论坛: 系统集成 标题: Netscreen204配置实例 复制本贴地址    
作者: a_one [a_one]    论坛用户   登录
一、基本概念
1. 安全区段
安全区段是由一个或多个网段组成的集合,需要通过策略对进入站和出站信息流进行调整。可以定义多个安全区段,确切数目可根据网络需要确定。除用户定义的区段外,还可以使用预定义的区段:Trust、Untrust和DMZ(用于L3),或者V1-Trust、V1-Untrust和V1-DMZ(用于L2)。

此主题相关图片如下:

CLI命令:
Set zone name zone-name    设置区段
2. 安全区段接口
安全区段的接口可以视为一个入口,TCP/IP信息流可通过它在该区段和其他区段之间进行传递。通过定义的策略,可以使两个区段间的信息流向一个或两个方向流动。要为区段提供一个入口,需要将一个接口绑定到该区段,可以将多个接口绑定到一个区段。两种常见的接口类型为物理接口和子接口。
CLI命令:
Set interface interface-id zone zone-name  将接口绑定到区段
Set interface interface-id ip ip-address    设置接口IP地址
3. 虚拟路由器
虚拟路由器(VR)和非虚拟路由器功能相同,它拥有自己的接口和路由表。在ScreenOS中,Netscreen设备支持两个虚拟路由器trust-vr和untrust-vr,并维护两个独立的路由表。两个虚拟路由器之间需要进行路由重新分配。

此主题相关图片如下:

CLI命令:
Set zone zone-name vrouter {trust-vr|untrust-vr}  设置区段使用得虚拟路由器
Set vrouter trust-vr router ip-address interface interface-id gateway ip-address metric metric      设置两种虚拟路由器间的路由重分配

4. 服务
服务是IP信息流的类型,它们有相应的协议标准。每个服务都有一个端口号与之相关联,如FTP的端口号为21,Telnet的端口号为23。创建策略时,必须为它制定服务。
CLI命令:
Set service service-name protocol tcp src-port port-number dst-port port-number
设置定制服务
Set service service-name timeout 30  设置定制服务超时值

5. 策略
每次当封装尝试从一个区段向另一个区段或在绑定到同一区段的两个接口间传递时,Netscreen设备会检查其策略组列表是否有允许这种信息流的策略。要使信息流可以从一个安全区段传递到另一个区段,例如,从区段A到区段B,必须配置一个允许区段A发送信息流到区段B的策略。要使信息流向另一个方向流动,则必须配置另一策略,允许信息流从区段B流向区段A。对于从一个区段向另一区段传递的任何信息流,都必须有允许它的策略。
CLI命令:
Set policy from zone1 to zone2 source-ip destination-ip service permit/deny

二、工作模式
Netscreen设备接口能以三种不同模式运行,分别是:透明模式(Transparent mode)、网络地址转换模式(NAT mode)和路由模式(Router mode)。
1. 透明模式(Transparent mode)
接口为透明模式时,Netscreen设备过滤通过防火墙的封包,而不会修改IP封包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分,而Netscreen设备的作用更像L2交换机或桥接器。在透明模式下,接口的IP地址被设置0.0.0.0,使得Netscreen设备对于用户来说是可视或“透明”的。Netscreen设备处于透明模式时,必须使用VLAN1接口来管理设备。缺省情况下,ScreenOS会创建一个VLAN1接口和三个VLAN1区段:V1-Trust、V1-Untrust和V1-DMZ。
使用透明模式有以下优点:
l 不需要重新配置路由器或受保护服务器的IP地址设置
l 不需要为到达保护服务器的内向信息流创建映射或虚拟IP地址
2. 网络地址转换模式(NAT mode)
接口处于网络地址转换模式(NAT mode)时,Netscreen设备的作用与L3交换机或路由器相似,将绑定到Untrust区段的IP封包包头中的两个组件进行转换:其源IP地址和源端口号。Netscreen设备用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外,它用另一个由Netscreen设备生成的任意端口号替换源端口号。当回复封包到达Netscreen设备时,该设备转换内向封包的IP包头中的两个组件:目的地地址和端口号,他们被转换回初始地址,封包于是被转发到其目的地地址。
NAT添加透明模式中未提供的一个安全级别:连接到NAT模式接口的主机的地址对Untrust区段中的主机从不公开。
3. 路由模式(Router mode)
接口为路由模式时,Netscreen设备在不同区段间转发信息流时不执行NAT,即信息流穿过Netscreen设备时,IP封包包头的源地址和端口号保持不变。与NAT不同,不需要为了允许入站会话到达主机而建立路由模式接口的映射和虚拟IP地址。与透明模式不同,Trust区段中的接口和Untrust区段中的接口在不同的子网中。

三、缺省设置

1. 将Netscreen204安放至机架,经检测电源系统后接上电源,并加电主机。 
2. 将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入
l baud rate to 9600
l parity to NO
l data bits to 8
l stop bit to 1
l flow control to none
3. 按ENTER进入登录模式
4. 登录用户名 netscreen
5. 登录密码 netscreen

四、管理设置
1. 更改设备名称
      set hostname hostname
2. 更改Admin登录名和密码
set admin name name
set admin password password
save
3. 限制管理访问
缺省时,可信接口上的任何主机都可以管理Netscreen设备,为安全起见,可以指定网管工作站。
Set admin manager-ip ip-address/32  指定管理主机
Set admin manager-ip ip-address/24  指定管理网段
Save
4. 恢复出场设置
在缺省情况下,设备恢复特征被启用。可以通过输入unset admin device-reset命令禁用它。
①在登录提示下,输入设备的序列号
②在密码提示下,再输入设备的序列号
出现以下信息:
!!!lost password reset!!!you have initiated a command to reset the device to factory defaults,clearing all current configuration,keys and setting.would you like to continue? Y/n
③按y键。
出现以下信息:
!!reconfirm lost password reset !!if you continue,the entire configuration of the device will be erased.In addition,a permanent counter will be incremented to signify ……the device will return to factory default configuration,which is:system ip:193.168.1.1;username:netscreen;password:netscreen.would you like to continue?y/n
④按y键,重置设备。


五、常用命令
get system    查看系统配置
get config    查看设备配置文件
get zone      查看区段配置
get interface  查看接口配置
get policy    查看策略设置
save          保存配置
unset all      清除所有配置(设备重启后方可生效)

六、配置实例

此主题相关图片如下:

网络安全要求:
(1)允许OMC 机房的OSS服务器连接APG40的21(FTP)和23(telnet)端口;
(2)允许直连终端(WinFIOL)连接APG40的23(telnet)端口;
(3)允许APG40 连接OSS服务器的所有端口;
(4)允许APG40 连接病毒特征文件FTP服务器的21(FTP)端口;
(5)封堵其他所有连接
(6)OMC机房能够管理cisco2621、Netscreen-204、catalyst2950。
APG40网元接Netscreen204 的ethernet1,定义为trust区域;OMC接Netscreen204的ethernet3,定义为untrust区域。 Netscreen204防火墙具体配置如下:
1. 管理设置和接口
set interface vlan1 ip 132.101.20.29 255.255.255.224
set interface vlan 1 manage web
set interface vlan 1 manage telnet
set interface vlan 1 manage ping
set interface ethernet1 zone v1-trust
set interface ethernet3 zone v1-untrust
set interface v1-trust manage web
set interface v1-trust manage telnet
set interface v1-trust manage ping
2. 路由设置
set vrouter trust-vr
set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gataway 132.101.20.30 metric 1
3. 地址设置
set address v1-trust APG 132.101.20.0 255.255.255.248
set address v1-trust cisco2950 132.101.20.28 255.255.255.255
set address v1-untrust OSS 132.101.19.0 255.255.255.192
set address v1-untrust FTP 132.101.19.1 255.255.255.255
4. 策略设置
set policy from v1-trust to v1-untrust APG  OSS any permit
set policy from v1-trust to v1-untrust APG FTP ftp permit
set policy from v1-untrust to v1-trust FTP APG ftp permit
set policy from v1-untrust to v1-trust OSS APG ftp permit
set policy from v1-untrust to v1-trust OSS APG telnet permit
set policy from v1-untrust to v1-trust OSS cisco2950 any permit
5. 保存
save



地主 发表时间: 04-06-18 14:43
回复: Achieve [achieve]   版主   登录
晕,图片呢?
web设置方便啊,现在是5.0了

B1层 发表时间: 04-06-18 14:49
回复: a_one [a_one]   论坛用户   登录
发图片好麻烦

B2层 发表时间: 04-06-25 17:06

论坛: 系统集成

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号