NetScreen操作手册
(ScreenOS 4.0)
广州市新科新信息技术有限公司
2013年5月5日
Netscreen OS 4.0 维护手册------目录
目录
1
概念与简介 ............................................................................................................................................. 3 1.1
Universal Security Gateway Architecture(通用安全网关架构) ............................................. 3 1.1.1 Multiple Security Zones(多安全区域) ............................................................................ 3 1.1.2 Security Zone Interfaces(安全区域端口) ....................................................................... 3 1.1.3 Virtual Routers(虚拟路由器) .......................................................................................... 3 1.1.4 Access Policies(访问策略) ............................................................................................. 4 1.1.5 VPNs(虚拟专用网络)................................................................................................ 4 1.1.6 Virtual Systems(虚拟系统) ............................................................................................. 4 1.1.7 Packet Flow Sequence(数据包处理过程) ...................................................................... 4 1.2 Zones(区域) ............................................................................................................................ 5
1.2.1 Security Zones(安全区域) .............................................................................................. 5 1.2.2 Tunnel Zones(隧道区域) ................................................................................................ 5 1.2.3 Function Zones(功能区域) ............................................................................................. 5 1.3 Interfaces(端口)....................................................................................................................... 7
1.3.1 Interfaces Types(端口类型) ............................................................................................ 7 1.3.2 Interfaces Settings And Operation Modes(端口设置和运行模式) ................................ 7 1.3.3 Secondary IP Addresses(第二IP地址) .......................................................................... 8 1.3.4 Management Services Options(管理服务选项).............................................................. 8 1.3.5 Interface Services Options(端口服务选项) .................................................................... 8 1.3.6 Firewall Options(防火墙选项) ....................................................................................... 8 1.4 Administration(管理) ......................................................................................................... 9
1.4.1 Management Methods and Tools(管理方法和工具) ................................................. 9 1.4.2 Levels of Administration(管理权限等级) ................................................................. 9 2
基本管理 ............................................................................................................................................... 12 2.1 2.2 2.3
通讯连接的设置 ................................................................................................................... 12 Web管理连接设置 ............................................................................................................... 14 防火墙基本设置 ................................................................................................................... 17 2.3.1 设置访问超时时间 ....................................................................................................... 17 2.3.2 设置管理员 ................................................................................................................... 18 2.3.3 设置DNS ...................................................................................................................... 20 2.3.4 设置Zone(安全区域) .............................................................................................. 21 2.3.5 设置Interface(接口) ..................................................................................................... 22 2.3.6 设置router(路由) .......................................................................................................... 25 2.3.7 设置policy(策略) .................................................................................................... 27 2.3.8 保存配置及配置文件 ................................................................................................... 31
3 透明模式 ............................................................................................................................................... 33 3.1 3.2 3.3
设置管理端口 ....................................................................................................................... 33 设置透明模式 ....................................................................................................................... 34 其他相关命令 ....................................................................................................................... 34
4 NAT模式及Route模式 ....................................................................................................................... 35
广州市新科新信息技术有限公司 第1页
Netscreen OS 4.0 维护手册------目录
4.1
NAT模式 .............................................................................................................................. 35 4.1.1 基于端口的NAT .......................................................................................................... 36 4.1.2 基于策略的NAT .......................................................................................................... 37 4.2 Route模式 ............................................................................................................................ 39 4.3 MIP和VIP ........................................................................................................................... 39
4.3.1 MIP ................................................................................................................................ 39 4.3.2 VIP ................................................................................................................................ 42 4.4 DIP(虚拟IP) .................................................................................................................... 44 5
VPN(虚拟专用网络) ............................................................................................................................ 46 5.1
Manual Key ........................................................................................................................... 46
5.1.1 配置Manual Key .......................................................................................................... 46 5.1.2 配置路由 ....................................................................................................................... 47 5.1.3 配置Policy .................................................................................................................... 47 5.2 AutoKey IKE ......................................................................................................................... 49
5.2.1 Policy-based IKE ........................................................................................................... 49 5.2.2 Route-based IKE ........................................................................................................... 51 5.3 VPN TroubleShooting(VPN 错误检测) ......................................................................... 52 6
常见问题及解决方案 ........................................................................................................................... 53 6.1
透明模式 ............................................................................................................................... 53
6.1.1 配置管理问题 ............................................................................................................... 53 6.1.2 连接问题 ....................................................................................................................... 53 6.2 NAT和Route模式 ............................................................................................................... 55
6.2.1 配置管理问题 ............................................................................................................... 55 6.2.2 连接问题 ....................................................................................................................... 55
广州市新科新信息技术有限公司 第2页
Netscreen 4.0操作手册
1 概念与简介
1.1 Universal Security Gateway Architecture(通用安全网关架构)
NetScreen Screen OS 4.0 引入了Universal Security Gateway Architecture(通用安全网关架构),这个架构使得用户在实施网络安全策略时更具灵活性。在多端口的NetScreen设备中,用户可以建立不同Zone(安全区域),并将端口绑定在不同的安全区域,在端口之间建立相应的安全策略。
1.1.1 Multiple Security Zones(多安全区域)
安全区域是一个或多个需要对进出数据进行策略控制的网络。用户可以根据自己的需要来定义安全区域,也可以利用预定义的安全区域:Trust、Untrust、DMZ(与之前的ScreenOS兼容),安全区域之间的访问只有策略允许下才能进行。 1.1.2 Security Zone Interfaces(安全区域端口)
安全区域的端口可以说是TCP/IP数据通过该安全区域的门口。 端口有两种:
? Physical Interfaces(物理端口):由端口的物理位置定义,如ethernet1、ethernet2(固
定端口)、ethernet2/1、ethernet2/2 (端口模块)
? Subinterfaces(子端口):在支持Virtual System(虚拟系统)的设备上,用户可以将
一个物理端口分成几个虚拟子端口,如ethernet1.1、ethernet1.2(固定端口)、ethernet2/1.1、ethernet2/1.2 (端口模块)。
1.1.3 Virtual Routers(虚拟路由器)
虚拟路由器和路由器的功能是一样的,它有自己的端口和路由表。在USGA,NetScreen设备支持两个虚拟路由器,这样设备可以维护两个独立的路由表,互相隐藏路由信息。
广州市新科新信息技术有限公司 第3页
Netscreen 4.0操作手册
1.1.4 Access Policies(访问策略)
每次有数据包尝试通过另一个安全区域时,NetScreen设备就会检查访问策略,如果有允许的策略的话,就会让数据包通过,否则就会拒绝通过。 1.1.5 VPNs(虚拟专用网络)
所有NetScreen安全设备中都整合了一个全功能VPN解决方案,它们支持站点到站点VPN及远程接入VPN应用。
? 通过VPNC测试,与其他通过IPSec认证的厂家设备兼容。
? 三倍DES,DES和AES加密使用数字证书(PKIX.509),自动的或手动的IKE。 ? SHA-1和MD5认证
? 同时支持网状式(mesh)及集中型(hub and spoke)的VPN网络,可按VPN
部署的需求,配置用其一或整合两种网络拓扑。 NetScreen设备支持多种VPN的选项,具体见VPN章节。 1.1.6 Virtual Systems(虚拟系统)
高端的NetScreen设备(NS-500以上)支持虚拟系统,每个虚拟系统都有独立的地址簿、策略和管理功能,相当独立的安全系统。虚拟系统与802.1q VLAN标记相结合,把安全区域延伸到整个交换网络中。
1.1.7 Packet Flow Sequence(数据包处理过程)
当数据包从外部进入Netscreen设备时,首先是进入外部的接口,判断目的地址是否需要MIP或VIP转换,如果需要按照设定来转换,然后根据查找路由表上是否有路由,如果有查找策略中是否允许数据包进入,当查找到第一条与目的地址有关系的策略时,就根据策略决定是否允许数据包按照路由表的指定来传递,如果允许就传递到目的的地址。
广州市新科新信息技术有限公司 第4页