NetScreen防火墙策略与冗余配置指南.docVIP

百度文库专用 NetScreen防火墙策略与冗余配置指南 成都通信建设工程局 游凯 邮政编码 611130 [摘要] 本文通过对NetScreen访问策略其防火墙配置介绍，简要介绍了如何对该产品冗余配置的思路。 [关键词]NetScreen 防火墙 NSRP 策略 配置 冗余 [正文]目录 1 NetScreen访问策略的基本概念 2 1.1 策略定义 2 1.2 策略的构成元素 2 2 策略简单配置 4 2.1 添加地址条目和地址组 5 2.1.1 添加地址条目 5 2.1.2 添加地址组 6 2.2 创建策略 7 3 Net screen防火墙（HA）配置 11 3.1 线缆的连接 11 3.2 主动NSRP主机上配置 11 3.3 备份NSRP主机上配置 14 3.4 检查NSRP配置同步的两种方式 14 NetScreen访问策略的基本概念 NetScreen 设备是基于ASIC 的、经ICSA 认证1的互联网安全装置和安全系统，它结合防火墙、虚拟专用网(VPN) 和信息流整形功能，当连接到互联网时，对安全区段，如内部局域网(LAN) 或隔离区段(DMZ) 提供灵活的保护。 ? 防火墙：防火墙筛选通过专用LAN 和公用网（如互联网）之间边界的信息流。 ? VPN：VPN 提供一个在两个或多个远程网络装置之间的安全通道。 ? 信息流整形：信息流整形功能允许对通过NetScreen? 防火墙的信息流进行管理监控和控制，来维护网络的服务质量(QoS) 级别。 NetScreen 防火墙的缺省行为是拒绝安全区段间的所有信息流（Untrust 区段内的信息流除外） 。为了允许选定的区段间信息流通过 NetScreen 设备，必须创建覆盖缺省行为的区段间策略。同样，为了防止选定的区段内部信息流通过 NetScreen 设备，必须创建区段内部策略。 策略定义 防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点，因此可以筛选并引导所有通过执行策略组列表产生的信息流。 策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全区段流到另一个安全区段的信息流。 可以决定哪些用户和信息能进入和离开，以及它们进入和离开的时间和地点。 策略的构成元素 信息流（或“服务”）的类型、两端点的位置以及调用 的动作构成了策略的基本元素。共同构成策略核心的必要元素如下： 方向 — 两个安全区段（从源区段到目的区段）间信息流的方向 源地址 — 信息流发起的地址 目的地址 — 信息流发送到的地址 服务 — 信息流传输的类型 动作 — NetScreen 设备接收到满足头四个标准的信息流时执行的动作，这些标准为：permit、deny、NAT，或 tunnel 相关名词解释如下： 区段 区段可以是网络空间中应用了安全措施的部分（安全区段）、绑定了VPN 通道接口的逻辑部分（通道区段），或者是执行特定功能的物理或逻辑实体 （功能区段）。策略允许信息流在两个安全区段间流动（区段间策略），或在两个绑定到同一区段的接口间流动（区段内部策略） 。 地址 地址是通过相对于防火墙（在一个安全区段中）的位置，识别网络设备 （如主机和网络）的对象。要为特定地址创建策略，必须首先在地址列表中创建相关主机和网络的条目。也可创建地址组，并将策略应用到地址组，就象应用到其它地址条目一样。 服务 服务是使用第 4 层信息（如应用程序服务 Telnet、FTP、SMTP 和 HTTP 的标准和公认的TCP 和UDP 端口号）识 别应用程序协议的对象。可以定义策略，指定允许、拒绝、加密、认证、记录或统计哪些服务。 动作 动作是描述防火墙如何处理接收到的信息流的对象。 ? Permit 允许封包通过防火墙。 ? Deny 阻塞封包，使之不能通过防火墙。 ? Tunnel 封装外向 IP 封包和解除内向 IP 封包的封装。对于 L2TP 通道，指定要使用哪个 L2TP 通道。 网络地址转换 (NAT) 可以在接口级（绑定到 Untrust 区段的接口除外）或在策略级应用 NAT。使用基于策略的 NAT，可以转换内向或外 向网络和 VPN 信息流中的源地址。新的源地址可以来自“动态 IP”池，或来自“映射 IP”（对于内向网络信息流以 及内向和外向 VPN 信息流）。 策略简单配置 要允许信息流在两个区段间流动，应在这些区段间创建允许、拒绝或设置信息流通道的策略。如果 NetScreen 设备唯一能够设置（在策略中引用的）源和目的地址间区段内部信息流的路由的网络设备，则也可创建策略，控制同一区段 内的信息流。也可创建全局策略，使用 Global 区段通讯簿中的源和目的地址。 要允许两个区段间（例如，“abc”和“xyz”区段）的双向信息流，需要创建从 “abc”到