《Netscreen 204 简明配置手册(以网管网为例)》由会员分享,可在线阅读,更多相关《Netscreen 204 简明配置手册(以网管网为例)(9页珍藏版)》请在金锄头文库上搜索。
1、Netscreen 204 简明配置手册一、基本概念1. 安全区段 安全区段是由一个或多个网段组成的集合,需要通过策略对进入站和出站信息流进行调 整。可以定义多个安全区段,确切数目可根据网络需要确定。除用户定义的区段外,还可以 使用预定义的区段:Trust、Untrust 和 DMZ(用于 L3),或者 Vl-Trust、VI-Untrust 和 Vl-DMZ (用于 L2)。CLI 命令:Set zone name zone-name 设置区段2. 安全区段接口安全区段的接口可以视为一个入口,TCP/IP信息流可通过它在该区段和其他区段之间 进行传递。通过定义的策略,可以使两个区段间的信息流
2、向一个或两个方向流动。要为区段 提供一个入口,需要将一个接口绑定到该区段,可以将多个接口绑定到一个区段。两种常见 的接口类型为物理接口和子接口。CLI 命令:Set interfaceinterface-idzonezone-name 将接口绑定到区段Set in terface int erface-id ip ip-address 设置接口 IP 地址3. 虚拟路由器虚拟路由器(VR)和非虚拟路由器功能相同,它拥有自己的接口和路由表。在ScreenOS 中,Net screen设备支持两个虚拟路由器trus t-vr和unt rus t-vr,并维护两个独立的路由 表。两个虚拟路由器之间需
3、要进行路由重新分配。CLI 命令:Set zone zone-name vrouter trust-vr|untrust-vr 设置区段使用得虚拟路由器Set vrouter trust-vr router ip-address interface interface-id gateway ip-address me t ric metric设置两种虚拟路由器间的路由重分配4. 服务服务是IP信息流的类型,它们有相应的协议标准。每个服务都有一个端口号与之相关 联口 FTP的端口号为21,Telnet的端口号为23。创建策略时,必须为它制定服务。CLI 命令:Setserviceservice-
4、nameprotocoltcpsrc-portport-numberdst-portport-number 设置定制服务Set serviceservice-nametimeout 30 设置定制服务超时值每次当封装尝试从一个区段向另一个区段或在绑定到同一区段的两个接口间传递时, Netscreen 设备会检查其策略组列表是否有允许这种信息流的策略。要使信息流可以从一个 安全区段传递到另一个区段,例如,从区段A到区段B,必须配置一个允许区段A发送信息 流到区段B的策略。要使信息流向另一个方向流动,则必须配置另一策略,允许信息流从区 段B流向区段A。对于从一个区段向另一区段传递的任何信息流,都必
5、须有允许它的策略。CLI 命令:Set policy from zone1 to zone2 source-ipdestination-ipservice permit/deny二、工作模式Net screen设备接口能以三种不同模式运行,分别是:透明模式(Transparen tmode)、 网络地址转换模式(NAT mode)和路由模式(Router mode)。1. 透明模式(Transparent mode)接口为透明模式时,Net screen设备过滤通过防火墙的封包,而不会修改IP封包包头 中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分,而 Netscreen 设
6、备的作用更像L2交换机或桥接器。在透明模式下,接口的IP地址被设置0.0.0.0,使得 Net screen设备对于用户来说是可视或“透明”的。Ne tscreen设备处于透明模式时,必须 使用 VLAN1 接口来管理设备。缺省情况下, ScreenOS 会创建一个 VLAN1 接口和三个 VLAN1 区段: V1-Trust、 V1-Untrust 和 V1-DMZ。使用透明模式有以下优点: 不需要重新配置路由器或受保护服务器的IP地址设置 不需要为到达保护服务器的内向信息流创建映射或虚拟IP地址2. 网络地址转换模式(NAT mode)接口处于网络地址转换模式(NAT mode)时,Net
7、 screen设备的作用与L3交换机或路 由器相似,将绑定到Untrust区段的IP封包包头中的两个组件进行转换:其源IP地址和源 端口号。Net screen设备用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另 外,它用另一个由 Netscreen 设备生成的任意端口号替换源端口号。当回复封包到达 Net screen设备时,该设备转换内向封包的IP包头中的两个组件:目的地地址和端口号, 他们被转换回初始地址,封包于是被转发到其目的地地址。NAT 添加透明模式中未提供的一个安全级别:连接到 NAT 模式接口的主机的地址对Untrust 区段中的主机从不公开。3. 路由模式(Rou
8、ter mode)接口为路由模式时,Net screen设备在不同区段间转发信息流时不执行NAT,即信息流 穿过Net screen设备时,IP封包包头的源地址和端口号保持不变。与NAT不同,不需要为 了允许入站会话到达主机而建立路由模式接口的映射和虚拟 IP 地址。与透明模式不同, Trust区段中的接口和Untrust区段中的接口在不同的子网中。三、缺省设置1. 将 Netscreen204 安放至机架,经检测电源系统后接上电源,并加电主机。2. 将CONSOLE 口连接到PC的串口上,运行HyperTerminal程序从CONSOLE 口进入 baud rate to 9600 pari
9、ty to NOdata bits to 8 stop bit to 1 flow control to none3. 按ENTER进入登录模式4. 登录用户名 netscreen5. 登录密码 netscreen四、管理设置1. 更改设备名称set hostnamehostname2. 更改Admin登录名和密码set admin namenameset admin passwordpasswordsave3. 限制管理访问缺省时,可信接口上的任何主机都可以管理Net screen设备,为安全起见,可以指定网 管工作站。Set admin manager-ip ip-address/32指定
10、管理主机Set admin manager-ip ip-address/24指定管理网段Save4. 恢复出场设置在缺省情况下,设备恢复特征被启用。可以通过输入unset admin device-reset命 令禁用它。 在登录提示下,输入设备的序列号 在密码提示下,再输入设备的序列号出现以下信息:!lostpasswordreset!youhaveinitiatedacommandtoresetthedevice to factory defaults,clearing all current configuration,keys and setting.wouldyou like to
11、continue? Y/n 按y键。出现以下信息:!reconfirmlostpasswordreset!ifyoucontinue,theentireconfiguration of the device will be erased.In addition,a permanent counter will be incremented to signify the device will return to factory default configuration,which is:system ip:193.168.1.1;username:netscreen;password:net
12、screen.wouldyou like to continue?y/n 按y键,重置设备。五、常用命令get system查看系统配置get config查看设备配置文件get zone查看区段配置get interface 查看接口配置get policy查看策略设置get service查看能在策略中使用的服务save保存配置unset all清除所有配置(设备重启后方可生效)get counter flow interface ethernet1 查看端口流量计数器get evenet include word_string六、配置实例揭阳移动九期APG40网元得IP地址规划如下图所示
13、:揭阳移动九期APG40网元拓扑结构132: loi.so.总5ESC2oic烦133.101, M-3/27132.101/MBZ27工作在透明模式VLAN1:12. 101. 20.VLAN1:1SLJ口F 1321:01.20; 4/27;G5BSC1;FTP 服务器网络安全要求:(1) 允许OMC机房的OSS服务器连接APG40的21 (FTP)和23 (telnet)端口;(2) 允许直连终端(WinFIOL)连接APG40的23 (telnet)端口;(3) 允许APG40连接OSS服务器的所有端口;(4) 允许PCAnyway操作终端连接APG的5631端口和5632端口;( 5
14、)封堵其他所有连接(6) OMC 机房能够管理 cisco2621、Netscreen-204、catalyst2950。APG40 网元接 Netscreen204 的 ethernet1,定义为 trust 区域;OMC 接 Netscreen204的ethernet3,定义为untrust区域。Netscreen204防火墙具体配置如下:透明模式(Transparent mode):1. 管理设置和接口setinterface vlan1 ip 132.101.20.29 255.255.255.224setinterface vlan1 manage websetinterface v
15、lan1 manage telnetsetinterface vlan1 manage pingsetinterface ethernet1 zone v1-trustsetinterface ethernet3 zone v1-untrustsetinterface v1-trust manage websetinterface v1-trust manage telnetsetinterface v1-trust manage ping2. 路由设置set vrouter trust-vrset route 0.0.0.0/0 interface vlan1 gateway 132.101.20.30 metric 13. 地址设置setaddress v1-trust APG 132.101.20.0 255.255.255.248setaddress v1-trust cisco2950 132.101.20.28 255.255.255.255setaddress v1-untrust OSS 132.101.19.0 255.255.
