NetScreen防火墙策略与冗余配置指南研究.pdfVIP

NetScreen防火墙策略与冗余配置指南 游凯 (成都通信建设工程局，成都611130) 摘要：本文通过对Net：％reen访问策略其防火墙配置介绍，简要介绍了如何对该产品冗余配置的思路。 关键词：NetScreen；防火墙；NSRP；策略；配置；冗余 1．2策略的构成元素 1 NetScreen访问策略的基本概念 信息流(或“服务”)的类型、两端点的位置以 NetScreen设备是基于ASIC的、经ICSA认证 及调用的动作构成了策略的基本元素。共同构 1的互联网安全装置和安全系统，它结合防火墙、 成策略核心的必要元素如下： 虚拟专用网(VPN)和信息流整形功能，当连接到 *方向一两个安全区段(从源区段到目的区 互联网时，对安全区段，如内部局域网(LAN)或段)间信息流的方向 隔离区段(DMZ)提供灵活的保护。 *源地址一信息流发起的地址 *防火墙：防火墙筛选通过专用LAN和公 -k目的地址一信息流发送到的地址 用网(如互联网)之间边界的信息流。 -g-服务一信息流传输的类型 *VPN：VPN提供一个在两个或多个远程网 *动作--NetScreen设备接收到满足头四个 络装置之间的安全通道。 标准的信息流时执行的动作，这些标准为：permit、 *信息流整形：信息流整形功能允许对通过 deny、NAT，或tunnel NetScreen固防火墙的信息流进行管理监控和控相关名词解释如下： 制，来维护网络的服务质量(QoS)级别。 区段 NetScreen防火墙的缺省行为是拒绝安全区区段可以是网络空间中应用了安全措施的部 分(安全区段)、绑定了VPN通道接口的逻辑部分 段间的所有信息流(UntⅢst区段内的信息流除 外)。为了允许选定的区段间信息流通过 (通道区段)，或者是执行特定功能的物理或逻辑 NetScreen设备，必须创建覆盖缺省行为的区段间实体(功能区段)。策略允许信息流在两个安全 策略。同样，为了防止选定的区段内部信息流通 区段间流动(区段间策略)，或在两个绑定到同一 过NetScreen设备，必须创建区段内部策略。 区段的接口间流动(区段内部策略)。 1．1策略定义 地址 防火墙提供具有单个进入和退出点的网络边 地址是通过相对于防火墙(在一个安全区段 界。由于所有信息流都必须通过此点，因此可以 中)的位置，识别网络设备(如主机和网络)的对 筛选并引导所有通过执行策略组列表产生的信息 象。要为特定地址创建策略，必须首先在地址列 流。策略能允许、拒绝、加密、认证、排定优先次 表中创建相关主机和网络的条目。也可创建地址 序、调度以及监控尝试从一个安全区段流到另一 组，并将策略应用到地址组，就象应用到其它地址 个安全区段的信息流。可以决定哪些用户和信息 条目一样。 能进入和离开，以及它们进入和离开的时间和地 服务 点。 服务是使用第4层信息(如应用程序服务 作者简介：游凯．毕业于北京邮电大学，成都通信建设工程局CPRS核心网络测试工程师，长期从事GPRs核心网络测试等项目实施，积累 了丰富的核心网理论和实践知识．现积极参与阿尔卡特GPRS核心网络产品的现网测试工程中。对GPRS核心M络方面知识有 较深的理解。 ·243· TcInel、兀P、s岍P和mTP