密 级: 文档编号: 项目代号:
中国移动Netscreen防火墙
安全配置手册
Version 1.0
中国移动通信有限公司 二零零四年十二月
第 1 页 共 71 页
目录
1 2
综述........................................................................................................................................... 3 Netscreen的几种典型配置 ...................................................................................................... 4 2.1 典型配置(1)――跟踪IP地址 ................................................................................... 4 2.2 典型配置(2)――接口模式配置 ................................................................................. 5 2.2.1 透明模式 ................................................................................................................... 5 2.2.2 路由模式 ................................................................................................................... 8 2.2.3 NAT模式 ................................................................................................................ 11 2.3 典型配置(3)――信息流整形与优先级排列 ........................................................... 13 2.3.1 信息流整形 ............................................................................................................. 13 2.3.2 优先级排列 ............................................................................................................. 18 2.4 典型配置(4)――攻击监视 ....................................................................................... 23 2.5 典型配置(5)――三层IP欺骗保护 ......................................................................... 24 2.6 典型配置(6)――基于源的会话限制 ....................................................................... 26 2.7 典型配置(7)――SYN泛滥保护 .............................................................................. 27 2.8 典型配置(8)――URL过滤配置 .............................................................................. 30 2.9 典型配置(9)――站点到站点IPSEC VPN 配置 .................................................... 33 2.10 典型配置(10)――高可靠性 ................................................................................. 44 2.10.1 NSRP 概述 ............................................................................................................. 44 2.10.2 主动/被动配置的NSRP ......................................................................................... 45 2.10.3 双主动配置的NSRP .............................................................................................. 48 3 Netscreen防火墙自身加固 .................................................................................................... 54 3.1 网管及认证问题 ............................................................................................................. 54 3.1.1 远程登录 ................................................................................................................. 54 3.1.2 帐号和密码管理 ..................................................................................................... 56 3.1.3 帐号认证和授权 ..................................................................................................... 57 3.1.4 SNMP协议 ............................................................................................................. 58 3.1.5 HTTP的配置要求 .................................................................................................. 59 3.2 安全审计 ......................................................................................................................... 61 3.2.1 针对重要策略开启信息流日志 ............................................................................. 62 3.2.2 根据需要开启SELF日志功能.............................................................................. 62 3.2.3 将日志转发至SYSLOG服务器 ........................................................................... 62 3.3 设备IOS升级方法 ........................................................................................................ 63 3.3.1 前期准备 ................................................................................................................. 63 3.3.2 升级操作 ................................................................................................................. 64 3.4 特定的安全配置 ............................................................................................................. 65 3.4.1 NetScreen防火墙的防攻击选项 .......................................................................... 65 3.4.2 NetScreen防火墙防攻击选项配置方法 .............................................................. 71
第 2 页 共 71 页
1 综述
本配置手册介绍了Netscreen防火墙的几种典型的配置场景,以加强防火墙对网络的安全防护作用。同时也提供了Netscreen防火墙自身的安全加固建议,防止针对防火墙的直接攻击。通用和共性的有关防火墙管理、技术、配置方面的内容,请参照《中国移动防火墙安全规范》。
第 3 页 共 71 页
2 Netscreen的几种典型配置
2.1 典型配置(1)――跟踪IP地址
NetScreen 设备可以通过接口跟踪指定的IP 地址,所以,如果一个或多个IP 地址不可达,NetScreen 设备就可以禁用所有与该接口相关联的路由,即使物理链接仍处于活动状态5。在NetScreen 设备与这些IP 地址重新取得联系后,禁用的路由就恢复为活动路由。
类似于NSRP 中使用的功能, NetScreen 使用第3 层路径监控或IP 跟踪监控经过接口的指定IP 地址的可达性。例如,如果接口直接连接到路由器,则可跟踪接口的下一跳跃地址,以确定该路由器是否仍旧可达。在配置接口上的IP跟踪时,NetScreen 设备在接口上向最多4 个目标IP 地址以用户定义的时间间隔发送ping 请求。NetScreen 设备监控这些目标以确定是否能接收到响应。如果目标在指定的次数内未响应,则视该IP 地址为不可达。不能引发一个或多个目标响应时,会导致NetScreen 设备禁用与该接口相关联的路由。如果存在另外一个连接同一目标的路由,NetScreen 设备就会重新定向信息流以使用新路由。
WebUI
Network > Interfaces > Edit ( 对于ethernet3) > Track IP Options: 输入以下内容,然后单击Apply:
Enable Track IP: ( 选择) Threshold: 5
> Track IP: 输入以下内容,然后单击Add: Static: (选择) Track IP: 1.1.1.250 Weight: 10 CLI
set interface ethernet3 track-ip
set interface ethernet3 track-ip threshold 5
set interface ethernet3 track-ip ip 1.1.1.250 weight 10
第 4 页 共 71 页
2.2 典型配置(2)――接口模式配置 2.2.1
透明模式
接口为透明模式时,NetScreen 设备过滤通过防火墙的封包,而不会修改IP 封包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分,而NetScreen 设备的作用更像是第2 层交换机或桥接器。在透明模式下,接口的IP 地址被设置为0.0.0.0,使得NetScreen 设备对于用户来说是可视或“透明”的。
配置实例:
策略允许V1-Trust 区段中所有主机的外向信息流、邮件服务器的内向SMTP 服务,以及FTP 服务器的内向FTP-GET 服务。为了提高管理信息流的安全性,将WebUI 管理的HTTP 端口号从80 改为5555,将CLI 管理的Telnet 端口号从23改为4646。使用VLAN1 IP 地址1.1.1.1/24 来管理V1-Trust 安全区的NetScreen 设备。定义FTP 和邮件服务器的地址。也可配置到外部路由器的缺省路由(于1.1.1.250 处),以便NetScreen 设备能向其发送出站VPN 信息流6。(V1-Trust 区段中所有主机的缺省网关也是1.1.1.250。)
WebUI 1. VLAN1 接口
Network > Interfaces > Edit ( 对于VLAN1 接口): 输入以下内容,然后单击OK:
IP Address/Netmask: 1.1.1.1/24
Management Services: WebUI, Telnet ( 选择) Other Services: Ping ( 选择)
第 5 页 共 71 页
2. HTTP 端口
Configuration > Admin > Management: 在HTTP Port 字段中,键入55557,然后单击Apply。
3. 接口
Network > Interfaces > Edit ( 对于ethernet1 ): 输入以下内容,然后单击OK:
Zone Name: V1-Trust IP Address/Netmask: 0.0.0.0/0
Network > Interfaces > Edit ( 对于ethernet3 ): 输入以下内容,然后单击OK:
Zone Name: V1-Untrust IP Address/Netmask: 0.0.0.0/0
4. V1-Trust 区段
Network > Zones > Edit ( 对于v1-trust ): 选择以下内容,然后单击OK:
Management Services: WebUI, Telnet Other Services: Ping
5. 地址
Objects > Addresses > List > New: 输入以下内容,然后单击OK:
Address Name: FTP _Server IP Address/Domain Name: IP/Netmask: ( 选择), 1.1.1.5/32 Zone: V1-Trust
Objects > Addresses > List > New: 输入以下内容,然后单击OK:
Address Name: Mail_Server IP Address/Domain Name: IP/Netmask: ( 选择), 1.1.1.10/32 Zone: V1-Trust
6. 路由
Network > Routing > Routing Entries > trust-vr New: 输入以下内容,然后单击OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (选择)
第 6 页 共 71 页
Interface: vlan1(trust-vr) Gateway IP Address: 1.1.1.250 Metric: 1
7. 策略
Policies >(From: V1-Trust, To: V1-Untrust) New: 输入以下内容,然后单击OK:
Source Address:
Address Book Entry: (选择), Any Destination Address:
Address Book Entry: (选择), Any Service: Any Action: Permit
Policies >(From: V1-Untrust, To: V1-Trust) New: 输入以下内容,然后单击OK:
Source Address:
Address Book Entry: (选择), Any Destination Address:
Address Book Entry: (选择), Mail_Server Service: Mail Action: Permit
Policies > (From: V1-Untrust, To: V1-Trust) New: 输入以下内容,然后单击OK:
Source Address:
Address Book Entry: (选择), Any Destination Address:
Address Book Entry: (选择), FTP_Server Service: FTP-GET Action: Permit
CLI 1. VLAN1
set interface vlan1 ip 1.1.1.1/24 set interface vlan1 manage web
第 7 页 共 71 页
set interface vlan1 manage telnet set interface vlan1 manage ping 2. Telnet
set admin telnet port 4646 3. 接口
set interface ethernet1 ip 0.0.0.0/0 set interface ethernet1 zone v1-trust set interface ethernet3 ip 0.0.0.0/0 set interface ethernet3 zone v1-untrust 4. V1-Trust 区段
set zone v1-trust manage web set zone v1-trust manage telnet set zone v1-trust manage ping 5. 地址
set address v1-trust FTP_Server 1.1.1.5/32 set address v1-trust Mail_Server 1.1.1.10/32 6. 路由
set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 1.1.1.250 metric 1 7. 策略
set policy from v1-trust to v1-untrust any any any permit set policy from v1-untrust to v1-trust any Mail_Server mail permit set policy from v1-untrust to v1-trust any FTP_Server ftp-get permit
2.2.2 路由模式
接口为路由模式时,NetScreen 设备在不同区段间转发信息流时不执行源NAT (NAT-src) ;即,当信息流穿过NetScreen 设备时,IP 封包包头中的源地址和端口号保持不变。与NAT-src 不同,目的地区段接口为路由模式时,不需要为了允许入站信息流到达主机而建立映射IP (MIP) 和虚拟IP (VIP) 地址。与透明模式不同,每个区段内的接口都在不同的子网中。
第 8 页 共 71 页
配置实例:
Trust 区段LAN 中的主机具有私有IP 地址和邮件服务器的映射IP。在以下相同网络(受运行在路由模式下的NetScreen 设备保护) 的范例中,要注意,主机具有公共IP 地址,且邮件服务器不需要MIP。所有安全区都在trust-vr 路由选择域中。
WebUI 1. 接口
Network > Interfaces > Edit ( 对于ethernet1 ): 输入以下内容,然后单击Apply:
Zone Name: Trust
Static IP: (出现时选择此选项) IP Address/Netmask: 1.2.2.1/24 输入以下内容,然后单击OK: Interface Mode: Route15
Network > Interfaces > Edit ( 对于ethernet3 ): 输入以下内容,然后单击OK:
Zone Name: Untrust Static IP: (出现时选择此选项) IP Address/Netmask16 : 1.1.1.1/24
2. 地址
Objects > Addresses > List > New: 输入以下内容,然后单击OK:
Address Name: Mail Server IP Address/Domain Name: IP/Netmask: ( 选择), 1.2.2.5/32 Zone: Trust
3. 路由
Network > Routing > Routing Entries > trust-vr New: 输入以下内容,然后单击OK:
第 9 页 共 71 页
Network Address/Netmask: 0.0.0.0/0 Gateway: (选择) Interface: ethernet3
Gateway IP Address: 1.1.1.250
4. 策略
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击OK:
Source Address:
Address Book Entry: (选择), Any Destination Address:
Address Book Entry: (选择), Any Service: ANY Action: Permit
Policies > (From: Untrust, To: Trust) New: 输入以下内容,然后单击OK:
Source Address:
Address Book Entry: (选择), Any Destination Address:
Address Book Entry: (选择), Mail Server Service: MAIL Action: Permit
CLI 1. 接口
set interface ethernet1 zone trust set interface ethernet1 ip 1.2.2.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route 2. 地址
set address trust mail_server 1.2.2.5/24
第 10 页 共 71 页
3. 路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 4. 策略
set policy from trust to untrust any any any permit set policy from untrust to trust any mail_server mail permit
2.2.3 NAT模式
入口接口处于“网络地址转换(NAT)”模式下时,NetScreen 设备的作用与第3 层交换机(或路由器) 相似,将通往Untrust 区段的外向IP 封包包头中的两个组件进行转换: 其源IP 地址和源端口号。NetScreen 设备用Untrust 区段接口的IP 地址替换发端主机的源IP 地址。另外,它用另一个由NetScreen 设备生成的任意端口号替换源端口号。
配置实例:
LAN 受NAT 模式下的NetScreen 设备保护。策略允许Trust 区段中所有主机的外向信息流和邮件服务器的内向邮件。内向邮件通过虚拟IP 地址被发送到邮件服务器。Trust和Untrust 区段都在trust-vr 路由选择域中。
WebUI 1. 接口
Network > Interfaces > Edit ( 对于ethernet1 ): 输入以下内容,然后单击Apply:
Zone Name: Trust
Static IP: (出现时选择此选项) IP Address/Netmask: 10.1.1.1/24 输入以下内容,然后单击OK: Interface Mode: NAT
Network > Interfaces > Edit ( 对于ethernet3 ): 输入以下内容,然后单击OK:
Zone Name: Untrust
第 11 页 共 71 页
Static IP: (出现时选择此选项) IP Address/Netmask11 : 1.1.1.1/24 Interface Mode: 路由
2. VIP12
Network > Interfaces > Edit ( 对于ethernet3 ) > VIP: 输入以下内容,然后单击Add:
Virtual IP Address: 1.1.1.5
Network > Interfaces > Edit ( 对于ethernet3 ) > VIP > New VIP Service: 输入以下内容,然后单击OK:
Virtual Port: 25 Map to Service: Mail Map to IP: 10.1.1.5
3. 路由
Network > Routing > Routing Entries > trust-vr New: 输入以下内容,然后单击OK: Network Address/Netmask: 0.0.0.0/0
Gateway: (选择) Interface: ethernet3
Gateway IP Address: 1.1.1.250
4. 策略
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击OK:
Source Address:
Address Book Entry: (选择), Any Destination Address:
Address Book Entry: (选择), Any Service: ANY Action: Permit
Policies > (From: Untrust, To: Global) New: 输入以下内容,然后单击OK:
Source Address:
Address Book Entry: (选择), Any Destination Address:
第 12 页 共 71 页
Address Book Entry: (选择), VIP(1.1.1.5) Service: MAIL Action: Permit
CLI 1. 接口
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat
set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route 2. VIP
set interface ethernet3 vip 1.1.1.5 25 mail 10.1.1.5 3. 路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 4. 策略
set policy from trust to untrust any any any permit
set policy from untrust to global any vip(1.1.1.5) mail permit
2.3 典型配置(3)――信息流整形与优先级排列 2.3.1
信息流整形
信息流整形是指为接口上的每一位用户和应用程序分配适当的网络带宽数量。适当的带宽数量指在保证服务质量(QoS) 的前提下具成本效益的载流容量。通过创建策略并将适当的速率控制应用到流经NetScreen 设备的每一种信息流类别,您可使用NetScreen 设备对信息流进行整形。
配置实例:
第 13 页 共 71 页
在本例中,您需要在T3 接口上划分45Mbps 的带宽,其中该接口处于同一子网的三个部门之间。ethernet1 接口被绑定到Trust 区段,而ethernet3 被绑定到Untrust 区段。
WebUI 1. 接口带宽
Network > Interfaces > Edit ( 对于ethernet1 ): 输入以下内容,然后单击OK:
Traffic Bandwidth: 450002
Network > Interfaces > Edit ( 对于ethernet3 ): 输入以下内容,然后单击OK:
Traffic Bandwidth: 45000
2. 策略带宽
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击OK:
Name: Marketing Traffic Shaping Source Address:
Address Book Entry: (选择), Marketing Destination Address:
Address Book Entry: (选择), Any Service: Any Action: Permit VPN Tunnel: None3
> Advanced: 输入以下内容,然后单击Return,设置高级选项并返回基本配
置页:
Traffic Shaping: ( 选择) Guaranteed Bandwidth: 10000
第 14 页 共 71 页
Maximum Bandwidth: 15000
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击OK:
Name: Sales Traffic Shaping Policy Source Address:
Address Book Entry: (选择), Sales Destination Address:
Address Book Entry: (选择), Any Service: Any Action: Permit
> Advanced: 输入以下内容,然后单击Return,设置高级选项并返回基本配
置页:
Traffic Shaping: ( 选择) Guaranteed Bandwidth: 10000 Maximum Bandwidth: 10000
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击OK:
Name: Support Traffic Shaping Policy Source Address:
Address Book Entry: (选择), Support Destination Address:
Address Book Entry: (选择), Any Service: Any Action: Permit
> Advanced: 输入以下内容,然后单击Return,设置高级选项并返回基本配
置页:
Traffic Shaping: ( 选择) Guaranteed Bandwidth: 5000 Maximum Bandwidth: 10000
Policies > (From: Untrust, To: Trust) New: 输入以下内容,然后单击OK:
Name: Allow Incoming Access to Marketing
第 15 页 共 71 页
Source Address:
Address Book Entry: (选择), Any Destination Address:
Address Book Entry: (选择), Marketing Service: Any Action: Permit
> Advanced: 输入以下内容,然后单击Return,设置高级选项并返回基本配
置页:
Traffic Shaping: ( 选择) Guaranteed Bandwidth: 10000 Maximum Bandwidth: 10000
Policies > (From: Untrust, To: Trust) New: 输入以下内容,然后单击OK:
Name: Allow Incoming Access to Sales Source Address:
Address Book Entry: (选择), Any Destination Address:
Address Book Entry: (选择), Sales Service: Any Action: Permit
> Advanced: 输入以下内容,然后单击Return,设置高级选项并返回基本配
置页:
Traffic Shaping: ( 选择) Guaranteed Bandwidth: 5000 Maximum Bandwidth: 10000
Policies > (From: Untrust, To: Trust) New: 输入以下内容,然后单击OK:
Name: Allow Incoming Access to Support Source Address:
Address Book Entry: (选择), Any Destination Address:
第 16 页 共 71 页
Address Book Entry: (选择), Support Service: Any Action: Permit
> Advanced: 输入以下内容,然后单击Return,设置高级选项并返回基本配
置页:
Traffic Shaping: ( 选择) Guaranteed Bandwidth: 5000 Maximum Bandwidth: 5000
CLI 1. 接口带宽
set interface ethernet1 bandwidth 45000 set interface ethernet3 bandwidth 45000 2. 策略带宽
set policy name “Marketing Traffic Shaping” from trust to untrust marketing any any permit traffic gbw 10000 priority 0 mbw 15000
set policy name “Sales Traffic Shaping Policy” from trust to untrust sales any any permit traffic gbw 10000 priority 0 mbw 10000
set policy name “Support Traffic Shaping Policy” from trust to untrust support any any permit traffic gbw 5000 priority 0 mbw 10000
set policy name “Allow Incoming Access to Marketing” from untrust to trust any marketing any permit traffic gbw 10000 priority 0 mbw 10000
set policy name “Allow Incoming Access to Sales” from untrust to trust any sales any permit traffic gbw 5000 priority 0 mbw 10000
set policy name “Allow Incoming Access to Support” from untrust to trust any support any permit traffic gbw 5000 priority 0 mbw 5000 save
第 17 页 共 71 页
2.3.2 优先级排列
通过NetScreen 设备上的信息流整形功能,可对未分配给保障带宽的或未使用的保障带宽执行优先级排列。优先级排列功能允许所有用户和应用程序在需要时都能够访问可用带宽,同时又确保重要的信息流可以通过,必要时可以能够以牺牲次重要信息流的带宽为代价。通过排列功能, NetScreen 能够以八种不同的优先级排列对信息流进行缓冲。 这八种排列为:
• High priority • 2nd priority • 3rd priority • 4th priority • 5th priority • 6th priority • 7th priority • Low priority ( 缺省)
策略的优先级设置意味着未分配给其它策略的带宽基于高优先级在前和低优先级在后的原则进行了排列。具有相同优先级设置的策略将以轮询方式竞争带宽。 NetScreen 设备首先处理具有较高优先级策略的所有信息流,然后再处理具有次优先级设置策略的信息流,依此类推,直至处理完所有的信息流请求。如果信息流请求超过可用带宽,则将丢弃优先级最低的信息流。
如果您未分配任何保障带宽,则可使用优先级排列来管理网络的所有信息流。也就是说,必须在发送完全部高优先级信息流之后,才能发送2nd priority 信息流,依此类推。只有在处理完其它所有信息流之后, NetScreen 设备才处理低优先级信息流。
配置实例:
第 18 页 共 71 页
在本例中,您需要为三个部门(Support、Sales 和Marketing) 配置保障带宽和最大带宽,如下所示:
如果三个部门同时通过NetScreen 防火墙发送和接收信息流,那么NetScreen 设备必须分配20 Mbps 的带宽以满足保证的策略要求。ethernet1 接口被绑定到Trust 区段,而ethernet3 被绑定到Untrust 区段。
WebUI 1. 接口带宽
Interfaces > Edit ( 对于ethernet1 ): 输入以下内容,然后单击OK:
Traffic Bandwidth: 40000
Interfaces > Edit ( 对于ethernet3 ): 输入以下内容,然后单击OK:
Traffic Bandwidth: 40000
2. 策略带宽
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击OK: Name: Sup-out
Source Address:
Address Book Entry: (选择), Support Destination Address:
Address Book Entry: (选择), Any Service: Any Action: Permit
> Advanced: 输入以下内容,然后单击Return,设置高级选项并返回基本配
置页:
Traffic Shaping: ( 选择) Guaranteed Bandwidth: 5000
第 19 页 共 71 页
Maximum Bandwidth: 40000 Traffic Priority: High priority
DiffServ Codepoint Marking5 : (选择)
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击OK:
Name: Sal-out Source Address:
Address Book Entry: (选择), Sales Destination Address:
Address Book Entry: (选择), Any Service: Any Action: Permit
> Advanced: 输入以下内容,然后单击Return,设置高级选项并返回基本配
置页:
Traffic Shaping: ( 选择) Guaranteed Bandwidth: 2500 Maximum Bandwidth: 40000 Traffic Priority: 2nd priority
DiffServ Codepoint Marking: Enable
Policies > (From: Trust, To: Untrust) New: 输入以下内容,然后单击OK:
Name: Mar-out Source Address:
Address Book Entry: (选择), Marketing Destination Address:
Address Book Entry: (选择), Any Service: Any Action: Permit
> Advanced: 输入以下内容,然后单击Return,设置高级选项并返回基本配
置页:
Traffic Shaping: ( 选择)
第 20 页 共 71 页
Guaranteed Bandwidth: 2500 Maximum Bandwidth: 40000 Traffic Priority: 3rd priority
DiffServ Codepoint Marking: ( 选择)
Policies > (From: Untrust, To: Trust) New: 输入以下内容,然后单击OK: Name: Sup-in
Source Address:
Address Book Entry: (选择), Any Destination Address:
Address Book Entry: (选择), Support Service: Any Action: Permit
> Advanced: 输入以下内容,然后单击Return,设置高级选项并返回基本配
置页:
Traffic Shaping: ( 选择) Guaranteed Bandwidth: 5000 Maximum Bandwidth: 40000 Traffic Priority: High priority DiffServ Codepoint Marking: ( 选择)
Policies > (From: Untrust, To: Trust) New: 输入以下内容,然后单击OK:
Name: Sal-in Source Address:
Address Book Entry: (选择), Any Destination Address:
Address Book Entry: (选择), Sales Service: Any Action: Permit
> Advanced: 输入以下内容,然后单击Return,设置高级选项并返回基本配
置页:
第 21 页 共 71 页
Traffic Shaping: ( 选择) Guaranteed Bandwidth: 3500 Maximum Bandwidth: 40000 Traffic Priority: 2nd priority
DiffServ Codepoint Marking: ( 选择)
Policies > (From: Untrust, To: Trust) New: 输入以下内容,然后单击OK:
Name: Mar-in Source Address:
Address Book Entry: (选择), Any Destination Address:
Address Book Entry: (选择), Marketing Service: Any Action: Permit
> Advanced: 输入以下内容,然后单击Return,设置高级选项并返回基本配
置页:
Traffic Shaping: ( 选择) Guaranteed Bandwidth: 1500 Maximum Bandwidth: 40000 Traffic Priority: 3rd priority
DiffServ Codepoint Marking: ( 选择)
CLI 1. 接口带宽
set interface ethernet1 bandwidth 40000 set interface ethernet3 bandwidth 40000 2. 策略带宽
set policy name sup-out from trust to untrust support any any permit traffic gbw 5000 priority 0 mbw 40000 dscp enable
set policy name sal-out from trust to untrust sales any any permit traffic gbw 2500 priority 2 mbw 40000 dscp enable
第 22 页 共 71 页
set policy name mar-out from trust to untrust marketing any any permit traffic gbw 2500 priority 3 mbw 40000 dscp enable
set policy name sup-in from untrust to trust any support any permit traffic gbw 5000 priority 0 mbw 40000 dscp enable
set policy name sal-in from untrust to trust any sales any permit traffic gbw 3500 priority 2 mbw 40000 dscp enable
set policy name mar-in from untrust to trust any marketing any permit traffic gbw 1500 priority 3 mbw 40000 dscp enable
2.4 典型配置(4)――攻击监视
虽然您通常希望 NetScreen设备封锁攻击,有时也可能希望收集有关这些攻击的信息。您可能希望具体了解一个特定的攻击-发现其意图、技巧和可能的来源(如果攻击者不小心或不够老练)。
如果您希望收集有关攻击的信息,可以让它发生、监视它、分析它、执行辩论练习,然后按照先前准备好的事件响应计划的描述做出响应。您可以指示NetScreen 设备将攻击的情况通知您,但NetScreen 不采取应对措施,而是允许该攻击发生。然后可以研究所发生的现象,并尝试了解攻击者的方法、策略和目的。增加了对网络的威胁的了解之后,就能让您更好地加强防御。虽然精明的攻击者会隐藏其位置和身份,但您或许能通过收集足够的信息来识别攻击的始发点。您也许还能估计攻击者的能力。这种信息使您能评估一些响应。
配置实例:
在本例中,来自Untrust区段的IP欺骗攻击每日都发生,通常是在晚上9:00点与12:00 之间。当含有欺骗性源IP地址的封包到来时,您希望NetScreen设备发出通知,但不将其丢弃,而是让其通过,或许是将其引导到您在DMZ接口连接上连接的“蜜罐” (honeypot)中。晚上8:55时,您将更改防火墙的行为,从通知并拒绝属于已检测到的攻击的封包,变为通知并接受。当该攻击发生时,即可使用该“蜜罐”监视攻击者越过防火墙后的活动。也可以与上游ISP(互联网服务提供商)合作开始跟踪封包来源以找出其来源。
WebUI
Screening > Screen (Zone: Untrust): 输入以下内容,然后单击Apply:
Generate Alarms without Dropping Packet: (选择)
第 23 页 共 71 页
IP Address Spoof Protection: (选择)
CLI
set zone untrust screen alarm-without-drop set zone untrust screen ip-spoofing save
2.5 典型配置(5)――三层IP欺骗保护
试获得网络中受限区域的访问权限的一个方法是,在封包包头中插入虚假的源地址,以使该封包看似发自信任来源。这种技术称为IP 欺骗。NetScreen 具有两种 IP 欺骗检测方法,这两种方法能完成同样的任务:确定封包并非来自其包头所指示的位置。
配置实例:
在本例中,为在第3层工作的NetScreen 设备的Trust、DMZ 和Untrust 区段启用IP 欺骗保护。在缺省情况下,NetScreen 设备在路由表中自动为接口IP 地址中指定的子网生 成条目。除了这些自动路由表条目外,请手动输入以下三个路由:
如果启用了IP 欺骗保护SCREEN 选项但没有输入上述三个路由,则NetScreen 设备将丢弃来自“目的地”栏中地址的所有信息流,并在事件日志中输入警报信息。例如,如果含有源地址10.1.2.5 的封包到达ethernet1,并且没有通过ethernet1 到10.1.2.0/24 子网的路由,则NetScreen 设备将确定该封包已到达无效的接口,并将其丢弃。
WebUI 1.接口
第 24 页 共 71 页
Network >Interfaces >Edit (对于ethernet1 ): 输入以下内容,然后单击Apply:
Zone Name: Trust
Static IP: (有此选项时将其选定) IP Address/Netmask: 10.1.1.1/24 输入以下内容,然后单击OK: Interface Mode: NAT
Network >Interfaces >Edit (对于ethernet2 ): 输入以下内容,然后单击OK:
Zone Name: DMZ
Static IP: (有此选项时将其选定) IP Address/Netmask: 1.2.2.1/24
Network >Interfaces >Edit (对于ethernet3 ): 输入以下内容,然后单击OK:
Zone Name: Untrust
Static IP: (有此选项时将其选定) IP Address/Netmask: 1.1.1.1/24
2.路由
Network >Routing >Routing Entries >trust-vr New: 输入以下内容,然后单击OK:
Network Address/Netmask: 10.1.2.0/24 Gateway: (选择) Interface: ethernet1
Gateway IP Address: 10.1.1.250
Network >Routing >Routing Entries >trust-vr New: 输入以下内容,然后单击OK:
Network Address/Netmask: 1.2.3.0/24 Gateway: (选择) Interface: ethernet2
Gateway IP Address: 1.2.2.250
Network >Routing >Routing Entries >trust-vr New: 输入以下内容,然后单击OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (选择) Interface: ethernet3
第 25 页 共 71 页
Gateway IP Address: 1.1.1.250
3. IP欺骗保护
Screening >Screen (Zone: Trust): 选择IP Address Spoof Protection,然后单击Apply。 Screening >Screen (Zone: DMZ): 选择IP Address Spoof Protection,然后单击Apply。 Screening >Screen (Zone: Untrust): 选择IP Address Spoof Protection,然后单击Apply。
2.6 典型配置(6)――基于源的会话限制
除了限制来自相同源IP 地址的并发会话数目之外,也可以限制对相同目标IP 地址的并发会话数目。设置基于源的会话限制的一个优点是该操作可以阻止像Nimda 病毒(实际上既是病毒又是蠕虫)这样的攻击,该类病毒会感染服务器,然后开始从服务器生成大量的信息流。由于所有由病毒生成的信息流都始发自相同的IP 地址,因此,基于源的会话限制可以保证NetScreen 防火墙能抑制这类巨量的信息流。
配置实例:
在本例中,将限制DMZ 区段和Trust 区段中的任一个服务器所能发起的会话数目。由于DMZ 区段仅保护Web 服务器,其中任一个主机都不应发起信息流,因此,将基于源的会话限值设置为可能的最低值:1个会话。另一方面,Trust 区段包含个人计算机、服务器、打印机,等等,其中很多主机都会发出信息流。对于Trust 区段,将源会话数最大限值设置为80 个并发会话。
WebUI
Screening >Screen (Zone: DMZ): 输入以下内容,然后单击OK: Source IP Based Session Limit: (选择) Threshold: 1Sessions
Screening >Screen (Zone: Trust): 输入以下内容,然后单击OK: Source IP Based Session Limit: (选择) Threshold: 80 Sessions CLI
set zone dmz screen limit-session source-ip-based 1
第 26 页 共 71 页
set zone dmz screen limit-session source-ip-based set zone trust screen limit-session source-ip-based 80 set zone trust screen limit-session source-ip-based
2.7 典型配置(7)――SYN泛滥保护
当主机中充满了会发出无法完成的连接请求的SYN 片段,以至于主机无法再处理合法的连接请求时,就发生了SYN泛滥。利用三方封包交换,即常说的三方握手,两个主机之间建立TCP 连接:A向B发送SYN 片段; B用SYN/ACK 片段进行响应;然后A又用ACK 片段进行响应。SYN 泛滥攻击用含有伪造的(“欺骗” )IP 源地址(不存在或不可到达的地址)的SYN 片段塞满某一站点。B用SYN/ACK 片段响应这些地址,然后等待响应的ACK 片段。因为SYN/ACK 片段被发送到不存在或不可到达的IP 地址,所以它们不会得到响应并最终超时。
配置实例:
在本例中,通过为Untrust 区段启用SYN 泛滥保护SCREEN 选项,保护DMZ 区段中的Web 服务器,使其免受始发自 Untrust 区段中的SYN 泛滥攻击。
WebUI 1. 接口
Network >Interfaces >Edit (对于ethernet2 ): 输入以下内容,然后单击OK:
Zone Name: DMZ
Static IP: (有此选项时将其选定) IP Address/Netmask: 1.2.2.1/24
Network >Interfaces >Edit (对于ethernet3 ): 输入以下内容,然后单击OK:
Zone Name: Untrust
Static IP: (有此选项时将其选定)
第 27 页 共 71 页
IP Address/Netmask: 1.1.1.1/24
2. 地址
Objects >Addresses >List >New: 输入以下内容,然后单击OK:
Address Name: ws1 IP Address/Domain Name: IP/Netmask: (选择), 1.2.2.10/32 Zone: DMZ
Objects >Addresses >List >New: 输入以下内容,然后单击OK:
Address Name: ws2 IP Address/Domain Name: IP/Netmask: (选择), 1.2.2.20/32 Zone: DMZ
Objects >Addresses >List >New: 输入以下内容,然后单击OK:
Address Name: ws3 IP Address/Domain Name: IP/Netmask: (选择), 1.2.2.30/32 Zone: DMZ
Objects >Addresses >List >New: 输入以下内容,然后单击OK:
Address Name: ws4 IP Address/Domain Name: IP/Netmask: (选择), 1.2.2.40/32 Zone: DMZ
Objects >Addresses >Groups >(对于Zone: DMZ )New: 输入以下组名称,移动以下地址,然后单击OK:
Group Name: web_servers
选择ws1,并使用<< 按钮将地址从Available Members 栏移动到
GroupMembers 栏中。
选择ws2,并使用<< 按钮将地址从Available Members 栏移动到
GroupMembers 栏中。
第 28 页 共 71 页
选择ws3,并使用<< 按钮将地址从Available Members 栏移动到
GroupMembers 栏中。
选择ws4,并使用<< 按钮将地址从Available Members 栏移动到
GroupMembers 栏中。
3. 策略
Policies >(From: Untrust, To: DMZ) New: 输入以下内容,然后单击OK:
Source Address:
Address Book Entry: (选择), Any Destination Address:
Address Book Entry: (选择), web_servers Service: HTTP Action: Permit
4. SCREEN
Screening >Screen (Zone: Untrust): 输入以下内容,然后单击Apply:
SYN Flood Protection: (选择) Threshold: 625 Alarm Threshold: 250 Source Threshold: 25 Destination Threshold: 0 Timeout Value: 206 Queue Size: 1000
CLI 1. 接口
set interface ethernet2 zone dmz set interface ethernet2 ip 1.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 2. 地址
set address dmz ws1 1.2.2.10/32
第 29 页 共 71 页
set address dmz ws2 1.2.2.20/32 set address dmz ws3 1.2.2.30/32 set address dmz ws4 1.2.2.40/32
set group address dmz web_servers add ws1 set group address dmz web_servers add ws2 set group address dmz web_servers add ws3 set group address dmz web_servers add ws4 3. 策略
set policy from untrust to dmz any web_servers HTTP permit 4. SCREEN
set zone untrust screen syn-flood attack-threshold 625 set zone untrust screen syn-flood alarm-threshold 250 set zone untrust screen syn-flood source-threshold 25 set zone untrust screen syn-flood timeout 207 set zone untrust screen syn-flood queue-size 1000 set zone untrust screen syn-flood save
2.8 典型配置(8)――URL过滤配置
NetScreen 利用Websense Enterprise Engine 支持URL 过滤,根据站点的URL、域名和IP 地址, WebsenseEnterprise Engine 可以阻止或允许访问不同的站点。使用直接嵌入在NetScreen 防火墙中的Websense API,NetScreen 设备可以直接链接到Websense URL 过滤服务器。当Trust 区段中的主机试图建立与Untrust 区段中的服务器的HTTP 连接时,下图说明了事件的基本顺序。但是,URL过滤过程确定所请求的URL 是被禁止的。 配置实例:
NetScreen 利用Websense Enterprise Engine 支持URL 过滤,根据站点的URL、域名和IP 地址, WebsenseEnterprise Engine 可以阻止或允许访问不同的站点。使用直接嵌入在NetScreen 防火墙中的Websense API,NetScreen 设备可以直接链接到Websense URL 过滤
第 30 页 共 71 页
服务器。当Trust 区段中的主机试图建立与Untrust 区段中的服务器的HTTP 连接时,下图说明了事件的基本顺序。但是,URL 过滤过程确定所请求的URL 是被禁止的。
在本例中,配置NetScreen 设备,使之用端口号15868 (缺省值)与IP 地址为10.1.2.5 的URL 过滤服务器协同工作。URL 过滤服务器位于Trust 区段中。您要对从Trust 区段的主机发往Untrust 区段的主机的所有出站HTTP 信息流执行 URL 过滤。如果NetScreen 设备失去与URL 过滤服务器的连接,则您希望NetScreen 设备允许出站HTTP信息流。当HTTP 客户端请求访问被禁止的URL 时,您希望NetScreen 设备发送下列消息:“We're sorry, but therequested URL is prohibited. If this prohibition appears to be in error, contact ntwksec@mycompany.com.”Untrust 区段的接口是ethernet3 且拥有IP 地址1.1.1.1/24。Trust 区段的接口是ethernet1 且拥有IP 地址10.1.1.1/24。两个区段都位于trust-vr 路由域中。由于该URL 过滤服务器不在其中任一个NetScreen 设备接口的直接子网中,因此为过滤服务器添加一个通过ethernet1 和位于10.1.1.250 的路由器的路由。
WebUI 1. 接口
Network >Interfaces > Edit (对于ethernet1 ): 输入以下内容,然后单击Apply:
Zone Name: Trust
Static IP: (有此选项时将其选定) IP Address/Netmask: 10.1.1.1/24 输入以下内容,然后单击OK: Interface Mode: NAT
Network >Interfaces >Edit (对于ethernet3 ): 输入以下内容,然后单击OK:
Zone Name: Untrust
Static IP: (有此选项时将其选定) IP Address/Netmask: 1.1.1.1/24
2. URL过滤服务器
Screening >URL Filtering: 输入以下内容,然后单击Apply:
Enable URL Filtering via Websense Server: (选择) Websense Server Name: 10.1.2.5 Websense Server Port: 15868
第 31 页 共 71 页
Communication Timeout: 10 (秒)
If connectivity to the Websense server is lost ... all HTTP requests: Permit Blocked URL Message Type: NetScreen
NetScreen Blocked URL Message: We're sorry, but the requested URL is prohibited.If this prohibition appears to be in error, contact ntwksec@mycompany.com.
3. 路由
Network >Routing >Routing Entries >trust-vr New: 输入以下内容,然后单击OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (选择) Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network >Routing >Routing Entries >trust-vr New: 输入以下内容,然后单击OK:
Network Address/Netmask: 10.1.2.0/24 Gateway: (选择) Interface: ethernet1
Gateway IP Address: 10.1.1.250
4. 策略
Policies >(From: Trust, To: Untrust) New: 输入以下内容,然后单击OK:
Source Address:
Address Book Entry: (选择), Any Destination Address:
Address Book Entry: (选择), Any Service: HTTP Action: Permit
>Advanced: 选择URL Filter复选框,然后单击Return 以设置高级选项并返回基本配置页。
CLI 1. 接口
第 32 页 共 71 页
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 2. URL过滤服务器
set url server 10.1.2.5 15868 10 set url fail-mode permit set url type NetScreen
set url message “We’re sorry, but the requested URL is prohibited. If this prohibition appears to be in error, contact ntwksec@mycompany.com.” set url config enable 3. 路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.1.2.0/24 interface ethernet1 gateway 10.1.1.250 4. 策略
set policy from trust to untrust any any http permit url-filter
2.9 典型配置(9)――站点到站点IPSEC VPN 配置
IPSec VPN 通道存在于两个网关之间,同时每个网关都需要一个IP 地址。当两个网关都拥有静态IP 地址时,可配置以下各种通道:•站点到站点VPN,自动密钥IKE 通道(具有预共享密钥或证书)•站点到站点VPN,手动密钥通道当一个网关拥有静态地址,而另一个网关拥有动态分配的地址时,可配置以下各种通道:•动态对等方站点到站点VPN,自动密钥IKE 通道(具有预共享密钥或证书)用于此处时,静态站点到站点VPN 包括一个连接两个站点的IPSec 通道,每个站点都拥有一个作为安全网关的NetScreen 设备。在两个设备上用作外向接口的物理接口或子接口都有一个固定的IP 地址,同时内部主机也拥有静态IP 地址。如果NetScreen 设备在“透明”模式下,它将VLAN1 地址当作外向接口的IP 地址使用。由于远程网关的IP 地址保持不变而可以到达,因此,位于通道任一端的主机可使用静态站点到站点VPN 发起VPN 通道设置。如果其中一个NetScreen 设备的外向接口具有动态分配
第 33 页 共 71 页
的IP 地址,则该设备在术语上被称为“动态对等方”,并且具有不同的VPN 配置。由于只有那些位于动态对等方后面的主机的远程网关才有固定的IP 地址,并且可以从它们的本地网关到达,因此只有它们才能使用动态对等方站点到站点VPN 发起VPN 通道设置。但是,当在动态对等方和静态对等方之间建立通道之后,如果目的主机有固定的IP 地址,在两个网关之中的任一个网关后面的主机,可发起VPN信息流。
在本例中,“自动密钥IKE”通道使用预共享机密或一对证书(通道两端各一个),提供东京和巴黎分公司之间的安全连接。对于“阶段1”和“阶段2”安全级别,为“阶段1”提议指定pre-g2-3des-sha 预共享密钥方法或rsa-g2-3des-sha 证书,并为“阶段2”选择预定义的“Compatible”提议集。所有区段都在trust-vr 中。
使用预共享机密或证书来设置基于路由的“自动密钥IKE”通道,包括以下步骤: 1.为绑定到安全区和通道接口的物理接口分配IP 地址。
2.配置VPN 通道,在Untrust 区段内指定其外向接口,将其绑定到通道接口,并配置其代理ID。
3.在Trust 和Untrust 区段的通讯簿中输入本地及远程端点的IP 地址。
4.在trust-vr 中输入通向外部路由器的缺省路由,并输入通过通道接口通向目的地的路由。
5.为每个站点间通过的VPN 信息流设置策略。在以下例子中,预共享密钥为h1p8A24nG5。假定两个参与者都已有RSA 证书,并将Entrust 用作证书授权机构(CA)。
WebUI (东京) 1. 接口
Network >Interfaces >Edit (对于ethernet1 ): 输入以下内容,然后单击Apply:
第 34 页 共 71 页
Zone Name: Trust
Static IP: (出现时选择此选项) IP Address/Netmask: 10.1.1.1/24 选择以下内容,然后单击OK: Interface Mode: NAT
Network >Interfaces >Edit (对于ethernet3 ): 输入以下内容,然后单击OK:
Zone Name: Untrust Static IP: (出现时选择此选项) IP Address/Netmask: 1.1.1.1/24
Network >Interfaces >New Tunnel IF: 输入以下内容,然后单击OK:
Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (选择) Interface: ethernet3 (trust-vr)
2. 地址
Objects >Addresses >List >New: 输入以下内容,然后单击OK:
Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: (选择), 10.1.1.0/24 Zone: Trust
Objects >Addresses >List > New: 输入以下内容,然后单击OK:
Address Name: Paris_Office IP Address/Domain Name: IP/Netmask: (选择), 10.2.2.0/24 Zone: Untrust
3. VPN
VPNs >AutoKey Advanced >Gateway >New: 输入以下内容,然后单击OK:
Gateway Name: To_Paris Security Level: Custom
第 35 页 共 71 页
Remote Gateway Type:
Static IP Address: (选择), IP Address/Hostname: 2.2.2.2
预共享密钥
Preshared Key: h1p8A24nG5 Outgoing Interface: ethernet3
>Advanced: 输入以下高级设置,然后单击Return,返回基本Gateway配置
页:
Security Level: Custom
Phase 1 Proposal (for Custom Security Level ):pre-g2-3des-sha Mode (Initiator): Main (ID Protection)
(或) 证书
Outgoing Interface: ethernet3
> Advanced: 输入以下高级设置,然后单击Return,返回基本Gateway配置
页:
Security Level: Custom
Phase 1 Proposal (for Custom Security Level ):rsa-g2-3des-sha Preferred certificate (optional) Peer CA: Entrust Peer Type: X509-SIG
VPNs >AutoKey IKE >New: 输入以下内容,然后单击OK:
VPN Name: Tokyo_Paris Security Level: Compatible Remote Gateway
Predefined: (选择), To_Paris
>Advanced: 输入以下高级设置,然后单击Return,返回基本“AutoKeyIKE”
配置页:
Security Level: Compatible Bind To: Tunnel Interface, tunnel.1
第 36 页 共 71 页
Proxy-ID: (选择)
Local IP/Netmask: 10.1.1.0/24 Remote IP/Netmask: 10.2.2.0/24 Service: ANY
4. 路由
Network >Routing >Routing Entries >trust-vr New: 输入以下内容,然后单击OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (选择) Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network >Routing >Routing Entries >trust-vr New: 输入以下内容,然后单击OK:
Network Address/Netmask: 10.2.2.0/24 Gateway: (选择) Interface: Tunnel.1
Gateway IP Address: 0.0.0.0
5. 策略
Policies >(From: Trust, To: Untrust) New: 输入以下内容,然后单击OK:
Name: To Paris
Source Address: Trust_LAN Destination Address: Paris_Office Service: ANY Action: Permit Position at Top: (选择)
Policies >(From: Untrust, To: Trust) >New: 输入以下内容,然后单击OK:
Name: From Paris
Source Address: Paris_Office Destination Address: Trust_LAN Service: ANY Action: Permit
第 37 页 共 71 页
Position at Top: (选择)
WebUI (巴黎) 1. 接口
Network >Interfaces >Edit (对于ethernet1 ): 输入以下内容,然后单击Apply:
Zone Name: Trust
Static IP: (出现时选择此选项) IP Address/Netmask: 10.2.2.1/24 选择以下内容,然后单击OK: Interface Mode: NAT
Network >Interfaces >Edit (对于ethernet3 ): 输入以下内容,然后单击OK:
Zone Name: Untrust Static IP: (出现时选择此选项) IP Address/Netmask: 2.2.2.2/24
Network >Interfaces >New Tunnel IF: 输入以下内容,然后单击OK:
Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (选择) Interface: ethernet3 (trust-vr)
2. 地址
Objects >Addresses >List >New: 输入以下内容,然后单击OK:
Address Name: Trust_LAN IP Address/Domain Name: IP/Netmask: (选择), 10.2.2.0/24 Zone:Trust
Objects >Addresses >List >New: 输入以下内容,然后单击OK:
Address Name: Tokyo_Office IP Address/Domain Name: IP/Netmask: (选择), 10.1.1.0/24 Zone: Untrust
第 38 页 共 71 页
3. VPN
VPNs >AutoKey Advanced >Gateway >New: 输入以下内容,然后单击OK:
Gateway Name: To_Tokyo Security Level: Custom Remote Gateway Type:
Static IP Address: (选择), IP Address/Hostname: 1.1.1.1
预共享密钥
Preshared Key: h1p8A24nG5 Outgoing Interface: ethernet3
>Advanced: 输入以下高级设置,然后单击Return,返回基本Gateway 配置
页:
Security Level: Custom
Phase 1 Proposal (for Custom Security Level ):pre-g2-3des-sha Mode (Initiator): Main (ID Protection)
(或) 证书
Outgoing Interface: ethernet3
>Advanced: 输入以下高级设置,然后单击Return,返回基本Gateway配置
页:
Security Level: Custom
Phase 1Proposal (for Custom Security Level ):rsa-g2-3des-sha Preferred certificate (optional) Peer CA: Entrust Peer Type: X509-SIG
VPNs >AutoKey IKE > New: 输入以下内容,然后单击OK:
Name: Paris_Tokyo Security Level: Custom Remote Gateway:
Predefined: (选择), To_Tokyo
第 39 页 共 71 页
>Advanced: 输入以下高级设置,然后单击Return,返回基本“AutoKeyIKE”
配置页:
Security Level: Compatible Bind To: Tunnel Interface, tunnel.1 Proxy-ID: (选择)
Local IP/Netmask: 10.2.2.0/24 Remote IP/Netmask: 10.1.1.0/24 Service:ANY
4. 路由
Network >Routing >Routing Entries >trust-vr New: 输入以下内容,然后单击OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (选择) Interface: ethernet3
Gateway IP Address: 2.2.2.250
Network > Routing >Routing Entries >trust-vr New: 输入以下内容,然后单击OK:
Network Address/Netmask: 10.1.1.0/24 Gateway: (选择) Interface: Tunnel.1
Gateway IP Address: 0.0.0.0
5. 策略
Policies >(From: Trust, To: Untrust) New: 输入以下内容,然后单击OK:
Name: To Tokyo Source Address:
Address Book Entry: (选择), Trust_LAN Destination Address:
Address Book Entry: (选择), Tokyo_Office Service: ANY Action: Permit Position at Top: (选择)
第 40 页 共 71 页
Policies >(From: Untrust, To: Trust) New: 输入以下内容,然后单击OK:
Name: From Tokyo Source Address:
Address Book Entry: (选择), Tokyo_Office Destination Address:
Address Book Entry: (选择), Trust_LAN Service: ANY Action: Permit Position at Top: (选择)
CLI (东京) 1. 接口
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat
set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1
ip unnumbered interface ethernet3 2. 地址
set address trust Trust_LAN 10.1.1.0/24 set address untrust Paris_Office 10.2.2.0/24 3. VPN 预共享密钥
set ike gateway To_Paris address 2.2.2.2 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn Tokyo_Paris gateway To_Paris sec-level compatible set vpn Tokyo_Paris bind interface tunnel.1
第 41 页 共 71 页
set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any (或) 证书
set ike gateway To_Paris address 2.2.2.2 main outgoing-interface ethernet3 proposal rsa-g2-3des-sha
set ike gateway To_Paris cert peer-ca 13
set ike gateway To_Paris cert peer-cert-type x509-sig set vpn Tokyo_Paris gateway To_Paris sec-level compatible set vpn Tokyo_Paris bind interface tunnel.1
set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any 4. 路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1 5. 策略
set policy top name “To Paris” from trust to untrust Trust_LAN Paris_Office any permit
set policy top name “From Paris” from untrust to trust Paris_Office Trust_LAN any permit save CLI (巴黎) 1. 接口
set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat
set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust
第 42 页 共 71 页
set interface tunnel.1
ip unnumbered interface ethernet3 2. 地址
set address trust Trust_LAN 10.2.2.0/24 set address untrust Tokyo_Office 10.1.1.0/24 3. VPN 预共享密钥
set ike gateway To_Tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn Paris_Tokyo gateway To_Tokyo sec-level compatible set vpn Paris_Tokyo bind interface tunnel.1
set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any (或) 证书
set ike gateway To_Tokyo address 1.1.1.1 main outgoing-interface ethernet3 proposal rsa-g2-3des-sha
set ike gateway To_Tokyo cert peer-ca 1
set ike gateway To_Tokyo cert peer-cert-type x509-sig set vpn Paris_Tokyo gateway To_Tokyo sec-level compatible set vpn Paris_Tokyo bind interface tunnel.1
set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any 4. 路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1 5. 策略
set policy top name “To Tokyo” from trust to untrust Trust_LAN Tokyo_Office any permit
set policy top name “From Tokyo” from untrust to trust Tokyo_Office Trust_LAN
第 43 页 共 71 页
any permit save
2.10 典型配置(10)――高可靠性 2.10.1
NSRP 概述
“NetScr een 冗余协议(NSRP)”是一种在选定的NetScreen 设备上支持的、可提供高可用性(HA) 服务的专有协议。
要正常起到网络防火墙的作用,必须将NetScreen 设备放置在所有区段间信息流都必须通过的单一点上。
由于NetScreen 设备是所有区段间信息流都必须通过的单一点,因此,保持信息流不中断流动至关重要,即使在设备或网络发生故障时也应如此。
要确保信息流的连续流动,可以通过冗余集群方式用电缆连接并配置两台NetScreen 设备,其中一台作为主设备,另一台作为它的备份。主设备将所有的网络和配置设置以及当前会话的信息传播到备份设备。主设备出现故障时,备份设备会晋升为主设备并接管信息流处理。
第 44 页 共 71 页
在这种情况下,两种设备处于主动/ 被动配置;即主设备为主动,处理所有防火墙和VPN 活动,备份设备为被动1,等待主设备让位时接管。
2.10.2 主动/被动配置的NSRP
在本例中,用电缆将NetScreen-A 上的ethernet7 连接到NetScreen-B 上的ethernet7。同样地,用电缆连接ethernet8 接口。然后将ethernet7 和ethernet8 绑定到HA 区段6。为两台设备上的Trust 区段设置管理IP 地址(NetScreen-A 为10.1.1.20,NetScreen-B 为10.1.1.21)。然后将每台设备指派给NSRP 集群ID 1。设备成为NSRP集群的成员时,它们的物理接口的IP 地址自动变成用于VSD 组ID 0 的“虚拟安全接口(VSI)”的IP 地址。每个VSD 成员的缺省优先级为100,具有较高设备ID 的设备变成VSD 组的主设备。
配置设备以监控端口ethernet1 和ethernet3,以便在任何一个端口失去网络连接时触发设备故障切换。也启用RTO的自动同步。
WebUI ( NetScreen-A) 1. 接口
Network > Interfaces > Edit (对于ethernet7 ): 输入以下内容,然后单击OK:
第 45 页 共 71 页
Zone Name: HA
Network > Interfaces > Edit (对于ethernet8 ): 输入以下内容,然后单击OK:
Zone Name: HA
Network > Interfaces > Edit (对于ethernet1 ): 输入以下内容,然后单击OK:
Zone Name: Untrust
Static IP: ( 出现时选择此选项) IP Address/Netmask: 210.1.1.1/24
Network > Interfaces > Edit (对于ethernet3 ): 输入以下内容,然后单击Apply:
Zone Name: Trust
Static IP: ( 出现时选择此选项) IP Address/Netmask: 10.1.1.1/24 Manage IP: 10.1.1.20 输入以下内容,然后单击OK: Interface Mode: NAT
2. NSRP
Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 选择ethernet1 和ethernet3,然后单击Apply。
Network > NSRP > Synchronization: 选择NSRP RTO Synchronization,然后单击Apply7。
Network > NSRP > Cluster: 在Cluster ID 字段中,键入1,然后单击Apply。 WebUI ( NetScreen-B) 3. 接口
Network > Interfaces > Edit (对于ethernet7 ): 输入以下内容,然后单击OK:
Zone Name: HA
Network > Interfaces > Edit (对于ethernet8 ): 输入以下内容,然后单击OK:
Zone Name: HA
Network > Interfaces > Edit (对于ethernet1 ): 输入以下内容,然后单击OK:
Zone Name: Untrust
Static IP: ( 出现时选择此选项)
第 46 页 共 71 页
IP Address/Netmask: 210.1.1.1/24
Network > Interfaces > Edit (对于ethernet3 ): 输入以下内容,然后单击Apply:
Zone Name: Trust
Static IP: ( 出现时选择此选项) IP Address/Netmask: 10.1.1.1/24 Manage IP: 10.1.1.21 输入以下内容,然后单击OK: Interface Mode: NAT
4. NSRP
Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 选择ethernet1 和ethernet3,然后单击Apply。
Network > NSRP > Synchronization: 选择NSRP RTO Synchronization,然后单击Apply。
Network > NSRP > Cluster: 在Cluster ID 字段中,键入1,然后单击Apply。 CLI ( NetScreen-A) 1. 接口
set interface ethernet7 zone ha set interface ethernet8 zone ha set interface ethernet1 zone untrust set interface ethernet1 ip 210.1.1.1/24 set interface ethernet3 zone trust set interface ethernet3 ip 10.1.1.1/24 set interface ethernet3 manage-ip 10.1.1.20 set interface ethernet3 nat 2. NSRP
set nsrp rto-mirror sync
set nsrp monitor interface ethernet1 set nsrp monitor interface ethernet3 set nsrp cluster id 1
第 47 页 共 71 页
save
CLI ( NetScreen-B) 3. 接口
set interface ethernet7 zone ha set interface ethernet8 zone ha set interface ethernet1 zone untrust set interface ethernet1 ip 210.1.1.1/24 set interface ethernet3 zone trust set interface ethernet3 ip 10.1.1.1/24 set interface ethernet3 manage-ip 10.1.1.21 set interface ethernet3 nat 4. NSRP
set nsrp rto-mirror sync
set nsrp monitor interface ethernet1 set nsrp monitor interface ethernet3 set nsrp cluster id 1
2.10.3 双主动配置的NSRP
在本例中,用ID 1 创建NSRP 集群并将两个NetScreen 设备( 设备A 和设备B ) 命名为“cluster1”,它们没有配置任何用户定义的其它设置。
第 48 页 共 71 页
当创建了NSRP 集群后,NetScreen 设备自动创建VSD 组0 19 。您可以定义VSD 组1。指定在VSD 组0 中设备A的优先级为1,在VSD 组1 中优先级为100 (缺省值)。指定在VSD 组1 中设备A 的优先级为1,在VSD 组0 中保留其优先级为缺省值(100)。
设置接口监控选项来监控两个冗余接口(redundant1 和redundant2),以保证第2 层网络的连通性。如果任何受监控接口的主接口出现故障,该设备会立即切换到次接口。如果两个包含受监控冗余接口成员的物理接口出现故障,则该设备会切换到其它设备。
可以将ethernet2/1 接口定义为VSD 心跳信号消息的次链接,以及定义某设备发生5 次故障切换后无偿的ARP 数。
因为HA 电缆直接在两个NetScreen 设备之间运行,所以NSRP 集群成员之间的通信不需要认证和加密。也可以为每个Untrust 区段VSI 设置一个到缺省网关(210.1.1.250) 的路由,以及为每个Trust 区段VSI 设置一个到外部网络的路由。所有安全区都在trust-vr 路由域中。
最后,在使两台设备配置变为同步之后,启用RTO 同步。 WebUI ( 设备A ) 1. 集群和VSD 组
Network > NSRP > Cluster: 在Cluster ID 字段键入1,然后单击Apply。
Network > NSRP > VSD Group > Edit (对于组ID 0 ): 输入以下内容,然后单击OK:
Priority: 1
Enable Preempt: (选择)
Preempt Hold-Down Time (sec): 1020
Network > NSRP > VSD Group > New: 输入以下内容,然后单击OK:
Group ID: 1 Priority: 100
Enable Preempt: ( 清除) Preempt Hold-Down Time (s): 0
WebUI ( 设备B ) 2. 集群和VSD 组
Network > NSRP > Cluster: 输入以下内容,然后单击Apply21 :
Cluster ID: 1
第 49 页 共 71 页
Number of Gratuitous ARPs to Resend: 522
Network > NSRP > Link: 从Secondary Link 下拉列表中选择ethernet2/1,然后单击Apply23。
Network > NSRP > Synchronization: 选择NSRP RTO Synchronization,然后单击Apply。
Network > NSRP > VSD Group > New: 输入以下内容,然后单击OK:
Group ID: 1 Priority: 1
Enable Preempt: ( 选择)
Preempt Hold-Down Time (sec): 10
3. 冗余接口和管理IP
Network > Interfaces > New Redundant IF: 输入以下内容,然后单击OK:
Interface Name: redundant1 Zone Name: Untrust
IP Address/Netmask: 210.1.1.1/24
Network > Interfaces > Edit (对于ethernet1/1 ): 在“As member of”下拉列表中选择redundant1,然后单击OK。
Network > Interfaces > Edit (对于ethernet1/2 ): 在“As member of”下拉列表中选择redundant1,然后单击OK。
Network > Interfaces > New Redundant IF: 输入以下内容,然后单击Apply:
Interface Name: redundant2 Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24
在Manage IP 字段中输入10.1.1.22,然后单击OK。
Network > Interfaces > Edit (对于ethernet2/1 ): 在“As member of”下拉列表中选择redundant2,然后单击OK。
Network > Interfaces > Edit (对于ethernet2/2 ): 在“As member of”下拉列表中选择redundant2,然后单击OK。
Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 选择
第 50 页 共 71 页
redundant1 和redundant2,然后单击Apply。
4. 虚拟安全接口
Network > Interfaces > New VSI IF: 输入以下内容,然后单击OK:
Interface Name: VSI Base: redundant1 VSD Group: 1
IP Address/Netmask: 210.1.1.2/24
Network > Interfaces > New VSI IF: 输入以下内容,然后单击OK:
Interface Name: VSI Base: redundant2 VSD Group: 1
IP Address/Netmask: 10.1.1.2/24
5. 路由
Network > Routing > Routing Entries > trust-vr New: 输入以下内容,然后单击OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (选择) Interface: redundant1
Gateway IP Address: 210.1.1.250
Network > Routing > Routing Entries > trust-vr New: 输入以下内容,然后单击OK: Network Address: 0.0.0.0/0
Gateway: (选择) Interface: redundant1:1
Gateway IP Address: 210.1.1.250
WebUI ( 设备A ) 6. 管理IP 地址
Network > Interfaces > Edit (对于redundant2 ): 在Manage IP 字段中输入10.1.1.21,然后单击OK。
7. RTO 同步
Network > NSRP > Synchronization: 选择NSRP RTO Mirror Synchronization,然后单击Apply。
CLI ( 设备A )
第 51 页 共 71 页
1. 集群和VSD 组 set nsrp cluster id 1
set nsrp vsd-group id 0 preempt hold-down 10 set nsrp vsd-group id 0 preempt set nsrp vsd-group id 0 priority 1 set nsrp vsd-group id 1 set nsrp rto-mirror sync save
CLI ( 设备B ) 2. 集群和VSD 组 set nsrp cluster id 1
set nsrp cluster name cluster1 set nsrp rto-mirror sync set nsrp vsd-group id 1 priority 1
set nsrp vsd-group id 1 preempt hold-down 10 set nsrp vsd-group id 1 preempt set nsrp secondary-path ethernet2/1 set nsrp arp 5 set arp always-on-dest 3. 冗余接口和管理IP
set interface redundant1 zone untrust set interface redundant1 ip 210.1.1.1/24 set interface ethernet1/1 group redundant1 set interface ethernet1/2 group redundant1 set interface redundant2 zone trust set interface redundant2 ip 10.1.1.1/24 set interface redundant2 manage-ip 10.1.1.22 set interface ethernet2/1 group redundant2 set interface ethernet2/2 group redundant2
第 52 页 共 71 页
set nsrp monitor interface redundant1 set nsrp monitor interface redundant2 4. 虚拟安全接口
set interface redundant1:1 ip 210.1.1.2/24 set interface redundant2:1 ip 10.1.1.2/24 5. 路由
set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 210.1.1.250 set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 210.1.1.250 save
CLI ( 设备A ) 6. 管理IP 地址
set interface redundant2 manage-ip 10.1.1.21 7. RTO 同步
set nsrp rto-mirror sync save
第 53 页 共 71 页
3 Netscreen防火墙自身加固
3.1 网管及认证问题
3.1.1
远程登录
一般而言,维护人员都习惯使用CLI来进行设备配臵和日常管理,使用Telnet工具来远程登录设备,并且大部分设备都提供标准的Telnet接口,开放TCP 23端口。虽然Telnet在连接建立初期需要进行帐号和密码的核查,但是在此过程,以及后续会话中,都是明文方式传送所有数据,容易造窃听而泄密。同时Telnet并不是一个安全的协议。
要求采用SSH协议来取代Telnet进行设备的远程登录,SSH与Telnet一样,提供远程连接登录的手段。但是SSH传送的数据(包括帐号和密码)都会被加密,且密钥会自动更新,极大提高了连接的安全性。SSH可以非常有效地防止窃听、防止使用地址欺骗手段实施的连接尝试。
规范的配臵文档提供远程登陆SSH开启的方式,和SSH相关属性的设臵,如:超时间隔、尝试登录次数、控制连接的并发数目、如何采用访问列表严格控制访问的地址。
3.1.1.1 启用SSH
【注意事项】:配臵SCS后,工作站需采用支持SSH2的客户端软件,对防火墙进行管理。
【具体配臵】:
1、进入Netscreen防火墙的操作系统WebUI界面 2、选择菜单Configuration > Admin > Management 3、选择Enable SCS并应用
4、选择Network > Interfaces,针对每个interface进行配臵 5、在Network > Interfaces (Edit) > Properties: Basic > Service Options > Management Services
第 54 页 共 71 页
6、选择SCS,禁用telnet
3.1.1.2 限制登录尝试次数
为了防止穷举式密码试探,要求设臵登录尝试次数限制,建议为3次。当系统收到一个连接请求,若提供的帐号或密码连续不能通过验证的的次数超过设定值,就自动中断该连接。
【具体配臵】:
1、进入Netscreen防火墙的操作系统CLI命令行界面 2、输入命令:set admin access attempts 3.1.1.3 限制ROOT登录 由于ROOT管理员具有最高权限,为了避免ROOT管理员密码被窃取后造成威胁,可以限制ROOT用户只能通过CONSOLE接口访问设备,而不能远程登录。 【具体配臵】: 1、进入Netscreen防火墙的操作系统CLI命令行界面 2、输入命令:set admin root access console 3.1.1.4 访问限制 (1) 启用只接受管理流量的逻辑管理IP地址 任何绑定到安全区段的接口都至少可以具有两个IP 地址:一个连接到网络的接口IP 地址;一个用于接收管理流量的逻辑管理IP 地址。从网络用户流量分离管理流量大大增加了管理安全性,并确保了稳定的管理带宽。 【具体配臵】: 1、进入Netscreen防火墙的操作系统WebUI界面 2、选择菜单Network > Interfaces > Edit(选择需要定义管理IP的接口) Zone Name: Trust(假设定义在Trust区段) IP Address/Netmask: 210.1.1.1/24(接口地址) Manage IP: 210.1.1.2(管理地址) Management Services: WebUI, Telnet, SNMP:(选择需要的服务) (2) 限制可登录的访问地址 第 55 页 共 71 页 缺省情况下,可信接口上的任何主机都可管理NetScreen 设备。要限制对特定工作站的管理能力,必须配臵管理客户端IP 地址。 【注意事项】:管理客户端IP 地址的指派立即生效。如果通过网络连接对设备进行管理,而工作站不包括在指派中,则NetScreen 设备立即终止当前会话,并且不再能从该工作站管理设备。 【具体配臵】: 1、进入Netscreen防火墙的操作系统WebUI界面 2、选择菜单Configuration > Admin > Permitted Ips 3、设臵管理工作站的单一地址或一段地址 3.1.2 帐号和密码管理 建议应在日常维护过程中周期性地(至少按季度)更改登录密码,甚至登录帐号。当外方人员需要登录设备时,应创建临时帐号,并指定合适的权限。临时帐号使用完后应及时删除。登录帐号及密码的保管和更新应由专人负责,并注意保密。帐号名字应该与使用者存在对应关系,如能反应使用者的级别、从属关系。为了提高安全性,在方便记忆的前提下,帐号名字应尽量混用字符的大小写、数字和符号,提高猜度的难度。同样的,密码必须至少使用四种可用字符类型中的三种:小写字母、大写字母、数字和符号,而且密码不得包含用户名或用户全名的一部分。一般情况下密码至少包含 8 个字符。我们建议用密码生成器软件(如 http://bslion.163yy.com/download/skpp26.zip )来制造随机密码。 3.1.2.1 更改系统初始帐号和密码 NetScreen防火墙出厂时缺省配臵了初始登陆名netscreen和初始密码netscreen,在完成初始配臵后应尽快将初始帐户修改。 【注意事项】:登录名和密码都区分大小写,每个都必须为一个单词、字母或数字,但是不能有符号。 【具体配臵】: 1、进入Netscreen防火墙的操作系统WebUI界面 2、选择菜单Configuration > Admin > Administrators > Edit 第 56 页 共 71 页 3、将系统缺省的初始登陆名netscreen和初始密码netscreen更改为新的登陆名和密码,然后单击OK 3.1.2.2 限制密码最短长度 要求密码最短长度为8位。 【具体配臵】: 1、进入Netscreen防火墙的操作系统CLI命令行界面 2、输入命令:set admin password restrict length 8 3.1.3 帐号认证和授权 帐号的认证和授权分为设备本身的认证和授权和AAA服务器的认证和授权两个部分。NetScreen防火墙除了支持本地数据库的认证和授权,还支持外部RADIUS、SecureID和LDAP服务器的认证和授权。以下以RADIUS为例介绍AAA服务器认证的配臵方法。 3.1.3.1 本机认证和授权 在NetScreen 设备上定义用户时, NetScreen 设备将用户名和密码输入到其本地数据库中。NetScreen设备的管理员分为三种级别: 根管理员具有完全的管理权限,每个NetScreen 设备只有一个根管理 员; 可读/写管理员具有与根管理员相同的权限,但是他不能创建、修改或删 除其他的admin 用户; 只读管理员只具有使用WebUI 进行查看的权限,他只能发出get 和ping CLI 命令。 3.1.3.2 RADIUS认证和授权 远程认证拨号的用户服务(RADIUS)是一个用于认证服务器的协议,它最多可支持几万个用户。RADIUS客户端(即NetScreen设备)通过客户端与服务器之间的一系列通信对用户进行认证。通常,RADIUS会要求登录人员输入其用户名和密码。然后,它将这些值与其数据库中的对应值比较,用户通过认证后,客户 第 57 页 共 71 页 端即允许其访问相应的网络服务。要针对RADIUS配臵NetScreen设备,必须指定RADIUS服务器的IP地址,并定义与RADIUS服务器上的定义相同的shared secret。shared secret是一个密码,RADIUS 服务器用它来生成密钥,以便对NetScreen和RADIUS设备之间的信息流进行加密。此外,还要将NetScreen 词典文件加载到RADIUS 服务器上,使其能支持下列供应商专用属性(VSA) 的查询:用户组、管理权限、远程L2TP和XAuth设臵。可从www.netscreen.com/support/ 下载词典文件。 在下例中将其用户帐户类型指定为admin,将RADIUS服务器命名为“radius1”,并接受NetScreen设备自动指派的ID 号。输入其IP 地址10.20.1.100;将其端口号由缺省值(1645) 更改为4500。将其共享机密定义为“A56htYY97kl”。将超时值由缺省值(10 分钟)更改为30 分钟。同时将两个备份服务器的IP 地址分别指定为10.20.1.110 和10.20.1.120。 【具体配臵】: 1、进入Netscreen防火墙的操作系统WebUI界面 2、选择菜单Configuration > Auth > Auth Servers > New:输入以下内容,然后单击OK。 Name: radius1 IP/Domain Name: 10.20.1.100 Backup1: 10.20.1.110 Backup2: 10.20.1.120 Timeout: 30 Account Type: Admin RADIUS:(选择) RADIUS Port: 4500 Shared Secret: A56htYY97kl 3.1.4 SNMP协议 SNMP协议是目前数据网管理中普遍使用的协议,但SNMP协议本身也存在安全问题。需要合理配臵SNMP协议的相关属性,才能让SNMP协议更好的为日常维 第 58 页 共 71 页 护管理服务。如不需要,不建议对NetScreen防火墙使用SNMP。 NetScreen防火墙支持SNMPv1、MIB-II,还有其私有MIB库,可将其加载到网络管理系统中。要获得最新的MIB文件,请从www.netscreen.com/support下载。 建议采取以下方法进行保护: 限制发起SNMP连接的源地址; 设臵并定期更改SNMP Community(至少半年一次); 除特殊情况,否则不设臵SNMP RW Community; 【注意事项】:SNMP服务器应配臵与防火墙SNMP相同的Community Name通信子串。 【具体配臵】: a. 如果业务不需使用SNMP服务,可停止SNMP服务 进入Netscreen防火墙的操作系统WebUI界面 选择菜单Network > Interfaces (Edit) > Service Options 不选择SNMP b. 如果业务需要使用SNMP服务,可通过对其认证字符串、读写权限和地址进行限制。 选择菜单Configuration > Report Settings > SNMP 设臵Configuration > Report Settings > SNMP 单击New Community Community Name设臵口令 Permissions设臵读写权限 Hosts IP Address/Netmask地址限定 3.1.5 HTTP的配置要求 NetScreen设备使用Web技术提供了配臵和管理软件的Web界面,可使用标准的Web 浏览器,通过“超文本传输协议” (HTTP) 远程访问、监控和控制网络安全配臵。为了保障HTTP的安全,可通过在虚拟专用网(VPN)通道中封装HTTP 第 59 页 共 71 页 流量或通过“安全套接字层”(SSL)协议保障安全,还可以通过将管理流量与网络用户流量完全分离来保障它的安全。一些型号的NetScreen 设备支持通过MGT接口或将一个接口(例如DMZ)完全专用于管理流量来运行所有的管理流量。 3.1.5.1 更改HTTP监听端口号 NetScreen使用HTTP时缺省使用的80监听端口容易被黑客扫描到,因此可以通过更改HTTP监听端口号提高系统安全性。 【注意事项】:更改端口号后,在下次尝试通过HTTP访问NetScreen 设备时,必须在Web 浏览器的URL 字段中键入新的端口号(如http://188.30.12.2:50000) 【具体配臵】: 1、进入Netscreen防火墙的操作系统WebUI界面 2、选择菜单Configuration > Admin > Managemen 3、在“HTTP 端口”字段中,键入新端口号(如50000),然后单击Apply 3.1.5.2 使用SSL保障HTTP访问的安全性 【注意事项】:有关请求并加载证书的详细信息,请参考NetScreen相关文档。 【具体配臵】: 1、进入Netscreen防火墙的操作系统WebUI界面 2、获得SSL证书并在NetScreen 设备上加载 3、启用SSL 管理:选择菜单Configuration > Admin > Management:输入以下内容,然后单击Apply:Certificate:选择您要从下拉列表中使用的证书。 Ciphe:选择您要从下拉列表中使用的密码。 4、配臵接口,通过该接口您可管理NetScreen 设备,以允许进行SSL 管理:选择菜单Network > Interfaces > Edit(对于要管理的接口):启用SSL并禁用HTTP 管理服务复选框,然后单击OK。 5、使用浏览器通过https连接到NetScreen 设备的SSL 端口进行管理。 第 60 页 共 71 页 3.2 安全审计 防火墙的日志数据能够帮助系统管理员进行历史信息流跟踪、事件关联分析和网络故障诊断,因此利用NetScreen防火墙提供的各种功能加强对日志的管理,将有助于及时发现和判断安全问题。所有NetScreen 设备都允许在内部(闪存区域)和外部存储事件和信息流日志数据。尽管在内部存储日志信息很方便,但内存的数量是有限的。当内部存储空间被完全占用时,NetScreen 设备会用最新的日志条目覆盖最旧的日志条目,造成数据丢失。要减少这种数据损失,可将事件和信息流日志存储在外部的系统日志或WebTrends 服务器中,或NetScreen-Global PRO 数据库中。NetScreen防火墙提供以下几种日志存储及呈现方式: Console(控制台) Internal(内部数据库) Email(电子邮件) SNMP Syslog (系统日志) WebTrends NetScreen-Global PRO CompactFlash (PCMCIA) NetScreen防火墙的日志信息分为以下四种类型: 事件日志:用于监控系统事件和网络流量。分为Emergency(紧急)、 Emergency(紧急)、Alert(警示)、Critical(关键)、Error(错误)、Warning(警告)、Notification(通知)、Information(信息)、Debugging(调试)8种级别。 信息流日志:用于监控并记录策略允许通过防火墙的信息流。 SELF日志:用于监控并记录所有丢弃的封包(如被某个策略拒绝的封包) 以及在NetScreen设备上自行终止的信息流(如管理信息流)。 建议通过以下几项措施加强对NetScreen防火墙的日志管理: 第 61 页 共 71 页 3.2.1 针对重要策略开启信息流日志 【具体配臵】: 1、进入Netscreen防火墙的操作系统WebUI界面 2、选择菜单Policies > Edit(选择需要开启信息流日志的策略) 3、单击Advanced: 选择Logging,单击Return,然后单击OK 3.2.2 根据需要开启SELF日志功能 【注意事项】:在网络应用多样,网络流量大、策略复杂的环境中建议不配臵该项,例如防火墙部署于骨干路由器后的情况,以避免造成海量日志无法审计。 【具体配臵】: 1、进入Netscreen防火墙的操作系统WebUI界面 2、选择菜单Configuration > Admin > Management 3、选择Log Packets Terminated to Self,然后单击Apply 3.2.3 将日志转发至SYSLOG服务器 【注意事项】:设臵Include Traffic Log 有效时,将会把策略中记录的流量日志,同时发送到Syslog服务器,可按具体情况配臵。 【具体配臵】: 1、进入Netscreen防火墙的操作系统WebUI界面 2、选择菜单Configuration > Report Settings > Syslog,输入以下信息,然后单击Apply Enable syslog messages:(选择) Include Traffic Log: (选择) Syslog Host Name/Port: <输入服务器地址和端口> Security Facility: Local0 Facility: Local0 第 62 页 共 71 页 3.3 设备IOS升级方法 设备软件版本升级和补丁安装是实施设备安全加固一个不可缺少的环节。为了确保IOS升级的顺利进行,建议考虑从以下几个细节进行考虑。 3.3.1 前期准备 3.3.1.1 软件的获取 NetScreen公司会在其官方网站(http://www.netscreen.com)上提供最新的软件版本和对应的升级包,但必须有对应的登陆帐户。新购买的NetScreen防火墙可以通过网上注册得到3个月免费的登录帐户,更长时间的帐户需要向NetScreen购买服务。建议在升级前必须确认软件是否通过集团公司的入网许可,并且与设备支撑单位确认你所要升级设备的硬件满足升级操作系统软件的要求,最好直接向设备供应商获取。 3.3.1.2 制定升级计划 与设备支撑单位一起制定详细的升级计划,充分考虑实施升级和补丁装载时系统重启对业务的影响,充分考虑网络结构的双机或双链路结构对业务的保护,最大限度减少业务中断时间。 3.3.1.3 数据备份 为确保升级过程的可恢复性,对操作系统软件和配臵数据有必要进行完全备份。要求在备份前确认备份介质的可用性和可靠性,并在备份完升级前进行验证。 【具体配臵】: 备份操作系统软件 1、进入Netscreen防火墙的操作系统CLI命令行界面 2、输入命令:save software from flash to tftp [ip_addr] [filename] [ from interface ] 备份配臵数据文件 1、进入Netscreen防火墙的操作系统WebUI界面 第 63 页 共 71 页 2、选择菜单Configuration > Update > Config File,单击Save to File。会出现一条系统消息,提示您打开该文件或将其保存到计算机上。 3、单击Save。 4、 找到要保存配臵文件的位臵,然后单击Save。 3.3.1.4 其他准备工作 在对NetScreen防火墙的操作系统(ScreenOS)进行升级时,其管理接口上的WebUI或CLI用户界面会暂时中断。因此,为了记录系统升级过程中可能出现的意外情况并能及时处理,建议通过随机配备的CONSOLE线缆将笔记本电脑的串口连接到防火墙的CONSOLE口上,并打开超级终端软件连接防火墙。 3.3.2 升级操作 3.3.2.1 记录升级前系统状态 为了确保对升级过程中问题的解决提供相依据,建议在升级前记录系统的状态。包括:设备各模块硬件、工作状态、模块端口及工作状态、路由协议、路由表等。并将信息存储在外部介质上,确保升级完毕后进行核对。 3.3.2.2 升级操作系统软件 【注意事项】:操作系统版本升级过程中可能出现防火墙工作异常,HA模式工作的多个防火墙必须同时升级并保证最终版本一致。建议由Netscreen设备支持厂商提供升级服务。 【具体配臵】: 1、使用Web浏览器进入Netscreen防火墙的操作系统WebUI界面; 2、选择菜单Configuration > Update > ScreenOS/Keys 3、选择Firmware Update,在Load File处添加软件升级软件 4、系统自动重启,在CONSOLE终端上可以观察到升级过程。 第 64 页 共 71 页 3.3.2.3 检查升级后系统的状态 和3.3.2.1步骤备份的系统状态信息进行核对。 3.4 特定的安全配置 NetScreen防火墙软件针对多种常见的网络攻击预先定义了防御机制选项,应根据防火墙保护的网络应用具体情况启用合适的防攻击选项,并配臵适当的参数。 3.4.1 NetScreen防火墙的防攻击选项 当前版本的ScreenOS包括了以下防攻击选项: 一)以下选项可用于具有物理接口的区段,但不适用于子接口: 1. SYN Attack(SYN 攻击):当网络中充满了会发出无法完成的连接请求 的SYN 封包,以至于网络无法再处 2. 理合法的连接请求,从而导致拒绝服务(DoS) 时,就发生了SYN 泛滥攻 击。 3. ICMP Flood(ICMP 泛滥):当ICMP ping 产生的大量回应请求超出了 系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时,就发生了ICMP 泛滥。当启用了ICMP 泛滥保护功能时,可以设臵一个临界值,一旦超过此值就会调用ICMP 泛滥攻击保护功能。(缺省的临界值为每秒1000 个封包。)如果超过了该临界值,NetScreen 设备在该秒余下的时间和下一秒内会忽略其它的ICMP 回应要求。 4. UDP Flood(UDP 泛滥):与ICMP 泛滥相似,当以减慢系统速度为目的 向该点发送UDP 封包,以至于系统再也无法处理有效的连接时,就发生了UDP 泛滥。当启用了UDP 泛滥保护功能时,可以设臵一个临界值,一旦超过此临界值就会调用UDP 泛滥攻击保护功能。(缺省的临界值为每秒1000 个封包。)如果从一个或多个源向单个目表发送的UDP 封包数超过了此临界值,NetScreen 设备在该秒余下的时间和下一秒内会忽略 第 65 页 共 71 页 其它到该目标的UDP 封包。 5. Port Scan Attack(端口扫描攻击):当一个源IP 地址在定义的时间 间隔内(缺省值为5,000 微秒)向位于相同目标IP 地址10 个不同的端口发送IP 封包时,就会发生端口扫描攻击。这个方案的目的是扫描可用的服务,希望会有一个端口响应,因此识别出作为目标的服务。NetScreen 设备在内部记录从某一远程源地点扫描的不同端口的数目。使用缺省设臵,如果远程主机在0.005 秒内扫描了10 个端口(5,000 微秒),NetScreen 会将这一情况标记为端口扫描攻击,并在该秒余下的时间内拒绝来自该源地点的其它封包(不论目标IP 地址为何)。 二)以下选项可用于具有物理接口和子接口的区段: 1. Limit session(限制会话):NetScreen 设备可限制由单个IP 地址建 立的会话数量。例如,如果从同一客户端发送过多的请求,就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟NetScreen 设备可以为单个IP 地址建立的最大会话数量。(缺省临界值为每个IP 地址每秒128 个会话。) 2. SYN-ACK-ACK Proxy 保护:当认证用户初始化Telnet 或FTP 连接时, 用户会SYN 封包到Telnet 或FTP服务器。NetScreen 设备会截取封包,通过Proxy 将SYN-ACK 封包发送给用户。用户用ACK 封包响应。此时,初始的三方握手就已完成。NetScreen 设备在其会话表中建立项目,并向用户发送登录提示。如果用户怀有恶意而不登录,但继续启动SYN-ACK-ACK 会话,NetScreen 会话表就可能填满到某个程度,让设备开始拒绝合法的连接要求。要阻挡这类攻击,您可以启用SYN-ACK-ACK Proxy 保护SCREEN 选项。从相同IP 地址的连接数目到达syn-ack-ack-proxy 临界值后,NetScreen 设备就会拒绝来自该IP 地址的进一步连接要求。缺省情况下,来自单一IP 地址的临界值是512 次连接。您可以更改这个临界值(为1 到2,500,000 之间的任何数目)以更好地适合网络环境的需求。 3. SYN Fragment(SYN 碎片):SYN 碎片攻击使目标主机充塞过量的SYN 封 包碎片。主机接到这些碎片后,会等待其余的封包到达以便将其重新组 第 66 页 共 71 页 合在起来。通过向服务器或主机堆积无法完成的连接,主机的内存缓冲区最终将会塞满。进一步的连接无法进行,并且可能会破坏主机操作系统。当协议字段指示是ICMP封包,并且片断标志被设臵为1 或指出了偏移值时,NetScreen 设备会丢弃ICMP 封包。 4. SYN and FIN Bits Set(SYN 和FIN 位的封包):通常不会在同一封包 中同时设臵SYN 和FIN 标志。但是,攻击者可以通过发送同时臵位两个标志的封包来查看将返回何种系统应答,从而确定出接收端上的系统的种类。接着,攻击者可以利用已知的系统漏洞来实施进一步的攻击。启用此选项可使NetScreen 设备丢弃在标志字段中同时设臵SYN 和FIN 位的封包。 5. TCP Packet Without Flag(无标记的TCP 封包):通常,在发送的TCP 封包的标志字段中至少会有一位被臵位。此选项将使NetScreen 设备丢弃字段标志缺少或不全的TCP 封包。 6. FIN Bit With No ACK Bit(有FIN 位无ACK 位):设臵了FIN 标志的 TCP 封包通常也会设臵ACK 位。此选项将使NetScreen 设备丢弃在标志字段中设臵了FIN 标志,但没有设臵ACK 位的封包。 7. ICMP Fragment(ICMP 碎片):检测任何设臵了“更多片断”标志,或 在偏移字段中指出了偏移值的ICMP 帧。 8. Ping of Death:TCP/IP 规范要求用于数据包报传输的封包必须具有特 定的大小。许多ping 实现允许用户根据需要指定更大的封包大小。过大的ICMP 封包会引发一系列负面的系统反应,如拒绝服务(DoS)、系统崩溃、死机以及重新启动。如果允许NetScreen 设备执行此操作,它可以检测并拒绝此类过大且不规则的封包。 9. Address Sweep Attack(地址扫描攻击):与端口扫描攻击类似,当一 个源IP 地址在定义的时间间隔(缺省值为5,000 微秒)内向不同的主机发送ICMP 响应要求(或ping)时,就会发生地址扫描攻击。这个配臵的目的是Ping 数个主机,希望有一个会回复响应,以便找到可以作为目标的地址。NetScreen 设备在内部记录从一个远程源ping 的不同地址的数目。使用缺省设臵,如果某远程主机在0.005 秒(5,000 微秒) 第 67 页 共 71 页 内ping 了10 个地址,NetScreen 会将这一情况标记为地址扫描攻击,并在该秒余下的时间内拒绝来自于该主机的ICMP 回应要求。 10. Large ICMP Packet(大的ICMP 封包):NetScreen 设备丢弃长度大于 1024 的ICMP 封包。 11. Tear Drop Attack(撕毁攻击):撕毁攻击利用了IP 封包碎片的重新 组合。在IP 包头中,选项之一为偏移值。当一个封包碎片的偏移值与大小之和不同于下一封包碎片时,封包发生重叠,并且服务器尝试重新组合封包时会引起系统崩溃。如果NetScreen 在某封包碎片中发现了这种不一致现象,将会丢弃该碎片。 12. Filter IP Source Route Option(过滤IP 源路由选项):IP 包头信 息有一个选项,其中所含的路由信息可指定与包头源路由不同的源路由。启用此选项可封锁所有使用“源路由选项”的IP 信息流。“源路由选项”可允许攻击者以假的IP 地址进入网络,并将数据送回到其真正的地址。 13. Record Route Option(记录路由选项):NetScreen 设备封锁IP 选项 为7(记录路由)的封包。此选项用于记录封包的路由。记录的路由由一系列互联网地址组成,外来者经过分析可以了解到您的网络的编址方案及拓扑结构方面的详细信息。 14. IP Security Option(IP 安全性选项):此选项为主机提供了一种手段, 可发送与DOD 要求兼容的安全性、分隔、TCC(非公开用户组)参数以及“处理限制代码”。 15. IP Strict Source Route Option(IP 严格源路由选项):NetScreen 设 备封锁IP 选项为9(严格源路由选择)的封包。此选项为封包源提供了一种手段,可在向目标转发封包时提供网关所要使用的路由信息。此选项为严格源路由,因为网关或主机IP 必须将数据包报直接发送到源路由中的下一地址,并且只能通过下一地址中指示的直接连接的网络才能到达路由中指定的下一网关或主机。 16. Unknown Protocol(未知协议):NetScreen 设备丢弃协议字段设臵为 101 或更大值的封包。目前,这些协议类型被保留,尚未定义。 第 68 页 共 71 页 17. IP Spoofing(IP 欺骗):当攻击者试图通过假冒有效的客户端IP 地 址来绕过防火墙保护时,就发生了欺骗攻击。如果启用了IP 欺骗防御机制,NetScreen 设备会用自己的路由表对IP 地址进行分析,来抵御这种攻击。如果IP 地址不在路由表中,则不允许来自该源的信息流通过NetScreen 设备进行通信,并且会丢弃来自该源的所有封包。在CLI 中,您可以指示NetScreen 设备丢弃没有包含源路由或包含已保留源IP 地址(不可路由的,例如 18. 127.0.0.1)的封包:set zone zone screen ip-spoofing drop-no-rpf-route。 19. Bad IP Option(坏的IP 选项):当IP 数据包包头中的IP 选项列表 不完整或残缺时,会触发此选项。 20. IP Timestamp Option(IP 时戳选项):NetScreen 设备封锁IP 选项 列表中包括选项4(互联网时戳)的封包。 21. Loose Source Route Option:NetScreen 设备封锁IP 选项为3(松散 源路由)的封包。此选项为封包源提供了一种手段,可在向目标转发封包时提供网关所要使用的路由信息。此选项是松散源路由,因为允许网关或主机IP 使用任何数量的其它中间网关的任何路由来到达路由中的下一地址。 22. IP Stream Option(IP 流选项):NetScreen 设备封锁IP 选项为8(流 ID)的封包。此选项提供了一种方法,用于在不支持流概念的网络中输送16 位SATNET 流标识符。 23. WinNuke Attack(WinNuke 攻击):WinNuke 是一种常见的应用程序, 其唯一目的就是使互联网上任何运行Windows 的计算机崩溃。WinNuke 通过已建立的连接向主机发送带外(OOB) 数据— 通常发送到NetBIOS 端口139— 并引起NetBIOS 碎片重叠,以此来使多台机器崩溃。如果启用了WinNuke 攻击防御机制,NetScreen 设备会扫描所有进入的“Microsoft NetBIOS 会话服务”(端口139)封包。如果NetScreen 设备发现某个封包上设臵了TCP URG 代码位,就会检查偏移值、删除碎片重叠并根据需要纠正偏移值以防止发生OOB 错误。然后让经过修正的封 第 69 页 共 71 页 包通过,并在“事件警报”日志中创建一个WinNuke 攻击日志条目。 24. Land Attack:“陆地”攻击将SYN 攻击和IP 欺骗结合在了一起,当攻 击者发送含有受害方IP 地址的欺骗性SYN 封包,将其作为目的和源IP 地址时,就发生了陆地攻击。接收系统通过向自己发送SYN-ACK 封包来进行响应,同时创建一个空的连接,该连接将会一直保持到达到空闲超时值为止。向系统堆积过多的这种空连接会耗尽系统资源,导致DoS。通过将SYN 泛滥防御机制和IP 欺骗保护措施结合在一起,NetScreen设备将会封锁任何此类性质的企图。 25. Malicious URL Protection:当启用“恶意URL 检测”时,NetScreen 设 备会监视每个HTTP 封包并检测与若干用户定义模式中的任意一个相匹配的任何封包。设备会自动丢弃所有此类封包。 26. Block Java/ActiveX/ZIP/EXE Component:Web 网页中可能藏有恶意的 Java 或ActiveX 组件。下载完以后,这些applet 会在您的计算机上安装特洛伊木马病毒。同样,特洛伊木马病毒2也可以隐藏在压缩文件(如.zip)和可执行(.exe)文件中。在安全区中启用这些组件的阻塞时,NetScreen 设备会检查每个到达绑定到该区域的接口的HTTP 包头。会检查包头中列出的内容类型是否指示封包负荷中有任何目的组件。如果内容类型为ActiveX、Java、.exe 或.zip,而且您将NetScreen 设备配臵为阻塞这些组件,NetScreen 设备会阻塞封包。如果内容类型仅列出“八位位组流”,而不是特定的组件类型,则NetScreen设备会检查负荷中的文件类型。如果文件类型为ActiveX、Java、.exe 或.zip,而且您将NetScreen 设备配臵为阻塞这些组件,NetScreen 设备会阻塞封包。 27. Deny Fragment:封包通过不同的网络时,有时必须根据网络的最大传输 单位(MTU) 将封包分成更小的部分(片断)。攻击者可能会利用IP 栈具体实现的封包重新组合代码中的漏洞,通过IP 碎片进行攻击。当目标系统收到这些封包时,造成的结果小到无法正确处理封包,大到使整个系统崩溃。如果允许NetScreen 设备拒绝安全区段上的IP 碎片,设备将封锁在绑定到该区段的接口处接收到的所有IP 封包碎片。 第 70 页 共 71 页 3.4.2 NetScreen防火墙防攻击选项配置方法 以下以启用SYN 泛滥攻击保护为例说明NetScreen防火墙防攻击选项的配臵方法,其它选项配臵方法与此类似。 启用SYN 泛滥攻击保护 【注意事项】:具体参数设臵应参考相应资料及根据网络实际情况进行调整。 【具体配臵】: 1、进入Netscreen防火墙的操作系统WebUI界面 2、选择菜单选择菜单Network > Zones 3、选择需要启用抵御攻击选项的区段,单击Edit > SCREEN,输入以下设臵,然后单击Apply: SYN Flood Protection:选择 Threshold: 200 pps Alarm Threshold:1024 pps Source Threshold:4000 pps Destination Threshold:40000 pps Timeout Value:20 sec Queue Size:10240 第 71 页 共 71 页 因篇幅问题不能全部显示,请点此查看更多更全内容