NETSCREEN防火墙快速配置文档(范例篇)

L@v@l1HomeL@v@l1HomeComiguratoriL@V'@I3NETSCREEN防火墙快速配置文档（范例篇）Web用户界面为了便于管理，您可使用Web用户界面（WebUI）。NetScreen设备使用Web技术，该技术提供了配置和管理软件的Web服务器界面。TIDHTML叹邮亞电TIDHTML叹邮亞电1V1*1气要使用WebUI，必须具备以下条件：•NetscapeCommunicator（版本4.7或更高版本）或Micros。ftInternetExplorer（版本5.5或更高版本）・TCP/IP网络连接到NetScreen设备WebUI导航级别图下图列出了WebUI中最高的三个导航级别。根据ScreenOS功能的不同需要，可设定其它级别。•Level1包含菜单栏中可见的选项。・Level2包含Level1中菜单项目的更具体的选项。・Level3包含Level2中某些选项的更具体的选项。L@V'@I2DslefTme UplaleAdrrvt AuTi URLFflenngReponSellrgis

命令行界面高级管理员可通过使用命令行界面(CLI)进行更好的控制。要为NetScreen设备配置CLI,可使用任何仿真VT100终端的软件。如果使用终端机仿真器，可使用Windows、UNIX™或Macintosh®操作系统中的控制台配置NetScreen设备。要通过CLI进行远程管理，可使用Telnet或“安全命令外壳”（SCS）。要通过控制台端口进行直接连接，可使用“Hyperterminal®”TelnetTelnet是一个登录及终端仿真协议，该协议使用客户端/服务器关系连接到TCP/IP网络上的网络设备并进行远程配置。管理员在管理工作站上运行Telnet客户端程序并与NetScreen设备上Telnet服务器程序创建连接。登录后，管理员可发出CLI命令，将其发送到NetScreen设备上的Telnet程序，对设备进行有效的配置，好像通过直接连接运行一样。使用Telnet管理NetScreen设备需要以下条件：・管理工作站上有Telnet软件•“以太网”连接到NetScreen设备可通过在虚拟专用网（VPN）通道中封装Telnet流量或通过将其与网络用户流量完全分离来保障它的安全。可通过MGT接口或将一个接口（例如，DMZ）完全专用于管理流量来运行所有的管理流量，具体取决于NetScreen设备型号。注意：有关ScreenOSCLI命令的完整列表，请参阅NetScreenCLIReferenceGuide。范例：绑定接口在本例中，将ethernet5绑定到Trust区段。WebUINetwork>Interfaces>Edit（对于ethernet5）：从ZoneName下拉列表中选择Trust，然后单击OK。CLIsetinterfaceethernet5zonetrustsave范例：编址接口在本例中，将给ethernet5分配IP地址/24、“管理IP”地址。（请注意，“管理IP”地址必须与安全区段接口IP地址在相同的子网中。）最后，将接口模式设置为NAT,将所有内部IP地址转换至绑定到其它安全区段的缺省接口。WebUINetwork>Interfaces>Edit（对于ethernet5）:输入以下内容，然后单击OK：IPAddress/Netmask:/24ManageIP:CLIsetinterfaceethernet5ip/24setinterfaceethernet5manage-ipsave范例：解除接口绑定在本例中，ethernet3的IP地址为/24并且被绑定到Untrust区段。将其IP地址和网络掩码设置为/0并将其绑定到Null区段。WebUINetwork>Interfaces>Edit（对于ethernet3）:输入以下内容，然后单击OK：Zone:NullIPAddress/Netmask:/0CLIsetinterfaceethernet3ip/0setinterfaceethernet3zonenullsave

范例：修改接口上的设置在本例中，对ethernet5进行一些修改，它是一个绑定到Trust区段的接口。将“管理IP”地址从更改为2。为了确保管理信息流的绝对安全，还更改了管理服务选项，启用SCS和SSL并禁用Telnet和WebUI。WebUINetwork>Interfaces>Edit（对于ethernet5）:进行以下修改，然后单击OK：ManageIP:2ManagementServices:（选择）SCS,SSL；（清除）Telnet,WebUICLIsetinterfaceethernet5manage-ip2setinterfaceethernet5managescssetinterfaceethernet5managesslunsetinterfaceethernet5managetelnetunsetinterfaceethernet5managewebsave映射IP地址映射IP(MIP)是一个IP地址到另一个IP地址的一对一直接映射。NetScreen设备将目的地为MIP的内向信息流转发至地址为MIP指向地址的主机。实际上，MIP是静态目的地地址转换。“动态IP”(DIP)将IP封包包头中的源IP地址转换为DIP池中随机选择的地址，而MIP将IP封包包头中的目的地IP地址映射为另一个静态IP地址oMIP允许入站信息流到达接口模式为NAT的区段中的私有地址。MIP还部分解决通过VPN通道连接的两个站点之间地址空间重叠的问题。可在与任何已编号通道接口(即带IP地址/网络掩码的接口)及任何绑定到第3层(L3)安全区段的已编号接口相同的子网中创建MIPo虽然MIP是为绑定到通道区段和安全区段的接口配置的，但是定义的MIP存储在Global区段。联射IP』和联射IP』和untrust医冋的几如仿息汎書TrustyA ■■-;地川映射封10.1.1.HUntrust

区段Urlfjusf&月潯//（/24）拒同的于网中’程在不同的区、般中.MIP^>Tiust区设InterfacefithafneLI,1U.1.1.1/24NAT復式Gkibal

区段范例：将MIP添加到UntrustGkibal

区段在本例中，将ethernetl绑定到Trust区段并为其分配IP地址/24。将ethernet2绑定到Untrust区段并为其分配IP地址/24。然后，配置MIP，将目的地为Untrust区段中的内向HTTP信息流引导至Trust区段中地址为的Web服务器。最后，创建一个策略，允许HTTP信息流从Untrust区段流向Global区段中的MIP。所有安全区段都在trust-vr路由选择域中。

UntrustI订殳InterfaceethAma^./24Trust师出Inlaffmceethemell.^4UntrustI订殳InterfaceethAma^./24Trust师出Inlaffmceethemell.^4Unliust区艮<如*Trust[XU③NatScr^n '1D.1.1.5的踣由井鞘信息讥旳如*th仁MIP->f?Falhfimat2匕配益》Gtobal[畑①通往210.1.1.E的佶息淹到达甜2©NfttScmwi齢:TfttfiS匕为胡IP査號番由桂#FjW?|10.1.15.WebUI接口Network>Interfaces>Edit（对于ethernetl）:输入以下内容，然后单击OK：ZoneName:TrustIPAddress/Netmask:/24Network>Interfaces>Edit（对于ethernet2）：输入以下内容，然后单击OK：ZoneName:UntrustIPAddress/Netmask:/24MIPNetwork>Interfaces>Edit（对于ethernet2）>MIP>New：输入以下内容，然后单击OK：MappedIP:Netmask:55HostIPAddress:HostVirtualRouterName:trust-vr策略Policies>（From:Untrust,To:Global）>New：输入以下内容，然后单击OK：SourceAddress:AddressBook:（选择）,AnyDestinationAddress:AddressBook:（选择），MIP（）Service:HTTPAction:PermitCLI接口setinterfaceethernet1zonetrustsetinterfaceethernet1ip/24setinterfaceethernet2zoneuntrustsetinterfaceethernet2ip/24MIPsetinterfaceethernet2miphostnetmask557vroutertrust-vr策略

setpolicyfromuntrusttoglobalanymip()httppermitsave虚拟IP地址根据TCP或UDP片段包头的目的地端口号，虚拟IP(VIP)地址将在一个IP地址处接收到的信息流映射到另一个地址。例如，・目的地为:80(即，IP地址为,端口为80)的HTTP封包可能映射到地址为0的web服务器。・目的地为:21的FTP封包可能映射到地址为0的FTP服务器。・目的地为:25的FTP封包可能映射到地址为0的FTP服务器。目的地IP地址相同。目的地端口号确定NetScreen设备将信息流转发到的主机。Web胤笛骼lintrufitWeb胤笛骼lintrufit区同 Global区冏 Trust区艮(1□nfrufitIk住搔n iru^t世駁接口€lh3,/24 filhl.10.12.1/2^虚攘(P转岌表UntrustZone中的接口IPGlobalZons申的¥IP空口转規至TnustZon©中的主甫UP/24BO(HTTP) ►0/2421fFg ►10.1.Z2Q/24210.1J.325(SMTP) ►0VIP和Global区段为Untrust区段中的接口设置VIP将在Global区段通讯簿中生成一条条目。不管接口属于哪个区段，Global区段通讯簿保留所有接口的全部VIP。可使用这些VIP地址充当任何两个区段之间策略的目的地地址。范例：配置虚拟IP服务器在本例中，将接口ethernet1绑定到Trust区段并分配IP地址为/24。将接口ethernet3绑定到Untrust区段并分配IP地址为/24。然后，在0配置VIP，以将入站HTTP信息流转发至地址为0的Web服务器，并且创建一个策略，允许信息流从Untrust区段到达Global区段的VIP。由于VIP与Untrust区段接口(/24)在相同的子网中，因此无需为从Untrust区段到达它的信息流定义路由。此外，VIP将信息流转发到的主机不需要通讯簿条目。所有安全区段都在trust-vr路由选择域中。Untrust区段Global区段Trust区段HTTP(80)互展网Web服务器Untrust区段Global区段Trust区段HTTP(80)互展网Web服务器1G.1.1.10Untmsl:区段Interfaceeth3./24Trust区段Interfaceeth1./24VIP0WebUI安全区段接口Network>Interfaces>Edit（对于ethernetl）:输入以下内容，然后单击Apply：ZoneName:TrustIPAddress/Netmask:/24Network>Interfaces>Edit（对于ethernet3）：输入以下内容，然后单击OK：ZoneName:UntrustIPAddress/Netmask:/24VIPNetwork>Interfaces>Edit（对于ethernet3）>VIP:输入以下地址，然后单击Add：VirtualIPAddress:0Network>Interfaces>Edit（对于ethernet3）>VIP>NewVIPService:输入以下内容，然后单击OK：VirtualPort:80MaptoService:HTTP（80）MaptoIP:0策略Policies>（From:Untrust,To:Global）>New：输入以下内容，然后单击OK：SourceAddress:AddressBook:（选择）,ANYDestinationAddress:AddressBook:（选择），VIP（0）Service:HTTPAction:PermitCLI安全区段接口setinterfaceethernet1zonetrustsetinterfaceethernet1ip/24setinterfaceethernet3zoneuntrustsetinterfaceethernet2ip/24VIPsetinterfaceethernet3vip080http0策略setpolicyfromuntrusttotrustanyvip（0）httppermitsave区段间策略区段间策略提供对安全区段间信息流的控制。可以设置区段间策略来允许、拒绝或设置从一个区段到另一个区段的信息流通道。使用状态式检查技术，NetScreen设备保持活动TCP会话表和活动UDP“pseudo”会话表，以便允许它能回应服务请求。例如，如果有一个策略允许从Trust区段中的主机A至OUntrust区段中的服务器B的HTTP请求，则当NetScreen设备接收到从服务器B到主机A的HTTP回应时，NetScreen设备将接收到的封包与它的表进行对照检查。找到回应批准HTTP请求的封包时，NetScreen设备允许来自Untrust区段中服务器B的封包穿越防火墙到达Trust区段中的主机A。要控制由服务器B发起的流向主机A的信息流（不只是回应由主机A发起的信息流），必须创建从Untrust区段中服务器B至IjTrust区段中主机A的第二个策略。seLpaleyframLru乳lauiilrusliKjsLA'sep/erB'imppermil1I'lATrustHTTP诉求UntrustHTTPI"1I'lATrustHTTP诉求UntrustHTTPI"星HTTP晞求策略应用本节说明策略的管理：查看、创建、修改、排序和重新排序以及移除策略。查看策略要通过WebUI查看策略，请单击Policies。通过从From和To下拉列表中选择区段名称，然后单击Go,可以按源区段和目的区段分类显示策略。在II中，使用getpolicy[all|fromzonetozone|global|idnumber]命令。策略图标使用图标提供策略组件的图形化汇总。下表解释了策略页中使用疔数>jT'-k：i使用图标提供策略组件的图形化汇总。下表解释了策略页中使用疔数>jT'-k：ii-n常息流仞也fclUiVll. 仃信Kjf.j-HNI^y-:功能说明允IT所荷満足标难的儿息渝劉JiS过所仃谓拦标难的「息沐乩枝拒絶。a启川坤装所仃谓足标昵的!1：站信总喘部诙封装。所仃備足标淮的或解除H牡入站信息流部妙训號If抵取问VPMJR晤打问的匹配VPN章略。认i卜川F在启动谨接讨必狈认讦自1查看策略列表时，WebUI的不同图标。范例：区段间策略在本例中，将创建两个策略。第一个策略允许服务组Mail-P0P3中的服务穿越NetScreen防火墙，从“主机A”到达“邮件服务器”。第二个策略允许服务“邮件”穿越防火墙从“邮件服务器”到达“主机A”。WebUIPolicies>（From:abc,To:xyz）>New：输入以下内容，然后单击OK：SourceAddress:AddressBook:（选择）,HostADestinationAddress:AddressBook:（选择）,MailServerService:Mail-POP3

Action:PermitPolicies>（From:xyz,To:abc）>New：输入以下内容，然后单击OK：SourceAddress:AddressBook:（选择），MailServerDestinationAddress:AddressBook:（选择）,HostAService:MailAction:PermitCLIsetpolicyfromabctoxyz“hosta”“mailserver”mail-pop3permitsetpolicyfromxyztoabc“mailserver”“hosta”mailpermitsave在策略级管理带宽要将信息流分类，可创建一个指定每类信息流的保障带宽数量、最大带宽及优先级等内容的策略。每一接口的物理带宽都分配给所有策略的保障带宽参数。如果有带宽剩余，可由其它信息流共享。换句话说，每个策略可得到其保障带宽并基于其优先级共享剩余的带宽（直至达到其最大带宽规格的限制）。信息流整形功能适用于所有策略的信息流。如果您关闭某一策略的信息流整形但其它策略的信息流整形仍然开启，那么系统将对此策略应用缺省信息流整形策略策略，即保障带宽为0、最大带宽无限制、优先级为7（最低的优先级设置）1。如果您不希望系统将此缺省信息流整形策略指派给已关闭其信息流整形的策略，则可通过CLI命令：settraffic-shapingmodeoff关闭整个系统的信息流整形。可将信息流整形设置为自动：settraffic-shapingmodeauto。这允许系统在策略需要时开启信息流整形，在策略不需要时将其关闭。范例：信息流整形Markflbng；10Mbps漬人.Untfust区段Sa他头5MbpwifiA,1010Mbfra汎出Trust师段叮联网MbpsDMZSupport；5Mbps^A.5MbpsMarkflbng；10Mbps漬人.Untfust区段Sa他头5MbpwifiA,1010Mbfra汎出Trust师段叮联网MbpsDMZSupport；5Mbps^A.5MbpsDMZ|很WebUINetwork>Interfaces>Edit（对于ethernetl）：输入以下内容，然后单击OK：信息流带宽：450002Network>Interfaces>Edit（对于ethernet3）：输入以下内容，然后单击OK：信息流带宽：45000Policies>（From:Trust.To:Untrust）>New：输入以下内容，然后单击OK：Name:MarketingTrafficShapingPolicySourceAddress:AddressBook:（选择）,Marketing

DestinationAddress:AddressBook:（选择）,AnyService:AnyAction:PermitVPNTunnel:None3>Advanced:输入以下内容，然后单击Return，设置高级选项并返回基本配置页：TrafficShaping:（选择）GuaranteedBandwidth:10000MaximumBandwidth:15000Policies>（From:Trust,To:Untrust）〉New：输入以下内容，然后单击OK：Name:SalesTrafficShapingPolicySourceAddress:AddressBook:（选择）,SalesDestinationAddress:AddressBook:（选择）,AnyService:AnyAction:Permit〉Advanced:输入以下内容，然后单击Return，设置高级选项并返回基本配置页：TrafficShaping:（选择）GuaranteedBandwidth:10000MaximumBandwidth:10000Policies>（From:Trust.To:Untrust）〉New：输入以下内容，然后单击OK：Name:SupportTrafficShapingPolicySourceAddress:AddressBook:（选择）,SupportDestinationAddress:AddressBook:（选择）,AnyService:AnyAction:Permit〉Advanced:输入以下内容，然后单击Return，设置高级选项并返回基本配置页：TrafficShaping:（选择）GuaranteedBandwidth:5000MaximumBandwidth:10000Policies>（From:Untrust.To:Trust）〉New：输入以下内容，然后单击OK：Name:AllowIncomingAccesstoMarketingSourceAddress:AddressBook:（选择）,AnyDestinationAddress:AddressBook:（选择）,MarketingService:AnyAction:Permit〉Advanced:输入以下内容，然后单击Return，设置高级选项并返回基本配置页：TrafficShaping:（选择）GuaranteedBandwidth:10000MaximumBandwidth:10000Policies〉（From:Untrust.To:Trust）〉New：输入以下内容，然后单击OK：Name:AllowIncomingAccesstoSalesSourceAddress:AddressBook:（选择）,AnyDestinationAddress:AddressBook:（选择）,SalesService:AnyAction:Permit>Advanced:输入以下内容，然后单击Return，设置高级选项并返回基本配置页：TrafficShaping:（选择）GuaranteedBandwidth:5000MaximumBandwidth:10000&Policies>（From:Untrust,To:Trust）〉New：输入以下内容，然后单击OK：Name:AllowIncomingAccesstoSupportSourceAddress:AddressBook:（选择）,AnyDestinationAddress:AddressBook:（选择）,SupportService:AnyAction:Permit〉Advanced:输入以下