中国移动Netscreen防火墙安全配置手册V.docx

中国移动Netscreen防火墙安全配置手册V中国移动Netscreen防火墙安全配置手册 密 级： 文档编号： 项目代号： 中国移动Netscreen防火墙 安全配置手册 Version 1.0 中国移动通信有限公司 二零零四年十二月 第 1 页 共 71 页 目录 1 2 综述. 3 Netscreen的几种典型配置 . 4 2.1 典型配置跟踪IP地址 . 4 2.2 典型配置接口模式配置 . 5 2.2.1 透明模式 . 5 2.2.2 路由模式 . 8 2.2.3 NAT模式 . 11 2.3 典型配置信息流整形与优先级排列 . 13 2.3.1 信息流整形 . 13 2.3.2 优先级排列 . 18 2.4 典型配置攻击监视 . 23 2.5 典型配置三层IP欺骗保护 . 24 2.6 典型配置基于源的会话限制 . 26 2.7 典型配置SYN泛滥保护 . 27 2.8 典型配置URL过滤配置 . 30 2.9 典型配置站点到站点IPSEC VPN 配置 . 33 2.10 典型配置高可靠性 . 44 2.10.1 NSRP 概述 . 44 2.10.2 主动/被动配置的NSRP . 45 2.10.3 双主动配置的NSRP . 48 3 Netscreen防火墙自身加固 . 54 3.1 网管及认证问题 . 54 3.1.1 远程登录 . 54 3.1.2 帐号和密码管理 . 56 3.1.3 帐号认证和授权 . 57 3.1.4 SNMP协议 . 58 3.1.5 HTTP的配置要求 . 59 3.2 安全审计 . 61 3.2.1 针对重要策略开启信息流日志 . 62 3.2.2 根据需要开启SELF日志功能. 62 3.2.3 将日志转发至SYSLOG服务器 . 62 3.3 设备IOS升级方法 . 63 3.3.1 前期准备 . 63 3.3.2 升级操作 . 64 3.4 特定的安全配置 . 65 3.4.1 NetScreen防火墙的防攻击选项 . 65 3.4.2 NetScreen防火墙防攻击选项配置方法 . 71 第 2 页 共 71 页 1 综述 本配置手册介绍了Netscreen防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。同时也提供了Netscreen防火墙自身的安全加固建议，防止针对防火墙的直接攻击。通用和共性的有关防火墙管理、技术、配置方面的内容，请参照中国移动防火墙安全规范。 第 3 页 共 71 页 2 Netscreen的几种典型配置 2.1 典型配置跟踪IP地址 NetScreen 设备可以通过接口跟踪指定的IP 地址，所以，如果一个或多个IP 地址不可达，NetScreen 设备就可以禁用所有与该接口相关联的路由，即使物理链接仍处于活动状态5。在NetScreen 设备与这些IP 地址重新取得联系后，禁用的路由就恢复为活动路由。 类似于NSRP 中使用的功能， NetScreen 使用第3 层路径监控或IP 跟踪监控经过接口的指定IP 地址的可达性。例如，如果接口直接连接到路由器，则可跟踪接口的下一跳跃地址，以确定该路由器是否仍旧可达。在配置接口上的IP跟踪时，NetScreen 设备在接口上向最多4 个目标IP 地址以用户定义的时间间隔发送ping 请求。NetScreen 设备监控这些目标以确定是否能接收到响应。如果目标在指定的次数内未响应，则视该IP 地址为不可达。不能引发一个或多个目标响应时，会导致NetScreen 设备禁用与该接口相关联的路由。如果存在另外一个连接同一目标的路由，NetScreen 设备就会重新定向信息流以使用新路由。 WebUI Network > Interfaces > Edit ( 对于ethernet3) > Track IP Options: 输入以下内容，然后单击Apply: Enable Track IP: ( 选择) Threshold: 5 > Track IP: 输入以下内容，然后单击Add: Static: (选择) Track IP: 1.1.1.250 Weight: 10 CLI set interface ethernet3 track-ip set interface ethernet3 track-ip threshold 5 set interface ethernet3 track-ip ip 1.1.1.250 weight 10 第 4 页 共 71 页 2.2 典型配置接口模式配置 2.2.1 透明模式 接口为透明模式时，NetScreen 设备过滤通过防火墙的封包，而不会修改IP 封包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分，而NetScreen 设备的作用更像是第2 层交换机或桥接器。在透明模式下，接口的IP 地址被设置为0.0.0.0，使得NetScreen 设备对于用户来说是可视或“透明”的。 配置实例： 策略允许V1-Trust 区段中所有主机的外向信息流、邮件服务器的内向SMTP 服务，以及FTP 服务器的内向FTP-GET 服务。为了提高管理信息流的安全性，将WebUI 管理的HTTP 端口号从80 改为5555，将CLI 管理的Telnet 端口号从23改为4646。使用VLAN1 IP 地址1.1.1.1/24 来管理V1-Trust 安全区的NetScreen 设备。定义FTP 和邮件服务器的地址。也可配置到外部路由器的缺省路由(于1.1.1.250 处)，以便NetScreen 设备能向其发送出站VPN 信息流6。(V1-Trust 区段中所有主机的缺省网关也是1.1.1.250。) WebUI 1. VLAN1 接口 Network > Interfaces > Edit ( 对于VLAN1 接口): 输入以下内容，然后单击OK: IP Address/Netmask: 1.1.1.1/24 Management Services: WebUI, Telnet ( 选择) Other Services: Ping ( 选择) 第 5 页 共 71 页 2. HTTP 端口 Configuration > Admin > Management: 在HTTP Port 字段中，键入55557，然后单击Apply。 3. 接口 Network > Interfaces > Edit ( 对于ethernet1 ): 输入以下内容，然后单击OK: Zone Name: V1-Trust IP Address/Netmask: 0.0.0.0/0 Network > Interfaces > Edit ( 对于ethernet3 ): 输入以下内容，然后单击OK: Zone Name: V1-Untrust IP Address/Netmask: 0.0.0.0/0 4. V1-Trust 区段 Network > Zones > Edit ( 对于v1-trust ): 选择以下内容，然后单击OK: Management Services: WebUI, Telnet Other Services: Ping 5. 地址 Objects > Addresses > List > New: 输入以下内容，然后单击OK: Address Name: FTP _Server IP Address/Domain Name: IP/Netmask: ( 选择), 1.1.1.5/32 Zone: V1-Trust Objects > Addresses > List > New: 输入以下内容，然后单击OK: Address Name: Mail_Server IP Address/Domain Name: IP/Netmask: ( 选择), 1.1.1.10/32 Zone: V1-Trust 6. 路由 Network > Routing > Routing Entries > trust-vr New: 输入以下内容，然后单击OK: Network Address/Netmask: 0.0.0.0/0 Gateway: (选择) 第 6 页 共 71 页 Interface: vlan1(trust-vr) Gateway IP Address: 1.1.1.250 Metric: 1 7. 策略 Policies >(From: V1-Trust, To: V1-Untrust) New: 输入以下内容，然后单击OK: Source Address: Address Book Entry: (选择), Any Destination Address: Address Book Entry: (选择), Any Service: Any Action: Permit Policies >(From: V1-Untrust, To: V1-Trust) New: 输入以下内容，然后单击OK: Source Address: Address Book Entry: (选择), Any Destination Address: Address Book Entry: (选择), Mail_Server Service: Mail Action: Permit Policies > (From: V1-Untrust, To: V1-Trust) New: 输入以下内容，然后单击OK: Source Address: Address Book Entry: (选择), Any Destination Address: Address Book Entry: (选择), FTP_Server Service: FTP-GET Action: Permit CLI 1. VLAN1 set interface vlan1 ip 1.1.1.1/24 set interface vlan1 manage web 第 7 页 共 71 页 set interface vlan1 manage telnet set interface vlan1 manage ping 2. Telnet set admin telnet port 4646 3. 接口 set interface ethernet1 ip 0.0.0.0/0 set interface ethernet1 zone v1-trust set interface ethernet3 ip 0.0.0.0/0 set interface ethernet3 zone v1-untrust 4. V1-Trust 区段 set zone v1-trust manage web set zone v1-trust manage telnet set zone v1-trust manage ping 5. 地址 set address v1-trust FTP_Server 1.1.1.5/32 set address v1-trust Mail_Server 1.1.1.10/32 6. 路由 set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 1.1.1.250 metric 1 7. 策略 set policy from v1-trust to v1-untrust any any any permit set policy from v1-untrust to v1-trust any Mail_Server mail permit set policy from v1-untrust to v1-trust any FTP_Server ftp-get permit 2.2.2 路由模式 接口为路由模式时，NetScreen 设备在不同区段间转发信息流时不执行源NAT (NAT-src) ；即，当信息流穿过NetScreen 设备时，IP 封包包头中的源地址和端口号保持不变。与NAT-src 不同，目的地区段接口为路由模式时，不需要为了允许入站信息流到达主机而建立映射IP (MIP) 和虚拟IP (VIP) 地址。与透明模式不同，每个区段内的接口都在不同的子网中。 第 8 页 共 71 页 配置实例： Trust 区段LAN 中的主机具有私有IP 地址和邮件服务器的映射IP。在以下相同网络(受运行在路由模式下的NetScreen 设备保护) 的范例中，要注意，主机具有公共IP 地址，且邮件服务器不需要MIP。所有安全区都在trust-vr 路由选择域中。 WebUI 1. 接口 Network > Interfaces > Edit ( 对于ethernet1 ): 输入以下内容，然后单击Apply: Zone Name: Trust Static IP: (出现时选择此选项) IP Address/Netmask: 1.2.2.1/24 输入以下内容，然后单击OK: Interface Mode: Route15 Network > Interfaces > Edit ( 对于ethernet3 ): 输入以下内容，然后单击OK: Zone Name: Untrust Static IP: (出现时选择此选项) IP Address/Netmask16 : 1.1.1.1/24 2. 地址 Objects > Addresses > List > New: 输入以下内容，然后单击OK: Address Name: Mail Server IP Address/Domain Name: IP/Netmask: ( 选择), 1.2.2.5/32 Zone: Trust 3. 路由 Network > Routing > Routing Entries > trust-vr New: 输入以下内容，然后单击OK: 第 9 页 共 71 页 Network Address/Netmask: 0.0.0.0/0 Gateway: (选择) Interface: ethernet3 Gateway IP Address: 1.1.1.250 4. 策略 Policies > (From: Trust, To: Untrust) New: 输入以下内容，然后单击OK: Source Address: Address Book Entry: (选择), Any Destination Address: Address Book Entry: (选择), Any Service: ANY Action: Permit Policies > (From: Untrust, To: Trust) New: 输入以下内容，然后单击OK: Source Address: Address Book Entry: (选择), Any Destination Address: Address Book Entry: (选择), Mail Server Service: MAIL Action: Permit CLI 1. 接口 set interface ethernet1 zone trust set interface ethernet1 ip 1.2.2.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route 2. 地址 set address trust mail_server 1.2.2.5/24 第 10 页 共 71 页 3. 路由 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 4. 策略 set policy from trust to untrust any any any permit set policy from untrust to trust any mail_server mail permit 2.2.3 NAT模式 入口接口处于“网络地址转换(NAT)”模式下时，NetScreen 设备的作用与第3 层交换机(或路由器) 相似，将通往Untrust 区段的外向IP 封包包头中的两个组件进行转换: 其源IP 地址和源端口号。NetScreen 设备用Untrust 区段接口的IP 地址替换发端主机的源IP 地址。另外，它用另一个由NetScreen 设备生成的任意端口号替换源端口号。 配置实例： LAN 受NAT 模式下的NetScreen 设备保护。策略允许Trust 区段中所有主机的外向信息流和邮件服务器的内向邮件。内向邮件通过虚拟IP 地址被发送到邮件服务器。Trust和Untrust 区段都在trust-vr 路由选择域中。 WebUI 1. 接口 Network > Interfaces > Edit ( 对于ethernet1 ): 输入以下内容，然后单击Apply: Zone Name: Trust Static IP: (出现时选择此选项) IP Address/Netmask: 10.1.1.1/24 输入以下内容，然后单击OK: Interface Mode: NAT Network > Interfaces > Edit ( 对于ethernet3 ): 输入以下内容，然后单击OK: Zone Name: Untrust 第 11 页 共 71 页 Static IP: (出现时选择此选项) IP Address/Netmask11 : 1.1.1.1/24 Interface Mode: 路由 2. VIP12 Network > Interfaces > Edit ( 对于ethernet3 ) > VIP: 输入以下内容，然后单击Add: Virtual IP Address: 1.1.1.5 Network > Interfaces > Edit ( 对于ethernet3 ) > VIP > New VIP Service: 输入以下内容，然后单击OK: Virtual Port: 25 Map to Service: Mail Map to IP: 10.1.1.5 3. 路由 Network > Routing > Routing Entries > trust-vr New: 输入以下内容，然后单击OK: Network Address/Netmask: 0.0.0.0/0 Gateway: (选择) Interface: ethernet3 Gateway IP Address: 1.1.1.250 4. 策略 Policies > (From: Trust, To: Untrust) New: 输入以下内容，然后单击OK: Source Address: Address Book Entry: (选择), Any Destination Address: Address Book Entry: (选择), Any Service: ANY Action: Permit Policies > (From: Untrust, To: Global) New: 输入以下内容，然后单击OK: Source Address: Address Book Entry: (选择), Any Destination Address: 第 12 页 共 71 页 Address Book Entry: (选择), VIP(1.1.1.5) Service: MAIL Action: Permit CLI 1. 接口 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route 2. VIP set interface ethernet3 vip 1.1.1.5 25 mail 10.1.1.5 3. 路由 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 4. 策略 set policy from trust to untrust any any any permit set policy from untrust to global any vip(1.1.1.5) mail permit 2.3 典型配置信息流整形与优先级排列 2.3.1 信息流整形 信息流整形是指为接口上的每一位用户和应用程序分配适当的网络带宽数量。适当的带宽数量指在保证服务质量(QoS) 的前提下具成本效益的载流容量。通过创建策略并将适当的速率控制应用到流经NetScreen 设备的每一种信息流类别，您可使用NetScreen 设备对信息流进行整形。 配置实例： 第 13 页 共 71 页 在本例中，您需要在T3 接口上划分45Mbps 的带宽，其中该接口处于同一子网的三个部门之间。ethernet1 接口被绑定到Trust 区段，而ethernet3 被绑定到Untrust 区段。 WebUI 1. 接口带宽 Network > Interfaces > Edit ( 对于ethernet1 ): 输入以下内容，然后单击OK: Traffic Bandwidth: 450002 Network > Interfaces > Edit ( 对于ethernet3 ): 输入以下内容，然后单击OK: Traffic Bandwidth: 45000 2. 策略带宽 Policies > (From: Trust, To: Untrust) New: 输入以下内容，然后单击OK: Name: Marketing Traffic Shaping Source Address: Address Book Entry: (选择), Marketing Destination Address: Address Book Entry: (选择), Any Service: Any Action: Permit VPN Tunnel: None3 > Advanced: 输入以下内容，然后单击Return，设置高级选项并返回基本配置页: Traffic Shaping: ( 选择) Guaranteed Bandwidth: 10000 第 14 页 共 71 页 Maximum Bandwidth: 15000 Policies > (From: Trust, To: Untrust) New: 输入以下内容，然后单击OK: Name: Sales Traffic Shaping Policy Source Address: Address Book Entry: (选择), Sales Destination Address: Address Book Entry: (选择), Any Service: Any Action: Permit > Advanced: 输入以下内容，然后单击Return，设置高级选项并返回基本配置页: Traffic Shaping: ( 选择) Guaranteed Bandwidth: 10000 Maximum Bandwidth: 10000 Policies > (From: Trust, To: Untrust) New: 输入以下内容，然后单击OK: Name: Support Traffic Shaping Policy Source Address: Address Book Entry: (选择), Support Destination Address: Address Book Entry: (选择), Any Service: Any Action: Permit > Advanced: 输入以下内容，然后单击Return，设置高级选项并返回基本配置页: Traffic Shaping: ( 选择) Guaranteed Bandwidth: 5000 Maximum Bandwidth: 10000 Policies > (From: Untrust, To: Trust) New: 输入以下内容，然后单击OK: Name: Allow Incoming Access to Marketing 第 15 页 共 71 页 Source Address: Address Book Entry: (选择), Any Destination Address: Address Book Entry: (选择), Marketing Service: Any Action: Permit > Advanced: 输入以下内容，然后单击Return，设置高级选项并返回基本配置页: Traffic Shaping: ( 选择) Guaranteed Bandwidth: 10000 Maximum Bandwidth: 10000 Policies > (From: Untrust, To: Trust) New: 输入以下内容，然后单击OK: Name: Allow Incoming Access to Sales Source Address: Address Book Entry: (选择), Any Destination Address: Address Book Entry: (选择), Sales Service: Any Action: Permit > Advanced: 输入以下内容，然后单击Return，设置高级选项并返回基本配置页: Traffic Shaping: ( 选择) Guaranteed Bandwidth: 5000 Maximum Bandwidth: 10000 Policies > (From: Untrust, To: Trust) New: 输入以下内容，然后单击OK: Name: Allow Incoming Access to