由和组播路由。Juniper防火墙有两个预定义的VR,trust-vr,在缺省情况下包含所有预定义安全区和所有用户定义区;untrust-vr,在缺省情况下不含任何安全区。不能删除 trust-vr或untrust-vr VR。可以存在多个VR,但是trust-vr 是缺省VR。可以使用get vrouter CLI 命令来查看 VR 表。在VR表中,星号 (*)指示trust-vr为命令行界面(CLI)中的缺省VR。要在其它的 VR 内安全区和接口,必须按名称指定VR,例如 untrust-vr。
在CCB 各分行防火墙部署时,从安全性角度考虑,我们建议将所有业务接口所在的安全区(zone)均放置在Untrust-vr中,仅保留MGT接口所在的MGT zone位于缺省的Trust-vr中,当管理员从防火墙上向外访问时(源地址为防火墙地址),由于防火墙查找目的地址的路由的顺序是从缺省VR开始查找路由,如果在缺省VR中查不到匹配的路由,才会从其它VR中进一步查找路由。因此,针对CCB各分行防火墙部署环境,建议不通过MGT口来管理防火墙,而通过在业务接口启用manage-ip地址来区别并管理两台防火墙。如果需要通过启用MGT口管理防火墙,请不要设置MGT口的缺省网关,可以通过配置去往MGT口的明细路由,如:set vr trust-vr x.x.x.x/y interface mgt gateway A.B.C.D,这样就可避免ping外面的地址无法ping通的现象。
在防火墙上为业务流量添加静态路由时,需要明确指定VR(虚拟路由器)为Untrust-vr,具体命令如:set vr Untrust-vr x.x.x.x/y interface eth2/1 gateway A.B.C.D,如果不明确指定VR,那么添加的静态路由就会放在缺省的Trust-vr中。可以通过get route命令来查看每个VR中的路由条目。
11
第4章 访问控制策略
NetScreen 设备的缺省行为是拒绝安全区内部的所有信息流( 安全区内部信息流) 1 (Untrust 安全区内的信息流除外),并允许绑定到同一安全区的接口间的所有信息流( 安全区内部信息流)。为了允许选定的安全区内部信息流通过NetScreen 设备,必须创建覆盖缺省行为的安全区内部策略。同样,为了防止选定的安全区内部信息流通过NetScreen 设备,必须创建安全区内部策略。
4.1. 策略的三种类型
可通过以下三种策略控制信息流的流动:
? 通过创建安全区间策略,可以管理允许从一个安全区到另一个安全区的信息流的种类。
? 通过创建安全区内部策略,也可以控制允许通过绑定到同一安全区的接口间的信息流的类型。
? 通过创建全局策略,可以管理地址间的信息流,而不考虑它们的安全区。
防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导通过执行策略组列表(安全区内部策略、内部安全区策略和全局策略) 产生的信息流。
策略能允许、拒绝、加密和解密、认证、排定优先次序、调度、过滤以及监控尝试从一个安全区流到另一个安全区的信息流。可以决定哪些用户和数据能进出,以及它们进出的时间和地点。
12
4.2. 策略和规则
单个用户定义的策略内部生成一个或多个逻辑规则,而每个逻辑规则都由一组组件(源地址、目的地址和服务) 组成。
组件占用内存资源。引用组件的逻辑规则不占用内存资源。 根据源地址组、目的地址组和策略中服务组件的多个条目或组的使用,逻辑规则的数量可比创建单个策略时明显可见的大得多。例如,以下策略产生125 个逻辑规则:
1 个策略: 5 个源地址x 5 个目的地址x 5 个服务= 125 个逻辑规则
但是,NetScreen 设备不为每个逻辑规则复制组件。规则以不同的组合使用同一组组件。例如,产生125 个逻辑规则的上述策略只生成15 个组件:
5 个源地址+ 5 个目的地址+ 5 个服务= 15 个组件
这15 个组件以不同方式组合,生成由单个策略产生的125 个逻辑规则。允许多个逻辑规则以不同组合使用同一组组件,与每个逻辑规则与其组件具有一对一关系相比, NetScreen 设备占用的资源少得多。
由于新策略的安装时间与NetScreen 设备添加、删除或修改的组件数量成比例,因此组件较少策略的安装更快。同样,与每个规则都需要专用组件相比,通过允许大量的逻辑规则共享一小组组件,NetScreen 使用户能创建更多的策略, NetScreen 设备能创建更多的规则。
注意: 对于支持虚拟系统的NetScreen 设备,根系统中的策略组不影响虚拟系统中的策略组。
13
4.3. 策略查看和建立
要通过WebUI 查看策略,请单击Policies。通过从From 和To 下拉列表中选择安全区名称,然后单击Go,可以按源安全区和目的安全区分类显示策略。在CLI 中,使用get policy [ all | from zone to zone | global | id number ] 命令。 策略图标
查看策略列表时, WebUI 使用图标提供策略组件的图形化汇总。下表解释了策略页中使用的不同图标。
创建策略
14
要允许信息流在两个安全区内部流动,应在这些安全区内部创建允许、拒绝或设置信息流的策略。如果NetScreen 设备唯一能够设置( 在策略中引用的) 源和目的地址间安全区内部信息流的路由的网络设备,则也可创建策略,控制同一安全区
内的信息流。也可创建全局策略,使用Global 安全区通讯簿中的源和目的地址。
要允许两个安全区内部(例如, Trust 和Untrust 安全区) 的双向信息流,需要创建从Trust 到Untrust 的策略,然后创建从Untrust 到Trust 的第二个策略。根据需要,两个策略可以使用相同或不同的IP 地址,只是源地址和目的地址需反向。
第5章
NSRP(Netscreen 冗余协议)
5.1. NSRP工作原理
NSRP(NetScreen Redundant Protocol)是Juniper公司基于VRRP协议规范自行开发的设备冗余协议。防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,为满足客户不间断业务访问需求,要求防火墙设备必须具备高可靠性,能够在设备、链路及互连设备出现故障的情况下,提供网络访问路径无缝切换。NSRP冗余协议提供复杂网络环境下的冗余路径保护机制。NSRP主要功能有:1、在高可用群组成员之间同步配置信息;2、提供活动会话同步功能,以保证发生路径切换情况下不会中断网络连接;3、采用高效的故障切换算法,能够在短短几秒内迅速完成故障检测和状态切换。
15
Juniper防火墙用户手册
