防火墙第七章课件

第7章常见防火墙的选购和应用7.1CheckPointFirewall-14.17.2CheckPointNextGeneration7.3CiscoPIX防火墙7.4LinuxIPTable7.5MicrosoftISAServer下一页第7章常见防火墙的选购和应用7.1CheckPoi1第7章常见防火墙的选购和应用7.6NetScreen防火墙7.7SonicWALL防火墙上一页第7章常见防火墙的选购和应用7.6NetScreen27.1.1CheckPointFirewall-14.1的介绍Firewall-14.1是一种基于状态检测的防火墙软件，部署在网络出口处，能对进出网络的访问进行控制，是一个能够集成并管理以下企业安全事项的防火墙。对这些安全事项的集成和管理使得Firewall-14.1防火墙更加坚固，网络更加安全。除此之外，Firewall-14.1的功能和特性还可以通过OPSEC进行扩展，从而形成一个完整的安全解决方案。7.1CheckPointFirewall-14.1下一页返回7.1.1CheckPointFirewall-137.1.2CheckPointFirewall-14.1的产品组件Firewall-14.1使用了模块化的客户端/服务器体系结构，包含有下列几种组件。●基本模块：·状态检测模块（InspectionModule）：提供访问控制、客户机认证、会话认证、地址翻译和审计功能。·防火墙模块（FirewallModule）：包含一个状态检测模块，另外提供用户认证、内容安全和多防火墙同步的功能；它使用已安装的安全策略对网络流量进行过滤，对于不符合安全策略的数据流量，防火墙模块将不允许通过。7.1CheckPointFirewall-14.1下一页返回上一页7.1.2CheckPointFirewall-14·管理模块（ManagementModule）：对一个或多个安全策略执行点提供集中的、图形化的安全管理功能，并负责存储对象数据库、防火墙日志、安全策略且将策略安装至合适的防火墙模块。●可选模块：·连接控制（ConnectControl）：为提供相同服务的多个应用服务器提供负载平衡功能。·路由器安全管理模块（RouterSecurityManagement）：提供通过防火墙管理工作站配置和维护3Com，Cisco和Bay等路由器的安全规则；其他模块，如加密模块等。7.1CheckPointFirewall-14.1下一页返回上一页·管理模块（ManagementModule）：对一个或多5·图形用户界面（GraphicalUserInterface，GUI）：是管理模块功能的体现，提供了对Firewall-14.1进行管理和监控的功能。它包括了策略编辑器、日志阅读器和系统状态查看器。每一种特定的组件既能安装在一台机器上，也可使用分布式方法安装到不同的机器上。7.1.3Firewall-14.1的对象防火墙所有功能的实现，最终是体现在具体的对象上的。可以通过GUI策略编辑器创建和观察这些对象，要使用策略编辑器，可以单击相应的菜单条，或从工具条中选择管理，之后选择适当的管理对象。7.1CheckPointFirewall-14.1下一页返回上一页·图形用户界面（GraphicalUserInterfa61．管理Firewall-1对象为使通信流量通过Firewall-1防火墙，需要先为其创建对象，之后将此对象放入规则库就能进行通信了。在网络对象GUI中，可以创建、编辑和删除不同的网络对象，其中包括工作站、网络、域、路由器、交换机、集成防火墙、组、逻辑服务器和地址范围。2.服务就像需要创建工作站和网络对象并加入到规则库中设置通信许可一样，也必须创建服务对象并加入到规则集中，以使网络对象能够使用它们。CheckPointFirewall-1已经定义了最常见的服务，包括FTP，但有些情况下，还必须创建自己的服务对象。7.1CheckPointFirewall-14.1下一页返回上一页1．管理Firewall-1对象7.1CheckPoi7在服务GUI中，可以创建、删除或编辑在防火墙规则集中使用的服务，包括TCP，UDP，RPC，ICMP，组和端口范围等。3.资源资源过滤器用于特定的内容安全应用程序，如防病毒、FTP安全和邮件安全等。它可以通过在数据包的指定协议层执行特定任务来提高安全特性。在资源管理器中可以修改URI、SMTP、FTP或组属性。7.1CheckPointFirewall-14.1下一页返回上一页在服务GUI中，可以创建、删除或编辑在防火墙规则集中使用的服84.用户用户管理器允许创建、编辑或删除用户或用户组。在用户属性对话框中，可以设定不同的身份验证的方法、网络流量的位置、何时允许用户和用户组使用以及加密方法。当某用户并不是总从一台工作站进行连接时，这种设置就很有好处，因为大家肯定不想向整个网络开放服务和网络设备。用户属性对话框有3个选项：·Group：用户组的名称、成员列表以及组外人员。·ExternalGroup：外部组的名称。·Template：可使用模板创建一个新用户。7.1CheckPointFirewall-14.1下一页返回上一页4.用户7.1CheckPointFirewall95.时间时间对象可用于指定规则库中特定规则所使用的时间段。当想对设备和服务限定时间时，这个对象很有用处。例如，想限定RealAudio服务不能在工作时间内使用，则可以创建一条规则规定在8：00～17：00这个时间段内任何RealAudio通信都会被拒绝。这样就能保证用户只在非工作时间内收听或收看RealAudio。7.1CheckPointFirewall-14.1下一页返回上一页5.时间7.1CheckPointFirewall107.1.4CheckPointFirewall-14.1的安装上面讨论了有关CheckPointFirewall-14.1的背景、体系结构、部署方法和不同的组成部分，这使得对防火墙的管理目标、服务、资源以及它们和防火墙安全的相关性有了一个大概的了解。同时还讨论了Firewall-1防火墙进行用户管理和时间管理的功能。在理解上述内容之后就可以开始安装防火墙了。为了能够顺利地安装Firewall-14.1，需要考虑不少情况，包括许可证、安装前的提示和系统要求。7.1CheckPointFirewall-14.1下一页返回上一页7.1.4CheckPointFirewall-1117.1.5CheckPointFirewall-14.1的配置1.远程管理CheckPoint可以以分布式进行安装。当以这种模式进行安装时，为安全起见，防火墙各模块之间的网络通信都将被加密。但是这种加密功能必须在模块之间能进行通信前就应该先配置，否则通信数据将得不到保护。也就是先要在GUI客户端和管理模块之间配置远程通信，然后再启用防火墙和管理模块之间的远程通信。值得注意的是，一定要使用规则集中的某个规则来启用远程GUI管理或者是在策略属性窗口中使CheckPoint控制连接生效。7.1CheckPointFirewall-14.1下一页返回上一页7.1.5CheckPointFirewall-1122.创建Firewall-1规则库通过使用管理员的GUI客户端，可以给防火墙网关设备创建基本的或者复杂的规则集。若要创建简单的规则集，则可以选择Eidt|AddRule|BottomorTop命令，或单击相应的工具栏图标。对于Firewall-1模块来说，若要加强已经创建的策略和规则集，就必须在网关上安装安全策略，可以通过在策略编辑器中选择Policy|Install命令来做到这一点。在安装安全策略之前，当Firewall-1识别出有冲突的或不正确的规则时，会自动对规则集执行检测纠错。7.1CheckPointFirewall-14.1下一页返回上一页2.创建Firewall-1规则库7.1CheckP137.1.6CheckPointFirewall-14.1的管理模块配置CheckPointFirewall-1防火墙有多种配置方法，下面介绍几种实际使用的配置。1.单设备防火墙（SingleDeviceFirewall）如果某个公司只有一个防火墙，则可以把所有模块安装到同一个设备上。因为只需要使用一台硬件设备，所以这种方式可降低费用。然而，使用这种配置必须小心，因为，若想对防火墙进行修改，则要有一个人登录到防火墙模块安装的主机上，这时如果发生不可预见的错误，防火墙会变得不稳定，甚至崩溃。7.1CheckPointFirewall-14.1下一页返回上一页7.1.6CheckPointFirewall-114而且还有物理安全的风险。防火墙模块应被锁在安全的位置。如果每天或每周都要做一些改变，则这种配置会成为一个问题。2.拥有外部GUI客户端的单设备防火墙另外一种可选的配置，允许防火墙模块和管理模块安装在同一台机器上并锁在一个安全的地点。从物理角度上看这是一种更好的配置，而且方便管理。GUI客户端可以安装在任何地点对管理模块进行管理。这种方式允许网关主机放在安全的位置，并且管理员能在工作站上通过GUI客户端对网关进行配置。7.1CheckPointFirewall-14.1下一页返回上一页而且还有物理安全的风险。防火墙模块应被锁在安全的位置。如果每153.只有单个管理模块的多防火墙图714的例子中是多个防火墙模块有一个管理模块控制和管理。管理模块和GUI客户端模块安装在一台主机上，但并不鼓励这么做。因为防火墙模块和管理模块应该被锁在一个安全的地方。如果有多个防火墙并且它们使用相同的安全策略，则比较适合用这种配置。各防火墙可位于相同的地点也可在不同的地点。管理员应该通过GUI客户端登录到管理模块并将策略同时加到每一个防火墙上。如果防火墙模块采用不同的安全策略时，则不推荐使用这种配置，因为，这样会非常容易发生将错误的策略加到错误的防火墙上，从而导致所有的流量都无法进入网关。7.1CheckPointFirewall-14.1下一页返回上一页3.只有单个管理模块的多防火墙7.1CheckPoi164.有冗余管理模块的多防火墙对前面例子的扩展，可以加入冗余的管理服务器，如图715所示。如果A的管理发生故障时，则B会取得控制权。5.一对一的防火墙模块和管理模块图716的例子是一对一的防火墙模块和管理模块的安装。如果所有的防火墙都有不同的安全策略，则这种配置就很有好处。这种配置对于管理模块和防火墙模块间的通信也有好处，因为两者之间的通信不用再通过网络了，它们现在在同一台主机或者网关上。7.1CheckPointFirewall-14.1下一页返回上一页4.有冗余管理模块的多防火墙7.1CheckPoin176.高可用性防火墙图717显示的是两个防火墙使用OPSEC伙伴的软件（如Stonebeat和Rainfinity）构成的HA（HighAvailability，高可用性）对。防火墙A被配置为主防火墙并执行所有的包检测。防火墙B被配置为备用检测引擎，同时也是主管理机及登录主机。这样就减轻了防火墙A的不必要的负担。如果防火墙A出现故障，防火墙B就会集管理模块和防火墙模块于一身，以保证流量正常通过，直到计划的时间后恢复到防火墙A。7.1CheckPointFirewall-14.1下一页返回上一页6.高可用性防火墙7.1CheckPointFir187.防火墙其他的组件虽然Firewall-1有很多固有的特性和功能，用户仍然可以同Firewall-1一起使用其他组件以提供更多的功能并使其更加坚固。这些特性可使防火墙的功能得到扩展，并可协助进行管理和控制，例如添加集中日志管理、为没有限制数目的服务器做负载均衡、为分布的路由器生成访问控制列表、内容过滤及检查等。7.1.7CheckPointFirewall-14.1的高级功能前面介绍了组成Firewall-1的组件和防火墙所针对的目标，本章继续介绍Firewall-1的高级特征，这样就可以配置Firewall-1的完整功能了。7.1CheckPointFirewall-14.1下一页返回上一页7.防火墙其他的组件7.1CheckPointFi191.身份验证当要对用户访问进行限制时，就需要使用身份验证机制。Firewall-1使用了3种身份验证机制：基于用户的身份验证、基于客户的身份验证和基于会话的身份验证。身份验证机制既可以在防火墙上执行，也可以在第三方身份验证服务器（如TACACA和RADIUS）上进行。7.1CheckPointFirewall-14.1下一页返回上一页1.身份验证7.1CheckPointFirewa202.内容安全Firewall-1运行的前提条件是只有被显示规则允许的服务才能通过防火墙到达目的主机，而被禁止的数据包在防火墙的外部接口就会被丢弃，所有被防火墙验证为正确的数据包都将发往目的主机。通过拒绝被否定的服务方式，Firewall-1提供了功能强大的安全服务功能。如果有人想通过HTTP方式连接到内部网络的一台主机上，而此时防火墙已经被指定要在外部接口上丢弃那些数据包，则这种通过HTTP的方式来危害内部网络主机的企图就很难实现。这是一种基于网络层的安全策略，它能确保只有运行在一个指定的套接字号上的服务才能够访问目的主机。7.1CheckPointFirewall-14.1下一页返回上一页2.内容安全7.1CheckPointFirewa213.URL过滤协议UFP（URLFilteringProtocol，URL过滤协议）可被用于限制用户访问含有非法内容的站点。在规则集中执行UFP可以截取某个对服务器的内容请求，并将该请求转发给一个使用UFP的第三方内容检测服务器，让其检测请求内容是否合法。UFP服务器既可以简单地指定丢弃非法的文件，也可以对该文件进行处理后再将其转发给防火墙。7.1CheckPointFirewall-14.1下一页返回上一页3.URL过滤协议7.1CheckPointFir224.NATCheckPoint的Firewall-1提供了3种网络地址转换（NetworkAddressTranslater，NAT）模块。·HideMode（隐藏模式）：将一个或多个不可路由的RFC1918地址转换成一个Internet合法的IP地址。·StaticSourceMode（静态源地址模式）：将网络中某个数据包的不可路由的RFC1918地址转换成一个Internet合法的IP地址。7.1CheckPointFirewall-14.1下一页返回上一页4.NAT7.1CheckPointFirewal23·StaticDestinationMode（静态目的地址模式）：当一个数据包进入网络时，将其合法的内部IP地址转换成不可路由的RFC1918地址。5.账户管理的客户端账户管理的客户端（AccountManagementClient，AMC）使用Firewall-1的用户身份来启用LDAP服务器。AMC的安装过程与Firewall-1是分开的。下面是AMC在Windows和Solaris上的安装过程。7.1CheckPointFirewall-14.1下一页返回上一页·StaticDestinationMode（静态目的地24●在Windows平台上，取得AMC安装的二进制代码并执行它。也可以在Firewall-1的发行光盘的目录“\windows\amc”下找到该程序。●在Solaris平台上，AMC是一个软件包。在安装AMC时使用命令“pkgadd”并选择“1”选项。7.1CheckPointFirewall-14.1返回上一页●在Windows平台上，取得AMC安装的二进制代码并执行它257.2.1CheckPointNextGeneration的背景介绍CheckPointNG代表了CheckPoint公司在防火墙技术方面的新成就，可以说它是CheckPoint解决方案中最重要的版本。它包括了CheckPoint以前所有的产品（VPN-1/Firewall-1，FloodGate-1，ManagementConsole等），并针对以前的技术核心进行了重新设计，使它能游刃有余地胜任当前和未来用户的需求。它可提供更强的保护功能，以应对如尼姆达以及红色代码蠕虫等病毒携带的应用软件级攻击，它发现并阻止恶意侵入的能力很强，并能防止出现拒绝服务以及其他网络级攻击的问题。7.2CheckPointNextGeneration下一页返回7.2.1CheckPointNextGenera267.2.2CheckPointNextGeneration的新功能1.增强的策略管理器CheckPointNG防火墙最值得注意的改变包括策略管理器（PolicyManager）的重新设计、系统状态（SystemStatus）、日志查看器接口（LogViewerInterface）以及被称为“SecureUpdate”的新GUI。SecureUpdate对于CheckPoint的新许可发放和软件分发模式提供了一个管理界面。这些新增加的修改接口使得对防火墙所有方面的管理，包括配置、软件升级、许可管理、策略生成和监控变得更集中。7.2CheckPointNextGeneration下一页返回上一页7.2.2CheckPointNextGenera272.增强的日志功能在CheckPointNG防火墙中可以定义和自动进行日志的日常维护事务，例如轮换（一般称为日志切换）和输出等，都是直接从管理控制台上进行的。而且，Firewall-1现在还允许创建特定的日志服务器。3.审计NG现在不仅支持系统管理员登录事件的审计，还支持数据库（对象）和规则修改的审计。可以通过选择Mamage|Global|Properties命令，然后选择AuditandLogging命令进行配置。7.2CheckPointNextGeneration下一页返回上一页2.增强的日志功能7.2CheckPointNex28通过在日志查看器中选择Mode|Audit|Log命令，或者从下拉列表框中选择AuditLog选项来查看审计记录。当有几个用户管理防火墙时，日志查看器显得比较有用，它详细说明了日志细节，并对发生的改变进行追踪。4.TCP服务属性CheckPointNG允许对每种服务类型指定TCP会话超时值。在CheckPoint以前的防火墙版本中，只能对所有的TCP或者UDP设置这些超时值。CheckPointNG提供的这种精细粒度的设置，可以根据特定的环境调整服务响应时间而不影响其他的应用。这可以允许通过对一个给定的服务Properties屏幕单击Advance按钮来进行设置。7.2CheckPointNextGeneration下一页返回上一页通过在日志查看器中选择Mode|Audit|Log命令，或者295.增强的网络地址转换CheckPointNG对于网络地址转换新增加了几个选项。这些选项在全局Properties屏幕中进行设置：6.CheckPointNG对象数据库CheckPointNG已经对对象数据库进行了更改。目前在管理站点上该文件称为“objects_5_0.C”，而在防火墙模块上它仍然称“objects.C”。CheckPoint强烈推荐不要再直接对这些文件进行修改。要对“objects.C”文件进行修改，CheckPoint提供了两个工具：Dbedit和Querydb_util。7.2CheckPointNextGeneration下一页返回上一页5.增强的网络地址转换7.2CheckPointN307.进程监视CheckPointNG现在能够监视，并且在组件出现故障时自动重新打开它们。该功能通过cpwd_admin命令进行控制。8.可视化策略编辑器可视化策略编辑器是一个附加模块，能够根据安全策略显示网络结构图。当对象被增加到数据库时，它们被加到图上。图在对象数据库或者是某个对象发生变化时自动更新。可以从拓扑图上直接选择并编辑对象，也可以将图输出到一个Visio或图像文件。7.2CheckPointNextGeneration下一页返回上一页7.进程监视7.2CheckPointNextG319.安全内部通信（SIC）安全内部通信（SecureInternalCommunication，SIC）是基于证书的鉴别方法，能够用于保护CheckPoint模块之间的通信，例如防火墙、管理服务器、OPSEC应用以及其他的CheckPoint产品如FloodGate。10.SecureUpdateSecureUpdate是一个集中的软件分发和许可证机制。组件软件可以安全地远端升级。此外，CheckPointNG允许许可证集中维护或是在各个防火墙上局部安装。局部许可证与Firewall-14.x许可证机制的工作方式相同。因为它们被绑定在防火墙的IP地址上。7.2CheckPointNextGeneration下一页返回上一页9.安全内部通信（SIC）7.2CheckPoint32新的集中许可证机制将许可证与管理站的IP绑定，因此，防火墙IP地址可以不需要申请新的许可证就进行更新。这样做的缺点是：如果管理站的IP地址改变了，所有由该管理站管理的许可证都需要重新生成。11.管理高可用性CheckPointNG引入了管理服务器冗余的概念。现在可以定义一个基本的管理服务器和一个或多个备份管理服务器。首先安装的服务器默认是基本服务器。管理服务器按照活跃/备用关系工作。活跃服务器可以对配置进行读/写，而备用服务器只是维护读复制。7.2CheckPointNextGeneration下一页返回上一页新的集中许可证机制将许可证与管理站的IP绑定，因此，防火墙I33要实现这一点，必须使用周期性地同步策略来保证一致性。策略同步有两种方式：自动和手工。12.升级考虑CheckPointNG增加了对Windows2000和Solaris8（64位）的支持。要直接升级到CheckPointNG，需要运行CheckPoint4.0SPI或更高版本。如果是从Solaris2.6升级到Solairs8，建议在设计OS之前先升级到CheckPoint4.1SP4。一旦已经升级到Solaris8后，就可以升级到NG。7.2CheckPointNextGeneration下一页返回上一页要实现这一点，必须使用周期性地同步策略来保证一致性。策略同步347.2.3CheckPointNextGeneration的安装1.在Windows上安装CheckPointNG防火墙将CheckPointNGFeaturePack3的CD插入光驱。安装过程将自动开始。如果自动运行特征被禁用或是安装过程没有启动，可以通过单击光盘上根目录下的“setup.exe”来运行。2.在UNIX上安装CheckPointNG防火墙第1步，将CheckPointNGCD插入光躯。第2步，作为特权用户登录。7.2CheckPointNextGeneration下一页返回上一页7.2.3CheckPointNextGenera35第3步，Mount上CD-ROM驱动器第4步，浏览到CD的根目录第5步，要用到两个安装脚本。7.2CheckPointNextGeneration下一页返回上一页第3步，Mount上CD-ROM驱动器7.2Check36第6步，出现欢迎窗口，它提供以下3种选择：·PressVtodisplayinformationoninstallingCheckPointasanevaluationcopy（按V键显示将CheckPoin用作评估安装的信息）。·PressUtodisplayinformationoninstallingCheckPointasanpurchasedcopy（按U键显示将CheckPoin用作购买产品安装的信息）。·PressNtocontinuetheinstallationprocess（按N键继续安装过程）。7.2CheckPointNextGeneration下一页返回上一页第6步，出现欢迎窗口，它提供以下3种选择：7.2Chec37第7步，许可证窗口将接着出现。按Y键接着按N键以继续。CheckPoint将安装SecureVirtualNetwork（SVN）Foundation。这是所有NG核心组件（如防火墙和管理模块）所要求的。第8步，在产品菜单屏幕上，做下列选择并且接着按N键继续：·VPN-1&Firewall-1管理和防火墙服务。·ManagementClients策略编辑器、许可证、监视器等的GUI。如果是分布式安装，防火墙、管理和GUIClient组件必须分布安装。7.2CheckPointNextGeneration下一页返回上一页第7步，许可证窗口将接着出现。按Y键接着按N键以继续。Che38第9步，接下来的屏幕处理安装类型的选择。选择安装类型，按N键继续。选择包括：·EnterprisePrimaryManagement：此系统作为基本的管理服务器。如果这是个分布式安装，站点要作为管理服务器，就必须选该项。·EnterpriseSecondaryManagement：此系统将作为备份管理服务器。如果计划实施备份管理站，选择该选项将使得系统称为二级管理服务器。7.2CheckPointNextGeneration下一页返回上一页第9步，接下来的屏幕处理安装类型的选择。选择安装类型，按N键39·EnforcementModuleandPrimaryManagement：此系统将提供防火墙和管理服务。如果是个独立配置就选择该选项。·EnforcementModule：此系统将作为执行网关。如果这是个分布安装，并且服务器作为防火墙网关组件，就必须选择该选项。第10步，如果在第9步中选择了任何的管理组件，会被询问是否支持向后的兼容性。若使用的是升级版或是防火墙在一个混合版本的环境中管理，应该选择向后兼容。向后兼容性允许从一个管理站点上管理NG和Firewall-14.x防火墙。注意，不支持Firewall-13.x版本，在Solaris8安装中，也不支持Firewall-14.x版本。7.2CheckPointNextGeneration下一页返回上一页·EnforcementModuleandPrimar40第11步，安装现在提示去证实安装选项，按N键继续，按P键回到前一个屏幕。CheckPoint现在开始安装组件。第12步，一旦完成安装，输入“cpconfig”来完成安装。第13步，按回车键来显示许可证屏幕。滚动许可证屏幕，接着按Y键继续。第14步，选择安装模块类型。可选项如下：·VPN-1&Firewall-1EnterprisePrimaryManagementandEnforcementModule（VPN-1和Firewall-1企业基本管理和执行模块）。7.2CheckPointNextGeneration下一页返回上一页第11步，安装现在提示去证实安装选项，按N键继续，按P键回到41·VPN-1&Firewall-1EnforcementModule（VPN-1和Firewall-1执行模块）。·VPN-1&Firewall-1EnterprisePrimaryManagement（VPN-1和Firewall-1企业基本管理模块）。·VPN-1&Firewall-1EnterpriseSecondaryManagement（VPN-1和Firewall-1企业二级管理模块）。·VPN-1&Firewall-1EnterpriseLogServer（VPN-1和Firewall-1企业日志服务器）。7.2CheckPointNextGeneration下一页返回上一页·VPN-1&Firewall-1Enforcement42第15步，如果选择了VPN-1&Firewall-1EnforcementModule，将会出现下面提示信息（否则转到第16步）：·IsthisaDynamicallyAssignedIPAddressModuleinstallation?（y/n）[n]?（动态分配IP地址吗）。·WouldyouliketoinstalltheHighAvailabilityproduce?（y/n）[n]?（安装高可用性产品吗）。第16步，在接下来的屏幕上，将提示输入许可证。按Y键可以增加局部许可证。局部许可证有两种增加方式：手工增加或是从文件中取得。7.2CheckPointNextGeneration下一页返回上一页第15步，如果选择了VPN-1&Firewall-1Enf43第17步，如果在第14步中选择了任何管理组件，将会提示增加防火墙管理员以及设置口令。下面是需要实施的步骤（注意，如果在第14步中选择了EnforcementModule选项，则直接进入第19步）：·输入管理账号名称。·输入并确认口令。·为各种GUI组件定义许可权限，包括ManagementClients，SecureUpdate和Monitoring。为ManagementClients选择许可权限。7.2CheckPointNextGeneration下一页返回上一页第17步，如果在第14步中选择了任何管理组件，将会提示增加防44第18步，现在将提示创建GUIClients文件。该文件定义了哪些系统有权通过GUIClients访问管理站。在客户端最好是静态IP地址-手工配置或是通过DHCP获得。通过以隐含方式定义或是在防火墙策略的一个规则中专门定义，来保证允许从GUIClient到管理控制台的管理连接。第19步，现在将提示修改组的访问权限。一般情况下，将授予VPN-1&Firewall-1模块访问和执行组权限。可以现在定义组（必须事先存在）或是按回车键不设置组权限。注意，如果不定义组访问权限，将只有超级用户可以访问和执行VPN-1&Firewall-1模块。接下来，将提示证实选择。按Y键以继续或是按N键返回并做修改。7.2CheckPointNextGeneration下一页返回上一页第18步，现在将提示创建GUIClients文件。该文件定45第20步，如果在第14步选择了VPN-1&Firewall-1EnforcementModule，需要指定一次性口令，该口令用于与基本管理服务器第一次通信（否则转到第21步）。在通信初始化之前，防火墙服务一定要重新启动。一旦和基本管理服务器建立了通信，会将一个证书推向防火墙。发送了证书后，该证书将用于和其他的CheckPoint组件之间的通信，例如管理和日志服务器。输入和确认口令（策略编辑器中创建防火墙对象时用到该口令）。防火墙对象必须在通信被初始化之前创建。该项工作可以在策略编辑器中完成。第21步，安装过程会提示为加密密钥产生随机种子。一直输入随机种子，直到指示条移动到最后的位置。7.2CheckPointNextGeneration下一页返回上一页第20步，如果在第14步选择了VPN-1&Firewall-46第22步，如果此系统作为基本的管理服务器，将提示初始化内部认证中心（CA），并为管理控制台创建SIC。SIC证书代替了传统的fwputkey进程，并且为组件间的安全通信提供了机制。第23步，最后将会显示管理服务器的Fingerprint信息。当增加EnforcementModules时，该信息用于通信第一次初始化时证实管理服务器的标识。7.2CheckPointNextGeneration下一页返回上一页第22步，如果此系统作为基本的管理服务器，将提示初始化内部认477.2.4CheckPointNextGeneration的配置管理1.CheckPointNG策略管理器的操作CheckPointNG策略管理器（PolicyManager）为规则的产生和策略的产生引入了新的方法。除此之外，一些对象在它们的属性窗口中能够设置新的选项。2.使用SecureUpdateSecureUpdate用于在分布式的CheckPoint环境中减轻许可证和软件升级管理的负担。SecureUpdate是和策略管理器相独立的GUI，可在GUIClient建立过程中安装。7.2CheckPointNextGeneration返回上一页7.2.4CheckPointNextGenera487.3.1CiscoPIX防火墙介绍1.CiscoPIX防火墙的工作机制CiscoPIX防火墙是一种基于状态检测包过滤和应用代理这两种技术的防火墙，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（AdaptiveSecurityAlgorithm，ASA）。ASA是一种状态安全方法，可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP标志。当向外发送的数据包到达CiscoPIX防火墙上安全等级较高的接口时，CiscoPIX防火墙将根据适应性安全算法检查收到的数据包是否有效，以及前面收到的数据包是否来自于这台主机。7.3CiscoPIX防火墙下一页返回7.3.1CiscoPIX防火墙介绍7.3Cisc49当向内发送的数据包到达CiscoPIX防火墙的外部接口时，首先接受CiscoPIX防火墙适应性安全检查。如果外部接口收到的数据包能够通过安全测试，则CiscoPIX防火墙删除目的IP地址，并将内部IP地址插入到这个位置，数据包将被发送到受保护的接口。2.平台性能比较下面表76提供了当前的CiscoPIX产品序列的平台性能比较。7.3CiscoPIX防火墙下一页返回上一页当向内发送的数据包到达CiscoPIX防火墙的外部接口时，507.3.2CiscoPIX的安全功能CiscoPIX防火墙为网络提供了6个方面的安全功能，即内部地址转换（NAT）、切入型代理（Cut-ThroughProxy）、防范攻击（ProtectingYourNetworkfromAttack）、多媒体支持（MultimediaSupport）、创建虚拟专用网（CreatingaVirtualPrivateNetwork）和故障恢复（Failover），下面分别介绍这6方面的安全功能。7.3CiscoPIX防火墙下一页返回上一页7.3.2CiscoPIX的安全功能7.3Cisc511.内部地址转换（NAT）网络地址转换（NAT）的作用是将内部接口上的主机地址转换为外部接口相关的Internet合法的IP地址。这样能防止将内部主机的地址暴露给其他网络接口。根据不同的目的可以用不同的方式来处理。2.切入型代理（Cut-ThroughProxy）切入型代理是CiscoPIX防火墙的独特特性，能够基于用户对向内或外部连接进行验证。与在OSI模型的第七层对每个包进行分析（属于时间和处理密集型功能）的代理服务器不同，CiscoPIX防火墙首先查询认证服务器，当连接获得批准之后建立数据流。7.3CiscoPIX防火墙下一页返回上一页1.内部地址转换（NAT）7.3CiscoPIX防火523.防范攻击（ProtectingYourNetworkfromAttack）CiscoPIX防火墙可以控制与某些袭击类型相关的网络行为。4．多媒体支持（MultimediaSupport）CiscoPIX防火墙提供支持多媒体应用的特性。5.创建虚拟专用网（CreatingaVirtualPrivateNetwork）6.故障恢复（Failover）借助CiscoPIX故障恢复特性，用户可以用一条专用故障恢复线缆连接两个相同的CiscoPIX防火墙设备，以便实现完全冗余的防火墙解决方案。7.3CiscoPIX防火墙下一页返回上一页3.防范攻击（ProtectingYourNetwor537.3.3CiscoPIX的安装在开始安装CiscoPIX防火墙之前，必须先考虑哪种CiscoPIX模式能满足网络或业务的需求。因为CiscoPIX系列产品中有许多相同的特征和功能，每个CiscoPIX模式中接口和连接的数量是不相同的。选择好CiscoPIX模式后，就可以考虑安装了。下面分安装前的准备和安装基本配置两个过程来介绍CiscoPIX的安装。1．安装前的准备部署中的安装前阶段工作包括选择许可证和选择CiscoPIX型号。7.3CiscoPIX防火墙下一页返回上一页7.3.3CiscoPIX的安装7.3Cisco542．安装基本配置首次安装CiscoPIX是一个相对较直接的过程。如果设备直接从Cisco公司购买的，那么它会包含有最新的IOS版本，并且也会包含一个预先安装的56位密钥，使得能够利用CiscoPIX的VPN服务和PDM应用。7.3CiscoPIX防火墙下一页返回上一页2．安装基本配置7.3CiscoPIX防火墙下一页返回557.3.4CiscoPIX的配置CiscoPIX防火墙提供了对内部网上的主机进行控制的功能。这些功能是网络地址转换（PIX）、端口地址转换（PAT）、管道以及允许多媒体应用穿过防火墙的动态访问能力。所以，CiscoPIX防火墙除了在安装过程中进行的基本接口配置、接口安全级别配置、接口IP配置、基本路由配置以及Telnet管理方式的配置外，还要进一步进行NAT配置、管道配置以及VPN的配置。7.3.5CiscoPIX的高级功能CiscoPIX的高级功能主要包括如下几个方面：用户管理、协议/包管理、冗余性管理、日志和许多其他关键功能。7.3CiscoPIX防火墙返回上一页7.3.4CiscoPIX的配置7.3Cisco567.4.1LinuxIPTable的背景介绍1.Linux防火墙的发展史由于Linux的低成本、坚固性、稳定性以及对公开网络标准的很好支持，已经使其成为很多应用中不错的选择。Linux的防火墙技术经历了若干代的完善一步步地发展而来2.iptables基本概念从2.4内核开始，防火墙采用了iptables，这是一个全新的管理内核包过虑的工具。iptables可以加入、插入或删除核心包过滤表格（链）中的规则。7.4LinuxIPTable下一页返回7.4.1LinuxIPTable的背景介绍7.4573．iptables规则启动和停止iptables的方法取决于所使用的Linux发行版，可以通过查看所使用Linux版本来获得操作方法。在RedHat中，启动iptables用：#serviceiptablesstart一般情况下，iptables已经包含在了Linux发行版中，可以运行iptables--version来查看系统是否安装了iptables。7.4LinuxIPTable下一页返回上一页3．iptables规则7.4LinuxIPTabl587.4.2LinuxIPTable的功能描述有了iptables，防火墙能被设计成用来关联所有的返回网络流量，这些返回网络流量所产生于先前的输入规则。通过动态产生一个返回规则来简单地告知防火墙，成功进入主机的网络流量自动被允许在返回时能够离开主机，从而在沿着会话路径的每一个链中，消除对规则的需要。iptables具备这样的功能，因为它是有状态的（stateful），即能够对从防火墙原先发出去的包进行回复，而不用做任何检查。这样不用设置许多规则定义就可实现应有的功能，在新的内核中使用这种有状态的能力是被强烈推荐的。7.4LinuxIPTable下一页返回上一页7.4.2LinuxIPTable的功能描述7.4597.4.3LinuxIPTable的安装用iptables可以实现包过虑型防火墙，下面来看看如何安装这种防火墙。1.系统需求netfilter要求内核版本不低于2.3.5，在编译新内核时，要求选择和netfilter相关的项目。这些项目通常都是位于“Networkingoptions”子项下。2.载入模块要使用iptables，还必须载入相关模块。可以使用以下命令载入相关模块：7.4LinuxIPTable下一页返回上一页7.4.3LinuxIPTable的安装7.4L60#modprobeiptable_tablesmodprobe命令会自动载入指定模块及其相关模块。iptables_filter模块会在运行时自动载入。7.4.4LinuxIPTable的配置1.语法（1）对链的操作建立一个新链（-N）。删除一个空链（-X）。改变一个内建链的原则（-P）。7.4LinuxIPTable下一页返回上一页#modprobeiptable_tables7.4L61列出一个链中的规则（-L）。清除一个链中的所有规则（-F）。归零（zero）一个链中所有规则的封包字节（byte）计数器（-Z）。（2）对规则的操作加入（append）一个新规则到一个链（-A）的最后。在链内某个位置插入（insert）一个新规则（-I），通常是插在最前面。在链内某个位置替换（replace）一条规则（-R）。7.4LinuxIPTable下一页返回上一页列出一个链中的规则（-L）。7.4LinuxIPTa62在链内某个位置删除（delete）一条规则（-D）。删除（delete）链内第一条规则（-D）。（3）指定源地址和目的地址通过--source/--src/-s来指定源地址（这里的“/”表示“或者”的意思，下同），通过--destination/--dst/-s来指定目的地址。（4）指定协议可以通过--protocol/-p选项来指定协议，比如-ptcp。7.4LinuxIPTable下一页返回上一页在链内某个位置删除（delete）一条规则（-D）。7.463（5）指定网络接口可以使用--in-interface/-i或--out-interface/-o来指定网络接口。需要注意的是，对于INPUT链来说，只可能有-i，也即只会有进入的包；同理，对于OUTPUT链来说，只可能有-o，也即只会有出去的包。只有FORWARD链既可以有-i的网络接口，也可以有-o的网络接口。也可以指定一个当前并不存在的网络接口，比如ppp0，这时只有拨号成功后该规则才有效。7.4LinuxIPTable下一页返回上一页（5）指定网络接口7.4LinuxIPTable下一64（6）指定IP碎片在TCP/IP通信过程中，每一个网络接口都有一个最大传输单元（MTU），这个参数定义了可以通过的数据包的最大尺寸。如果一个数据包大于这个参数值时，系统会将其划分成更小的数据包（称之为IP碎片）来传输，而接收方则对这些IP碎片再进行重组以还原整个包。但是，在进行包过滤的时候，IP碎片会导致这样一个问题：当系统将大数据包划分成IP碎片传送时，第一个碎片含有完整的包头信息，但是后续的碎片只有包头的部分信息，比如源地址、目的地址。7.4LinuxIPTable下一页返回上一页（6）指定IP碎片7.4LinuxIPTable下一65（7）指定非可以在某些选项前加上“!”来表示非指定值，比如“-s-!/32”表示除了以外的IP地址，“-p-!tcp”表示除了TCP以外的协议。（8）TCP匹配扩展通过使用--tcp-flags选项可以根据TCP包的标志位进行过滤，该选项后接两个参数：第一个参数为要检查的标志位，可以是SYN，ACK，FIN，RST，URG，PSH的组合，可以用ALL指定所有标志位；第二个参数是标志位值为1的标志。比如要过滤掉所有SYN标志位为1的TCP包。7.4LinuxIPTable下一页返回上一页（7）指定非7.4LinuxIPTable下一页返回66（9）MAC匹配扩展可以使用-m选项来扩展匹配内容。使用--matchmac/-mmac匹配扩展可以用来检查IP数据包的源MAC地址。只要在--mac-source后面跟上MAC地址就可以了。（10）LIMIT匹配扩展LIMIT扩展是一个非常有用的匹配扩展。使用-mnat来指定，其后可以有两个选项：--limitavg:指定单位时间内允许通过的数据包的个数。--limit-burstnumber：指定触发事件的阀值，默认值是5。7.4LinuxIPTable下一页返回上一页（9）MAC匹配扩展7.4LinuxIPTable下67（11）LOG目标扩展netfilter默认的目标（也就是一旦满足规则所定义的系统对数据包的处理方法）有：ACEEPT：接收并转发数据包。DORP：丢掉数据包。（12）REJECT目标扩展该目标扩展完全和DORP标准目标一样，除了向发送方返回一个“portunreachable”的ICMP信息外。还有其他一些扩展是常用的，如果想了解可以参考Packet-Filtering-HOWTO。7.4LinuxIPTable下一页返回上一页（11）LOG目标扩展7.4LinuxIPTable682.iptables设置示例只需要一个公网地址设在外接口上，内部用私网地址组网即可，在内部服务器提供Internet服务。3.使用iptables构筑包过滤防火墙配置示例首先看一下服务器/客户机的交互原理。服务器提供某特定功能的服务总是由特定的后台程序提供的。在TCP/IP网络中，常常把这个特定的服务绑定到特定的TCP或UDP端口。之后，该后台程序就不断地监听（listen）该端口，一旦接收到符合条件的客户端请求，该服务进行TCP握手后就同客户端建立一个连接，响应客户请求。与此同时，再产生一个该绑定的复制，继续监听客户端的请求。7.4LinuxIPTable下一页返回上一页2.iptables设置示例7.4LinuxIPT694．用iptables实现NAT配置示例在Linux2.4中将NAT分成了两种类型，即源NAT（SNAT）和目的NAT（DNAT），顾名思义，所谓SNAT就是改变转发数据包的源地址，所谓DNAT就是改变转发数据包的目的地址。7.4LinuxIPTable返回上一页4．用iptables实现NAT配置示例7.4Linux707.5.1MicrosoftISAServer综述1.ISA基本特征ISA服务器改善了Microsoft代理服务器中的所有特征，并增加了许多新的特征。如同Microsoft代理服务器的先前版本一样，ISA服务器构建并得益于Windows操作系统。特别地，它利用活动目录服务，使得当跨过ISA服务器的阵列时，仍然能够保持同步。通过使阵列内的服务器不再有一致的策略，这就减轻了过量的管理负担。由于ISA的优化缓存技术并且支持多处理平台，如果运行在同样的硬件环境下，ISA服务器的性能要优于代理服务器的10倍。7.5MicrosoftISAServer下一页返回7.5.1MicrosoftISAServer综述7712.ISA组件这一部分讨论了ISA服务器2000可利用的软件选项。微软创建了两个单独版本的ISA：一个被用来安装在小型办公室（家庭办公室）或者部门环境中，另外一个是针对共同的企业消费者，它们有着更高的可用性和可扩展性需求。每一个版本都提供了防火墙功能、网络入侵保护和网络缓存。3.ISA操作模式ISAServer包括针对标准版和企业版软件的3种安装模式。根据选择哪一种模式来安装，可用的特征集会有所不同。这3种模式包括防火墙、缓存和集成。7.5MicrosoftISAServer下一页返回上一页2.ISA组件7.5MicrosoftISASer724.ISA管理对于目前大多数的微软产品来说，ISA的管理结构基于微软管理控制台（MicrosoftManagementConsole，MMC）技术。MMC包括了ISA的管理工具，这些工具由一组应用程序组成，并以控制台方式显示它们，在MMC下，有微软服务器应用程序经验的管理员将会立即识别并迅速执行ISA系统任务。MMC可用于两种模式：需要现存控制台来管理系统的用户模式（user）和允许产生新的控制台或者修改现存控制台的创始者（author）模式。本部分讨论了在MMC用户模式下的ISA管理工具，包括ISA管理向导和网络监控工具，包括ISA管理向导和网络监控工具如报警、日志和报表。7.5MicrosoftISAServer下一页返回上一页4.ISA管理7.5MicrosoftISASer735.报警当指定事件发生时，ISAServer报警服务能够通过配置来通知管理员并且触发可配置的动作。报警服务充当发报机和事件过滤器。ISA管理控制台能查看由ISAServer提供的完全事件列表并且配置应该触发的动作。6.日志ISA服务器上产生下面的日志文件（每一个将在后面做简要描述）：●数据包过滤器。7.5MicrosoftISAServer下一页返回上一页5.报警7.5MicrosoftISAServer74●防火墙服务。●Web代理服务。要查看可用的日志服务，打开管理控制台。在控制台树形面板里，进入InternetSecurityandAccelerationServer|ServersandArrays|Server0rArrayName|MonitoringConfiguration|Logs。7.5MicrosoftISAServer下一页返回上一页●防火墙服务。7.5MicrosoftISASer757.报表ISA服务器提供基本的报表工具来帮助分析安全和网络使用模式。不过，由于微软的扩展报表API，第三方报表工具能够被用来解释和报告ISA的日志。ISA服务器日志必须能够检索当前的信息。7.5.2MicrosoftISAServer2004ISAServer2004包含一个功能完善的应用层感知防火墙，有助于保护各种规模的企业免遭外部和内部威胁的攻击。ISAServer2004对Internet协议［如超文本传输协议（HTTP）］执行深入检查，这使它能检测到许多传统防火墙检测不到的威胁。7.5MicrosoftISAServer下一页返回上一页7.报表7.5MicrosoftISAServer76ISAServer的集成防火墙和VPN体系结构支持对所有VPN通信进行有状态过滤和检查。该防火墙还为基于MicrosoftWindowsServer2003的隔离解决方案提供了VPN客户端检查，帮助保护网络免遭通过VPN连接进入的攻击。此外，全新的用户界面、向导、模板和一组管理工具可以帮助管理员避免常见的安全配置错误。7.5MicrosoftISAServer下一页返回上一页ISAServer的集成防火墙和VPN体系结构支持对777.5.3MicrosoftISAServer2004的安装和配置ISA防火墙包含一系列功能特征，但并非所有的功能特征都直接与防火墙相关。因为它运行在操作系统的上层，所以应该充分考虑到应用防火墙的某些因素。为在安装ISAServer本身之前，操作系统就需要采取许多动作。7.5MicrosoftISAServer下一页返回上一页7.5.3MicrosoftISAServer20787.5.4MicrosoftISAServer2004的高级功能前面对ISAServer上的许多组件进行讨论，这些组件扩展了ISAServer的功能。下面将着重介绍ISAServer在入侵检测、报警管理、协议定义、虚拟专用网络和应用程序过滤方面的能力。在这里并不是泛泛检验ISAServer上所有可用的特征，而是重点讨论在其防火墙解决方案典型的复杂体系结构中实现的特征。7.5MicrosoftISAServer下一页返回上一页7.5.4MicrosoftISAServer20791.包过滤器和入侵检测ISA防火墙具有包过滤能力，此外，ISA防火墙也包括基本的入侵检测。在任何与Internet连接的防火墙中，启用包过滤的能力都是非常重要的。ISAServer的包过滤功能，除了能够在OSl模型的传输层上过滤进入连接请求外，还能满足服务器本身的外部接口的安全需要。因此，开启包过滤将会进一步支持防火墙。2.报警管理在ISAServer管理工具中可以配置3种监控方法：报警、日志和报表作业。不存在唯一可以利用的工具，例如，一个预先定义的性能监控参数的指定集发送到ISAServer上。7.5MicrosoftISAServer下一页返回上一页1.包过滤器和入侵检测7.5MicrosoftISA803.创建协议定义ISAServer包含大量预先定义好的协议，这些协议处理了从典型用户到互联网上的最常见类型的连接。防火墙之所以有产生新的协议定义的需要，是因为有以下几方面的原因：●防火墙将被用来针对内部网络流量分段。●开发了新的协议。●商务模式在非标准端口上运行应用程序。7.5MicrosoftISAServer下一页返回上一页3.创建协议定义7.5MicrosoftISASe814.虚拟专用网络微软ISAServer支持客户端到集中器（远程访问）和站点到站点的虚拟专用网络（VPN），不过只采用微软的实现方式。下面将讨论微软怎样运用VPN技术，并且强调如何建立每种类型的VPN。ISAServer的VPN解决方案建立在路由和远程访问服务（RoutingandRemoteAccessService，RRAS）的基础上。为了访问这些功能，必须安装这个组件。7.5MicrosoftISAServer下一页返回上一页4.虚拟专用网络7.5MicrosoftISASe825.应用程序过滤器ISA防火墙为许多广泛用在互联网上的协议提供了应用层过滤，包括DNS，FTP，POP和SMTP。在一些情况下，如FTP没有可配置的选项，仅仅可以做出选择启用或是禁用过滤器。对于其他情况，如SMTP有大量可以配置的参数。在所有情况下，应用程序过滤器提供了一个集中区域来处理具有已知的漏洞或是默认配置的应用程序。7.5MicrosoftISAServer下一页返回上一页5.应用程序过滤器7.5MicrosoftISAS836.高可用性在前面介绍了缓存阵列路由协议提供了针对Web缓存的负载平衡方式。然而，它没有提供针对防火墙功能的高可用性。为了获得可用性，可以有两种选择，利用微软的NetworkLoadBalancing（NLB）实现的网络负载均衡，以及诸如Stonesoft的StonebeatFullCluster第三方工具。7.5MicrosoftISAServer下一页返回上一页6.高可用性7.5MicrosoftISAServ847.5.5MicrosoftISAServer2004的管理ISAServer2004在网络中提供多种功能，可以单独地使用这些功能，也可以有选择地一起使用。ISAServer2004的集成式管理允许使用统一的控制台和集成的策略来同时管理。这样大大地提高了用户的可管理性。这里通过两个方面来介绍ISA的集成式管理：ISA管理控制台和ISA向导。另外，再介绍如何在ISA中进行VPN连接和如何查看ISAServer的日志。7.5MicrosoftISAServer返回上一页7.5.5MicrosoftISAServer20857.6.1NetScreen防火墙的背景介绍1.NetScreen背景NetScreen科技公司成立于1997年10月，总部位于美国加州的硅谷。公司致力于发展一种新型的与网络安全有关的高科技产品，把多种功能集成到一起，创造新的业界性能记录。NetScreen创建新的体系结构并已经取得了专利，该项技术能有效消除传统防火墙实现数据加盟时的性能瓶颈，能实现最高级别的IP安全（IPSec），先进的系统级的设计允许产品提供多种功能，并且这些功能都具有无与伦比的性能。7.6NetScreen防火墙下一页返回7.6.1NetScreen防火墙的背景介绍7.6N862.NetScreen主要应用产品（1）NetScreen-5000系列（高端应用）（2）NetScreen-500（中高端应用）（3）NetScreen-50（中低端应用）（4）NetScreen-25（中低端应用）7.6NetScreen防火墙下一页返回上一页2.NetScreen主要应用产品7.6NetScre877.6.2NetScreen防火墙的功能描述NetScreen有NetScreen-5，是为小型办公室或个人用户而设计的，NetScreen-10用于10MB传输的网络，NetScreen-100用于100MB传输的网络。NetScreen-100端口是自适应的端口。NetScreen-100为那些大型企业和网络主干的供应商提供千兆网安全的解决方案。NetScreen-1000是市场上唯一千兆的集防火墙、VPN和流量管理于一身的防火墙产品。7.6NetScreen防火墙下一页返回上一页7.6.2NetScreen防火墙的功能描述7.6N887.6.3NetScreen防火墙的安装1.NetScreen设备的安装NetScreen-100尽管基于的平台比较早，但各种接口的布局基本上相同。设备的前面几个是数码管、一个PCMCIA插槽、一个DB-25串口，还有3个RJ-45网络接口。2.NetScreen安全系统的安装（1）安装NetScreen-1000航母级的NetScreen-1000很复杂，在这里只就它的设计和配置进行高度概括性地介绍。该设备本身装在一个8槽CompactPCI模块化底盘上，可以很容易地固定在19英寸的支架上。7.6NetScreen防火墙下一页返回上一页7.6.3NetScreen防火墙的安装7.6Net89遵循着真正航母级设计，底盘上有AC或DC电源、两个单独的电源插座，还有电缆钩。（2）架设NetScreen-1000尽管把NetScreen-1000安装到装备架上相当容易，但也需要两到三人同时工作。一旦NetScreen-1000固定好后，再接好电源线。然后将电源开关打到关闭或0位置后，找到两个单独的电源，插入NetScreen-1000设备的电源线，再打开设备的电源开关。NetScreen-1000就会开始自检和启动。7.6NetScreen防火墙下一页返回上一页遵循着真正航母级设计，底盘上有AC或DC电源、两个单独的电源90（3）在独立配置下连接NetScreen-1000因为NetScreen-1000只有两个数据流的网络接口，连接起来很方便。需要注意的是，网络连接必须使用支持802.1q的以太网交换机，因为NetScreen-1000在使用VLAN的过程中要产生很多虚拟接口。（4）在冗余配置下连接NetScreen-1000与NetScreen其他产品类似，可以将两个或多个NetScreen-1000设备连接在一起组成一个防火墙冗余集。将NetScreen-1000设备通过辅助模块的10/100以太网端口连接起来。为了消除任何单点故障，应该在不可信网络和可信网络中使用两个路由器和两个交换机。7.6NetScreen防火墙下一页返回上一页（3）在独立配置下连接NetScreen-10007.6917.6.4NetScreen防火墙的配置NetScreen-100是个长方形的黑匣子，其正面面板上有4个接口。左边一个是DB25串口，右边3个是以太网网口，从左向右依次为TrustInterface，DMZInterface，UntrustInterface。其中TrustInterface相当于HUB口，下行连接内部网络设备。UntrustInterface相当于主机口，上行连接上公网的路由器等外部网关设备；两端口速率自适应（10M/100M）。7.6NetScreen防火墙下一页返回上一页7.6.4NetScreen防火墙的配置7.6Net921.控制台初始化配置在访问NetScreen图形化用户界面（GUI）之前，必须给可信或LAN端的接口端口分配一个IP地址。本部分提示了在使用GUI访问之前必须通过命令行接口设置哪些内容。（1）为CLl访问做准