NETSCREEN設(shè)備管理配置手冊

NETSCREEN設(shè)備管理配置手冊1（實例：vpn配置、實例分析）NETSCREEN設(shè)備管理配置手冊

1管理員級別

1.1根管理員具有的權(quán)根

每個NetScreen設(shè)備只有一個根管理員。根管理員具有以下權(quán)限:

●管理NetScreen設(shè)備的根系統(tǒng)

●添加、刪除和管理所有其他的管理員

●建立和管理虛擬系統(tǒng)，然后為它們分配物理或邏輯接口

●創(chuàng)建、刪除和管理虛擬路由器(VR)

●添加、刪除和管理安全區(qū)域

●分配接口到安全區(qū)域

●執(zhí)行資源恢復

●將設(shè)備設(shè)置為FIPS模式

●將設(shè)備重設(shè)為其缺省設(shè)置

●更新固件

●加載配置文件

●清除指定的管理員或所有活動的管理員的全部活動會話

1.2可讀/寫管理員

●可讀/寫管理員具有與根管理員相同的權(quán)限，但是他不能創(chuàng)建、修改或刪除其他的admin用戶。

●可讀/寫管理員具有權(quán)限:

●創(chuàng)建虛擬系統(tǒng)并為每個系統(tǒng)分配一個虛擬系統(tǒng)管理員

●監(jiān)控任何虛擬系統(tǒng)

●跟蹤統(tǒng)計(一個虛擬系統(tǒng)管理員所不具有的權(quán)限)

1.3只讀管理員

●只讀管理員只具有使用WebUI進行查看的權(quán)限，他只能發(fā)出get和ping的CLI命令。

●只讀管理員具有以下權(quán)限:

●在根系統(tǒng)中具有只讀權(quán)限，可使用以下四種命令:enter、exit、get和ping

●在虛擬系統(tǒng)中具有只讀權(quán)限

1.4虛擬系統(tǒng)網(wǎng)絡(luò)管理員

●某些NetScreen設(shè)備支持虛擬系統(tǒng)。每個虛擬系統(tǒng)(vsys)是一個唯一安全的域，

●可以被虛擬系統(tǒng)管理員管理，該管理員的權(quán)限僅局限于該虛擬系統(tǒng)。虛擬系統(tǒng)網(wǎng)絡(luò)管

●理員通過CLI或WebUI獨立地對虛擬系統(tǒng)進行管理。

●虛擬管理員具有權(quán)限:

●創(chuàng)建并編輯auth、IKE、L2TP、Xauth和“手動密鑰”用戶

●創(chuàng)建并編輯服務(wù)

●創(chuàng)建并編輯策略

●創(chuàng)建并編輯地址

●創(chuàng)建并編輯VPN

●修改虛擬系統(tǒng)網(wǎng)絡(luò)管理員的登錄密碼

●添加并管理安全區(qū)域

●添加和刪除虛擬系統(tǒng)只讀管理員

1.5虛擬系統(tǒng)只讀管理員

●虛擬系統(tǒng)只讀管理員具有與只讀管理員相同的權(quán)限，但是僅限于特定的虛擬系統(tǒng)中。

●虛擬系統(tǒng)只讀管理員具有權(quán)限

●WebUI查看特定的vsys的權(quán)限

●只能在他的vsys中發(fā)出enter、exit、get和ping的CLI命令

1.6添加只讀Admin

WebUI方式:

Configuration>Admin>Administrators>New:輸入以下內(nèi)容，然后單擊OK:

Name:Roger

NewPassword:2bd21wG77

ConfirmNewPassword:2bd21wG7

Privileges:Read-Only(選擇)

CLI方式:

setadminuserRogerpassword2bd21wG7privilegeread-only

save

1.7刪除Admin

WebUI方式:

Configuration>Admin>Administrators:在Configure欄中為Roger單擊Remove。

CLI方式:

unsetadminuserRoger

1.8清除Admin的會話

CLI方式:

clearadminnameRoger

save

注意:必須使用CLI來清除admin的會話

1.9更改管理員口令

WebUI方式:

Configuration>Admin>Administrators>Edit(對于John):輸入以下內(nèi)容然后單擊OK:

Name:Smith

NewPassword:3MAb99j2

ConfirmNewPassword:3MAb99j2

CLI方式:

unsetadminuserJohn

setadminuserSmithpassword3MAb99j2privilegeall

注:需要作為根admin完成.

2MGT和VLAN1管理接口

某些NetScreen設(shè)備具有一個物理接口－管理(MGT)－專門用于管理信息流。以NAT或“路由”模式運行NetScreen設(shè)備時，使用此接口管理信息流。在“透明”模式下，可以配置所有NetScreen設(shè)備以允許通過邏輯接口VLAN1進行管理。要啟用管理信息流以到達VLAN1接口，您必須同時在VLAN1和第二層區(qū)(V1-Trust、V1-Untrust、V1-DMZ、用戶定義的第二層區(qū))上啟用所需的管理選項，管理信息流通過這些區(qū)后到達VLAN1。要保持最高級的安全性，NetScreen建議限制管理信息流到專用VLAN1或MGT接口上，而限制用戶信息流到專用安全區(qū)域接口上。從網(wǎng)絡(luò)用戶信息流分離管理信息流大大增加了管理安全性，并確保了穩(wěn)定的管理帶寬。

2.1MTG接口的設(shè)定

將MGT接口的IP地址設(shè)置為/24，啟用MGT接口接收Web和SSH管理信息流。

WebUI方式:

Network>Interfaces>Edit(對于mgt):輸入以下內(nèi)容,然后單擊OK:

IPAddress/Netmask:/24

ManagementServices:WebUI,SSH:(選擇)

CLI方式:

setinterfacemgtip/24

setinterfacemgtmanageweb

setinterfacemgtmanagessh

save

2.2VLAN1接口的設(shè)定

WebUI方式:

Network>Interfaces>Edit(對于VLAN1):輸入以下內(nèi)容，然后單擊OK:

IPAddress/Netmask:/24

ManagementServices:WebUI,Telnet:(選擇)

Network>Zones>Edit(對于V1-Trust):選擇以下內(nèi)容，然后單擊OK:

ManagementServices:WebUI,Telnet:(選擇)

CLI方式:

setinterfacevlan1ip/24

setinterfacevlan1manageweb

setinterfacevlan1managetelnet

setzonev1-trustmanageweb

setzonev1-trustmanagetelnet

save

3管理接口

在有多個用于網(wǎng)絡(luò)信息流的物理接口(但沒有MGT物理接口)的NetScreen設(shè)備上，您可以將一個物理接口專用于管理，以將管理信息流與網(wǎng)絡(luò)用戶信息流完全分離。例如，可通過將接口綁定到Trust區(qū)域?qū)υO(shè)備進行本地管理訪問，還可通過將接口綁定到Untrust區(qū)域?qū)υO(shè)備進行遠程管理。

3.1管理接口的設(shè)定

WebUI方式:

Network>Interfaces>Edit(對于ethernet1):輸入以下內(nèi)容，然后單擊Apply:

ZoneName:Trust

StaticIP:(有此選項時將其選定)

IPAddress/Netmask:/24

ManageIP:

ManagementServices:WebUI,Telnet

輸入以下內(nèi)容，然后單擊OK:

InterfaceMode:NAT

CLI方式:

setinterfaceethernet1zonetrust

setinterfaceethernet1ip/24

setinterfaceethernet1manage-ip

setinterfaceethernet1telnet

setinterfaceethernet1web

setinterfaceethernet1nat

setinterfaceethernet3zoneuntrust

setinterfaceethernet3ip/32

save

3.2SSHPKA認證方法設(shè)定

查看SSH配置信息

ns->getssh

SSHV1isactive

SSHisnotenabled

SSHisnotreadyforconnections

Maximumsessions:8

Activesessions:0

刪除SSHV1

ns->deletesshdeviceall

設(shè)置SSHV2

ns->setsshversionv2

設(shè)置SSH端口號

ns->setadminsshport1024

在接口上啟用SSH管理

ns->setinterfacemanagessh

生成密鑰對

sys-study#ssh-keygen-f/tmp/netscreen-tdsa

Generatingpublic/privatedsakeypair.

Enterpassphrase(emptyfornopassphrase):XXX

Entersamepassphraseagain:XXX

Youridentificationhasbeensavedin/tmp/netscreen.

Yourpublickeyhasbeensavedin/tmp/netscreen.pub.

Thekeyfingerprintis:

e5:ed:26:8c:e0:7b:0c:a8:ba:79:20:24:1b:5c:15:f1root@

去除/tmp/netscreen.pub中

ssh-dss和root@信息

將內(nèi)容COPY到netscreen設(shè)備管理員用戶的SSHPKA處

ssh-2i/tmp/netscreenlivedoorcn@XXXX進行登錄

4安全區(qū)段

安全區(qū)是由一個或多個網(wǎng)段組成的集合，需要通過策略來對入站和出站信息流進行調(diào)整。安全區(qū)是綁定了一個或多個接口的邏輯實體。通過多種類型的NetScreen設(shè)備，您可以定義多個安全區(qū)，確切數(shù)目可根據(jù)網(wǎng)絡(luò)需要來確定。除用戶定義的區(qū)段外，您還可以使用預定義的區(qū)段:Trust、Untrust和DMZ(用于第3層操作)，或者V1-Trust、V1-Untrust和V1-DMZ(用于第2層操作)。如果愿意，可以繼續(xù)使用這些預定義區(qū)段。也可以忽略預定義區(qū)段而只使用用戶定義的區(qū)段。另外，您還可以同時使用這兩種區(qū)段—預定義和用戶定義。4.1創(chuàng)建區(qū)段

WebUI方式:

Network>Zones>New:輸入以下內(nèi)容，然后單擊OK:

ZoneName:鍵入?yún)^(qū)段名稱2。

VirtualRouterName:選擇要在其路由選擇域中放置區(qū)段的虛擬路由器。

ZoneType:選擇Layer3創(chuàng)建一個區(qū)段，可以將處于NAT或“路由”模式

的接口綁定到該區(qū)段。選擇Layer2創(chuàng)建一個區(qū)段，可以將處于“透明”

模式的接口綁定到該區(qū)段。創(chuàng)建通道區(qū)段并將其綁定到承載區(qū)段時，請選擇

TunnelOutZone，然后從下拉列表中選擇具體的承載區(qū)段。

BlockIntra-ZoneTraffic:選擇此選項可封鎖同一安全區(qū)中主機之間的信息流。

在缺省情況下，禁用區(qū)段內(nèi)部封鎖。

CLI方式:

setzonenamezone[l2vlan_id_num3tunnelsec_zone]

setzonezoneblock

setzonezonevroutername_str

4.2刪除區(qū)段

WebUI方式:

Network>Zones:單擊Remove(對于要刪除的區(qū)段)。

當出現(xiàn)提示，請求對刪除操作進行確認時，單擊Yes。

CLI方式:

unsetzonezone

4.3將接口綁定到安全區(qū)

WebUI方式:

Network>Interfaces>Edit(對于trust/ethernetX):從ZoneName下拉列表中選擇Trust，然后單擊OK。

CLI方式:

setinterfacetrustzonetrust

save

4.4解除接口綁定

WebUI方式:Network>Interfaces>Edit(對于ethernet3):輸入以下內(nèi)容,然后單擊OK:

ZoneName:NullIPAddress/Netmask:/0

CLI方式:

setinterfaceethernet3ip/0

setinterfaceethernet3zonenull

save

4.5修改接口設(shè)置:

WebUI方式:

Network>Interfaces>Edit(對于ethernet1):進行以下修改，然后單擊OK:

ManageIP:2

ManagementServices:(選擇)SSH,SSL;(清除)Telnet,WebUI

CLI方式:

setinterfaceethernet1manage-ip2

setinterfaceethernet1managessh

setinterfaceethernet1managessl

unsetinterfaceethernet1managetelnet

unsetinterfaceethernet1manageweb

save

4.6創(chuàng)建二級地址:

WebUI方式:

Network>Interfaces>Edit(對于ethernet1)>SecondaryIP:輸入以下內(nèi)容，然后單擊Add:

IPAddress/Netmask:/24

CLI方式:

setinterfaceethernet1ip/24secondary

save

5虛擬路由器

虛擬路由器(VR)的功能與路由器相同。它擁有自己的接口和路表在ScreenOS中，NetScreen設(shè)備支持兩個預定義的虛擬路由器，從而允許NetScreen設(shè)備維護兩個單獨的路由表，并隱藏虛擬路由器彼此之間的路由信息。例如,untrust-vr通常用來與不可信方進行通信，并且不含有保護區(qū)段的任何路由信息。保護區(qū)段的路由信息由trust-vr進行維護。因此，通過從untrust-vr中秘密提取路由的方式，搜集不到任何內(nèi)部網(wǎng)絡(luò)信息。注：NetScreen設(shè)備上存在兩個虛擬路由器時，即使存在允許信息流的策略，也不能在駐留于不同VR中的區(qū)段之間自動轉(zhuǎn)發(fā)信息流。如果希望信息流在虛擬路由器之間傳遞，則需要出VR之間的路由或在一個VR中配置靜態(tài)路由將另一個VR定義為下一跳。

5.1創(chuàng)建自定義虛擬路由器

在本例中，將創(chuàng)建一個名為trust2-vr的自定義虛擬路由器，隨后將trust2-vrVR的路由自動導出到untrust-vr中。

WebUI

Network>Routing>VirtualRouters>New:輸入以下內(nèi)容，然后單擊OK:

VirtualRouterName:trust2-vr

AutoExportRoutetoUntrust-VR:(選擇)

CLI

setvrouternametrust2-vr

setvroutertrust2-vrauto-route-export

save

5.2刪除自定義虛擬路由器

刪除自定義虛擬路由器

WebUI

Network>Routing>VirtualRouters:對于trust2-vr，單擊Remove。

當出現(xiàn)提示，請求您確認刪除操作時，單擊OK。

CLI

unsetvroutertrust2-vr

當出現(xiàn)提示，請求確認刪除操作時(vrouterunset,areyousure?y/[n])，請鍵入Y。

save注意:不能刪除預定義的untrust-vr和trust-vr虛擬路由器，但可以刪除任何用戶定義的虛擬路由器。要修改用戶定義虛擬路由器的名稱或更改虛擬路由器ID，必須先刪除該虛擬路由器，然后用新的名稱或虛擬路由器ID重新創(chuàng)建它。6物理接口

物理接口與NetScreen設(shè)備上實際存在的組件有關(guān)。接口命名約定因設(shè)備而異。例如，在NetScreen-500上，物理接口由接口模塊的位置及該模塊上的以太網(wǎng)端口標識。例如，接口ethernet1/2表示接口模塊在第一槽位(ethernet1/2)和第二個端口(ethernet1/2)。

7子接口

在支持虛擬LAN(VLAN)的設(shè)備上，可以在邏輯上將一個物理接口分為幾個虛擬的子接口，每個子接口都從它來自的物理接口借用需要的帶寬。子接口是一個抽象的概念，但它在功能上與物理接口相同，子接口由802.1QVLAN標記5進行區(qū)分。NetScreen設(shè)備用子接口通過它的IP地址和VLAN標記來指引信息流流入和流出區(qū)段。為方便起見，網(wǎng)絡(luò)管理員使用的VLAN標記號通常與子接口號相同。例如，使用VLAN標記3的接口ethernet1/2命名為ethernet1/2.3。這表示接口模塊在第一槽位，第二個端口在該模塊上，子接口號為3(ethernet1/2.3)。7.1創(chuàng)建子接口

WebUI方式:

Network>Interfaces>NewSub-IF:輸入以下內(nèi)容，然后單擊OK:

InterfaceName:ethernet1.3

ZoneName:accounting

IPAddress/Netmask:/24

VLANTag:3

CLI方式:

setinterfaceethernet1.3zoneaccounting

setinterfaceethernet1.3ip/24tag3

save

7.2刪除子接口

刪除子接口:

WebUI方式:

Network>Interfaces:單擊Remove(對于ethernet1:1)。

會出現(xiàn)一條系統(tǒng)消息，提示您確認移除。

單擊Yes刪除子接口。

CLI方式:

unsetinterfaceethernet1:1

save

8靜態(tài)路由

靜態(tài)路由是從IP網(wǎng)絡(luò)地址到在第3層轉(zhuǎn)發(fā)設(shè)備(如路由器)上定義的下一跳躍1目的地的映射。只要不改變這些映射，它們就不會更改。如果該網(wǎng)絡(luò)與其它網(wǎng)絡(luò)之間的連接很少，或內(nèi)部網(wǎng)絡(luò)連接相對穩(wěn)定，則定義靜態(tài)路由通常比設(shè)置動態(tài)路由更為有效。除非您明確刪除靜態(tài)路由，否則ScreenOS會將其保留。但是，必要時可以用動態(tài)路由信息覆蓋靜態(tài)路由。

8.1靜態(tài)路由的設(shè)定

WEB方式:

untrust-vr

Network>Routing>RoutingEntries>untrust-vrNew:輸入以下內(nèi)容創(chuàng)建缺省不信任不可信網(wǎng)關(guān)，然后單擊OK:

NetworkAddress/Netmask:/0

Gateway:(選擇)

Interface:ethernet3

GatewayIPAddress:

CLI方式:

untrust-vr

setvrouteruntrust-vrroute/0interfaceethernet3gateway

setvrouteruntrust-vrroute/24interfaceethernet3gateway

8.2查看路由信息

CLI方式

getroute9NETSCREEN防火墻接口工作模式

接口能以三種不同模式運行，分別是:網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、路由和透明。如果綁定到第3層區(qū)段的接口具有IP地址，則可為該接口定義NAT1或路由操作模式。綁定到第2層區(qū)段(如預定義的v1-trust、v1-untrust和v1-dmz，或用戶定義的第2層區(qū)段)的接口必須為透明模式。在配置接口時選擇操作模式。

9.1NAT工作模式

入口接口處于“網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)”模式下時，NetScreen設(shè)備的作用與第3層交換機(或路由器)相似，將通往Untrust區(qū)段的外向IP封包包頭中的兩個組件進行轉(zhuǎn)換:其源IP地址和源端口號。NetScreen設(shè)備用Untrust區(qū)段接口的IP地址替換發(fā)端主機的源IP地址。另外，它用另一個由NetScreen設(shè)備生成的任意端口號替換源端口號。通過NAT模式下的入口接口(如Trust區(qū)段接口)發(fā)送信息流的主機地址決不對出口區(qū)段(如Untrust區(qū)段)中的主機公開，除非這兩個區(qū)段在相同的虛擬路由選擇域中并且NetScreen設(shè)備通過動態(tài)路由選擇協(xié)議(DRP)向?qū)Φ确酵ǜ媛酚?。盡管這樣，如果有策略允許入站信息流到達，也僅僅可到達Trust區(qū)段地址。

9.2接口NAT模式的設(shè)定

WebUI方式:

Network>Interfaces>Edit(對于ethernet1):輸入以下內(nèi)容，然后單擊Apply:

ZoneName:Trust

StaticIP:(出現(xiàn)時選擇此選項)

IPAddress/Netmask:/24

輸入以下內(nèi)容，然后單擊OK:

InterfaceMode:NAT10

CLI方式:

setinterfaceethernet1zonetrust

setinterfaceethernet1ip/24

setinterfaceethernet1nat

9.3路由工作模式

接口為路由模式時，NetScreen設(shè)備在不同區(qū)段間轉(zhuǎn)發(fā)信息流時不執(zhí)行源NAT(NAT-src)；即，當信息流穿過NetScreen設(shè)備時,IP封包包頭中的源地址和端口號保持不變。與NAT-src不同，目的地區(qū)段接口為路由模式時，不需要為了允許入站信息流到達主機而建立映IP(MIP)和虛擬IP(VIP)地址。與透明模式不同，每個區(qū)段內(nèi)的接口都在不同的子網(wǎng)中。

9.4接口路由模式的設(shè)定

WEBUI方式:

Network>Interfaces>Edit(對于ethernet1):輸入以下內(nèi)容，然后單擊Apply:

ZoneName:Trust

StaticIP:(出現(xiàn)時選擇此選項)

IPAddress/Netmask:/24

輸入以下內(nèi)容，然后單擊OK:

InterfaceMode:Route

CLI方式:

接口

setinterfaceethernet1zonetrust

setinterfaceethernet1ip

setinterfaceethernet1route

9.5透明工作模式

接口為透明模式時，NetScreen設(shè)備過濾通過防火墻的封包，而不會修改IP封包包頭中的任何源目的地信息。所有接口運行起來都像是同一網(wǎng)絡(luò)中的一部分，而NetScreen設(shè)備的作用更像是第2層交換機或橋接器。在透明模式下，接口的IP地址被設(shè)置為，使得NetScreen設(shè)備對于用戶來說是可視或“透明”的。

優(yōu)點:

不需要重新配置路由器或受保護服務(wù)器的IP地址設(shè)置

不需要為到達受保護服務(wù)器的內(nèi)向信息流創(chuàng)建映射或虛擬IP地址缺省模式下:

ScreenOS會創(chuàng)建一個功能區(qū)段、VLAN區(qū)段和三個第2層安全區(qū):V1-Trust、V1-Untrust和V1-DMZ

9.6VLAN區(qū)段及二層區(qū)段

是VLAN1接口的宿主區(qū)段,VLAN1接口具有與物理接口相同的配置和管理能力。NetScreen設(shè)備處于透明模式時，使用VLAN1接口來管理設(shè)備和終止VPN信息流。可將VLAN1接口配置為允許第2層安全區(qū)中的主機來管理設(shè)備。為此，必須將VLAN1接口的IP地址設(shè)置為與第2層安全區(qū)中的主機在同一子網(wǎng)中。

V1-Trust、V1-Untrust和V1-DMZ。這三個區(qū)段共享同一個第2層域。在其中一個區(qū)段中配置接口時，它被添加到由所有第2層區(qū)段中的所有接口共享的第2層域中。第2層區(qū)段中的所有主機必須在同一子網(wǎng)上以進行通信

9.7透明模式下信息流轉(zhuǎn)發(fā)

在第2層(L2)工作的NetScreen設(shè)備不允許區(qū)段間的任何信息流，除非在該設(shè)備上配置了相應(yīng)的策略

例:

要阻止所有第2層非IP和非ARP信息流，包括多點傳送和廣播信息流請輸入unsetinterfacevlan1bypass-non-ip-all命令要允許所有第2層非IP信息流通過設(shè)備，請輸入setinterfacevlan1bypass-non-ip命令。要恢復設(shè)備的缺省為(阻止所有非IP和非ARP單點傳送信息流)，請輸入unsetinterfacevlan1-bypass-non-ip命令。

10策略的應(yīng)用

10.1策略的基本元素

允許、拒絕或設(shè)置兩點間指定類型單向信息流的策略。信息流(或“服務(wù)”)的類型、兩端點的位置以及調(diào)用的動作構(gòu)成了策略的基本元素。盡管可以有其它組件，但是共同構(gòu)成策略核心部分的必要元素如下:

?Direction–兩個安全區(qū)(從源區(qū)段到目的區(qū)段)間信息流的方向

?Sourceaddress–信息流發(fā)起的地址

?Destinationaddress–信息流發(fā)送到的地址

?Service–信息流傳輸?shù)念愋?/p>

?Action–NetScreen設(shè)備接收到滿足頭四個標準的信息流時執(zhí)行的動作，這些標準為:

permit、deny或tunnel。

例如，在下列CLI命令中聲明的策略允許FTP信息流從Trust區(qū)段中的任何地址流向

DMZ區(qū)段中名為“server1”的FTP服務(wù)器:

setpolicyfromtrusttountrustanyserver1ftppermit

?Direction:fromtrusttountrust(即從Trust區(qū)段到Untrust區(qū)段)

?SourceAddress:any(即Trust區(qū)段中的任何地址。術(shù)語“any”代表應(yīng)用到區(qū)段中任

何地址的預定義地址)

?DestinationAddress:server1(Untrust區(qū)段通訊簿中用戶定義的地址)

?Service:ftp(文件傳輸協(xié)議)

?Action:permit(NetScreen設(shè)備允許此信息流通過其防火墻)

10.2三種類型的策略

可通過以下三種策略控制信息流的流動:

?通過創(chuàng)建區(qū)段內(nèi)部策略，可以管理允許從一個安全區(qū)到另一個安全區(qū)的信息流的種類。

?通過創(chuàng)建區(qū)段內(nèi)部策略，也可以控制允許通過綁定到同一區(qū)段的接口間的信息流的類型。

?通過創(chuàng)建全局策略，可以管理地址間的信息流，而不考慮它們的安全區(qū)。

1.區(qū)段內(nèi)部策略

區(qū)段內(nèi)部策略提供對安全區(qū)內(nèi)部信息流的控制。可以設(shè)置區(qū)段內(nèi)部策略來允許、拒絕或設(shè)置從一個區(qū)段到另一個區(qū)段的信息流。

setpolicyfromtrusttountrust“hostA”“serverB”httppermit

2.區(qū)段內(nèi)部策略

區(qū)段內(nèi)部策略提供對綁定到同一安全區(qū)的接口間信息流的控制。源地址和目的地址都在同一安全區(qū)中，但是通過NetScreen設(shè)備上的不同接口到達。與區(qū)段內(nèi)部策略一樣，區(qū)段內(nèi)部策略也控制信息流單向流動。要允許從數(shù)據(jù)路徑任一端發(fā)起的信息流，必須創(chuàng)建兩個策略，每個方向一個策略。setpolicyfromtrusttotrust“hostA”“serverB”anypermit

setpolicyfromtrusttotrust“serverB”“hostA”anypermi3.全局策略

與區(qū)段內(nèi)部和區(qū)段內(nèi)部策略不同，全局策略不引用特定的源和目的區(qū)段。全局策略引用用戶定義的Global區(qū)段地址或預定義的Global區(qū)段地址“any”。這些地址可以跨越多個安全區(qū)。例如，如果要提供對多個區(qū)段的訪問或從多個區(qū)段進行訪問，則可以創(chuàng)建具有Global區(qū)段地址“any”的全局策略，它包含所有區(qū)段中的所有地址。

10.3策略組列表

NetScreen設(shè)備維護三種不同的策略組列表，每種策略組列表對應(yīng)于以下三種策略之一:

?區(qū)段內(nèi)部策略

?區(qū)段內(nèi)部策略

?全局策略

NetScreen設(shè)備接收到發(fā)起新會話的封包時，會記錄入口接口，從而獲知接口所綁定的源區(qū)段。然后NetScreen設(shè)備執(zhí)行路由查詢以確定出口接口，從而確定該接口所綁定的目的區(qū)段。使用源區(qū)段和目的區(qū)段，NetScreen設(shè)備可以執(zhí)行策略查找，按以下順序查閱策略組列表:

1.如果源區(qū)段和目的區(qū)段不同，則NetScreen設(shè)備在區(qū)段內(nèi)部策略組列表中執(zhí)行策略查找。

(或)

如果源區(qū)段和目的區(qū)段相同，則NetScreen設(shè)備在區(qū)段內(nèi)部策略組列表中執(zhí)行策略查找。

2.如果NetScreen設(shè)備執(zhí)行區(qū)段內(nèi)部或區(qū)段內(nèi)部策略查找，但是沒有找到匹配策略，則

NetScreen設(shè)備會檢查全局策略組列表以查找匹配策略。

3.如果NetScree設(shè)備執(zhí)行區(qū)段內(nèi)部和全局策略查找，但是沒有找到匹配項，NetScreen設(shè)

備會將缺省的允許/拒絕策略應(yīng)用到封包:unset/setpolicydefault-permit-all。

(或)

如果NetScreen設(shè)備執(zhí)行區(qū)段內(nèi)部和全局策略查找，但是沒有找到匹配策略，NetScreen設(shè)

備會將該區(qū)段的區(qū)段內(nèi)部阻塞設(shè)置應(yīng)用到封包:unset/setzonezoneblock。

10.4策略定義

防火墻提供具有單個進入和退出點的網(wǎng)絡(luò)邊界。由于所有信息流都必須通過此點，因此可以篩選并引導通過執(zhí)行策略組列表(區(qū)段內(nèi)部策略、內(nèi)部區(qū)段策略和全局策略)產(chǎn)生的信息流。

策略能允許、拒絕、加密和解密、認證、排定優(yōu)先次序、調(diào)度、過濾以及監(jiān)控嘗試從一個安全區(qū)流到另一個安全區(qū)的信息流?？梢詻Q定哪些用戶和數(shù)據(jù)能進出，以及它們進出的時間和地點。

1.策略和規(guī)則

單個用戶定義的策略內(nèi)部生成一個或多個邏輯規(guī)則，而每個邏輯規(guī)則都由一組組件(源地址目的地址和服務(wù))組成。組件占用內(nèi)存資源。引用組件的邏輯規(guī)則不占用內(nèi)存資源。根據(jù)源地址

組、目的地址組和策略中服務(wù)組件的多個條目或組的使用，邏輯規(guī)則的數(shù)量可比創(chuàng)建單個策略時明顯可見的大得多。2.策略的結(jié)構(gòu)

策略必須包含下列元素:

?ID(自動生成的，但可能是CLI中用戶定義的)

?區(qū)段(源區(qū)段和目的區(qū)段)

?地址(源地址和目的地址)

?服務(wù)

?動作(permit、deny、tunnel)10.5為策略創(chuàng)建模塊

1.地址

NetScreenScreenOS通過位置和網(wǎng)絡(luò)掩碼對所有其它設(shè)備的地址進行分類。每個區(qū)段都具有自己的地址和地址組列表。單個主機只定義一個單一的IP地址，因此，必須具有設(shè)置為55的網(wǎng)絡(luò)掩碼(它掩蔽除該主機以外的所有其它設(shè)備)。子網(wǎng)有IP地址和網(wǎng)絡(luò)掩碼(例如或)。必須先在按區(qū)段組織的NetScreen地址列表中為其構(gòu)造條目，才能配置允許、拒絕或?qū)虺鋈雴蝹€主機和子網(wǎng)的信息流策略。1.1添加地址

將IP地址為/24的子網(wǎng)“Sunnyvale_Eng”添加為Trust區(qū)段中的地址，并將地址添加為Untrust區(qū)段中的地址。WebUI

Objects>Addresses>List>New:輸入以下信息，然后單擊OK:

AddressName:Sunnyvale_Eng

IPAddress/DomainName:

IP/Netmask:(選擇),/24

Zone:Trust

Objects>Addresses>List>New:輸入以下信息，然后單擊OK:

AddressName:FireNet

IPAddress/DomainName:

DomainName:(選擇),

Zone:UntrustCLIsetaddresstrustSunnyvale_Eng/24

setaddressuntrustFireNet

save1.2修改地址

將更改地址“Sunnyvale_Eng”的地址條目，以反映此部門特別用于軟件工程，并具有不同的IP地址—/24。

WebUI

Objects>Addresses>List>Edit(對于Sunnyvale_Eng):將名稱和IP地址更改為以下內(nèi)容，然后單擊OK:

AddressName:Sunnyvale_SW_Eng

IPAddress/DomainName:

IP/Netmask:(選擇),/24

Zone:TrustCLIunsetaddresstrustSunnyvale_Eng

setaddresstrustSunnyvale_SW_Eng/24

save1.3刪除地址

將移除地址“Sunnyvale_SW_Eng”的地址條目。

WebUI

Objects>Addresses>List:在Sunnyvale_SW_Eng的Configure欄中，單擊Remove。

CLI

unsetaddresstrust“Sunnyvale_SW_Eng”

save2.服務(wù)

服務(wù)是IP信息流的類型，它們有相應(yīng)的協(xié)議標準。每個服務(wù)都有一個端口號與之相關(guān)聯(lián)，如FTP的端口號為21，Telnet的端口號為23。創(chuàng)建策略時，必須為它指定服務(wù)?？梢詮姆?wù)簿中選擇一個預定義的服務(wù)、創(chuàng)建的定制服務(wù)或服務(wù)組。通過查看PolicyConfiguration對話框Service下拉列表(WebUI)，或使用getservice命令(CLI)，可以查看能夠在策略中使用的服務(wù)。

2.1定制服務(wù)

除了使用預定義服務(wù)之外，您也可以利用定制名稱、端口號和傳輸協(xié)議輕松創(chuàng)建自己的服務(wù)。以下范例介紹如何添加、修改和移除定制服務(wù)。2.2添加定制服務(wù)WebUI

Objects>Services>Custom>New:輸入以下內(nèi)容，然后單擊OK:

ServiceName:cust-telnet

ServiceTimeout:Custom(選擇),30(類型)

TransportProtocol:TCP(選擇)

SourcePortLow:1

SourcePortHigh:65535

DestinationPortLow:23000

DestinationPortHigh:23000CLIsetservicecust-telnetprotocoltcpsrc-port1-65535dst-port23000-23000

setservicecust-telnettimeout30

save2.3修改定制服務(wù)

通過將目標端口范圍更改為23230-2323，修改定制服務(wù)“cust-telnet”。使用setserviceservice_nameclear命令，在不從服務(wù)簿中移除服務(wù)的情況下，移除定制服務(wù)的定義:WebUIObjects>Services>Custom>Edit(對于cust-telnet):輸入以下內(nèi)容，然后單擊OK:

DestinationPortLow:23230

DestinationPortHigh:23230CLIsetservicecust-telnetclear

setservicecust-telnet+tcpsrc-port1-65535dst-port23230-23230

save

2.4移除定制服務(wù)

將移除定制服務(wù)“cust-telnet”。WebUI

Objects>Services>Custom:在“cust-telnet”的Configure欄中，單擊Remove。CLIunsetservicecust-telnet

save3.DIP池

動態(tài)IP(DIP)池包含一個范圍內(nèi)的IP地址，NetScreen設(shè)備在對IP封包包頭中的源IP地址執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換時，可從中動態(tài)地或定態(tài)地提取地址。如果DIP池的地址范圍與接口IP地址在相同的子網(wǎng)中，那么該池必須排除也可能在該子網(wǎng)中的接口IP地址、路由器IP地址及任何映射IP(MIP)或虛擬IP(VIP)地址。如果地址范圍在擴展接口的子網(wǎng)中，那么該池必須排除擴展接口的IP地址。3.1端口地址轉(zhuǎn)換

使用“端口地址轉(zhuǎn)換”(PAT），多臺主機可共享同一IP地址，NetScreen設(shè)備維護一個已分配端口號的列表，以識別哪個會話屬于哪個主機。啟用PAT后，最多64,500臺主機即可共享單個IP地址。一些應(yīng)用，如“NetBIOS擴展用戶接口“(NetBEUI)和“Windows互聯(lián)網(wǎng)命名服務(wù)”(WINS)，需要具體的端口號，如果將PAT應(yīng)用于它們，它們將無法正常運行。對于這種應(yīng)用，應(yīng)用DIP時，可指定不執(zhí)行PAT(即，使用固定端口)。對于固定端口DIP，NetScreen設(shè)備散列原始的主機IP地址，并將它保存在其主機散列表中，從而允許NetScreen設(shè)備將正確的會話與每個主機相關(guān)聯(lián)。3.2創(chuàng)建帶有PAT的DIP池

將為本地網(wǎng)站的用戶創(chuàng)建VPN通道，以到達遠程網(wǎng)站的FTP服務(wù)器。但是，這兩個網(wǎng)站的內(nèi)部網(wǎng)絡(luò)使用相同的私有地址空間(/24)。為了解決重疊地址的問題，在本地NetScree設(shè)備的Untrust區(qū)段中創(chuàng)建通道接口，給它分配IP地址/24，然后將它與地址范圍為–(來自中性地址空間/24)的DIP池相關(guān)聯(lián)。在遠程網(wǎng)站的admin，也必須創(chuàng)建IP地址在中性地址空間的通道接口，如/24，然后設(shè)置到其FTP服務(wù)器的“映射IP”(MIP)地址，如到主機的。WebUI

Network>Interfaces>NewTunnelIF:輸入以下內(nèi)容，然后單擊OK:

TunnelInterfaceName:tunnel.1

Zone(VR):Untrust(trust-vr)

FixedIP:(選擇)

IPAddress/Netmask:/24

Network>Interfaces>Edit(對于tunnel.1)>DIP>New:輸入以下內(nèi)容，然后單擊OK:

ID:510

IPAddressRange:~

PortTranslation:(選擇)

InthesamesubnetastheinterfaceIPoritssecondaryIPs:(選擇)CLIsetinterfacetunnel.1zoneuntrust-tun

setinterfacetunnel.1ip/24

setinterfacetunnel.1dip5

save

3.3修改DIP池

將更改一個現(xiàn)有DIP池(ID5)的地址范圍，從–到–0。此DIP池與tunnel.1相關(guān)聯(lián)。請注意，要通過CLI更改DIP池范圍，必須首先移除(或撤消)現(xiàn)有dip池，然后創(chuàng)建新池。WebUI

Network>Interfaces>Edit(對于tunnel.1)>DIP>Edit(對于ID5):輸入以下內(nèi)容，然后單擊OK:

IPAddressRange:~0CLIunsetinterfacetunnel.1dip5

setinterfacetunnel.1dip50

save4.時間表時間表是一個可配置的對象，可將其與一個或多個策略相關(guān)聯(lián)以定義策略生效的時間。通過應(yīng)用時間表，可以控制網(wǎng)絡(luò)信息流并確保網(wǎng)絡(luò)安全。定義時間表時，請輸入下列參數(shù)的值:

ScheduleName:出現(xiàn)在PolicyConfiguration對話框的Schedule下拉列表中的名稱。請選擇描述性的名稱以幫助識別時間表。名稱必須是唯一的，并且限制在19個字符以內(nèi)。Comment:要添加的任何額外信息。Recurring:在希望時間表每周重復時啟用此項。StartandEndTimes:必須配置開始和結(jié)束時間。同一天內(nèi)最多可指定兩個時間段。Once:希望時間表只開始和結(jié)束一次時啟用此項。mm/dd/yyyyhh:mm:必須輸入開始和停止的日期和時間。10.6策略的應(yīng)用

本節(jié)說明策略的管理:查看、創(chuàng)建、修改、排序和重新排序以及移除策略。

1.查看策略

要通過WebUI查看策略，請單擊Policies。通過從From和To下拉列表中選擇區(qū)段名稱，然后單擊Go，可以按源區(qū)段和目的區(qū)段分類顯示策略。在CLI中，使用getpolicy[all|fromzonetozone|global|idnumber]命令。2.創(chuàng)建策略

要允許信息流在兩個區(qū)段內(nèi)部流動，應(yīng)在這些區(qū)段內(nèi)部創(chuàng)建允許、拒絕或設(shè)置信息流的策略。如果NetScreen設(shè)備唯一能夠設(shè)置(在策略中引用的)源和目的地址間區(qū)段內(nèi)部信息流的路由的網(wǎng)絡(luò)設(shè)備，則也可創(chuàng)建策略，控制同一區(qū)段內(nèi)的信息流。也可創(chuàng)建全局策略，使用Global區(qū)段通訊簿中的源和目的地址。要允許兩個區(qū)段內(nèi)部(例如，Trust和Untrust區(qū)段)的雙向信息流，需要創(chuàng)建從Trust到Untrust的策略，然后創(chuàng)建從Untrust到Trust的第二個策略。根據(jù)需要，兩個策略可以使用相同或不同的IP地址，只是源地址和目的地址需反向。

3.輸入策略環(huán)境

通過CLI配置策略時，首先創(chuàng)建策略，然后輸入策略環(huán)境進行添加和修改。例如，可能首先創(chuàng)建以下策略:

setpolicyid1fromtrusttountrusthost1server1HTTPpermitattack

HIGH:HTTP:SIGSactionclose如果想對策略進行某些修改，如添加其它源或目的地址、其它服務(wù)或其它攻擊組，則可輸入策略1的環(huán)境，然后輸入有關(guān)的命令:

setpolicyid1

ns(policy:1)->setsrc-addresshost2

ns(policy:1)->setdst-addressserver2

ns(policy:1)->setserviceFTP

ns(policy:1)->setattackCRITICAL:HTTP:SIGS也可移除單個策略組件的多個條目，只要不將它們?nèi)恳瞥?。例如，可從上述配置移server2，但不能同時移除server2和server1，因為同時移除之后就不再有目的地址。4.每個策略組件含多個條目

利用ScreenOS可將多個條目添加到策略的下列組件:

?源地址

?目的地址

?服務(wù)

?攻擊組

在ScreenOS5.0.0之前的版本中，具有多個源和目的地址或服務(wù)的唯一方法是首先創(chuàng)建具有多個成員的地址或服務(wù)組，然后在策略中引用該組。ScreenOS5.0.0版本中策略的地址和服務(wù)組仍可使用。此外，也可以直接添加新條目到策略組件。5.要向策略組件添加多個條目，請執(zhí)行下列操作:

WebUI

要添加多個地址和服務(wù)，請單擊要添加條目的組件旁的Multiple按鈕。要添加多個攻擊組，請單擊AttackProtection按鈕。在“AvailableMembers”欄中選擇一個條目，然后使用<<鍵將該條目移動到“ActiveMembers”欄中。對于其它條目，可重復此操作。完成后，單擊OK返回策略配置頁。

CLI

使用以下命令輸入策略環(huán)境:

setpolicyidnumber

然后使用下列命令中可適用的命令:

ns(policy:number)->setsrc-addressstring

ns(policy:number)->setdst-addressstring

ns(policy:number)->setservicestring

ns(policy:number)->setattackstring6.地址排除

可以配置策略，使其應(yīng)用到除指定為源或目的地址之外的其它所有地址。例如，可創(chuàng)建允許互聯(lián)網(wǎng)訪問除“P-T_contractors”地址組之外的其它所有地址的策略。要實現(xiàn)此目的，可使用地址排除選項。在WebUI中，單擊策略配置頁上源地址或目的地址旁的Multiple按鈕時，此選項會出現(xiàn)在彈出菜單中。在CLI中，在源地址或目的地址前直接插入感嘆號(!)。

7.修改和禁用策略

創(chuàng)建策略后，始終都可以返回到該策略進行修改。在WebUI中，單擊要更改的策Configure欄中的Edit鏈接。在該策略出現(xiàn)的Policy配置頁面中進行更改，然后單擊OK。在CLI中，使用setpolicy命令。ScreenOS也提供啟用和禁用策略的方法。在缺省情況下，策略被啟用。要禁用策略，請執(zhí)行以下操作:

WebUI

Policies:在要禁用的策略的Configure欄中，清除Enable復選框。

被禁用策略的文本行以灰色顯示。

CLI

setpolicyidid_numdisable

save8.策略驗證

ScreenOS提供一種工具，用于驗證策略列表中策略的順序是否有效。可能會出現(xiàn)一種策略掩蔽或“遮蓋”另一種策略的現(xiàn)象?？紤]以下示例:

setpolicyid1fromtrusttountrustanyanyHTTPpermit

setpolicyid2fromtrusttountrustanydst-AHTTPdeny因為NetScreen設(shè)備從列表頂部開始查找策略，所以找到所接收信息流的匹配策略后，就不再向下查找策略列表中的其它策略。在上例中，NetScreen設(shè)備從未到達策略2，因為策略1中的目的地址“any”包括策略2中更具體的“dst-A”地址。某HTTP封包從Trust區(qū)段(為Untrust區(qū)段中的dst-A綁定)中的一個地址到達NetScreen設(shè)備時，NetScreen設(shè)備始終首先找到與之匹配的策略1。要糾正上述范例，只需顛倒策略順序，將較為具體的策略放在第一位:

setpolicyid2fromtrusttountrustanydst-AHTTPdeny

setpolicyid1fromtrusttountrustanyanyHTTPpermit當然，本例的目的只是為了說明基本概念。在有很多策略的情況下，一個策略對另一個策略的掩蔽可能就不會這么容易發(fā)現(xiàn)。要檢查15策略列表中是否有策略遮蓋，可使用下列CLI命令:

execpolicyverify

此命令報告遮蓋策略和被遮蓋的策略。然后，則由管理員負責糾正此情形。策略驗證工具無法檢測出一個策略組合遮蓋另一個策略的情況。在下例中，沒有任何單一策略遮蓋策略3，但是，策略1和策略2的組合遮蓋了策略3:

setgroupaddresstrustgrp1addhost1

setgroupaddresstrustgrp1addhost2

setpolicyid1fromtrusttountrusthost1server1HTTPpermit

setpolicyid2fromtrusttountrusthost2server1HTTPpermit

setpolicyid3fromtrusttountrustgrp1server1HTTPdenyNETSCREEN設(shè)備管理配置手冊2（實例：vpn配置、實例分析）9.移除策略

除修改和重新排序策略外，還可以刪除策略。在WebUI中，在要移除的策略的Configure欄中單擊Remove.當系統(tǒng)消息提示是否繼續(xù)刪除時，單擊Yes。在CLI中，使用

unsetpolicyid_num命令。11保護網(wǎng)絡(luò)

入侵受保護網(wǎng)絡(luò)的動機可能有很多。下表包含一些常見的目的:

?收集有關(guān)受保護網(wǎng)絡(luò)的下列各類信息:

–網(wǎng)絡(luò)的拓撲

–活動主機的IP地址

–活動主機上的活動端口數(shù)

–活動主機的操作系統(tǒng)

?用虛假信息流耗盡受保護網(wǎng)絡(luò)上主機的資源，誘發(fā)拒絕服務(wù)(DoS)

?用虛假信息流耗盡受保護網(wǎng)絡(luò)的資源，誘發(fā)網(wǎng)絡(luò)級DoS

?用虛假信息流耗盡防火墻的資源，并因此誘發(fā)對其后面的網(wǎng)絡(luò)的DoS

?導致受保護網(wǎng)絡(luò)上主機的數(shù)據(jù)破壞以及竊取該主機的數(shù)據(jù)

?獲得受保護網(wǎng)絡(luò)上主機的訪問權(quán)限以獲取數(shù)據(jù)

?獲得主機的控制權(quán)以發(fā)起其它攻擊

?獲得防火墻的控制權(quán)以控制對其保護的網(wǎng)絡(luò)的訪問

ScreenOS提供了檢測性和防御性的工具，以使當攻擊者試圖攻擊受NetScreen設(shè)備保護的網(wǎng)絡(luò)時，能查明和阻擋其達到上述目的的企圖。

11.1攻擊階段

每個攻擊通常分兩個主要階段進行。第一階段攻擊者收集信息，第二階段攻擊者發(fā)起攻擊。

1.執(zhí)行偵查。

1.映射網(wǎng)絡(luò)并確定哪些主機是活動的(IP地址掃描)。

2.在通過IP地址掃描而發(fā)現(xiàn)的主機上，識別哪些端口是活動的(端口掃描)。

3.確定操作系統(tǒng)，從而暴露出操作系統(tǒng)中的弱點，或者建議一個易影響該特定操作系統(tǒng)的攻擊。2.發(fā)動攻擊。

1.隱藏攻擊的發(fā)起點。

2.執(zhí)行攻擊。

3.刪除或隱藏證據(jù)。

11.2檢測和防御機制

攻擊過程可以是收集信息的探查，也可以是破壞、停用或損害網(wǎng)絡(luò)或網(wǎng)絡(luò)資源的攻擊。在某些情況下，兩種攻擊目的之間的區(qū)別不太清楚。例如，TCPSYN段的阻塞可能是旨在觸發(fā)活動主機的響應(yīng)的IP地址掃描，也可能是以耗盡網(wǎng)絡(luò)資源使之不能正常工作為目的的SYN泛濫攻擊。此外，由于攻擊者通常在攻擊之前先對目標執(zhí)行偵查，因而我們可以將收集信息的嘗試視為即將來臨的攻擊的先兆－也就是說，它們構(gòu)成了攻擊的第一階段。因此，術(shù)語“攻擊”既包括偵查活動，也包括攻擊活動，有時不太好區(qū)分這兩者之間的差別。NetScreen提供了各種區(qū)段級和策略級的檢測方法和防御機制，以便在所有階段對抗攻擊行為。

?在安全區(qū)(Zone)上設(shè)置的Screen選項

?基于安全區(qū)之間、安全區(qū)內(nèi)和超安全區(qū)策略的防火墻策略。(“超區(qū)段”表示全局策略，不

涉及任何安全區(qū))

為保護所有連接嘗試的安全，NetScreen設(shè)備使用了一種動態(tài)封包過濾方法，即通常所說的狀態(tài)式檢查。使用此方法，NetScreen設(shè)備在IP封包和TCP片段包頭中記入各種不同的信息單元源和目的IP地址、源和目的端口號，以及封包序列號并保持穿越防火墻的每個TCP會話和偽UDP會話的狀態(tài)。(NetScreen也會根據(jù)變化的元素，如動態(tài)端口變化或會話終止，來修改會話狀態(tài))。當響應(yīng)的TCP封包到達時，NetScreen設(shè)備會將其包頭中包含的信息與檢查表中儲存的相關(guān)會話的狀態(tài)進行比較。如果相符，允許響應(yīng)封包通過防火墻。如果不相符，則丟棄該封包。

NetScreenSCREEN選項用于保護區(qū)段的安全，具體做法是先檢查要求經(jīng)過綁定到該區(qū)域的某一接口的所有連接嘗試，然后予以準許或拒絕。然后NetScreen設(shè)備應(yīng)用防火墻策略，在這些策略中，可能包含針對通過SCREEN過濾器的信息流的內(nèi)容過濾和入侵檢測及防護(IDP)組件。11.3攻擊監(jiān)視

雖然您通常希望NetScreen設(shè)備封鎖攻擊，有時也可能希望收集有關(guān)這些攻擊的信息。您可能希望具體了解一個特定的攻擊發(fā)現(xiàn)其意圖、技巧和可能的來源(如果攻擊者不小心或不夠老練)。如果您希望收集有關(guān)攻擊的信息，可以讓它發(fā)生、監(jiān)視它、分析它、執(zhí)行辯論練習，然后按照先前準備好的事件響應(yīng)計劃的描述做出響應(yīng)。您可以指示NetScreen設(shè)備將攻擊的情況通知您，但NetScreen不采取應(yīng)對措施，而是允許該攻擊發(fā)生。然后可以研究所發(fā)生的現(xiàn)象，并嘗試了解攻擊者的方法、策略和目的。增加了對網(wǎng)絡(luò)的威脅的了解之后，就能讓您更好地加強防御。雖然精明的攻擊者會隱藏其位置和身份，但您或許能通過收集足夠的信息來識別攻擊的始發(fā)點。您也許還能估計攻擊者的能力。這種信息使您能評估一些響應(yīng)。監(jiān)視來自Untrust區(qū)段的攻擊:

WebUI

Screening>Screen(Zone:Untrust):輸入以下內(nèi)容，然后單擊Apply:

GenerateAlarmswithoutDroppingPacket:(選擇)

IPAddressSpoofProtection:(選擇)

CLI

setzoneuntrustscreenalarm-without-drop

setzoneuntrustscreenip-spoofing

save11.4偵察威懾

當攻擊者先知道了目標網(wǎng)絡(luò)的布局(哪些IP地址有活動主機)、可能的入口點(在活動主機上哪些端口號是活動的)和其受害者的結(jié)構(gòu)(活動主機在運行哪些操作系統(tǒng))后，他們就能更好地計劃其攻擊。為了獲得這些信息，攻擊者必須執(zhí)行偵查。NetScreen提供了幾個SCREEN選項以防止攻擊者的偵查嘗試，從而可阻礙其獲得有關(guān)受保護網(wǎng)絡(luò)和網(wǎng)絡(luò)資源的重要信息。

1.Ip地址掃描

當一個源IP地址在規(guī)定的時間間隔(缺省值為5000微秒)內(nèi)將10個ICMP封包發(fā)送給不同的主機時，即進行了一次地址掃描。此方案的目的是將ICMP封包(通常是應(yīng)答請求)發(fā)送給各個主機，以期獲得至少一個回復，從而查明目標的地址。NetScreen設(shè)備在內(nèi)部記錄從某一遠程源地點發(fā)往不同地址的ICMP封包數(shù)目。使用缺省設(shè)置時，如果某個遠程主機在0.005秒(5000微秒)內(nèi)將ICMP信息流發(fā)送給10個地址，則NetScreen將其標記為地址掃描攻擊，并且在這一秒的剩余時間內(nèi)拒絕來自該主機的第11個及其它更多ICMP封包。

如果有一個策略允許來自某個安全區(qū)的信息流，請考慮為該區(qū)段啟用此SCREEN選項。否則不需要啟用它。如果不存在這樣的策略，則會拒絕來自該區(qū)段的所有ICMP信息流，以阻止攻擊者成功地執(zhí)行IP地址掃描。要封鎖在特定的安全區(qū)內(nèi)始發(fā)的IP地址掃描，請執(zhí)行以下操作之一:

WebUI

Screening>Screen(Zone:選擇區(qū)段名稱):輸入以下內(nèi)容，然后單擊Apply:

IPAddressSweepProtection:(選擇)

Threshold:(輸入觸發(fā)IP地址掃描保護的值1)

CLI

setzonezonescreenip-sweepthresholdnumber

setzonezonescreenip-sweep2.端口掃描

當一個源IP地址在規(guī)定的時間間隔內(nèi)(缺省值為5,000微秒)將含有TCPSYN片段的IP封包發(fā)送給位于相同目標IP地址的10個不同端口時，即進行了一次端口掃描。此方案的目的是掃描可用的服務(wù)，希望至少會有一個端口響應(yīng)，從而識別目標的服務(wù)。NetScreen設(shè)備在內(nèi)部記錄從某一遠程源地點掃描的不同端口的數(shù)目。使用缺省設(shè)置時，如果某個遠程主機在0.005秒(5,000微秒)內(nèi)掃描了10個端口，則NetScreen將其標記為端口掃描攻擊，并在這一秒的剩余時間內(nèi)拒絕來自該遠程源地點的其它封包(不論目標IP地址為何)。

要封鎖在特定的安全區(qū)內(nèi)始發(fā)的端口掃描，請執(zhí)行以下操作之一:WebUI

Screening>Screen(Zone:選擇區(qū)段名):輸入以下內(nèi)容，然后單擊Apply:

PortScanProtection:(選擇)

Threshold:(輸入觸發(fā)端口掃描保護的值2)

CLI

setzonezonescreenport-scanthresholdnumber

setzonezonescreenport-scan3.使用IP選項的網(wǎng)絡(luò)偵察

互聯(lián)網(wǎng)協(xié)議標準“RFC791,InternetProtocol”指定了一組選項以提供特殊路由控制、診斷工具和安全性。這些選項出現(xiàn)在IP封包包頭中的目的地址后。

RFC791承認這些選項“對于最常用的通信而言是不必要的”，而且，實際上它們很少出在IP封包包頭中。當這些選項確實出現(xiàn)時，則經(jīng)常被用于某些罪惡用途。

下列SCREEN選項檢測攻擊者用于偵查或某些未知而可疑目的的IP選項:

?RecordRoute:NetScreen設(shè)備檢測IP選項為7(RecordRoute)的封包，并在入口接口的SCREEN計數(shù)器列表中記錄事件。

?Timestamp:NetScreen設(shè)備檢測IP選項列表包含選項4(InternetTimestamp)的封包，并在入口接口的SCREEN計數(shù)器列表中記錄事件。

?Security:NetScreen設(shè)備檢測IP選項為2(security)的封包，并在入口接口的SCREEN計數(shù)器列表中記錄事件。

?StreamID:NetScreen設(shè)備檢測IP選項為8(StreamID)的封包，并在入口接口的SCREEN計數(shù)器列表中記錄事件。要檢測設(shè)置了上述IP選項的封包，請執(zhí)行以下任一操作，其中指定的安全區(qū)是封包始發(fā)的區(qū)段:WebUI

Screening>Screen(Zone:選擇區(qū)段名稱):輸入以下內(nèi)容，然后單擊Apply:

IPRecordRouteOptionDetection:(選擇)

IPTimestampOptionDetection:(選擇)

IPSecurityOptionDetection:(選擇)

IPStreamOptionDetection:(選擇)

CLI

setzonezonescreenip-record-route

setzonezonescreenip-timestamp-opt

setzonezonescreenip-security-opt

setzonezonescreenip-stream-opt

4.操作系統(tǒng)探察

在發(fā)起攻擊之前，攻擊者可能會嘗試探查目標主機，以了解其操作系統(tǒng)(OS)。有此信息，攻擊者能更好地決定發(fā)起哪種攻擊和利用哪些漏洞。NetScreen設(shè)備可以封鎖常用于收集關(guān)于操作系統(tǒng)類型信息的偵察性探查。4.1設(shè)置SYN和FIN標志通常不會在同一TCP片段包頭中同時設(shè)置SYN和FIN控制標志。SYN標志同步化發(fā)起TCP連接的序列號。FIN標志表示完成TCP連接的數(shù)據(jù)傳輸?shù)慕Y(jié)束。兩種標志的用途是互相排斥的。同時設(shè)置了SYN和FIN標志的TCP包頭是異常的TCP行為，會導致來自接收者的不同響應(yīng)(依賴于操作系統(tǒng))。

4.2沒有ACK標志的FIN標志設(shè)置了FIN控制標志(以發(fā)送會話結(jié)束信號并終止連接)的TCP片段通常也設(shè)置了ACK標志(以確認接收到的前一個封包)。由于設(shè)置了FIN標志但未設(shè)置ACK標志的TCP包頭是異常的TCP行為，因而對此沒有統(tǒng)一的響應(yīng)。操作系統(tǒng)可能會通過發(fā)送設(shè)置了RST標志的TCP片段來做出響應(yīng)。其它方面可能會完全忽略它。受害者的響應(yīng)會給攻擊者提供有關(guān)其操作系統(tǒng)的線索。(發(fā)送設(shè)置了FIN標志的TCP片段的其它目的是:在執(zhí)行地址和端口掃描時躲避檢測，以及通過執(zhí)行FIN泛濫攻擊來躲避對SYN泛濫攻擊的防御。）4.3未設(shè)置標志的TCP包頭常規(guī)的TCP片段包頭至少設(shè)置了一個標志控制。未設(shè)置任何控制標志的TCP片段是一個異常事件。由于不同的操作系統(tǒng)對這種異常情況的響應(yīng)方式不同，目標設(shè)備的響應(yīng)(或不響應(yīng))會提供有關(guān)其正在運行的操作系統(tǒng)類型的線索。

當啟用了NetScreen設(shè)備以檢測未設(shè)置標志的TCP片段時，NetScreen設(shè)備將丟棄缺失標志字段或含有殘缺標志字段的所有TCP封包。要封鎖未設(shè)置標志的封包，請執(zhí)行以下任一操作，其中指定的安全區(qū)是封包始發(fā)的區(qū)段:

WebUI

Screening>Screen(Zone:選擇區(qū)段名稱):選擇TCPPacketwithoutFlagProtection，然后單擊Apply。

CLI

setzonezonescreentcp-no-flag

11.5拒絕服務(wù)攻擊防御

拒絕服務(wù)(DoS)攻擊的目的是用極大量的虛擬信息流耗盡目標受害者的資源，使受害者被迫全力處理虛假信息流，而無法處理合法信息流。攻擊的目標可以是NetScreen防火墻、防火墻所控制訪問的網(wǎng)絡(luò)資源、或者個別主機的特定硬件平臺或操作系統(tǒng)(OS)。如果DoS攻擊始發(fā)自多個源地址，則稱為分布式拒絕服務(wù)(DDoS)攻擊。通常，DoS攻擊中的源地址是欺騙性的。DDoS攻擊中的源地址可以是欺騙性地址，也可以是攻擊者以前損害過的主機的實際地址，以及攻擊者目前正用作“zombie代理”且從中發(fā)起攻擊的主機的實際地址。NetScreen設(shè)備可以防御本身及其保護的資源不受DoS和DDoS攻擊。

1.防火墻DOS攻擊

如果發(fā)現(xiàn)存在NetScreen防火墻，則攻擊者可能會發(fā)起針對防火墻的拒絕服務(wù)(DoS)攻擊，而不是攻擊防火墻后面的網(wǎng)絡(luò)。對防火墻的成功DoS攻擊等價于對所保護網(wǎng)絡(luò)的成功DoS攻擊，因為該攻擊阻止合法信息流通過防火墻的嘗試。本部分介紹兩個方法，攻擊者可能會用這些方法填滿NetScreen設(shè)備的會話表，從而產(chǎn)生DoS攻擊。

2.會話表泛濫

成功的DoS攻擊會用巨大的假信息流阻塞耗盡受害者的資源，使其無法處理合法的連接請求DoS攻擊可以采用多種形式——SYN泛濫、SYN-ACK-ACK泛濫、UDP泛濫、ICMP泛濫，等等——但它們都會尋求相同的目標:填滿受害者的會話表。當會話表填滿時，該主機不能創(chuàng)建任何新會話，并開始拒絕新連接請求。3.基于源和目標的會話限制

除了限制來自相同源IP地址的并發(fā)會話數(shù)目之外，也可以限制對相同目標IP地址的并發(fā)會話數(shù)目。設(shè)置基于源的會話限制的一個優(yōu)點是該操作可以阻止像Nimda病毒(實際上既是病毒又是蠕蟲)這樣的攻擊，該類病毒會感染服務(wù)器，然后開始從服務(wù)器生成大量的信息流。由于所有由病毒生成的信息流都始發(fā)自相同的IP地址，因此，基于源的會話限制可以保證NetScreen防火墻能抑制這類巨量的信息流。限制DMZ區(qū)段和Trust區(qū)段中的任一個服務(wù)器所能發(fā)起的會話數(shù)目。由于DMZ區(qū)段僅保Web服務(wù)器，其中任一個主機都不應(yīng)發(fā)起信息流，因此，將基于源的會話限值設(shè)置為可能的最低值:1個會話。另一方面，Trust區(qū)段包含個人計算機、服務(wù)器、打印機，等等，其中很多主機都會發(fā)出信息流。對于Trust區(qū)段，將源會話數(shù)最大限值設(shè)置為80個并發(fā)會話。

WebUI

Screening>Screen(Zone:DMZ):輸入以下內(nèi)容，然后單擊OK:

SourceIPBasedSessionLimit:(選擇)

Threshold:1Sessions

Screening>Screen(Zone:Trust):輸入以下內(nèi)容，然后單擊OK:

SourceIPBasedSessionLimit:(選擇)

Threshold:80SessionsCLI

setzonedmzscreenlimit-sessionsource-ip-based1

setzonedmzscreenlimit-sessionsource-ip-based

setzonetrustscreenlimit-sessionsource-ip-based80

setzonetrustscreenlimit-sessionsource-ip-based

save限制發(fā)向地址為的Web服務(wù)器的信息流。該服務(wù)器位于DMZ區(qū)段中。在觀Untrust區(qū)段發(fā)往該服務(wù)器的信息流達一個月之后，