第十章 Juniper防火墙用户手册.doc

Juniper防火墙用户手册 Juniper Networks, Inc. Jan. 2008 目 录 第1章 Juniper防火墙基本工作原理 3 1.1. 基于状态检测的ASIC硬件防火墙 3 1.2. Juniper防火墙组件结构 3 第2章 管理 5 2.1. Web 用户界面 5 2.2. 命令行界面 6 2.3. 串行控制台 7 2.4. 如何实现对防火墙的远程管理 8 第3章 路由 9 第4章 访问控制策略 10 4.1. 策略的三种类型 10 4.2. 策略和规则 10 4.3. 策略查看和建立 11 第5章 NSRP（Netscreen 冗余协议） 13 5.1. NSRP工作原理 13 5.2. CCB一级分行防火墙部署结构 14 5.3. NSRP日常维护命令 15 5.4. Juniper防火墙NSRP双机软件升级步骤 15 5.5. 如何快速配置NSRP集群备用设备 16 第6章 防火墙日常监控与维护 17 6.1. Juniper防火墙日常监控内容 17 6.2. 防火墙健康检查信息表 18 6.3. 常规维护建议 19 6.4. 设备运行档案表 20 6.5. 防火墙应急处理 21 6.6. 故障处理工具 22 6.7. 策略配置与优化（Policy） 23 6.8. 特殊应用处理 24 第7章 附录 NetScreen防火墙安装指南 25 7.1. 如何进入图形化界面 25 7.2. NetScreen防火墙图形化界面配置 26 7.3. 简单故障分析及系统维护 32 7.4. 如何清掉已有的系统设置，恢复出厂默认设置 33 Juniper防火墙用户手册 Juniper防火墙基本工作原理 基于状态检测的ASIC硬件防火墙 防火墙通过在网络边界上建立起来的相应网络安全系统来隔离内部和外部网络，以确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务，阻挡外部非法人侵，以保护网络的信息安全。 针对用户请求的新建应用连接，防火墙状态检测机制检查预先设置的访问控制策略，仅允许通过访问控制策略检查的应用连接报文才能够通过防火墙，同时防火墙在内存中记录下该连接的相关信息，生成应用流（flow）的会话表（session），将进出网络的数据当成一个个的应用流来处理。对该连接的后续（双向）数据包，只要匹配会话表，报文就可以通过防火墙。状态检测防火墙好处在于：由于不需要对每个数据包进行规则检查，而是一个连接（应用流）的后续数据包通过ASIC硬件芯片执行高速散列算法，直接进行状态检查且包的转发由ASIC芯片直接进行处理，使防火墙性能得到大幅提高；同时由于会话表是动态的，故可以有选择地、动态地开放整个应用流需要的后续动态端口，使防火墙能够增强对复杂协议的安全检查。 Juniper防火墙组件结构 Juniper Networks ScreenOS 体系结构为网络安全规划和设计提供了很强的灵活性。在具有两个以上接口的 防火墙上，可以创建多个安全区并配置策略以调节安全区内部及安全区之间的信息流。可以为每个安全区绑定一个或多个接口，并在每个安全区上启用一组唯一的管理。利用ScreenOS 可以创建网络环境所需的安全区数，分配每个区所需的接口数，并且可以根据自己的特殊要求来设计每个接口。 Zone（安全区）是由一个或多个网段组成的集合，需要通过策略来对入站和出站信息流进行调整。安全区是绑定了一个或多个接口的逻辑实体。可以定义多个安全区，确切数目可根据网络需要来确定。除用户定义的安全区外，通常使用预定义的安全区:Trust、Untrust和DMZ。 Interface（接口）:安全区的接口可以视为一个入口，TCP/IP 信息流可通过它在该安全区和其它任何安全区之间进行传递。通过定义的策略，可以使两个安全区的信息流向一个或两个方向流动。利用定义的路由，可指定信息流从一个安全区到另一个安全区必须使用的接口。由于可将多个接口绑定到一个安全区上，因此制定的路由对于将信息流引向所选择的接口十分重要。 VR（虚拟路由器）：VR的功能与路由器相同。它拥有自己的安全区及自己的单播和组播路由表。在 ScreenOS 中，安全设备支持两个预定义的虚拟路由器，这将允许安全设备维护两个单独的单播和组播路由表，同时隐藏虚拟路由器彼此之间的路由信息。 Policy（策略）：Juniper 防火墙用于保护网络的安全，具体做法是先检查要求从一个安全区到另一安全区的通路的所有连接尝试，然后予以允许或拒绝。在缺省情况下，安全设备拒绝所有方向的所有信息流。通过创建策略，定义允许在预定时间通过指定源地点到达指定目的地点的信息流的种类，可以控制安全区间的信息流。范围最大时，可以允许所有