juniper 防火墙基本原理

第1章：概述一、安全区1、安全区是绑定一个或多个接口的逻辑实体。2、 可以定义多个安全区，除预定义发全区：trust、untrust和DMZ以外，还要以自定义安全区段。3、 安全区之间的数据流通需要用策略进行控制。通过定义策略，使两个区段间的信息流向一个或两个方向流动。二、接口1、接口：物理接口：防火墙上实际存在的接口组件。子接口：在逻辑上将一个物理接口分为几个虚拟子接口。每个子接口都从它的物理接口上借用需要的带宽。2、信息流的只从一个区段到另一个区段。所以需要将接口绑定到安全区段才能使接口有作用。一个或多个接口可以绑定到一个安全区段。三、策略1、 默认情况，netscreen拒绝所有方向的所有信息流。只有通过创建策略，才能实现控制区段间的信息流。可以细微的控制一种信息流在预定的时间段内、在一个区段中的指定主机与另一个区段中的指定主机之间流动。2、 策略服务：策略的实现可以细化到从某区段到某区段能实现某种服务。所以需要细化到某种服务时，要预先定义服务。四、虚拟路由器1、 netscreen设备支持两个预定义的虚拟路由器。分别为：untrust-vr和trust-vr。这两个虚拟路由器维护两个单独的的路由表，并且虚拟路由器彼此之间隐藏路由信息，即互不相干。untrust-vr通常用来与不可信方通信。trust-vr与可信方通信。2、 从一个虚拟路由器的区段发出的信息流不能自动转发到另一个虚拟路由器区段，即使存在策略允许转发这样的信息流。如果希望信息流在虚拟路由器之间传递，需要导出VR之间的路由，或者定义静态路由，将另一个VR定义为下一跳。3、命令：setvrouter{trust-vr|untrust-vr}route{/0}interface{ethernet3}gateway{} //设置路由命令。trust-vr和untrust-vr分别代表两个虚拟路由器。/0是表示目的地址，ethernet3表示从哪个接口，表示下一跳地址，即网关IP。五、虚拟系统一些netscreen防火墙支持虚拟系统。对主系统的细分。即一个实体防火墙，可当多个虚拟防火墙使用。六、常规配置流程1、 建立zone，即建立区段(在不使用默认区段的情况下)2、 把zone分配置vr(虚拟路由器)3、 把网络接口分配给zone4、 给接口设置ip地址5、 配置虚拟路由6、 配置策略。第2章：区段详解一、 预定义区段的类型：1、 安全区:untrust、trust、DMZ、global、V1-untrust、v1-trunst、V1-dmz2、 通道区段：untrust-tun3、 功能区段：NULL、self、MGT、HA、VLAN二、 安全区1、 globalglobal区域不具有其他区都有的特性--接口。即Global区不包含接口。global区可充当映射ip(MIP)和虚拟ip(VIP)地址的存储区域。预定义global区段地址“any"应胜于global区段中所有mip、vip和其他用户定义的地址组。global区段还包含全域策略中使用的地址。global区域类似于CISCO防火墙中的全局映射。2、 untrust和trust区域是三层的区域。untrust是不信任区域。trust是信任区域。3、V1-untrust和v1-trust是二层区域。在透明模式下时使用注：screen选项：每个区域可启用一组预定义的screen选项。检测并阻塞netscreen认定的潜在有害数据流。二、 通道区段untrust-tun1、 通道区段:是一个逻辑区段。附属于某个实际的安全区段。通道区段可包含一个或多个通道接口，并对承载的信息流提供防火墙保护，并支持对数据的封装和解封，还提供NAT服务。2、 默认情况下，通道区段在trunst-vr路由选择域。也可以把通道区段划分到trust-vr路由选择域。3、 每个虚拟系统上的每个承载区段（理解为实际区段，如trust区段）最多只能有一个通道区段。（即一个实际安全区下面只能有一个通道区段）4、 需配置的要点有:通道接口属于哪个通道区段，通道区段附属于哪个实际区段，并属于哪一个路由选择域。注意：要修改通道区域的名称，或更改通道区段的承载区段，必须先删除该区段，再重建。但可以直接更改区段所属的虚拟路由选择域。三、 功能区段1、 NULL区段:用于临时存储没有绑定到任何其它区段的接口。2、 MGT区段:是带外管理接口MGT的宿主区段。可以在此区段上设置防火墙选项以保护管理接口。3、 HA区段:此区段是高可用性接口HA1和HA2的宿主区段。虽然可以为此区段设置接口，但此区段是不可配置的。4、 Self区段：此区段是远程管理连接接口的宿主区段。当您通过HTTP\SCS\telnet等连接netscreen设备时，就会连接到self区段。5、vlan区段：此区段是VLAN1接口的宿主区段。可用于管理设备。设备是透明模式时，终止vpn信息流。四、端口模式可以为netscreen设备选择端口模式,端口模式自动为设备设置不同的端口、接口和区段绑定。1、trust-untrust模式。缺省端口模式将untrusted以太网端口绑定到untrust接口，并将接口绑定到untrust区段。将modem端口绑定到serial接口，并作备份接口绑定到untrust区段。将以太网端口1到4绑定到trunst接口，并将接口绑定到trust区段。注：端口指设备的物理接口。接口是指通过cli或webui配置的逻辑接口。多个端口可以绑定到一个接口。2、trust\untrust\Dmz端口模式将以太网端口1和2绑定到接口ethernet1接口，并把接口绑定到trust区域将以太网端口3和4绑定到接口ethernet2接口，并把接口绑定到dmz区域将untrusted以太网端口绑定到untrust接口，并把接口绑定到untrust区域将邮件服务器、web服务器等这类的服务器与内网分开，放置于dmz区域。3、双untrust端口模式将untrusted以太网端口绑定到ehternet3接口，绑定到untrust区域将以太网4号端口绑定到ethernet2接口，绑定到untrust区域将以太网1-3号端口绑定到ethernetl接口，绑定到trust区域。即将两个接口绑定到untrust区域，一个做主接口，一个作备份，当主接口失效时，备份接口才会使用。4、 home\work端口模式将以太网1和2号端口绑定到ethernet1接口，并把接口绑定到work区域将以太网3和4号端口绑定到ethernet2接口，并把接口绑定到home区域将untrusted以太网端口绑定到ehternet3接口，绑定到untrust区域缺省情况下：work区域的信息可以流向home区域，home区域信息不可以流向work区域home区域的信息不受限制的流向untrust区域。5、combined模式untrusted和以太网端口4绑定到untrust区域。其中以太网端口4作为备份端口。以太网2、3端口绑定到home区域以太网1端口绑定到work区域。第3章、接口一、接口类型安全区段接口：1、 物理接口，即设备固有的接口。2、 子接口：在逻辑上将一个物理接口分为几个虚拟子接口。3、 聚合接口：即把多个物理接口聚合成一个聚合接口，每个接口平均承担通过整个聚合接口的数据流。4、 冗余接口：即把两个物理接口绑定成一个冗余接口。当主接口失效时，备份接口才开始接替主接口工作。这与聚合接口不同，不是同时工作。功能区段接口：5、 HA接口：HA用于组建高可用性时用的接口。即两个防火墙组成一个冗余组,当一个主防火墙失效时，备份防火墙接替主防火墙的工作。6、 通道接口：充当VPN通道入口。信息流通过通道接口进出VPN通道。二、配置安全区接口1、 将接口绑定到安全区及解除绑定2、 为接口分配Ip3、 修改接口设置和命令:getinterface查看接口的命令。

设置接口：setinterfaceethernet1zonetrust域setinterfaceethernet1ip/24setinterfaceehternet1manage-ip址。管理Ip地址要和接口地址在同一个网段。setinterfaceethernet1managessh协议setinterfaceethernet1managesslsetinterfaceethernet1managetelnetsetinterfaceethernet1managewebunsetinterfaceethernet1managessh协议unsetinterfaceethernet1managesslunsetinterfaceethernet1managetelnetunsetinterfaceethernet1manageweb解除接口：setinterfaceehternet1ip/0为空，即先解除接口的ip//把接口绑定到区//设置IP地址//设置管理Ip地//把接口绑定到区//设置IP地址//设置管理Ip地//设置接口的管理//关闭接口的管理//设置接口Ip地址//接口区域为空子接口注意点：（1）子接口虽然源自物理接口，但可以将子接口绑定到任何区段，不必一定和物理接口处于一个区段内。（2）子接口的Ip地址网段，必须与所有其他物理接口和子接口处于不同网段。（3）子接口用vlan标记来区别。配置命令：setinterfaceethernet1.2zonetrust //把子接口划入区段trunstsetinterfaceethernet1.2ip/24tag4 //设置子接口Ip地址和VLAN标识//删除子接口unsetinterfaceethernet1.2//删除子接口5、二级ip地址（即一个接口配第二个地址）一个接口有一个唯一的主Ip地址，还可配一个或多个二级Ip地址。（1）二级Ip地址不能与防火墙现有子网重迭。即每个二级Ip都必须是独立网段。不能与现在任何网段冲突。（2）不能为untrust区域中的接口配置第二ip地址。（3）不能为二级Ip配置网关。（4）可用二级IP管理netscreen设备,此时与主IP的管理属性相同。所以不能为二级Ip配置独立的管理配置。6、环回接口配置是一个逻辑接口。此接口只要设备开启即开启必须给环回接口配置Ip,并绑定到安全区可以把任何接口定义为环回接口的组成员。7、三、接口类型（一）nat模式1、 当是nat模式时,与普通路由器和三层交换机的作用相似。2、 当内部接口是nat模式时,从内到外的数据包,即流出外向区段untrust的ip数据包,源Ip会用untrust区段的接口的Ip替换,源端口号,会用一个随机生成的端口号替换。3、 从外到内的数据包,即从外向区段untrust到内部区段trust的数据包,会通过mip（映射ip）、vip（虚拟IP）、vpn通道，转换成内部的目的地址和端口号。screenos5.0.0之后的版本，untrust区段到内部区段trust、自定义内部区段的数据包，可以直接到过内部主机（nat接口模式后的主机），不用vip\mip\vpn。但也可以使用mip\vip\vpn到达。nat模式时，就想像成一个普通路由器。（二）路由模式路由模式时，在不同区段间转发信息时，不执行源NAT。即当数据包穿过防火墙时，数据包的源ip地址和端口号不变。并且每个区段内的接口都在不同网段。可以在策略中定义需要nat转换的ip,执行相应的Ip进行nat转换。nat模式时，所有的ip都会进行nat转的换。（三）透明模式透明模式时，作用类似于二层交换机。1、透明模式时的区段设置（1） vlan区段此区段是vlanl接口的宿主区段。用vlanl接口来管理防火墙。此Ip必须和第2层子网在同一网段。也可以为vlan接口配管理ip.（2） 预定义的第二层区段v1-trustv1-untrustv1-dmz预定义此三个区段。2、透明防火墙的信息流转发（1） 在第2层工作的netscreen设备，不允许区段间的任何信息流。即默认情况下，各区段间是不允许任何信息流通过的，除非配置了相应的策略。（2） 允许和拒绝策略中指定的信息流。（3）允许arp和2层非ip广播信息流。 拒绝所有非ip和非arp单点传送信息流及ipsec信息流，即拒绝非ARP单点，允许非IP广播流。第4章定义构建块（为策略定义对象）、定义地址1、定义地址条目需要先在一个或多个地址列表中定义地址，才能设置许多netscreen防火墙、vpn和信息流整形功能。定义单个地址：只有一个单一的IP地址，所以子网掩码为55定义一个网段：带有子网掩码的定义一个网段。不管是单个地址还是一个网段，都是一个对象，都有一个对象名。并且这个地址或网段也要划分到区域中。2、定义地址组可以把多个地址条目加到地址组中。这样对一个地址组的策略可以影响所有组中的地址。一个地址组可以是其他地址组的成员。地址组只能包含属于同一区段的地址。(4)地址组名不能和已有地址条目名相同。地址组被策略引用，则不能删除此地址组，只能编辑。二、 时间表可以将时间表对象与一个或多个策略相关联以定义策略生效的时间。三、 DIP池动态Ip池表示一个范围内的Ip地址。比如内网到外网时，nat转换可以是多对一，即一段内网的地址，都转换成一个外网地址。也可以是多对多转换，即一个网段的地址，可以转换成一个范围内的外部地址，所以外网的ip地址也可配置为一个地址范围。取地址时，是动态的在这个范围内取得。这个动态ip地址池也可以只有一个Ip,但也要设置范围格式。如：--,虽然只有一个地址，但也可以设置成范围格式，成了一个DIP。四、 服务在策略中使用服务，定义对象拥有的服务功能。1、预定义服务防火墙预先设置好的一些服务条目。可以直接引用。2、自定义服务自行定义的服务，以灵活的应用到策略。3、icmp服务4、服务组即把多个服务加入一个组中，对策略生效时，是一整个组的服务都生效。第5章：策略一、策略的基本元素1、两个安全区间信息流的方向2、源地址3、目标地址4、服务类型，即信息流传输的类型5、动作，有允许、拒绝或tunnel二、策略的三种类型1、区段内部策略之 从一个安全区到另一个安全区的策略。可以理解为区段间策略。2、区段内部策略之 在同一个安全区的接口间的策略。即一个区段内的不同接口之间信息流传递的策略。源地址和目的地址在同一区段内，但属于同区段的不同接口。3、全局策略：可以管理地址间的信息流，但不必考虑他们所属的安全区。全局策略不引用特定的源和目的区段。全局策略引和用户定义的global区段地址或预定义的global区段地址“any”。这些地址可以跨多个安全区段。三、策略组列表三种不同的策略组列表：区段间策略列表：源区段和目的区段不同，则查找区段间策略列表。区段内策略列表：源区段和目的区段相同，则查找区段内部策略列表。全局策略列表：如果防火墙进行区段间策略列表和区段内策略列表查找，都没有找到匹配的项，则查找全局策略列表。注：如果区段间策略列表、区段内策略列表、全局策略列表都没有找到匹配项，则防火墙会将缺省的策略应用到数据包。或将区段内部阻塞设置应用到数据包。设备从上到下搜索每个策略组列表。因此注意顺序。一般将特殊的策略置于不太特殊的策略上面。四、策略策略能允许、拒绝、加密和解密、认证、排定优先次序、调度、过滤以及监控从一个区段到另一个区段的数据包。可以决定哪些用户和数据可以进出，以及进出的时间和地点。1、策略和规则一个策略可以生成一个或多个逻辑规则，每个规则都由一组组件（源地址、目的地址和服务）组成。组件占用内存资源。引用组件的逻辑规则不占用内存。如1个策略：5个源地址*5个目标地址*5个服务=125条规则。以上125条规刚的逻辑组件：只产生5个源地址+5个目标地址+5个服务=15个组件。2、策略的结构策略必须包含的元素ID:自动生成区段：源区段和目的区段地址：（源地址和目的地址）服务动作：（permit\deny\tunnel）策略也可以包含下列元素：应用名称VPN通道确定L2TP深层检测策略列表顶部位置源地址转换目的地址转换用户认证HA会话备份URL过滤记录计数信息流报警临界值时间表防病毒扫描信息流整型第6章地址转换一、地址转换概述1、源地址转换：即nat转换，可以转换源网络地址，还可以转换源网络地址+端口号。2、目的地址转换：可用策略转换、映射ip地址、虚拟IP地址。映射地址转换是一对一的，是双向的，即一个外部IP对应一个内部IP。虚拟IP是，一对多的。一个外部IP加上端口号，对应内部IP加上端口号。这样一个外部IP,可以对应很多内部IP应用。不支持同时将基于策略的NAT-dst与MIP和VIP配合使用。如果MIP、VIP和NAT-DST混合使用同于同一数据包，将以MIP和VIP的为准。不应用策略上的NAT-DST。二、源地址转换 （nat-src）1、 多对一：即多个内部IP转换成一个外部IP。2、 多对多：即多个内部IP转换成多个外部IP中的一个。即多个外部IP组成一个地址池（dip），内部地址转换成外部IP时，从DIP中随机抽取一个外部IP。DIP地址池，最小可以只有一个IP地址。但是当启用PAT（端口地址转换：ip地址+端口的方式）时，单个地址的DIP地址池可以转换最多达64500台主机。会根据地址+端口识别是哪个内部地址主机的请求。3、策略源地址转换：只在策略上定义了源地址转换，而没有定义地址池时，将把源地址转换为目的区段的出接口地址（外部接口地址）注意：需要将源地址端口保持固定的应用程序，需要禁用PAT，且将DIP地址池设置到足够大，确保每台内部地址都能分到一个不同的外部地址。要将DIP地址池中的相同IP分配给主机的多个同时会话，即一个地址永远分配置这个主机，则需要启用DIP地址附着功能。命令模式下：setdipsticky三、目的地址转换（外部取内部地址转换）基本策略的nat-des和VIP可以使用端口号。mip不能使用。（一）基于策略的NAT-des可将一个目的IP地址转换成另一个IP地址，即外部到内部的一对一映射。支持端口映射。将一个目的IP地址范围转换成一个IP地址，即多对一的映射。支持端口映射。将一个目的IP地址范围转换成另一个IP地址范围，即外到内的多对多。不支持端口映射。NAT-DES中可使用端口进行端口转换但此时一定需要有指向虚拟目的地址（初始目的地址）和最终目的地址的路由。防火墙使用初始目的地址执行路由查找，来确定出口接口。然后根据出接口确定接口所在的区段，再在出接口区段中查找策略。策略中定义了从初始地址到最终地址的映射。当找到合适的策略后，防火墙再进行第二次路由查找，确定最终目的地址从哪个接口可以到达。例女如把一个外部IP地址49映射为一个内部IP地址 ，内防火墙内一定要有49虚拟IP地址（初始目的地址）的路由和到达内部IP的路由。对于访问者即源地址来说,49只是初始虚拟目的地址，他的最终目的地址是先找到49这个初始目的地址所属的接口，再查这个接口属于哪个区段，如果属于untrust区段，则在untrust区段中查找策略。如果找到策略中有从49到的映射条目，再查找的路由，看哪个接口可以到这个地址。这与我们常用的静态映射（MIP）和动态映射（VIP）不太一样。这里需要一个初始目的地址。配置过程：先建立和接口的ip地址和所属区段。建立初始地址或初始地址段，并设置初始地址或地址段所属的区段。一般属于最终目标地址区段。配置到初始地址或地址段的路由配置策略，从使用客户端到目的地址所属区段的策略。并应用服务、刚定义的初始地址和动作。并在高级配置选项目定义到最终目标地址的转换。（二）映射IP（MIP）是一个IP地址到另一个IP地址的直接一对一映射。1、 MIP和Global区段无论哪个区段接口的MIP，都会在global区段中生成该MIP条目。global区段存储所有MIP地址，不管是哪个区段的接口。在策略