Junipr防火墙用户手册
Juniper防火墙用户手册
Juniper Networks, Inc.
Jan. 2008
保密和变更申明
这份文档包含了来自Juniper Networks的可靠、权威的信息,这些信息是作为公司的技术信息专用,文档的阅读者应对其内容保密,未经Juniper Networks, Inc. 书面请求和书面认可,不得复制、泄露或散布这份文档。对这份文档内容的任何形式的泄露、复制或散布都是被禁止的。
目录
第1章Juniper防火墙基本工作原理 (3)
1.1. 基于状态检测的ASIC硬件防火墙 (3)
1.2. Juniper防火墙组件结构 (4)
第2章管理 (5)
2.1. Web 用户界面 (6)
2.2. 命令行界面 (7)
2.3. 串行控制台 (9)
2.4. 如何实现对防火墙的远程管理 (10)
第3章路由 (10)
第4章访问控制策略 (12)
4.1. 策略的三种类型 (12)
4.2. 策略和规则 (13)
4.3. 策略查看和建立 (14)
第5章NSRP(Netscreen 冗余协议) (15)
5.1. NSRP工作原理 (15)
5.2. CCB一级分行防火墙部署结构 (17)
5.3. NSRP日常维护命令 (18)
5.4. Juniper防火墙NSRP双机软件升级步骤 (19)
5.5. 如何快速配置NSRP集群备用设备 (20)
第6章防火墙日常监控与维护 (21)
6.1. Juniper防火墙日常监控内容 (21)
6.2. 防火墙健康检查信息表 (23)
6.3. 常规维护建议 (24)
6.4. 设备运行档案表 (24)
6.5. 防火墙应急处理 (25)
6.6. 故障处理工具 (27)
6.7. 策略配置与优化(Policy) (28)
6.8. 特殊应用处理 (29)
第7章附录 NetScreen防火墙安装指南 (30)
7.1. 如何进入图形化界面 (30)
7.2. NetScreen防火墙图形化界面配置 (32)
7.3. 简单故障分析及系统维护 (39)
7.4. 如何清掉已有的系统设置,恢复出厂默认设置 (41)
Juniper防火墙用户手册
第1章Juniper防火墙基本工作原理
1.1.基于状态检测的ASIC硬件防火墙
防火墙通过在网络边界上建立起来的相应网络安全系统来隔离内部和外部网络,以确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务,阻挡外部非法人侵,以保护网络的信息安全。针对用户请求的新建应用连接,防火墙状态检测机制检查预先设置的访问控制策略,仅允许通过访问控制策略检查的应用连接报文才能够通过防火墙,同时防火墙在内存中记录下该连接的相关信息,生成应用流(flow)的会话表(session),将进出网络的数据当成一个个的应用流来处理。对该连接的后续(双向)数据包,只要匹配会话表,报文就可以通过防火墙。状态检测防火墙好处在于:由于不需要对每个数据包进行规则检查,而是一个连接(应用流)的后续数据包通过ASIC硬件芯片执行高速散列算法,直接进行状态检查且包的转发由ASIC芯片直接进行处理,使防火墙性能得到大幅提高;同时由于会话表是动态的,故可以有选择地、动态地开放整个应用流需要的后续动态端口,使防火墙能够增强对复杂协议的安全检查。
1.2.Juniper防火墙组件结构
Juniper Networks ScreenOS 体系结构为网络安全规划和设计提供了很强的灵活性。在具有两个以上接口的防火墙上,可以创建多个安全区并配置策略以调节安全区内部及安全区之间的信息流。可以为每个安全区绑定一个或多个接口,并在每个安全区上启用一组唯一的管理。利用ScreenOS 可以创建网络环境所需的安全区数,分配每个区所需的接口数,并且可以根据自己的特殊要求来设计每个接口。
Zone(安全区)是由一个或多个网段组成的集合,需要通过策略来对入站和出站信息流进行调整。安全区是绑定了一个或多个接口的逻辑实体。可以定义多个安全区,确切数目可根据网络需要来确定。除用户定义的安全区外,通常使用预定义的安全区:Trust、Untrust和DMZ。
Interface(接口):安全区的接口可以视为一个入口,TCP/IP 信息流可通过它在该安全区和其它任何安全区之间进行传递。通过定义的策略,可以使两个安全区的信息流向一个或两个方向流动。利用定义的路由,可指定信息流从一个安全区到另一个安全区必须使用的接口。由于可将多个接口绑定到一个安全区上,因此制定的路由对于将信息流引向所选择的接口十分重要。
VR(虚拟路由器):VR的功能与路由器相同。它拥有自己的安全区及自己的单播和组播路由表。在 ScreenOS 中,安全设备支持两个预定义的虚拟路由器,这将允许安全设备维护两个单独的单播和组播路由表,同时隐藏虚拟路由器彼此之间的路由信息。
Policy(策略):Juniper 防火墙用于保护网络的安全,具体做法是先检查要求从一个安全区到另一安全区的通路的所有连接尝试,然后予以允许或拒绝。在缺省情况下,安全设备拒绝所有方向的所有信息流。通过创建策略,定义允许在预定时间通过指定源地点到达指定
目的地点的信息流的种类,可以控制安全区间的信息流。范围最大时,可以允许所有类型的信息流从一个安全区中的任何源地点到其它所有安全区中的任何目的地点,而且没有任何预定时间限制。范围最小时,可以创建一个策略,只允许一种信息流在预定的时间段内、在一个安全区中的指定主机与另一安全区中的指定主机之间流动。
第2章管理
Juniper 防火墙提供不同方法来管理设备,既可本地管理,也可远程管理。根据CCB各分行安全项目的要求,所有NetScreen设备通过专用的管理接口与管理网相连,所有数据端口管理功能全部关闭,也就是所有管理工作只能通过管理网完成。具体管理请参考管理文档。NetScreen所有平台均支持本地管理和远程管理,通过NSM系统软件
可以实现全局的集中统一管理。
本机管理方式可以通过以下管理方案实现
●基于Web方式的GUI管理方式
●基于Web方式的SSL安全远程管理方式(需数字证书)
●基于Telnet的远程管理方式
●基于SSH的安全远程管理方式(需支持SSH1.x的客户端软
件)
●基于Console的本地管理方式
●基于专用NSM系统的管理
日志管理接口包括以下方式:
●Syslog
●SNMP
●Webtrends(第三方解决方案)
●NetScreen Global Pro
2.1.Web 用户界面
为了便于管理,您可使用Web 用户界面(WebUI)。NetScreen 设备使用Web 技术,该技术提供了配置和管理软件的Web 服务器界面。
要使用WebUI,必须具备以下条件:
Netscape Communicator (版本4.7 或更高版本)或Microsoft Internet Explorer(版本5.5 或更高版本);TCP/IP 网络连接到NetScreen 设备
2.2.命令行界面
高级管理员可通过使用命令行界面(CLI) 进行更好的控制。要为NetScreen 设备配置CLI,可使用任何仿真VT100 终端的软件。如果使用终端机仿真器,可使用Windows、UNIX?或Macintosh?操作系统中的控制台配置NetScreen 设备。要通过CLI 进行远程管理,可使用Telnet 或“安全命令外壳”(SCS)。要通过控制台端口进行直接连接,可使用“Hyperterminal?”。
2.2.1 Telnet
Telnet 是一个登录及终端仿真协议,该协议使用客户端/ 服务器关系连接到TCP/IP 网络上的网络设备并进行远程配置。管理员在管理
工作站上运行Telnet 客户端程序并与NetScreen 设备上Telnet 服务器程序创建连接。登录后,管理员可发出CLI 命令,将其发送到NetScreen 设备上的Telnet 程序,对设备进行有效的配置,好像通过直接连接运行一样。使用Telnet 管理NetScreen 设备需要以下条件:
●管理工作站上有Telnet 软件
●“以太网”连接到NetScreen 设备
2.2.2 安全命令外壳
NetScreen 设备中内置的“安全命令外壳”(SCS) 服务器提供一种方法,凭借这种方法,管理员可通过使用“安全外壳”(SSH) 以一种安全的方式远程管理该设备。SSH 允许安全地打开远程的命令外壳并执行这些命令。NetScreen设备上运行的SCS 任务是执行SSH 1.x 服务器组件,它允许SSH 1.x 兼容的客户端控制台/ 终端应用程序连接到NetScreen 设备。
管理员可通过两种认证方法之一使用SSH 连接到NetScreen 设备。
●密码认证:需要进行配置或监控NetScreen 设备的管理员
通常使用此方法。SSH 客户端启用SSH 连接到NetScreen 设备。
如果在接收连接请求的接口上启用SCS 可管理性,则NetScreen 设备用信号通知SSH 客户端,以提示用户输入用户名和密码。SSH 客户端收到此信息后,会将之发送到NetScreen 设备,它将其与admin 用户帐户的用户名和密码进行比较。如果它们匹配,NetScreen 设备就认证此用户。如果它们不匹配,NetScreen 设备就拒绝连接请求。
●公开密钥认证(PKA):此方法增强了密码认证的安全性并
允许自动运行脚本。通常,SSH 客户端不发送用户名和密码,而是发送用户名和RSA 公开/ 私有密钥对的公开密钥组件。NetScreen 设备将其与四个公开密钥(可绑定到admin)进行比较。如果其中一个密钥匹配,NetScreen 设备就认证此用户。如果其中没有一个匹配, NetScreen 设备就拒绝连接请求。
2.3.串行控制台
可通过直接的串行连接(通过控制台端口从管理员工作站连接到NetScreen 设备)管理NetScreen 设备。不可能始终实现直接连接,但是如果NetScreen 设备周围是安全的,那么这种连接就是管理设备最安全的方法。
根据NetScreen 设备模式创建串行连接需要以下电缆之一:
●阴性DB-9 到阳性DB-25 直通串行电缆
●阴性DB-9 到阳性DB-9 直通串行电缆
●阴性DB-9 到阳性MiniDIN-8 串行电缆
与附带RJ-45 到RJ-45 直通以太网电缆的RJ-45 适配器相连的阴性DB-9 电缆还需要在管理工作站上安装“超级终端”软件(或另一种VT100 终端机仿真器),“超级终端”端口设置配置如下:
–串行通信9600 bps
– 8 位
–无奇偶校验
– 1 停止位
–无流量控制
2.4.如何实现对防火墙的远程管理
管理员如果需要实现对防火墙的远程管理,防火墙的配置需要满足以下四个条件:
1、客户端IP地址在防火墙定义的system manager-ip地址
范围内,缺省情况下,防火墙没有配置system
manager-ip地址段,可以允许任何客户端地址对防火墙
进行管理。
2、防火墙接口IP地址容许客户端进行远程访问,MGT口配
置的IP地址,业务接口配置的manage-ip可以直接被客
户端进行访问,业务接口的IP地址需要定位为
manageable才容许客户端进行访问。
3、业务接口IP地址需要明确开启远程管理访问的服务,命
令如:set interface eth2/1 ip manage telnet,MGT口
配置的IP地址,业务接口配置的manage-ip地址缺省情
况下已经开放所有防火墙可提供的远程访问服务,不需要
额外再打开这些服务。
4、只有提供正确的管理员账户和口令,管理员才能对防火墙
进行远程管理。
第3章路由
Juniper防火墙将其路由组件划分为两个或更多VR(虚拟路由器),其中每个VR 以路由表、路由条目以及相关安全区的形式保持其自己的已知网络列表。一个单独的VR 可以支持静态路由、动态路
由和组播路由。Juniper防火墙有两个预定义的VR,trust-vr,在缺省情况下包含所有预定义安全区和所有用户定义区;untrust-vr,在缺省情况下不含任何安全区。不能删除 trust-vr或untrust-vr VR。可以存在多个VR,但是trust-vr 是缺省VR。可以使用get vrouter CLI 命令来查看VR 表。在VR表中,星号(*)指示trust-vr为命令行界面(CLI)中的缺省VR。要在其它的 VR 内安全区和接口,必须按名称指定VR,例如 untrust-vr。
在CCB 各分行防火墙部署时,从安全性角度考虑,我们建议将所有业务接口所在的安全区(zone)均放置在Untrust-vr中,仅保留MGT接口所在的MGT zone位于缺省的Trust-vr中,当管理员从防火墙上向外访问时(源地址为防火墙地址),由于防火墙查找目的地址的路由的顺序是从缺省VR开始查找路由,如果在缺省VR中查不到匹配的路由,才会从其它VR中进一步查找路由。因此,针对CCB各分行防火墙部署环境,建议不通过MGT口来管理防火墙,而通过在业务接口启用manage-ip地址来区别并管理两台防火墙。如果需要通过启用MGT口管理防火墙,请不要设置MGT口的缺省网关,可以通过配置去往MGT口的明细路由,如:set vr trust-vr x.x.x.x/y interface mgt gateway A.B.C.D,这样就可避免ping外面的地址无法ping通的现象。
在防火墙上为业务流量添加静态路由时,需要明确指定VR(虚拟路由器)为Untrust-vr,具体命令如:set vr Untrust-vr x.x.x.x/y interface eth2/1 gateway A.B.C.D,如果不明确指定VR,那么添加的静态路由就会放在缺省的Trust-vr中。可以通过get route命令来查看每个VR中的路由条目。
第4章访问控制策略
NetScreen 设备的缺省行为是拒绝安全区内部的所有信息流( 安全区内部信息流) 1 (Untrust 安全区内的信息流除外),并允许绑定到同一安全区的接口间的所有信息流( 安全区内部信息流)。为了允许选定的安全区内部信息流通过NetScreen 设备,必须创建覆盖缺省行为的安全区内部策略。同样,为了防止选定的安全区内部信息流通过NetScreen 设备,必须创建安全区内部策略。
4.1.策略的三种类型
可通过以下三种策略控制信息流的流动:
?通过创建安全区间策略,可以管理允许从一个安全区到另一个安全区的信息流的种类。
?通过创建安全区内部策略,也可以控制允许通过绑定到同一安全区的接口间的信息流的类型。
?通过创建全局策略,可以管理地址间的信息流,而不考虑它们的安全区。
防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导通过执行策略组列表(安全区内部策略、内部安全区策略和全局策略) 产生的信息流。
策略能允许、拒绝、加密和解密、认证、排定优先次序、调度、过滤以及监控尝试从一个安全区流到另一个安全区的信息流。可以决定哪些用户和数据能进出,以及它们进出的时间和地点。
4.2.策略和规则
单个用户定义的策略内部生成一个或多个逻辑规则,而每个逻辑规则都由一组组件(源地址、目的地址和服务) 组成。
组件占用内存资源。引用组件的逻辑规则不占用内存资源。
根据源地址组、目的地址组和策略中服务组件的多个条目或组的使用,逻辑规则的数量可比创建单个策略时明显可见的大得多。例如,以下策略产生125 个逻辑规则:
1 个策略: 5 个源地址x 5 个目的地址x 5 个服务= 125 个逻辑规则
但是,NetScreen 设备不为每个逻辑规则复制组件。规则以不同的组合使用同一组组件。例如,产生125 个逻辑规则的上述策略只生成15 个组件:
5 个源地址+ 5 个目的地址+ 5 个服务= 15 个组件
这15 个组件以不同方式组合,生成由单个策略产生的125 个逻辑规则。允许多个逻辑规则以不同组合使用同一组组件,与每个逻辑规则与其组件具有一对一关系相比,NetScreen 设备占用的资源少得多。
由于新策略的安装时间与NetScreen 设备添加、删除或修改的组件数量成比例,因此组件较少策略的安装更快。同样,与每个规则都需要专用组件相比,通过允许大量的逻辑规则共享一小组组件,NetScreen 使用户能创建更多的策略, NetScreen 设备能创建更多的规则。
注意: 对于支持虚拟系统的NetScreen 设备,根系统中的策略组不影响虚拟系统中的策略组。
4.3.策略查看和建立
要通过WebUI 查看策略,请单击Policies。通过从From 和To 下拉列表中选择安全区名称,然后单击Go,可以按源安全区和目的安全区分类显示策略。在CLI 中,使用get policy [ all | from zone to zone | global | id number ] 命令。
策略图标
查看策略列表时, WebUI 使用图标提供策略组件的图形化汇总。下表解释了策略页中使用的不同图标。
创建策略
要允许信息流在两个安全区内部流动,应在这些安全区内部创建允许、拒绝或设置信息流的策略。如果NetScreen 设备唯一能够设置( 在策略中引用的) 源和目的地址间安全区内部信息流的路由的网络设备,则也可创建策略,控制同一安全区
内的信息流。也可创建全局策略,使用Global 安全区通讯簿中的源和目的地址。
要允许两个安全区内部(例如, Trust 和Untrust 安全区) 的双向信息流,需要创建从Trust 到Untrust 的策略,然后创建从Untrust 到Trust 的第二个策略。根据需要,两个策略可以使用相同或不同的IP 地址,只是源地址和目的地址需反向。
第5章NSRP(Netscreen 冗余协议)
5.1. NSRP工作原理
NSRP(NetScreen Redundant Protocol)是Juniper公司基于VRRP协议规范自行开发的设备冗余协议。防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,为满足客户不间断业务访问需求,要求防火墙设备必须具备高可靠性,能够在设备、链路及互连设备出现故障的情况下,提供网络访问路径无缝切换。NSRP冗余协议提供复杂网络环境下的冗余路径保护机制。NSRP 主要功能有:1、在高可用群组成员之间同步配置信息;2、提供活动会话同步功能,以保证发生路径切换情况下不会中断网络连接;3、采用高效的故障切换算法,能够在短短几秒内迅速完成故障检测和状态切换。
NSRP集群两种工作模式:
一、Active/Passive模式:通过对一个冗余集群中的两台安全设备进行电缆连接和配置,使其中一台设备作为主用设备,另一台作为备用设备。主用设备负责处理所有网络信息流,备用设备处于在线备份状态。主设备将其网络和配置命令及当前会话信息传播到备用设备,备用设备始终保持与主用设备配置信息和会话连接信息的同步,并跟踪主用设备状态,一旦主设备出现故障,备份设备将在极短时间内晋升为主设备并接管信息流处理。
二、Active/Active模式:在NSRP中创建两个虚拟安全设备 (VSD) 组,每个组都具有自己的虚拟安全接口(VSI),通过VSI接口与网络进行通信。设备A充当VSD组1的主设备和VSD 组2的备份设备。设备B充当VSD组2的主设备和VSD组1的备份设备。Active/Active模式中两台防火墙同时进行信息流的处理并彼此互为备份。在双主动模式中不存在任何单一故障点。如下图所示,通过调整防火墙上下行路由/交换设备到网络的路由指向,HostA通过左侧路径访问ServerA,HostB通过右侧路径访问ServerB,网络中任一设备或链路出现故障时,NSRP集群均能够做出正确的路径切换。
NSRP集群技术优势主要体现于:
1、消除防火墙及前后端设备单点故障,提供网络高可靠性。即使在骨干网络中两类核心设备同时出现故障,也能够保证业务安全可靠运行。
2、根据客户网络环境和业务可靠性需要,提供灵活多样的可靠组网方式。NSRP双机集群能够提供1、Active-Passive模式Layer2/3多虚拟路由器多虚拟系统和口型/交叉型组网方式;2、Active-Active模式Layer2/3多虚拟路由器多虚拟系统和口型/Fullmesh交叉型组网方式。为用户提供灵活的组网选择。
3、NSRP双机结构便于网络维护管理,通过将流量在双机间的灵活切换,在防火墙软件升级、前后端网络结构优化改造及故障排查时,双机结构均能够保证业务的不间断运行。
4、结合Netscreen虚拟系统和虚拟路由器技术,部署一对NSRP集群防火墙,可以为企业更多的应用提供灵活可靠的安全防护,减少企业防火墙部署数量和维护成本。
5.2. CCB一级分行防火墙部署结构
CCB一级分行防火墙部署采用Layer3 口型A/P组网模式,该组网模式是当前很多企业广泛采用的HA模式,该结构具有对网络环境要求不高,无需网络结构做较大调整,具有较好冗余性、便于管理维护等优点。Layer3 口型组网A/P模式具有较强冗余性、低端口成本和网络结构简单、便于维护管理等角度考虑,成为很多企业选用该组网模式的标准。
配置说明:两台Netscreen设备采用相同硬件型号和软件版本,组成Active/Passive冗余模式,两台防火墙均使用一致的Ethernet接口编
号连接到网络。通过将2个Ethernet接口放入HA安全区,其中控制链路用于NSRP心跳信息、配置信息和Session会话同步,数据链路用于在两防火墙间必要时传输数据流量
5.3.NSRP日常维护命令
1、exec nsrp sync global-config check-sum
在备机上检查双机配置是否同步,通过console口执行这条命令时,防火墙会直接提示当前双机配置是否同步,如通过telnet执行该命令时,需要通过get db stream来查看是否同步提示信息。
3、exec nsrp sync global-config save
如双机配置信息没有自动同步,请在备机上手动执行此同步命令,需重启系统,重启系统前如果提示是否要保存配置,选NO。
4、get nsrp
查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。
5、Exec nsrp sync rto all from peer
手动执行RTO信息同步,使双机保持会话信息一致
6、exec nsrp vsd-group 0 mode backup
手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备应没有启用抢占模式。
7、exec nsrp vsd-group 0 mode ineligible
手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备已启用抢占模式。
8、get alarm event
检查设备告警信息,其中将包含NSRP状态切换信息
5.4.Juniper防火墙NSRP双机软件升级步骤
1.使用Tftp备份两台防火墙现有配置文件和OS系统文件。
2.升级步骤为先升级备用设备后升级主用设备,如果是Active/Active模式请切换为Active/Passive模式后再升级备用设备。用笔记本电脑连接NS-B的Console口和MGT口,通过Web界面上对NS-B进行升级,并在Console口上观察升级过程。
3.NS-B升级后将自动重启,通过Console口观察重启过程。启动后在console上输入get system命令,验证升级后的版本号。输入get license,验证license信息是否符合升级要求。输入get nsrp,验证此设备处于备机状态。
4.Session信息应该自动从主机上同步到备机。为进一步确保Session信息同步,在NS-B上执行exec nsrp syn rto all from peer,手工同步Session信息。
5.主备双机进行状态切换。用笔记本接NS-A的Console口,输入exec nsrp vsd-group 0 mode backup命令,将状态切换。使用get nsrp命令,验证设备状态已切换完成,此时NS-A为备机,NS-B为主机。
6.在Web界面上对NS-A进行升级,在Console口上观察升级过程。
7.NS-A升级后会自动重起,在Console口上观察重起过程。启动后在console上输入get system命令,验证升级后的版本号。输入get license,验证license信息是否满足升级需求。输入get nsrp验证此台设备为备机状态。
8.恢复原先的主备状态:在NS-B上执行exec nsrp vsd-group 0 mode backup命令,将状态切换。验证设备状态已切换完成,此时NS-A为主机,NS-B为备机。
9.在设备NS-A上执行exec nsrp syn vsd-group 0 global-config checksum,验证两台设备的配置同步。如双机配置文件没有同步,请执行exec nsrp syn vsd-group 0 global-config save 手动进行配置同步。
10.观察两台防火墙的日志,验证是否存在异常告警信息。
5.5.如何快速配置NSRP集群备用设备
Netscreen提供快速配置NSRP集群中备用设备的方法,适用于创建NSRP集群双机配置和备用设备出现故障时用备件进行替换。
1、清空备机配置命令
Unset all
"Erase all system config, are you sure y / [n]?" Y
Reset
"Configuration modified, save? [y] / n" N
"System reset, are you sure? y / [n]" Y
2、系统重新启动后配置命令
Set hostname xxxxxx
Set interface mgt ip x.x.x.x/x
Set nsrp cluster id 1
Exec nsrp sync file
Exec nsrp sync global-config run
/***适应于5.1以上版本,5.0中使用Exec nsrp sync global-config save命令,需要重启设备***/
Set nsrp rto-mirror sync
Save all
3、检查设备状态