NetScreen 防火墙配置指导.docVIP

NetScreen防火墙配置指导 目 录 第1章 防火墙基础知识 2 1.1 什么是防火墙 2 1.2 网络的不安全因素 3 1.3 防火墙的作用 3 1.4 防火墙的分类 4 1.5 常用网络攻击方法 5 1.6 FAQ 7 第2章 NetScreen系列防火墙 11 2.1 NetScreen系列防火墙介绍 11 2.1.1 NetScreen 25 11 2.1.2 NetScreen 204 11 2.1.3 NetScreen 500 12 2.2 NetScreen防火墙基础知识 13 2.3 建立与防火墙的初始连接 16 2.4 Web UI管理界面快速配置指南 18 2.5 NetScreen防火墙配置的总体思路 22 2.6 NetScreen防火墙配置过程 24 2.7 NetScreen防火墙配置实例 28 2.8 FAQ 34 防火墙基础知识 什么是防火墙 在大厦构造中，防火墙被设计用来防止火从大厦的一边传播到另一边。我们所涉及的防火墙服务于类似的目的：防止因特网的危险传播到您的内部网络。实际上，因特网防火墙不像一座现代化大厦中的防火墙，它更像中世纪城堡的护城河。 防火墙一方面阻止来自因特网的对受保护网络的未授权或未验证的访问，另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等。防火墙也可以作为一个访问因特网的权限控制关口，如允许组织内的特定的人可以访问因特网。现在的许多防火墙同时还具有一些其他特点，如进行身份鉴别，对信息进行安全（加密）处理等等。如图1-1所示： 防火墙通常使内部网络和因特网隔离 防火墙不单用于对因特网的连接，也可以用来在组织内部保护大型机和重要的资源（数据）。对受保护数据的访问都必须经过防火墙的过滤，即使该访问是来自组织内部。 当外部网络的用户访问网内资源时，要经过防火墙；而内部网络的用户访问网外资源时，也会经过防火墙。这样，防火墙起了一个“警卫”的作用，可以将需要禁止的数据包在这里给丢掉。 网络的不安全因素 一个网络系统的最主要的目的是实现“资源共享”，同时实现对数据的协作处理、信息的传递等等。网络自身的这种开放性是引发网络安全问题的最直接原因。 网络的不安全因素有以下几类： 环境：各类天灾及事故都会对网络造成损害，令网络完全瘫痪或不能正常工作。 资源共享：包括硬件共享、软件共享、数据共享。资源的相互共享为异地用户提供了方便，同时也给非法用户创造了条件。非法用户可以通过终端来窃取信息、破坏信息。共享资源与使用者之间有相当一段距离，这也为窃取信息在时间和空间上提供了便利条件。 数据传输：信息需要通过数据通信来传输。在传输过程中，信息容易被窃听、修改。 计算机病毒：借助网络，病毒可以在短时间内感染大量的计算机，使网络趋于瘫痪。如“蠕虫”病毒及电子邮件“炸弹”。 网络管理：对系统的管理措施不当，会造成设备的损坏、重要信息的人为泄露等等。 防火墙的作用 中世纪城堡的护城河 我们将防火墙比作中世纪城堡的护城河，并且像护城河一样，防火墙不是坚不可摧的。它不防备已经是里面的人；如果与内部的防御相配合，它工作的最好；同时，即使您把所有的船都收藏起来，人们有时仍然能设法横渡。构筑防火墙需要昂贵的花费和努力，而且它对内部人员的限制是令人厌烦的。 防火墙对网络威胁进行极好的防范，但是，它们不是安全解决方案的全部。某些威胁是防火墙力所不及的。 防火墙不能防范恶意的知情者：防火墙可以禁止系统用户通过网络发送专有的信息。但是用户可以将数据复制到磁盘或者纸上，放在公文包里带出去。如果侵袭者已经在防火墙的内部，防火墙实际上无能为力。 防火墙对不通过它的连接难有作为：防火墙能有效的控制穿过它的传输信息，但对于不穿过它的传输信息无能为力。 防火墙不能防备所有新的威胁：一个好的设计能防备新的威胁，但没有防火墙能自动防御所有新的威胁。人们不断发现利用以前可信赖的服务的新的侵袭方法。 防火墙不能防备病毒：有太多种的病毒和太多种的方法可以使得病毒隐藏在数据中。 防火墙的分类 一般把防火墙分为两类：网络层防火墙、应用层防火墙。网络层的防火墙主要获取数据包的包头信息，如协议号、源地址、目的地址、目的端口等或者直接获取包头的一段数据。应用层的防火墙对于整个信息流进行分析。 实现防火墙时，共有以下几种： 应用网关（application gateway）： 检验通过此网关的所有数据包中的应用层的数据；经常是由经过修改的应用程序组成运行在防火墙上。如FTP应用网关，对于连接的client端来说是一个FTP server，对于server端来说是一个FTP client。连接中传输的所有ftp数据包都必须经过此FTP应用网关。 电路级网关（circuit-level gateway）： 此电路指虚电路。在