Juniper netscreen os 配置圖文 全手冊(cè)

1、Juniper 防火墻配置手冊(cè)2007-11目 錄目 錄2第一章:Juniper 防火墻基本原理4一,安全區(qū)段:4二,安全區(qū)段接口5三,創(chuàng)建二級(jí) IP 地址12四,接口狀態(tài)更改13五,接口透明模式15六,接口NAT 模式20七,接口路由模式25八,地址組30九,服務(wù)32十,動(dòng)態(tài) IP 池32十一,策略43十二,系統(tǒng)參數(shù)641，域名系統(tǒng)支持642，DNS 查找643，動(dòng)態(tài)主機(jī)配置協(xié)議704，以太網(wǎng)點(diǎn)對(duì)點(diǎn)協(xié)議825，現(xiàn)有設(shè)備或新設(shè)備添加防病毒、Web 過(guò)濾、反垃圾郵件和深入檢查876，系統(tǒng)時(shí)鐘87第二章:Juniper 防火墻管理91一,通過(guò) Web 用戶界面進(jìn)行管理91二,通過(guò)命令行界面進(jìn)行管理

2、95三,通過(guò) NetScreen-Security Manager 進(jìn)行管理96四,設(shè)置管理接口選項(xiàng)100五,管理的級(jí)別103六,日志信息110第三章:Juniper 防火墻路由1381,靜態(tài)路由1382,OSPF144第四章:Juniper 防火墻NAT150一,基于策略的轉(zhuǎn)換選項(xiàng)150二,NAT-Dst 一對(duì)一映射161三, NAT-Dst 一對(duì)多映射163四,NAT-Dst 多對(duì)一映射166五,NAT-Dst 多對(duì)多映射168六,帶有端口映射的 NAT-Dst170七,同一策略中的 NAT-Src 和 NAT-Dst173八,Untrust 區(qū)段上的MIP183九,虛擬 IP 地址190

3、第五章:Juniper 防火墻VPN197一,站點(diǎn)到站點(diǎn)的虛擬專用網(wǎng)1971,站點(diǎn)到站點(diǎn) VPN 配置1972,基于路由的站點(diǎn)到站點(diǎn) VPN，自動(dòng)密鑰 IKE2023,基于路由的站點(diǎn)到站點(diǎn) VPN，動(dòng)態(tài)對(duì)等方2094,基于策略的站點(diǎn)到站點(diǎn) VPN，動(dòng)態(tài)對(duì)等方2175,基于路由的站點(diǎn)到站點(diǎn) VPN，手動(dòng)密鑰2246,基于策略的站點(diǎn)到站點(diǎn) VPN，手動(dòng)密鑰230二,撥號(hào)虛擬專用網(wǎng)2351,基于策略的撥號(hào) VPN，自動(dòng)密鑰 IKE2352,基于路由的撥號(hào) VPN，動(dòng)態(tài)對(duì)等方240基于策略的撥號(hào) VPN，動(dòng)態(tài)對(duì)等方246用于撥號(hào) VPN 用戶的雙向策略251第六章:Juniper 防火墻攻擊檢測(cè)與防御

4、256一,Juniper中低端防火墻的UTM功能配置2561,Profile的設(shè)置2572,防病毒profile在安全策略中的引用259二,防垃圾郵件功能的設(shè)置2611,Action 設(shè)置2612,White List與Black List的設(shè)置2613,防垃圾郵件功能的引用263三,WEB/URL過(guò)濾功能的設(shè)置2631轉(zhuǎn)發(fā)URL過(guò)濾請(qǐng)求到外置URL過(guò)濾服務(wù)器2632,使用內(nèi)置的URL過(guò)濾引擎進(jìn)行URL過(guò)濾2653,手動(dòng)添加過(guò)濾項(xiàng)266四,深層檢測(cè)功能的設(shè)置2681,設(shè)置DI攻擊特征庫(kù)自動(dòng)更新2692,深層檢測(cè)（DI）的引用270第一章:Juniper 防火墻基本原理一,安全區(qū)段: 概念:安全

5、區(qū)段是由一個(gè)或多個(gè)網(wǎng)段組成的集合，需要通過(guò)策略來(lái)對(duì)入站和出站信息流進(jìn)行調(diào)整。安全區(qū)段是綁定了一個(gè)或多個(gè)接口的邏輯實(shí)體。通過(guò)多種類型的 Juniper Networks 安全設(shè)備，您可以定義多個(gè)安全區(qū)段，確切數(shù)目可根據(jù)網(wǎng)絡(luò)需要來(lái)確定。除用戶定義的區(qū)段外，您還可以使用預(yù)定義的區(qū)段:Trust、Untrust 和 DMZ (用于第3 層操作)，或者 V1-Trust、V1-Untrust 和 V1-DMZ( 用于第2 層操作)。如果愿意，可以繼續(xù)使用這些預(yù)定義區(qū)段。也可以忽略預(yù)定義區(qū)段而只使用用戶定義的區(qū)段。另外，您還可以同時(shí)使用這兩種區(qū)段- 預(yù)定義和用戶定義。利用區(qū)段配置的這種靈活性，您可以創(chuàng)建能

6、夠最好地滿足您的具體需要的網(wǎng)絡(luò)設(shè)計(jì)。功能區(qū)段共有五個(gè)功能區(qū)段，分別是 Null、MGT、HA、Self 和 VLAN。每個(gè)區(qū)段的存在都有其專門的目的，如以下小節(jié)所述。Null 區(qū)段此區(qū)段用于臨時(shí)存儲(chǔ)沒(méi)有綁定到任何其它區(qū)段的接口。MGT 區(qū)段此區(qū)段是帶外管理接口 MGT 的宿主區(qū)段。可以在此區(qū)段上設(shè)置防火墻選項(xiàng)以保護(hù)管理接口，使其免受不同類型的攻擊。HA 區(qū)段此區(qū)段是高可用性接口 HA1 和 HA2 的宿主區(qū)段。盡管可以為 HA 區(qū)段設(shè)置接口，但是此區(qū)段本身是不可配置的。Self 區(qū)段此區(qū)段是遠(yuǎn)程管理連接接口的宿主區(qū)段。當(dāng)您通過(guò) HTTP、SCS 或 Telnet 連接到安全設(shè)備時(shí)，就會(huì)連接到

7、Self 區(qū)段。VLAN 區(qū)段此區(qū)段是 VLAN1 接口的宿主區(qū)段，可用于管理設(shè)備，并在設(shè)備處于“透明”模式時(shí)終止 VPN 信息流，也可在此區(qū)段上設(shè)置防火墻選項(xiàng)以保護(hù) VLAN1 接口，使其免受各種攻擊。設(shè)置端口模式通過(guò) WebUI 或 CLI 更改安全設(shè)備上的端口模式設(shè)置。設(shè)置端口模式之前，請(qǐng)注意以下方面:􀂄 更改端口模式會(huì)刪除設(shè)備上任何現(xiàn)有的配置，并要求系統(tǒng)重置。􀂄 發(fā)布 unset all CLI 命令不影響設(shè)備上的端口模式設(shè)置。例如，如果要將端口模式設(shè)置從 Combined 模式更改回缺省 Trust-Untrust 模式，發(fā)布 unset all

8、命令會(huì)刪除現(xiàn)有配置，但不會(huì)將設(shè)備設(shè)置為 Trust-Untrust 模式。二,安全區(qū)段接口物理接口和子接口的目的是提供一個(gè)開(kāi)口，網(wǎng)絡(luò)信息流可通過(guò)它在區(qū)段之間流動(dòng)。物理接口安全設(shè)備上的每個(gè)端口表示一個(gè)物理接口，且該接口的名稱是預(yù)先定義的。物理接口的名稱由媒體類型、插槽號(hào) ( 對(duì)于某些設(shè)備) 及端口號(hào)組成，例如，ethernet3/2或 ethernet2?？蓪⑽锢斫涌诮壎ǖ匠洚?dāng)入口的任何安全區(qū)段，信息流通過(guò)該入口進(jìn)出區(qū)段。沒(méi)有接口，信息流就無(wú)法進(jìn)入或退出區(qū)段。在支持對(duì)“接口至區(qū)段綁定”進(jìn)行修改的安全設(shè)備上，三個(gè)物理以太網(wǎng)接口被預(yù)先綁定到各特定第2 層安全區(qū)段 - V1-Trust、V1-Untr

9、ust 和 V1-DMZ。哪個(gè)接口綁定到哪個(gè)區(qū)段根據(jù)每個(gè)平臺(tái)而定。子接口子接口，與物理接口相似，充當(dāng)信息流進(jìn)出安全區(qū)段的開(kāi)口。邏輯上，可將物理接口分成幾個(gè)虛擬子接口。每個(gè)虛擬子接口都從自己來(lái)源的物理接口借用所需的帶寬，因此其名稱是物理接口名稱的擴(kuò)展，例如，ethernet3/2.1 或 ethernet2.1?？梢詫⒆咏涌诮壎ǖ饺魏螀^(qū)段。還可將子接口綁定到其物理接口的相同區(qū)段，或?qū)⑵浣壎ǖ讲煌瑓^(qū)段。通道接口通道接口充當(dāng) VPN 通道的入口。信息流通過(guò)通道接口進(jìn)出 VPN 通道。將通道接口綁定到 VPN 通道時(shí)，即可在到達(dá)特定目標(biāo)的路由中引用該通道接口，然后在一個(gè)或多個(gè)策略中引用該目標(biāo)。利用這種

10、方法，可以精確控制通過(guò)該通道的信息流的流量。它還提供 VPN 信息流的動(dòng)態(tài)路由支持。如果沒(méi)有通道接口綁定到VPN 通道，則必須在策略中指定通道并選擇 tunnel 作為操作。因?yàn)椴僮?tunnel意味著允許，所以不能明確拒絕來(lái)自 VPN 通道的信息流。可使用在通道接口的相同子網(wǎng)中的動(dòng)態(tài) IP (DIP) 地址池對(duì)外向或內(nèi)向信息流上執(zhí)行基于策略的 NAT。對(duì)通道接口使用基于策略的 NAT 的主要原因是為了避免 IP 地址在 VPN 通道端兩個(gè)站點(diǎn)間發(fā)生沖突。必須將基于路由的 VPN 通道綁定到通道接口，以便安全設(shè)備可以路由信息流出和流入設(shè)備?？蓪⒒诼酚傻?VPN 通道綁定到一個(gè)有編號(hào) ( 具有

11、 IP 地址/ 網(wǎng)絡(luò)掩碼)或沒(méi)有編號(hào) ( 沒(méi)有 IP 地址/ 網(wǎng)絡(luò)掩碼) 的通道接口。如果通道接口沒(méi)有編號(hào)，則必須指定它借用 IP 地址的接口。安全設(shè)備自行啟動(dòng)通過(guò)通道的信息流- 如 OSPF 消息時(shí)，安全設(shè)備僅使用借用的 IP 地址作為源地址。通道接口可以從相同或不同安全區(qū)段的接口借用 IP 地址，只要這兩個(gè)區(qū)段位于同一個(gè)路由選擇域中。可以對(duì) VPN 信息流路由進(jìn)行非常安全的控制，方法是將所有沒(méi)有編號(hào)的通道接口綁定到一個(gè)區(qū)段 ( 該區(qū)段位于其自身的虛擬路由選擇域中)，并且從綁定到同一區(qū)段的回傳接口借用 IP 地址。例如，可以將所有沒(méi)有編號(hào)的通道接口綁定到一個(gè)名為“VPN”的用戶定義的區(qū)段，并

12、且對(duì)這些接口進(jìn)行配置，以便從 loopback.1 接口借用 IP 地址，也可綁定到 VPN 區(qū)段。VPN 區(qū)段位于名為“vpn-vr”的用戶定義的路由選擇域中。將通道通向的所有目標(biāo)地址放置在 VPN 區(qū)段中。對(duì)這些地址的路由指向通道接口，策略則控制其他區(qū)段和 VPN 區(qū)段之間的 VPN 信息流。將所有通道接口放置在這樣的區(qū)段中非常安全，因?yàn)?VPN 不會(huì)由于出現(xiàn)故障 ( 這樣會(huì)使通往相關(guān)通道接口的路由變成非活動(dòng)狀態(tài)) 而重新定向原本讓通道使用非通道路由 ( 如缺省路由) 的信息流。還可將一個(gè)通道接口綁定到 Tunnel 區(qū)段。這時(shí)，必須有一個(gè) IP 地址。將通道接口綁定到 Tunnel 區(qū)段

13、的目的是讓基于策略的 VPN 通道能夠使用 NAT 服務(wù)。通道接口到區(qū)段的綁定從概念上講，可將 VPN 通道當(dāng)作鋪設(shè)的管道。它們從本地設(shè)備延伸到遠(yuǎn)程網(wǎng)關(guān)，而通道接口就是這些管道的開(kāi)口。管道始終存在，只要路由引擎將流量引導(dǎo)到接口之一就可隨時(shí)使用。通常，如果希望接口支持源地址轉(zhuǎn)換 (NAT-src) 的一個(gè)或多個(gè)動(dòng)態(tài) IP (DIP) 池和目標(biāo)地址轉(zhuǎn)換 (NAT-dst) 的映射 IP (MIP) 地址，請(qǐng)為該通道接口分配一個(gè) IP 地址?？梢栽诎踩珔^(qū)段或通道區(qū)段創(chuàng)建具有 IP 地址和網(wǎng)絡(luò)掩碼的通道接口。如果通道接口不需要支持地址轉(zhuǎn)換，并且配置不要求將通道接口綁定到一個(gè)Tunnel 區(qū)段，則可以將

14、該接口指定為無(wú)編號(hào)。必須將一個(gè)沒(méi)有編號(hào)的通道接口綁定到安全區(qū)段；同時(shí)不能將其綁定到 Tunnel 區(qū)段。還必須指定一個(gè)具有 IP 地址的接口，該接口位于與綁定沒(méi)有編號(hào)接口的安全區(qū)段相同的虛擬路由選擇域中。無(wú)編號(hào)的通道接口借用該接口的 IP 地址。如果正在通過(guò) VPN 通道傳送組播數(shù)據(jù)包，可以在通道接口上啟用“通用路由封裝”(GRE) 以在單播數(shù)據(jù)包中封裝組播數(shù)據(jù)包。Juniper Networks 安全設(shè)備支持可在 IPv4 單播數(shù)據(jù)包中封裝 IP 數(shù)據(jù)包的 GREv1。刪除通道接口不能立即刪除擁有映射 IP 地址 (MIP) 或“動(dòng)態(tài) IP (DIP)”地址池的通道接口。刪除擁有這些特征的通

15、道接口前，必須首先刪除引用它們的所有策略。然后必須刪除通道接口上的 MIP 和 DIP 池。如果基于路由的 VPN 配置引用一個(gè)通道接口，則必須首先刪除 VPN 配置，然后刪除通道接口。在本范例中，通道接口 tunnel.2 被鏈接到 DIP 池 8。通過(guò)名為 vpn1 的 VPN 通道，從 Trust 區(qū)段到 Untrust 區(qū)段的 VPN 信息流的策略 (ID 10) 引用 DIP 池 8。要?jiǎng)h除該通道接口，必須首先刪除該策略 ( 或從該策略中刪除引用的 DIP 池 8)，然后刪除 DIP 池。然后，必須解除 tunnel.2 到 vpn 1 的綁定。刪除依賴通道接口的所有配置后，即可刪除

16、該通道接口。WebUI1. 刪除引用 DIP 池 8 的 策略 10Policies (From: Trust, To: Untrust): 單擊策略 ID 10 的 Remove。2. 刪除鏈接到 tunnel.2 的 DIP 池 8Network > Interfaces > Edit ( 對(duì)于 tunnel.2) > DIP: 單擊 DIP ID 8 的Remove。3. 解除來(lái)自 vpn1 的 tunnel.2 綁定VPNs > AutoKey IKE > Edit ( 對(duì)于 vpn1) > Advanced: 在 Bind to: TunnelIn

17、terface 下拉列表中選擇 None，單擊 Return，然后單擊 OK。4. 刪除 tunnel.2Network > Interfaces: 單擊 tunnel.2 的 Remove。CLI1. 刪除引用 DIP 池 8 的 策略 10unset policy 102. 刪除鏈接到 tunnel.2 的 DIP 池 8unset interface tunnel.2 dip 83. 解除來(lái)自 vpn1 的 tunnel.2 綁定unset vpn vpn1 bind interface4. 刪除 tunnel.2unset interface tunnel.2save查看接口可查

18、看列出安全設(shè)備上所有接口的表。因?yàn)槲锢斫涌谑穷A(yù)定義的，所以不管是否配置，它們都會(huì)列出。而對(duì)于子接口和通道接口來(lái)說(shuō)，只有在創(chuàng)建和配置后才列出。要在 WebUI 中查看接口表，請(qǐng)單擊 Network > Interfaces?？芍付ń涌陬愋蛷腖ist Interfaces 下拉菜單顯示。要在 CLI 中查看接口表，請(qǐng)使用 get interface 命令。接口表顯示每個(gè)接口的下列信息:􀂄 Name: 此字段確定接口的名稱。􀂄 IP/Netmask: 此字段確定接口的 IP 地址和網(wǎng)絡(luò)掩碼地址。􀂄 Zone: 此字段確定將接口綁定到的區(qū)段。

19、􀂄 Type: 此字段指出接口類型: Layer 2 (第 2 層)、Layer 3 (第 3 層)、tunnel (通道)、redundant ( 冗余)、aggregate ( 聚合)、VSI。􀂄 Link: 此字段確定接口是否為活動(dòng) (up) 或非活動(dòng) (down)。􀂄 Configure: 此字段允許修改或移除接口。將接口綁定到安全區(qū)段可將任何物理接口綁定到 L2 ( 第 2 層) 或 L3 ( 第 3 層) 安全區(qū)段。由于子接口需要IP 地址，因此僅可將子接口綁定到 L3 ( 第 3 層) 安全區(qū)段。將接口綁定到 L3 安全區(qū)段后

20、，才能將 IP 地址指定給接口。在本例中，將 ethernet5 綁定到 Trust 區(qū)段。WebUINetwork > Interfaces > Edit ( 對(duì)于 ethernet5): 從 Zone Name 下拉列表中選擇Trust，然后單擊 OK。CLIset interface ethernet5 zone trustsave從安全區(qū)段解除接口綁定如果接口未編號(hào)，那么可解除其到一個(gè)安全區(qū)段的綁定，然后綁定到另一個(gè)安全區(qū)段。如果接口已編號(hào)，則必須首先將其 IP 地址和網(wǎng)絡(luò)掩碼設(shè)置為 。然后，可解除其到一個(gè)安全區(qū)段的綁定，然后綁定到另一個(gè)安全區(qū)段，并 ( 可選

21、) 給它分配 IP 地址/ 網(wǎng)絡(luò)掩碼。在本例中，ethernet3 的 IP 地址為 /24 并且被綁定到 Untrust 區(qū)段。將其IP 地址和網(wǎng)絡(luò)掩碼設(shè)置為 /0 并將其綁定到 Null 區(qū)段。WebUINetwork > Interfaces > Edit ( 對(duì)于 ethernet3): 輸入以下內(nèi)容，然后單擊 OK:Zone Name: NullIP Address/Netmask: /0CLIset interface ethernet3 ip /0set interface ethernet3 zone nu

22、llsave編址接口在本例中，將給 ethernet5 分配 IP 地址 /24,“管理 IP”地址 。( 請(qǐng)注意,“管理 IP”地址必須在與安全區(qū)段接口 IP 地址相同的子網(wǎng)中)。最后，將接口模式設(shè)置為 NAT，將所有內(nèi)部 IP 地址轉(zhuǎn)換至綁定到其它安全區(qū)段的缺省接口。WebUINetwork > Interfaces > Edit ( 對(duì)于 ethernet5): 輸入以下內(nèi)容，然后單擊 OK:IP Address/Netmask: /24Manage IP: CLIset interface ethern

23、et5 ip /24set interface ethernet5 manage-ip save修改接口設(shè)置配置物理接口、子接口、冗余接口、聚合接口或“虛擬安全接口”(VSI) 后，需要時(shí)可更改下列任何設(shè)置:􀂄 IP 地址和網(wǎng)絡(luò)掩碼。􀂄 管理 IP 地址。􀂄 ( 第 3 層區(qū)段接口) 管理和網(wǎng)絡(luò)服務(wù)。􀂄 ( 子接口) 子接口 ID 號(hào)和 VLAN 標(biāo)記號(hào)。􀂄 (trust-vr 中綁定到 L3 ( 第 3 層) 安全區(qū)段的接口) 接口模式 - NAT 或“路由”。

24、048708; ( 物理接口) 信息流帶寬設(shè)置 ( 請(qǐng)參閱第181 頁(yè)上的“信息流整形”)。􀂄 ( 物理、冗余和聚合接口) 最大傳輸單位 (MTU) 大小。􀂄 ( 第 3 層接口) 阻止進(jìn)出相同接口的信息流，包括主子網(wǎng)和輔助子網(wǎng)之間或兩個(gè)輔助子網(wǎng)之間的信息流 ( 通過(guò)含有 route-deny 選項(xiàng)的 CLI set interface 命令來(lái)完成)。對(duì)于某些安全設(shè)備上的物理接口，可以強(qiáng)迫物理鏈接狀態(tài)處于不在工作中或工作中狀態(tài)。如果強(qiáng)迫物理鏈接狀態(tài)處于不在工作中狀態(tài)，則可模擬電纜與接口端口的斷開(kāi)。( 通過(guò)含有 phy link-down 選項(xiàng)的 CLI se

25、t interface 命令來(lái)完成。)在本例中，對(duì) ethernet1 進(jìn)行一些修改，它是一個(gè)綁定到 Trust 區(qū)段的接口。將“管理 IP”地址從 更改為 2。為了確保管理信息流的絕對(duì)安全，還更改了管理服務(wù)選項(xiàng)，啟用 SCS 和 SSL 并禁用 Telnet 和 WebUI。WebUINetwork > Interfaces > Edit ( 對(duì)于 ethernet1): 進(jìn)行以下修改，然后單擊 OK:Manage IP: 2Management Services: ( 選擇) SSH, SSL; ( 清除) Telnet, We

26、bUICLIset interface ethernet1 manage-ip 2set interface ethernet1 manage sshset interface ethernet1 manage sslunset interface ethernet1 manage telnetunset interface ethernet1 manage websave在根系統(tǒng)中創(chuàng)建子接口可在根系統(tǒng)或虛擬系統(tǒng)中的任何物理接口上創(chuàng)建子接口。子接口使用 VLAN 標(biāo)記區(qū)別綁定到該子接口的信息流與綁定到其它接口的信息流。請(qǐng)注意雖然子接口源自物理接口，并借用其需要的帶寬，但是可將子

27、接口綁定到任何區(qū)段，不必綁定到其“父級(jí)”接口綁定到的區(qū)段。此外，子接口的 IP 地址必須在不同于所有其它物理接口和子接口的 IP 地址的子網(wǎng)中。在本例中，將在根系統(tǒng)中為 Trust 區(qū)段創(chuàng)建子接口。配置綁定到 Trust 區(qū)段的ethernet1 的子接口，將子接口綁定到用戶定義的區(qū)段，名為“accounting”( 在trust-vr 中)。為其分配子接口 ID 3、IP 地址 /24 和 VLAN 標(biāo)記 ID 3。接口模式為 NAT。WebUINetwork > Interfaces > New Sub-IF: 輸入以下內(nèi)容，然后單擊 OK:Interface

28、Name: ethernet1.3Zone Name: accountingIP Address/Netmask: /24VLAN Tag: 3CLIset interface ethernet1.3 zone accountingset interface ethernet1.3 ip /24 tag 3save刪除子接口不能立即刪除映射 IP 地址 (MIP)、虛擬 IP 地址 (VIP) 或“動(dòng)態(tài) IP”(DIP) 地址池的宿主子接口。刪除任何這些地址的宿主子接口前，必須首先刪除所有引用它們的策略或 IKE 網(wǎng)關(guān)。然后必須刪除子接口上的 MIP、VIP 和

29、 DIP 池。在本例中，將刪除子接口 ethernet1:1。WebUINetwork > Interfaces: 單擊 Remove ( 對(duì)于 ethernet1:1)。會(huì)出現(xiàn)一條系統(tǒng)消息，提示您確認(rèn)移除。單擊 Yes 刪除子接口。CLIunset interface ethernet1:1save三,創(chuàng)建二級(jí) IP 地址每個(gè) ScreenOS 接口都有一個(gè)唯一的主 IP 地址，但是，某些情況要求一個(gè)接口有多個(gè) IP 地址。例如，機(jī)構(gòu)可能分配額外的 IP 地址，但不希望添加路由器來(lái)適應(yīng)其需要。此外，機(jī)構(gòu)擁有的網(wǎng)絡(luò)設(shè)備可能比其子網(wǎng)所能處理的要多，如有多于 254臺(tái)的主機(jī)連接到 LAN。要

30、解決這樣的問(wèn)題，可將二級(jí) IP 地址添加到 Trust、DMZ或用戶定義區(qū)段中的接口。二級(jí)地址具有某些屬性，這些屬性會(huì)影響如何實(shí)施此類地址。這些屬性如下:􀂄 任何兩個(gè)二級(jí) IP 地址之間不能有子網(wǎng)地址重迭。此外，安全設(shè)備上二級(jí) IP 和任何現(xiàn)有子網(wǎng)間不能有子網(wǎng)地址重迭。􀂄 通過(guò)二級(jí) IP 地址管理安全設(shè)備時(shí)，該地址總是具有與主 IP 地址相同的管理屬性。因此，不能為二級(jí) IP 地址指定獨(dú)立的管理配置。􀂄 不能為二級(jí) IP 地址配置網(wǎng)關(guān)。􀂄 創(chuàng)建新的二級(jí) IP 地址時(shí)，安全設(shè)備會(huì)自動(dòng)創(chuàng)建相應(yīng)的路由選擇表?xiàng)l目。刪除二級(jí) IP

31、地址時(shí)，設(shè)備會(huì)自動(dòng)刪除其路由選擇表?xiàng)l目。啟用或禁用兩個(gè)二級(jí) IP 地址之間的路由選擇不會(huì)使路由選擇表發(fā)生改變。例如，如果禁用兩個(gè)此類地址之間的路由選擇，安全設(shè)備會(huì)丟棄從一個(gè)接口到另一個(gè)接口的任何封包，但是路由選擇表沒(méi)有改變。在本例中，為 ethernet1 設(shè)置一個(gè)二級(jí) IP 地址 - /24，接口 ethernet1的 IP 地址為 /24 并且綁定到 Trust 區(qū)段。WebUINetwork > Interfaces > Edit ( 對(duì)于 ethernet1) > Secondary IP: 輸入以下內(nèi)容，然后單擊 Add:IP

32、Address/Netmask: /24CLIset interface ethernet1 ip /24 secondarysave四,接口狀態(tài)更改接口可以處于以下幾種狀態(tài):􀂄 物理連接狀態(tài) - 適用于在“開(kāi)放式系統(tǒng)互連”(OSI) 模式下運(yùn)行在第 2 層 ( 透明模式) 或第3 層 ( 路由模式) 的物理以太網(wǎng)接口。當(dāng)用電纜將接口連接到另一臺(tái)網(wǎng)絡(luò)設(shè)備且可建立一個(gè)到該設(shè)備的鏈接時(shí)，該接口即處于物理連接狀態(tài)。􀂄 邏輯連接狀態(tài) - 適用于物理接口和邏輯接口 ( 子接口、冗余接口和聚合接口)。當(dāng)通過(guò)接口的信息流能夠到達(dá)

33、網(wǎng)絡(luò)上的指定設(shè)備 ( 在被跟蹤的 IP 地址處) 時(shí)，該接口處于邏輯連接狀態(tài)。􀂄 物理中斷狀態(tài) - 當(dāng)未使用電纜將接口連接到另一臺(tái)網(wǎng)絡(luò)設(shè)備或者雖然使用電纜將其連接到了另一臺(tái)網(wǎng)絡(luò)設(shè)備但卻不能建立鏈接時(shí)，該接口處于物理中斷狀態(tài)。也可以使用以下 CLI 命令迫使接口處于物理中斷狀態(tài): set interface interface phy link-down。􀂄 邏輯中斷狀態(tài) - 當(dāng)通過(guò)接口的信息流不能到達(dá)網(wǎng)絡(luò)上的指定設(shè)備 ( 在被跟蹤的IP 地址處) 時(shí)，該接口處于邏輯中斷狀態(tài)。接口的物理狀態(tài)優(yōu)先于其邏輯狀態(tài)。接口可以處于物理連接狀態(tài)，也可以處于邏輯連接或邏輯中

34、斷狀態(tài)。如果接口處于物理中斷狀態(tài)，則其邏輯狀態(tài)如何將無(wú)關(guān)緊要。當(dāng)接口處于連接狀態(tài)時(shí)，所有使用該接口的路由將保持活動(dòng)和可用狀態(tài)。當(dāng)接口處于中斷狀態(tài)時(shí)，安全設(shè)備將中斷使用該接口的所有路由 - 雖然信息流仍可能流經(jīng)處于中斷狀態(tài)的接口，這要因該接口是處于物理中斷狀態(tài)還是邏輯中斷狀態(tài)而定 ( 請(qǐng)參閱第68 頁(yè)上的“中斷接口和信息”)。要補(bǔ)償因丟失接口而引起的路由丟失，可以使用備用接口來(lái)配置備用路由。依據(jù)對(duì)觀察到的接口狀態(tài)更改所導(dǎo)致動(dòng)作的設(shè)置情況，被監(jiān)控接口的狀態(tài)更改 ( 由連接狀態(tài)變?yōu)橹袛酄顟B(tài)) 可能會(huì)導(dǎo)致監(jiān)控接口的狀態(tài)發(fā)生更改 ( 由中斷狀態(tài)變?yōu)檫B接狀態(tài))。要配置這種行為，可以使用以下 CLI 命令:

35、set interface interface monitor threshold number action up logically | physically 輸入上面的命令后，安全設(shè)備將自動(dòng)迫使監(jiān)控接口處于中斷狀態(tài)。如果被監(jiān)控對(duì)象( 被跟蹤的 IP 地址、接口、區(qū)段) 失敗，則監(jiān)控接口的狀態(tài)將變?yōu)檫B接狀態(tài) - 可能為邏輯連接狀態(tài)，也可能是物理連接狀態(tài)，這取決于您的具體配置。接口可以監(jiān)控對(duì)象的以下一個(gè)或多個(gè)事件。請(qǐng)參閱第57 頁(yè)上的圖33。這些事件中的每個(gè)事件或其組合均可導(dǎo)致監(jiān)控接口由連接狀態(tài)變?yōu)橹袛酄顟B(tài)以及由中斷狀態(tài)變?yōu)檫B接狀態(tài):􀂄 物理斷開(kāi)連接/ 重新連接И

36、708; IP 跟蹤失敗/ 成功􀂄 被監(jiān)控接口失敗/ 成功􀂄 被監(jiān)控安全區(qū)段失敗/ 成功物理連接監(jiān)控所有安全設(shè)備上的物理接口監(jiān)控它們到其它網(wǎng)絡(luò)設(shè)備的物理連接的狀態(tài)。當(dāng)將接口連接到其它網(wǎng)絡(luò)設(shè)備并建立了到該設(shè)備的鏈接時(shí)，該接口將處于物理連接狀態(tài)，并且所有使用該接口的路由都將處于活動(dòng)狀態(tài)?？梢栽?get interface 命令的輸出中的 State 列以及在 WebUI 的 Network >Interfaces 頁(yè)面上的 Link 列中查看接口狀態(tài)。可能為連接或中斷狀態(tài)?？梢栽?get route id number 命令的 Status 字段以及 We

37、bUI 的 Network >Routing > Routing Entries 頁(yè)面中查看路由的狀態(tài)。如果標(biāo)有一個(gè)星號(hào)，則表明該路由處于活動(dòng)狀態(tài)。如果沒(méi)有星號(hào)，則表明該路由處于非活動(dòng)狀態(tài)。跟蹤 IP 地址安全設(shè)備可以通過(guò)接口跟蹤指定的 IP 地址，使得當(dāng)一個(gè)或多個(gè) IP 地址不可到達(dá)時(shí)，即使物理鏈接仍處于活動(dòng)狀態(tài)，安全設(shè)備也可中斷所有與該接口相關(guān)的路由。當(dāng)安全設(shè)備同那些 IP 地址之間恢復(fù)通信后，中斷的路由將再次變?yōu)榛顒?dòng)狀態(tài)。類似于 NSRP 中使用的功能，ScreenOS 使用第3 層路徑監(jiān)控 ( 或 IP 跟蹤) 通過(guò)接口來(lái)監(jiān)控指定 IP 地址的可到達(dá)性。例如，如果接口直接連

38、接到路由器，則可跟蹤接口的下一跳點(diǎn)地址，以確定該路由器是否仍舊可達(dá)。當(dāng)接口上配置了 IP 跟蹤時(shí)，安全設(shè)備將以用戶定義的時(shí)間間隔在該接口上將 ping 請(qǐng)求發(fā)送給多達(dá)四個(gè)目標(biāo) IP地址。安全設(shè)備監(jiān)控這些目標(biāo)以查看其是否收到了響應(yīng)。如果在向該目標(biāo)發(fā)送指定次數(shù)的請(qǐng)求后，仍沒(méi)有來(lái)自該目標(biāo)的響應(yīng)，那么該 IP 地址將被認(rèn)為是不可到達(dá)的。無(wú)法從一個(gè)或多個(gè)目標(biāo)得到響應(yīng)可能使安全設(shè)備中斷與該接口相關(guān)的路由。如果到同一目標(biāo)的另一路由可用，則安全設(shè)備將重新定向信息流以使用新路由?？梢栽谝韵屡渲糜泄芾?IP 地址的接口上定義 IP 跟蹤:􀂄 綁定到安全區(qū)段 ( 非 HA 或 MGT 功能區(qū)段)

39、的物理接口􀂄 子接口􀂄 冗余接口􀂄 聚合接口五,接口透明模式接口處于“透明”模式時(shí)，安全設(shè)備將過(guò)濾通過(guò)防火墻的封包，而不會(huì)修改 IP 封包包頭中的任何源或目的地信息。所有接口運(yùn)行起來(lái)都像是同一網(wǎng)絡(luò)中的一部分，而安全設(shè)備的作用更像是第2 層交換機(jī)或橋接器。在“透明”模式下，接口的 IP地址被設(shè)置為 ，使得安全設(shè)備對(duì)于用戶來(lái)說(shuō)是透明 ( 不可見(jiàn)) 的。透明模式是一種保護(hù) Web 服務(wù)器，或者主要從不可信源接收信息流的其它任意類型服務(wù)器的方便手段。使用透明模式有以下優(yōu)點(diǎn):􀂄 不需要重新配置路由器或受保護(hù)服務(wù)器的 I

40、P 地址設(shè)置􀂄 不需要為到達(dá)受保護(hù)服務(wù)器的內(nèi)向信息流創(chuàng)建映射或虛擬 IP 地址區(qū)段設(shè)置在缺省情況下，ScreenOS 會(huì)創(chuàng)建一個(gè)功能區(qū)段、VLAN 區(qū)段和三個(gè)第 2 層安全區(qū)段: V1-Trust、V1-Untrust 和 V1-DMZ。VLAN 區(qū)段VLAN 區(qū)段是 VLAN1 接口的宿主區(qū)段，VLAN1 接口具有與物理接口相同的配置和管理能力。安全設(shè)備處于透明模式時(shí)，使用 VLAN1 接口來(lái)管理設(shè)備和終止 VPN 信息流?？蓪?VLAN1 接口配置為允許第 2 層安全區(qū)段中的主機(jī)來(lái)管理設(shè)備。為此，必須將 VLAN1 接口的 IP 地址設(shè)置為與第 2 層安全區(qū)段中的主機(jī)在同

41、一子網(wǎng)中。對(duì)于管理信息流，VLAN1 管理 IP 優(yōu)先于 VLAN1 接口 IP?？蔀楣芾硇畔⒘髟O(shè)置“VLAN1 管理 IP”，并將 VLAN1 接口 IP 專用于 VPN 通道終端。預(yù)定義的第 2 層區(qū)段在缺省情況下，ScreenOS 提供三個(gè)第 2 層安全區(qū)段，分別是: V1-Trust、V1-Untrust 和 V1-DMZ。這三個(gè)區(qū)段共享同一個(gè)第 2 層域。在其中一個(gè)區(qū)段中配置接口時(shí)，它被添加到由所有第 2 層區(qū)段中的所有接口共享的第 2 層域中。第 2 層區(qū)段中的所有主機(jī)必須在同一子網(wǎng)上以進(jìn)行通信。如上一節(jié)所述，設(shè)備處于透明模式時(shí)，用戶使用 VLAN1 接口管理設(shè)備。對(duì)于要到達(dá) VL

42、AN1 接口的管理信息流，必須啟用 VLAN1 接口和管理信息流通過(guò)的區(qū)段上的管理選項(xiàng)。在缺省情況下，啟用 V1-Trust 區(qū)段中的所有管理選項(xiàng)。要在其它區(qū)段中啟用主機(jī)以管理設(shè)備，必須設(shè)置它們所屬的區(qū)段上的那些選項(xiàng)。配置 VLAN1 接口以進(jìn)行管理在本例中，將按下述內(nèi)容配置安全設(shè)備來(lái)管理其 VLAN1 接口:􀂄 為 VLAN1 接口分配 IP 地址 /24。􀂄 在 VLAN1 接口和 V1-Trust 安全區(qū)段上啟用 Web、Telnet、SSH 和 Ping。􀂄 在信任虛擬路由器中 ( 所有的 Layer 2 ( 第 2

43、層) 安全區(qū)段都在 trust-vr 路由選擇域中) 添加路由，使管理信息流能在安全設(shè)備和管理工作站 ( 該工作站在安全設(shè)備的緊鄰子網(wǎng)外) 之間流動(dòng)。所有安全區(qū)域都在 trust-vr 路由域中。WebUI1. VLAN1 接口Network > Interfaces > Edit ( 對(duì)于 VLAN1): 輸入以下內(nèi)容，然后單擊 OK:IP Address/Netmask: /24Management Services: WebUI, Telnet, SSH ( 選擇)Other Services: Ping ( 選擇)2. V1-Trust 區(qū)段Network &

44、gt; Zones > Edit ( 對(duì)于 V1-Trust): 選擇以下內(nèi)容，然后單擊 OK:Management Services: WebUI, Telnet, SSHOther Services: Ping3. 路由Network > Routing > Routing Entries > trust-vr New: 輸入以下內(nèi)容，然后單擊 OK:Network Address/Netmask: /24Gateway: ( 選擇)Interface: vlan1(trust-vr)Gateway IP Address: 51Metri

45、c: 1CLI1. VLAN1 接口set interface vlan1 ip /24set interface vlan1 manage webset interface vlan1 manage telnetset interface vlan1 manage sshset interface vlan1 manage ping2. V1-Trust 區(qū)段set zone v1-trust manage webset zone v1-trust manage telnetset zone v1-trust manage sshset zone v1-trust manage

46、 ping3. 路由set vrouter trust-vr route /24 interface vlan1 gateway 51 metric 1save配置透明模式以下范例說(shuō)明了受處于透明模式的安全設(shè)備保護(hù)的單獨(dú) LAN 的基本配置。策略允許 V1-Trust 區(qū)段中所有主機(jī)的外向信息流、郵件服務(wù)器的內(nèi)向 SMTP 服務(wù)，以及FTP 服務(wù)器的內(nèi)向 FTP-GET 服務(wù)。為了提高管理信息流的安全性，將 WebUI 管理的 HTTP 端口號(hào)從 80 改為 5555，將 CLI 管理的 Telnet 端口號(hào)從 23 改為 4646。使用 VLAN1 IP 地址 1

47、.1.1.1/24 來(lái)管理 V1-Trust 安全區(qū)段的安全設(shè)備。定義 FTP 和郵件服務(wù)器的地址。也可配置到外部路由器的缺省路由 ( 于 50 處)，以便安全設(shè)備能向其發(fā)送出站 VPN 信息流。(V1-Trust 區(qū)段中所有主機(jī)的缺省網(wǎng)關(guān)也是 50)?；就该髂Ｊ絎ebUI1. VLAN1 接口Network > Interfaces > Edit ( 對(duì)于 VLAN1 interface): 輸入以下內(nèi)容，然后單擊 OK:IP Address/Netmask: /24Management Services: WebUI, Telnet

48、( 選擇)Other Services: Ping ( 選擇)2. HTTP 端口Configuration > Admin > Management: 在 HTTP Port 字段中，鍵入 5555，然后單擊 Apply。3. 接口Network > Interfaces > Edit ( 對(duì)于 ethernet1): 輸入以下內(nèi)容，然后單擊 OK:Zone Name: V1-TrustIP Address/Netmask: /0Network > Interfaces > Edit ( 對(duì)于 ethernet3): 輸入以下內(nèi)容，然后單擊

49、OK:Zone Name: V1-UntrustIP Address/Netmask: /04. V1-Trust 區(qū)段Network > Zones > Edit ( 對(duì)于 v1-trust): 選擇以下內(nèi)容，然后單擊 OK:Management Services: WebUI, TelnetOther Services: Ping5. 地址Objects > Addresses > List > New: 輸入以下內(nèi)容，然后單擊 OK:Address Name: FTP_ServerIP Address/Domain Name:IP/Netmas

50、k: ( 選擇), /32Zone: V1-TrustObjects > Addresses > List > New: 輸入以下內(nèi)容，然后單擊 OK:Address Name: Mail_ServerIP Address/Domain Name:IP/Netmask: ( 選擇), 0/32Zone: V1-Trust6. 路由Network > Routing > Routing Entries > trust-vr New: 輸入以下內(nèi)容，然后單擊 OK:Network Address/Netmask: /0G

51、ateway: ( 選擇)Interface: vlan1(trust-vr)Gateway IP Address: 50Metric: 17. 策略Policies > (From: V1-Trust, To: V1-Untrust) New: 輸入以下內(nèi)容，然后單擊 OK:Source Address:Address Book Entry: ( 選擇), AnyDestination Address:Address Book Entry: ( 選擇), AnyService: AnyAction: PermitPolicies > (From: V1-Untrus

52、t, To: V1-Trust) New: 輸入以下內(nèi)容，然后單擊 OK:Source Address:Address Book Entry: ( 選擇), AnyDestination Address:Address Book Entry: ( 選擇), Mail_ServerService: MailAction: PermitPolicies > (From: V1-Untrust, To: V1-Trust) New: 輸入以下內(nèi)容，然后單擊 OK:Source Address:Address Book Entry: ( 選擇), AnyDestination Address:A

53、ddress Book Entry: ( 選擇), FTP_ServerService: FTP-GETAction: PermitCLI1. VLAN1set interface vlan1 ip /24set interface vlan1 manage webset interface vlan1 manage telnetset interface vlan1 manage ping2. Telnetset admin telnet port 46463. 接口set interface ethernet1 ip /0set interface ethern

54、et1 zone v1-trustset interface ethernet3 ip /0set interface ethernet3 zone v1-untrust4. V1-Trust 區(qū)段set zone v1-trust manage webset zone v1-trust manage telnetset zone v1-trust manage ping5. 地址set address v1-trust FTP_Server /32set address v1-trust Mail_Server 0/326. 路由set vroute

55、r trust-vr route /0 interface vlan1 gateway 50 metric 17. 策略set policy from v1-trust to v1-untrust any any any permitset policy from v1-untrust to v1-trust any Mail_Server mail permitset policy from v1-untrust to v1-trust any FTP_Server ftp-get permitsave六,接口NAT 模式入口接口處于“網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)”模

56、式下時(shí)，安全設(shè)備的作用與第 3 層交換機(jī)( 或路由器) 相似，將通往 Untrust 區(qū)段的外向 IP 封包包頭中的兩個(gè)組件進(jìn)行轉(zhuǎn)換:其源 IP 地址和源端口號(hào)。安全設(shè)備用 Untrust 區(qū)段接口的 IP 地址替換始發(fā)端主機(jī)的源 IP 地址。另外，它用另一個(gè)由安全設(shè)備生成的任意端口號(hào)替換源端口號(hào)。NAT 拓?fù)浣Y(jié)構(gòu)當(dāng)回復(fù)封包到達(dá)安全設(shè)備時(shí)，該設(shè)備轉(zhuǎn)換內(nèi)向封包的 IP 包頭中的兩個(gè)組件: 目的地地址和端口號(hào)，它們被轉(zhuǎn)換回初始號(hào)碼。安全設(shè)備于是將封包轉(zhuǎn)發(fā)到其目的地。NAT 添加透明模式中未提供的一個(gè)安全級(jí)別: 通過(guò) NAT 模式下的入口接口 ( 如Trust 區(qū)段接口) 發(fā)送信息流的主機(jī)地址決不對(duì)

57、出口區(qū)段 ( 如 Untrust 區(qū)段) 中的主機(jī)公開(kāi)，除非這兩個(gè)區(qū)段在相同的虛擬路由選擇域中并且安全設(shè)備通過(guò)動(dòng)態(tài)路由選擇協(xié)議 (DRP) 向?qū)Φ确酵ǜ媛酚?。盡管這樣，如果有策略允許入站信息流到達(dá)，也僅僅可到達(dá) Trust 區(qū)段地址。( 如果希望在使用 DRP 時(shí)隱藏 Trust 區(qū)段地址，則可將 Untrust 區(qū)段放置在 untrust-vr 中，將 Trust 區(qū)段放置在 trust-vr 中，并且不將trust-vr 中外部地址的路由導(dǎo)出到 untrust-vr。)如果安全設(shè)備使用靜態(tài)路由選擇并且僅有一個(gè)虛擬路由器，由于基于接口的 NAT，內(nèi)部地址在信息流出站時(shí)保持隱藏。配置的策略控制入站信息流。如果僅使用映射IP (MIP) 和虛擬 IP (VIP) 地址作為入站策略中的目的地，則內(nèi)部地址仍保持隱藏。另外，NAT 還保留對(duì)公共 IP 地址的使用。在許多環(huán)境中，資源不可用，不能為網(wǎng)絡(luò)上的所有設(shè)備提供公共 IP 地址。NA