juniper 防火墙基本原理Word格式.docx
- 文档编号:22850386
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:19
- 大小:23.80KB
juniper 防火墙基本原理Word格式.docx
《juniper 防火墙基本原理Word格式.docx》由会员分享,可在线阅读,更多相关《juniper 防火墙基本原理Word格式.docx(19页珍藏版)》请在冰豆网上搜索。
对主系统的细分。
即一个实体防火墙,可当多个虚拟防火墙使用。
六、常规配置流程
1、建立zone,即建立区段(在不使用默认区段的情况下)
2、把zone分配置vr(虚拟路由器)
3、把网络接口分配给zone
4、给接口设置ip地址
5、配置虚拟路由
6、配置策略。
第2章:
区段详解
一、预定义区段的类型:
1、安全区:
untrust、trust、DMZ、global、V1-untrust、v1-trunst、V1-dmz
2、通道区段:
untrust-tun
3、功能区段:
NULL、self、MGT、HA、VLAN
二、安全区
1、global
global区域不具有其他区都有的特性--接口。
即Global区不包含接口。
global区可充当映射ip(MIP)和虚拟ip(VIP)地址的存储区域。
预定义global区段地址“any"
应胜于global区段中所有mip、vip和其他用户定义的地址组。
global区段还包含全域策略中使用的地址。
global区域类似于CISCO防火墙中的全局映射。
2、untrust和trust区域
是三层的区域。
untrust是不信任区域。
trust是信任区域。
3、V1-untrust和v1-trust
是二层区域。
在透明模式下时使用。
注:
screen选项:
每个区域可启用一组预定义的screen选项。
检测并阻塞netscreen认定的潜在有害数据流。
二、通道区段untrust-tun
1、通道区段:
是一个逻辑区段。
附属于某个实际的安全区段。
通道区段可包含一个或多个通道接口,并对承载的信息流提供防火墙保护,并支持对数据的封装和解封,还提供NAT服务。
2、默认情况下,通道区段在trunst-vr路由选择域。
也可以把通道区段划分到trust-vr路由选择域。
3、每个虚拟系统上的每个承载区段(理解为实际区段,如trust区段)最多只能有一个通道区段。
(即一个实际安全区下面只能有一个通道区段)
4、需配置的要点有:
通道接口属于哪个通道区段,通道区段附属于哪个实际区段,并属于哪一个路由选择域。
注意:
要修改通道区域的名称,或更改通道区段的承载区段,必须先删除该区段,再重建。
但可以直接更改区段所属的虚拟路由选择域。
三、功能区段
1、NULL区段:
用于临时存储没有绑定到任何其它区段的接口。
2、MGT区段:
是带外管理接口MGT的宿主区段。
可以在此区段上设置防火墙选项以保护管理接口。
3、HA区段:
此区段是高可用性接口HA1和HA2的宿主区段。
虽然可以为此区段设置接口,但此区段是不可配置的。
4、Self区段:
此区段是远程管理连接接口的宿主区段。
当您通过HTTP\SCS\telnet等连接netscreen设备时,就会连接到self区段。
5、vlan区段:
此区段是VLAN1接口的宿主区段。
可用于管理设备。
设备是透明模式时,终止vpn信息流。
四、端口模式
可以为netscreen设备选择端口模式,端口模式自动为设备设置不同的端口、接口和区段绑定。
1、trust-untrust模式。
缺省端口模式
将untrusted以太网端口绑定到untrust接口,并将接口绑定到untrust区段。
将modem端口绑定到serial接口,并作备份接口绑定到untrust区段。
将以太网端口1到4绑定到trunst接口,并将接口绑定到trust区段。
端口指设备的物理接口。
接口是指通过cli或webui配置的逻辑接口。
多个端口可以绑定到一个接口。
2、trust\untrust\Dmz端口模式
将以太网端口1和2绑定到接口ethernet1接口,并把接口绑定到trust区域
将以太网端口3和4绑定到接口ethernet2接口,并把接口绑定到dmz区域
将untrusted以太网端口绑定到untrust接口,并把接口绑定到untrust区域
将邮件服务器、web服务器等这类的服务器与内网分开,放置于dmz区域。
3、双untrust端口模式
将untrusted以太网端口绑定到ehternet3接口,绑定到untrust区域
将以太网4号端口绑定到ethernet2接口,绑定到untrust区域
将以太网1-3号端口绑定到ethernet1接口,绑定到trust区域。
即将两个接口绑定到untrust区域,一个做主接口,一个作备份,当主接口失效时,备份接口才会使用。
4、home\work端口模式
将以太网1和2号端口绑定到ethernet1接口,并把接口绑定到work区域
将以太网3和4号端口绑定到ethernet2接口,并把接口绑定到home区域
缺省情况下:
work区域的信息可以流向home区域,home区域信息不可以流向work区域
home区域的信息不受限制的流向untrust区域。
5、combined模式
untrusted和以太网端口4绑定到untrust区域。
其中以太网端口4作为备份端口。
以太网2、3端口绑定到home区域
以太网1端口绑定到work区域。
第3章、接口
一、接口类型
安全区段接口:
1、物理接口,即设备固有的接口。
2、子接口:
3、聚合接口:
即把多个物理接口聚合成一个聚合接口,每个接口平均承担通过整个聚合接口的数据流。
4、冗余接口:
即把两个物理接口绑定成一个冗余接口。
当主接口失效时,备份接口才开始接替主接口工作。
这与聚合接口不同,不是同时工作。
功能区段接口:
5、HA接口:
HA用于组建高可用性时用的接口。
即两个防火墙组成一个冗余组,当一个主防火墙失效时,备份防火墙接替主防火墙的工作。
6、通道接口:
充当VPN通道入口。
信息流通过通道接口进出VPN通道。
二、配置安全区接口
1、将接口绑定到安全区及解除绑定
2、为接口分配Ip
3、修改接口
设置和命令:
getinterface
查看接口的命令。
设置接口:
setinterfaceethernet1zonetrust
//把接口绑定到区域
setinterfaceethernet1ip192.168.9.1/24
//设置IP地址
setinterfaceehternet1manage-ip192.168.9.2
//设置管理Ip地址。
管理Ip地址要和接口地址在同一个网段。
setinterfaceethernet1managessh
//设置接口的管理协议
setinterfaceethernet1managessl
setinterfaceethernet1managetelnet
setinterfaceethernet1manageweb
unsetinterfaceethernet1managessh
//关闭接口的管理协议
unsetinterfaceethernet1managessl
unsetinterfaceethernet1managetelnet
unsetinterfaceethernet1manageweb
解除接口:
setinterfaceehternet1ip0.0.0.0/0
//设置接口Ip地址为空,即先解除接口的ip
setinterfaceehternet1zonenull
//接口区域为空
save
4、创建子接口和删除子接口
子接口注意点:
(1)子接口虽然源自物理接口,但可以将子接口绑定到任何区段,不必一定和物理接口处于一个区段内。
(2)子接口的Ip地址网段,必须与所有其他物理接口和子接口处于不同网段。
(3)子接口用vlan标记来区别。
配置命令:
setinterfaceethernet1.2zonetrust
//把子接口划入区段trunst
setinterfaceethernet1.2ip192.168.10.1/24tag4
//设置子接口Ip地址和VLAN标识
unsetinterfaceethernet1.2
//删除子接口
5、二级ip地址(即一个接口配第二个地址)
一个接口有一个唯一的主Ip地址,还可配一个或多个二级Ip地址。
(1)二级Ip地址不能与防火墙现有子网重迭。
即每个二级Ip都必须是独立网段。
不能与现在任何网段冲突。
(2)不能为untrust区域中的接口配置第二ip地址。
(3)不能为二级Ip配置网关。
(4)可用二级IP管理netscreen设备,此时与主IP的管理属性相同。
所以不能为二级Ip配置独立的管理配置。
6、环回接口配置
是一个逻辑接口。
此接口只要设备开启即开启。
必须给环回接口配置Ip,并绑定到安全区
可以把任何接口定义为环回接口的组成员。
7、
三、接口类型
(一)nat模式
1、当是nat模式时,与普通路由器和三层交换机的作用相似。
2、当内部接口是nat模式时,从内到外的数据包,即流出外向区段untrust的ip数据包,源Ip会用untrust区段的接口的Ip替换,源端口号,会用一个随机生成的端口号替换。
3、从外到内的数据包,即从外向区段untrust到内部区段trust的数据包,会通过mip(映射ip)、vip(虚拟IP)、vpn通道,转换成内部的目的地址和端口号。
screenos5.0.0之后的版本,untrust区段到内部区段trust、自定义内部区段的数据包,可以直接到过内部主机(nat接口模式后的主机),不用vip\mip\vpn。
但也可以使用mip\vip\vpn到达。
nat模式时,就想像成一个普通路由器。
(二)路由模式
路由模式时,在不同区段间转发信息时,不执行源NAT。
即当数据包穿过防火墙时,数据包的源ip地址和端口号不变。
并且每个区段内的接口都在不同网段。
可以在策略中定义需要nat转换的ip,执行相应的Ip进行nat转换。
nat模式时,所有的ip都会进行nat转的换。
(三)透明模式
透明模式时,作用类似于二层交换机。
1、透明模式时的区段设置
(1)vlan区段
此区段是vlan1接口的宿主区段。
用vlan1接口来管理防火墙。
此Ip必须和第2层子网在同一网段。
也可以为vlan接口配管理ip.
(2)预定义的第二层区段
v1-trust
v1-untrust
v1-dmz预定义此三个区段。
2、透明防火墙的信息流转发
(1)在第2层工作的netscreen设备,不允许区段间的任何信息流。
即默认情况下,各区段间是不允许任何信息流通过的,除非配置了相应的策略。
(2)允许和拒绝策略中指定的信息流。
(3)允许arp和2层非ip广播信息流。
拒绝所有非ip和非arp单点传送信息流及ipsec信息流,即拒绝非ARP单点,允许非IP广播流。
第4章
定义构建块(为策略定义对象)
一、定义地址
1、定义地址条目
需要先在一个或多个地址列表中定义地址,才能设置许多netscreen防火墙、vpn和信息流整形功能。
(1)定义单个地址:
只有一个单一的IP地址,所以子网掩码为255.255.255.255
(2)定义一个网段:
带有子网掩码的定义一个网段。
不管是单个地址还是一个网段,都是一个对象,都有一个对象名。
并且这个地址或网段也要划分到区域中。
2、定义地址组
(1)可以把多个地址条目加到地址组中。
这样对一个地址组的策略可以影响所有组中的地址。
(2)一个地址组可以是其他地址组的成员。
(3)地址组只能包含属于同一区段的地址。
(4)地址组名不能和已有地址条目名相同。
(5)地址组被策略引用,则不能删除此地址组,只能编辑。
二、时间表
可以将时间表对象与一个或多个策略相关联以定义策略生效的时间。
三、DIP池
动态Ip池表示一个范围内的Ip地址。
比如内网到外网时,nat转换可以是多对一,即一段内网的地址,都转换成一个外网地址。
也可以是多对多转换,即一个网段的地址,可以转换成一个范围内的外部地址,所以外网的ip地址也可配置为一个地址范围。
取地址时,是动态的在这个范围内取得。
这个动态ip地址池也可以只有一个Ip,但也要设置范围格式。
如:
192.168.9.1--192.168.9.1,虽然只有一个地址,但也可以设置成范围格式,成了一个DIP。
四、服务
在策略中使用服务,定义对象拥有的服务功能。
1、预定义服务
防火墙预先设置好的一些服务条目。
可以直接引用。
2、自定义服务
自行定义的服务,以灵活的应用到策略。
3、icmp服务
4、服务组
即把多个服务加入一个组中,对策略生效时,是一整个组的服务都生效。
第5章:
策略
一、策略的基本元素
1、两个安全区间信息流的方向
2、源地址
3、目标地址
4、服务类型,即信息流传输的类型
5、动作,有允许、拒绝或tunnel
二、策略的三种类型
1、区段内部策略之-----从一个安全区到另一个安全区的策略。
可以理解为区段间策略。
2、区段内部策略之-----在同一个安全区的接口间的策略。
即一个区段内的不同接口之间信息流传递的策略。
源地址和目的地址在同一区段内,但属于同区段的不同接口。
3、全局策略
:
可以管理地址间的信息流,但不必考虑他们所属的安全区。
全局策略不引用特定的源和目的区段。
全局策略引和用户定义的global区段地址或预定义的global区段地址“any”。
这些地址可以跨多个安全区段。
三、策略组列表
三种不同的策略组列表:
区段间策略列表:
源区段和目的区段不同,则查找区段间策略列表。
区段内策略列表:
源区段和目的区段相同,则查找区段内部策略列表。
全局策略列表:
如果防火墙进行区段间策略列表和区段内策略列表查找,都没有找到匹配的项,则查找全局策略列表。
如果区段间策略列表、区段内策略列表、全局策略列表都没有找到匹配项,则防火墙会将缺省的策略应用到数据包。
或将区段内部阻塞设置应用到数据包。
设备从上到下搜索每个策略组列表。
因此注意顺序。
一般将特殊的策略置于不太特殊的策略上面。
四、策略
策略能允许、拒绝、加密和解密、认证、排定优先次序、调度、过滤以及监控从一个区段到另一个区段的数据包。
可以决定哪些用户和数据可以进出,以及进出的时间和地点。
1、策略和规则
一个策略可以生成一个或多个逻辑规则,每个规则都由一组组件(源地址、目的地址和服务)组成。
组件占用内存资源。
引用组件的逻辑规则不占用内存。
如1个策略:
5个源地址*5个目标地址*5个服务=125条规则。
以上125条规刚的逻辑组件:
只产生
5个源地址+5个目标地址+5个服务=15个组件。
2、策略的结构
策略必须包含的元素:
ID:
自动生成
区段:
源区段和目的区段
地址:
(源地址和目的地址)
服务
动作:
(permit\deny\tunnel)
策略也可以包含下列元素:
应用
名称
VPN通道确定
L2TP
深层检测
策略列表顶部位置
源地址转换
目的地址转换
用户认证
HA会话备份
URL过滤
记录
计数
信息流报警临界值
时间表
防病毒扫描
信息流整型
第6章
地址转换
一、地址转换概述
1、源地址转换:
即nat转换,可以转换源网络地址,还可以转换源网络地址+端口号。
2、目的地址转换:
可用策略转换、映射ip地址、虚拟IP地址。
映射地址转换是一对一的,是双向的,即一个外部IP对应一个内部IP。
虚拟IP是,一对多的。
一个外部IP加上端口号,对应内部IP加上端口号。
这样一个外部IP,可以对应很多内部IP应用。
不支持同时将基于策略的NAT-dst与MIP和VIP配合使用。
如果MIP、VIP和NAT-DST混合使用同于同一数据包,将以MIP和VIP的为准。
不应用策略上的NAT-DST。
二、源地址转换
(nat-src)
1、多对一:
即多个内部IP转换成一个外部IP。
2、多对多:
即多个内部IP转换成多个外部IP中的一个。
即多个外部IP组成一个地址池(dip),内部地址转换成外部IP时,从DIP中随机抽取一个外部IP。
DIP地址池,最小可以只有一个IP地址。
但是当启用PAT(端口地址转换:
ip地址+端口的方式)时,单个地址的DIP地址池可以转换最多达64500台主机。
会根据地址+端口识别是哪个内部地址主机的请求。
3、策略源地址转换:
只在策略上定义了源地址转换,而没有定义地址池时,将把源地址转换为目的区段的出接口地址(外部接口地址)
需要将源地址端口保持固定的应用程序,需要禁用PAT,且将DIP地址池设置到足够大,确保每台内部地址都能分到一个不同的外部地址。
要将DIP地址池中的相同IP分配给主机的多个同时会话,即一个地址永远分配置这个主机,则需要启用DIP地址附着功能。
命令模式下:
setdipsticky
三、目的地址转换(外部取内部地址转换)
基本策略的nat-des和VIP可以使用端口号。
mip不能使用。
(一)基于策略的NAT-des
可将一个目的IP地址转换成另一个IP地址,即外部到内部的一对一映射。
支持端口映射。
将一个目的IP地址范围转换成一个IP地址,即多对一的映射。
支持端口映射。
将一个目的IP地址范围转换成另一个IP地址范围,即外到内的多对多。
不支持端口映射。
NAT-DES中可使用端口进行端口转换
但此时一定需要有指向虚拟目的地址(初始目的地址)和最终目的地址的路由。
防火墙使用初始目的地址执行路由查找,来确定出口接口。
然后根据出接口确定接口所在的区段,再在出接口区段中查找策略。
策略中定义了从初始地址到最终地址的映射。
当找到合适的策略后,防火墙再进行第二次路由查找,确定最终目的地址从哪个接口可以到达。
例如:
把一个外部IP地址218.107.238.249映射为一个内部IP地址192.168.9.1
,内防火墙内一定要有218.107.238.249虚拟IP地址(初始目的地址)的路由和到达内部IP
192.168.9.1的路由。
对于访问者即源地址来说,218.107.238.249只是初始虚拟目的地址,他的最终目的地址是192.168.9.1
先找到218.107.238.249这个初始目的地址所属的接口,再查这个接口属于哪个区段,如果属于untrust区段,则在untrust区段中查找策略。
如果找到策略中有从218.107.238.249到192.168.9.1的映射条目,再查找192.168.9.1的路由,看哪个接口可以到这个地址。
这与我们常用的静态映射(MIP)和动态映射(VIP)不太一样。
这里需要一个初始目的地址。
配置过程:
先建立和接口的ip地址和所属区段。
建立初始地址或初始地址段,并设置初始地址或地址段所属的区段。
一般属于最终目标地址区段。
配置到初始地址或地址段的路由
配置策略,从使用客户端到目的地址所属区段的策略。
并应用服务、刚定义的初始地址和动作。
并在高级配置选项目定义到最终目标地址的转换。
(二)映射IP(MIP)
是一个IP地址到另一个IP地址的直接一对一映射。
1、MIP和Global区段
无论哪个区段接口的MIP,都会在global区段中生成该MIP条目。
global区段存储所有MIP地址,不管是哪个区段的接口。
在策略上引用MIP时,既可以使用GLOBAL区段,也可以使用MIP指向的目标区段。
(以地址形式表示)
可以将这些MIP地址作两个区段策略的目标地址,还可以在定义全局策略时作为目标地址。
2、基本配置方法
(1)定义各实际接口的地址及接口
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- juniper 防火墙基本原理 防火墙 基本原理