Netscreen-204防火墙配置说明
NetScreen-204是目前市场上功能最多的防火墙产品,通过使用内置的WebUI界面、命令行界面和NetScreen中央管理方案,可在很短时间完成安装和管理,并且可以快速实施到数千台设备上;所有NetScreen产品都整合了一个全功能VPN解决方案,它们支持站点到站点VPN及远程接入VPN应用。微笑的句子>白夜逃亡
初始配置可从任何浏览器软件进行配置,管理机与防火墙的连接图示可参考随机资料,但第一次使用浏览器或通过telnet管理只能在ethernet1口进行,也可以用管理机的串口通过超级终端连接console配置(9600,8,1,n),但此方法不够直观和方便,在此不多作说明。第一次配置可以通过交叉的双绞线连接管理机的网卡(设置ip :192.168.1.2/24)和防火墙的eth1口,在浏览器内添入其默认管理Ip地址192.168.1.1/24,出现输入密码提示,默认用户和密码都是netscreen,如下图:
进入配置界面后推荐首先更改默认用户的密码,以防被恶意修改,点击左边菜单的configuration->admin->administrators,如下图:
点击edit可以修改netscreen用户密码,或者点击左上角new按钮添加新用户。
还有一点须注意,出厂时防火墙的内部时钟可能与用户操作时的时间相差很多,我们需调整其时钟至正常状态。如果不调整不影响防火墙的正常工作,但如果我们设置了计划规则,比如从8:00到17:00允许某条规则执行等,或者需要察看log以观察某段时间内有无攻击纪录等,这些都需要防火墙的正确时钟。点击configuration->data/time—〉sync clock with client即可与管理主机时钟同步。如图:
下面结合我们调度自动化系统的实际应用对相应功能的配置作简要说明:
防火墙按端口分类可以工作在三种模式,分别是透明模式、NET模式和路由模式,各种模式可以根据用户实际要求进行配置。
最美的眼睛屏幕开关1.防火墙工作在透明模式
a:地址表的建立
这是防火墙的默认和最简单的工作方式,这种方式最适用于保护web服务器和一些主要接收非信任区通讯的主机,在这种模式下不影响VPN的实施,其典型连接方式为:
上图中web服务器位于信任区,连接到处于trust zone的eth1口,外部工作站通过hub或switch连接到处于untrust-zone的eth3口。
初始防火墙的端口设置如下:(netwrok->interface)
当防火墙工作在透明模式下相当于一台网桥,是一种二层设备,因此所有端口都没有ip地址,默认eth1属于V1-Trust,eth2属于V1-DMZ,eth3属于V1-Untrust,我们不必修改即可使用。
对工作在透明模式下的防火墙我们主要工作就是配置policy,使之满足我们的安全要求。在设置规则之前,首先我们要把我们要保护的主机和外部非信任主机(如果有必要)在地址表中建立地址与名字的对应关系,也可以将相同类型主机设置为组便于管理。点击objects->address->list可以查看当前地址表内容,也可以新建地址,如图:
注意在添加新地址时需要明确本地址是处于哪一个zone。
对于上面地址表中我们新建立的处于v1-untrus zone的共有四个主机,webrver为处于v1-trust zone
闪亮之星的web服务器,我们可以将两个调度机划分为调度组,将两个生产主机划分到生产组以便于对不同的组赋予不同的权限。点击objects->address->group->new,可以看到在对话框的右边列出所有的新建地址,填写组名,将对应的主机移到此组中即可,完成后的图示如下:
b:规则的建立
地址表建立完成后我们就可以对不同的组设置各种规则以允许或阻止不同的服务穿过防火墙。点击policies,首先须选择规则的方向性,在最上面的下拉菜单中,From选择v1-untrust,To选择v1-trust,意味着此规则方向是从v1-untrust zone到v1-trust zone,然后点击右边new,即可进入规则配置页面:
如图,name栏可以不填,在source address栏,因为我们要添加多台主机,故在address book下拉菜单中选择调度组(也可以单独选择某个组中的某个主机);在destination address栏中我们可在address book的下拉菜单中找到webrver主机,rvice选择http,action为permit,表示允许防火墙通过从调度组到webrver的http数据。添加完后察看规则如图:
以后我们每添加一条规则,防火墙自动将其放置在所有规则的最后执行。如果需要一条规则总是首先被执行,则在添加这条规则时可将position on top选项选中。规则位置的调整可以通过上图中move栏下的环形图标和箭头图标进行。
在此要注意对不同的服务,添加的规则数目可能会不一样,如http服务,我们只要添加一条从v1-untrust zone到v1-trust zone 的rvice为http的规则即可,但对于邮件服务等其他服务,我们不仅要从v1-trust zone添加到v1-untrust zone的允许mail规则,还要添加一条从v1-untrust zone到v1-trust zone的允许mail-pop3规则。如果从一个zone 到另一个zone所允许的不只是http服务,还有ftp和telnet等其他服务,我们不必一种服务添加一条规则,只要在rvice下将这些服务建立一个组,然后规则中的rvice中选择这个组即可。黑木耳
防火墙工作在透明模式下的基本设置到此可以结束,这样已经满足一些基本的安全需求。同时可以在端口设置选项中选择此端口可以被进行的操作,如webui,telnet,ping 等,如果将这些操作都去掉,防火墙对外界处于透明模式,使其免遭各种探测型攻击。
2. 防火墙工作在NAT或ROUTE模式
科目四题库
防火墙工作在这种模式下可以实现一些更严密的安全功能,如隐藏目标主机地址,多个内部私有地址共享一个外部合法地址访问internet等。对这一部分将通过四个比较独立的
功能项来加以说明:NAT/MIP/VIP/ROUTE。
带日字的诗句
㈠NAT模式
防火墙工作在NAT或ROUTE模式下首先要将各端口绑定到三层zone,默认是eth1-trust,eth1-dmz,eth3-unturst,设置端口的zone属性的同时需设置其ip地址和管理地址,如图:(network->interfaces->选择端口点击edit)
其中ip address和manage ip必须处于同一个网段并且不能相同。注意如果我们是通过Eth1来配置的防火墙,则将地址如上图更改后,点击apply,则浏览器与防火墙失去连接,需重新配置管理机的ip地址与manage ip处于同一网段,在浏览器的地址栏能重新填入10.1.1.2来管理防火墙而不是用10.1.1.1。典型应用如下:
说明:图中WEB服务器的地址不一定要与eth3在同一个网段,210.1.1.1为合法地址,它与外界一般都是通过路由器相连,并在路由表中添加到所有地址的路由都通过此路由其进行。但对与我们的应用一般不会存在这个路由器,因此为方便起见将其省略。
如果防火墙的端口被分配到trust zone则默认端口工作在nat模式,我们也可以更改设置为route。但有
一点注意,只有绑定到trust zone的端口才能真正工作在nat方式,对