中国移动Netscreen防火墙安全配置手册V01.docx
《中国移动Netscreen防火墙安全配置手册V01.docx》由会员分享,可在线阅读,更多相关《中国移动Netscreen防火墙安全配置手册V01.docx(61页珍藏版)》请在冰豆网上搜索。
中国移动Netscreen防火墙安全配置手册V01
密级:
文档编号:
项目代号:
中国移动Netscreen防火墙
安全配置手册
Version1.0
中国移动通信有限公司
二零零四年十二月
目录
1综述3
2Netscreen的几种典型配置4
2.1典型配置
(1)――跟踪IP地址4
2.2典型配置
(2)――接口模式配置5
2.2.1透明模式5
2.2.2路由模式8
2.2.3NAT模式11
2.3典型配置(3)――信息流整形与优先级排列13
2.3.1信息流整形13
2.3.2优先级排列18
2.4典型配置(4)――攻击监视23
2.5典型配置(5)――三层IP欺骗保护24
2.6典型配置(6)――基于源的会话限制26
2.7典型配置(7)――SYN泛滥保护27
2.8典型配置(8)――URL过滤配置30
2.9典型配置(9)――站点到站点IPSECVPN配置33
2.10典型配置(10)――高可靠性44
2.10.1NSRP概述44
2.10.2主动/被动配置的NSRP45
2.10.3双主动配置的NSRP48
3Netscreen防火墙自身加固54
3.1网管及认证问题54
3.1.1远程登录54
3.1.2帐号和密码管理56
3.1.3帐号认证和授权57
3.1.4SNMP协议58
3.1.5HTTP的配置要求59
3.2安全审计61
3.2.1针对重要策略开启信息流日志62
3.2.2根据需要开启SELF日志功能62
3.2.3将日志转发至SYSLOG服务器62
3.3设备IOS升级方法63
3.3.1前期准备63
3.3.2升级操作64
3.4特定的安全配置65
3.4.1NetScreen防火墙的防攻击选项65
3.4.2NetScreen防火墙防攻击选项配置方法71
1综述
本配置手册介绍了Netscreen防火墙的几种典型的配置场景,以加强防火墙对网络的安全防护作用。
同时也提供了Netscreen防火墙自身的安全加固建议,防止针对防火墙的直接攻击。
通用和共性的有关防火墙管理、技术、配置方面的内容,请参照《中国移动防火墙安全规范》。
2Netscreen的几种典型配置
2.1典型配置
(1)――跟踪IP地址
NetScreen设备可以通过接口跟踪指定的IP地址,所以,如果一个或多个IP地址不可达,NetScreen设备就可以禁用所有与该接口相关联的路由,即使物理链接仍处于活动状态5。
在NetScreen设备与这些IP地址重新取得联系后,禁用的路由就恢复为活动路由。
类似于NSRP中使用的功能,NetScreen使用第3层路径监控或IP跟踪监控经过接口的指定IP地址的可达性。
例如,如果接口直接连接到路由器,则可跟踪接口的下一跳跃地址,以确定该路由器是否仍旧可达。
在配置接口上的IP跟踪时,NetScreen设备在接口上向最多4个目标IP地址以用户定义的时间间隔发送ping请求。
NetScreen设备监控这些目标以确定是否能接收到响应。
如果目标在指定的次数内未响应,则视该IP地址为不可达。
不能引发一个或多个目标响应时,会导致NetScreen设备禁用与该接口相关联的路由。
如果存在另外一个连接同一目标的路由,NetScreen设备就会重新定向信息流以使用新路由。
WebUI
Network>Interfaces>Edit(对于ethernet3)>TrackIPOptions:
输入以下内容,然后单击Apply:
EnableTrackIP:
(选择)
Threshold:
5
>TrackIP:
输入以下内容,然后单击Add:
Static:
(选择)
TrackIP:
1.1.1.250
Weight:
10
CLI
setinterfaceethernet3track-ip
setinterfaceethernet3track-ipthreshold5
setinterfaceethernet3track-ipip1.1.1.250weight10
2.2典型配置
(2)――接口模式配置
2.2.1透明模式
接口为透明模式时,NetScreen设备过滤通过防火墙的封包,而不会修改IP封包包头中的任何源或目的地信息。
所有接口运行起来都像是同一网络中的一部分,而NetScreen设备的作用更像是第2层交换机或桥接器。
在透明模式下,接口的IP地址被设置为0.0.0.0,使得NetScreen设备对于用户来说是可视或“透明”的。
配置实例:
策略允许V1-Trust区段中所有主机的外向信息流、邮件服务器的内向SMTP服务,以及FTP服务器的内向FTP-GET服务。
为了提高管理信息流的安全性,将WebUI管理的HTTP端口号从80改为5555,将CLI管理的Telnet端口号从23改为4646。
使用VLAN1IP地址1.1.1.1/24来管理V1-Trust安全区的NetScreen设备。
定义FTP和邮件服务器的地址。
也可配置到外部路由器的缺省路由(于1.1.1.250处),以便NetScreen设备能向其发送出站VPN信息流6。
(V1-Trust区段中所有主机的缺省网关也是1.1.1.250。
)
WebUI
1.VLAN1接口
Network>Interfaces>Edit(对于VLAN1接口):
输入以下内容,然后单击OK:
IPAddress/Netmask:
1.1.1.1/24
ManagementServices:
WebUI,Telnet(选择)
OtherServices:
Ping(选择)
2.HTTP端口
Configuration>Admin>Management:
在HTTPPort字段中,键入55557,然后单击Apply。
3.接口
Network>Interfaces>Edit(对于ethernet1):
输入以下内容,然后单击OK:
ZoneName:
V1-Trust
IPAddress/Netmask:
0.0.0.0/0
Network>Interfaces>Edit(对于ethernet3):
输入以下内容,然后单击OK:
ZoneName:
V1-Untrust
IPAddress/Netmask:
0.0.0.0/0
4.V1-Trust区段
Network>Zones>Edit(对于v1-trust):
选择以下内容,然后单击OK:
ManagementServices:
WebUI,Telnet
OtherServices:
Ping
5.地址
Objects>Addresses>List>New:
输入以下内容,然后单击OK:
AddressName:
FTP_Server
IPAddress/DomainName:
IP/Netmask:
(选择),1.1.1.5/32
Zone:
V1-Trust
Objects>Addresses>List>New:
输入以下内容,然后单击OK:
AddressName:
Mail_Server
IPAddress/DomainName:
IP/Netmask:
(选择),1.1.1.10/32
Zone:
V1-Trust
6.路由
Network>Routing>RoutingEntries>trust-vrNew:
输入以下内容,然后单击OK:
NetworkAddress/Netmask:
0.0.0.0/0
Gateway:
(选择)
Interface:
vlan1(trust-vr)
GatewayIPAddress:
1.1.1.250
Metric:
1
7.策略
Policies>(From:
V1-Trust,To:
V1-Untrust)New:
输入以下内容,然后单击OK:
SourceAddress:
AddressBookEntry:
(选择),Any
DestinationAddress:
AddressBookEntry:
(选择),Any
Service:
Any
Action:
Permit
Policies>(From:
V1-Untrust,To:
V1-Trust)New:
输入以下内容,然后单击OK:
SourceAddress:
AddressBookEntry:
(选择),Any
DestinationAddress:
AddressBookEntry:
(选择),Mail_Server
Service:
Mail
Action:
Permit
Policies>(From:
V1-Untrust,To:
V1-Trust)New:
输入以下内容,然后单击OK:
SourceAddress:
AddressBookEntry:
(选择),Any
DestinationAddress:
AddressBookEntry:
(选择),FTP_Server
Service:
FTP-GET
Action:
Permit
CLI
1.VLAN1
setinterfacevlan1ip1.1.1.1/24
setinterfacevlan1manageweb
setinterfacevlan1managetelnet
setinterfacevlan1manageping
2.Telnet
setadmintelnetport4646
3.接口
setinterfaceethernet1ip0.0.0.0/0
setinterfaceethernet1zonev1-trust
setinterfaceethernet3ip0.0.0.0/0
setinterfaceethernet3zonev1-untrust
4.V1-Trust区段
setzonev1-trustmanageweb
setzonev1-trustmanagetelnet
setzonev1-trustmanageping
5.地址
setaddressv1-trustFTP_Server1.1.1.5/32
setaddressv1-trustMail_Server1.1.1.10/32
6.路由
setvroutertrust-vrroute0.0.0.0/0interfacevlan1gateway1.1.1.250metric1
7.策略
setpolicyfromv1-trusttov1-untrustanyanyanypermit
setpolicyfromv1-untrusttov1-trustanyMail_Servermailpermit
setpolicyfromv1-untrusttov1-trustanyFTP_Serverftp-getpermit
2.2.2路由模式
接口为路由模式时,NetScreen设备在不同区段间转发信息流时不执行源NAT(NAT-src);即,当信息流穿过NetScreen设备时,IP封包包头中的源地址和端口号保持不变。
与NAT-src不同,目的地区段接口为路由模式时,不需要为了允许入站信息流到达主机而建立映射IP(MIP)和虚拟IP(VIP)地址。
与透明模式不同,每个区段内的接口都在不同的子网中。
配置实例:
Trust区段LAN中的主机具有私有IP地址和邮件服务器的映射IP。
在以下相同网络(受运行在路由模式下的NetScreen设备保护)的范例中,要注意,主机具有公共IP地址,且邮件服务器不需要MIP。
所有安全区都在trust-vr路由选择域中。
WebUI
1.接口
Network>Interfaces>Edit(对于ethernet1):
输入以下内容,然后单击Apply:
ZoneName:
Trust
StaticIP:
(出现时选择此选项)
IPAddress/Netmask:
1.2.2.1/24
输入以下内容,然后单击OK:
InterfaceMode:
Route15
Network>Interfaces>Edit(对于ethernet3):
输入以下内容,然后单击OK:
ZoneName:
Untrust
StaticIP:
(出现时选择此选项)
IPAddress/Netmask16:
1.1.1.1/24
2.地址
Objects>Addresses>List>New:
输入以下内容,然后单击OK:
AddressName:
MailServer
IPAddress/DomainName:
IP/Netmask:
(选择),1.2.2.5/32
Zone:
Trust
3.路由
Network>Routing>RoutingEntries>trust-vrNew:
输入以下内容,然后单击OK:
NetworkAddress/Netmask:
0.0.0.0/0
Gateway:
(选择)
Interface:
ethernet3
GatewayIPAddress:
1.1.1.250
4.策略
Policies>(From:
Trust,To:
Untrust)New:
输入以下内容,然后单击OK:
SourceAddress:
AddressBookEntry:
(选择),Any
DestinationAddress:
AddressBookEntry:
(选择),Any
Service:
ANY
Action:
Permit
Policies>(From:
Untrust,To:
Trust)New:
输入以下内容,然后单击OK:
SourceAddress:
AddressBookEntry:
(选择),Any
DestinationAddress:
AddressBookEntry:
(选择),MailServer
Service:
MAIL
Action:
Permit
CLI
1.接口
setinterfaceethernet1zonetrust
setinterfaceethernet1ip1.2.2.1/24
setinterfaceethernet1route
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip1.1.1.1/24
setinterfaceethernet3route
2.地址
setaddresstrustmail_server1.2.2.5/24
3.路由
setvroutertrust-vrroute0.0.0.0/0interfaceethernet3gateway1.1.1.250
4.策略
setpolicyfromtrusttountrustanyanyanypermit
setpolicyfromuntrusttotrustanymail_servermailpermit
2.2.3NAT模式
入口接口处于“网络地址转换(NAT)”模式下时,NetScreen设备的作用与第3层交换机(或路由器)相似,将通往Untrust区段的外向IP封包包头中的两个组件进行转换:
其源IP地址和源端口号。
NetScreen设备用Untrust区段接口的IP地址替换发端主机的源IP地址。
另外,它用另一个由NetScreen设备生成的任意端口号替换源端口号。
配置实例:
LAN受NAT模式下的NetScreen设备保护。
策略允许Trust区段中所有主机的外向信息流和邮件服务器的内向邮件。
内向邮件通过虚拟IP地址被发送到邮件服务器。
Trust和Untrust区段都在trust-vr路由选择域中。
WebUI
1.接口
Network>Interfaces>Edit(对于ethernet1):
输入以下内容,然后单击Apply:
ZoneName:
Trust
StaticIP:
(出现时选择此选项)
IPAddress/Netmask:
10.1.1.1/24
输入以下内容,然后单击OK:
InterfaceMode:
NAT
Network>Interfaces>Edit(对于ethernet3):
输入以下内容,然后单击OK:
ZoneName:
Untrust
StaticIP:
(出现时选择此选项)
IPAddress/Netmask11:
1.1.1.1/24
InterfaceMode:
路由
2.VIP12
Network>Interfaces>Edit(对于ethernet3)>VIP:
输入以下内容,然后单击Add:
VirtualIPAddress:
1.1.1.5
Network>Interfaces>Edit(对于ethernet3)>VIP>NewVIPService:
输入以下内容,然后单击OK:
VirtualPort:
25
MaptoService:
Mail
MaptoIP:
10.1.1.5
3.路由
Network>Routing>RoutingEntries>trust-vrNew:
输入以下内容,然后单击OK:
NetworkAddress/Netmask:
0.0.0.0/0
Gateway:
(选择)
Interface:
ethernet3
GatewayIPAddress:
1.1.1.250
4.策略
Policies>(From:
Trust,To:
Untrust)New:
输入以下内容,然后单击OK:
SourceAddress:
AddressBookEntry:
(选择),Any
DestinationAddress:
AddressBookEntry:
(选择),Any
Service:
ANY
Action:
Permit
Policies>(From:
Untrust,To:
Global)New:
输入以下内容,然后单击OK:
SourceAddress:
AddressBookEntry:
(选择),Any
DestinationAddress:
AddressBookEntry:
(选择),VIP(1.1.1.5)
Service:
MAIL
Action:
Permit
CLI
1.接口
setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip1.1.1.1/24
setinterfaceethernet3route
2.VIP
setinterfaceethernet3vip1.1.1.525mail10.1.1.5
3.路由
setvroutertrust-vrroute0.0.0.0/0interfaceethernet3gateway1.1.1.250
4.策略
setpolicyfromtrusttountrustanyanyanypermit
setpolicyfromuntrusttoglobalanyvip(1.1.1.5)mailpermit
2.3典型配置(3)――信息流整形与优先级排列
2.3.1信息流整形
信息流整形是指为接口上的每一位用户和应用程序分配适当的网络带宽数量。
适当的带宽数量指在保证服务质量(QoS)的前提下具成本效益的载流容量。
通过创建策略并将适当的速率控制应用到流经NetScreen设备的每一种信息流类别,您可使用NetScreen设备对信息流进行整形。
配置实例:
在本例中,您需要在T3接口上划分45Mbps的带宽,其中该接口处于同一子网的三个部门之间。
ethernet1接口被绑定到Trust区段,而ethernet3被绑定到Untrust区段。
WebUI
1.接口带宽
Network>Interfaces>Edit(对于ethernet1):
输入以下内容,然后单击OK:
TrafficBandwidth:
450002
Network>Interfaces>Edit(对于ethernet3):
输入以下内容,然后单击OK:
TrafficBandwidth:
45000
2.策略带宽
Policies>(From:
Trust,To:
Untrust)New:
输入以下内容,然后单击OK:
Name:
MarketingTrafficShaping
SourceAddress:
AddressBookEntry:
(选择),Marketing
DestinationAddress:
AddressBookEntry:
(选择),Any
Service:
Any
Action:
Permit
VPNTunnel:
None3
>Advanced:
输入以下内容,然后单击Return,设置高级选项并返回基本配置页:
TrafficShaping:
(选择)
GuaranteedBandwidth:
10000
MaximumBandwidth:
15000
Policies>(From:
Trust,To:
Untrust)New:
输入以下内容,然后单击OK:
Name:
SalesTrafficShapingPolicy
SourceAddress:
AddressBookEntry:
(选择),Sales
DestinationAddress:
AddressBookEntry:
(选择),Any
Service:
Any
Action:
Permit
>Advanced:
输入以下内容,然后单击Return,设置高级选项并返回基本配置