juniper Netscreen防火墙策略路由配置

1、juniper Netscreen防火墙策略路由配置Netscreen-25 概述Juniper网络公司NetScreen-25和NetScreen-50是面向大企业分支办事处和远程办事处、以 及中小企业的集成安全产品。它们可提供网络周边安全解决方案，并带有多个DMZ和VPN， 可以确保无线LAN的安全性，或保护内部网络的安全。NetScreen-25设备可提供100 Mbps 的防火墙和20 Mbps的3DES或AES VPN性能，可支持32,000条并发会话和125条VPN 隧道。NetScreen-50设备是高性能的集成安全产品，可提供170 Mbps的防火墙和45 Mbps 的3DES

2、或AES VPN性能，可支持64,000条并发会话和500条VPN隧道。一、特性与优势NetScreen-25和NetScreen-50产品的主要特性和优势如下：集成的深层检测防火墙可以逐策略提供应用层攻击防护，以保护互联网协议安全；集成的Web过滤功能，可制订企业Web使用策略、提高整体生产率、并最大限度地减少因 滥用企业资源而必须承担的赔偿责任；拒绝服务攻击防护功能，可抵御30多种不同的内外部攻击；高可用性功能，可最大限度地消除单点故障；动态路由支持，以减少对手工建立新路由的依赖性；冗余的VPN隧道和VPN监控，可缩短VPN连接的故障切换时间；虚拟路由器支持，可将内部、专用或重叠的IP地址

3、映射到全新的IP地址，提供到最终目的 地的备用路由，且不被公众看到；可定制的安全区，能够提高接口密度，无需增加硬件开销、降低策略制订成本、限制未授权 用户接入与攻击、简化VPN管理；通过图形Web UI、CLI或NetScreen-Security Manager集中管理系统进行管理； 基于策略的管理，用于进行集中的端到端生命周期管理；.二、技术规格Netscreen25或Netscreen50都有两种不同的许可选项(Advanced/Baseline)，提供不同级 别的功能和容量。高级特性/功能NetScreen-25NetScreen-50接口数4个 10/1004 个 10/100可信接

4、口中的最多IP地址数无限无限旦一Krr_L 日100M防火墙170M防火墙最大吞吐量20M 3DES VPN45 M 3DES VPN最多会话数32,00064,000最多VPN隧道数125500隧道接口2550最多策略数5001,000最多虚拟LAN数1616最多安全区域数44最多虚拟路由器数33支持的高可用性模式HA Lite主用/备用高级特性/功能NetScreen-25NetScreen-50路由协议支持OSPF, BGP,OSPF, BGP,RIPv1/v2RIPv1/v2支持的高可用性模式HA Lite主动/备用IPS （深层检测防火墙）是是嵌入式防垃圾邮件功能是是集成/外部Web

5、过滤是/是是/是上表描述的特性和功能是NetScreen-25和NetScreen-50的高级许可选项。基本软件许可也可用作客户环境的入门级解决方案。在客户环境中，深层检测、OSPF和BGP 动态路由、先进的高可用性以及全功能等特性都不是关键要求。下表列出了有别于高级版本的基础版本的特性和功能。基本特性/功能NetScreen-25 BaselineNetScreen-50 Baseline最多会话数24,00048,000最多同步VPN隧道50150虚拟LANs不提供不提供路由协议支持RIPv1/v2 OnlyRIPv1/v2 Only支持的高可用性模式HA Lite*HA Lite*IPS

6、 （深层检测防火墙）不提供不提供防病毒不支持不支持集成/外部Web过滤否/是否/是NetScreen-安全管理支持支持l HA Lite只提供配置同步（不提供会话或隧道同步）。三、NetScreen系列防火墙介绍NetScreen系列防火墙是由NetScreen公司推出的网络安全产品。本章将对综合业务工程中常用的几种NS的防火墙的外观及性能作简要介绍。1 NetScreen 25NetScreen 25是个高性能的安全应用方案，具有四个自适应10/100 Base-以太网口信任 Trust，非信任Untrust，DMZ，另外一个留作将来使用，注意：Screen OS3.0并不支持第四 个端口的

7、使用，它能够提供100Mbps的防火墙数据流量和20Mbps的3倍DES加密VPN 性能，保护局域网（LANs）以及与外网建立数据交流的mail服务器，web服务器和FTP服务 器的安全。默认端口分配：Ethernet 1Ethernet 2Ethernet 3Ethernet 4TrustDMZUtrustEmpty2 NetScreen 204NetScreen 204是目前市场上功能较多的防火墙产品，可以方便地集成在许多不同的 网络环境中，包括大中型企业的办公室，电子商务网站，数据中心和电信运营基础设施。它 具有4个自适应10/100M以太网端口，延续了 NetScreen防火墙优秀的线

8、速处理能力 （400Mbps）-即使在对系统资源要求极高的应用中（诸如 VPN-3DES加密）也能保持超过 200Mbps的速率，并支持HA（High Availability高可用性，详见本文后续内容）。 默认的端口分配：Ethernet 1Ethernet 2Ethernet 3Ethernet 4TrustDMZUtrustHA3.3 NetScreen 500NetScreen 500集防火墙、VPN及流量管理等功能于一体，占用2U机架空间。它是 一款 高性能的产品，支持多个安全域。NetScreen 500具有NetScreen 1000及NetScreen 100的所 有优点。另外

9、在功能上设有高可用性交换端口、管理端口及四个流量模块组，还有一个可编 辑的LCD指示屏，使管理变得更加容易。默认端口分配：模块-Untrust模块-TrustN/AUtrust PortN/ATrust Port模块-DMZ模块-EmptyN/ADMZ PortEmptyEmpty在四个模块下方的并列的几个接口中，有两个接口分别标注HA1”、“HA2”，这两个接口是 用来连接HA心跳线的，其中HA1与HA2互为冗余接口，以防止其中一条心跳线出现故障。 注意：部分NS500的防火墙的软件（可根据防火墙上的标签确定）不支持对每个模块的第一个端 口的调用，如果把线缆插在第一个端口上，物理链路都无法建

10、立，直观表现是端口指示灯不 亮，这一点在工程设计及施工中尤其要留意。四、NetScreen防火墙基础知识在对NetScreen进行配置前，需要了解一些基础知识。以下的描述是根据NetScreen 200系 列，主要以NetScreen 204为例进行讲解，其余型号应该能触类旁通。NetScreen 200系列的204有四个以太网口，208有8个以太网口，其中，网口 1缺省为trust 口，网口 2为DMZ 口，网口 3为untrust 口，网口 4或网口 4到8是可配的。但如果用于 HA，则两台防火墙之间通过4 口（204型号）或8 口（208型号）连接。200系列的NetScreen工作在两

11、种模式：transparent模式和route模式，缺省为transparent模 式。Nat不再是一种模式，现在它通过网口或策略配置来实现（注：在NetScreen 100中， NAT被看作是一种工作模式）。4、1. transparent 模式：在transparent模式下，NetScreen设备检查通过防火墙的数据包，但并不改变ip包头中的任 何源地址和目的地址信息。因为它不改变地址，所以保护网内的ip必须在untrust连接的网 络内是有效且可寻路的，untrust很可能就接互连网了。在transparent模式下，对于trust区和untrust区的ip地址就设为,这样可以使Net

12、Screen 在网络中不可见。但是，防火、vpn和流量管理还是要通过配置设备的策略来生效。此时， NetScreen相当于一个2层交换机（2层交换机本身是没有ip地址的）。4、2. route 模式当设备处于route模式下，每一个接口都被设立为route模式或nat模式。不像transparent模 式，所有的网口都处于不同的子网当中。当一个网口处于route模式，这个网口处理通过的流量时不nat，即ip包头中的源地址和端 口号都保持不变。不像nat模式，连接在route模式网口下的主机必须具有公网ip，没有任 何映射和虚拟ip可以被建立起来。当一个网口处于nat模式，NetScreen会把

13、从trust 口往外的ip包中的源ip地址和源端口改掉， 将源地址改为untrust 口的ip地址，而且，更换源端口为一个随机的产生的端口。如果将NetScreen作为route模式，则必须为trust 口、untrust 口和DMZ （如果用到）配置ip 地址，如果作为transparent模式，就必须不能为这些口配置ip。Manage ip和trust ip不是一回事，manage ip是供登录NetScreen作配置数据的，而trust ip 是为了作成route模式必须要配的，同时它也作为trust网内的网关。但实际物理上都是由trust 口来提供这两个ip的。实际上在web页面中也不

14、允许将其配为一个ip。但用命令行可以强 制地配成一个ip地址。NetScreen204出厂配置所有的网卡的ip均为，如果想让其作为transparent模式，不 要分配地址给任何网卡。如果配置设备成route模式，首先改变一个网口( ethernet1/trust、ethernet3/untrust或者 ethernet2/DMZ)到layer 3区域，并配置其ip地址。这将自动改变其它网口到缺省的layer 3 区域。可以用命令：set interface zone 配置网口的ip地址，可以用下面的命令：是ip； 是掩码。set interface ip 也可以用/n来代理 ，n为多少位掩码。可以用如下命令加网关：set interface gateway 缺省状态下，NetScreen204不允许数据进出。如果希望从trust