- 浏览: 315930 次
- 性别:
- 来自: 上海
文章分类
最新评论
-
JQ_AK47:
...
Linux下直接发送以太包 -
winsen2009:
谢谢分享,如果能再来一个列子就更好了,刚接触看完还是不懂的用
UNPv1_r3读书笔记: SCTP编程
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn
0. 声明
本文仅仅是从技术角度分析如何实现NetScreen防火墙,即如果要把本人的一台Linux机器变成NetScreen防火墙估计要作那些工作,所有观点均为个人观点,不代表任何组织或团体,只谈技术,不带任何吹捧、攻击或贬低,欢迎大家一起讨论,有错误请指正,但对文章中如有不明白的名词和概念请问google而不要问我。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn
0. 声明
本文仅仅是从技术角度分析如何实现NetScreen防火墙,即如果要把本人的一台Linux机器变成NetScreen防火墙估计要作那些工作,所有观点均为个人观点,不代表任何组织或团体,只谈技术,不带任何吹捧、攻击或贬低,欢迎大家一起讨论,有错误请指正,但对文章中如有不明白的名词和概念请问google而不要问我。
1. 参考资料: http://www.juniper.net/techpubs/software/screenos/screenos5.1.0/translated/ CE_v3_SC.pdf 第3卷:管理 2. 管理界面 本卷主要是界面功夫,NS的界面都在设备里面了,不需要在外面管理机上加专门的管理程序。 NS设备管理可通过Web、命令行(串口、telnet、SSH)和NetScreen Security Manager来管理。管理是NS设备接口的属性,可控制是否可以通过此接口管理NS设备,Linux下要做到这个可以通过netfilter规则来实现。 2.1 WebUI 基本是使用的是HTTP,可以封装在IPSec或SSL中;NS的HHTP到HTTPS是通过重定向来实现的; 比较重要的是NS设备的每个HTTP会话有一个特别的ID,用来区分不同的管理连接,学虚拟系统管理中显的更有用,WebUI可能是用JSP来写的。Apache服务器可以支持JSP和SSL。 2.2 命令行CLI 使用telnet时可以可以将数据封装在VPN通道中; SSH支持SSHv1,v2,opensshd都支持; 命令行登录用户名口令和Web登录用的是相同的; 登录也可以直接登录进根系统也可以是各虚拟系统里; 支持SCP安全拷贝; 可关闭串口登录,Linux下就是不在inittab中起ttyS0/1的getty进程; 2.3 通过NetScreen Security Manager(NSM)管理 NSM是一个企业级的管理中心,需要安装的外部主机上,NS设备中有相关的代理支持和NSM通信,管理中心可象SNMP服务器那样定制和获取NS设备的相关信息,可以进行配置同步。 2.4 控制管理信息流 管理控制选项是接口的属性,这些在Linux中都可以使用规则或直接在net_device结构中增加参数,对从该网卡进入的数据检测数据类型进行控制。其他没什么。 2.5 管理级别 NS将管理员分为:根管理员;读写管理员;只读管理员;虚拟系统管理员;虚拟系统管理员等。这些实现起来没有本质的困难。 3. 系统监控 3.1 日志 NS日志可存在本地FLASH、SYSLOG、显示在控制台、E_mail、SNMP、Webtrends、PCMCIA,比较齐全,但这些都没有实质的实现难度。 NS的日志类型比较多,在Linux实现时可以用syslog将不同类型的日志记录到不同的文件中。 3.1.1 事件日志 就是标准的SYSLOG八级日志。 从命令行上就能进行日志的查询,可按地址、时间、ID等来查询日志。 日志下载可通过WebUI或在命令行通过tftp传。 3.1.2 流量日志 记录连接的开始日期时间、持续时间、源地址和端口、转换后的源地址和端口、目标地址和端口、转换后的目的地址和端口、会话中的服务、发送和接收的数据字节数等信息。在Linux中需要修改连接结构参数以支持时间、流量等参数。 3.1.3 self日志 就是拒绝的到本机的数据包信息,在Linux也就是INPUT链策略为DROP时最后加一条目的为LOG的iptables规则。 3.1.4 资源恢复日志 资源恢复时的信息 3.1.5 系统日志 达到一定级别的系统事件才生成系统日志,NS支持多个日志服务器,并可用TCP传输。 3.1.6 WebTrends WebTrends现在也算日志服务器的一种了,可以对日志进行分析,可以象SYSLOG一样发送。 3.1.7 VPN封装 NS可以将各种日志信息封装进VPN通道以保障信息安全性。Linux下实现得先建立VPN通道再传数据, 3.2 流量报警 NS策略流量超过阈值时可以进行报警,在Linux下可以设计一个netfilter报警目标,将超过流量限制的包发到这个目标进行报警处理。 3.3 SNMP NS支持SNMPv1, v2,可通过SNMP trap发送信息,这些可以通过net-snmpd来实现,需要自己根据需要改点东西。 3.4 计数器 NS提供了大量的计数器统计各种数据数量,Linux下也可以实现,不过的确是太多太杂了。 4. 小结 NS的管理确实比较完善,而且WebUI的实现难度属于比较大的,这卷文档描述的功能虽然不是防火墙的核心功能,单独处理的难度不算很大,但实在是非常杂,工作量比较大。
发表评论
-
Linux内核中流量控制(24)
2011-01-10 16:33 2213本文档的Copyleft归yfydz所 ... -
Linux内核中流量控制(23)
2011-01-10 16:30 1497本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(22)
2011-01-10 16:29 1946本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(21)
2011-01-10 16:28 1362本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(20)
2011-01-10 16:27 1528本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(19)
2011-01-10 16:27 1984本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(18)
2011-01-10 16:26 1576Linux内核中流量控制(18) ... -
Linux内核中流量控制(17)
2011-01-10 16:25 1955本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(16)
2011-01-10 16:25 1812本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(15)
2011-01-10 16:24 1897本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(14)
2011-01-10 16:23 1964本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(13)
2011-01-10 16:22 2643本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(12)
2011-01-10 16:21 2115本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(11)
2011-01-10 16:21 3243本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(10)
2011-01-10 16:20 2012本文档的Copyleft归yfydz所 ... -
Linux内核中流量控制(9)
2011-01-10 16:19 1838本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(8)
2011-01-10 16:18 1504本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(7)
2011-01-10 16:18 2930本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(6)
2011-01-10 16:17 1500本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(5)
2011-01-10 16:16 1734本文档的Copyleft归yfydz所有,使用GPL发布,可以 ...
相关推荐
l2tp+ipsec(netscreen)
大家都知道netscreen是很强的一家公司,现已被juniper收购了
NetScreen 裝置是以 ASIC 為基礎、經 ICSA 認證1 的網際網路安全裝置和安全性系統,它整合了防火牆、虛擬私人網路 (VPN) 和通訊流量整理功能,當連接到網際網路時,對安全區如內部區域網路 (LAN) 或非軍事區域 (DMZ)...
NetScreen手册 ScreenOS 参考指南
NetScreen产品升级步骤,新手学习如何让升级NetScreen的os
Juniper Netscreen 防火墙 培训 地址翻译.pdf Juniper Netscreen 防火墙培训 安全策略.pdf Juniper Netscreen 防火墙培训 防火墙的管理.pdf Juniper Netscreen 防火墙培训 防火墙基本概念.pdf Juniper Netscreen ...
netscreen命令行基本信息收集netscreen命令行基本信息收集
NetScreen-204 是目前市场上功能最多的防火墙产品,通过使用内置的WebUI界面、 命令行界面和NetScreen中央管理方案,可在很短时间完成安装和管理,并且可以快速实 施到数千台设备上;所有NetScreen 产品都整合了一个...
Netscreen OS5.0技术文档日文原版 part 1/2
Juniper Netscreen & SSG Firewall的配置说明(英文版)。
第2章 NetScreen系列防火墙 11 2.1 NetScreen系列防火墙介绍 11 2.1.1 NetScreen 25 11 2.1.2 NetScreen 204 11 2.1.3 NetScreen 500 12 2.2 NetScreen防火墙基础知识 13 2.3 建立与防火墙的初始连接 16 2.4 Web UI...
Juniper Netscreen 常用防火墙命令,非常实用,很多防火墙基础功能命令
netscreen nat 网络地址翻译方法总结和实验
Netscreen 防火墙 OS 升级指南
非常实用地的netscreen命令速查手册
Netscreen SNMP MIBs (5.0 OS) Netscreen SNMP MIBs (5.0 OS)
Juniper+netscreen端口映射
Netscreen防火墙初级配置指南0.pdf
netscreen教程,配置,快点给分把 我要下个东西