1、Juniper 防火墻配置手冊2007-11目 錄目 錄2第一章:Juniper 防火墻基本原理4一,安全區(qū)段:4二,安全區(qū)段接口5三,創(chuàng)建二級 IP 地址12四,接口狀態(tài)更改13五,接口透明模式15六,接口NAT 模式20七,接口路由模式25八,地址組30九,服務32十,動態(tài) IP 池32十一,策略43十二,系統(tǒng)參數(shù)641，域名系統(tǒng)支持642，DNS 查找643，動態(tài)主機配置協(xié)議704，以太網(wǎng)點對點協(xié)議825，現(xiàn)有設備或新設備添加防病毒、Web 過濾、反垃圾郵件和深入檢查876，系統(tǒng)時鐘87第二章:Juniper 防火墻管理91一,通過 Web 用戶界面進行管理91二,通過命令行界面進行管理

2、95三,通過 NetScreen-Security Manager 進行管理96四,設置管理接口選項100五,管理的級別103六,日志信息110第三章:Juniper 防火墻路由1381,靜態(tài)路由1382,OSPF144第四章:Juniper 防火墻NAT150一,基于策略的轉換選項150二,NAT-Dst 一對一映射161三, NAT-Dst 一對多映射163四,NAT-Dst 多對一映射166五,NAT-Dst 多對多映射168六,帶有端口映射的 NAT-Dst170七,同一策略中的 NAT-Src 和 NAT-Dst173八,Untrust 區(qū)段上的MIP183九,虛擬 IP 地址190

3、第五章:Juniper 防火墻VPN197一,站點到站點的虛擬專用網(wǎng)1971,站點到站點 VPN 配置1972,基于路由的站點到站點 VPN，自動密鑰 IKE2023,基于路由的站點到站點 VPN，動態(tài)對等方2094,基于策略的站點到站點 VPN，動態(tài)對等方2175,基于路由的站點到站點 VPN，手動密鑰2246,基于策略的站點到站點 VPN，手動密鑰230二,撥號虛擬專用網(wǎng)2351,基于策略的撥號 VPN，自動密鑰 IKE2352,基于路由的撥號 VPN，動態(tài)對等方240基于策略的撥號 VPN，動態(tài)對等方246用于撥號 VPN 用戶的雙向策略251第六章:Juniper 防火墻攻擊檢測與防御

4、256一,Juniper中低端防火墻的UTM功能配置2561,Profile的設置2572,防病毒profile在安全策略中的引用259二,防垃圾郵件功能的設置2611,Action 設置2612,White List與Black List的設置2613,防垃圾郵件功能的引用263三,WEB/URL過濾功能的設置2631轉發(fā)URL過濾請求到外置URL過濾服務器2632,使用內置的URL過濾引擎進行URL過濾2653,手動添加過濾項266四,深層檢測功能的設置2681,設置DI攻擊特征庫自動更新2692,深層檢測（DI）的引用270第一章:Juniper 防火墻基本原理一,安全區(qū)段: 概念:安全

5、區(qū)段是由一個或多個網(wǎng)段組成的集合，需要通過策略來對入站和出站信息流進行調整。安全區(qū)段是綁定了一個或多個接口的邏輯實體。通過多種類型的 Juniper Networks 安全設備，您可以定義多個安全區(qū)段，確切數(shù)目可根據(jù)網(wǎng)絡需要來確定。除用戶定義的區(qū)段外，您還可以使用預定義的區(qū)段:Trust、Untrust 和 DMZ (用于第3 層操作)，或者 V1-Trust、V1-Untrust 和 V1-DMZ( 用于第2 層操作)。如果愿意，可以繼續(xù)使用這些預定義區(qū)段。也可以忽略預定義區(qū)段而只使用用戶定義的區(qū)段。另外，您還可以同時使用這兩種區(qū)段- 預定義和用戶定義。利用區(qū)段配置的這種靈活性，您可以創(chuàng)建能

6、夠最好地滿足您的具體需要的網(wǎng)絡設計。功能區(qū)段共有五個功能區(qū)段，分別是 Null、MGT、HA、Self 和 VLAN。每個區(qū)段的存在都有其專門的目的，如以下小節(jié)所述。Null 區(qū)段此區(qū)段用于臨時存儲沒有綁定到任何其它區(qū)段的接口。MGT 區(qū)段此區(qū)段是帶外管理接口 MGT 的宿主區(qū)段。可以在此區(qū)段上設置防火墻選項以保護管理接口，使其免受不同類型的攻擊。HA 區(qū)段此區(qū)段是高可用性接口 HA1 和 HA2 的宿主區(qū)段。盡管可以為 HA 區(qū)段設置接口，但是此區(qū)段本身是不可配置的。Self 區(qū)段此區(qū)段是遠程管理連接接口的宿主區(qū)段。當您通過 HTTP、SCS 或 Telnet 連接到安全設備時，就會連接到

7、Self 區(qū)段。VLAN 區(qū)段此區(qū)段是 VLAN1 接口的宿主區(qū)段，可用于管理設備，并在設備處于“透明”模式時終止 VPN 信息流，也可在此區(qū)段上設置防火墻選項以保護 VLAN1 接口，使其免受各種攻擊。設置端口模式通過 WebUI 或 CLI 更改安全設備上的端口模式設置。設置端口模式之前，請注意以下方面:􀂄 更改端口模式會刪除設備上任何現(xiàn)有的配置，并要求系統(tǒng)重置。􀂄 發(fā)布 unset all CLI 命令不影響設備上的端口模式設置。例如，如果要將端口模式設置從 Combined 模式更改回缺省 Trust-Untrust 模式，發(fā)布 unset all

8、命令會刪除現(xiàn)有配置，但不會將設備設置為 Trust-Untrust 模式。二,安全區(qū)段接口物理接口和子接口的目的是提供一個開口，網(wǎng)絡信息流可通過它在區(qū)段之間流動。物理接口安全設備上的每個端口表示一個物理接口，且該接口的名稱是預先定義的。物理接口的名稱由媒體類型、插槽號 ( 對于某些設備) 及端口號組成，例如，ethernet3/2或 ethernet2。可將物理接口綁定到充當入口的任何安全區(qū)段，信息流通過該入口進出區(qū)段。沒有接口，信息流就無法進入或退出區(qū)段。在支持對“接口至區(qū)段綁定”進行修改的安全設備上，三個物理以太網(wǎng)接口被預先綁定到各特定第2 層安全區(qū)段 - V1-Trust、V1-Untr

9、ust 和 V1-DMZ。哪個接口綁定到哪個區(qū)段根據(jù)每個平臺而定。子接口子接口，與物理接口相似，充當信息流進出安全區(qū)段的開口。邏輯上，可將物理接口分成幾個虛擬子接口。每個虛擬子接口都從自己來源的物理接口借用所需的帶寬，因此其名稱是物理接口名稱的擴展，例如，ethernet3/2.1 或 ethernet2.1。可以將子接口綁定到任何區(qū)段。還可將子接口綁定到其物理接口的相同區(qū)段，或將其綁定到不同區(qū)段。通道接口通道接口充當 VPN 通道的入口。信息流通過通道接口進出 VPN 通道。將通道接口綁定到 VPN 通道時，即可在到達特定目標的路由中引用該通道接口，然后在一個或多個策略中引用該目標。利用這種

10、方法，可以精確控制通過該通道的信息流的流量。它還提供 VPN 信息流的動態(tài)路由支持。如果沒有通道接口綁定到VPN 通道，則必須在策略中指定通道并選擇 tunnel 作為操作。因為操作 tunnel意味著允許，所以不能明確拒絕來自 VPN 通道的信息流。可使用在通道接口的相同子網(wǎng)中的動態(tài) IP (DIP) 地址池對外向或內向信息流上執(zhí)行基于策略的 NAT。對通道接口使用基于策略的 NAT 的主要原因是為了避免 IP 地址在 VPN 通道端兩個站點間發(fā)生沖突。必須將基于路由的 VPN 通道綁定到通道接口，以便安全設備可以路由信息流出和流入設備。可將基于路由的 VPN 通道綁定到一個有編號 ( 具有

11、 IP 地址/ 網(wǎng)絡掩碼)或沒有編號 ( 沒有 IP 地址/ 網(wǎng)絡掩碼) 的通道接口。如果通道接口沒有編號，則必須指定它借用 IP 地址的接口。安全設備自行啟動通過通道的信息流- 如 OSPF 消息時，安全設備僅使用借用的 IP 地址作為源地址。通道接口可以從相同或不同安全區(qū)段的接口借用 IP 地址，只要這兩個區(qū)段位于同一個路由選擇域中。可以對 VPN 信息流路由進行非常安全的控制，方法是將所有沒有編號的通道接口綁定到一個區(qū)段 ( 該區(qū)段位于其自身的虛擬路由選擇域中)，并且從綁定到同一區(qū)段的回傳接口借用 IP 地址。例如，可以將所有沒有編號的通道接口綁定到一個名為“VPN”的用戶定義的區(qū)段，并

12、且對這些接口進行配置，以便從 loopback.1 接口借用 IP 地址，也可綁定到 VPN 區(qū)段。VPN 區(qū)段位于名為“vpn-vr”的用戶定義的路由選擇域中。將通道通向的所有目標地址放置在 VPN 區(qū)段中。對這些地址的路由指向通道接口，策略則控制其他區(qū)段和 VPN 區(qū)段之間的 VPN 信息流。將所有通道接口放置在這樣的區(qū)段中非常安全，因為 VPN 不會由于出現(xiàn)故障 ( 這樣會使通往相關通道接口的路由變成非活動狀態(tài)) 而重新定向原本讓通道使用非通道路由 ( 如缺省路由) 的信息流。還可將一個通道接口綁定到 Tunnel 區(qū)段。這時，必須有一個 IP 地址。將通道接口綁定到 Tunnel 區(qū)段

13、的目的是讓基于策略的 VPN 通道能夠使用 NAT 服務。通道接口到區(qū)段的綁定從概念上講，可將 VPN 通道當作鋪設的管道。它們從本地設備延伸到遠程網(wǎng)關，而通道接口就是這些管道的開口。管道始終存在，只要路由引擎將流量引導到接口之一就可隨時使用。通常，如果希望接口支持源地址轉換 (NAT-src) 的一個或多個動態(tài) IP (DIP) 池和目標地址轉換 (NAT-dst) 的映射 IP (MIP) 地址，請為該通道接口分配一個 IP 地址。可以在安全區(qū)段或通道區(qū)段創(chuàng)建具有 IP 地址和網(wǎng)絡掩碼的通道接口。如果通道接口不需要支持地址轉換，并且配置不要求將通道接口綁定到一個Tunnel 區(qū)段，則可以將

14、該接口指定為無編號。必須將一個沒有編號的通道接口綁定到安全區(qū)段；同時不能將其綁定到 Tunnel 區(qū)段。還必須指定一個具有 IP 地址的接口，該接口位于與綁定沒有編號接口的安全區(qū)段相同的虛擬路由選擇域中。無編號的通道接口借用該接口的 IP 地址。如果正在通過 VPN 通道傳送組播數(shù)據(jù)包，可以在通道接口上啟用“通用路由封裝”(GRE) 以在單播數(shù)據(jù)包中封裝組播數(shù)據(jù)包。Juniper Networks 安全設備支持可在 IPv4 單播數(shù)據(jù)包中封裝 IP 數(shù)據(jù)包的 GREv1。刪除通道接口不能立即刪除擁有映射 IP 地址 (MIP) 或“動態(tài) IP (DIP)”地址池的通道接口。刪除擁有這些特征的通

15、道接口前，必須首先刪除引用它們的所有策略。然后必須刪除通道接口上的 MIP 和 DIP 池。如果基于路由的 VPN 配置引用一個通道接口，則必須首先刪除 VPN 配置，然后刪除通道接口。在本范例中，通道接口 tunnel.2 被鏈接到 DIP 池 8。通過名為 vpn1 的 VPN 通道，從 Trust 區(qū)段到 Untrust 區(qū)段的 VPN 信息流的策略 (ID 10) 引用 DIP 池 8。要刪除該通道接口，必須首先刪除該策略 ( 或從該策略中刪除引用的 DIP 池 8)，然后刪除 DIP 池。然后，必須解除 tunnel.2 到 vpn 1 的綁定。刪除依賴通道接口的所有配置后，即可刪除

16、該通道接口。WebUI1. 刪除引用 DIP 池 8 的 策略 10Policies (From: Trust, To: Untrust): 單擊策略 ID 10 的 Remove。2. 刪除鏈接到 tunnel.2 的 DIP 池 8Network > Interfaces > Edit ( 對于 tunnel.2) > DIP: 單擊 DIP ID 8 的Remove。3. 解除來自 vpn1 的 tunnel.2 綁定VPNs > AutoKey IKE > Edit ( 對于 vpn1) > Advanced: 在 Bind to: TunnelIn

17、terface 下拉列表中選擇 None，單擊 Return，然后單擊 OK。4. 刪除 tunnel.2Network > Interfaces: 單擊 tunnel.2 的 Remove。CLI1. 刪除引用 DIP 池 8 的 策略 10unset policy 102. 刪除鏈接到 tunnel.2 的 DIP 池 8unset interface tunnel.2 dip 83. 解除來自 vpn1 的 tunnel.2 綁定unset vpn vpn1 bind interface4. 刪除 tunnel.2unset interface tunnel.2save查看接口可查

18、看列出安全設備上所有接口的表。因為物理接口是預定義的，所以不管是否配置，它們都會列出。而對于子接口和通道接口來說，只有在創(chuàng)建和配置后才列出。要在 WebUI 中查看接口表，請單擊 Network > Interfaces。可指定接口類型從List Interfaces 下拉菜單顯示。要在 CLI 中查看接口表，請使用 get interface 命令。接口表顯示每個接口的下列信息:􀂄 Name: 此字段確定接口的名稱。􀂄 IP/Netmask: 此字段確定接口的 IP 地址和網(wǎng)絡掩碼地址。􀂄 Zone: 此字段確定將接口綁定到的區(qū)段。

19、􀂄 Type: 此字段指出接口類型: Layer 2 (第 2 層)、Layer 3 (第 3 層)、tunnel (通道)、redundant ( 冗余)、aggregate ( 聚合)、VSI。􀂄 Link: 此字段確定接口是否為活動 (up) 或非活動 (down)。􀂄 Configure: 此字段允許修改或移除接口。將接口綁定到安全區(qū)段可將任何物理接口綁定到 L2 ( 第 2 層) 或 L3 ( 第 3 層) 安全區(qū)段。由于子接口需要IP 地址，因此僅可將子接口綁定到 L3 ( 第 3 層) 安全區(qū)段。將接口綁定到 L3 安全區(qū)段后

20、，才能將 IP 地址指定給接口。在本例中，將 ethernet5 綁定到 Trust 區(qū)段。WebUINetwork > Interfaces > Edit ( 對于 ethernet5): 從 Zone Name 下拉列表中選擇Trust，然后單擊 OK。CLIset interface ethernet5 zone trustsave從安全區(qū)段解除接口綁定如果接口未編號，那么可解除其到一個安全區(qū)段的綁定，然后綁定到另一個安全區(qū)段。如果接口已編號，則必須首先將其 IP 地址和網(wǎng)絡掩碼設置為 。然后，可解除其到一個安全區(qū)段的綁定，然后綁定到另一個安全區(qū)段，并 ( 可選

21、) 給它分配 IP 地址/ 網(wǎng)絡掩碼。在本例中，ethernet3 的 IP 地址為 /24 并且被綁定到 Untrust 區(qū)段。將其IP 地址和網(wǎng)絡掩碼設置為 /0 并將其綁定到 Null 區(qū)段。WebUINetwork > Interfaces > Edit ( 對于 ethernet3): 輸入以下內容，然后單擊 OK:Zone Name: NullIP Address/Netmask: /0CLIset interface ethernet3 ip /0set interface ethernet3 zone nu

22、llsave編址接口在本例中，將給 ethernet5 分配 IP 地址 /24,“管理 IP”地址 。( 請注意,“管理 IP”地址必須在與安全區(qū)段接口 IP 地址相同的子網(wǎng)中)。最后，將接口模式設置為 NAT，將所有內部 IP 地址轉換至綁定到其它安全區(qū)段的缺省接口。WebUINetwork > Interfaces > Edit ( 對于 ethernet5): 輸入以下內容，然后單擊 OK:IP Address/Netmask: /24Manage IP: CLIset interface ethern

23、et5 ip /24set interface ethernet5 manage-ip save修改接口設置配置物理接口、子接口、冗余接口、聚合接口或“虛擬安全接口”(VSI) 后，需要時可更改下列任何設置:􀂄 IP 地址和網(wǎng)絡掩碼。􀂄 管理 IP 地址。􀂄 ( 第 3 層區(qū)段接口) 管理和網(wǎng)絡服務。􀂄 ( 子接口) 子接口 ID 號和 VLAN 標記號。􀂄 (trust-vr 中綁定到 L3 ( 第 3 層) 安全區(qū)段的接口) 接口模式 - NAT 或“路由”。

24、048708; ( 物理接口) 信息流帶寬設置 ( 請參閱第181 頁上的“信息流整形”)。􀂄 ( 物理、冗余和聚合接口) 最大傳輸單位 (MTU) 大小。􀂄 ( 第 3 層接口) 阻止進出相同接口的信息流，包括主子網(wǎng)和輔助子網(wǎng)之間或兩個輔助子網(wǎng)之間的信息流 ( 通過含有 route-deny 選項的 CLI set interface 命令來完成)。對于某些安全設備上的物理接口，可以強迫物理鏈接狀態(tài)處于不在工作中或工作中狀態(tài)。如果強迫物理鏈接狀態(tài)處于不在工作中狀態(tài)，則可模擬電纜與接口端口的斷開。( 通過含有 phy link-down 選項的 CLI se

25、t interface 命令來完成。)在本例中，對 ethernet1 進行一些修改，它是一個綁定到 Trust 區(qū)段的接口。將“管理 IP”地址從 更改為 2。為了確保管理信息流的絕對安全，還更改了管理服務選項，啟用 SCS 和 SSL 并禁用 Telnet 和 WebUI。WebUINetwork > Interfaces > Edit ( 對于 ethernet1): 進行以下修改，然后單擊 OK:Manage IP: 2Management Services: ( 選擇) SSH, SSL; ( 清除) Telnet, We

26、bUICLIset interface ethernet1 manage-ip 2set interface ethernet1 manage sshset interface ethernet1 manage sslunset interface ethernet1 manage telnetunset interface ethernet1 manage websave在根系統(tǒng)中創(chuàng)建子接口可在根系統(tǒng)或虛擬系統(tǒng)中的任何物理接口上創(chuàng)建子接口。子接口使用 VLAN 標記區(qū)別綁定到該子接口的信息流與綁定到其它接口的信息流。請注意雖然子接口源自物理接口，并借用其需要的帶寬，但是可將子

27、接口綁定到任何區(qū)段，不必綁定到其“父級”接口綁定到的區(qū)段。此外，子接口的 IP 地址必須在不同于所有其它物理接口和子接口的 IP 地址的子網(wǎng)中。在本例中，將在根系統(tǒng)中為 Trust 區(qū)段創(chuàng)建子接口。配置綁定到 Trust 區(qū)段的ethernet1 的子接口，將子接口綁定到用戶定義的區(qū)段，名為“accounting”( 在trust-vr 中)。為其分配子接口 ID 3、IP 地址 /24 和 VLAN 標記 ID 3。接口模式為 NAT。WebUINetwork > Interfaces > New Sub-IF: 輸入以下內容，然后單擊 OK:Interface

28、Name: ethernet1.3Zone Name: accountingIP Address/Netmask: /24VLAN Tag: 3CLIset interface ethernet1.3 zone accountingset interface ethernet1.3 ip /24 tag 3save刪除子接口不能立即刪除映射 IP 地址 (MIP)、虛擬 IP 地址 (VIP) 或“動態(tài) IP”(DIP) 地址池的宿主子接口。刪除任何這些地址的宿主子接口前，必須首先刪除所有引用它們的策略或 IKE 網(wǎng)關。然后必須刪除子接口上的 MIP、VIP 和

29、 DIP 池。在本例中，將刪除子接口 ethernet1:1。WebUINetwork > Interfaces: 單擊 Remove ( 對于 ethernet1:1)。會出現(xiàn)一條系統(tǒng)消息，提示您確認移除。單擊 Yes 刪除子接口。CLIunset interface ethernet1:1save三,創(chuàng)建二級 IP 地址每個 ScreenOS 接口都有一個唯一的主 IP 地址，但是，某些情況要求一個接口有多個 IP 地址。例如，機構可能分配額外的 IP 地址，但不希望添加路由器來適應其需要。此外，機構擁有的網(wǎng)絡設備可能比其子網(wǎng)所能處理的要多，如有多于 254臺的主機連接到 LAN。要

30、解決這樣的問題，可將二級 IP 地址添加到 Trust、DMZ或用戶定義區(qū)段中的接口。二級地址具有某些屬性，這些屬性會影響如何實施此類地址。這些屬性如下:􀂄 任何兩個二級 IP 地址之間不能有子網(wǎng)地址重迭。此外，安全設備上二級 IP 和任何現(xiàn)有子網(wǎng)間不能有子網(wǎng)地址重迭。􀂄 通過二級 IP 地址管理安全設備時，該地址總是具有與主 IP 地址相同的管理屬性。因此，不能為二級 IP 地址指定獨立的管理配置。􀂄 不能為二級 IP 地址配置網(wǎng)關。􀂄 創(chuàng)建新的二級 IP 地址時，安全設備會自動創(chuàng)建相應的路由選擇表條目。刪除二級 IP

31、地址時，設備會自動刪除其路由選擇表條目。啟用或禁用兩個二級 IP 地址之間的路由選擇不會使路由選擇表發(fā)生改變。例如，如果禁用兩個此類地址之間的路由選擇，安全設備會丟棄從一個接口到另一個接口的任何封包，但是路由選擇表沒有改變。在本例中，為 ethernet1 設置一個二級 IP 地址 - /24，接口 ethernet1的 IP 地址為 /24 并且綁定到 Trust 區(qū)段。WebUINetwork > Interfaces > Edit ( 對于 ethernet1) > Secondary IP: 輸入以下內容，然后單擊 Add:IP

32、Address/Netmask: /24CLIset interface ethernet1 ip /24 secondarysave四,接口狀態(tài)更改接口可以處于以下幾種狀態(tài):􀂄 物理連接狀態(tài) - 適用于在“開放式系統(tǒng)互連”(OSI) 模式下運行在第 2 層 ( 透明模式) 或第3 層 ( 路由模式) 的物理以太網(wǎng)接口。當用電纜將接口連接到另一臺網(wǎng)絡設備且可建立一個到該設備的鏈接時，該接口即處于物理連接狀態(tài)。􀂄 邏輯連接狀態(tài) - 適用于物理接口和邏輯接口 ( 子接口、冗余接口和聚合接口)。當通過接口的信息流能夠到達

33、網(wǎng)絡上的指定設備 ( 在被跟蹤的 IP 地址處) 時，該接口處于邏輯連接狀態(tài)。􀂄 物理中斷狀態(tài) - 當未使用電纜將接口連接到另一臺網(wǎng)絡設備或者雖然使用電纜將其連接到了另一臺網(wǎng)絡設備但卻不能建立鏈接時，該接口處于物理中斷狀態(tài)。也可以使用以下 CLI 命令迫使接口處于物理中斷狀態(tài): set interface interface phy link-down。􀂄 邏輯中斷狀態(tài) - 當通過接口的信息流不能到達網(wǎng)絡上的指定設備 ( 在被跟蹤的IP 地址處) 時，該接口處于邏輯中斷狀態(tài)。接口的物理狀態(tài)優(yōu)先于其邏輯狀態(tài)。接口可以處于物理連接狀態(tài)，也可以處于邏輯連接或邏輯中

34、斷狀態(tài)。如果接口處于物理中斷狀態(tài)，則其邏輯狀態(tài)如何將無關緊要。當接口處于連接狀態(tài)時，所有使用該接口的路由將保持活動和可用狀態(tài)。當接口處于中斷狀態(tài)時，安全設備將中斷使用該接口的所有路由 - 雖然信息流仍可能流經處于中斷狀態(tài)的接口，這要因該接口是處于物理中斷狀態(tài)還是邏輯中斷狀態(tài)而定 ( 請參閱第68 頁上的“中斷接口和信息”)。要補償因丟失接口而引起的路由丟失，可以使用備用接口來配置備用路由。依據(jù)對觀察到的接口狀態(tài)更改所導致動作的設置情況，被監(jiān)控接口的狀態(tài)更改 ( 由連接狀態(tài)變?yōu)橹袛酄顟B(tài)) 可能會導致監(jiān)控接口的狀態(tài)發(fā)生更改 ( 由中斷狀態(tài)變?yōu)檫B接狀態(tài))。要配置這種行為，可以使用以下 CLI 命令:

35、set interface interface monitor threshold number action up logically | physically 輸入上面的命令后，安全設備將自動迫使監(jiān)控接口處于中斷狀態(tài)。如果被監(jiān)控對象( 被跟蹤的 IP 地址、接口、區(qū)段) 失敗，則監(jiān)控接口的狀態(tài)將變?yōu)檫B接狀態(tài) - 可能為邏輯連接狀態(tài)，也可能是物理連接狀態(tài)，這取決于您的具體配置。接口可以監(jiān)控對象的以下一個或多個事件。請參閱第57 頁上的圖33。這些事件中的每個事件或其組合均可導致監(jiān)控接口由連接狀態(tài)變?yōu)橹袛酄顟B(tài)以及由中斷狀態(tài)變?yōu)檫B接狀態(tài):􀂄 物理斷開連接/ 重新連接И

36、708; IP 跟蹤失敗/ 成功􀂄 被監(jiān)控接口失敗/ 成功􀂄 被監(jiān)控安全區(qū)段失敗/ 成功物理連接監(jiān)控所有安全設備上的物理接口監(jiān)控它們到其它網(wǎng)絡設備的物理連接的狀態(tài)。當將接口連接到其它網(wǎng)絡設備并建立了到該設備的鏈接時，該接口將處于物理連接狀態(tài)，并且所有使用該接口的路由都將處于活動狀態(tài)。可以在 get interface 命令的輸出中的 State 列以及在 WebUI 的 Network >Interfaces 頁面上的 Link 列中查看接口狀態(tài)。可能為連接或中斷狀態(tài)。可以在 get route id number 命令的 Status 字段以及 We

37、bUI 的 Network >Routing > Routing Entries 頁面中查看路由的狀態(tài)。如果標有一個星號，則表明該路由處于活動狀態(tài)。如果沒有星號，則表明該路由處于非活動狀態(tài)。跟蹤 IP 地址安全設備可以通過接口跟蹤指定的 IP 地址，使得當一個或多個 IP 地址不可到達時，即使物理鏈接仍處于活動狀態(tài)，安全設備也可中斷所有與該接口相關的路由。當安全設備同那些 IP 地址之間恢復通信后，中斷的路由將再次變?yōu)榛顒訝顟B(tài)。類似于 NSRP 中使用的功能，ScreenOS 使用第3 層路徑監(jiān)控 ( 或 IP 跟蹤) 通過接口來監(jiān)控指定 IP 地址的可到達性。例如，如果接口直接連

38、接到路由器，則可跟蹤接口的下一跳點地址，以確定該路由器是否仍舊可達。當接口上配置了 IP 跟蹤時，安全設備將以用戶定義的時間間隔在該接口上將 ping 請求發(fā)送給多達四個目標 IP地址。安全設備監(jiān)控這些目標以查看其是否收到了響應。如果在向該目標發(fā)送指定次數(shù)的請求后，仍沒有來自該目標的響應，那么該 IP 地址將被認為是不可到達的。無法從一個或多個目標得到響應可能使安全設備中斷與該接口相關的路由。如果到同一目標的另一路由可用，則安全設備將重新定向信息流以使用新路由。可以在以下配置有管理 IP 地址的接口上定義 IP 跟蹤:􀂄 綁定到安全區(qū)段 ( 非 HA 或 MGT 功能區(qū)段)

39、的物理接口􀂄 子接口􀂄 冗余接口􀂄 聚合接口五,接口透明模式接口處于“透明”模式時，安全設備將過濾通過防火墻的封包，而不會修改 IP 封包包頭中的任何源或目的地信息。所有接口運行起來都像是同一網(wǎng)絡中的一部分，而安全設備的作用更像是第2 層交換機或橋接器。在“透明”模式下，接口的 IP地址被設置為 ，使得安全設備對于用戶來說是透明 ( 不可見) 的。透明模式是一種保護 Web 服務器，或者主要從不可信源接收信息流的其它任意類型服務器的方便手段。使用透明模式有以下優(yōu)點:􀂄 不需要重新配置路由器或受保護服務器的 I

40、P 地址設置􀂄 不需要為到達受保護服務器的內向信息流創(chuàng)建映射或虛擬 IP 地址區(qū)段設置在缺省情況下，ScreenOS 會創(chuàng)建一個功能區(qū)段、VLAN 區(qū)段和三個第 2 層安全區(qū)段: V1-Trust、V1-Untrust 和 V1-DMZ。VLAN 區(qū)段VLAN 區(qū)段是 VLAN1 接口的宿主區(qū)段，VLAN1 接口具有與物理接口相同的配置和管理能力。安全設備處于透明模式時，使用 VLAN1 接口來管理設備和終止 VPN 信息流。可將 VLAN1 接口配置為允許第 2 層安全區(qū)段中的主機來管理設備。為此，必須將 VLAN1 接口的 IP 地址設置為與第 2 層安全區(qū)段中的主機在同

41、一子網(wǎng)中。對于管理信息流，VLAN1 管理 IP 優(yōu)先于 VLAN1 接口 IP。可為管理信息流設置“VLAN1 管理 IP”，并將 VLAN1 接口 IP 專用于 VPN 通道終端。預定義的第 2 層區(qū)段在缺省情況下，ScreenOS 提供三個第 2 層安全區(qū)段，分別是: V1-Trust、V1-Untrust 和 V1-DMZ。這三個區(qū)段共享同一個第 2 層域。在其中一個區(qū)段中配置接口時，它被添加到由所有第 2 層區(qū)段中的所有接口共享的第 2 層域中。第 2 層區(qū)段中的所有主機必須在同一子網(wǎng)上以進行通信。如上一節(jié)所述，設備處于透明模式時，用戶使用 VLAN1 接口管理設備。對于要到達 VL

42、AN1 接口的管理信息流，必須啟用 VLAN1 接口和管理信息流通過的區(qū)段上的管理選項。在缺省情況下，啟用 V1-Trust 區(qū)段中的所有管理選項。要在其它區(qū)段中啟用主機以管理設備，必須設置它們所屬的區(qū)段上的那些選項。配置 VLAN1 接口以進行管理在本例中，將按下述內容配置安全設備來管理其 VLAN1 接口:􀂄 為 VLAN1 接口分配 IP 地址 /24。􀂄 在 VLAN1 接口和 V1-Trust 安全區(qū)段上啟用 Web、Telnet、SSH 和 Ping。􀂄 在信任虛擬路由器中 ( 所有的 Layer 2 ( 第 2

43、層) 安全區(qū)段都在 trust-vr 路由選擇域中) 添加路由，使管理信息流能在安全設備和管理工作站 ( 該工作站在安全設備的緊鄰子網(wǎng)外) 之間流動。所有安全區(qū)域都在 trust-vr 路由域中。WebUI1. VLAN1 接口Network > Interfaces > Edit ( 對于 VLAN1): 輸入以下內容，然后單擊 OK:IP Address/Netmask: /24Management Services: WebUI, Telnet, SSH ( 選擇)Other Services: Ping ( 選擇)2. V1-Trust 區(qū)段Network &

44、gt; Zones > Edit ( 對于 V1-Trust): 選擇以下內容，然后單擊 OK:Management Services: WebUI, Telnet, SSHOther Services: Ping3. 路由Network > Routing > Routing Entries > trust-vr New: 輸入以下內容，然后單擊 OK:Network Address/Netmask: /24Gateway: ( 選擇)Interface: vlan1(trust-vr)Gateway IP Address: 51Metri

45、c: 1CLI1. VLAN1 接口set interface vlan1 ip /24set interface vlan1 manage webset interface vlan1 manage telnetset interface vlan1 manage sshset interface vlan1 manage ping2. V1-Trust 區(qū)段set zone v1-trust manage webset zone v1-trust manage telnetset zone v1-trust manage sshset zone v1-trust manage

46、 ping3. 路由set vrouter trust-vr route /24 interface vlan1 gateway 51 metric 1save配置透明模式以下范例說明了受處于透明模式的安全設備保護的單獨 LAN 的基本配置。策略允許 V1-Trust 區(qū)段中所有主機的外向信息流、郵件服務器的內向 SMTP 服務，以及FTP 服務器的內向 FTP-GET 服務。為了提高管理信息流的安全性，將 WebUI 管理的 HTTP 端口號從 80 改為 5555，將 CLI 管理的 Telnet 端口號從 23 改為 4646。使用 VLAN1 IP 地址 1

47、.1.1.1/24 來管理 V1-Trust 安全區(qū)段的安全設備。定義 FTP 和郵件服務器的地址。也可配置到外部路由器的缺省路由 ( 于 50 處)，以便安全設備能向其發(fā)送出站 VPN 信息流。(V1-Trust 區(qū)段中所有主機的缺省網(wǎng)關也是 50)。基本透明模式WebUI1. VLAN1 接口Network > Interfaces > Edit ( 對于 VLAN1 interface): 輸入以下內容，然后單擊 OK:IP Address/Netmask: /24Management Services: WebUI, Telnet

48、( 選擇)Other Services: Ping ( 選擇)2. HTTP 端口Configuration > Admin > Management: 在 HTTP Port 字段中，鍵入 5555，然后單擊 Apply。3. 接口Network > Interfaces > Edit ( 對于 ethernet1): 輸入以下內容，然后單擊 OK:Zone Name: V1-TrustIP Address/Netmask: /0Network > Interfaces > Edit ( 對于 ethernet3): 輸入以下內容，然后單擊

49、OK:Zone Name: V1-UntrustIP Address/Netmask: /04. V1-Trust 區(qū)段Network > Zones > Edit ( 對于 v1-trust): 選擇以下內容，然后單擊 OK:Management Services: WebUI, TelnetOther Services: Ping5. 地址Objects > Addresses > List > New: 輸入以下內容，然后單擊 OK:Address Name: FTP_ServerIP Address/Domain Name:IP/Netmas

50、k: ( 選擇), /32Zone: V1-TrustObjects > Addresses > List > New: 輸入以下內容，然后單擊 OK:Address Name: Mail_ServerIP Address/Domain Name:IP/Netmask: ( 選擇), 0/32Zone: V1-Trust6. 路由Network > Routing > Routing Entries > trust-vr New: 輸入以下內容，然后單擊 OK:Network Address/Netmask: /0G

51、ateway: ( 選擇)Interface: vlan1(trust-vr)Gateway IP Address: 50Metric: 17. 策略Policies > (From: V1-Trust, To: V1-Untrust) New: 輸入以下內容，然后單擊 OK:Source Address:Address Book Entry: ( 選擇), AnyDestination Address:Address Book Entry: ( 選擇), AnyService: AnyAction: PermitPolicies > (From: V1-Untrus

52、t, To: V1-Trust) New: 輸入以下內容，然后單擊 OK:Source Address:Address Book Entry: ( 選擇), AnyDestination Address:Address Book Entry: ( 選擇), Mail_ServerService: MailAction: PermitPolicies > (From: V1-Untrust, To: V1-Trust) New: 輸入以下內容，然后單擊 OK:Source Address:Address Book Entry: ( 選擇), AnyDestination Address:A

53、ddress Book Entry: ( 選擇), FTP_ServerService: FTP-GETAction: PermitCLI1. VLAN1set interface vlan1 ip /24set interface vlan1 manage webset interface vlan1 manage telnetset interface vlan1 manage ping2. Telnetset admin telnet port 46463. 接口set interface ethernet1 ip /0set interface ethern

54、et1 zone v1-trustset interface ethernet3 ip /0set interface ethernet3 zone v1-untrust4. V1-Trust 區(qū)段set zone v1-trust manage webset zone v1-trust manage telnetset zone v1-trust manage ping5. 地址set address v1-trust FTP_Server /32set address v1-trust Mail_Server 0/326. 路由set vroute

55、r trust-vr route /0 interface vlan1 gateway 50 metric 17. 策略set policy from v1-trust to v1-untrust any any any permitset policy from v1-untrust to v1-trust any Mail_Server mail permitset policy from v1-untrust to v1-trust any FTP_Server ftp-get permitsave六,接口NAT 模式入口接口處于“網(wǎng)絡地址轉換 (NAT)”模

56、式下時，安全設備的作用與第 3 層交換機( 或路由器) 相似，將通往 Untrust 區(qū)段的外向 IP 封包包頭中的兩個組件進行轉換:其源 IP 地址和源端口號。安全設備用 Untrust 區(qū)段接口的 IP 地址替換始發(fā)端主機的源 IP 地址。另外，它用另一個由安全設備生成的任意端口號替換源端口號。NAT 拓撲結構當回復封包到達安全設備時，該設備轉換內向封包的 IP 包頭中的兩個組件: 目的地地址和端口號，它們被轉換回初始號碼。安全設備于是將封包轉發(fā)到其目的地。NAT 添加透明模式中未提供的一個安全級別: 通過 NAT 模式下的入口接口 ( 如Trust 區(qū)段接口) 發(fā)送信息流的主機地址決不對

57、出口區(qū)段 ( 如 Untrust 區(qū)段) 中的主機公開，除非這兩個區(qū)段在相同的虛擬路由選擇域中并且安全設備通過動態(tài)路由選擇協(xié)議 (DRP) 向對等方通告路由。盡管這樣，如果有策略允許入站信息流到達，也僅僅可到達 Trust 區(qū)段地址。( 如果希望在使用 DRP 時隱藏 Trust 區(qū)段地址，則可將 Untrust 區(qū)段放置在 untrust-vr 中，將 Trust 區(qū)段放置在 trust-vr 中，并且不將trust-vr 中外部地址的路由導出到 untrust-vr。)如果安全設備使用靜態(tài)路由選擇并且僅有一個虛擬路由器，由于基于接口的 NAT，內部地址在信息流出站時保持隱藏。配置的策略控制入站信息流。如果僅使用映射IP (MIP) 和虛擬 IP (VIP) 地址作為入站策略中的目的地，則內部地址仍保持隱藏。另外，NAT 還保留對公共 IP 地址的使用。在許多環(huán)境中，資源不可用，不能為網(wǎng)絡上的所有設備提供公共 IP 地址。NA