《Netscreen防火墙培训.ppt》由会员分享,可在线阅读,更多相关《Netscreen防火墙培训.ppt(67页珍藏版)》请在三一办公上搜索。
1、Netscreen防火墙培训,ISMP项目组2008.2,了解防火墙的基本概念 熟悉Netscreen ISG1000防火墙产品 能够对ISG1000防火墙进行规划和配置,学习完本课程,您应该能够:,学习目标,内容,防火墙基础知识 Netscreen ISG1000防火墙简介 ISMP平台防火墙的典型组网方式 ISG1000防火墙配置规划 ISG1000防火墙配置步骤 ISG1000防火墙的维护,简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙具有如下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策
2、略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻 击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如Ethernet、Token Ring、FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。,连接不受信网络区域,连接受信网络区域,在连接受信网络区域和非受信网络区域之间的区域,一般称为DMZ。,防火墙的概念,防火墙的硬件发展过程:1、一般是直接安装在PC上的一套软件,基于PC提供基本的安全防护,此时防火墙
3、基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。2、采用PC硬件结构,基于linux等开发源代码的操作系统内核,开发了安全防护的一些基本特性构成硬件防火墙产品形态。国内大部分防火墙产品都是采用这种方式开发。从外观上面看,该种防火墙是一个硬件防火墙产品,但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。代表产品有天融信公司的防火墙产品3、采用独立设计的硬件结构,在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构,保证防火墙产品可以得到最优的处理性能。代表产品有junipher公司的Netscreen 208产品、NetScreen 500等防火墙产品。
4、,防火墙的发展历程,路由器的特点:保证互联互通。按照最长匹配算法逐包转发。路由协议是核心特性。,防火墙的特点:逻辑子网之间的访问控制,关注边界安全基于连接的转发特性。安全防范是防火墙的核心特性。,由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点,因此路由器设备不适合做非常复杂的业务,复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备,支持高速、安全、丰富的业务特性。,防火墙和路由器的差异,按照防火墙实现的方式,一般把防
5、火墙分为如下几类:包过滤防火墙(Packet Filtering)包过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。代理型防火墙(application gateway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用
6、层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品为状态检测防火墙。,防火墙的分类,IP包过滤技术,包过滤利用定义的特定规则过滤数据包。对防火墙需要转发的数据包,防火墙直接获得其IP源地址、目的地址、TCP/UDP的源端口、目的端口等包头信息。然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制策略(policy)。,Internet,公司总部,内部网络,未授权用户,办事处,访问控制policy,一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):,状态防火
7、墙通过检测基于TCP/UDP连接的连接状态,来动态的决定报文是否可以通过防火墙。在状态防火墙中,会维护着一个Session表项,通过Session表项就可以决定哪些连接是合法访问,哪些是非法访问。,状态检测技术,状态防火墙包处理流程,防火墙基础区域,防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域,Local区域,Trust区域,DMZ区域,UnTrust区域,接口1,接口2,接口3,接口4,防火墙上主要有4个安全区域:非受信区(Untrust):低级的安全区域.非军事化区(DMZ):中度级别的安全区域.受信区(Trust):较高级别的安全区域.管理区域(MGT):管理区此外,如
8、认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。,防火墙基础区域,Ethernet,外部网络,Ethernet,NetscreenISG1000,Server,Server,Trust,Untrust,DMZ,ethernet,3/1,ethernet,3/2,ethernet,2/1,内部网络,防火墙基础区域,防火墙基础转发规则,路由器的安全规则定义在接口上,而防火墙的安全规则定义在安全区域之间,不允许来自10.0.0.1的数据报从这个接口出去,Local区域,Trust区域,DMZ区域,UnTrust区域,接口1,接口2,接口3,接口4,禁止所有从DMZ区域的数据报转发到U
9、nTrust区域,域间的数据流分两个方向:入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。,In,Out,In,Out,In,Out,In,Out,防火墙基础转发规则,本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃接口没有加入域之前不能转发报文,In,Out,In,Out,In,Out,In,Out,防火墙基础转发规则,路由模式透明模式混合模式,防火墙基础模式分类,防火墙基础路由模式,可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网
10、的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。,防火墙基础透明模式,透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备处于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。,防火墙基础混合模式,混合模式是指防火墙一部份接口工作在透明模式,另一部分接口工作在路由模式。提出混合模式的概念,主要是为了解决防火墙在
11、纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址,而透明模式无法实现这一点。目前很多新型防火墙已经支持透明模式下的双机热备。,防火墙基础双机热备,什么是双机热备?所谓双机热备其实是双机状态备份,当两台防火墙,在确定主从防火墙后,由主防火墙进行业务的转发,而从防火墙处于监控状态,同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息,当主防火墙出现故障后,从防火墙会及时接替主防火墙上的业务运行。,内容,防火墙基础知识 Netscreen ISG1000防火墙简介 ISMP平台防火墙的典型组网方式 ISG1000防火墙配置规划 ISG1000防火墙
12、配置步骤 ISG1000防火墙的维护,Netscreen防火墙介绍,Netscreen 防火墙的简介 Difference 安全架构 专用硬件平台 集成安全网关(ISG)系列 特性与优势 ISG1000 硬件特性 性能参数,Juniper网络公司集成安全产品是执行关键安全功能的专用产品,优化用于最大限度地提供性能,由安全性特定的实时操作系统ScreenOS所控制。Juniper网络公司集成安全产品包括大量专用的高性能平台,可跨越大量高密度的局域网/广域网接口提供集成安全性和局域网/广域网路由功能,满足中小企业、大型分布式企业及电信运营商的许多需求。这些集成产品可保护网络免遭所有形式的攻击和恶意
13、软件威胁,同时促进企业间的安全通信。,Netscreen防火墙简介,The NetScreen Difference,通过新一代体系结构完成业界领先的性能和安全保护专用加密加速 ASICASIC 可处理 DES,3DES,MD5,SHA1,PKI 加速,Session查找,TCP 头解析,认证,NAT,随即数产生和策略查询(每秒25 million策略).超级性能 single,multi,与 parallel 处理板基于需求定制,安全优化的操作系统ScreenOS核心技术高度集成基于状态过滤的防火墙攻击检测与保护VPN/PKI流量管理/带宽管理端到端的解决方案提供灵活的网络结构全面的设备管理
14、方法,安全架构,全面的安全策略,Firewall,VPN,IntrusionDetection,Anti-Virus,Denial of Service,High Availability,Remote Access,User Authentication,Dynamic Routing,NAT Traversal,PKI,Global Management,NetScreen 专用硬件平台,传统设计,NetScreen 设计,Multiple passes across the bus No separation of the data&control planes,Single pass
15、across the bus Separation of data&control planes,集成式安全网关(ISG),Juniper网络公司集成式安全网关(ISG)是一种专用安全解决方案,它采用了第四代安全ASIC GigaScreen3,以及高性能微处理器,能够提供无与伦比的防火墙和VPN性能。Juniper网络公司 ISG 1000 和 ISG 2000 非常适合因需要运行VoIP和流媒体等高级应用而需要可以扩展的一致性能的企业、运营商和数据中心环境。ISG 1000和ISG 2000 将最佳深层检测防火墙、VPN和DoS解决方案集成在一起不但能提供安全、可靠的连接,还能为重要的高流
16、量网段提供网络和应用级保护。,ISG 1000:ISG 1000是一个完全集成的FW/VPN/IDP系统,具有千兆性能、模块化架构和丰富的虚拟化功能。基础FW/VPN系统提供四个固定10/100/1000接口,以及两个额外的I/O模块,以支持接口扩展。ISG 2000:ISG 2000 是一种完全集成的FW/VPN/IDP系统,具有千兆性能、模块化架构和丰富的虚拟化功能。基础FW/VPN系统最多支持四个I/OS模块和三个安全模块,以支持IDP 集成。,NetScreen-ISG1000,NetScreen-ISG1000 特性与优势,硬件特性第四代安全ASIC GigaScreen3以及高性能
17、微处理器多总线结构:独立的管理和数据总线可靠的设计冗余热插拔电源(DC or AC)、热插拔风扇2U,19”模块化架构,2 个I/O 接口插槽4个10/100/1000Mbps 以太口,可用于冗余HA等高端的性能千兆性能丰富的虚拟化功能,ISG系列性能参数,ISG系列性能参数,ISG系列性能参数,内容,防火墙基础知识 Netscreen ISG1000防火墙简介 ISMP平台防火墙的典型组网方式 ISG1000防火墙配置规划 ISG1000防火墙配置步骤 ISG1000防火墙的维护,ISMP平台防火墙的典型组网方式,内容,防火墙基础知识 Netscreen ISG1000防火墙简介 ISMP平
18、台防火墙的典型组网方式 ISG1000防火墙配置规划 ISG1000防火墙配置步骤 ISG1000防火墙的维护,ISG1000防火墙配置规划,主机名规划 区域及接口用途规划 IP地址规划 路由规划 地址映射规划 安全策略规划 SNMP、NTP、DNS、LOG及其它,主机名规划,ISMP工程中防火墙设备主机名命名方案统一规划为:省名+ISMP+设备型号_To外网名_序号本次工程中防火墙型号主要有ISG1000和ASA510两种。例:安徽电信ISMP平台连接163公网的2台防火墙分别命名为 AH_ISMP_ISG1000_To163_1 AH_ISMP_ISG1000_To163_2,区域及接口用
19、途规划,虚拟路由器(Virtual Router):默认只有1个trust-vr,网络复杂,可使用多个虚拟路由器,虚拟路由器之间可使用动态路由协议或静态路由通信。ISMP工程中,一般将这几个所用的区域全部放到trust-tr 1个VR中。多个VR,虽然访问控制更加灵活,但VR之间配置复杂。区域(Zones):ISG1000默认共有14个zones,简单网络只需要trust、untrust、DMZ、HA等。在ISMP系统防火墙上,可以把ISMP系统放置于Trust区,ISMP平台所连接的电信外围设备放置于DMZ区,Internet放置于Untrust区。接口(Interface):ISG1000
20、共有 2个流量板,接口命名及用途规划参考IP地址规划。,IP地址规划,路由规划,各接口区域均在一个VR(trust-vr)里,路由配置较简单。只需要在trust-vr里配置出去的默认路由、内网的回程路由以及DMZ区向路由。各接口区域不在一个VR里,在每个VR里,还需要配置VR间的转发路由。复杂情况,可启用动态路由协议。,地址映射规划,在ISMP平台应用中,各接口机和门户服务器需做地址映射以提供网外访问。示例如下:,安全策略规划一,设备登录控制 网络设备配置需要保护,防止非授权访问非常重要。各种登录账户、权限需求在实施配置前也必须进行详细调研规划。可主要考虑console、telnet、SSH、
21、WEBUI等授权访问方式中的登录账户、权限及密码规划。,安全策略规划二,业务访问控制,SNMP、NTP、DNS、LOG等,SNMP:简单网络管理协议。需要规划确认只读、可写字符串(community),SNMP trap的IP地址等信息。NTP:时钟同步。ntp server最好设置一个主用时钟,一个备用时钟。Logging:日志系统。需要规划确认日志服务器的IP地址及日志接收级别。DNS:域名系统。ISMP平台一般不需要。设备域名后缀。ISMP平台一般不需要。其他(略),内容,防火墙基础知识 Netscreen ISG1000防火墙简介 ISMP平台防火墙的典型组网方式 ISG1000防火墙
22、配置规划 ISG1000防火墙配置步骤 ISG1000防火墙的维护,ISG1000防火墙配置步骤,主机名、SNMP、NTP、DNS、LOG等管理性配置(略)配置区域配置端口/加入域配置NSRP(双机)验证双机配置配置地址转换定义policy在域间应用policy校验业务配置,配置区域/虚拟路由器,配置端口/加入区域,配置端口/加入区域,配置NSRP(双机),配置NSRP(双机),定义优先级,如果两台防火墙定义的优先级相同,则根据序列号的大小决定主备关系,可以定义对端口/域进行监控,作为双机切换的依据,双机配置检查,主机,备机,配置地址转换,配置地址转换,定义IP映射/端口映射,一对一地址映射(
23、mapped ip),定义policy,定义policy,在域间应用policy,在域间应用policy,校验防火墙配置,校验双机状态检查双机切换对于业务是否有影响校验配置同步情况 检查主备机的配置是否同步的,可以通过比较配置来实现校验业务是否正常,内容,防火墙基础知识 Netscreen ISG1000防火墙简介 ISMP平台防火墙的典型组网方式 ISG1000防火墙配置规划 ISG1000防火墙配置步骤 ISG1000防火墙的维护,Netscreen防火墙的维护,Netscreen防火墙的维护,谢 谢!,MajpjMVcyzj21HLfrvy96dv02lPPfYgxUS7IYmZkyEm
24、Z0kGeYZS3bpLCkYH1lt4EK7CxmUX3ijoYSOer7ZuaVWYgz4EpZrUirVpMzzvNtf1XZw5oswSXOtFaejnOcmfE1lZgnN1RSXg8wLCG8CVQ3XPJMvodPFWcpiYJgZazNSEPNIaklYSu7qSd1UpaxmZDlpN9zW7kljfsLCLi26Yv109ffbnDH8LbUN1G6ACURQ39eG12KHL9tXsZ1jzgoCK8g1kuNOh5eFvcmVT5ZYVQt9zk3rp3qLnf02FovEXxVRxjCcFRNppiJljNiOuk6fONnyX7fyGg7sXZ49BmCN5oy9V
25、esHpKzdjTKwjrkCEQCFDehVmGax3lrOEbw63VscA3YSijtUKoCyiLzAlVRp7l4QgPNHxvJFFDyjUVN3oHlMah0XBd4uTbkfPIhHtw0evPmYOrdhEDoPwvYhzlGplU1AU9mpyiCXH8gpPCBRYjq77VcnbXumNE1yGfyTsbSj89J63kRTKDkKUg3mdS5sJ4X5cQ8dK7oW9IkScssECQdz2O9UTlpRjAFPChjhLdzopQzwxQf8ozdzOhogwAooXpUF83BX4C3jRgjDJiiXEUDMaNz4vQ4n164vspddHvOIVuBBd
26、MA4xp1YhiHk0vOJ8TL1BxogzVlMpmod6ianYGmksQq6NWCEd56hZF4wfaNyZcrGfNxnPiG6ZAxSkfmhJAKtNmCqbRmppeXp8inz4eq3HkWCMSORyMMX522xpHG6basNr6KQfbZsFbHjzyNlJrruLolKFcC84dqfijBO5Dy2NaBcNEBPgQrT12PgpcKx2or2YChN5DPjs80zzdtdAdTKuW4uVv9bbZu3K2SZ2aEhTlIC1UqrIWibkzwHh6p8gLv26zr01mJybfOzFc4T7kQH1IpPwOzMDnAKPLsLrznXGjFNIA9bSWWms6ibKZwQIKrMzalwbFrQJvOP1rPH8rx2KkyYqrtQk5VRwM1HSX,