Juniper防火墙用户手册
Juniper Networks, Inc.
Jan. 2008
保密和变更申明
这份文档包含了来自Juniper Networks的可靠、权威的信息,这些信息是作为公司的技术信息专用,文档的阅读者应对其内容保密,未经Juniper Networks, Inc. 书面请求和书面认可,不得复制、泄露或散布这份文档。对这份文档内容的任何形式的泄露、复制或散布都是被禁止的。
第1章 1.1. 1.2. 第2章 2.1. 2.2. 2.3. 2.4. 第3章 第4章 4.1. 4.2. 4.3. 第5章 5.1. 5.2. 5.3. 5.4. 5.5. 第6章 6.1. 6.2. 6.3. 6.4. 6.5. 6.6. 6.7. 6.8. 第7章 7.1. 7.2. 7.3. 7.4.
目 录
Juniper防火墙基本工作原理 .......................................................................................... 3 基于状态检测的ASIC硬件防火墙 ...................................................................................... 3 Juniper防火墙组件结构 ........................................................................................................ 4 管理 ..................................................................................................................................... 5 Web 用户界面 ........................................................................................................................ 6 命令行界面 ............................................................................................................................. 7 串行控制台 ............................................................................................................................. 9 如何实现对防火墙的远程管理 ........................................................................................... 10 路由 ................................................................................................................................... 10 访问控制策略 ................................................................................................................... 12 策略的三种类型 ................................................................................................................... 12 策略和规则 ........................................................................................................................... 13 策略查看和建立 ................................................................................................................... 14 NSRP(Netscreen 冗余协议) .................................................................................... 15 NSRP工作原理 .................................................................................................................... 15 CCB一级分行防火墙部署结构 .......................................................................................... 17 NSRP日常维护命令 ............................................................................................................ 18 Juniper防火墙NSRP双机软件升级步骤........................................................................... 19 如何快速配置NSRP集群备用设备 ................................................................................... 20 防火墙日常监控与维护 ................................................................................................... 21 Juniper防火墙日常监控内容 ............................................................................................ 21 防火墙健康检查信息表 ....................................................................................................... 23 常规维护建议 ....................................................................................................................... 24 设备运行档案表 ................................................................................................................... 24 防火墙应急处理 ................................................................................................................... 25 故障处理工具 ....................................................................................................................... 27 策略配置与优化(Policy) ................................................................................................ 28 特殊应用处理 ....................................................................................................................... 29 附录 NetScreen防火墙安装指南 ................................................................................. 30 如何进入图形化界面 ........................................................................................................... 30 NetScreen防火墙图形化界面配置 .................................................................................. 32 简单故障分析及系统维护 ................................................................................................... 39 如何清掉已有的系统设置,恢复出厂默认设置 ............................................................... 41
2
Juniper
防火墙用户手册
第1章
Juniper防火墙基本工作原理
1.1. 基于状态检测的ASIC硬件防火墙
防火墙通过在网络边界上建立起来的相应网络安全系统来隔离内部和外部网络,以确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务,阻挡外部非法人侵,以保护网络的信息安全。 针对用户请求的新建应用连接,防火墙状态检测机制检查预先设置的访问控制策略,仅允许通过访问控制策略检查的应用连接报文才能够通过防火墙,同时防火墙在内存中记录下该连接的相关信息,生成应用流(flow)的会话表(session),将进出网络的数据当成一个个的应用流来处理。对该连接的后续(双向)数据包,只要匹配会话表,报文就可以通过防火墙。状态检测防火墙好处在于:由于不需要对每个数据包进行规则检查,而是一个连接(应用流)的后续数据包通过ASIC硬件芯片执行高速散列算法,直接进行状态检查且包的转发由ASIC芯片直接进行处理,使防火墙性能得到大幅提高;同时由于会话表是动态的,故可以有选择地、动态地开放整个应用流需要的后续动态端口,使防火墙能够增强对复杂协议的安全检查。
3
1.2. Juniper防火墙组件结构
Juniper Networks ScreenOS 体系结构为网络安全规划和设计提供了很强的灵活性。在具有两个以上接口的 防火墙上,可以创建多个安全区并配置策略以调节安全区内部及安全区之间的信息流。可以为每个安全区绑定一个或多个接口,并在每个安全区上启用一组唯一的管理。利用ScreenOS 可以创建网络环境所需的安全区数,分配每个区所需的接口数,并且可以根据自己的特殊要求来设计每个接口。
Zone(安全区)是由一个或多个网段组成的集合,需要通过策略来对入站和出站信息流进行调整。安全区是绑定了一个或多个接口的逻辑实体。可以定义多个安全区,确切数目可根据网络需要来确定。除用户定义的安全区外,通常使用预定义的安全区:Trust、Untrust和DMZ。
Interface(接口):安全区的接口可以视为一个入口,TCP/IP 信息流可通过它在该安全区和其它任何安全区之间进行传递。通过定义的策略,可以使两个安全区的信息流向一个或两个方向流动。利用定义的路由,可指定信息流从一个安全区到另一个安全区必须使用的接口。由于可将多个接口绑定到一个安全区上,因此制定的路由对于将信息流引向所选择的接口十分重要。
VR(虚拟路由器):VR的功能与路由器相同。它拥有自己的安全区及自己的单播和组播路由表。在 ScreenOS 中,安全设备支持两个预定义的虚拟路由器,这将允许安全设备维护两个单独的单播和组播路由表,同时隐藏虚拟路由器彼此之间的路由信息。
Policy(策略):Juniper 防火墙用于保护网络的安全,具体做法是先检查要求从一个安全区到另一安全区的通路的所有连接尝试,然后予以允许或拒绝。在缺省情况下,安全设备拒绝所有方向的所有信息流。通过创建策略,定义允许在预定时间通过指定源地点到达指定
4
目的地点的信息流的种类,可以控制安全区间的信息流。范围最大时,可以允许所有类型的信息流从一个安全区中的任何源地点到其它所有安全区中的任何目的地点,而且没有任何预定时间限制。范围最小时,可以创建一个策略,只允许一种信息流在预定的时间段内、在一个安全区中的指定主机与另一安全区中的指定主机之间流动。
第2章 管理
Juniper 防火墙提供不同方法来管理设备,既可本地管理,也可远程管理。根据CCB各分行安全项目的要求,所有NetScreen设备通过专用的管理接口与管理网相连,所有数据端口管理功能全部关闭,也就是所有管理工作只能通过管理网完成。具体管理请参考管理文档。NetScreen所有平台均支持本地管理和远程管理,通过NSM系统软件
5