اجزای مختلف Juniper NetScreen 50 :
Compact Flash Card Slot : این اسلات برای قرار گیری کارت های فلش (SanDisk Compact Flash) با ظرفیت های مختلف است . از این حافظه برای دانلود یا آپلود نرم افزار مخصوص یا فایل های پیکربندی استفاده می شود . بعد از قرار گیری حافظه فلش در این اسلات فایروال NS50 به طور اتوماتیک آنرا شناسائی می کند.
Power and Status LED : این LED ها برای نمایش وضعیت های مختلف NS50 استفاده می شود .
Power LED : که وضعیت برق رسانی به دستگاه را بیان می کند .که رنگ سبز نشان دهنده وضعیت عادی ( دستگاه روشن است ) است .
Alarm LED : برای نمایش هشدار های سیستم به کار می رود.که در وضعیت های مختلف به رنگ های زیر تغییر رنگ می دهد :
قرمز: که نشان دهنده هشدار بحرانی است و به معنای خرابی سخت افزار یا اشکال در ماژول های نرم افزاری از جمله الگوریت های رمزنگاری مورد استفاده می باشد.
کهربایی ( amber ) : که از آن به عنوان هشدار اصلی ( Major Alarm ) یاد می شود .و می تواند ناشی از موارد زیر باشد:
حافظه کم ( کمتر از 10 درصد حافظه خالی باشد. )
درصد استفاده از cpu بالاتر از 90 درصد باشد.
حافظه مورد استفاده جهت ذخیره سازی فایل های log کاملا پر باشد.
تعداد session های اتصالی پر باشد و امکان برقراری session دیگری فراهم نباشد.
ماکزیمم تونل های vpn استفاده شده باشد.
فایروال یک حمله را شناسائی کرده باشد.
Status LED : نمایش دهنده وضعیت کلی دستگاه می باشد. که سبز چشمک زن نشان دهنده حالت نرمال دستگاه و رنگ سبز در هنگام بوت شدن نرمال دستگاه روشن می شود.
HA LED : HA که مخفف High Availibilty می باشد. و رنگ سبز نشان دهنده master بودن پورت و رنگ کهربایی نمایش دهنده slave بودن پورت در redundancy cluster می باشد.
Session LED : که نمایش دهنده درصد برقراری session ها می باشد و رنگ کهربایی به معنای 70 تا 90 درصد و قرمز به معنای بالای 90 درصد می باشد.
Flash LED : که رنگ سبز نمایش دهنده این است که فلش در دستگاه وجود دارد و رنگ سبز چشمک زن نمایش دهنده دسترسی خواندنی- نوشتنی به فلش ( Read-Write ) است .
Asset Recovery Pinhole :همان طور که از اسمش مشخصه این قسمت برای ریست کردن تنظیمات به حالت اولیه استفاده می شود . .( هنوز هیچی نشده مجبور شدم دستگاه را ریست کنم . چون آی پی و username و pass را قبل از عید به دستگاه داده بودم ولی چند روز که می خواستم کانفیگش کنم هیچی یادم نبود.)
بد نیست همین جا طریقه ریست کردن را هم بگم چون به دلیل عدم مطالعه داکیومنت مربوطه 2 ساعت معطل این کار شدم. برای ریست کردن باید از یه فلز مثله سوزن برای فشاربه کلیدی که درون این سوراخ کوچک است استفاده کنید. 5 یا 6 ثانیه نگه دارید. بعد 2 ثانیه اونو بیرون بیارین و بلافاصله این کارو برای 5 یا 6 ثانیه دیگر تکرار کنید .
Ethernet Interfaces : این دستگاه 4 تا پورت اترنت داره که بسته به شبکه شما می تواند سرعت 10 یا 100 مگابیت بر ثانیه را داشته باشه.هر پورت همانطور که در شکل مشاهده می کنید دو تا LED داره که سمت چپی نشان دهنده ترافیک عبوری و سمت راستی نشان دهنده up یا down بودن لینک است . ( آیا پورت به یک دستگاه فعال وصل است یا خیر)
پشت این دستگاه هم که فقط یه دکمه برای خاموش و روشن کردن و یک پورت برای اتصال به برق دارد.
برای تامین برق این دستگاه می توان از برق AC یا DC استفاده کرد .
این نوع دستگاه همانطور که در شکل می بینید قابل نصب در رک نیز است.
حالت های اجرایی NS50:
NS50 می تواند در دو حالت زیر پیکربندی شود .
1 – حالت شفاف ( Transparent Mode ) : در این حالت دستگاه به عنوان یک بریج ( bridge ) لایه 2 عمل می کند چون در این حالت نمی تواند آدرس آی پی packet های عبوری را ترجمه کند . در این حالت همچنین نمی توان از قابلیت NAT در این نوع دستگاه ها استفاده کرد . در نتیجه برای هر آدرس آی پی در شبکه قابل اطمینان ( Trusted Network ) شما ( که در واقع همان شبکه lan داخلی شما است ) باید قابل مسیر یابی و دستیابی توسط شبکه غیر قابل اطمینان ( Untrusted Network ( شبکه ( به عبارتی همان اینترنت) باشد. واین به معنای استفاده شبکه داخلی از آدرس های آی پی Public که در اصطلاح به آنها آی پی ولید می گوییم می باشد.
در حالت شفاف آدرس آی پی Zone های trusted و untrusted 0.0.0.0 در نظر گرفته می شود که این عمل موجب نامرئی شدن آن در شبکه می شود .اگرچه فایروال می تواند کارهای فایروالینگ و vpn و مدیریت و کنترل ترافیک شبکه را انجام دهد .
2- حالت مسیریابی ( Route Mode) :
در این حالت دستگاه در لایه 3 کار می کند .و چون شما می توانید به هر کارت شبکه (interface ) ای پی بدهید می توانیدعلاوه بر قابلیت های عادی از هر یک از این کارت شبکه ها برای NAT کردن بهره ببرید .
انواع کارت شبکه در NS50 :
این مدل از فایروال های NetScreen علاوه بر بهره بردن از چهار کارت شبکه فیزیکی ، دارای کارت شبکه های مجازی نیز می باشد که کار های خاصی در لایه دوم یا برخی کارهای مدیریتی دستگاه کاربرد دارند.
Ethernet1 ( Trusted Zone ) : این اترنت را توسط کابل های utp (کانکتور های Rj45 ) به شبکه داخلی متصل کنید .
Ethernet2 ( DMZ Zone ) : این پورت را به شبکه DMZ ( مخففDelimetered Zone است و سگمنتی از شبکه است که سرور ها در آن قرار گرفته اند) متصل نمایید.
Ethernet3(Untrusted Zone) :این کارت شبکه را به شبکه خارجی ( معمولا اینترنت) متصل نمایید.
Ethernet4( HA Zone ) : که به zone Haigh Availabilty متصل می گردد.
Layer 2 interfaces : از این گونه واسط ها که به نام های vlan1 ... vlan n نامگذاری می شوند برای مدیریت دستگاه وvpn traffic termination در حالت شفاف استفاده می شود.
Tunnel Interfaces : که به نام های tunnel1 تا tunneln نامگذاری می شوند و برای عبور ترافیک vpn مورد استفاده قرار می گیرند.
متصل کردن دستگاه به شبکه:
برای اتصال مستقیم NS50 به روتر یا یک کامپیوتر( برای پیکربندی اولیه ) باید از کابل cross over استفاده کرد.
نحوه قرار گیری فایروال های NetScreen در ساده ترین حالت در شکل زیر نمایش داده شده است .
همانطور که در شکل مشاهده می کنید Ethernet Port3 توسط یه کابله cross over به روتر خارجی و Ethernet port1 توسط یک کابل straight-through به شبکه Lan متصل شده اند.
در قسمت های قبل در مورد پورت HA مطالبی گفتیم. در شبکه هایی که تحمل خطا و up بودن لینک بسیار مهم است می توان از کلاستر هایی از دستگا ههای شبکه از جمله NetScreen برای برقراری لینک های Backup بهره برد. شکل زیر تا حد زیادی این مطلب را روشن می کند ولی چون فعلا من با همچین شبکه ای سروکار ندارم فقط به همین شکل اکتفا می کنم . ( امیدوارم یه روزی مجبور شم و برگردم و این قسمت را کامل کنم .)
پیکربندی فایرول NETSCREEN :
دو روش برای پیکربندی فایروال های NetScreen وجود دارد .
1 – از طریق محیط متنی چیزی شبیه روتر های سیسکو که به آن CLI ( Command Line Interface ( می گویند.
2 – از طریق وب
فکر کنم با یک مثال این موضوع را توضیح بدم مفید تر باشه. من شخصا اولین چیزی که برام مهم بود وصل کردن این دستگاه به اینترنت و update کردن attack signature ها (که برای شناسائی حملات در سیستم گشف نفوذ استفاده میشه) بود . خوب برای این کار باید به دستگاه ip داد . همچنین DNS و Gateway .
برای وارد شدن به محیط تنظیم گرافیکی دستگاه کافی است اترنت شماره 1 را به سوییچ شبکه خود متصل کنید یا این پورت را با یک کابله Cross مستقیم به کارت شبکه کامپیوتر متصل نمایید. سپس در web browser به آدرس http://192.168.1.1 بروید. و نام کاربری و پسوورد که به طور پیش فرض هردو netscreen می باشند را وارد کنید.
اگر برای اولین بار دستگاه شما پیکربندی می شود یک wizarad چندین سوال ابتدایی از شما می پرسد از جمله آدرس ip کارت شبکه های trusted ، untrusted و DMZ .
همانطور که گفتم untrusted کارت شبکه ای است که به اینترنت متصل می شود . trusted کارت شبکه در رنجه شبکه LAN شما و DMZ هم که آدرس ip در رنجه شبکه DMZ ( قسمتی از شبکه که سرورها در آن قرار می گیرند .و معمولا با فایروال ها و روتر های مجزا دسترسی به آنها محدود شده است . )
البته همانطور که درادامه خواهم گفت پیکربندی دوباره ی تمامی این پارامتر ها به راحتی امکان پذیر است.
در شکل زیرصفحه اول محیط پیکربندی فایروال در حالت گرافیکی را مشاهده می کنید .که اطلاعات کاملی در مورد دستگاه در اختیار شما می گذارد .
پیکربندی فایروال برای وصل شدن به اینترنت با استفاده از محیط گرافیکی تحت وب ) WebGUI):
مرحله 1 : تنظیم آدرس آی پی کارت شبکه ها :
برای پیکربندی آدرس های آی پی واسط ها به مسیر Network > Interfaces بروید.
همانطور که مشاهده می کنید تمامی واسط ها لیست شده است .که م یتوانید با انتخاب هریک تنظیمات لازم را انجام دهید.
مرحله دوم : تنظیم آدرس DNS Server :
برای تنظیم آدرس آی پی DNS Server ها برای عمل Name Resolution به مسیرNetwork > DNS بروید .در اینجا از سرور دی ان اس مخابرات استفاده کردیم. (217.218.127.104)
مرحله سوم : تنظیم Gateway :
برای تنظیم کردن gateway باید یک مسیر ( route ) تعریف کنید . ابتدا به
Network > Routing > Routing Entries
بروید و یک مسیر جدید برای اینترفیس untrusted تعریف کنید.
خوب الان دستگاه شما به اینترنت متصل شده .
امید مهاجرانی
omid dot mohajerani at gmail dot com
09171201582