防火墻第七章課件

第7章常見防火墻的選購(gòu)和應(yīng)用7.1CheckPointFirewall-14.17.2CheckPointNextGeneration7.3CiscoPIX防火墻7.4LinuxIPTable7.5MicrosoftISAServer下一頁(yè)第7章常見防火墻的選購(gòu)和應(yīng)用7.1CheckPoi1第7章常見防火墻的選購(gòu)和應(yīng)用7.6NetScreen防火墻7.7SonicWALL防火墻上一頁(yè)第7章常見防火墻的選購(gòu)和應(yīng)用7.6NetScreen27.1.1CheckPointFirewall-14.1的介紹Firewall-14.1是一種基于狀態(tài)檢測(cè)的防火墻軟件，部署在網(wǎng)絡(luò)出口處，能對(duì)進(jìn)出網(wǎng)絡(luò)的訪問進(jìn)行控制，是一個(gè)能夠集成并管理以下企業(yè)安全事項(xiàng)的防火墻。對(duì)這些安全事項(xiàng)的集成和管理使得Firewall-14.1防火墻更加堅(jiān)固，網(wǎng)絡(luò)更加安全。除此之外，F(xiàn)irewall-14.1的功能和特性還可以通過OPSEC進(jìn)行擴(kuò)展，從而形成一個(gè)完整的安全解決方案。7.1CheckPointFirewall-14.1下一頁(yè)返回7.1.1CheckPointFirewall-137.1.2CheckPointFirewall-14.1的產(chǎn)品組件Firewall-14.1使用了模塊化的客戶端/服務(wù)器體系結(jié)構(gòu)，包含有下列幾種組件。●基本模塊：·狀態(tài)檢測(cè)模塊（InspectionModule）：提供訪問控制、客戶機(jī)認(rèn)證、會(huì)話認(rèn)證、地址翻譯和審計(jì)功能?！し阑饓δK（FirewallModule）：包含一個(gè)狀態(tài)檢測(cè)模塊，另外提供用戶認(rèn)證、內(nèi)容安全和多防火墻同步的功能；它使用已安裝的安全策略對(duì)網(wǎng)絡(luò)流量進(jìn)行過濾，對(duì)于不符合安全策略的數(shù)據(jù)流量，防火墻模塊將不允許通過。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)7.1.2CheckPointFirewall-14·管理模塊（ManagementModule）：對(duì)一個(gè)或多個(gè)安全策略執(zhí)行點(diǎn)提供集中的、圖形化的安全管理功能，并負(fù)責(zé)存儲(chǔ)對(duì)象數(shù)據(jù)庫(kù)、防火墻日志、安全策略且將策略安裝至合適的防火墻模塊。●可選模塊：·連接控制（ConnectControl）：為提供相同服務(wù)的多個(gè)應(yīng)用服務(wù)器提供負(fù)載平衡功能?！ぢ酚善靼踩芾砟K（RouterSecurityManagement）：提供通過防火墻管理工作站配置和維護(hù)3Com，Cisco和Bay等路由器的安全規(guī)則；其他模塊，如加密模塊等。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)·管理模塊（ManagementModule）：對(duì)一個(gè)或多5·圖形用戶界面（GraphicalUserInterface，GUI）：是管理模塊功能的體現(xiàn)，提供了對(duì)Firewall-14.1進(jìn)行管理和監(jiān)控的功能。它包括了策略編輯器、日志閱讀器和系統(tǒng)狀態(tài)查看器。每一種特定的組件既能安裝在一臺(tái)機(jī)器上，也可使用分布式方法安裝到不同的機(jī)器上。7.1.3Firewall-14.1的對(duì)象防火墻所有功能的實(shí)現(xiàn)，最終是體現(xiàn)在具體的對(duì)象上的?？梢酝ㄟ^GUI策略編輯器創(chuàng)建和觀察這些對(duì)象，要使用策略編輯器，可以單擊相應(yīng)的菜單條，或從工具條中選擇管理，之后選擇適當(dāng)?shù)墓芾韺?duì)象。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)·圖形用戶界面（GraphicalUserInterfa61．管理Firewall-1對(duì)象為使通信流量通過Firewall-1防火墻，需要先為其創(chuàng)建對(duì)象，之后將此對(duì)象放入規(guī)則庫(kù)就能進(jìn)行通信了。在網(wǎng)絡(luò)對(duì)象GUI中，可以創(chuàng)建、編輯和刪除不同的網(wǎng)絡(luò)對(duì)象，其中包括工作站、網(wǎng)絡(luò)、域、路由器、交換機(jī)、集成防火墻、組、邏輯服務(wù)器和地址范圍。2.服務(wù)就像需要?jiǎng)?chuàng)建工作站和網(wǎng)絡(luò)對(duì)象并加入到規(guī)則庫(kù)中設(shè)置通信許可一樣，也必須創(chuàng)建服務(wù)對(duì)象并加入到規(guī)則集中，以使網(wǎng)絡(luò)對(duì)象能夠使用它們。CheckPointFirewall-1已經(jīng)定義了最常見的服務(wù)，包括FTP，但有些情況下，還必須創(chuàng)建自己的服務(wù)對(duì)象。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)1．管理Firewall-1對(duì)象7.1CheckPoi7在服務(wù)GUI中，可以創(chuàng)建、刪除或編輯在防火墻規(guī)則集中使用的服務(wù)，包括TCP，UDP，RPC，ICMP，組和端口范圍等。3.資源資源過濾器用于特定的內(nèi)容安全應(yīng)用程序，如防病毒、FTP安全和郵件安全等。它可以通過在數(shù)據(jù)包的指定協(xié)議層執(zhí)行特定任務(wù)來提高安全特性。在資源管理器中可以修改URI、SMTP、FTP或組屬性。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)在服務(wù)GUI中，可以創(chuàng)建、刪除或編輯在防火墻規(guī)則集中使用的服84.用戶用戶管理器允許創(chuàng)建、編輯或刪除用戶或用戶組。在用戶屬性對(duì)話框中，可以設(shè)定不同的身份驗(yàn)證的方法、網(wǎng)絡(luò)流量的位置、何時(shí)允許用戶和用戶組使用以及加密方法。當(dāng)某用戶并不是總從一臺(tái)工作站進(jìn)行連接時(shí)，這種設(shè)置就很有好處，因?yàn)榇蠹铱隙ú幌胂蛘麄€(gè)網(wǎng)絡(luò)開放服務(wù)和網(wǎng)絡(luò)設(shè)備。用戶屬性對(duì)話框有3個(gè)選項(xiàng)：·Group：用戶組的名稱、成員列表以及組外人員?！xternalGroup：外部組的名稱?！emplate：可使用模板創(chuàng)建一個(gè)新用戶。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)4.用戶7.1CheckPointFirewall95.時(shí)間時(shí)間對(duì)象可用于指定規(guī)則庫(kù)中特定規(guī)則所使用的時(shí)間段。當(dāng)想對(duì)設(shè)備和服務(wù)限定時(shí)間時(shí)，這個(gè)對(duì)象很有用處。例如，想限定RealAudio服務(wù)不能在工作時(shí)間內(nèi)使用，則可以創(chuàng)建一條規(guī)則規(guī)定在8：00～17：00這個(gè)時(shí)間段內(nèi)任何RealAudio通信都會(huì)被拒絕。這樣就能保證用戶只在非工作時(shí)間內(nèi)收聽或收看RealAudio。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)5.時(shí)間7.1CheckPointFirewall107.1.4CheckPointFirewall-14.1的安裝上面討論了有關(guān)CheckPointFirewall-14.1的背景、體系結(jié)構(gòu)、部署方法和不同的組成部分，這使得對(duì)防火墻的管理目標(biāo)、服務(wù)、資源以及它們和防火墻安全的相關(guān)性有了一個(gè)大概的了解。同時(shí)還討論了Firewall-1防火墻進(jìn)行用戶管理和時(shí)間管理的功能。在理解上述內(nèi)容之后就可以開始安裝防火墻了。為了能夠順利地安裝Firewall-14.1，需要考慮不少情況，包括許可證、安裝前的提示和系統(tǒng)要求。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)7.1.4CheckPointFirewall-1117.1.5CheckPointFirewall-14.1的配置1.遠(yuǎn)程管理CheckPoint可以以分布式進(jìn)行安裝。當(dāng)以這種模式進(jìn)行安裝時(shí)，為安全起見，防火墻各模塊之間的網(wǎng)絡(luò)通信都將被加密。但是這種加密功能必須在模塊之間能進(jìn)行通信前就應(yīng)該先配置，否則通信數(shù)據(jù)將得不到保護(hù)。也就是先要在GUI客戶端和管理模塊之間配置遠(yuǎn)程通信，然后再啟用防火墻和管理模塊之間的遠(yuǎn)程通信。值得注意的是，一定要使用規(guī)則集中的某個(gè)規(guī)則來啟用遠(yuǎn)程GUI管理或者是在策略屬性窗口中使CheckPoint控制連接生效。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)7.1.5CheckPointFirewall-1122.創(chuàng)建Firewall-1規(guī)則庫(kù)通過使用管理員的GUI客戶端，可以給防火墻網(wǎng)關(guān)設(shè)備創(chuàng)建基本的或者復(fù)雜的規(guī)則集。若要?jiǎng)?chuàng)建簡(jiǎn)單的規(guī)則集，則可以選擇Eidt|AddRule|BottomorTop命令，或單擊相應(yīng)的工具欄圖標(biāo)。對(duì)于Firewall-1模塊來說，若要加強(qiáng)已經(jīng)創(chuàng)建的策略和規(guī)則集，就必須在網(wǎng)關(guān)上安裝安全策略，可以通過在策略編輯器中選擇Policy|Install命令來做到這一點(diǎn)。在安裝安全策略之前，當(dāng)Firewall-1識(shí)別出有沖突的或不正確的規(guī)則時(shí)，會(huì)自動(dòng)對(duì)規(guī)則集執(zhí)行檢測(cè)糾錯(cuò)。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)2.創(chuàng)建Firewall-1規(guī)則庫(kù)7.1CheckP137.1.6CheckPointFirewall-14.1的管理模塊配置CheckPointFirewall-1防火墻有多種配置方法，下面介紹幾種實(shí)際使用的配置。1.單設(shè)備防火墻（SingleDeviceFirewall）如果某個(gè)公司只有一個(gè)防火墻，則可以把所有模塊安裝到同一個(gè)設(shè)備上。因?yàn)橹恍枰褂靡慌_(tái)硬件設(shè)備，所以這種方式可降低費(fèi)用。然而，使用這種配置必須小心，因?yàn)?，若想?duì)防火墻進(jìn)行修改，則要有一個(gè)人登錄到防火墻模塊安裝的主機(jī)上，這時(shí)如果發(fā)生不可預(yù)見的錯(cuò)誤，防火墻會(huì)變得不穩(wěn)定，甚至崩潰。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)7.1.6CheckPointFirewall-114而且還有物理安全的風(fēng)險(xiǎn)。防火墻模塊應(yīng)被鎖在安全的位置。如果每天或每周都要做一些改變，則這種配置會(huì)成為一個(gè)問題。2.擁有外部GUI客戶端的單設(shè)備防火墻另外一種可選的配置，允許防火墻模塊和管理模塊安裝在同一臺(tái)機(jī)器上并鎖在一個(gè)安全的地點(diǎn)。從物理角度上看這是一種更好的配置，而且方便管理。GUI客戶端可以安裝在任何地點(diǎn)對(duì)管理模塊進(jìn)行管理。這種方式允許網(wǎng)關(guān)主機(jī)放在安全的位置，并且管理員能在工作站上通過GUI客戶端對(duì)網(wǎng)關(guān)進(jìn)行配置。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)而且還有物理安全的風(fēng)險(xiǎn)。防火墻模塊應(yīng)被鎖在安全的位置。如果每153.只有單個(gè)管理模塊的多防火墻圖714的例子中是多個(gè)防火墻模塊有一個(gè)管理模塊控制和管理。管理模塊和GUI客戶端模塊安裝在一臺(tái)主機(jī)上，但并不鼓勵(lì)這么做。因?yàn)榉阑饓δK和管理模塊應(yīng)該被鎖在一個(gè)安全的地方。如果有多個(gè)防火墻并且它們使用相同的安全策略，則比較適合用這種配置。各防火墻可位于相同的地點(diǎn)也可在不同的地點(diǎn)。管理員應(yīng)該通過GUI客戶端登錄到管理模塊并將策略同時(shí)加到每一個(gè)防火墻上。如果防火墻模塊采用不同的安全策略時(shí)，則不推薦使用這種配置，因?yàn)椋@樣會(huì)非常容易發(fā)生將錯(cuò)誤的策略加到錯(cuò)誤的防火墻上，從而導(dǎo)致所有的流量都無法進(jìn)入網(wǎng)關(guān)。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)3.只有單個(gè)管理模塊的多防火墻7.1CheckPoi164.有冗余管理模塊的多防火墻對(duì)前面例子的擴(kuò)展，可以加入冗余的管理服務(wù)器，如圖715所示。如果A的管理發(fā)生故障時(shí)，則B會(huì)取得控制權(quán)。5.一對(duì)一的防火墻模塊和管理模塊圖716的例子是一對(duì)一的防火墻模塊和管理模塊的安裝。如果所有的防火墻都有不同的安全策略，則這種配置就很有好處。這種配置對(duì)于管理模塊和防火墻模塊間的通信也有好處，因?yàn)閮烧咧g的通信不用再通過網(wǎng)絡(luò)了，它們現(xiàn)在在同一臺(tái)主機(jī)或者網(wǎng)關(guān)上。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)4.有冗余管理模塊的多防火墻7.1CheckPoin176.高可用性防火墻圖717顯示的是兩個(gè)防火墻使用OPSEC伙伴的軟件（如Stonebeat和Rainfinity）構(gòu)成的HA（HighAvailability，高可用性）對(duì)。防火墻A被配置為主防火墻并執(zhí)行所有的包檢測(cè)。防火墻B被配置為備用檢測(cè)引擎，同時(shí)也是主管理機(jī)及登錄主機(jī)。這樣就減輕了防火墻A的不必要的負(fù)擔(dān)。如果防火墻A出現(xiàn)故障，防火墻B就會(huì)集管理模塊和防火墻模塊于一身，以保證流量正常通過，直到計(jì)劃的時(shí)間后恢復(fù)到防火墻A。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)6.高可用性防火墻7.1CheckPointFir187.防火墻其他的組件雖然Firewall-1有很多固有的特性和功能，用戶仍然可以同F(xiàn)irewall-1一起使用其他組件以提供更多的功能并使其更加堅(jiān)固。這些特性可使防火墻的功能得到擴(kuò)展，并可協(xié)助進(jìn)行管理和控制，例如添加集中日志管理、為沒有限制數(shù)目的服務(wù)器做負(fù)載均衡、為分布的路由器生成訪問控制列表、內(nèi)容過濾及檢查等。7.1.7CheckPointFirewall-14.1的高級(jí)功能前面介紹了組成Firewall-1的組件和防火墻所針對(duì)的目標(biāo)，本章繼續(xù)介紹Firewall-1的高級(jí)特征，這樣就可以配置Firewall-1的完整功能了。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)7.防火墻其他的組件7.1CheckPointFi191.身份驗(yàn)證當(dāng)要對(duì)用戶訪問進(jìn)行限制時(shí)，就需要使用身份驗(yàn)證機(jī)制。Firewall-1使用了3種身份驗(yàn)證機(jī)制：基于用戶的身份驗(yàn)證、基于客戶的身份驗(yàn)證和基于會(huì)話的身份驗(yàn)證。身份驗(yàn)證機(jī)制既可以在防火墻上執(zhí)行，也可以在第三方身份驗(yàn)證服務(wù)器（如TACACA和RADIUS）上進(jìn)行。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)1.身份驗(yàn)證7.1CheckPointFirewa202.內(nèi)容安全Firewall-1運(yùn)行的前提條件是只有被顯示規(guī)則允許的服務(wù)才能通過防火墻到達(dá)目的主機(jī)，而被禁止的數(shù)據(jù)包在防火墻的外部接口就會(huì)被丟棄，所有被防火墻驗(yàn)證為正確的數(shù)據(jù)包都將發(fā)往目的主機(jī)。通過拒絕被否定的服務(wù)方式，F(xiàn)irewall-1提供了功能強(qiáng)大的安全服務(wù)功能。如果有人想通過HTTP方式連接到內(nèi)部網(wǎng)絡(luò)的一臺(tái)主機(jī)上，而此時(shí)防火墻已經(jīng)被指定要在外部接口上丟棄那些數(shù)據(jù)包，則這種通過HTTP的方式來危害內(nèi)部網(wǎng)絡(luò)主機(jī)的企圖就很難實(shí)現(xiàn)。這是一種基于網(wǎng)絡(luò)層的安全策略，它能確保只有運(yùn)行在一個(gè)指定的套接字號(hào)上的服務(wù)才能夠訪問目的主機(jī)。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)2.內(nèi)容安全7.1CheckPointFirewa213.URL過濾協(xié)議UFP（URLFilteringProtocol，URL過濾協(xié)議）可被用于限制用戶訪問含有非法內(nèi)容的站點(diǎn)。在規(guī)則集中執(zhí)行UFP可以截取某個(gè)對(duì)服務(wù)器的內(nèi)容請(qǐng)求，并將該請(qǐng)求轉(zhuǎn)發(fā)給一個(gè)使用UFP的第三方內(nèi)容檢測(cè)服務(wù)器，讓其檢測(cè)請(qǐng)求內(nèi)容是否合法。UFP服務(wù)器既可以簡(jiǎn)單地指定丟棄非法的文件，也可以對(duì)該文件進(jìn)行處理后再將其轉(zhuǎn)發(fā)給防火墻。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)3.URL過濾協(xié)議7.1CheckPointFir224.NATCheckPoint的Firewall-1提供了3種網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslater，NAT）模塊。·HideMode（隱藏模式）：將一個(gè)或多個(gè)不可路由的RFC1918地址轉(zhuǎn)換成一個(gè)Internet合法的IP地址。·StaticSourceMode（靜態(tài)源地址模式）：將網(wǎng)絡(luò)中某個(gè)數(shù)據(jù)包的不可路由的RFC1918地址轉(zhuǎn)換成一個(gè)Internet合法的IP地址。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)4.NAT7.1CheckPointFirewal23·StaticDestinationMode（靜態(tài)目的地址模式）：當(dāng)一個(gè)數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)時(shí)，將其合法的內(nèi)部IP地址轉(zhuǎn)換成不可路由的RFC1918地址。5.賬戶管理的客戶端賬戶管理的客戶端（AccountManagementClient，AMC）使用Firewall-1的用戶身份來啟用LDAP服務(wù)器。AMC的安裝過程與Firewall-1是分開的。下面是AMC在Windows和Solaris上的安裝過程。7.1CheckPointFirewall-14.1下一頁(yè)返回上一頁(yè)·StaticDestinationMode（靜態(tài)目的地24●在Windows平臺(tái)上，取得AMC安裝的二進(jìn)制代碼并執(zhí)行它。也可以在Firewall-1的發(fā)行光盤的目錄“\windows\amc”下找到該程序?！裨赟olaris平臺(tái)上，AMC是一個(gè)軟件包。在安裝AMC時(shí)使用命令“pkgadd”并選擇“1”選項(xiàng)。7.1CheckPointFirewall-14.1返回上一頁(yè)●在Windows平臺(tái)上，取得AMC安裝的二進(jìn)制代碼并執(zhí)行它257.2.1CheckPointNextGeneration的背景介紹CheckPointNG代表了CheckPoint公司在防火墻技術(shù)方面的新成就，可以說它是CheckPoint解決方案中最重要的版本。它包括了CheckPoint以前所有的產(chǎn)品（VPN-1/Firewall-1，F(xiàn)loodGate-1，ManagementConsole等），并針對(duì)以前的技術(shù)核心進(jìn)行了重新設(shè)計(jì)，使它能游刃有余地勝任當(dāng)前和未來用戶的需求。它可提供更強(qiáng)的保護(hù)功能，以應(yīng)對(duì)如尼姆達(dá)以及紅色代碼蠕蟲等病毒攜帶的應(yīng)用軟件級(jí)攻擊，它發(fā)現(xiàn)并阻止惡意侵入的能力很強(qiáng)，并能防止出現(xiàn)拒絕服務(wù)以及其他網(wǎng)絡(luò)級(jí)攻擊的問題。7.2CheckPointNextGeneration下一頁(yè)返回7.2.1CheckPointNextGenera267.2.2CheckPointNextGeneration的新功能1.增強(qiáng)的策略管理器CheckPointNG防火墻最值得注意的改變包括策略管理器（PolicyManager）的重新設(shè)計(jì)、系統(tǒng)狀態(tài)（SystemStatus）、日志查看器接口（LogViewerInterface）以及被稱為“SecureUpdate”的新GUI。SecureUpdate對(duì)于CheckPoint的新許可發(fā)放和軟件分發(fā)模式提供了一個(gè)管理界面。這些新增加的修改接口使得對(duì)防火墻所有方面的管理，包括配置、軟件升級(jí)、許可管理、策略生成和監(jiān)控變得更集中。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)7.2.2CheckPointNextGenera272.增強(qiáng)的日志功能在CheckPointNG防火墻中可以定義和自動(dòng)進(jìn)行日志的日常維護(hù)事務(wù)，例如輪換（一般稱為日志切換）和輸出等，都是直接從管理控制臺(tái)上進(jìn)行的。而且，F(xiàn)irewall-1現(xiàn)在還允許創(chuàng)建特定的日志服務(wù)器。3.審計(jì)NG現(xiàn)在不僅支持系統(tǒng)管理員登錄事件的審計(jì)，還支持?jǐn)?shù)據(jù)庫(kù)（對(duì)象）和規(guī)則修改的審計(jì)?？梢酝ㄟ^選擇Mamage|Global|Properties命令，然后選擇AuditandLogging命令進(jìn)行配置。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)2.增強(qiáng)的日志功能7.2CheckPointNex28通過在日志查看器中選擇Mode|Audit|Log命令，或者從下拉列表框中選擇AuditLog選項(xiàng)來查看審計(jì)記錄。當(dāng)有幾個(gè)用戶管理防火墻時(shí)，日志查看器顯得比較有用，它詳細(xì)說明了日志細(xì)節(jié)，并對(duì)發(fā)生的改變進(jìn)行追蹤。4.TCP服務(wù)屬性CheckPointNG允許對(duì)每種服務(wù)類型指定TCP會(huì)話超時(shí)值。在CheckPoint以前的防火墻版本中，只能對(duì)所有的TCP或者UDP設(shè)置這些超時(shí)值。CheckPointNG提供的這種精細(xì)粒度的設(shè)置，可以根據(jù)特定的環(huán)境調(diào)整服務(wù)響應(yīng)時(shí)間而不影響其他的應(yīng)用。這可以允許通過對(duì)一個(gè)給定的服務(wù)Properties屏幕單擊Advance按鈕來進(jìn)行設(shè)置。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)通過在日志查看器中選擇Mode|Audit|Log命令，或者295.增強(qiáng)的網(wǎng)絡(luò)地址轉(zhuǎn)換CheckPointNG對(duì)于網(wǎng)絡(luò)地址轉(zhuǎn)換新增加了幾個(gè)選項(xiàng)。這些選項(xiàng)在全局Properties屏幕中進(jìn)行設(shè)置：6.CheckPointNG對(duì)象數(shù)據(jù)庫(kù)CheckPointNG已經(jīng)對(duì)對(duì)象數(shù)據(jù)庫(kù)進(jìn)行了更改。目前在管理站點(diǎn)上該文件稱為“objects_5_0.C”，而在防火墻模塊上它仍然稱“objects.C”。CheckPoint強(qiáng)烈推薦不要再直接對(duì)這些文件進(jìn)行修改。要對(duì)“objects.C”文件進(jìn)行修改，CheckPoint提供了兩個(gè)工具：Dbedit和Querydb_util。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)5.增強(qiáng)的網(wǎng)絡(luò)地址轉(zhuǎn)換7.2CheckPointN307.進(jìn)程監(jiān)視CheckPointNG現(xiàn)在能夠監(jiān)視，并且在組件出現(xiàn)故障時(shí)自動(dòng)重新打開它們。該功能通過cpwd_admin命令進(jìn)行控制。8.可視化策略編輯器可視化策略編輯器是一個(gè)附加模塊，能夠根據(jù)安全策略顯示網(wǎng)絡(luò)結(jié)構(gòu)圖。當(dāng)對(duì)象被增加到數(shù)據(jù)庫(kù)時(shí)，它們被加到圖上。圖在對(duì)象數(shù)據(jù)庫(kù)或者是某個(gè)對(duì)象發(fā)生變化時(shí)自動(dòng)更新。可以從拓?fù)鋱D上直接選擇并編輯對(duì)象，也可以將圖輸出到一個(gè)Visio或圖像文件。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)7.進(jìn)程監(jiān)視7.2CheckPointNextG319.安全內(nèi)部通信（SIC）安全內(nèi)部通信（SecureInternalCommunication，SIC）是基于證書的鑒別方法，能夠用于保護(hù)CheckPoint模塊之間的通信，例如防火墻、管理服務(wù)器、OPSEC應(yīng)用以及其他的CheckPoint產(chǎn)品如FloodGate。10.SecureUpdateSecureUpdate是一個(gè)集中的軟件分發(fā)和許可證機(jī)制。組件軟件可以安全地遠(yuǎn)端升級(jí)。此外，CheckPointNG允許許可證集中維護(hù)或是在各個(gè)防火墻上局部安裝。局部許可證與Firewall-14.x許可證機(jī)制的工作方式相同。因?yàn)樗鼈儽唤壎ㄔ诜阑饓Φ腎P地址上。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)9.安全內(nèi)部通信（SIC）7.2CheckPoint32新的集中許可證機(jī)制將許可證與管理站的IP綁定，因此，防火墻IP地址可以不需要申請(qǐng)新的許可證就進(jìn)行更新。這樣做的缺點(diǎn)是：如果管理站的IP地址改變了，所有由該管理站管理的許可證都需要重新生成。11.管理高可用性CheckPointNG引入了管理服務(wù)器冗余的概念?，F(xiàn)在可以定義一個(gè)基本的管理服務(wù)器和一個(gè)或多個(gè)備份管理服務(wù)器。首先安裝的服務(wù)器默認(rèn)是基本服務(wù)器。管理服務(wù)器按照活躍/備用關(guān)系工作?；钴S服務(wù)器可以對(duì)配置進(jìn)行讀/寫，而備用服務(wù)器只是維護(hù)讀復(fù)制。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)新的集中許可證機(jī)制將許可證與管理站的IP綁定，因此，防火墻I33要實(shí)現(xiàn)這一點(diǎn)，必須使用周期性地同步策略來保證一致性。策略同步有兩種方式：自動(dòng)和手工。12.升級(jí)考慮CheckPointNG增加了對(duì)Windows2000和Solaris8（64位）的支持。要直接升級(jí)到CheckPointNG，需要運(yùn)行CheckPoint4.0SPI或更高版本。如果是從Solaris2.6升級(jí)到Solairs8，建議在設(shè)計(jì)OS之前先升級(jí)到CheckPoint4.1SP4。一旦已經(jīng)升級(jí)到Solaris8后，就可以升級(jí)到NG。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)要實(shí)現(xiàn)這一點(diǎn)，必須使用周期性地同步策略來保證一致性。策略同步347.2.3CheckPointNextGeneration的安裝1.在Windows上安裝CheckPointNG防火墻將CheckPointNGFeaturePack3的CD插入光驅(qū)。安裝過程將自動(dòng)開始。如果自動(dòng)運(yùn)行特征被禁用或是安裝過程沒有啟動(dòng)，可以通過單擊光盤上根目錄下的“setup.exe”來運(yùn)行。2.在UNIX上安裝CheckPointNG防火墻第1步，將CheckPointNGCD插入光軀。第2步，作為特權(quán)用戶登錄。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)7.2.3CheckPointNextGenera35第3步，Mount上CD-ROM驅(qū)動(dòng)器第4步，瀏覽到CD的根目錄第5步，要用到兩個(gè)安裝腳本。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)第3步，Mount上CD-ROM驅(qū)動(dòng)器7.2Check36第6步，出現(xiàn)歡迎窗口，它提供以下3種選擇：·PressVtodisplayinformationoninstallingCheckPointasanevaluationcopy（按V鍵顯示將CheckPoin用作評(píng)估安裝的信息）?！ressUtodisplayinformationoninstallingCheckPointasanpurchasedcopy（按U鍵顯示將CheckPoin用作購(gòu)買產(chǎn)品安裝的信息）?！ressNtocontinuetheinstallationprocess（按N鍵繼續(xù)安裝過程）。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)第6步，出現(xiàn)歡迎窗口，它提供以下3種選擇：7.2Chec37第7步，許可證窗口將接著出現(xiàn)。按Y鍵接著按N鍵以繼續(xù)。CheckPoint將安裝SecureVirtualNetwork（SVN）Foundation。這是所有NG核心組件（如防火墻和管理模塊）所要求的。第8步，在產(chǎn)品菜單屏幕上，做下列選擇并且接著按N鍵繼續(xù)：·VPN-1&Firewall-1管理和防火墻服務(wù)?！anagementClients策略編輯器、許可證、監(jiān)視器等的GUI。如果是分布式安裝，防火墻、管理和GUIClient組件必須分布安裝。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)第7步，許可證窗口將接著出現(xiàn)。按Y鍵接著按N鍵以繼續(xù)。Che38第9步，接下來的屏幕處理安裝類型的選擇。選擇安裝類型，按N鍵繼續(xù)。選擇包括：·EnterprisePrimaryManagement：此系統(tǒng)作為基本的管理服務(wù)器。如果這是個(gè)分布式安裝，站點(diǎn)要作為管理服務(wù)器，就必須選該項(xiàng)。·EnterpriseSecondaryManagement：此系統(tǒng)將作為備份管理服務(wù)器。如果計(jì)劃實(shí)施備份管理站，選擇該選項(xiàng)將使得系統(tǒng)稱為二級(jí)管理服務(wù)器。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)第9步，接下來的屏幕處理安裝類型的選擇。選擇安裝類型，按N鍵39·EnforcementModuleandPrimaryManagement：此系統(tǒng)將提供防火墻和管理服務(wù)。如果是個(gè)獨(dú)立配置就選擇該選項(xiàng)?！nforcementModule：此系統(tǒng)將作為執(zhí)行網(wǎng)關(guān)。如果這是個(gè)分布安裝，并且服務(wù)器作為防火墻網(wǎng)關(guān)組件，就必須選擇該選項(xiàng)。第10步，如果在第9步中選擇了任何的管理組件，會(huì)被詢問是否支持向后的兼容性。若使用的是升級(jí)版或是防火墻在一個(gè)混合版本的環(huán)境中管理，應(yīng)該選擇向后兼容。向后兼容性允許從一個(gè)管理站點(diǎn)上管理NG和Firewall-14.x防火墻。注意，不支持Firewall-13.x版本，在Solaris8安裝中，也不支持Firewall-14.x版本。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)·EnforcementModuleandPrimar40第11步，安裝現(xiàn)在提示去證實(shí)安裝選項(xiàng)，按N鍵繼續(xù)，按P鍵回到前一個(gè)屏幕。CheckPoint現(xiàn)在開始安裝組件。第12步，一旦完成安裝，輸入“cpconfig”來完成安裝。第13步，按回車鍵來顯示許可證屏幕。滾動(dòng)許可證屏幕，接著按Y鍵繼續(xù)。第14步，選擇安裝模塊類型。可選項(xiàng)如下：·VPN-1&Firewall-1EnterprisePrimaryManagementandEnforcementModule（VPN-1和Firewall-1企業(yè)基本管理和執(zhí)行模塊）。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)第11步，安裝現(xiàn)在提示去證實(shí)安裝選項(xiàng)，按N鍵繼續(xù)，按P鍵回到41·VPN-1&Firewall-1EnforcementModule（VPN-1和Firewall-1執(zhí)行模塊）?！PN-1&Firewall-1EnterprisePrimaryManagement（VPN-1和Firewall-1企業(yè)基本管理模塊）?！PN-1&Firewall-1EnterpriseSecondaryManagement（VPN-1和Firewall-1企業(yè)二級(jí)管理模塊）?！PN-1&Firewall-1EnterpriseLogServer（VPN-1和Firewall-1企業(yè)日志服務(wù)器）。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)·VPN-1&Firewall-1Enforcement42第15步，如果選擇了VPN-1&Firewall-1EnforcementModule，將會(huì)出現(xiàn)下面提示信息（否則轉(zhuǎn)到第16步）：·IsthisaDynamicallyAssignedIPAddressModuleinstallation?（y/n）[n]?（動(dòng)態(tài)分配IP地址嗎）。·WouldyouliketoinstalltheHighAvailabilityproduce?（y/n）[n]?（安裝高可用性產(chǎn)品嗎）。第16步，在接下來的屏幕上，將提示輸入許可證。按Y鍵可以增加局部許可證。局部許可證有兩種增加方式：手工增加或是從文件中取得。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)第15步，如果選擇了VPN-1&Firewall-1Enf43第17步，如果在第14步中選擇了任何管理組件，將會(huì)提示增加防火墻管理員以及設(shè)置口令。下面是需要實(shí)施的步驟（注意，如果在第14步中選擇了EnforcementModule選項(xiàng)，則直接進(jìn)入第19步）：·輸入管理賬號(hào)名稱?！ぽ斎氩⒋_認(rèn)口令?！楦鞣NGUI組件定義許可權(quán)限，包括ManagementClients，SecureUpdate和Monitoring。為ManagementClients選擇許可權(quán)限。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)第17步，如果在第14步中選擇了任何管理組件，將會(huì)提示增加防44第18步，現(xiàn)在將提示創(chuàng)建GUIClients文件。該文件定義了哪些系統(tǒng)有權(quán)通過GUIClients訪問管理站。在客戶端最好是靜態(tài)IP地址-手工配置或是通過DHCP獲得。通過以隱含方式定義或是在防火墻策略的一個(gè)規(guī)則中專門定義，來保證允許從GUIClient到管理控制臺(tái)的管理連接。第19步，現(xiàn)在將提示修改組的訪問權(quán)限。一般情況下，將授予VPN-1&Firewall-1模塊訪問和執(zhí)行組權(quán)限?？梢袁F(xiàn)在定義組（必須事先存在）或是按回車鍵不設(shè)置組權(quán)限。注意，如果不定義組訪問權(quán)限，將只有超級(jí)用戶可以訪問和執(zhí)行VPN-1&Firewall-1模塊。接下來，將提示證實(shí)選擇。按Y鍵以繼續(xù)或是按N鍵返回并做修改。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)第18步，現(xiàn)在將提示創(chuàng)建GUIClients文件。該文件定45第20步，如果在第14步選擇了VPN-1&Firewall-1EnforcementModule，需要指定一次性口令，該口令用于與基本管理服務(wù)器第一次通信（否則轉(zhuǎn)到第21步）。在通信初始化之前，防火墻服務(wù)一定要重新啟動(dòng)。一旦和基本管理服務(wù)器建立了通信，會(huì)將一個(gè)證書推向防火墻。發(fā)送了證書后，該證書將用于和其他的CheckPoint組件之間的通信，例如管理和日志服務(wù)器。輸入和確認(rèn)口令（策略編輯器中創(chuàng)建防火墻對(duì)象時(shí)用到該口令）。防火墻對(duì)象必須在通信被初始化之前創(chuàng)建。該項(xiàng)工作可以在策略編輯器中完成。第21步，安裝過程會(huì)提示為加密密鑰產(chǎn)生隨機(jī)種子。一直輸入隨機(jī)種子，直到指示條移動(dòng)到最后的位置。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)第20步，如果在第14步選擇了VPN-1&Firewall-46第22步，如果此系統(tǒng)作為基本的管理服務(wù)器，將提示初始化內(nèi)部認(rèn)證中心（CA），并為管理控制臺(tái)創(chuàng)建SIC。SIC證書代替了傳統(tǒng)的fwputkey進(jìn)程，并且為組件間的安全通信提供了機(jī)制。第23步，最后將會(huì)顯示管理服務(wù)器的Fingerprint信息。當(dāng)增加EnforcementModules時(shí)，該信息用于通信第一次初始化時(shí)證實(shí)管理服務(wù)器的標(biāo)識(shí)。7.2CheckPointNextGeneration下一頁(yè)返回上一頁(yè)第22步，如果此系統(tǒng)作為基本的管理服務(wù)器，將提示初始化內(nèi)部認(rèn)477.2.4CheckPointNextGeneration的配置管理1.CheckPointNG策略管理器的操作CheckPointNG策略管理器（PolicyManager）為規(guī)則的產(chǎn)生和策略的產(chǎn)生引入了新的方法。除此之外，一些對(duì)象在它們的屬性窗口中能夠設(shè)置新的選項(xiàng)。2.使用SecureUpdateSecureUpdate用于在分布式的CheckPoint環(huán)境中減輕許可證和軟件升級(jí)管理的負(fù)擔(dān)。SecureUpdate是和策略管理器相獨(dú)立的GUI，可在GUIClient建立過程中安裝。7.2CheckPointNextGeneration返回上一頁(yè)7.2.4CheckPointNextGenera487.3.1CiscoPIX防火墻介紹1.CiscoPIX防火墻的工作機(jī)制CiscoPIX防火墻是一種基于狀態(tài)檢測(cè)包過濾和應(yīng)用代理這兩種技術(shù)的防火墻，它的保護(hù)機(jī)制的核心是能夠提供面向靜態(tài)連接防火墻功能的自適應(yīng)安全算法（AdaptiveSecurityAlgorithm，ASA）。ASA是一種狀態(tài)安全方法，可以跟蹤源和目的地址、傳輸控制協(xié)議（TCP）序列號(hào)、端口號(hào)和每個(gè)數(shù)據(jù)包的附加TCP標(biāo)志。當(dāng)向外發(fā)送的數(shù)據(jù)包到達(dá)CiscoPIX防火墻上安全等級(jí)較高的接口時(shí)，CiscoPIX防火墻將根據(jù)適應(yīng)性安全算法檢查收到的數(shù)據(jù)包是否有效，以及前面收到的數(shù)據(jù)包是否來自于這臺(tái)主機(jī)。7.3CiscoPIX防火墻下一頁(yè)返回7.3.1CiscoPIX防火墻介紹7.3Cisc49當(dāng)向內(nèi)發(fā)送的數(shù)據(jù)包到達(dá)CiscoPIX防火墻的外部接口時(shí)，首先接受CiscoPIX防火墻適應(yīng)性安全檢查。如果外部接口收到的數(shù)據(jù)包能夠通過安全測(cè)試，則CiscoPIX防火墻刪除目的IP地址，并將內(nèi)部IP地址插入到這個(gè)位置，數(shù)據(jù)包將被發(fā)送到受保護(hù)的接口。2.平臺(tái)性能比較下面表76提供了當(dāng)前的CiscoPIX產(chǎn)品序列的平臺(tái)性能比較。7.3CiscoPIX防火墻下一頁(yè)返回上一頁(yè)當(dāng)向內(nèi)發(fā)送的數(shù)據(jù)包到達(dá)CiscoPIX防火墻的外部接口時(shí)，507.3.2CiscoPIX的安全功能CiscoPIX防火墻為網(wǎng)絡(luò)提供了6個(gè)方面的安全功能，即內(nèi)部地址轉(zhuǎn)換（NAT）、切入型代理（Cut-ThroughProxy）、防范攻擊（ProtectingYourNetworkfromAttack）、多媒體支持（MultimediaSupport）、創(chuàng)建虛擬專用網(wǎng)（CreatingaVirtualPrivateNetwork）和故障恢復(fù)（Failover），下面分別介紹這6方面的安全功能。7.3CiscoPIX防火墻下一頁(yè)返回上一頁(yè)7.3.2CiscoPIX的安全功能7.3Cisc511.內(nèi)部地址轉(zhuǎn)換（NAT）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的作用是將內(nèi)部接口上的主機(jī)地址轉(zhuǎn)換為外部接口相關(guān)的Internet合法的IP地址。這樣能防止將內(nèi)部主機(jī)的地址暴露給其他網(wǎng)絡(luò)接口。根據(jù)不同的目的可以用不同的方式來處理。2.切入型代理（Cut-ThroughProxy）切入型代理是CiscoPIX防火墻的獨(dú)特特性，能夠基于用戶對(duì)向內(nèi)或外部連接進(jìn)行驗(yàn)證。與在OSI模型的第七層對(duì)每個(gè)包進(jìn)行分析（屬于時(shí)間和處理密集型功能）的代理服務(wù)器不同，CiscoPIX防火墻首先查詢認(rèn)證服務(wù)器，當(dāng)連接獲得批準(zhǔn)之后建立數(shù)據(jù)流。7.3CiscoPIX防火墻下一頁(yè)返回上一頁(yè)1.內(nèi)部地址轉(zhuǎn)換（NAT）7.3CiscoPIX防火523.防范攻擊（ProtectingYourNetworkfromAttack）CiscoPIX防火墻可以控制與某些襲擊類型相關(guān)的網(wǎng)絡(luò)行為。4．多媒體支持（MultimediaSupport）CiscoPIX防火墻提供支持多媒體應(yīng)用的特性。5.創(chuàng)建虛擬專用網(wǎng)（CreatingaVirtualPrivateNetwork）6.故障恢復(fù)（Failover）借助CiscoPIX故障恢復(fù)特性，用戶可以用一條專用故障恢復(fù)線纜連接兩個(gè)相同的CiscoPIX防火墻設(shè)備，以便實(shí)現(xiàn)完全冗余的防火墻解決方案。7.3CiscoPIX防火墻下一頁(yè)返回上一頁(yè)3.防范攻擊（ProtectingYourNetwor537.3.3CiscoPIX的安裝在開始安裝CiscoPIX防火墻之前，必須先考慮哪種CiscoPIX模式能滿足網(wǎng)絡(luò)或業(yè)務(wù)的需求。因?yàn)镃iscoPIX系列產(chǎn)品中有許多相同的特征和功能，每個(gè)CiscoPIX模式中接口和連接的數(shù)量是不相同的。選擇好CiscoPIX模式后，就可以考慮安裝了。下面分安裝前的準(zhǔn)備和安裝基本配置兩個(gè)過程來介紹CiscoPIX的安裝。1．安裝前的準(zhǔn)備部署中的安裝前階段工作包括選擇許可證和選擇CiscoPIX型號(hào)。7.3CiscoPIX防火墻下一頁(yè)返回上一頁(yè)7.3.3CiscoPIX的安裝7.3Cisco542．安裝基本配置首次安裝CiscoPIX是一個(gè)相對(duì)較直接的過程。如果設(shè)備直接從Cisco公司購(gòu)買的，那么它會(huì)包含有最新的IOS版本，并且也會(huì)包含一個(gè)預(yù)先安裝的56位密鑰，使得能夠利用CiscoPIX的VPN服務(wù)和PDM應(yīng)用。7.3CiscoPIX防火墻下一頁(yè)返回上一頁(yè)2．安裝基本配置7.3CiscoPIX防火墻下一頁(yè)返回557.3.4CiscoPIX的配置CiscoPIX防火墻提供了對(duì)內(nèi)部網(wǎng)上的主機(jī)進(jìn)行控制的功能。這些功能是網(wǎng)絡(luò)地址轉(zhuǎn)換（PIX）、端口地址轉(zhuǎn)換（PAT）、管道以及允許多媒體應(yīng)用穿過防火墻的動(dòng)態(tài)訪問能力。所以，CiscoPIX防火墻除了在安裝過程中進(jìn)行的基本接口配置、接口安全級(jí)別配置、接口IP配置、基本路由配置以及Telnet管理方式的配置外，還要進(jìn)一步進(jìn)行NAT配置、管道配置以及VPN的配置。7.3.5CiscoPIX的高級(jí)功能CiscoPIX的高級(jí)功能主要包括如下幾個(gè)方面：用戶管理、協(xié)議/包管理、冗余性管理、日志和許多其他關(guān)鍵功能。7.3CiscoPIX防火墻返回上一頁(yè)7.3.4CiscoPIX的配置7.3Cisco567.4.1LinuxIPTable的背景介紹1.Linux防火墻的發(fā)展史由于Linux的低成本、堅(jiān)固性、穩(wěn)定性以及對(duì)公開網(wǎng)絡(luò)標(biāo)準(zhǔn)的很好支持，已經(jīng)使其成為很多應(yīng)用中不錯(cuò)的選擇。Linux的防火墻技術(shù)經(jīng)歷了若干代的完善一步步地發(fā)展而來2.iptables基本概念從2.4內(nèi)核開始，防火墻采用了iptables，這是一個(gè)全新的管理內(nèi)核包過慮的工具。iptables可以加入、插入或刪除核心包過濾表格（鏈）中的規(guī)則。7.4LinuxIPTable下一頁(yè)返回7.4.1LinuxIPTable的背景介紹7.4573．iptables規(guī)則啟動(dòng)和停止iptables的方法取決于所使用的Linux發(fā)行版，可以通過查看所使用Linux版本來獲得操作方法。在RedHat中，啟動(dòng)iptables用：#serviceiptablesstart一般情況下，iptables已經(jīng)包含在了Linux發(fā)行版中，可以運(yùn)行iptables--version來查看系統(tǒng)是否安裝了iptables。7.4LinuxIPTable下一頁(yè)返回上一頁(yè)3．iptables規(guī)則7.4LinuxIPTabl587.4.2LinuxIPTable的功能描述有了iptables，防火墻能被設(shè)計(jì)成用來關(guān)聯(lián)所有的返回網(wǎng)絡(luò)流量，這些返回網(wǎng)絡(luò)流量所產(chǎn)生于先前的輸入規(guī)則。通過動(dòng)態(tài)產(chǎn)生一個(gè)返回規(guī)則來簡(jiǎn)單地告知防火墻，成功進(jìn)入主機(jī)的網(wǎng)絡(luò)流量自動(dòng)被允許在返回時(shí)能夠離開主機(jī)，從而在沿著會(huì)話路徑的每一個(gè)鏈中，消除對(duì)規(guī)則的需要。iptables具備這樣的功能，因?yàn)樗怯袪顟B(tài)的（stateful），即能夠?qū)姆阑饓υ劝l(fā)出去的包進(jìn)行回復(fù)，而不用做任何檢查。這樣不用設(shè)置許多規(guī)則定義就可實(shí)現(xiàn)應(yīng)有的功能，在新的內(nèi)核中使用這種有狀態(tài)的能力是被強(qiáng)烈推薦的。7.4LinuxIPTable下一頁(yè)返回上一頁(yè)7.4.2LinuxIPTable的功能描述7.4597.4.3LinuxIPTable的安裝用iptables可以實(shí)現(xiàn)包過慮型防火墻，下面來看看如何安裝這種防火墻。1.系統(tǒng)需求netfilter要求內(nèi)核版本不低于2.3.5，在編譯新內(nèi)核時(shí)，要求選擇和netfilter相關(guān)的項(xiàng)目。這些項(xiàng)目通常都是位于“Networkingoptions”子項(xiàng)下。2.載入模塊要使用iptables，還必須載入相關(guān)模塊?？梢允褂靡韵旅钶d入相關(guān)模塊：7.4LinuxIPTable下一頁(yè)返回上一頁(yè)7.4.3LinuxIPTable的安裝7.4L60#modprobeiptable_tablesmodprobe命令會(huì)自動(dòng)載入指定模塊及其相關(guān)模塊。iptables_filter模塊會(huì)在運(yùn)行時(shí)自動(dòng)載入。7.4.4LinuxIPTable的配置1.語(yǔ)法（1）對(duì)鏈的操作建立一個(gè)新鏈（-N）。刪除一個(gè)空鏈（-X）。改變一個(gè)內(nèi)建鏈的原則（-P）。7.4LinuxIPTable下一頁(yè)返回上一頁(yè)#modprobeiptable_tables7.4L61列出一個(gè)鏈中的規(guī)則（-L）。清除一個(gè)鏈中的所有規(guī)則（-F）。歸零（zero）一個(gè)鏈中所有規(guī)則的封包字節(jié)（byte）計(jì)數(shù)器（-Z）。（2）對(duì)規(guī)則的操作加入（append）一個(gè)新規(guī)則到一個(gè)鏈（-A）的最后。在鏈內(nèi)某個(gè)位置插入（insert）一個(gè)新規(guī)則（-I），通常是插在最前面。在鏈內(nèi)某個(gè)位置替換（replace）一條規(guī)則（-R）。7.4LinuxIPTable下一頁(yè)返回上一頁(yè)列出一個(gè)鏈中的規(guī)則（-L）。7.4LinuxIPTa62在鏈內(nèi)某個(gè)位置刪除（delete）一條規(guī)則（-D）。刪除（delete）鏈內(nèi)第一條規(guī)則（-D）。（3）指定源地址和目的地址通過--source/--src/-s來指定源地址（這里的“/”表示“或者”的意思，下同），通過--destination/--dst/-s來指定目的地址。（4）指定協(xié)議可以通過--protocol/-p選項(xiàng)來指定協(xié)議，比如-ptcp。7.4LinuxIPTable下一頁(yè)返回上一頁(yè)在鏈內(nèi)某個(gè)位置刪除（delete）一條規(guī)則（-D）。7.463（5）指定網(wǎng)絡(luò)接口可以使用--in-interface/-i或--out-interface/-o來指定網(wǎng)絡(luò)接口。需要注意的是，對(duì)于INPUT鏈來說，只可能有-i，也即只會(huì)有進(jìn)入的包；同理，對(duì)于OUTPUT鏈來說，只可能有-o，也即只會(huì)有出去的包。只有FORWARD鏈既可以有-i的網(wǎng)絡(luò)接口，也可以有-o的網(wǎng)絡(luò)接口。也可以指定一個(gè)當(dāng)前并不存在的網(wǎng)絡(luò)接口，比如ppp0，這時(shí)只有撥號(hào)成功后該規(guī)則才有效。7.4LinuxIPTable下一頁(yè)返回上一頁(yè)（5）指定網(wǎng)絡(luò)接口7.4LinuxIPTable下一64（6）指定IP碎片在TCP/IP通信過程中，每一個(gè)網(wǎng)絡(luò)接口都有一個(gè)最大傳輸單元（MTU），這個(gè)參數(shù)定義了可以通過的數(shù)據(jù)包的最大尺寸。如果一個(gè)數(shù)據(jù)包大于這個(gè)參數(shù)值時(shí)，系統(tǒng)會(huì)將其劃分成更小的數(shù)據(jù)包（稱之為IP碎片）來傳輸，而接收方則對(duì)這些IP碎片再進(jìn)行重組以還原整個(gè)包。但是，在進(jìn)行包過濾的時(shí)候，IP碎片會(huì)導(dǎo)致這樣一個(gè)問題：當(dāng)系統(tǒng)將大數(shù)據(jù)包劃分成IP碎片傳送時(shí)，第一個(gè)碎片含有完整的包頭信息，但是后續(xù)的碎片只有包頭的部分信息，比如源地址、目的地址。7.4LinuxIPTable下一頁(yè)返回上一頁(yè)（6）指定IP碎片7.4LinuxIPTable下一65（7）指定非可以在某些選項(xiàng)前加上“!”來表示非指定值，比如“-s-!/32”表示除了以外的IP地址，“-p-!tcp”表示除了TCP以外的協(xié)議。（8）TCP匹配擴(kuò)展通過使用--tcp-flags選項(xiàng)可以根據(jù)TCP包的標(biāo)志位進(jìn)行過濾，該選項(xiàng)后接兩個(gè)參數(shù)：第一個(gè)參數(shù)為要檢查的標(biāo)志位，可以是SYN，ACK，F(xiàn)IN，RST，URG，PSH的組合，可以用ALL指定所有標(biāo)志位；第二個(gè)參數(shù)是標(biāo)志位值為1的標(biāo)志。比如要過濾掉所有SYN標(biāo)志位為1的TCP包。7.4LinuxIPTable下一頁(yè)返回上一頁(yè)（7）指定非7.4LinuxIPTable下一頁(yè)返回66（9）MAC匹配擴(kuò)展可以使用-m選項(xiàng)來擴(kuò)展匹配內(nèi)容。使用--matchmac/-mmac匹配擴(kuò)展可以用來檢查IP數(shù)據(jù)包的源MAC地址。只要在--mac-source后面跟上MAC地址就可以了。（10）LIMIT匹配擴(kuò)展LIMIT擴(kuò)展是一個(gè)非常有用的匹配擴(kuò)展。使用-mnat來指定，其后可以有兩個(gè)選項(xiàng)：--limitavg:指定單位時(shí)間內(nèi)允許通過的數(shù)據(jù)包的個(gè)數(shù)。--limit-burstnumber：指定觸發(fā)事件的閥值，默認(rèn)值是5。7.4LinuxIPTable下一頁(yè)返回上一頁(yè)（9）MAC匹配擴(kuò)展7.4LinuxIPTable下67（11）LOG目標(biāo)擴(kuò)展netfilter默認(rèn)的目標(biāo)（也就是一旦滿足規(guī)則所定義的系統(tǒng)對(duì)數(shù)據(jù)包的處理方法）有：ACEEPT：接收并轉(zhuǎn)發(fā)數(shù)據(jù)包。DORP：丟掉數(shù)據(jù)包。（12）REJECT目標(biāo)擴(kuò)展該目標(biāo)擴(kuò)展完全和DORP標(biāo)準(zhǔn)目標(biāo)一樣，除了向發(fā)送方返回一個(gè)“portunreachable”的ICMP信息外。還有其他一些擴(kuò)展是常用的，如果想了解可以參考Packet-Filtering-HOWTO。7.4LinuxIPTable下一頁(yè)返回上一頁(yè)（11）LOG目標(biāo)擴(kuò)展7.4LinuxIPTable682.iptables設(shè)置示例只需要一個(gè)公網(wǎng)地址設(shè)在外接口上，內(nèi)部用私網(wǎng)地址組網(wǎng)即可，在內(nèi)部服務(wù)器提供Internet服務(wù)。3.使用iptables構(gòu)筑包過濾防火墻配置示例首先看一下服務(wù)器/客戶機(jī)的交互原理。服務(wù)器提供某特定功能的服務(wù)總是由特定的后臺(tái)程序提供的。在TCP/IP網(wǎng)絡(luò)中，常常把這個(gè)特定的服務(wù)綁定到特定的TCP或UDP端口。之后，該后臺(tái)程序就不斷地監(jiān)聽（listen）該端口，一旦接收到符合條件的客戶端請(qǐng)求，該服務(wù)進(jìn)行TCP握手后就同客戶端建立一個(gè)連接，響應(yīng)客戶請(qǐng)求。與此同時(shí)，再產(chǎn)生一個(gè)該綁定的復(fù)制，繼續(xù)監(jiān)聽客戶端的請(qǐng)求。7.4LinuxIPTable下一頁(yè)返回上一頁(yè)2.iptables設(shè)置示例7.4LinuxIPT694．用iptables實(shí)現(xiàn)NAT配置示例在Linux2.4中將NAT分成了兩種類型，即源NAT（SNAT）和目的NAT（DNAT），顧名思義，所謂SNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的源地址，所謂DNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的目的地址。7.4LinuxIPTable返回上一頁(yè)4．用iptables實(shí)現(xiàn)NAT配置示例7.4Linux707.5.1MicrosoftISAServer綜述1.ISA基本特征ISA服務(wù)器改善了Microsoft代理服務(wù)器中的所有特征，并增加了許多新的特征。如同Microsoft代理服務(wù)器的先前版本一樣，ISA服務(wù)器構(gòu)建并得益于Windows操作系統(tǒng)。特別地，它利用活動(dòng)目錄服務(wù)，使得當(dāng)跨過ISA服務(wù)器的陣列時(shí)，仍然能夠保持同步。通過使陣列內(nèi)的服務(wù)器不再有一致的策略，這就減輕了過量的管理負(fù)擔(dān)。由于ISA的優(yōu)化緩存技術(shù)并且支持多處理平臺(tái)，如果運(yùn)行在同樣的硬件環(huán)境下，ISA服務(wù)器的性能要優(yōu)于代理服務(wù)器的10倍。7.5MicrosoftISAServer下一頁(yè)返回7.5.1MicrosoftISAServer綜述7712.ISA組件這一部分討論了ISA服務(wù)器2000可利用的軟件選項(xiàng)。微軟創(chuàng)建了兩個(gè)單獨(dú)版本的ISA：一個(gè)被用來安裝在小型辦公室（家庭辦公室）或者部門環(huán)境中，另外一個(gè)是針對(duì)共同的企業(yè)消費(fèi)者，它們有著更高的可用性和可擴(kuò)展性需求。每一個(gè)版本都提供了防火墻功能、網(wǎng)絡(luò)入侵保護(hù)和網(wǎng)絡(luò)緩存。3.ISA操作模式ISAServer包括針對(duì)標(biāo)準(zhǔn)版和企業(yè)版軟件的3種安裝模式。根據(jù)選擇哪一種模式來安裝，可用的特征集會(huì)有所不同。這3種模式包括防火墻、緩存和集成。7.5MicrosoftISAServer下一頁(yè)返回上一頁(yè)2.ISA組件7.5MicrosoftISASer724.ISA管理對(duì)于目前大多數(shù)的微軟產(chǎn)品來說，ISA的管理結(jié)構(gòu)基于微軟管理控制臺(tái)（MicrosoftManagementConsole，MMC）技術(shù)。MMC包括了ISA的管理工具，這些工具由一組應(yīng)用程序組成，并以控制臺(tái)方式顯示它們，在MMC下，有微軟服務(wù)器應(yīng)用程序經(jīng)驗(yàn)的管理員將會(huì)立即識(shí)別并迅速執(zhí)行ISA系統(tǒng)任務(wù)。MMC可用于兩種模式：需要現(xiàn)存控制臺(tái)來管理系統(tǒng)的用戶模式（user）和允許產(chǎn)生新的控制臺(tái)或者修改現(xiàn)存控制臺(tái)的創(chuàng)始者（author）模式。本部分討論了在MMC用戶模式下的ISA管理工具，包括ISA管理向?qū)Ш途W(wǎng)絡(luò)監(jiān)控工具，包括ISA管理向?qū)Ш途W(wǎng)絡(luò)監(jiān)控工具如報(bào)警、日志和報(bào)表。7.5MicrosoftISAServer下一頁(yè)返回上一頁(yè)4.ISA管理7.5MicrosoftISASer735.報(bào)警當(dāng)指定事件發(fā)生時(shí)，ISAServer報(bào)警服務(wù)能夠通過配置來通知管理員并且觸發(fā)可配置的動(dòng)作。報(bào)警服務(wù)充當(dāng)發(fā)報(bào)機(jī)和事件過濾器。ISA管理控制臺(tái)能查看由ISAServer提供的完全事件列表并且配置應(yīng)該觸發(fā)的動(dòng)作。6.日志ISA服務(wù)器上產(chǎn)生下面的日志文件（每一個(gè)將在后面做簡(jiǎn)要描述）：●數(shù)據(jù)包過濾器。7.5MicrosoftISAServer下一頁(yè)返回上一頁(yè)5.報(bào)警7.5MicrosoftISAServer74●防火墻服務(wù)。●Web代理服務(wù)。要查看可用的日志服務(wù)，打開管理控制臺(tái)。在控制臺(tái)樹形面板里，進(jìn)入InternetSecurityandAccelerationServer|ServersandArrays|Server0rArrayName|MonitoringConfiguration|Logs。7.5MicrosoftISAServer下一頁(yè)返回上一頁(yè)●防火墻服務(wù)。7.5MicrosoftISASer757.報(bào)表ISA服務(wù)器提供基本的報(bào)表工具來幫助分析安全和網(wǎng)絡(luò)使用模式。不過，由于微軟的擴(kuò)展報(bào)表API，第三方報(bào)表工具能夠被用來解釋和報(bào)告ISA的日志。ISA服務(wù)器日志必須能夠檢索當(dāng)前的信息。7.5.2MicrosoftISAServer2004ISAServer2004包含一個(gè)功能完善的應(yīng)用層感知防火墻，有助于保護(hù)各種規(guī)模的企業(yè)免遭外部和內(nèi)部威脅的攻擊。ISAServer2004對(duì)Internet協(xié)議［如超文本傳輸協(xié)議（HTTP）］執(zhí)行深入檢查，這使它能檢測(cè)到許多傳統(tǒng)防火墻檢測(cè)不到的威脅。7.5MicrosoftISAServer下一頁(yè)返回上一頁(yè)7.報(bào)表7.5MicrosoftISAServer76ISAServer的集成防火墻和VPN體系結(jié)構(gòu)支持對(duì)所有VPN通信進(jìn)行有狀態(tài)過濾和檢查。該防火墻還為基于MicrosoftWindowsServer2003的隔離解決方案提供了VPN客戶端檢查，幫助保護(hù)網(wǎng)絡(luò)免遭通過VPN連接進(jìn)入的攻擊。此外，全新的用戶界面、向?qū)?、模板和一組管理工具可以幫助管理員避免常見的安全配置錯(cuò)誤。7.5MicrosoftISAServer下一頁(yè)返回上一頁(yè)ISAServer的集成防火墻和VPN體系結(jié)構(gòu)支持對(duì)777.5.3MicrosoftISAServer2004的安裝和配置ISA防火墻包含一系列功能特征，但并非所有的功能特征都直接與防火墻相關(guān)。因?yàn)樗\(yùn)行在操作系統(tǒng)的上層，所以應(yīng)該充分考慮到應(yīng)用防火墻的某些因素。為在安裝ISAServer本身之前，操作系統(tǒng)就需要采取許多動(dòng)作。7.5MicrosoftISAServer下一頁(yè)返回上一頁(yè)7.5.3MicrosoftISAServer20787.5.4MicrosoftISAServer2004的高級(jí)功能前面對(duì)ISAServer上的許多組件進(jìn)行討論，這些組件擴(kuò)展了ISAServer的功能。下面將著重介紹ISAServer在入侵檢測(cè)、報(bào)警管理、協(xié)議定義、虛擬專用網(wǎng)絡(luò)和應(yīng)用程序過濾方面的能力。在這里并不是泛泛檢驗(yàn)ISAServer上所有可用的特征，而是重點(diǎn)討論在其防火墻解決方案典型的復(fù)雜體系結(jié)構(gòu)中實(shí)現(xiàn)的特征。7.5MicrosoftISAServer下一頁(yè)返回上一頁(yè)7.5.4MicrosoftISAServer20791.包過濾器和入侵檢測(cè)ISA防火墻具有包過濾能力，此外，ISA防火墻也包括基本的入侵檢測(cè)。在任何與Internet連接的防火墻中，啟用包過濾的能力都是非常重要的。ISAServer的包過濾功能，除了能夠在OSl模型的傳輸層上過濾進(jìn)入連接請(qǐng)求外，還能滿足服務(wù)器本身的外部接口的安全需要。因此，開啟包過濾將會(huì)進(jìn)一步支持防火墻。2.報(bào)警管理在ISAServer管理工具中可以配置3種監(jiān)控方法：報(bào)警、日志和報(bào)表作業(yè)。不存在唯一可以利用的工具，例如，一個(gè)預(yù)先定義的性能監(jiān)控參數(shù)的指定集發(fā)送到ISAServer上。7.5MicrosoftISAServer下一頁(yè)返回上一頁(yè)1.包過濾器和入侵檢測(cè)7.5MicrosoftISA803.創(chuàng)建協(xié)議定義ISAServer包含大量預(yù)先定義好的協(xié)議，這些協(xié)議處理了從典型用戶到互聯(lián)網(wǎng)上的最常見類型的連接。防火墻之所以有產(chǎn)生新的協(xié)議定義的需要，是因?yàn)橛幸韵聨追矫娴脑颍骸穹阑饓⒈挥脕磲槍?duì)內(nèi)部網(wǎng)絡(luò)流量分段?！耖_發(fā)了新的協(xié)議?！裆虅?wù)模式在非標(biāo)準(zhǔn)端口上運(yùn)行應(yīng)用程序。7.5MicrosoftISAServer下一頁(yè)返回上一頁(yè)3.創(chuàng)建協(xié)議定義7.5MicrosoftISASe814.虛擬專用網(wǎng)絡(luò)微軟ISAServer支持客戶端到集中器（遠(yuǎn)程訪問）和站點(diǎn)到站點(diǎn)的虛擬專用網(wǎng)絡(luò)（VPN），不過只采用微軟的實(shí)現(xiàn)方式。下面將討論微軟怎樣運(yùn)用VPN技術(shù)，并且強(qiáng)調(diào)如何建立每種類型的VPN。ISAServer的VPN解決方案建立在路由和遠(yuǎn)程訪問服務(wù)（RoutingandRemoteAccessService，RRAS）的基礎(chǔ)上。為了訪問這些功能，必須安裝這個(gè)組件。7.5MicrosoftISAServer下一頁(yè)返回上一頁(yè)4.虛擬專用網(wǎng)絡(luò)7.5MicrosoftISASe825.應(yīng)用程序過濾器ISA防火墻為許多廣泛用在互聯(lián)網(wǎng)上的協(xié)議提供了應(yīng)用層過濾，包括DNS，F(xiàn)TP，POP和SMTP。在一些情況下，如FTP沒有可配置的選項(xiàng)，僅僅可以做出選擇啟用或是禁用過濾器。對(duì)于其他情況，如SMTP有大量可以配置的參數(shù)。在所有情況下，應(yīng)用程序過濾器提供了一個(gè)集中區(qū)域來處理具有已知的漏洞或是默認(rèn)配置的應(yīng)用程序。7.5MicrosoftISAServer下一頁(yè)返回上一頁(yè)5.應(yīng)用程序過濾器7.5MicrosoftISAS836.高可用性在前面介紹了緩存陣列路由協(xié)議提供了針對(duì)Web緩存的負(fù)載平衡方式。然而，它沒有提供針對(duì)防火墻功能的高可用性。為了獲得可用性，可以有兩種選擇，利用微軟的NetworkLoadBalancing（NLB）實(shí)現(xiàn)的網(wǎng)絡(luò)負(fù)載均衡，以及諸如Stonesoft的StonebeatFullCluster第三方工具。7.5MicrosoftISAServer下一頁(yè)返回上一頁(yè)6.高可用性7.5MicrosoftISAServ847.5.5MicrosoftISAServer2004的管理ISAServer2004在網(wǎng)絡(luò)中提供多種功能，可以單獨(dú)地使用這些功能，也可以有選擇地一起使用。ISAServer2004的集成式管理允許使用統(tǒng)一的控制臺(tái)和集成的策略來同時(shí)管理。這樣大大地提高了用戶的可管理性。這里通過兩個(gè)方面來介紹ISA的集成式管理：ISA管理控制臺(tái)和ISA向?qū)?。另外，再介紹如何在ISA中進(jìn)行VPN連接和如何查看ISAServer的日志。7.5MicrosoftISAServer返回上一頁(yè)7.5.5MicrosoftISAServer20857.6.1NetScreen防火墻的背景介紹1.NetScreen背景NetScreen科技公司成立于1997年10月，總部位于美國(guó)加州的硅谷。公司致力于發(fā)展一種新型的與網(wǎng)絡(luò)安全有關(guān)的高科技產(chǎn)品，把多種功能集成到一起，創(chuàng)造新的業(yè)界性能記錄。NetScreen創(chuàng)建新的體系結(jié)構(gòu)并已經(jīng)取得了專利，該項(xiàng)技術(shù)能有效消除傳統(tǒng)防火墻實(shí)現(xiàn)數(shù)據(jù)加盟時(shí)的性能瓶頸，能實(shí)現(xiàn)最高級(jí)別的IP安全（IPSec），先進(jìn)的系統(tǒng)級(jí)的設(shè)計(jì)允許產(chǎn)品提供多種功能，并且這些功能都具有無與倫比的性能。7.6NetScreen防火墻下一頁(yè)返回7.6.1NetScreen防火墻的背景介紹7.6N862.NetScreen主要應(yīng)用產(chǎn)品（1）NetScreen-5000系列（高端應(yīng)用）（2）NetScreen-500（中高端應(yīng)用）（3）NetScreen-50（中低端應(yīng)用）（4）NetScreen-25（中低端應(yīng)用）7.6NetScreen防火墻下一頁(yè)返回上一頁(yè)2.NetScreen主要應(yīng)用產(chǎn)品7.6NetScre877.6.2NetScreen防火墻的功能描述NetScreen有NetScreen-5，是為小型辦公室或個(gè)人用戶而設(shè)計(jì)的，NetScreen-10用于10MB傳輸?shù)木W(wǎng)絡(luò)，NetScreen-100用于100MB傳輸?shù)木W(wǎng)絡(luò)。NetScreen-100端口是自適應(yīng)的端口。NetScreen-100為那些大型企業(yè)和網(wǎng)絡(luò)主干的供應(yīng)商提供千兆網(wǎng)安全的解決方案。NetScreen-1000是市場(chǎng)上唯一千兆的集防火墻、VPN和流量管理于一身的防火墻產(chǎn)品。7.6NetScreen防火墻下一頁(yè)返回上一頁(yè)7.6.2NetScreen防火墻的功能描述7.6N887.6.3NetScreen防火墻的安裝1.NetScreen設(shè)備的安裝NetScreen-100盡管基于的平臺(tái)比較早，但各種接口的布局基本上相同。設(shè)備的前面幾個(gè)是數(shù)碼管、一個(gè)PCMCIA插槽、一個(gè)DB-25串口，還有3個(gè)RJ-45網(wǎng)絡(luò)接口。2.NetScreen安全系統(tǒng)的安裝（1）安裝NetScreen-1000航母級(jí)的NetScreen-1000很復(fù)雜，在這里只就它的設(shè)計(jì)和配置進(jìn)行高度概括性地介紹。該設(shè)備本身裝在一個(gè)8槽CompactPCI模塊化底盤上，可以很容易地固定在19英寸的支架上。7.6NetScreen防火墻下一頁(yè)返回上一頁(yè)7.6.3NetScreen防火墻的安裝7.6Net89遵循著真正航母級(jí)設(shè)計(jì)，底盤上有AC或DC電源、兩個(gè)單獨(dú)的電源插座，還有電纜鉤。（2）架設(shè)NetScreen-1000盡管把NetScreen-1000安裝到裝備架上相當(dāng)容易，但也需要兩到三人同時(shí)工作。一旦NetScreen-1000固定好后，再接好電源線。然后將電源開關(guān)打到關(guān)閉或0位置后，找到兩個(gè)單獨(dú)的電源，插入NetScreen-1000設(shè)備的電源線，再打開設(shè)備的電源開關(guān)。NetScreen-1000就會(huì)開始自檢和啟動(dòng)。7.6NetScreen防火墻下一頁(yè)返回上一頁(yè)遵循著真正航母級(jí)設(shè)計(jì)，底盤上有AC或DC電源、兩個(gè)單獨(dú)的電源90（3）在獨(dú)立配置下連接NetScreen-1000因?yàn)镹etScreen-1000只有兩個(gè)數(shù)據(jù)流的網(wǎng)絡(luò)接口，連接起來很方便。需要注意的是，網(wǎng)絡(luò)連接必須使用支持802.1q的以太網(wǎng)交換機(jī)，因?yàn)镹etScreen-1000在使用VLAN的過程中要產(chǎn)生很多虛擬接口。（4）在冗余配置下連接NetScreen-1000與NetScreen其他產(chǎn)品類似，可以將兩個(gè)或多個(gè)NetScreen-1000設(shè)備連接在一起組成一個(gè)防火墻冗余集。將NetScreen-1000設(shè)備通過輔助模塊的10/100以太網(wǎng)端口連接起來。為了消除任何單點(diǎn)故障，應(yīng)該在不可信網(wǎng)絡(luò)和可信網(wǎng)絡(luò)中使用兩個(gè)路由器和兩個(gè)交換機(jī)。7.6NetScreen防火墻下一頁(yè)返回上一頁(yè)（3）在獨(dú)立配置下連接NetScreen-10007.6917.6.4NetScreen防火墻的配置NetScreen-100是個(gè)長(zhǎng)方形的黑匣子，其正面面板上有4個(gè)接口。左邊一個(gè)是DB25串口，右邊3個(gè)是以太網(wǎng)網(wǎng)口，從左向右依次為TrustInterface，DMZInterface，UntrustInterface。其中TrustInterface相當(dāng)于HUB口，下行連接內(nèi)部網(wǎng)絡(luò)設(shè)備。UntrustInterface相當(dāng)于主機(jī)口，上行連接上公網(wǎng)的路由器等外部網(wǎng)關(guān)設(shè)備；兩端口速率自適應(yīng)（10M/100M）。7.6NetScreen防火墻下一頁(yè)返回上一頁(yè)7.6.4NetScreen防火墻的配置7.6Net921.控制臺(tái)初始化配置在訪問NetScreen圖形化用戶界面（GUI）之前，必須給可信或LAN端的接口端口分配一個(gè)IP地址。本部分提示了在使用GUI訪問之前必須通過命令行接口設(shè)置哪些內(nèi)容。（1）為CLl訪問做準(zhǔn)