NetScreen防火墙配置指导
NetScreen 防火墙配置指导 目 录
目 录
第 1 章 防火墙基础知识...........................................................................................................2
1.1 什么是防火墙.................................................................................................................... 2
1.2 网络的不安全因素............................................................................................................ 3
1.3 防火墙的作用.................................................................................................................... 3
1.4 防火墙的分类.................................................................................................................... 4
1.5 常用网络攻击方法............................................................................................................ 5
1.6 FAQ.................................................................................................................................. 7
第 2 章 NetScreen 系列防火墙...............................................................................................10
2.1 NetScreen 系列防火墙介绍............................................................................................10
2.1.1 NetScreen 25....................................................................................................... 10
2.1.2 NetScreen 204.....................................................................................................10
2.1.3 NetScreen 500.....................................................................................................11
2.2 NetScreen 防火墙基础知识............................................................................................11
2.3 建立与防火墙的初始连接................................................................................................ 14
2.4 Web UI 管理界面快速配置指南.......................................................................................17
2.5 NetScreen 防火墙配置的总体思路..................................................................................21
2.6 NetScreen 防火墙配置过程............................................................................................23
2.7 NetScreen 防火墙配置实例............................................................................................27
2.8 FAQ................................................................................................................................ 33
i
NetScreen 防火墙配置指导
第 1 章 防火墙基础知识
第1章 防火墙基础知识
1.1
什么是防火墙
在大厦构造中,防火墙被设计用来防止火从大厦的一边传播到另一边。我们
所涉及的防火墙服务于类似的目的:防止因特网的危险传播到您的内部网络。
实际上,因特网防火墙不像一座现代化大厦中的防火墙,它更像中世纪城堡
的护城河。
防火墙一方面阻止来自因特网的对受保护网络的未授权或未验证的访问,另
一方面允许内部网络的用户对因特网进行 Web 访问或收发 E-mail 等。防火
墙也可以作为一个访问因特网的权限控制关口,如允许组织内的特定的人可
以访问因特网。现在的许多防火墙同时还具有一些其他特点,如进行身份鉴
别,对信息进行安全(加密)处理等等。如图 1-1 所示:
图1-1 防火墙通常使内部网络和因特网隔离
防火墙不单用于对因特网的连接,也可以用来在组织内部保护大型机和重要
的资源(数据)。对受保护数据的访问都必须经过防火墙的过滤,即使该访
问是来自组织内部。
当外部网络的用户访问网内资源时,要经过防火墙;而内部网络的用户访问
网外资源时,也会经过防火墙。这样,防火墙起了一个“警卫”的作用,可以
将需要禁止的数据包在这里给丢掉。
2
NetScreen 防火墙配置指导
第 1 章 防火墙基础知识
1.2
网络的不安全因素
一个网络系统的最主要的目的是实现“资源共享”,同时实现对数据的协作处
理、信息的传递等等。网络自身的这种开放性是引发网络安全问题的最直接
原因。
网络的不安全因素有以下几类:
环境:各类天灾及事故都会对网络造成损害,令网络完全瘫痪或不能正
常工作。
资源共享:包括硬件共享、软件共享、数据共享。资源的相互共享为异
地用户提供了方便,同时也给非法用户创造了条件。非法用户可以通过
终端来窃取信息、破坏信息。共享资源与使用者之间有相当一段距离,
这也为窃取信息在时间和空间上提供了便利条件。
数据传输:信息需要通过数据通信来传输。在传输过程中,信息容易被
窃听、修改。
计算机病毒:借助网络,病毒可以在短时间内感染大量的计算机,使网
络趋于瘫痪。如“蠕虫”病毒及电子邮件“炸弹”。
网络管理:对系统的管理措施不当,会造成设备的损坏、重要信息的人
为泄露等等。
1.3
防火墙的作用
图1-2 中世纪城堡的护城河
我们将防火墙比作中世纪城堡的护城河,并且像护城河一样,防火墙不是坚
不可摧的。它不防备已经是里面的人;如果与内部的防御相配合,它工作的
3
NetScreen 防火墙配置指导
第 1 章 防火墙基础知识
最好;同时,即使您把所有的船都收藏起来,人们有时仍然能设法横渡。构
筑防火墙需要昂贵的花费和努力,而且它对内部人员的限制是令人厌烦的。
防火墙对网络威胁进行极好的防范,但是,它们不是安全解决方案的全部。
某些威胁是防火墙力所不及的。
防火墙不能防范恶意的知情者:防火墙可以禁止系统用户通过网络发送
专有的信息。但是用户可以将数据复制到磁盘或者纸上,放在公文包里
带出去。如果侵袭者已经在防火墙的内部,防火墙实际上无能为力。
防火墙对不通过它的连接难有作为:防火墙能有效的控制穿过它的传输
信息,但对于不穿过它的传输信息无能为力。
防火墙不能防备所有新的威胁:一个好的设计能防备新的威胁,但没有
防火墙能自动防御所有新的威胁。人们不断发现利用以前可信赖的服务
的新的侵袭方法。
防火墙不能防备病毒:有太多种的病毒和太多种的方法可以使得病毒隐
藏在数据中。
1.4
防火墙的分类
一般把防火墙分为两类:网络层防火墙、应用层防火墙。网络层的防火墙主
要获取数据包的包头信息,如协议号、源地址、目的地址、目的端口等或者
直接获取包头的一段数据。应用层的防火墙对于整个信息流进行分析。
实现防火墙时,共有以下几种:
1. 应用网关(application gateway):
检验通过此网关的所有数据包中的应用层的数据;经常是由经过修改的应用
程序组成运行在防火墙上。如 FTP 应用网关,对于连接的 client 端来说是一
个 FTP server,对于 server 端来说是一个 FTP client。连接中传输的所有 ftp
数据包都必须经过此 FTP 应用网关。
2. 电路级网关(circuit-level gateway):
此电路指虚电路。在 TCP 或 UDP 发起(open)一个连接或电路之前,验证
该会话的可靠性。只有在握手被验证为合法且握手完成之后,才允许数据包
的传输。一个会话建立后,此会话的信息被写入防火墙维护的有效连接表中。
数据包只有在它所含的会话信息符合该有效连接表中的某一入口(entry)时,
才被允许通过。会话结束时,该会话在表中的入口被删掉。电路级网关只对
连接在会话层进行验证。一旦验证通过,在该连接上可以运行任何一个应用
程序。以 FTP 为例,电路层网关只在一个 FTP 会话开始时,在 tcp 层对此会
话进行验证。如果验证通过,则所有的数据都可以通过此连接进行传输,直
至会话结束。
4