Netscreen防火墻培訓

All Rights Reserved Alcatel-Lucent 2008, # /webmoney Netscreen防火墻培訓 ISMP項目組 2008.2 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 了解 防火墻 的基本概念 熟悉 Netscreen ISG1000防火墻產(chǎn)品 能夠?qū)?ISG1000防火墻進行規(guī)劃和配置 學習完本課程，您應該能夠： 學習目標 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 內(nèi)容 防火墻基礎(chǔ)知識 Netscreen ISG1000防火墻簡介 ISMP平臺防火墻的典型組網(wǎng)方式 ISG1000防火墻配置規(guī)劃 ISG1000防火墻配置步驟 ISG1000防火墻的維護 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 簡單的說，防火墻是保護一個網(wǎng)絡(luò)免受“不信任”的網(wǎng)絡(luò)的攻擊，但是同時還必須允許兩個網(wǎng)絡(luò)之間可以進行合法的通信。防火墻具有如下基本特征： 經(jīng)過防火墻保護的網(wǎng)絡(luò)之間的通信必須都經(jīng)過防火墻。 只有經(jīng)過各種配置的策略驗證過的合法數(shù)據(jù)包才可以通過防火墻。 防火墻本身必須具有很強的抗攻擊、滲透能力。 防火墻可以保護內(nèi)部網(wǎng)絡(luò)的安全，可以使受保護的網(wǎng)絡(luò)避免遭到外部網(wǎng)絡(luò)的攻 擊。 硬件防火墻應該可以支持若干個網(wǎng)絡(luò)接口，這些接口都是 LAN接口（如 Ethernet、Token Ring、 FDDI），這些接口用來連接幾個網(wǎng)絡(luò)。在這些網(wǎng)絡(luò)中進行的連接都必須經(jīng)過硬件防火墻，防火墻來控制這些連接，對連接進行驗證、過濾。 連接不受信網(wǎng)絡(luò)區(qū)域 連接受信網(wǎng)絡(luò)區(qū)域 在連接受信網(wǎng)絡(luò)區(qū)域和非受信網(wǎng)絡(luò)區(qū)域之間的區(qū)域，一般稱為 DMZ。 防火墻的概念 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 防火墻的硬件發(fā)展過程： 1、一般是直接安裝在 PC上的一套軟件，基于 PC提供基本的安全防護，此時防火墻基本上就是一個應用軟件。代表產(chǎn)品有 CheckPoint公司的防火墻產(chǎn)品。 2、采用 PC硬件結(jié)構(gòu)，基于 linux等開發(fā)源代碼的操作系統(tǒng)內(nèi)核，開發(fā)了安全防護的一些基本特性構(gòu)成硬件防火墻產(chǎn)品形態(tài)。國內(nèi)大部分防火墻產(chǎn)品都是采用這種方式開發(fā)。從外觀上面看，該種防火墻是一個硬件防火墻產(chǎn)品，但是其軟件、硬件和第一種防火墻產(chǎn)品從硬件上面說沒有本質(zhì)區(qū)別。代表產(chǎn)品有天融信公司的防火墻產(chǎn)品 3、采用獨立設(shè)計的硬件結(jié)構(gòu)，在 CPU、電源、風扇、 PCI總線設(shè)計、擴展插卡等方面優(yōu)化結(jié)構(gòu)，保證防火墻產(chǎn)品可以得到最優(yōu)的處理性能。代表產(chǎn)品有junipher公司的 Netscreen 208產(chǎn)品、 NetScreen 500等防火墻產(chǎn)品。 防火墻的發(fā)展歷程 All Rights Reserved Alcatel-Lucent 2008, # /webmoney A的報文如何能最快的到 B？ 網(wǎng)絡(luò) A如何和網(wǎng)絡(luò) B互聯(lián)互通？過來一個報文立刻轉(zhuǎn)發(fā)一個報文。 網(wǎng)絡(luò) A 網(wǎng)絡(luò) B 交流路由信息 這個訪問是否允許到 B？這個 TCP連接是合法連接嗎？這個訪問是否是一個攻擊行為？ 路由器的特點： 保證互聯(lián)互通。 按照最長匹配算法逐包轉(zhuǎn)發(fā)。 路由協(xié)議是核心特性。 防火墻的特點： 邏輯子網(wǎng)之間的訪問控制，關(guān)注邊界安全 基于連接的轉(zhuǎn)發(fā)特性。 安全防范是防火墻的核心特性。 由于防火墻具有基于連接監(jiān)控的特性，因此防火墻對業(yè)務支持具有非常強的優(yōu)勢。而路由器基于逐包轉(zhuǎn)發(fā)的特點，因此路由器設(shè)備不適合做非常復雜的業(yè)務，復雜的業(yè)務對路由器的性能消耗比較大。防火墻支持的接口不如路由器豐富，支持的路由協(xié)議不如路由器豐富，因此防火墻不適合做為互聯(lián)互通的轉(zhuǎn)發(fā)設(shè)備。防火墻適合做為企業(yè)、內(nèi)部局域網(wǎng)的出口設(shè)備，支持高速、安全、豐富的業(yè)務特性。 防火墻和路由器的差異 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 按照防火墻實現(xiàn)的方式，一般把防火墻分為如下幾類： 包過濾防火墻 (Packet Filtering) 包過濾防火墻簡單，但是缺乏靈活性。另外包過濾防火墻每包需要都進行策略檢查，策略過多會導致性能急劇下降。 代理型防火墻（ application gateway） 代理型防火墻使得防火墻做為一個訪問的中間節(jié)點，對 Client來說防火墻是一個Server，對 Server來說防火墻是一個 Client。代理型防火墻安全性較高，但是開發(fā)代價很大。對每一種應用開發(fā)一個對應的代理服務是很難做到的，因此代理型防火墻不能支持很豐富的業(yè)務，只能針對某些應用提供代理支持。 狀態(tài)檢測防火墻 狀態(tài)檢測是一種高級通信過濾。它檢查應用層協(xié)議信息并且監(jiān)控基于連接的應用層協(xié)議狀態(tài)。對于所有連接，每一個連接狀態(tài)信息都將被 ASPF維護并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。 現(xiàn)在防火墻的主流產(chǎn)品為狀態(tài)檢測防火墻。 防火墻的分類 All Rights Reserved Alcatel-Lucent 2008, # /webmoney IP包過濾技術(shù) 包過濾利用定義的特定規(guī)則過濾數(shù)據(jù)包。 對防火墻需要轉(zhuǎn)發(fā)的數(shù)據(jù)包， 防火墻直接獲得其 IP源地址、目的地址、 TCP/ UDP的源端口、目的端口等 包頭信息 。 然后和設(shè)定的規(guī)則進行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進行轉(zhuǎn)發(fā)或者丟棄。而實現(xiàn)包過濾的核心技術(shù)是訪問控制策略 (policy)。 RInternet 公司總部 內(nèi)部網(wǎng)絡(luò) 未授權(quán)用戶 辦事處 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 訪問控制 policy 一個 IP數(shù)據(jù)包 如下圖所示（圖中 IP所承載的上層協(xié)議為 TCP）： IP報頭 TCP報頭 數(shù)據(jù) 協(xié)議號 源地址 目的地址 源端口 目的端口 對于 TCP來說，這 5個元素組成了一個 TCP相關(guān)，訪問控制列表就是利用這些元素定義的規(guī)則 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 用戶 A 初始化一個 t e l n e t 會話用戶 A 的 t e l n e t 會 話 返 回 報 文 被 允 許其它 t e l n e t 報文被阻塞創(chuàng)建 S e s s i o n 表項 狀態(tài)防火墻通過檢測基于 TCP/UDP連接的連接狀態(tài)，來動態(tài)的決定報文是否可以通過防火墻。在狀態(tài)防火墻中，會維護著一個 Session表項，通過 Session表項就可以決定哪些連接是合法訪問，哪些是非法訪問。 狀態(tài)檢測技術(shù) All Rights Reserved Alcatel-Lucent 2008, # /webmoney 狀態(tài)防火墻包處理流程 報 文 查 找 會 話 表未 找 到命 中查 找 域 間 A C L 規(guī)則允 許禁 止N A T 處 理 /查 找 路 由轉(zhuǎn) 發(fā)丟 棄創(chuàng) 建 會 話 表根 據(jù) 路 由 表 找 出 域進 而 找 到 域 間All Rights Reserved Alcatel-Lucent 2008, # /webmoney 防火墻基礎(chǔ) 區(qū)域 防火墻的內(nèi)部劃分為多個區(qū)域，所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個區(qū)域 Local區(qū) 域 Trust區(qū)域 DMZ區(qū)域 UnTrust區(qū)域 接口 1 接口 2 接口 3 接口 4 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 防火墻上主要有 4個安全區(qū)域： 非受信區(qū)（ Untrust）：低級的安全區(qū)域 . 非軍事化區(qū)（ DMZ）：中度級別的安全區(qū)域 . 受信區(qū)（ Trust）：較高級別的安全區(qū)域 . 管理區(qū)域（ MGT）：管理區(qū) 此外，如認為有必要，用戶還可以自行設(shè)置新的安全區(qū)域并定義其安全優(yōu)先級別。 防火墻基礎(chǔ) 區(qū)域 All Rights Reserved Alcatel-Lucent 2008, # /webmoney Ethernet 外部網(wǎng)絡(luò) Ethernet NetscreenISG1000 Server Server Trust Untrust DMZ ethernet 3/1 ethernet 3/2 ethernet 2/1 內(nèi)部網(wǎng)絡(luò) 防火墻基礎(chǔ) 區(qū)域 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 防火墻基礎(chǔ) 轉(zhuǎn)發(fā)規(guī)則 路由器的安全規(guī)則定義在接口上，而防火墻的安全規(guī)則定義在安全區(qū)域之間 不允許來自 的數(shù)據(jù)報從這個接口出去 Local區(qū) 域 Trust區(qū)域 DMZ區(qū)域 UnTrust區(qū)域 接口 1 接口 2 接口 3 接口 4 禁止所有從 DMZ區(qū)域的數(shù)據(jù)報 轉(zhuǎn)發(fā)到 UnTrust區(qū)域 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 域間的數(shù)據(jù)流分兩個方向： 入方向（ inbound）：數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较颍?出方向（ outbound）：數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较颉?MGT區(qū) 域 Trust區(qū)域 DMZ區(qū)域 UnTrust區(qū)域 接口 1 接口 2 接口 3 接口 4 In Out In Out In Out In Out 防火墻基礎(chǔ) 轉(zhuǎn)發(fā)規(guī)則 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 本域內(nèi)不同接口間不過濾直接轉(zhuǎn)發(fā) 進、出接口相同的報文被丟棄 接口沒有加入域之前不能轉(zhuǎn)發(fā)報文 Local區(qū) 域 Trust區(qū)域 DMZ區(qū)域 UnTrust區(qū)域 接口 1 接口 2 接口 3 接口 4 In Out In Out In Out In Out 防火墻基礎(chǔ) 轉(zhuǎn)發(fā)規(guī)則 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 路由模式 透明模式 混合模式 防火墻基礎(chǔ) 模式分類 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 防火墻基礎(chǔ) 路由模式 可以把路由模式理解為象路由器那樣工作。防火墻每個接口連接一個網(wǎng)絡(luò)，防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān)。報文在防火墻內(nèi)首先通過入接口信息找到進入域信息，然后通過查找轉(zhuǎn)發(fā)表，根據(jù)出接口找到出口域，再根據(jù)這兩個域確定域間關(guān)系，然后使用配置在這個域間關(guān)系上的安全策略進行各種操作。 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 防火墻基礎(chǔ) 透明模式 透明模式的防火墻則可以被看作一臺以太網(wǎng)交換機。防火墻的接口不能配 IP地址，整個設(shè)備處于現(xiàn)有的子網(wǎng)內(nèi)部，對于網(wǎng)絡(luò)中的其他設(shè)備，防火墻是透明的。報文轉(zhuǎn)發(fā)的出接口，是通過查找橋接的轉(zhuǎn)發(fā)表得到的。在確定域間之后，安全模塊的內(nèi)部仍然使用報文的 IP地址進行各種安全策略的匹配。 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 防火墻基礎(chǔ) 混合模式 混合模式是指防火墻一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是為了解決防火墻在純粹的透明模式下無法使用雙機熱備份功能的問題。雙機熱備份所依賴的 VRRP需要在接口上配置 IP地址，而透明模式無法實現(xiàn)這一點。 目前很多新型防火墻已經(jīng)支持透明模式下的雙機熱備。 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 防火墻基礎(chǔ) 雙機熱備 什么是雙機熱備？ 所謂雙機熱備其實是雙機狀態(tài)備份，當兩臺防火墻，在確定主從防火墻后，由主 防火墻進行業(yè)務的轉(zhuǎn)發(fā)，而從防火墻處于監(jiān)控狀態(tài)，同時主防火墻會定時向從防 火墻發(fā)送狀態(tài)信息和需要備份的信息，當主防火墻出現(xiàn)故障后，從防火墻會及時 接替主防火墻上的業(yè)務運行。 N e t s c r e e n AM a s t e rN e t s c r e e n BB a c k u pT r u s t 區(qū) 域D M Z 區(qū) 域U n t r u s t 區(qū) 域P CP C( 1 )( 2 )( 3 )( 4 )( 7 )會 話 表 項S e r v e r( 5 )( 6 )( 8 )實 際 連 線報 文 流 徑心跳線All Rights Reserved Alcatel-Lucent 2008, # /webmoney 內(nèi)容 防火墻基礎(chǔ)知識 Netscreen ISG1000防火墻簡介 ISMP平臺防火墻的典型組網(wǎng)方式 ISG1000防火墻配置規(guī)劃 ISG1000防火墻配置步驟 ISG1000防火墻的維護 All Rights Reserved Alcatel-Lucent 2008, # /webmoney Netscreen防火墻介紹 Netscreen 防火墻的簡介 Difference 安全架構(gòu) 專用硬件平臺 集成安全網(wǎng)關(guān)（ ISG）系列 特性與優(yōu)勢 ISG1000 硬件特性 性能參數(shù) All Rights Reserved Alcatel-Lucent 2008, # /webmoney Juniper網(wǎng)絡(luò)公司集成安全產(chǎn)品是執(zhí)行關(guān)鍵安全功能的專用產(chǎn)品，優(yōu)化用于最大限度地提供性能，由安全性特定的實時操作系統(tǒng) ScreenOS所控制。 Juniper網(wǎng)絡(luò)公司集成安全產(chǎn)品包括大量專用的高性能平臺，可跨越大量高密度的局域網(wǎng) /廣域網(wǎng)接口提供集成安全性和局域網(wǎng) /廣域網(wǎng)路由功能，滿足中小企業(yè)、大型分布式企業(yè)及電信運營商的許多需求。這些集成產(chǎn)品可保護網(wǎng)絡(luò)免遭所有形式的攻擊和惡意軟件威脅，同時促進企業(yè)間的安全通信。 Netscreen防火墻簡介 All Rights Reserved Alcatel-Lucent 2008, # /webmoney The NetScreen Difference 通過新一代體系結(jié)構(gòu)完成業(yè)界領(lǐng)先的性能和安全保護 專用加密加速 ASIC ASIC 可處理 DES, 3DES, MD5, SHA1, PKI 加速 , Session查找 , TCP 頭解析 , 認證 , NAT, 隨即數(shù)產(chǎn)生和策略查詢 (每秒 25 million策略 ). 超級性能 single, multi, 與 parallel 處理板 基于需求定制，安全優(yōu)化的操作系統(tǒng) ScreenOS 核心技術(shù)高度集成 基于狀態(tài)過濾的防火墻 攻擊檢測與保護 VPN / PKI 流量管理 /帶寬管理 端到端的解決方案提供靈活的網(wǎng)絡(luò)結(jié)構(gòu) 全面的設(shè)備管理方法 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 安全架構(gòu) 全面的 安全策略 Firewall VPN Intrusion Detection Anti-Virus Denial of Service High Availability Remote Access User Authentication Dynamic Routing NAT Traversal PKI Global Management All Rights Reserved Alcatel-Lucent 2008, # /webmoney NetScreen 專用硬件平臺 CPU RAM I/O Out In CPU RAM I/O Bus VPN Co-Processor In Out 傳統(tǒng)設(shè)計 NetScreen 設(shè)計 - Multiple passes across the bus - No separation of the data & control planes - Single pass across the bus - Separation of data & control planes All Rights Reserved Alcatel-Lucent 2008, # /webmoney 集成式安全網(wǎng)關(guān)（ ISG） Juniper網(wǎng)絡(luò)公司集成式安全網(wǎng)關(guān)（ ISG）是一種專用安全解決方案，它采用了第四代安全 ASIC GigaScreen3，以及高性能微處理器，能夠提供無與倫比的防火墻和 VPN性能。 Juniper網(wǎng)絡(luò)公司 ISG 1000 和 ISG 2000 非常適合因需要運行 VoIP和流媒體等高級應用而需要可以擴展的一致性能的企業(yè)、運營商和數(shù)據(jù)中心環(huán)境。 ISG 1000和 ISG 2000 將最佳深層檢測防火墻、 VPN和 DoS解決方案集成在一起不但能提供安全、可靠的連接，還能為重要的高流量網(wǎng)段提供網(wǎng)絡(luò)和應用級保護。 ISG 1000： ISG 1000是一個完全集成的 FW/VPN/IDP系統(tǒng)，具有千兆性能、模塊化架構(gòu)和豐富的虛擬化功能?；A(chǔ) FW/VPN系統(tǒng)提供四個固定 10/100/1000接口，以及兩個額外的 I/O模塊，以支持接口擴展。 ISG 2000： ISG 2000 是一種完全集成的 FW/VPN/IDP系統(tǒng)，具有千兆性能、模塊化架構(gòu)和豐富的虛擬化功能?；A(chǔ) FW/VPN系統(tǒng)最多支持四個 I/OS模塊和三個安全模塊，以支持 IDP 集成。 All Rights Reserved Alcatel-Lucent 2008, # /webmoney NetScreen-ISG1000 Hot Swappable AC or DC Power Supplies Fan Module LCD Interface Module Bays 4個 ethernet Management Console All Rights Reserved Alcatel-Lucent 2008, # /webmoney NetScreen-ISG1000 特性與優(yōu)勢 硬件特性 第四代安全 ASIC GigaScreen3以及高性能微處理器 多總線結(jié)構(gòu) : 獨立的管理和數(shù)據(jù)總線 可靠的設(shè)計 冗余熱插拔電源 (DC or AC)、熱插拔風扇 2U, 19”模塊化架構(gòu)， 2 個 I/O 接口插槽 4個 10/100/1000Mbps 以太口，可用于冗余 HA等 高端的性能 千兆性能 豐富的虛擬化功能 All Rights Reserved Alcatel-Lucent 2008, # /webmoney ISG系列性能參數(shù) 基本特性 /功能 ISG 1000基本版 ISG 2000基本版 最多會話數(shù) 125,000 256,000 最多同步 VPN隧道 1,000 1,000 VLANs 50 100 路由協(xié)議支持 僅 RIPv2 僅 RIPv1/v2 高可用性 主用 /備用 主用 /備用 IPS（深層檢測防火墻） 不提供 不提供 集成 IDP 不提供 不提供 支持的高可用性模式 主用 /備用 主用 /備用 集成 / 重新定向 Web過濾 否 / 是 否 / 是 All Rights Reserved Alcatel-Lucent 2008, # /webmoney ISG系列性能參數(shù) 高級特性 /功能 ISG 1000高級版 ISG 2000高級版 接口數(shù)量 4個固定的 10/100/1000和最多 4個 Mini GBIC (SX 或 LX)，或最多 8個 10/100/1000，或最多 20個 10/100 最多 8個 Mini-GBIC (SX 或 LX)或最多 28 個 10/100 可信接口中的最多 IP地址數(shù) 無限 無限 最大吞吐量 1G FW (64字節(jié) ) 1G 3DES VPN 2G FW (64字節(jié) ) 4GFW (256-1518字節(jié) ) 1G 3DES VPN 最多會話數(shù) 250,000 512,000 最多 VPN隧道數(shù) 2,000 10,000 最多策略數(shù) 10,000 30,000 最多虛擬系統(tǒng)數(shù) 默認設(shè)置為 0個，最多可增加 10個 默認設(shè)置為 0個，最多可增加 50個 All Rights Reserved Alcatel-Lucent 2008, # /webmoney ISG系列性能參數(shù) 高級特性 /功能 ISG 1000高級版 ISG 2000高級版 最多虛擬 LAN數(shù) 250 500 最多安全區(qū)數(shù) 默認為 20個，可選為 20個 默認為 26個，可選為 100個 最多虛擬路由器數(shù) 默認為 3個，可選為 10個 默認為 3個，可選為 50個 高可用性支持 主用 /備用 主用 /主用 主用 /主用，全網(wǎng)狀 主用 /備用 主用 /主用 主用 /主用，全網(wǎng)狀 路由協(xié)議支持 OSPF, BGP, RIPv2 OSPF, BGP, RIPv1/v2 IPS（深層檢測防火墻） 是 是 集成 IDP 是 - 可選升級 * 是 - 可選升級 集成 / 重新定向 Web過濾 否 / 是 否 / 是 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 內(nèi)容 防火墻基礎(chǔ)知識 Netscreen ISG1000防火墻簡介 ISMP平臺防火墻的典型組網(wǎng)方式 ISG1000防火墻配置規(guī)劃 ISG1000防火墻配置步驟 ISG1000防火墻的維護 All Rights Reserved Alcatel-Lucent 2008, # /webmoney ISMP平臺防火墻的典型組網(wǎng)方式 存 儲 網(wǎng) 絡(luò)S A N 存 儲控 制 中 心主 機S A N 交換 機S A N 交換 機C I S C O 交 換機C I S C O 交 換機數(shù) 據(jù) 庫 / 控 制 中 心備 機管 理 中 心 / 接 口 機備 機管 理 中 心主 機存 儲 網(wǎng) 絡(luò)數(shù) 據(jù) 庫主 機接 口 機主 機內(nèi) 部 網(wǎng) 絡(luò)外 部 網(wǎng) 絡(luò)網(wǎng) 絡(luò) 層 次 劃 分 線以 太 網(wǎng) 線心 跳 線A l c a t e l 7 7 5 0 S R 71 6 3C N 2D C NN e t s c r e e n I S G 1 0 0C i s c o A S A 5 5 1 0C N 2 P E C N 2 P EC P / S P / 用 戶全 國 業(yè) 務 中 心其 它 省 級 業(yè) 務 平 臺網(wǎng) 管 / 計 費 / C R MI S M P 平 臺省 I S A GW A P G W省 級 業(yè) 務 引 擎I V R彩 鈴短 信L B S彩 信P H S 短 信省 門 戶C i s c o A S A 5 5 1 0N e t s c r e e n I S G 1 0 0A l c a t e l 7 7 5 0 S R 7All Rights Reserved Alcatel-Lucent 2008, # /webmoney 內(nèi)容 防火墻基礎(chǔ)知識 Netscreen ISG1000防火墻簡介 ISMP平臺防火墻的典型組網(wǎng)方式 ISG1000防火墻配置規(guī)劃 ISG1000防火墻配置步驟 ISG1000防火墻的維護 All Rights Reserved Alcatel-Lucent 2008, # /webmoney ISG1000防火墻配置規(guī)劃 主機名規(guī)劃 區(qū)域及接口用途規(guī)劃 IP地址規(guī)劃 路由規(guī)劃 地址映射規(guī)劃 安全策略規(guī)劃 SNMP、 NTP、 DNS、 LOG及其它 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 主機名規(guī)劃 ISMP工程中防火墻設(shè)備主機名命名方案統(tǒng)一規(guī)劃為： 省名 +ISMP+設(shè)備型號 _To外網(wǎng)名 _序號 本次工程中防火墻型號主要有 ISG1000和 ASA510兩種。 例：安徽電信 ISMP平臺連接 163公網(wǎng)的 2臺防火墻分別命名為 AH_ISMP_ISG1000_To163_1 AH_ISMP_ISG1000_To163_2 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 區(qū)域及接口用途規(guī)劃 虛擬路由器（ Virtual Router）：默認只有 1個 trust-vr，網(wǎng)絡(luò)復雜，可使用多個虛擬路由器，虛擬路由器之間可使用動態(tài)路由協(xié)議或靜態(tài)路由通信。 ISMP工程中，一般將這幾個所用的區(qū)域全部放到 trust-tr 1個 VR中。多個 VR，雖然訪問控制更加靈活，但 VR之間配置復雜。 區(qū)域（ Zones）： ISG1000默認共有 14個 zones，簡單網(wǎng)絡(luò)只需要 trust、 untrust、 DMZ、 HA等。在 ISMP系統(tǒng)防火墻上，可以把 ISMP系統(tǒng)放置于 Trust區(qū)， ISMP平臺所連接的電信外圍設(shè)備放置于 DMZ區(qū)， Internet放置于 Untrust區(qū)。 接口（ Interface）： ISG1000共有 2個流量板，接口命名及用途規(guī)劃參考 IP地址規(guī)劃。 All Rights Reserved Alcatel-Lucent 2008, # /webmoney IP地址規(guī)劃 接口類型 接口名稱 IP/Netmask 區(qū)域 VirtualRouter 用途 電口 Ethernet1/1 /0 HA trust-vr 心跳 電口 Ethernet1/2 /0 HA trust-vr 心跳 電口 Ethernet1/3 - - - - 電口 Ethernet1/4 - - - - 千兆單模 Ethernet2/1 /29 Untrust Trust-vr To163 千兆單模 Ethernet2/2 - - - - 千兆多模 Ethernet3/1 /29 trust Trust-vr To Inside 千兆多模 Ethernet3/2 暫無 DMZ Trust-vr To DMZ 電口 mgt /24 mgt Trust-vr 帶外管理口 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 路由規(guī)劃 各接口區(qū)域均在一個 VR（ trust-vr）里，路由配置較簡單。只需要在 trust-vr里配置出去的默認路由、內(nèi)網(wǎng)的回程路由以及 DMZ區(qū)向路由。 各接口區(qū)域不在一個 VR里，在每個 VR里，還需要配置 VR間的轉(zhuǎn)發(fā)路由。復雜情況，可啟用動態(tài)路由協(xié)議。 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 地址映射規(guī)劃 在 ISMP平臺應用中，各接口機和門戶服務器需做地址映射以提供網(wǎng)外訪問。 示例如下： 主機名 IP 主機說明 163 mappedIP DCN mappedIP ismp_db 0/27 數(shù)據(jù)庫主機 0 0 db_cc 1/27 數(shù)據(jù)庫 /控制中心備機 1 1 ismp_cc 2/27 控制中心主機 2 2 pkg_db 3/27 數(shù)據(jù)庫浮動 IP 3 3 pkg_cc 4/27 控制中心浮動 IP 4 4 cell_manager 0/27 DP備份軟件管理機 8 0 ismp_test /27 ISMP測試系統(tǒng) 9 ismp_skt 0/27 接口機主機 0 0 skt_ptl 1/27 接口機 /門戶機備機 1 1 ismp_ptl 2/27 門戶機主機 2 2 skt 3/27 接口機浮動 IP 3 3 ptl 4/27 門戶機浮動 IP 4 4 All Rights Reserved Alcatel-Lucent 2008, # /webmoney 安全策略規(guī)劃一 設(shè)備登錄控制 網(wǎng)絡(luò)設(shè)備配置需要保護，防止非授權(quán)訪問非常重要。各種登錄賬戶、權(quán)限需求在實施配置前也必須進行詳細調(diào)研規(guī)劃。 可主要考慮 console、 telnet、 SSH、 WEBUI等授權(quán)訪問方式中的登錄賬戶、權(quán)限及密碼規(guī)劃。 All Rights Reserved Alcatel-Lucent 2008, # http:/www.do