岸上的鱼 2007-12-5 21:29
关于NETSCREEN一些总结
Netscreen防火墙是一种高性能的硬件防火墙,与其它的硬件防火墙相比有本质的区别。其它的硬件防火墙实际上是运行在PC平台上的一个软件防火墙,而Netscreen防火墙则是由ASIC芯片来执行防火墙的策略和数据加解密,因此速度比其它防火墙要快得多。从软件特性上看Netscreen防火墙是状态检测与应用代理混合的防火墙,对于大部份的应用Netscreen防火墙是监测整个通讯状态,如果发现通讯状态不正常便拒绝进入受保护的内部网络,对于FTP或H322等通讯状态不好跟踪的服务Netscreen防火墙通过应用代理来确保服务安全。 Netscreen防火墙有三大功能:1、 防火墙2、 VPN3、 流量分配和负载均衡 现今NetScreen公司已经被Juniper公司收购。 NetScreen资料:204配置手册 NetScreen系列产品,是应用非常广泛的NAT设备。NetScreen-204就是其中的一种。 NetScreen-204是个长方形的黑匣子,其正面面板上有四个接口。左边一个是DB25串口,右边三个是以太网网口,从左向右依次为Trust Interface、DMZ Interface、Untrust Interface。其中Trust Interface相当于HUB口,下行连接内部网络设备。Untrust Interface相当于主机口,上行连接上公网的路由器等外部网关设备;两端口速率自适应(10M/100M)。 配置前的准备 PC机通过直通网线与Trust Interface相连,用IE登录设备主页。设备缺省IP为192.168.1.1/255.255.255.0,用户名和密码都为netscreen ; 登录成功后修改System 的IP和掩码,建议修改成与内部网段同网段,也可直接使用分配给Trust Interface的地 址。 修改完毕点击ok,设备会重启; 把PC的地址改为与设备新的地址同网段,重新登录,即可进行配置 也可通过串口登录,在超级终端上通过命令行修改System IP 数据配置 数据配置包括三部分内容:Policy、Interface、Route Table。 配置Policy 用IE登陆NetScreen,在配置界面上,依次点击左边竖列中的Network–〉Policy,然 后选中Outgoing。如系统原有的与此不同,可点击表中最后一列的Remove来删除掉,然后点击左下角的New Policy, 重新设置。 配置Interface 在配置界面上,依次点击左边竖列中的Configure–〉Interface选项,则显示如下所示的配置界面,其中主要是配置Trust Interface、Untrust Interface,必要时修改System IP。 在 Interface配置图当中; 说明: Trust Interface下面的Inside IP,即指端口本身的IP。因为该端口是设备用以与局域网内部相连的,所以就相当于是设备对内的端口,故此把该端口的IP 就叫做设备的Inside IP。同理,Untrust Interface下面的Outside IP也是指该端口的IP ,因为该端口是面向局域网外部的;Trust Interface下面的Default Gateway,指局域网内部与Trust Interace相连的设备的接口的地址。在本例中即是上行口的地址。Untrust Interface下面的Default Gateway是指外出上公网的网关地址(即NAT的下一跳),本例中指与NAT相连的路由器的接口地址 在接口的配置选项中,Traffic Bandwidth选项是对该端口传输带宽的描述,不用设置。因为两端口都是自适应的,会根据所连对端端口的带宽而自动调整。 在Enable的选项中,Trust Interface端口按照缺省的选择即可。而Untrust Interface因为面对公网,为安全起见,应当把ping、telnet等性能屏蔽掉, 不要选择。只有当有必要进行远程维护时,才把telnet选中。 对于System IP,当第一次登录后把它修改为与Trust Interface或Untrust Interface的IP 在同一网段,则用户就只能从Trust Interface或Untrust Interface登录。为了实现从两个端口都可登陆,以便管理,需要在上述界面上把System IP 的值改为0.0.0.0 Untrust Interface和Trust Interface配置内容完全一样,上面的例图由于是用PrtSc屏拷下来的,不能把Untrust Interface的配置内容拷全,特此说明。 配置Route Table 在配置界面上,依次点击左边竖列中的Configure –〉Route Table选项,则显示图5所示界面。 系统要正常运行,在NAT内部有两条路由是必不可少的,一条是去内部网段下面的用户网段的 路由,其网关是与NAT相连的接口的地址。该路由为:10.10.0.0 255.255.0.0 10.100.0.1 Trust ;另一条是去外部公网的缺省路由,其网关是与NAT 相连的外部路由器的接口地址。该路由为: 0.0.0.0 0.0.0.0 202.99.6.193 Untrust。 从路由表中可以看出,后一条路由是系统缺省自动生成的,所以只需手工添加的第一条路由。点击界面左下角的New Entry创建新的路由。对于已生成的路由,可以通过点击Edit、Remove进行修改或删除。至此,所有配置全部完成 NetScreen-208 NetScreen-208是目前市场上功能最多的防火墙产品,可以方便地集成在许多不同的网络环境中,包括大中型企业的办公室,电子商务网站,数据中心和电信运营基础设施。它具有8个自适应10/100M以太网端口,延续了NetScreen防火墙优秀的线速处理能力(550Mbps)--即使在对系统资源要求极高的应用中(诸如VPN-3DES加密)也能保持超过200Mbps的速率。能 并发会话:128,000 每秒的新会话数:13,000 防火墙性能:550Mbps 三倍DES(128位):200Mbps 策略:4,000 时间表:256 8个自适应10/100M Base-T以太网口工作模式 透明模式(所有端口):是路由模式在所有端口:是 NAT(网络地址转换)在所有端口:是基于策略的NAT:是 PAT(端口地址转换):是虚拟IP(Virtual IP):4 映射IP(Mapped IP):4,000 IP路由--静态路由:256 每个端口的用户数,信任端:没有限制 IP地址分配 静态:均支持 DHCP client(动态IP分配):N/A PPPoE client:非信任端内部DHCP服务器:信任端 DHCP Relay:支持防火墙攻击检测 同步攻击:是 ICMP flood检测:是 UDP flood检测:是检测死ping(Ping of death):是检测IP欺骗(IP spoofing):是检测端口扫描(Port scan):是检测陆地攻击(Land attack):是检测撕毁攻击(Tear drop attack):是过滤IP源路由选项(Filter IP source route option):是检测IP地址扫描攻击(IP address sweep attack):是检测WinNuke attack攻击:是 Java/ActiveX/Zip/EXE:是默认分组拒绝(Default packet deny):是 Dos & DDoS保护:是用户定义的不良URL:48 Per-source session limiting:是 Syn fragments:是 Syn and Fin bit set:是 No flags in TCP:是 FIN with no ACK:是 ICMP fragment:是 Large ICMP:是 IP source route:是 IP record route:是 IP security options:是 IP timestamp:是 IP stream:是 IP bad options:是 Unknown protocols:是 VPN 专用隧道:1,000 手动密匙、IKE、PKI(X.509) :是 DES(56-bit)&三倍DES(168bit)加密encryption:是完全正向保密(DH群组)Perfect forward secrecy(DH Groups):1,2,5 防止回复攻击(Prevent replay attack):是远程接入VPN(Remote access VPN):是 L2TP within IPSec:是站点间VPN(Site-to-site VPN):是集中星型VPN网络拓扑:是 IPSec NAT Traversal:是 IPSec 认证: SHA-1:是 MD5:是 PKI认证请求(PKCS 7& PKCS 10):是 Automated certificate enrollment(SCEP):是 Online Certificate Status Protocol(OCSP):是 支持的证书服务器: Versign认证中心:是 Entrust认证中心:是 Microsoft认证中心:是 RSA Keon认证中心:是 IPlanet(Netscape)认证中心:是 Baltimore认证中心:是 DOD PKI认证中心:是 防火墙和VPN用户认证 内置(内部)数据库用户限额:1,500; RADIUS(外部)数据库:是; SA SecureID(外部)数据库:是; LDAP(外部)数据库:是;流 量 管 理 有保障的带宽:适用最大带宽:适用优先使用带宽:适用 DiffServ标记:适用负 载 均 衡 轮询Round robin:是;加权轮询Weighted round robin:是;最少连接Least connections:是;加权最少连接Weighted least connections:是;高可用性(HA) 高可用性(HA):是防火墙和VPN会话保护:是设备故障监测:是链路故障监测:是故障切换网络通知:是新HA成员认证:是 HA流量加密:是系 统 管 理 网 址 浏 览 器 配 置 管 理(WebUI:HTTP and HTTPS);命令行界面--控制台(Command line interface:console,telnet);命令行界面(telnet);安全命令外壳(兼容ssh v1)Secure Command Shell(ssh v1 compatible); NetScreen Global Pro:在新版本的ScreenOS发布后可实现; NetScreen Global Pro Express:在新版本的ScreenOS发布后可实现; 在任何借口上经过VPN通道可实现管理; SNMP完全自定义MIB 管理 多个管理员:20;远程数据库管理: RADIUS;网络管理:6;根源管理、管理和只读三种用户权限(Root Admin,Admin,&Read Only user levels):是;软件升级和配置变动:TFTP/WebUI/Global 日志/监控 系统日志(Syslog):外部;电子邮件(两个地址)E-mail(2 addresses):是; Web Trends:外部; SNMP:是; Traceroute:是; VPN通道监视程序(VPN tunnel monitor):是; Websense URL过滤:外部 External Flash (外接闪存卡) CompactFlash:96或512MB可选 PCMCIA闪存:无;事件日志和告警(Event logs & alarms):是;系统配置脚本(System config script):是; ScreenOS软件(ScreenOS software):是电源 AC(交流)电源: 90-264可变VAC(47到63Hz);功率消耗:45瓦; DC(直流)电源:-36 to -72VDC, 功率消耗:50瓦外 型 尺 寸 10.8英寸(长) x 17.5英寸(宽) x 1.73英寸(高), 重量7磅 可堆叠 支持支持的标准 ARP, TCP/IP, UDP, ICMP, HTTP, RADIUS, IPSec (IPESP), MD5,SHA-1, AES, DES, 3DES, IKE (ISAKMP), TFTP (client), SNMP,X.509v3, DHCP, PPPoE 安全标准认证 安全认证:FCC, UL, CE, CUL, C-Tick, VCCI, BSMI, CSA 工作环境温度 5-40oC(40到105F) 湿度 5%-90%,无冷凝平均故障间隔时间 (Bellcore model) 6.5年 VPN应用示例 连接移动的用户访问企业网的文件 连接分支机构和企业网,并可用于提供冗余的WAN链路 将多个分支机构通过Internet连接起来,通过密文传输,以保障企业网的安全 目前,NetScreen 有 NetScreen-10 用于10MB 传输的网络。NetScreen-100 用于100MB传输的网络。NetScreen-100 端口是自适应的端口,也可用于目前传输为10MB 并计将来升级为100MB的网络。 NetScreen-1000 为那些大型企业和网络主干的供应商提千兆网安全的解决方案。 NetScreen-5 目前已有产品。它的大小类似一个CDROM。它为小型办公室或个人用户而设计的。NetScreen 远程 VPN 客户软件可提供远程VPN访问的解决方案。产品功能及特点 NetScreen产品是基于安全包处理器的产品。全新的技术包括定制的专有的芯片免费加盟和策略实现。高性能的多总线体系结构、内嵌的高速RISC CPU和专用软件。NetScreen防火墙的专用ASIC芯片提供存取策略的功能。该功能以硬件方式实现,它比件防火墙有着无可比拟的速度优势CPU可专门负责管理数据流。(策略存取执行防火墙保护和加密解密功能)。由于做到了系统级的安全处理功能。NetScreen消除了基于PC平台的防火墙的需管理多个部件所引起的性能下降的瓶颈。 NetScreen提供了多功能和高安全性能的无缝连接,NetScreen-1000, NetScreen-100 和NetScreen-10 分别提供了1000M、100M和10M的传输性能。NetScreen-1000是市场上唯一的千兆的集防火墙、VPN和流量管理于一身的防火墙产品。同样,NetScreen-100是业界最快的防火墙,另外,NetScreen自动调整端口速率,使其达到10M和100M自适应。 因为是基于硬件的设计,NetScreen是唯一一家安全解决系统的提供商,NetScreen产品的高性能允许用户享受到高速的好处,可提供多条E1线路,甚至更高如E3的线路。 另外,该产品允许用户在远程实现加密通信,并且这种VPN功能不影响性能。NetScreen提供给ISP们一个价廉物美的安全解决方案。NetScreen10为中小企业提供他们负担得起的全面的安全解决案。允许他们在自己的企业网内部构筑安全体系。性能 NetScreen产品动态加密保护和按优先级实时监控未来数据,它专有的独特的系统计保证了它的高性能,ASIC芯片可以独自处理并过滤包。先进的多总线结构比基于C的平台上的防火墙产品快。同样基于系统级的安全功能设计消除了传输的瓶颈。 用户认证和策略 NetScreen 支持高性能的存取为每一个当前用户,无论是远程还是在防火墙内,支持创纪录的并行连接用户数。NetScreen-1000创纪录地实现了TCP/IP并发连接(超过500,000 );策略数(多于40000)和并发VPN连接数(超过25,000 ) NetScreen-100支持每秒4370个连接,(基于32个客户),领先于它的最接近的竞争对手。根据独立测试机构,KeyLab测试报告,NetScreen-100支持 128,000 个并发用户连接,NetScreen-10支持 64,000 个并发连接。 所有产品都支持超过5000个存取策略,并提供易用的过滤界面。防火墙 NetScreen全功能防火墙包括了包过滤、代理服务器和动态线路级过滤器。该产品提供高级的包检查和事件日志功能。并与Ipsec协议兼容。 VPN NetScreen会集了VPN功能,保证了数据在传输过程中的加密和解密,但在数据被加、解密之前,首先要满足预定的策略。不论NetScreen-100还是NetScreen-10都支持业界的加密标准。包括网络密钥交换(IKE, 或以前的ISAKMP) 通过IP,DES,Triple DES。并且还支持数据签名(MD5) 算法。NetScreen将支持X.509认证公钥算法(PKI),可以自动地管理VPN。NetScreen-1000建立了新的VPN性能测试基准,与其它同类产品比较,NetScreen-1000有着更高的吞吐量,更广泛的安全性和更低的价位。 流量管理 流量管理提供给网络管理员所有必须的信息去监控和管理网络流量。网络控制功能象带宽分配。流量优先级和负载均衡,使该产品成为web服务器和ISP的理想产品。 网络管理 该产品易于安装,而且NetScreen产品可以远程通过网络上任何一台具有浏览器的机器来管理。透明模式 NetScreen可以被用来作透明传输。你可以在这种方式不分配任何IP给NetScreen网络界面。它只需要一个管理界面。不用更改您现有的任何网络配置就可以利用策略来管理网络流量。除了它可以在两台NetScreen之间运行VPN,即使有些产品可以在透明模式下工作,但它们也不能在透明模式下实现VPN。特点 独特的ASIC设计及已申请专利保护的系统体系结构 . 最优的性能价格比 . 无用户数目限制 . 独特的负载均衡能力及流量优先级控制能力 . 创记录的性能,具有线速运行能力 . 配置简单,管理方便 .支持透明传输模式. 设计紧凑,一些附加功能转移到主机上完成.如日志功能 .支持一主一备的管理模式访问控制 NetScreen 使用了状态检查的方法来实现动态的包过滤。 相比其他的两种方法简单的包过滤和复杂的应用网关来讲,它具有更快速和更安全的优点。 简单的包过滤只检查IP地址和端口号。它通常由路由器来实现。但它只能做到拒绝端口访问或允许端口访问。它不能了解连接的状态。一旦真正的用户完成了TCP的连接后,就留下了可使黑客劫持端口号的漏洞。 应用网关通过检查应用层所有的包,提供了更好的安全性。但是用户需要厂商提供所有应用的代理。而且它只能用软件实现,因此性能是很低的。 状态检查的链路层代理,另一方面,可实现硬件层。防火墙保持所有的TCP会话的检查。一旦一个会话结束,防火墙就结束这个连接。在不牺牲安全性的条件下,提供更高的性能。 NetScreen 也可提供网络层的 URL 过滤,并在不久的将来实现病毒扫描的功能。NetScreen 产品也提供信息的和用户的认证。NetScreen是通过建立VPN通道,由MD5实现的ESP信息的认证,并依从IPSec 标准 用户的认证可由两种方法实现。用户可在防火墙上定义多达2000 个用户或者设置一个 Radius 服务器来存储用户认证的信息。 管理 NetScreen 产品可连接信任端口(Trusted )或 不信任端口(Untrusted)然后通过web 界面来管理。并提供了跨Internet来实现远程管理能力。不信任端口(Untrusted)可以因安全的原因而设置为取消。如果取消它,不信任端口是不可ping的。 (不信任端口(untrusted) 在 1.60版本以前是不可ping的)。 NetScreen 产品同样也可通过console 端口,使用命令行方式进行管理。如果用户喜欢使用命令行方式或希望通过远程来管理防火墙,可在console口连接一个调制解调器Console口的访问也可因为安全原因设置为取消。 NetScreen 产品也可以通过telnet来管理。Telnet 和Web 管理也可通过VPN 通道加密,提供安全的管理。 管理方便,可通过串口管理,使用命令行方式。也可以在图形方式下用浏览器进行管理,不分硬件平台和操作系统,只要把浏览器打开就可以通过用Web server 的方式来管理.配置简单尤其在配置三个端口的IP时很方便对于大型网络中多个NetScreen设备,可以采用snmp的集中式管理,通过网络管理软件,如SunNetManager来进行管理.而且NetScreen还可以提供备份的远程拨号方式的管理不仅如此,为安全起见,NetScreen 可以关闭远程的管理方式,而只使用本地的、安全的管理方式。 处理能力及性能指标 . 具有线速带宽且不受信息包大小影响(wirespeed) . 在作地址转换和添加策略时,性能不受任何影响 . 具有VPN功能,支持IPSEC,DES,TripleDES,人工密钥管理,自动ISAKMP密钥管理,支持MD5 . 线速带宽的包过滤 . 支持128,000 个并发连接 . 5000个高级访问过滤策略 . 具有网络地址转换功能 . 支持透明模式传输 . 动态过滤,具有硬件级代理服务器功能 . 有实时监控流量和报警功能 . 可以实现日志记载功能 . 流量控制,可以根据不同用户及不同策略分配带宽. 支持8级用户优先级设置 . 支持服务器负载均衡 . 动态IP pool,实现端口地址转换 . 支持多种标准协议:ARP,TCP/IP,UDP,ICMP DHCP, HTTP, RADUIS, Ipsec ,MD5, SHA-1 Des,Triple -DES, IKE, X.509v3 .可以通过浏览器,TFTP服务器,快速闪存来进行软件版本的升级及配置参数的下载,备份 .支持一主一备的管理模式产品适用范围 l 企业网 (INTRANET) Netscreen-100,以其创记录的100Mbps运行速度,将业界的性能标准一下子提高了十,创新的,独特设计的软硬件体系结构,使Netscreen-100将高速的性能,最大限度的安全性及简单易用有机地结合在一起,有效的消除了制约传统软件类防火墙的性能瓶颈. Netscreen-100是当今市场上为企业网(INTRANET)与互连网(INTERNET) 及企业内部各单独子网之间提供信息保护的最可信赖的解决方案.它可以被灵活 地设置在企业局域网的各个关键位置,以保护各个部门的资讯,如财务部,工程部 等关键部门,或保护重要的企业网服务器,甚至可以保护企业高层管理人员个人电脑上的敏感资讯.将虚拟专用网(VPN)能力与放火墙功能设计在同一个体系结构中,是使Netscreen-100在当今防火墙技术市场上居于领先地位的关键.VPN 保证了加密的数据在进出公司局域网和外部互连网时受到检验. Netscreen-100强大的DMZ服务器负载平衡功能,使得用牺牲网络性能换取网络安全的矛盾迎刃而解.无论需求是来自企业网(INTRANET)还是互连网(INTERNET), Netscreen-100都有能力平衡多个服务器.运用一个加权系统,网络管理员可以保证为企业内部信任端口(TRUSTED)服务器和公共的隔离端口(DMZ)服务器按需分配宽Netscreen-100的100Mbps的速度性能,保证了网络具有实时响应能力和最短的等待时间,实现了网络性能与网络安全的完美统一. 2 互连网(INTERNET) Netscreen-100在防火墙市场之所以出类拔萃,是因为其实现了防火墙安全性能与高速率的完美结合.它不仅适用于单个的E1,而且适用于多个E1或E3,甚至快速以太网。Netscreen-100可以很容易地配置在任何现有的企业网络结构中。 Netscreen-100为网络管理员提供了综合的网络流量控制方法,从而实现了高效的网络流量管理。Netscreen-100的先进功能之一,优先级管理,就是对带宽按级别来分配,保证了网络数据的高效交换.这就使诸如视屏会议等特定服务和应用,在全部可用带宽范围内,可被确保一定比例的带宽而顺畅进行。与此相关的,Netscreen-100同时具有全面的网络分析能力,如实时的日志记录,快速准确的报警功能和方便的报表能力。 3.外部网(EXTRANET) Netscreen-100以其先进便利的VPN功能,确保特定局域网之间在互连网上以密文交换信息。在公网上开辟出一条安全通道,为用户降低成本。在Netscreen-100高速处理能力的保障下,VPN可使公司安全地进行远程数据复制与拷贝,以及对远端服务器的配置与管理。如果您的企业需要通过 互连网与诸如供货商,商业伙伴,分支机构进行端到端信息交换Netscreen-100的VPN功能将是您最安全可靠和经济有效的工具。由于VPN使用公网传输,节省了昂贵的租用专线费用,极大地降低了企业网络为通讯安全进行的投资
