SSG配置手册-参考资料
目录导航
1 概念与简介 4
1.1 Universal Security Gateway Architecture(通用安全网关架构) 4
1.1.1 Multiple Security Zones(多安全区域) 4
1.1.2 Security Zone Interfaces(安全区域端口) 4
1.1.3 Virtual Routers(虚拟路由器) 5
1.1.4 Access Policies(访问策略) 5
1.1.5 VPNs(虚拟专用网络) 6
1.1.6 Virtual Systems(虚拟系统) 6
1.1.7 Packet Flow Sequence(数据包处理过程) 7
1.2 Zones(区域) 8
1.2.1 Security Zones(安全区域) 8
1.2.2 Tunnel Zones(隧道区域) 8
1.2.3 Function Zones(功能区域) 9
1.3 Interfaces(端口) 11
1.3.1 Interfaces Types(端口类型) 11
1.3.2 Interfaces Settings And Operation Modes(端口设置和运行模式) 11
1.3.3 Secondary IP Addresses(第二IP地址) 13
1.3.4 Management Services Options(管理服务选项) 13
1.3.5 Interface Services Options(端口服务选项) 14
1.3.6 Firewall Options(防火墙选项) 14
1.4 Administration(管理) 15
1.4.1 Management Methods and Tools(管理方法和工具) 15
1.4.2 Levels of Administration(管理权限等级) 16
2 基本管理 20
2.1 通讯连接的设置 21
2.2 Web管理连接设置 23
2.3 防火墙基本设置 27
2.3.1 设置访问超时时间 27
2.3.2 设置管理员 29
2.3.3 设置DNS 32
2.3.4 设置Zone(安全区域) 34
2.3.5 设置Interface(接口) 36
2.3.6 设置router(路由) 40
2.3.7 设置policy(策略) 43
2.3.8 保存配置及配置文件 49
3 透明模式 53
3.1 设置管理端口 54
3.2 设置透明模式 54
3.3 其他相关命令 55
4 NAT模式及Route模式 56
4.1 NAT模式 56
4.1.1 基于端口的NAT 57
4.1.2 基于策略的NAT 60
4.2 Route模式 62
4.3 MIP和VIP 63
4.3.1 MIP 63
4.3.2 VIP 66
4.4 DIP(虚拟IP) 70
5 VPN(虚拟专用网络) 73
5.1 Manual Key 73
5.1.1 配置Manual Key 73
5.1.2 配置路由 75
5.1.3 配置Policy 75
5.2 AutoKey IKE 78
5.2.1 Policy-based IKE 78
5.2.2 Route-based IKE 81
5.3 VPN TroubleShooting(VPN 错误检测) 83
6 常见问题及解决方案 84
6.1 透明模式 84
6.1.1 配置管理问题 84
6.1.2 连接问题 85
6.2 NAT和Route模式 86
6.2.1 配置管理问题 86
6.2.2 连接问题 86 概念与简介
Universal Security Gateway Architecture(通用安全网关架构)
NetScreen Screen OS 4.0 引入了Universal Security Gateway Architecture(通用安全网关架构),这个架构使得用户在实施网络安全策略时更具灵活性。在多端口的NetScreen设备中,用户可以建立不同Zone(安全区域),并将端口绑定在不同的安全区域,在端口之间建立相应的安全策略。
Multiple Security Zones(多安全区域)
安全区域是一个或多个需要对进出数据进行策略控制的网络。用户可以根据自己的需要来定义安全区域,也可以利用预定义的安全区域:Trust、Untrust、DMZ(与之前的
ScreenOS兼容),安全区域之间的访问只有策略允许下才能进行。
Security Zone Interfaces(安全区域端口)
安全区域的端口可以说是TCP/IP数据通过该安全区域的门口。
端口有两种:
Physical Interfaces(物理端口):由端口的物理位置定义,如ethernet1、ethernet2(固定端口)、ethernet2/1、ethernet2/2 (端口模块)
Subinterfaces(子端口):在支持Virtual System(虚拟系统)的设备上,用户可以将一个物理端口分成几个虚拟子端口,如ethernet1.1、ethernet1.2(固定端口)、ethernet2/1.1、ethernet2/1.2 (端口模块)。
Virtual Routers(虚拟路由器)
虚拟路由器和路由器的功能是一样的,它有自己的端口和路由表。在USGA,NetScreen设备支持两个虚拟路由器,这样设备可以维护两个独立的路由表,互相隐藏路由信息。
Access Policies(访问策略)
每次有数据包尝试通过另一个安全区域时,NetScreen设备就会检查访问策略,如果有允许的策略的话,就会让数据包通过,否则就会拒绝通过。
VPNs(虚拟专用网络)
所有NetScreen安全设备中都整合了一个全功能VPN解决方案,它们支持站点到站点VPN及远程接入VPN应用。
通过VPNC测试,与其他通过IPSec认证的厂家设备兼容。
三倍DES,DES和AES加密使用数字证书(PKIX.509),自动的或手动的IKE。
SHA-1和MD5认证
同时支持网状式(mesh)及集中型(hub and spoke)的VPN网络,可按VPN部署的需求,配置用其一或整合两种网络拓扑。
NetScreen设备支持多种VPN的选项,具体见VPN章节。
Virtual Systems(虚拟系统)
高端的NetScreen设备(NS-500以上)支持虚拟系统,每个虚拟系统都有独立的地址簿、策略和管理功能,相当独立的安全系统。虚拟系统与802.1q VLAN标记相结合,把安全区域延伸到整个交换网络中。
Packet Flow Sequence(数据包处理过程)
当数据包从外部进入Netscreen设备时,首先是进入外部的接口,判断目的地址是否需要MIP或VIP转换,如果需要按照设定来转换,然后根据查找路由表上是否有路由,如果有查找策略中是否允许数据包进入,当查找到第一条与目的地址有关系的策略时,就根据策略决定是否允许数据包按照路由表的指定来传递,如果允许就传递到目的的地址。
Zones(区域)
Zone是一个可以应用安全措施虚拟网络空间(security zone),一个能够被VPN隧道端口绑定的逻辑片断(tunnel zone),或者是一个能够履行一个特殊的功能的物理或逻辑实体(function zone)。
Security Zones(安全区域)
在单一的一个Netscreen设备上,你能够配置多个安全区域,把网络分解成多个能应用各种不同的安全策略的部分,以满足每一个部分不同的需要。最低限度,你必须定义两个 Security
Zone,去建立一个网络中的区域到另外的区域的基本保护。你也可以定义许多的Security Zone,可以给你的安全设计带来很好的功能――不再需要为此再应该多种的安全工具了。
Tunnel Zones(隧道区域)
Tunnel Zone 是主管一个或多个隧道接口的逻辑部分。它被Security Zone联合起来作为行动的载体。Netscreen设备用路由信息为载体区域指导通向隧道终点的流量。默认的Tunnel Zone是Untrust-Tun,它是关联Unstrust Zone的。你可以创建其他的Tunnel Zone,并用在虚拟系统的载体区域中,对一个Tunnel Zone可以用的最大数目来绑定到其他的Security Zone。
Function Zones(功能区域)
一共有四个Function Zone分别是Null,MGT,HA和Self。每个Zone都为了一个单一的功能而设立的。
Null Zone(空区域):这个区域是一个为了还没有绑定到其他的区域的端口做临时存放的区域。
MGT Zone(外带宽管理区域):这个区域主要包括了对外带宽管理端口。包括MGT。
HA Zone(高可用性区域):这个区域主要包括了高可用性的端口。包括HA1和HA2。
Self Zone(远程管理区域):这个区域主要包括用于远程管理连接的端口。当你通过Http,SCS或Telnet连接到Netscreen上面的时候,你就是连接到这个区域。
Interfaces(端口)
创建玩一个区域,下一步就是创建一个端口。你必须创建一个端口,并把它绑定到一个区域,和指定允许流量流进或流出这个区域。然后,你必须设置路由和配置访问策略以允许流量从一个端口到另一个端口。物理端口和子端口,就像一个门口,允许流量流进和流出一个区域。你可以指派多个端口给一个区域,但是一个端口只能被指派给一个区域。
Interfaces Types(端口类型)
端口类型一共有三种,分别是物理端口(Physical Interface),子端口(Subinterface)和隧道端口(Tunnel Interface)。
Interfaces Settings And Operation Modes(端口设置和运行模式)
端口可以被配置成为三种不同的模式:网络地址转换模式(NAT Mode),路由模式(Route Mode)和透明模式(Transparent Mode)。当你配置端口的时候,你可以选择其中的一种模式。
Transparent Mode(透明模式):当端口是处于透明模式下的时候,Netscreen过滤穿过防火墙的包时是不会改变在IP包头的原地址和目的地址的信息的。所有的端口就像存在于同一个网络中,而Netscreen就像一个二层的交换机或路桥。在透明模式下,端口的IP地址要设为0.0.0.0,使得Netscreen就好像不存在,或者说是对于用户来说是“透明”的。
Network address translation Mode(网络地址转换模式):当端口是处于NAT模式下的时候,Netscreen就像是一台3层的交换机或路由器,能够转换穿过防火墙出
去的IP包头的两个组成部分:源IP地址和源端口号。Netscreen会把源地址转换为包需要传送到的目的区域的端口IP地址。而且它也会把源端口号转换为另一个由Netscreen自己产生的随机号。
Route Mode(路由模式):当端口是处在路由模式下的时候,Netscreen会路由数据包而不执行网络地址转换,就是说,当经过Netscreen的时候,数据包头的源地址和源端口号都不会被转换。不像NAT模式,你不需要在端口建立MIP或者VIP地址,路由模式可以允许进入的会话到达主机。也不像透明模式,在Trust Zone中的端口和在Untrust Zone中的端口是处于不同的子网。
Secondary IP Addresses(第二IP地址)
每一个Netscreen的端口都有一个单一的,独一无二的主IP地址。然而,在一些环境下却需要端口要有多个IP地址。例如,一个组织可能会有另外的IP地址分配,而且可能并不希望加一些路由去配置它们。特别是当一个组织有许多的网络设备以至于超过他们的子网可以控制的范围,就是说超过254台主机连接到一个子网上。为了解决这些问题,你就需要增加第二IP地址到在Trust Zone,DMZ Zone或用户定义的Zone中的端口上。
Management Services Options(管理服务选项)
你可以配置端口来应用不同的管理方法。例如,你可以应用本地管理在一个端口,而应用远程管理在另一个端口。你也可以把一个端口专门用作管理端口,这样可以把管理流量和用户流量完全区分开。
你可以选择以下一种或多种管理服务:WebUI,Telnet,SNMP,SCS,SSL。
Interface Services Options(端口服务选项)
这些服务会影响你的Netscreen的表现,你可以从中选择需要的来配置你的网络。
你可以选择以下一种或多种端口服务:Ping, Ident-reset, DHCP Relay Agent, Enable DHCP Relay VPN Encryption。
Firewall Options(防火墙选项)
Netscreen防火墙通过检测去保护一个区域,然后允许或禁止所有企图穿过端口的连接。为了保护其他区域的反攻击,你能够启动一些防御工具去侦察或转移通常的网络进攻。具体工具请参考不同版本的Netscreen文档。
Administration(管理)
这章描述了不同的管理方法和工具,保护管理流量的方法和你可以付给管理者的管理权限等级。
Management Methods and Tools(管理方法和工具)
WebUI(Web管理界面):
为了灵活方便的管理,你可以用Web管理界面。Netscreen用Web技术提供了一个Web-Server的管理界面去配置和管理软件。
Http:用一个标准的网页浏览器,你就可以运用HTTP远程访问,检视,控制你的网络配置。
Secure Sockets Layer:SSL是一整套能够提供安全连接的协议,用于一个基于TCP/IP的网络中网页客户端和服务器的通信。Netscreen的Web
管理能够提供这方面的安全协议。
CLI(命令行界面):
高级管理人员能够运用命令行界面来进行更好的控制。为了用CLI来配置Netscreen,你可以用一些软件去仿效VT100终端。你可以用基于Windows,Unix和Macintosh的控制台,又或者是Telnet或Secure Command Shell(SCS)。
Levels of Administration(管理权限等级)
Netscreen支持多个管理员。当管理员作出了对系统配置的更改时,系统会记录一下的信息入日志:
更改的管理员姓名
更改的来源的IP地址
更改的时间
管理权限的具体设置,请参考2.3.6设置管理员这章。
有不同等级的管理员,每个等级的权限由Netscreen来设定。
Root Administrator(主管理员)
主管理员有全部所有的管理权限。每台Netscreen设备只有一个主管理员。主管理员有一下的权限:
管理整个Netscreen系统
增加,删除和管理所有的其他管理者
建立和管理virtual system(虚拟系统),分配物理端口和逻辑端口给它们
增加,删除和管理virtual router(虚拟路由)
增加,删除和管理security zone(安全区域)
分配端口到安全区域
Read/Write Administrator(读/写管理员)
读/写管理员拥有和主管理员一样的权限,除了增加,删除和管理其他的管理者这一条。
Read-Only Administrator(只读管理员)
只读管理员在WebUI上只有看的权利,而在CLI上只有get和ping这两条系统命令的权限。只读管理员的权限如下:
只读权限在CLI上,可以运行下面四条命令:enter,exit,get和ping
在虚拟系统中也只有只读的权限
VSYS Administrator(虚拟系统管理员)
虚拟系统管理员能够配置Netscreen系统以支持虚拟系统。每一个虚拟系统都是一个独立的安全域,在一个虚拟系统中的管理权限都只是针对这一个虚拟系统的。
虚拟系统管理员能够通过WebUI或者CLI来独立管理虚拟系统。在每一个虚拟系统上,虚拟系统管理员都有一下的权限:
创建,修改用户
创建,修改服务
创建,修改访问策略
创建,修改地址
创建,修改VPN
创建虚拟系统管理员的登录密码
创建,管理安全区域
VSYS Read/Only Administrator(虚拟系统只读管理员)
虚拟系统只读管理员在WebUI上只有看的权利,而在CLI上只可以执行enter,exit,get和ping的指令。
Adding Admin Users(增加管理员)
主管理员是唯一一个可以创建,删除和修改管理员的。
WebUI:进入Admin>>Admin>>New Local Administrator ,然后填入name(名称),password(密码)两次和选择Privileges(权限),最后按OK。
CLI:输入命令 所set admin user name password password privileges privileges 斜体部分为需要设置部分。
基本管理
NetScreen防火墙支持多种管理方式
:WEB管理,CLI (Telnet) 管理,NetScreen Global Pro/ Express管理,SNMP管理和第三方的集成管理。本操作手册仅介绍CLI和WEB管理界面及基本操作;所有例子都以NetScreen-5XT为例。
NetScreen-5XT端口示意图
通讯连接的设置
通讯连接的初始化设置:
CONSOLE口的设置
使用CONSOLE口进行配置
1.把配送的线的一端插在防火墙的CONSOLE口,线的另一端插在转换插头后插在PC的串行口上。
2.打开WINDOWS的附件-》通讯-》超级终端 ,选择插有CONSOLE线的串口连接。然后配置如图:
选择连接所用的串行口
设置串口属性:9600-8-无-硬件
3.按回车
4.出现提示符号后输入帐号密码进入设置命令行界面
默认帐号:Netscreen;密码Netscreen
5.进入Netscreen命令行管理界面
Web管理连接设置
设置流程:
1)设置接口IP;
2)启动接口的web管理功能;
3)连通PC和防火墙间的网络,通过浏览器的web界面进行具体功能设置;
1.设置接口IP
若所有接口均未配置IP(Netscreen设备初始化设置),需设置一个端口IP,用于连接web管理界面,这里设置trust端口;
在命令行模式下输入:
ns5XT->set int trust ip
命令说明: A.B.C.D为IP地址,通常设置为一个内网地址,E 为IP地址的掩码位,通常设为24。
此时通过get interface命令可以看到端口状态的改变:
可以看到trust端口已经配置了IP为10.10.10.1/24,即端口已经拥有IP,可以进行网络连接了。
2.启动接口的web管理功能:
接口管理IP配置完成后,启动接口的web管理功能;
ns5XT->set int trust manage web
3.连通PC与防火墙间的网络,通过浏览器进入防火墙的web图形管理界面
建立对于NS-5,NS-10,NS-100防火墙,PC与trust口,DMZ口采用直通电缆连接,PC与untrust口的连接采用交叉线。对于NS-25,NS-200及以上产品,PC与防火墙所有端口的连接都采用直通电缆。
将PC网卡的IP地址设置成与防火墙相应端口的管理IP同一个网段内;
打开浏览器,键入防火墙的管理IP,打开登陆画面;
输入帐号密码后进入web管理界面
防火墙基本设置
设置访问超时时间
Web:
在Web中的Configuration>Admin>Management中的Enabel Web Management Idle Timeout 中填入访问超时的分钟数,并在前面打勾。
CLI:
NS5XT->set admin auth timeout
设置管理员
对于Netscreen的管理权限,可以参考1.4.2管理权限等级这章的描述。以下只描述Root管理员的配置方法,其他管理员配置方法类似。
进入Configuration>Admin>Administrators ,在这里可以管理所有的管理员。
1.设置超级管理员(Root)
WEB:
点击超级管理员(超级管理员的权限为root,默认名为netscreen)的option项中的Edit链接,
打开管理员设置页面。
更改管理员登录名和密码,点击ok按钮完成设置。
CLI:
NS5XT->set admin name
NS5XT->set admin password
2.添加本地管理员
WEB:
点击New链接,打开配置页。
输入管理员登录名和密码,指定权限(可选ALL或Read_ONLY,ALL表示该管理员具有更改配置的权限,READ_ONLY表示该管理员只能查看配置,无权更改)。
点击ok按钮完成设置。
CLI:
NS5XT->set admin user
设置DNS
Web:
打开Network>DNS页面,可配置Host Name(主机名),Domain Name(域名),Primary DNS Server(主名称服务器),Second DNS Server(次名称服务器),还有DNS每天更新的时间。配置完后按Apply按键实施。
CLI:
NS5XT->set hostname
NS5XT->set domain
NS5XT->set DNS host
设置Zone(安全区域)
Web:
打开Network>Zones页面,可配置已存在于Netscreen设备的所有Zone(并不是所有Zone都可以配置,有许多默认的Zone是不允许配置的,在Configure中不会出现Edit)。按New按键可以新增一个Zone。
CLI:
NS5XT->set zone
设置Interface(接口)
WEB:
打开Network>Interfaces,选择需要配置的接口对应的属性页(有四个可选接口Trust、Untrust、DMZ和Tunnel,其中Trust、Untrust和DMZ为物理接口,Tunnel接口为逻辑接口,用于VPN。对于ns-5系列防火墙,无DMZ端口)。
点击对应接口Configure列中的Edit链接,打开接口配置窗口。(对于不同模式的Interface,进入后的配置会不同,这里用NAT模式做例子,透明模式会少一些配置的内容)
Zone name: 设置从属的安全区域;
IP Address/Netmask:设置接口的IP和掩码;
Manage IP:设置该接口的管理用IP,该IP必须与接口IP处在同一个网络段中,如果系统IP被设为0.0.0.0,则该Manage IP默认为接口IP。
Interface Mode:设置接口模式,仅trust接口具有该项。可以选择NAT模式或Route模式。当trust接口工作在NAT模式时,任何进入该接口的数据包都会被强制做地址转换。当接口工作在Route模式时,防火墙的默认工作相当与一台路由器,如果要将防火墙实现基于策略的NAT(具体操作请参阅本文档NAT一节)功能,请将trust接口设置成此模式。
Management Services:选中或清除web、telnet、snmp等复选框可以启用或禁止该接口的相应管理功能。如清除web复选框,再点击save按钮后,该接口的web管理功能关闭,用户无法通过该接口的管理ip进入web管理界面,同时在该接口上的所有web管理连接都将丢失。
设置完成后点击Apply按钮记录设置。
CLI:
设置接口IP:
NS5XT->set interface
trust|dmz> ip
设置接口网关:
NS5XT->set interface < trust|untrust|dmz > gateway
启动接口的管理功能:
NS5XT->set interface
关闭接口的管理功能:
NS5XT->unset interface
设置Trust接口工作模式:
NS5XT->set interface trust
设置router(路由)
打开Network>Routing>Routing Table页面,可以看到本防火墙所有的路由,并可以在List route entries for下选择不同的虚拟路由器下的路由列表。(关于虚拟路由器的概念,请参考1.1.3虚拟路由器章节)
1.添加路由
WEB:
在右上角选择需要添加路由的虚拟路由器,然后按New按键,进入新增路由页面。
添加目标网络号(Network Address),掩码(Netmask),网关地址(Gateway IP Address)和使用的网络接口(Interface)。
CLI:
NS5XT->set route
NS5XT->save
2.删除路由
WEB:
在Network>Routing>Routing Table页面,点击要删除的路由项configure列的Remove链接。(系统自动生成的路由表项—如接口配置IP后的本地路由项—不能被删除。)
CLI:
NS5XT->unset route
NS5XT->save
注:unset命令为set命令的反操作。
设置policy(策略)
策略可以看作由适用对象,操作和附属选项组成。
使用对象包括①源对象,②目标对象,③使用协议三项,用来描述此策略的适用对象(注:在Netscreen OS 4.0中,策略只能是相对Zone而言的,也就是说,所有的源和目的的对象都必须是Zone)。
操作包括①允许或禁止该连接②是否启动NAT。
附属选项包括①是否需要用户验证,②是否进行带宽限制,③该连接的有效时间和④记录该连接的流量、日志等。
与许多防火墙设备不同,Netscreen防火墙实现的是基于状态的包过滤(或称包检查),因此只要建立单向的允许策略,则防火墙会动态的开放数据包的返回路径。
当连接需要应用策略时,是按照策略的顺序向下查询,一旦找到适合的策略,就会应用此策略。因此当两个策略的条件重叠的时候,只有上面的策略可以生效。
Web:
打开Policies页面,可配置所有的策略。左上角是选择源对象与目的对象(只会出现包含Interface的Zone),按Go按键会显示对应的策略。
按Search按键会出现搜索页面,填入搜索条件,按Go按键,会出现搜索的结果。
按New按键会出现对应源与目的对象的新增策略页面。
Name:输入策略名(From Private to Public)
Source Address:在New Address中填入源地址或在Address Book的
下拉菜单中选择已在地址簿中定义的源地址列表(详情可以参考配置Object(对象)章节)
Destination Address:在New Address中填入目的地址或在Address Book的下拉菜单中选择已在地址簿中定义的目的地址列表
Service:选择该策略对应的数据流所使用的协议类型和端口号。系统已预定义了50种常用协议使用的协议和端口号,当然用户也可以自定义。
Action:选择策略的类型,分别是Permit(允许操作),Deny(否定操作)和Tunnel(通道操作-用于VPN,详情请看VPN章节)
Tunnel:当Action选择了Tunnel时,在此选择配用的VPN通道。
Position at Top:当选择了的时候,策略生成后会出现在第一位。
按Advanced按键可配置高级的内容
Authentication:是否启用用户验证,如选用Auth Server,则用户在Object页中设置,详情请看配置Object对象章节。如选用WebAuth,则启用网页认证功能,用户必须先到在Interface中指定的WebAuth地址验证,才可以进入那个Interface端口。WebAuth服务在Configuration > Auth > WebAuth中设置。
Logging :启动连接记录
Couting:启动记录统计
Schedule:选择该策略的有效时间段,该时间段在Object的Schedule中设置
Traffic Shaping:设置该策略定义的连接的有效带宽和优先级
保存配置及配置文件
1.保存改变的配置
在WEB模式下,设置更改后按页面中的save,ok或Apply按钮后系统自动保存设置;
在CLI模式时,设置完成后,输入save命令完成设置保存。
2.保存配置文件
Web:
打开Configuration>Update>Config File页面,可以浏览Netscreen设备现在的配置文件,按Save to File按键,则可以把配置文件存入硬盘。
注:在Web形式下,配置文件只能保存到相连的主机,而不能保存到TFTP服务器。
CLI:
NS5XT->save config to tftp
注:在CLI形式下,配置文件只能保存到相连的TFTP服务器,而不能保存到主机。
3.启用配置文件
Web:
打开Configuration>Update>Config File页面,选择需要的配置文件,然后按Apply按键,如果文件准确,就会成功更新配置。
注:在Web形式下,只能启用保存在主机上的配置文件,而不能启用保存到TFTP服务器的文件。
CLI:
NS5XT->save config from tftp
注:在CLI形式下,只能启用保存到TFTP服务器的配置文件,而不能启用保存在主机上的文件。
透明模式
Netscreen支持透明连接模式。对于已有的网络系统,如果在增加防火墙设备时不想网络环境进行任何改动,可以将Netscreen防火墙设置在透明模式下。所谓透明模式,是指将防火墙设置在一种桥接模式,两个端口都不设置IP地址,相同于一台二层交换机。此时Netscreen防火墙仍然能对进出
的数据包进行策略控