NetScreen操作手册Word格式文档下载.docx
《NetScreen操作手册Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《NetScreen操作手册Word格式文档下载.docx(48页珍藏版)》请在冰豆网上搜索。
2.2Web管理连接设置14
2.3防火墙基本设置17
2.3.1设置访问超时时间17
2.3.2设置管理员18
2.3.3设置DNS20
2.3.4设置Zone(安全区域)21
2.3.5设置Interface(接口)22
2.3.6设置router(路由)25
2.3.7设置policy(策略)27
2.3.8保存配置及配置文件31
3透明模式33
3.1设置管理端口33
3.2设置透明模式34
3.3其他相关命令34
4NAT模式及Route模式35
4.1NAT模式35
4.1.1基于端口的NAT36
4.1.2基于策略的NAT37
4.2Route模式39
4.3MIP和VIP39
4.3.1MIP39
4.3.2VIP42
4.4DIP(虚拟IP)44
5VPN(虚拟专用网络)46
5.1ManualKey46
5.1.1配置ManualKey46
5.1.2配置路由47
5.1.3配置Policy47
5.2AutoKeyIKE49
5.2.1Policy-basedIKE49
5.2.2Route-basedIKE51
5.3VPNTroubleShooting(VPN错误检测)52
6常见问题及解决方案53
6.1透明模式53
6.1.1配置管理问题53
6.1.2连接问题53
6.2NAT和Route模式55
6.2.1配置管理问题55
6.2.2连接问题55
1概念与简介
1.1UniversalSecurityGatewayArchitecture(通用安全网关架构)
NetScreenScreenOS4.0引入了UniversalSecurityGatewayArchitecture(通用安全网关架构),这个架构使得用户在实施网络安全策略时更具灵活性。
在多端口的NetScreen设备中,用户可以建立不同Zone(安全区域),并将端口绑定在不同的安全区域,在端口之间建立相应的安全策略。
1.1.1MultipleSecurityZones(多安全区域)
安全区域是一个或多个需要对进出数据进行策略控制的网络。
用户可以根据自己的需要来定义安全区域,也可以利用预定义的安全区域:
Trust、Untrust、DMZ(与之前的ScreenOS兼容),安全区域之间的访问只有策略允许下才能进行。
1.1.2SecurityZoneInterfaces(安全区域端口)
安全区域的端口可以说是TCP/IP数据通过该安全区域的门口。
端口有两种:
●PhysicalInterfaces(物理端口):
由端口的物理位置定义,如ethernet1、ethernet2(固定端口)、ethernet2/1、ethernet2/2(端口模块)
●Subinterfaces(子端口):
在支持VirtualSystem(虚拟系统)的设备上,用户可以将一个物理端口分成几个虚拟子端口,如ethernet1.1、ethernet1.2(固定端口)、ethernet2/1.1、ethernet2/1.2(端口模块)。
1.1.3VirtualRouters(虚拟路由器)
虚拟路由器和路由器的功能是一样的,它有自己的端口和路由表。
在USGA,NetScreen设备支持两个虚拟路由器,这样设备可以维护两个独立的路由表,互相隐藏路由信息。
1.1.4AccessPolicies(访问策略)
每次有数据包尝试通过另一个安全区域时,NetScreen设备就会检查访问策略,如果有允许的策略的话,就会让数据包通过,否则就会拒绝通过。
1.1.5VPNs(虚拟专用网络)
所有NetScreen安全设备中都整合了一个全功能VPN解决方案,它们支持站点到站点VPN及远程接入VPN应用。
●通过VPNC测试,与其他通过IPSec认证的厂家设备兼容。
●三倍DES,DES和AES加密使用数字证书(PKIX.509),自动的或手动的IKE。
●SHA-1和MD5认证
●同时支持网状式(mesh)及集中型(hubandspoke)的VPN网络,可按VPN部署的需求,配置用其一或整合两种网络拓扑。
NetScreen设备支持多种VPN的选项,具体见VPN章节。
1.1.6VirtualSystems(虚拟系统)
高端的NetScreen设备(NS-500以上)支持虚拟系统,每个虚拟系统都有独立的地址簿、策略和管理功能,相当独立的安全系统。
虚拟系统与802.1qVLAN标记相结合,把安全区域延伸到整个交换网络中。
1.1.7PacketFlowSequence(数据包处理过程)
当数据包从外部进入Netscreen设备时,首先是进入外部的接口,判断目的地址是否需要MIP或VIP转换,如果需要按照设定来转换,然后根据查找路由表上是否有路由,如果有查找策略中是否允许数据包进入,当查找到第一条与目的地址有关系的策略时,就根据策略决定是否允许数据包按照路由表的指定来传递,如果允许就传递到目的的地址。
1.2Zones(区域)
Zone是一个可以应用安全措施虚拟网络空间(securityzone),一个能够被VPN隧道端口绑定的逻辑片断(tunnelzone),或者是一个能够履行一个特殊的功能的物理或逻辑实体(functionzone)。
1.2.1SecurityZones(安全区域)
在单一的一个Netscreen设备上,你能够配置多个安全区域,把网络分解成多个能应用各种不同的安全策略的部分,以满足每一个部分不同的需要。
最低限度,你必须定义两个SecurityZone,去建立一个网络中的区域到另外的区域的基本保护。
你也可以定义许多的SecurityZone,可以给你的安全设计带来很好的功能――不再需要为此再应该多种的安全工具了。
1.2.2TunnelZones(隧道区域)
TunnelZone是主管一个或多个隧道接口的逻辑部分。
它被SecurityZone联合起来作为行动的载体。
Netscreen设备用路由信息为载体区域指导通向隧道终点的流量。
默认的TunnelZone是Untrust-Tun,它是关联UnstrustZone的。
你可以创建其他的TunnelZone,并用在虚拟系统的载体区域中,对一个TunnelZone可以用的最大数目来绑定到其他的SecurityZone。
1.2.3FunctionZones(功能区域)
一共有四个FunctionZone分别是Null,MGT,HA和Self。
每个Zone都为了一个单一的功能而设立的。
●NullZone(空区域):
这个区域是一个为了还没有绑定到其他的区域的端口做临时存放的区域。
●MGTZone(外带宽管理区域):
这个区域主要包括了对外带宽管理端口。
包括MGT。
●HAZone(高可用性区域):
这个区域主要包括了高可用性的端口。
包括HA1和HA2。
●SelfZone(远程管理区域):
这个区域主要包括用于远程管理连接的端口。
当你通过Http,SCS或Telnet连接到Netscreen上面的时候,你就是连接到这个区域。
1.3Interfaces(端口)
创建玩一个区域,下一步就是创建一个端口。
你必须创建一个端口,并把它绑定到一个区域,和指定允许流量流进或流出这个区域。
然后,你必须设置路由和配置访问策略以允许流量从一个端口到另一个端口。
物理端口和子端口,就像一个门口,允许流量流进和流出一个区域。
你可以指派多个端口给一个区域,但是一个端口只能被指派给一个区域。
1.3.1InterfacesTypes(端口类型)
端口类型一共有三种,分别是物理端口(PhysicalInterface),子端口(Subinterface)和隧道端口(TunnelInterface)。
1.3.2InterfacesSettingsAndOperationModes(端口设置和运行模式)
端口可以被配置成为三种不同的模式:
网络地址转换模式(NATMode),路由模式(RouteMode)和透明模式(TransparentMode)。
当你配置端口的时候,你可以选择其中的一种模式。
●TransparentMode(透明模式):
当端口是处于透明模式下的时候,Netscreen过滤穿过防火墙的包时是不会改变在IP包头的原地址和目的地址的信息的。
所有的端口就像存在于同一个网络中,而Netscreen就像一个二层的交换机或路桥。
在透明模式下,端口的IP地址要设为0.0.0.0,使得Netscreen就好像不存在,或者说是对于用户来说是“透明”的。
●NetworkaddresstranslationMode(网络地址转换模式):
当端口是处于NAT模式下的时候,Netscreen就像是一台3层的交换机或路由器,能够转换穿过防火墙出去的IP包头的两个组成部分:
源IP地址和源端口号。
Netscreen会把源地址转换为包需要传送到的目的区域的端口IP地址。
而且它也会把源端口号转换为另一个由Netscreen自己产生的随机号。
●RouteMode(路由模式):
当端口是处在路由模式下的时候,Netscreen会路由数据包而不执行网络地址转换,就是说,当经过Netscreen的时候,数据包头的源地址和源端口号都不会被转换。
不像NAT模式,你不需要在端口建立MIP或者VIP地址,路由模式可以允许进入的会话到达主机。
也不像透明模式,在TrustZone中的端口和在UntrustZone中的端口是处于不同的子网。
1.3.3SecondaryIPAddresses(第二IP地址)
每一个Netscreen的端口都有一个单一的,独一无二的主IP地址。
然而,在一些环境下却需要端口要有多个IP地址。
例如,一个组织可能会有另外的IP地址分配,而且可能并不希望加一些路由去配置它们。
特别是当一个组织有许多的网络设备以至于超过他们的子网可以控制的范围,就是说超过254台主机连接到一个子网上。
为了解决这些问题,你就需要增加第二IP地址到在TrustZone,DMZZone或用户定义的Zone中的端口上。
1.3.4ManagementServicesOptions(管理服务选项)
你可以配置端口来应用不同的管理方法。
例如,你可以应用本地管理在一个端口,而应用远程管理在另一个端口。
你也可以把一个端口专门用作管理端口,这样可以把管理流量和用户流量完全区分开。
你可以选择以下一种或多种管理服务:
WebUI,Telnet,SNMP,SCS,SSL。
1.3.5InterfaceServicesOptions(端口服务选项)
这些服务会影响你的Netscreen的表现,你可以从中选择需要的来配置你的网络。
你可以选择以下一种或多种端口服务:
Ping,Ident-reset,DHCPRelayAgent,EnableDHCPRelayVPNEncryption。
1.3.6FirewallOptions(防火墙选项)
Netscreen防火墙通过检测去保护一个区域,然后允许或禁止所有企图穿过端口的连接。
为了保护其他区域的反攻击,你能够启动一些防御工具去侦察或转移通常的网络进攻。
具体工具请参考不同版本的Netscreen文档。
1.4Administration(管理)
这章描述了不同的管理方法和工具,保护管理流量的方法和你可以付给管理者的管理权限等级。
1.4.1ManagementMethodsandTools(管理方法和工具)
WebUI(Web管理界面):
为了灵活方便的管理,你可以用Web管理界面。
Netscreen用Web技术提供了一个Web-Server的管理界面去配置和管理软件。
●Http:
用一个标准的网页浏览器,你就可以运用HTTP远程访问,检视,控制你的网络配置。
●SecureSocketsLayer:
SSL是一整套能够提供安全连接的协议,用于一个基于TCP/IP的网络中网页客户端和服务器的通信。
Netscreen的Web管理能够提供这方面的安全协议。
CLI(命令行界面):
高级管理人员能够运用命令行界面来进行更好的控制。
为了用CLI来配置Netscreen,你可以用一些软件去仿效VT100终端。
你可以用基于Windows,Unix和Macintosh的控制台,又或者是Telnet或SecureCommandShell(SCS)。
1.4.2LevelsofAdministration(管理权限等级)
Netscreen支持多个管理员。
当管理员作出了对系统配置的更改时,系统会记录一下的信息入日志:
●更改的管理员姓名
●更改的来源的IP地址
●更改的时间
管理权限的具体设置,请参考2.3.6设置管理员这章。
有不同等级的管理员,每个等级的权限由Netscreen来设定。
RootAdministrator(主管理员)
主管理员有全部所有的管理权限。
每台Netscreen设备只有一个主管理员。
主管理员有一下的权限:
●管理整个Netscreen系统
●增加,删除和管理所有的其他管理者
●建立和管理virtualsystem(虚拟系统),分配物理端口和逻辑端口给它们
●增加,删除和管理virtualrouter(虚拟路由)
●增加,删除和管理securityzone(安全区域)
●分配端口到安全区域
Read/WriteAdministrator(读/写管理员)
读/写管理员拥有和主管理员一样的权限,除了增加,删除和管理其他的管理者这一条。
Read-OnlyAdministrator(只读管理员)
只读管理员在WebUI上只有看的权利,而在CLI上只有get和ping这两条系统命令的权限。
只读管理员的权限如下:
●只读权限在CLI上,可以运行下面四条命令:
enter,exit,get和ping
●在虚拟系统中也只有只读的权限
VSYSAdministrator(虚拟系统管理员)
虚拟系统管理员能够配置Netscreen系统以支持虚拟系统。
每一个虚拟系统都是一个独立的安全域,在一个虚拟系统中的管理权限都只是针对这一个虚拟系统的。
虚拟系统管理员能够通过WebUI或者CLI来独立管理虚拟系统。
在每一个虚拟系统上,虚拟系统管理员都有一下的权限:
●创建,修改用户
●创建,修改服务
●创建,修改访问策略
●创建,修改地址
●创建,修改VPN
●创建虚拟系统管理员的登录密码
●创建,管理安全区域
VSYSRead/OnlyAdministrator(虚拟系统只读管理员)
虚拟系统只读管理员在WebUI上只有看的权利,而在CLI上只可以执行enter,exit,get和ping的指令。
AddingAdminUsers(增加管理员)
主管理员是唯一一个可以创建,删除和修改管理员的。
●WebUI:
进入Admin>
>
Admin>
NewLocalAdministrator,然后填入name(名称),password(密码)两次和选择Privileges(权限),最后按OK。
●CLI:
输入命令所setadminusernamepasswordpasswordprivilegesprivileges斜体部分为需要设置部分。
2基本管理
NetScreen防火墙支持多种管理方式:
WEB管理,CLI(Telnet)管理,NetScreenGlobalPro/Express管理,SNMP管理和第三方的集成管理。
本操作手册仅介绍CLI和WEB管理界面及基本操作;
所有例子都以NetScreen-5XT为例。
NetScreen-5XT端口示意图
2.1通讯连接的设置
通讯连接的初始化设置:
CONSOLE口的设置
使用CONSOLE口进行配置
1.把配送的线的一端插在防火墙的CONSOLE口,线的另一端插在转换插头后插在PC的串行口上。
2.打开WINDOWS的附件-》通讯-》超级终端,选择插有CONSOLE线的串口连接。
然后配置如图:
选择连接所用的串行口
设置串口属性:
9600-8-无-硬件
3.按回车
4.出现提示符号后输入帐号密码进入设置命令行界面
默认帐号:
Netscreen;
密码Netscreen
5.进入Netscreen命令行管理界面
2.2Web管理连接设置
设置流程:
1)设置接口IP;
2)启动接口的web管理功能;
3)连通PC和防火墙间的网络,通过浏览器的web界面进行具体功能设置;
1.设置接口IP
⏹若所有接口均未配置IP(Netscreen设备初始化设置),需设置一个端口IP,用于连接web管理界面,这里设置trust端口;
在命令行模式下输入:
ns5XT->
setinttrustip<
A.B.C.D/E>
命令说明:
A.B.C.D为IP地址,通常设置为一个内网地址,E为IP地址的掩码位,通常设为24。
此时通过getinterface命令可以看到端口状态的改变:
可以看到trust端口已经配置了IP为10.10.10.1/24,即端口已经拥有IP,可以进行网络连接了。
2.启动接口的web管理功能:
接口管理IP配置完成后,启动接口的web管理功能;
setinttrustmanageweb
3.连通PC与防火墙间的网络,通过浏览器进入防火墙的web图形管理界面
建立对于NS-5,NS-10,NS-100防火墙,PC与trust口,DMZ口采用直通电缆连接,PC与untrust口的连接采用交叉线。
对于NS-25,NS-200及以上产品,PC与防火墙所有端口的连接都采用直通电缆。
将PC网卡的IP地址设置成与防火墙相应端口的管理IP同一个网段内;
打开浏览器,键入防火墙的管理IP,打开登陆画面;
输入帐号密码后进入web管理界面
2.3防火墙基本设置
2.3.1设置访问超时时间
Web:
在Web中的Configuration>
Management中的EnabelWebManagementIdleTimeout中填入访问超时的分钟数,并在前面打勾。
CLI:
NS5XT->
setadminauthtimeout<
minute>
2.3.2设置管理员
对于Netscreen的管理权限,可以参考1.4.2管理权限等级这章的描述。
以下只描述Root管理员的配置方法,其他管理员配置方法类似。
进入Configuration>
Administrators,在这里可以管理所有的管理员。
1.设置超级管理员(Root)
WEB:
点击超级管理员(超级管理员的权限为root,默认名为netscreen)的option项中的Edit链接,打开管理员设置页面。
更改管理员登录名和密码,点击ok按钮完成设置。
CLI:
setadminname<
loginname>
setadminpassword<
password>
2.添加本地管理员
点击New链接,打开配置页。
输入管理员登录名和密码,指定权限(可选ALL或Read_ONLY,ALL表示该管理员具有更改配置的权限,READ_ONLY表示该管理员只能查看配置,无权更改)。
点击ok按钮完成设置。
setadminuser<
password<
privilege<
all|read-only>
2.3.3设置DNS
Web:
打开Network>
DNS页面,可配置HostName(主机名),DomainName(域名),PrimaryDNSServer(主名称服务器),SecondDNSServer(次名称服务器),还有DNS每天更新的时间。
配置完后按Apply按键实施。
sethostname<
HostName>
setdomain<
DominName>
setDNShost<
dns1|dns2>
<
a.b.c.d>
2.3.4设置Zone(安全区域)
Zones页面,可配置已存在于Netscreen设备的所有Zone(并不是所有Zone都可以配置,有许多默认的Zone是不允许配置的,在Configure中不会出现Edit)。
按New按键可以新增一个Zone。
setzone<
zonename>
vrouter<
vroutername>
2.3.5设置Interface(接口)
Interfaces,选择需要配置的接口对应的属性页(有四个可选接口Trust、Untrust、DMZ和Tunnel,其中Trust、U