Color profile: Generic CMYK printer profile

Composite Default screen Complete Reference / Firewalls: TCR / Strassberg, Rollie, Gondek / 9567-3 / Front Matter
FM:xi

Contents
Foreword. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv

1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Definition of a Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Why Use a Firewall? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Common Types of Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Firewall Placement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Firewall Strengths and Weaknesses . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Strengths . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Weaknesses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Good Security Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Help Your Systems Help Themselves . . . . . . . . . . . . . . . . . 7
Patch! Patch! Patch! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Appliance vs. Operating System . . . . . . . . . . . . . . . . . . . . . . 8
Layer Defenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Creating a Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Monitoring and Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Auditing and Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2 TCP/IP Fundamentals for Firewall Administrators . . . 11

Data Transmission in TCP/IP Networks . . . . . . . . . . . . . . . . . . . . . . 12
Applying the Seven-Layer OSI Model to Data Transmission . . . . . 14

xi

P:\010Comp\CompRef8\567-3\fm.vp
Tuesday, May 07, 2002 1:01:28 PM
Color profile: Generic CMYK printer profile
Composite Default screen Complete Reference / Firewalls: TCR / Strassberg, Rollie, Gondek / 9567-3 / Front Matter

xii Firewalls: The Complete Reference

Understanding How the Internet Protocol Works . . . . . . . . . . . . . . 16

IP Addressing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Converting IP Addresses to Binary Format . . . . . . . . . . . . . 17
The Hierarchy of IP Addressing . . . . . . . . . . . . . . . . . . . . . . 18
Subnetting for Flexible and Efficient Address Allocation . 19
How IP Is Routed Through Networks . . . . . . . . . . . . . . . . . 22
Broadcast and Multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
The IP Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Address Resolution with ARP and RARP . . . . . . . . . . . . . . 30
Internet Control Message Protocol . . . . . . . . . . . . . . . . . . . . 31
Transport-Layer Protocols: The Interface to Applications . . . . . . . 32
Connectionless Communication: The User
Datagram Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Reliable, Ordered Delivery: The Transmission
Control Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Applications and Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Ping, Traceroute, and Netstat . . . . . . . . . . . . . . . . . . . . . . . . 37
Using Address Translation to Hide Private Addresses . . . 39
Access Control Lists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Domain Name Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Simple Network Management Protocol . . . . . . . . . . . . . . . . 43
Hypertext Transport Protocol . . . . . . . . . . . . . . . . . . . . . . . . 43
E-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
R-Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
File Transfer Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

3 Network Design Considerations . . . . . . . . . . . . . . . . . . . 47

Security as Part of Network Design . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Intranet, Extranet, Internet—Reasons for Securing . . . . . . . . . . . . . 48
Intranet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Extranet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Internet Service Providers and
Decentralized Corporations . . . . . . . . . . . . . . . . . . . . . . . 50
Departmental Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Small Office/Home Office (SOHO) . . . . . . . . . . . . . . . . . . . 51
Network Design Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Tyjor Corporation—Design by Example . . . . . . . . . . . . . . . 52
Defining the Purpose(s) of the Network . . . . . . . . . . . . . . . 52
Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Budgeting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Selecting Potential Vendors . . . . . . . . . . . . . . . . . . . . . . . . . . 60

P:\010Comp\CompRef8\567-3\fm.vp
Tuesday, May 07, 2002 1:01:28 PM
Color profile: Generic CMYK printer profile
Composite Default screen Complete Reference / Firewalls: TCR / Strassberg, Rollie, Gondek / 9567-3 / Front Matter

Contents xiii

Creating the Finished Design . . . . . . . . . . . . . . . . . . . . . . . . . 61

Creating an Implementation Plan . . . . . . . . . . . . . . . . . . . . . 62
Testing and Validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Providing Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Types of Network Topologies . . . . . . . . . . . . . . . . . . . . . . . . 64
Routing Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Common Network Firewall Designs . . . . . . . . . . . . . . . . . . . . . . . . . 76
The Demilitarized Zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Bastion Host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Filtering Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Creating a Corporate Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . 79
Acceptable Usage Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Specific Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

4 Firewall Architectures . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Packet Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
How Packet Filtering Works . . . . . . . . . . . . . . . . . . . . . . . . . 85
Creating a Rule Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Advantages and Disadvantages . . . . . . . . . . . . . . . . . . . . . . 89
Application Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
How Application Gateways Work . . . . . . . . . . . . . . . . . . . . 91
Disadvantages of Application Gateways . . . . . . . . . . . . . . . 93
Circuit-Level Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
How Circuit Gateways Work . . . . . . . . . . . . . . . . . . . . . . . . 94
Disadvantages of Circuit Gateways . . . . . . . . . . . . . . . . . . . 95
Stateful Packet Inspection (SPI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
How Stateful Packet Inspection Firewalls Work . . . . . . . . 95
Security Advantages of SPI . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Implementation Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Network Host-Based Firewalls . . . . . . . . . . . . . . . . . . . . . . . 98
Router-Based Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Single Host-Based Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Appliance Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

5 Advanced Firewall Functionality . . . . . . . . . . . . . . . . . . 101

Authentication and Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Network Address Translation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Static NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Dynamic NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Port Translation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Server Load Balancing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

P:\010Comp\CompRef8\567-3\fm.vp
Tuesday, May 07, 2002 1:01:28 PM
Color profile: Generic CMYK printer profile
Composite Default screen Complete Reference / Firewalls: TCR / Strassberg, Rollie, Gondek / 9567-3 / Front Matter

xiv Firewalls: The Complete Reference

Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Encryption Ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Hash Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Virtual Private Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Proprietary Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Network Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Audit Trails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Session Capture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Virus Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
State Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
High Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Load Balancing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Additional Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

6 Hacking the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

Understanding the Enemy: An Attack Methodology . . . . . . . . . . . 130
Target Selection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Footprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Identifying and Scrutinizing the Firewall . . . . . . . . . . . . . . 137
Patching the Chinks in Your Armor and the Gaps in Your Walls . 147
Packet Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Application-Level Proxy Firewalls . . . . . . . . . . . . . . . . . . . . 147
IP Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Session Hijacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Liberal ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
External Proxy Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Operating Systems and Applications . . . . . . . . . . . . . . . . . . 156
Non-Firewall Specific . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Denial of Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Published Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Check Point FireWall-1 IP Fragmentation Vulnerability . . . 157
Check Point FireWall-1 RDP Header Firewall
Bypassing Vulnerability . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Cisco PIX TACACS+ Denial of Service Vulnerability . . . . 158
Raptor Firewall HTTP Request Proxying Vulnerability . . . 159

7 Check Point FireWall-1 Overview . . . . . . . . . . . . . . . . . . 161

What Is FireWall-1? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
FireWall-1 Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

P:\010Comp\CompRef8\567-3\fm.vp
Tuesday, May 07, 2002 1:01:29 PM
Color profile: Generic CMYK printer profile
Composite Default screen Complete Reference / Firewalls: TCR / Strassberg, Rollie, Gondek / 9567-3 / Front Matter

Contents xv

The Management Module . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

The GUI Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
The FireWall-1 Firewall Module . . . . . . . . . . . . . . . . . . . . . . 166
Various Management Module Configurations . . . . . . . . . . . . . . . . . 171
Single-Device Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Single-Device Firewall with External GUI Client . . . . . . . . 172
Multiple Firewalls with Single Management Module . . . . 172
Multiple Firewalls with Redundant
Management Modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
One-to-One Firewall Module and Management Module . . . 174
High Availability Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Other FireWall-1 Components . . . . . . . . . . . . . . . . . . . . . . . . 175
FireWall-1 Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Managing FireWall-1 Objects . . . . . . . . . . . . . . . . . . . . . . . . . 177
Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

8 FireWall-1 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

Licensing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Evaluation Licenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Permanent Licenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
X/Motif Licenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
FireWall-1 Pre-installation Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Which FireWall-1 Components to Install . . . . . . . . . . . . . . . 205
IP Forwarding Considerations . . . . . . . . . . . . . . . . . . . . . . . 205
FireWall-1 Component Connectivity . . . . . . . . . . . . . . . . . . 208
Installing FireWall-1 on Windows Platforms . . . . . . . . . . . . . . . . . . 208
Minimum System Requirements . . . . . . . . . . . . . . . . . . . . . . 208
The Installation Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Installing FireWall-1 on Unix Platforms . . . . . . . . . . . . . . . 220
Installing the X/Motif GUI Client . . . . . . . . . . . . . . . . . . . . . 229
Installing Licenses after Installation . . . . . . . . . . . . . . . . . . . 229

9 FireWall-1 Configuration . . . . . . . . . . . . . . . . . . . . . . . . . 231

Remote Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Enabling a Remote Windows GUI Client . . . . . . . . . . . . . . 232
Logging On to a Windows NT GUI Policy Editor . . . . . . . 234
Enabling a Remote Unix GUI Client . . . . . . . . . . . . . . . . . . . 235
Logging On to a Unix GUI Policy Editor . . . . . . . . . . . . . . . 236
Enabling Communication Between the Distributed
Firewall and Management Modules . . . . . . . . . . . . . . . . 237

P:\010Comp\CompRef8\567-3\fm.vp
Tuesday, May 07, 2002 1:01:29 PM
Color profile: Generic CMYK printer profile
Composite Default screen Complete Reference / Firewalls: TCR / Strassberg, Rollie, Gondek / 9567-3 / Front Matter

xvi Firewalls: The Complete Reference

Policy Editor Menu and Toolbar . . . . . . . . . . . . . . . . . . . . . . 238

Policy Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Creating FireWall-1 Rule Bases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Creating a Standard NAT Rule . . . . . . . . . . . . . . . . . . . . . . . 251
Pseudo Rules and Explicit Rules . . . . . . . . . . . . . . . . . . . . . . 252
Cleanup Rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Stealth Rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
FireWall-1 Rule Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254

10 FireWall-1 Advanced Functionality . . . . . . . . . . . . . . . . 255

Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
User Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
Client Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Session Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Content Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
FTP Content Security Example . . . . . . . . . . . . . . . . . . . . . . . 268
Content Vectoring Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
CVP Anti-Virus Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
URL Filtering Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Network Address Translation (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . 278
Account Management Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
Virtual Private Networking and SecuRemote . . . . . . . . . . . . . . . . . . 289
VPN Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
Gateway-to-Gateway VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
SecuRemote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296

11 Check Point Next Generation . . . . . . . . . . . . . . . . . . . . . . 305

Overview of New Features and Enhancements . . . . . . . . . . . . . . . . 306
The NG Policy Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
Logging Enhancements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Auditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
TCP Service Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Enhanced Network Address Translation . . . . . . . . . . . . . . . 310
NG Objects Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
Process Watchdog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
Visual Policy Editor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
Secure Internal Communication (SIC) . . . . . . . . . . . . . . . . . 312
SecureUpdate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
Management High Availability . . . . . . . . . . . . . . . . . . . . . . . 313
Upgrade Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Installing Check Point NG on Windows . . . . . . . . . . . . . . . . . . . . . . 316
Installing Check Point NG on Unix . . . . . . . . . . . . . . . . . . . . . . . . . . . 321

P:\010Comp\CompRef8\567-3\fm.vp
Tuesday, May 07, 2002 1:01:29 PM
Color profile: Generic CMYK printer profile
Composite Default screen Complete Reference / Firewalls: TCR / Strassberg, Rollie, Gondek / 9567-3 / Front Matter

Contents xvii

NG Policy Manager Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325

Creating a Time Object . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Creating a Primary Management Module Object . . . . . . . . 326
Creating a Firewall Module Object . . . . . . . . . . . . . . . . . . . . 330
Using SecureUpdate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Product Management Using SecureUpdate . . . . . . . . . . . . 331
License Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334

12 Cisco Private Internet Exchange (PIX) . . . . . . . . . . . . . . 337

Product Background . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
PIX Features and Functionality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
PIX Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
PIX Performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Software Versions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Version 6.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Do’s and Don’ts of PIX Version 6.x . . . . . . . . . . . . . . . . . . . . 347
Version 5.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Adaptive Security Algorithm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
PIX Management Methods via the
Command-Line Interface . . . . . . . . . . . . . . . . . . . . . . . . . . 352

13 Cisco PIX Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355

Planning for PIX Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Pre-Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Choosing a License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Choosing a PIX Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Physical Location . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
Interface Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Cable Connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Initial PIX Input . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Configuring the PIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Using TFTP to Upgrade Your IOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
High-Availability TFTP Process . . . . . . . . . . . . . . . . . . . . . . 379

14 Cisco PIX Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . 381

Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Routing Information Protocol (RIP) . . . . . . . . . . . . . . . . . . . 384
Traffic Filtering and Address Translation . . . . . . . . . . . . . . . . . . . . . 385
Conduit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
Outbound/Apply . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390

P:\010Comp\CompRef8\567-3\fm.vp
Tuesday, May 07, 2002 1:01:30 PM
Color profile: Generic CMYK printer profile
Composite Default screen Complete Reference / Firewalls: TCR / Strassberg, Rollie, Gondek / 9567-3 / Front Matter

xviii Firewalls: The Complete Reference

NAT/Global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Access Lists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395

15 Cisco PIX Advanced Functionality . . . . . . . . . . . . . . . . . 401

User-Access Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
Access to the PIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
Traffic Through the PIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Traffic Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Packet Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Protocol Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Redundancy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
PIX Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417

16 Cisco Secure Policy Manager . . . . . . . . . . . . . . . . . . . . . . 423

Background . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Application Sections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Operational Flow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Building a Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Viewing a Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
Policy Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Network Object Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
Network Service Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Creating a Rule Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
PIX Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
Prior-to-Policy Distribution . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Distributing Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Monitoring Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
System Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

17 Cisco IOS Firewall Feature Set . . . . . . . . . . . . . . . . . . . . . 469

Product Background . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470
IOS Firewall Features and Functions . . . . . . . . . . . . . . . . . . . . . . . . . 470
Phase 1 Features of IOS FFS . . . . . . . . . . . . . . . . . . . . . . . . . . 470
Phase 2 Features of IOS FFS . . . . . . . . . . . . . . . . . . . . . . . . . . 471
Planning for an IOS Firewall Feature Set Installation . . . . . . . . . . . 472
Choosing a Hardware Platform . . . . . . . . . . . . . . . . . . . . . . 472
Choosing a Software Feature Set . . . . . . . . . . . . . . . . . . . . . . 474
Choosing a Software Release . . . . . . . . . . . . . . . . . . . . . . . . . 474
IOS Firewall Design Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Strengths of the IOS Firewall . . . . . . . . . . . . . . . . . . . . . . . . . 476

P:\010Comp\CompRef8\567-3\fm.vp
Tuesday, May 07, 2002 1:01:30 PM
Color profile: Generic CMYK printer profile
Composite Default screen Complete Reference / Firewalls: TCR / Strassberg, Rollie, Gondek / 9567-3 / Front Matter

Contents xix

Caveats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
IOS FFS Design Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Installing and Configuring the Firewall . . . . . . . . . . . . . . . . . . . . . . . 478
The Cisco IOS Command-Line Interface . . . . . . . . . . . . . . . 479
Documenting IP and Port Information . . . . . . . . . . . . . . . . . 481
Installing the Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
Configuring the IOS FFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Essential Router Functions . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Configuring CBAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Understanding How CBAC Works . . . . . . . . . . . . . . . . . . . 493
Configuring the Access Control Lists . . . . . . . . . . . . . . . . . . 494
Configuring Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
Turning on Alerts and the Audit Trail . . . . . . . . . . . . . . . . . 498
Configuring PAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499

18 Linux Kernel Firewalls—Iptables . . . . . . . . . . . . . . . . . . 501

Linux Kernel Firewall Evolution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502
Installing Iptables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510
Building Iptables Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
Standalone Host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
Simple NAT Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
Firewall with Port Forwarding . . . . . . . . . . . . . . . . . . . . . . . 518
Firewall with DMZ and Transparent Web Proxy . . . . . . . . 521
IPSec VPN Through the Firewall . . . . . . . . . . . . . . . . . . . . . 525
Implementing Type of Service (TOS) Marking . . . . . . . . . . 526
Troubleshooting with Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
Firewall Utilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528
Mason . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528
Iptables-save and Iptables-restore . . . . . . . . . . . . . . . . . . . . . 529
Knetfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529

19 Symantec Enterprise Firewall Background

and Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
History of Symantec/Raptor 6.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
Support for Standard Services . . . . . . . . . . . . . . . . . . . . . . . . 533
Support for Authentication Types . . . . . . . . . . . . . . . . . . . . 534
About Symantec Enterprise Firewall 6.5 . . . . . . . . . . . . . . . 534
Symantec Enterprise Firewall 6.5 Key Features . . . . . . . . . 535
Proxies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Installation Preparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546
Network Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Test Your Network Configuration . . . . . . . . . . . . . . . . . . . . 554

P:\010Comp\CompRef8\567-3\fm.vp
Tuesday, May 07, 2002 1:01:30 PM
Color profile: Generic CMYK printer profile
Composite Default screen Complete Reference / Firewalls: TCR / Strassberg, Rollie, Gondek / 9567-3 / Front Matter

xx Firewalls: The Complete Reference

Test TCP/IP Connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . 554

Check Name Resolution (DNS) . . . . . . . . . . . . . . . . . . . . . . . 555
Ping the Host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Understand How Your Network Handles
Name Resolution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Make Arrangements with Your Internet Service
Provider in Advance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
Know Which Services Need to Pass
Through the Security Gateway . . . . . . . . . . . . . . . . . . . . . 556
Install Symantec Enterprise Firewall 6.5 . . . . . . . . . . . . . . . 556
Install the Symantec Raptor Management Console . . . . . . 558
Connect to the Symantec Enterprise Firewall . . . . . . . . . . . 559
Install RemoteLog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
Vulture: Unauthorized Services . . . . . . . . . . . . . . . . . . . . . . 560

20 Symantec Enterprise Firewall Configuration . . . . . . . . . 561

Configuring Network Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562
Network Interface Properties . . . . . . . . . . . . . . . . . . . . . . . . . 562
Configuring Network Entities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566
Configuring Users and Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
Defining User Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
Defining a User . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
Configuring Symantec and Proxy Services . . . . . . . . . . . . . . . . . . . . 583
Symantec Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583
Proxy Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
Writing Authorization Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594
Creating Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594
Configuring Address Transforms . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
Address Transforms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
Virtual Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608

21 Symantec Enterprise Firewall Advanced Functionality . . 611

Using Custom Protocols and Services . . . . . . . . . . . . . . . . . . . . . . . . 612
Defining a GSP Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612
Defining Protocols for Use in Filters . . . . . . . . . . . . . . . . . . . 616
Denial of Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617
Configuring Proxies to Support Third-Party Software . . . . . . . . . . 619
Using the SQL*Net V2 Proxy . . . . . . . . . . . . . . . . . . . . . . . . . 619
An Overview of the Proxied Connection . . . . . . . . . . . . . . . 621
Configuring the SQL*Net V2 Client . . . . . . . . . . . . . . . . . . . 622
Creating the Client Configuration Files . . . . . . . . . . . . . . . . 622
H.323 Standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622

P:\010Comp\CompRef8\567-3\fm.vp
Tuesday, May 07, 2002 1:01:30 PM
Color profile: Generic CMYK printer profile
Composite Default screen Complete Reference / Firewalls: TCR / Strassberg, Rollie, Gondek / 9567-3 / Front Matter

Contents xxi

Configuring Certificate Authentication . . . . . . . . . . . . . . . . . . . . . . . 630

Generating the Certificate on the Host . . . . . . . . . . . . . . . . . 630
Generating the Certificate on the Entrust CA Server . . . . . 631
Configuring Service Redirection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 634
Using Service Redirection . . . . . . . . . . . . . . . . . . . . . . . . . . . 635
Adding a Rule to Support Redirection . . . . . . . . . . . . . . . . . 636
Configuring Notifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637
Configuring an Audio Notification . . . . . . . . . . . . . . . . . . . 638
Configuring a Mail Notification . . . . . . . . . . . . . . . . . . . . . . 639
Configuring a Page Notification . . . . . . . . . . . . . . . . . . . . . . 640
Configuring a Client Program Notification . . . . . . . . . . . . . 642
Configuring SNMP Notifications . . . . . . . . . . . . . . . . . . . . . 642

22 Microsoft Internet Security and Acceleration

Server 2000 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
Product Background . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646
ISA Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648
Multilayer Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648
Policy-Based Access Controls . . . . . . . . . . . . . . . . . . . . . . . . 650
ISA Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
Server Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
Client Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652
ISA Operational Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
ISA Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654
Local Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654
Remote Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
Alerts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657
Conditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657
Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 660
Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662
Packet Filter Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662
Firewall Service and Web Proxy Logs . . . . . . . . . . . . . . . . . 664
Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 666
Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 668
Creating Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 669
Scheduling Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671

23 Microsoft Internet Security and Acceleration Server 2000

Installation and Configuration . . . . . . . . . . . . . . . . . . . 675
Preparing for the Microsoft ISA Server 2000 Installation . . . . . . . . 676
Pre-installation Decisions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676

P:\010Comp\CompRef8\567-3\fm.vp
Tuesday, May 07, 2002 1:01:31 PM
Color profile: Generic CMYK printer profile
Composite Default screen Complete Reference / Firewalls: TCR / Strassberg, Rollie, Gondek / 9567-3 / Front Matter

xxii Firewalls: The Complete Reference

Software Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678

Initial Install . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679
Secure Server Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 685
Upgrading from Microsoft Proxy Server 2 . . . . . . . . . . . . . 689
The Getting Started Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 691
Creating Schedules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
Creating Clients Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695
Creating Protocol Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Creating Destination Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
Creating Site and Content Rules . . . . . . . . . . . . . . . . . . . . . . 701
Configuring Routing for Firewall and
SecureNAT Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703

24 Microsoft Internet Security and Acceleration

Server 2000 Advanced Functionality . . . . . . . . . . . . . . 707
Packet Filtering and Intrusion Detection . . . . . . . . . . . . . . . . . . . . . . 708
Alert Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710
Creating Protocol Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711
Virtual Private Networking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713
Remote Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713
Site-to-Site VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714
Application Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
SMTP Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
SMTP Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722
High Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 726

25 SonicWALL Firewall Background and Management . . . 729

Background . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730
Products . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730
Software Features of Version 6.2 . . . . . . . . . . . . . . . . . . . . . . 733
SonicWALL Packet Processing . . . . . . . . . . . . . . . . . . . . . . . 736
SonicWALL Management . . . . . . . . . . . . . . . . . . . . . . . . . . . 736

26 SonicWALL Installation . . . . . . . . . . . . . . . . . . . . . . . . . . 743

Physical Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744
Mounting Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744
Physical Installation Procedures . . . . . . . . . . . . . . . . . . . . . . 745
Initial Configuration Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746
Web-Based Configuration Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . 747
Management Console Configuration . . . . . . . . . . . . . . . . . . 748
Installation Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 748

P:\010Comp\CompRef8\567-3\fm.vp
Tuesday, May 07, 2002 1:01:31 PM
Color profile: Generic CMYK printer profile
Composite Default screen Complete Reference / Firewalls: TCR / Strassberg, Rollie, Gondek / 9567-3 / Front Matter

Contents xxiii

27 SonicWALL Configuration . . . . . . . . . . . . . . . . . . . . . . . . 755

Security Policy Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 756
Network Access Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 756
Network Access Rule Types and Hierarchy . . . . . . . . . . . . . . . . . . . 758
Add Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 758
Network Access Rules by Service . . . . . . . . . . . . . . . . . . . . . 760
Create and Edit Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763
Add and Edit Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767
Configure SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769
Secure Remote Management . . . . . . . . . . . . . . . . . . . . . . . . . 771

28 SonicWALL Advanced Configuration . . . . . . . . . . . . . . 773

Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
Proxy Relaying . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775
Static Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777
DHCP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
Intranet Firewalling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
DMZ Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783
Advanced NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784
Ethernet Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 786
Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787
Categories Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787
List Update Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788
Customize Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789
Keyword Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
Consent Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792
VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
Configuring Group VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
Client Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
Testing the VPN Client Configuration . . . . . . . . . . . . . . . . . 797
Configuring IKE Between Two SonicWALL Devices . . . . 797
High Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802
Anti-Virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806
Anti-Virus Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 808
E-Mail Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 809

29 NetScreen Firewall Background and Management . . . 813

Background . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814
Products and Performance . . . . . . . . . . . . . . . . . . . . . . . . . . . 814
NetScreen Appliance Products . . . . . . . . . . . . . . . . . . . . . . . 815
NetScreen Security Systems . . . . . . . . . . . . . . . . . . . . . . . . . . 819

P:\010Comp\CompRef8\567-3\fm.vp
Tuesday, May 07, 2002 1:01:31 PM
Color profile: Generic CMYK printer profile
Composite Default screen Complete Reference / Firewalls: TCR / Strassberg, Rollie, Gondek / 9567-3 / Front Matter

xxiv Firewalls: The Complete Reference

The ScreenOS Operating System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823

ScreenOS Processing of Rules . . . . . . . . . . . . . . . . . . . . . . . . 824
ScreenOS Feature Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 827
ScreenOS Management Interface . . . . . . . . . . . . . . . . . . . . . 828

30 NetScreen Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 831

Installation of NetScreen Appliances . . . . . . . . . . . . . . . . . . . . . . . . . 832
Installing NetScreen-5XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832
Installing NetScreen-25/50 . . . . . . . . . . . . . . . . . . . . . . . . . . 835
Installing NetScreen-100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837
Installation of NetScreen Security Systems . . . . . . . . . . . . . . . . . . . . 841
Installing NetScreen-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 842
Mounting NetScreen-500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 844
Connecting NetScreen-500 in a Basic Standalone
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 844
Connecting NetScreen-500 in a Redundant (HA)
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846
Installing NetScreen-1000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847
Mounting NetScreen-1000 . . . . . . . . . . . . . . . . . . . . . . . . . . . 849
Connecting NetScreen-1000 in a Standalone
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849
Connecting NetScreen-1000 in a Redundant (HA)
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 850

31 NetScreen Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . 851

Initial Console Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 853
Preparing for CLI Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . 853
NetScreen Configuration with the GUI . . . . . . . . . . . . . . . . . . . . . . . 857

32 NetScreen Advanced Configuration . . . . . . . . . . . . . . . . 879

Virtual Private Networking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880
Configuring a Manual Key Site-to-Site VPN . . . . . . . . . . . . 880
Configuring High Availability (HA) . . . . . . . . . . . . . . . . . . 890
Load Balancing with VIPs . . . . . . . . . . . . . . . . . . . . . . . . . . . 891
Bandwidth Shaping and Prioritization . . . . . . . . . . . . . . . . 892
Monitoring NetScreen Devices . . . . . . . . . . . . . . . . . . . . . . . 895
Debugging Commands for ScreenOS . . . . . . . . . . . . . . . . . . 896
Sample NetScreen-100 Device Configuration File . . . . . . . . . . . . . . 897

Index. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901

P:\010Comp\CompRef8\567-3\fm.vp
Tuesday, May 07, 2002 1:01:31 PM