NetScreen防火墙策略与冗余配置指南

百度文库专用
NetScreen防火墙策略与冗余配置指南
成都通信建设工程局游凯邮政编码 611130
[摘要]本文通过对NetScreen访问策略其防火墙配置介绍，简要介绍了如何对该产品冗余配置的思路。

[关键词]NetScreen 防火墙NSRP 策略配置冗余
[正文]目录
1NetScreen访问策略的基本概念 (1)
1.1 策略定义 (2)
1.2 策略的构成元素 (2)
2策略简单配置 (3)
2.1 添加地址条目和地址组 (3)
2.1.1添加地址条目 (3)
2.1.2添加地址组 (4)
2.2 创建策略 (4)
3Net screen防火墙（HA）配置 (5)
3.1线缆的连接 (6)
3.2主动NSRP主机上配置 (6)
3.3备份NSRP主机上配置 (6)
3.4检查NSRP配置同步的两种方式 (6)
NetScreen访问策略的基本概念
NetScreen 设备是基于ASIC 的、经ICSA认证1的互联网安全装置和安全系统，它结合防火墙、虚拟专用网(VPN) 和信息流整形功能，当连接到互联网时，对安全区段，如内部局域网(LAN) 或隔离区段(DMZ) 提供灵活的保护。

• 防火墙：防火墙筛选通过专用LAN 和公用网（如互联网）之间边界的信息流。

• VPN：VPN 提供一个在两个或多个远程网络装置之间的安全通道。

• 信息流整形：信息流整形功能允许对通过NetScreen® 防火墙的信息流进行管理监控和控制，来维护网络的服务质量(QoS) 级别。

NetScreen 防火墙的缺省行为是拒绝安全区段间的所有信息流（Untrust 区段内的信息流除外）。

为了允许选定的区段间信息流通过NetScreen 设备，必须创建覆盖缺省行为的区段间策略。

同样，为了防止选定的区段内部信息流通过NetScreen 设备，必须创建区段内部策略。

1.1策略定义
防火墙提供具有单个进入和退出点的网络边界。

由于所有信息流都必须通过此点，因此可以筛选并引导所有通过执行策略组列表产生的信息流。

策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全区段流到另一个安全区段的信息流。

可以决定哪些用户和信息能进入和离开，以及它们进入和离开的时间和地点。

1.2策略的构成元素
信息流（或“服务”）的类型、两端点的位置以及调用的动作构成了策略的基本元素。

共同构成策略核心的必要元素如下：
方向—两个安全区段（从源区段到目的区段）间信息流的方向
源地址—信息流发起的地址
目的地址—信息流发送到的地址
服务—信息流传输的类型
动作—NetScreen 设备接收到满足头四个标准的信息流时执行的动作，这些标准为：perm i t、den y、NAT，或tunnel
相关名词解释如下：
区段
区段可以是网络空间中应用了安全措施的部分（安全区段）、绑定了VPN 通道接口的逻辑部分（通道区段），或者是执行特定功能的物理或逻辑实体（功能区段）。

策略允许信息流在两个安全区段间流动（区段间策略），或在两个绑定到同一区段的接口间流动（区段内部策略）。

地址
地址是通过相对于防火墙（在一个安全区段中）的位置，识别网络设备（如主机和网络）的对象。

要为特定地址创建策略，必须首先在地址列表中创建相关主机和网络的条目。

也可创建地址组，并将策略应用到地址组，就象应用到其它地址条目一样。

服务
服务是使用第 4 层信息（如应用程序服务Telnet、FTP、SMTP 和HTTP 的标准和公认的TCP 和UDP 端口号）识别应用程序协议的对象。

可以定义策略，指定允许、拒绝、加密、认证、记录或统计哪些服务。

动作
动作是描述防火墙如何处理接收到的信息流的对象。

•Permit 允许封包通过防火墙。

• Deny 阻塞封包，使之不能通过防火墙。

•Tunnel 封装外向IP 封包和解除内向IP 封包的封装。

对于L2TP 通道，指定要使用哪个L2TP 通道。

网络地址转换(NAT)
可以在接口级（绑定到Untrust 区段的接口除外）或在策略级应用NAT。

使用基于策略的NAT，可以转换内向或外向网络和VP N信息流中的源地址。

新的源地址可以来自“动态IP”池，或来自“映射IP”（对于内向网络信息流以及内向和外向VP N信息流）。

策略简单配置
要允许信息流在两个区段间流动，应在这些区段间创建允许、拒绝或设置信息流通道的策略。

如果NetScreen 设备唯一能够设置（在策略中引用的）源和目的地址间区段内部信息流的路由的网络设备，则也可创建策略，控制同一区段内的信息流。

也可创建全局策略，使用Global 区段通讯簿中的源和目的地址。

要允许两个区段间（例如，“abc”和“xyz”区段）的双向信息流，需要创建从“abc”到“xyz”的策略，然后创建从“xyz”到“abc”的第二个策略。

两个策略使用相同的IP 地址，只是源地址和目的地址反向。

根据需要，策略可以具有相同或不同的配置。

下面举例说明如何创建一个策略。

假设我们已经在NetScreen上划分了3个区段: Untrust区段, Trust区段和DMZ区段，GPRS网络，3GPS网络和O&M网络分别属于上述3个区段。

如下图所示：现在我们要创建一组策略，让GPRS网络和3GPS网络的中的相关GTP地址之间，可以互相收发GTP协议包。

下面我们分步骤创建该策略。

1.3添加地址条目和地址组
首先我们需要分别在Untrust区段和Trust区段增加GPRS网络和3GPS网络的相关GTP 地址。

1.3.1添加地址条目
比如在Trust区段中，我们要添加GGSN和SGSN的两个GTP地址：221.130.29.54和221.130.29.50。

在NetScreen的Web界面上：
1.Objects > Addresses > List >（对于Zone：Trust）New：输入以下信息，然后单击
OK：
Address Name: GGSN3G_GTP
Comment：3G GGSN GTP address（可选）
IP Address/Domain Name中
选中IP/Netmask: 221.130.29.54/32
Zone: Trust （选择）
2.Objects > Addresses > List > （对于Zone：Trust）New：输入以下信息，然后单击
OK：
Address Name: SGSN3G_GTP
Comment：3G SGSN GTP address（可选）
IP Address/Domain Name中
选中IP/Netmask: 221.130.29.50/32
Zone: Trust （选择）
注：如果添加的IP地址不是一个地址，而是一个地址段，可以通过改变地址掩码来实现。

如果用CLI命令：
1.set address trust “GGSN3G_GTP” 221.130.29.54 255.255.255.255
2.set address trust “S GSN3G_GTP” 221.130.29.50 255.255.255.255
1.3.2添加地址组
为了方便记忆和操作，我们可以把几个地址条目和地址组合成一个地址组。

1.Objects > Addresses > Group >（对于Zone: Trust）New：输入以下组名称，移动以下
地址，然后单击OK：
Group Name: GTP_3G
选择GGSN3G_GTP，并使用<< 按钮将地址从Available Members 栏移动到Group
Members 栏中。

选择SGSN3G_GTP，并使用<< 按钮将地址从Available Members 栏移动到Group
Members 栏中。

如果用CLI命令：
1. set group address trust “GTP_3G” add “GGSN3G_GTP”
2. set group address trust “GTP_3G” add “SGSN3G_GTP”
同样地，参照上述过程，可以在Untrust区段，创建一个GTP_2G的地址组。

1.4创建策略
下面我们创建一条从Trust 区段的GTP_3G到Untrust区段的GTP_2G的允许GTP访问的策略。

在NetScreen的Web界面上：
1.在Policies 中，选择From：Trust，To：Untrust，然后选择New。

2.在Name（optional）中可以填入策略名称，如“GTP 3G to 2G”。

3.在Source Address 上选中Address Book Entry，然后选择GTP_3G。

在Destination
Address 上选中Address Book Entry，然后选择GTP_2G。

注：如果需要选择Address Book Entry中的多个地址/地址组，点击Multiple按钮然后逐个选择添加即可。

如果不是在Address Book Entry中选择地址/地址组，而是新指定的地址，那么需要选中New Address并添加新地址。

4.在Service中选择GTP All versions。

注：如果需要选择Service中的多个服务，点击Multiple按钮然后逐个选择添加即可。

5.Application中保留默认值None。

6.Action中保留默认值Permit。

7.一般不操作Antivirus Objects功能。

8.Tunnel中保留VPN和L2TP的默认值None。

9.如果需要收集该策略的log信息，在Logging上选中。

10.点击OK按钮，完成设置。

如下图所示：
如果用CLI命令：
1. set policy id 29 name "GTP 3G to 2G" from "Trust" to "Untrust" "GTP_3G"
"GTP_2G" "GTP All versions" permit
同样地，参照上述过程，我们创建一条从Untrust 区段的GTP_2G到Trust区段的GTP_3G的允许GTP访问的策略。

这样，我们就完成了GPRS网络和3GPS网络的中的相关GTP地址之间，允许互相收发GTP协议包的策略设置。

Net screen防火墙（HA）配置
Netscreen考虑到网络设备不可中断性，设计了一种专门可供备份“Netscreen冗余协议(NSRP)”，冗余协议(NSRP)是一种在选定的Netscreen设备上支持的、可提供高可用性(HA) 服务的专有协议。

要正常起到网络防火墙的主备作用，必须将Netscreen设备放置在所有区段间流量都必须通过的单一点上。

因此，保持流量不中断流动至关重要，即使在设备或网络发生故障时也应如此。

Trust区段安全区段间流过的所有流量都必须通过Netscreen设备。

Untrust区段要确保
流量的连续流动，可以通过冗余集群方式用电缆连接并配置两台Netscreen设备，其中一台作为主设备，另一台作为它的备份。

主设备将所有的网络和配置设置以及当前会话的信息传播到备份设备。

主设备出现故障时，备份设备会晋升为主设备并接管流量处理。

在这种情况下，两种设备处于主动/被动配置；即主设备为主动，处理所有防火墙和VPN活动，备份设备为被动，等待主设备让位时接管。

然而如果需要NSRP协议起作用，必须用电缆线，把整防火墙的应用端口连接起来。

另外，如果要维持NSRP集群中Netscreen设备的一个或多个物理接口的管理流量的网络连接。

在现有网络进行主动/被动配置的NSRP：
1.5线缆的连接
1.把所有的防火墙上的物理端口分别于交换机端口相连；
2.用2根心跳线连接防火墙的HA1和HA2端口。

1.6主动NSRP主机上配置
在web界面下：
work > Redundancy > Settings：输入以下内容，然后单击Apply：
Cluster ID: 1
2.Monitor Port Edit: 选择ethernet1/1、ethrnet1/2、ethrnet2/1 和ethernet3/1，
然后单击Apply，设置监控的端口并返回到“General NSRP”配置页。

NSRP RTO Mirror Synchronization: （选择）
如果没有启用自动RTO 同步选项，则可以用CLI 命令exec nsrp sync rto all 手动同步RTO。

3．最后保存设置，设置之后的web界面如图：
1.7备份NSRP主机上配置
在备份主机上的设置与主动机器上的设置完全相同。

1.8检查NSRP配置同步的两种方式
1．插拔端口连线，模拟主机发生故障时，检查备份主机是否能自动晋升为主动主机；
2．使用命令：exec nsrp sync global-config check 查看主/被信息。

[作者简介]
游凯毕业于北京邮电大学，成都通信建设工程局GPRS核心网络测试工程师，长期从事GPRS核心网络测试等项目实施，积累了丰富的核心网理论和实践知识，现积极参与阿尔卡特GPRS核心网络产品的现网测试工程中，对GPRS核心网络方面知识有较深的理解。

史上最快最全的网络文档批量下载、上传、处理，尽在：/。