)品，支持多個安全域。NetScreen 500具有NetScreen 1000及NetScreen 100的所 有優(yōu)點。另外

9、在功能上設(shè)有高可用性交換端口、管理端口及四個流量模塊組，還有一個可編 輯的LCD指示屏，使管理變得更加容易。默認(rèn)端口分配：模塊-Untrust模塊-TrustN/AUtrust PortN/ATrust Port模塊-DMZ模塊-EmptyN/ADMZ PortEmptyEmpty在四個模塊下方的并列的幾個接口中，有兩個接口分別標(biāo)注HA1”、“HA2”，這兩個接口是 用來連接HA心跳線的，其中HA1與HA2互為冗余接口，以防止其中一條心跳線出現(xiàn)故障。 注意：部分NS500的防火墻的軟件（可根據(jù)防火墻上的標(biāo)簽確定）不支持對每個模塊的第一個端 口的調(diào)用，如果把線纜插在第一個端口上，物理鏈路都無法建

10、立，直觀表現(xiàn)是端口指示燈不 亮，這一點在工程設(shè)計及施工中尤其要留意。四、NetScreen防火墻基礎(chǔ)知識在對NetScreen進(jìn)行配置前，需要了解一些基礎(chǔ)知識。以下的描述是根據(jù)NetScreen 200系 列，主要以NetScreen 204為例進(jìn)行講解，其余型號應(yīng)該能觸類旁通。NetScreen 200系列的204有四個以太網(wǎng)口，208有8個以太網(wǎng)口，其中，網(wǎng)口 1缺省為trust 口，網(wǎng)口 2為DMZ 口，網(wǎng)口 3為untrust 口，網(wǎng)口 4或網(wǎng)口 4到8是可配的。但如果用于 HA，則兩臺防火墻之間通過4 口（204型號）或8 口（208型號）連接。200系列的NetScreen工作在兩

11、種模式：transparent模式和route模式，缺省為transparent模 式。Nat不再是一種模式，現(xiàn)在它通過網(wǎng)口或策略配置來實現(xiàn)（注：在NetScreen 100中， NAT被看作是一種工作模式）。4、1. transparent 模式：在transparent模式下，NetScreen設(shè)備檢查通過防火墻的數(shù)據(jù)包，但并不改變ip包頭中的任 何源地址和目的地址信息。因為它不改變地址，所以保護(hù)網(wǎng)內(nèi)的ip必須在untrust連接的網(wǎng) 絡(luò)內(nèi)是有效且可尋路的，untrust很可能就接互連網(wǎng)了。在transparent模式下，對于trust區(qū)和untrust區(qū)的ip地址就設(shè)為,這樣可以使Net

12、Screen 在網(wǎng)絡(luò)中不可見。但是，防火、vpn和流量管理還是要通過配置設(shè)備的策略來生效。此時， NetScreen相當(dāng)于一個2層交換機(jī)（2層交換機(jī)本身是沒有ip地址的）。4、2. route 模式當(dāng)設(shè)備處于route模式下，每一個接口都被設(shè)立為route模式或nat模式。不像transparent模 式，所有的網(wǎng)口都處于不同的子網(wǎng)當(dāng)中。當(dāng)一個網(wǎng)口處于route模式，這個網(wǎng)口處理通過的流量時不nat，即ip包頭中的源地址和端 口號都保持不變。不像nat模式，連接在route模式網(wǎng)口下的主機(jī)必須具有公網(wǎng)ip，沒有任 何映射和虛擬ip可以被建立起來。當(dāng)一個網(wǎng)口處于nat模式，NetScreen會把

13、從trust 口往外的ip包中的源ip地址和源端口改掉， 將源地址改為untrust 口的ip地址，而且，更換源端口為一個隨機(jī)的產(chǎn)生的端口。如果將NetScreen作為route模式，則必須為trust 口、untrust 口和DMZ （如果用到）配置ip 地址，如果作為transparent模式，就必須不能為這些口配置ip。Manage ip和trust ip不是一回事，manage ip是供登錄NetScreen作配置數(shù)據(jù)的，而trust ip 是為了作成route模式必須要配的，同時它也作為trust網(wǎng)內(nèi)的網(wǎng)關(guān)。但實際物理上都是由trust 口來提供這兩個ip的。實際上在web頁面中也不

14、允許將其配為一個ip。但用命令行可以強(qiáng) 制地配成一個ip地址。NetScreen204出廠配置所有的網(wǎng)卡的ip均為，如果想讓其作為transparent模式，不 要分配地址給任何網(wǎng)卡。如果配置設(shè)備成route模式，首先改變一個網(wǎng)口( ethernet1/trust、ethernet3/untrust或者 ethernet2/DMZ)到layer 3區(qū)域，并配置其ip地址。這將自動改變其它網(wǎng)口到缺省的layer 3 區(qū)域?？梢杂妹睿簊et interface zone 配置網(wǎng)口的ip地址，可以用下面的命令：是ip； 是掩碼。set interface ip 也可以用/n來代理 ，n為多少位掩碼?？梢杂萌缦旅罴泳W(wǎng)關(guān)：set interface gateway 缺省狀態(tài)下，NetScreen204不允許數(shù)據(jù)進(jìn)出。如果希望從trust