Netscreen防火墙培训.ppt
Netscreen防火墙培训,ISMP项目组2008.2,了解防火墙的基本概念 熟悉Netscreen ISG1000防火墙产品 能够对ISG1000防火墙进行规划和配置,学习完本课程,您应该能够:,学习目标,内容,防火墙基础知识 Netscreen ISG1000防火墙简介 ISMP平台防火墙的典型组网方式 ISG1000防火墙配置规划 ISG1000防火墙配置步骤 ISG1000防火墙的维护,简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙具有如下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻 击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如Ethernet、Token Ring、FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。,连接不受信网络区域,连接受信网络区域,在连接受信网络区域和非受信网络区域之间的区域,一般称为DMZ。,防火墙的概念,防火墙的硬件发展过程:1、一般是直接安装在PC上的一套软件,基于PC提供基本的安全防护,此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。2、采用PC硬件结构,基于linux等开发源代码的操作系统内核,开发了安全防护的一些基本特性构成硬件防火墙产品形态。国内大部分防火墙产品都是采用这种方式开发。从外观上面看,该种防火墙是一个硬件防火墙产品,但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。代表产品有天融信公司的防火墙产品3、采用独立设计的硬件结构,在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构,保证防火墙产品可以得到最优的处理性能。代表产品有junipher公司的Netscreen 208产品、NetScreen 500等防火墙产品。,防火墙的发展历程,路由器的特点:保证互联互通。按照最长匹配算法逐包转发。路由协议是核心特性。,防火墙的特点:逻辑子网之间的访问控制,关注边界安全基于连接的转发特性。安全防范是防火墙的核心特性。,由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点,因此路由器设备不适合做非常复杂的业务,复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备,支持高速、安全、丰富的业务特性。,防火墙和路由器的差异,按照防火墙实现的方式,一般把防火墙分为如下几类:包过滤防火墙(Packet Filtering)包过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。代理型防火墙(application gateway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品为状态检测防火墙。,防火墙的分类,IP包过滤技术,包过滤利用定义的特定规则过滤数据包。对防火墙需要转发的数据包,防火墙直接获得其IP源地址、目的地址、TCP/UDP的源端口、目的端口等包头信息。然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制策略(policy)。,Internet,公司总部,内部网络,未授权用户,办事处,访问控制policy,一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):,状态防火墙通过检测基于TCP/UDP连接的连接状态,来动态的决定报文是否可以通过防火墙。在状态防火墙中,会维护着一个Session表项,通过Session表项就可以决定哪些连接是合法访问,哪些是非法访问。,状态检测技术,状态防火墙包处理流程,防火墙基础区域,防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域,Local区域,Trust区域,DMZ区域,UnTrust区域,接口1,接口2,接口3,接口4,防火墙上主要有4个安全区域:非受信区(Untrust):低级的安全区域.非军事化区(DMZ):中度级别的安全区域.受信区(Trust):较高级别的安全区域.管理区域(MGT):管理区此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。,防火墙基础区域,Ethernet,外部网络,Ethernet,NetscreenISG1000,Server,Server,Trust,Untrust,DMZ,ethernet,3/1,ethernet,3/2,ethernet,2/1,内部网络,防火墙基础区域,防火墙基础转发规则,路由器的安全规则定义在接口上,而防火墙的安全规则定义在安全区域之间,不允许来自10.0.0.1的数据报从这个接口出去,Local区域,Trust区域,DMZ区域,UnTrust区域,接口1,接口2,接口3,接口4,禁止所有从DMZ区域的数据报转发到UnTrust区域,域间的数据流分两个方向:入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。,In,Out,In,Out,In,Out,In,Out,防火墙基础转发规则,本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃接口没有加入域之前不能转发报文,In,Out,In,Out,In,Out,In,Out,防火墙基础转发规则,路由模式透明模式混合模式,防火墙基础模式分类,防火墙基础路由模式,可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。,防火墙基础透明模式,透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备处于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。,防火墙基础混合模式,混合模式是指防火墙一部份接口工作在透明模式,另一部分接口工作在路由模式。提出混合模式的概念,主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址,而透明模式无法实现这一点。目前很多新型防火墙已经支持透明模式下的双机热备。,防火墙基础双机热备,什么是双机热备?所谓双机热备其实是双机状态备份,当两台防火墙,在确定主从防火墙后,由主防火墙进行业务的转发,而从防火墙处于监控状态,同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息,当主防火墙出现故障后,从防火墙会及时接替主防火墙上的业务运行。,内容,防火墙基础知识 Netscreen ISG1000防火墙简介 ISMP平台防火墙的典型组网方式 ISG1000防火墙配置规划 ISG1000防火墙配置步骤 ISG1000防火墙的维护,Netscreen防火墙介绍,Netscreen 防火墙的简介 Difference 安全架构 专用硬件平台 集成安全网关(ISG)系列 特性与优势 ISG1000 硬件特性 性能参数,Juniper网络公司集成安全产品是执行关键安全功能的专用产品,优化用于最大限度地提供性能,由安全性特定的实时操作系统ScreenOS所控制。Juniper网络公司集成安全产品包括大量专用的高性能平台,可跨越大量高密度的局域网/广域网接口提供集成安全性和局域网/广域网路由功能,满足中小企业、大型分布式企业及电信运营商的许多需求。这些集成产品可保护网络免遭所有形式的攻击和恶意软件威胁,同时促进企业间的安全通信。,Netscreen防火墙简介,The NetScreen Difference,通过新一代体系结构完成业界领先的性能和安全保护专用加密加速 ASICASIC 可处理 DES,3DES,MD5,SHA1,PKI 加速,Session查找,TCP 头解析,认证,NAT,随即数产生和策略查询(每秒25 million策略).超级性能 single,multi,与 parallel 处理板基于需求定制,安全优化的操作系统ScreenOS核心技术高度集成基于状态过滤的防火墙攻击检测与保护VPN/PKI流量管理/带宽管理端到端的解决方案提供灵活的网络结构全面的设备管理方法,安全架构,全面的安全策略,Firewall,VPN,IntrusionDetection,Anti-Virus,Denial of Service,High Availability,Remote Access,User Authentication,Dynamic Routing,NAT Traversal,PKI,Global Management,NetScreen 专用硬件平台,传统设计,NetScreen 设计,Multiple passes across the bus No separation of the data&control planes,Single pass across the bus Separation of data&control planes,集成式安全网关(ISG),Juniper网络公司集成式安全网关(ISG)是一种专用安全解决方案,它采用了第四代安全ASIC GigaScreen3,以及高性能微处理器,能够提供无与伦比的防火墙和VPN性能。Juniper网络公司 ISG 1000 和 ISG 2000 非常适合因需要运行VoIP和流媒体等高级应用而需要可以扩展的一致性能的企业、运营商和数据中心环境。ISG 1000和ISG 2000 将最佳深层检测防火墙、VPN和DoS解决方案集成在一起不但能提供安全、可靠的连接,还能为重要的高流量网段提供网络和应用级保护。,ISG 1000:ISG 1000是一个完全集成的FW/VPN/IDP系统,具有千兆性能、模块化架构和丰富的虚拟化功能。基础FW/VPN系统提供四个固定10/100/1000接口,以及两个额外的I/O模块,以支持接口扩展。ISG 2000:ISG 2000 是一种完全集成的FW/VPN/IDP系统,具有千兆性能、模块化架构和丰富的虚拟化功能。基础FW/VPN系统最多支持四个I/OS模块和三个安全模块,以支持IDP 集成。,NetScreen-ISG1000,NetScreen-ISG1000 特性与优势,硬件特性第四代安全ASIC GigaScreen3以及高性能微处理器多总线结构:独立的管理和数据总线可靠的设计冗余热插拔电源(DC or AC)、热插拔风扇2U,19”模块化架构,2 个I/O 接口插槽4个10/100/1000Mbps 以太口,可用于冗余HA等高端的性能千兆性能丰富的虚拟化功能,ISG系列性能参数,ISG系列性能参数,ISG系列性能参数,内容,防火墙基础知识 Netscreen ISG1000防火墙简介 ISMP平台防火墙的典型组网方式 ISG1000防火墙配置规划 ISG1000防火墙配置步骤 ISG1000防火墙的维护,ISMP平台防火墙的典型组网方式,内容,防火墙基础知识 Netscreen ISG1000防火墙简介 ISMP平台防火墙的典型组网方式 ISG1000防火墙配置规划 ISG1000防火墙配置步骤 ISG1000防火墙的维护,ISG1000防火墙配置规划,主机名规划 区域及接口用途规划 IP地址规划 路由规划 地址映射规划 安全策略规划 SNMP、NTP、DNS、LOG及其它,主机名规划,ISMP工程中防火墙设备主机名命名方案统一规划为:省名+ISMP+设备型号_To外网名_序号本次工程中防火墙型号主要有ISG1000和ASA510两种。例:安徽电信ISMP平台连接163公网的2台防火墙分别命名为 AH_ISMP_ISG1000_To163_1 AH_ISMP_ISG1000_To163_2,区域及接口用途规划,虚拟路由器(Virtual Router):默认只有1个trust-vr,网络复杂,可使用多个虚拟路由器,虚拟路由器之间可使用动态路由协议或静态路由通信。ISMP工程中,一般将这几个所用的区域全部放到trust-tr 1个VR中。多个VR,虽然访问控制更加灵活,但VR之间配置复杂。区域(Zones):ISG1000默认共有14个zones,简单网络只需要trust、untrust、DMZ、HA等。在ISMP系统防火墙上,可以把ISMP系统放置于Trust区,ISMP平台所连接的电信外围设备放置于DMZ区,Internet放置于Untrust区。接口(Interface):ISG1000共有 2个流量板,接口命名及用途规划参考IP地址规划。,IP地址规划,路由规划,各接口区域均在一个VR(trust-vr)里,路由配置较简单。只需要在trust-vr里配置出去的默认路由、内网的回程路由以及DMZ区向路由。各接口区域不在一个VR里,在每个VR里,还需要配置VR间的转发路由。复杂情况,可启用动态路由协议。,地址映射规划,在ISMP平台应用中,各接口机和门户服务器需做地址映射以提供网外访问。示例如下:,安全策略规划一,设备登录控制 网络设备配置需要保护,防止非授权访问非常重要。各种登录账户、权限需求在实施配置前也必须进行详细调研规划。可主要考虑console、telnet、SSH、WEBUI等授权访问方式中的登录账户、权限及密码规划。,安全策略规划二,业务访问控制,SNMP、NTP、DNS、LOG等,SNMP:简单网络管理协议。需要规划确认只读、可写字符串(community),SNMP trap的IP地址等信息。NTP:时钟同步。ntp server最好设置一个主用时钟,一个备用时钟。Logging:日志系统。需要规划确认日志服务器的IP地址及日志接收级别。DNS:域名系统。ISMP平台一般不需要。设备域名后缀。ISMP平台一般不需要。其他(略),内容,防火墙基础知识 Netscreen ISG1000防火墙简介 ISMP平台防火墙的典型组网方式 ISG1000防火墙配置规划 ISG1000防火墙配置步骤 ISG1000防火墙的维护,ISG1000防火墙配置步骤,主机名、SNMP、NTP、DNS、LOG等管理性配置(略)配置区域配置端口/加入域配置NSRP(双机)验证双机配置配置地址转换定义policy在域间应用policy校验业务配置,配置区域/虚拟路由器,配置端口/加入区域,配置端口/加入区域,配置NSRP(双机),配置NSRP(双机),定义优先级,如果两台防火墙定义的优先级相同,则根据序列号的大小决定主备关系,可以定义对端口/域进行监控,作为双机切换的依据,双机配置检查,主机,备机,配置地址转换,配置地址转换,定义IP映射/端口映射,一对一地址映射(mapped ip),定义policy,定义policy,在域间应用policy,在域间应用policy,校验防火墙配置,校验双机状态检查双机切换对于业务是否有影响校验配置同步情况 检查主备机的配置是否同步的,可以通过比较配置来实现校验业务是否正常,内容,防火墙基础知识 Netscreen ISG1000防火墙简介 ISMP平台防火墙的典型组网方式 ISG1000防火墙配置规划 ISG1000防火墙配置步骤 ISG1000防火墙的维护,Netscreen防火墙的维护,Netscreen防火墙的维护,谢 谢!,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,