Juniper防火墙快速配置文档格式.docx

Juniper防火墙快速配置文档格式.docx

《Juniper防火墙快速配置文档格式.docx》由会员分享，可在线阅读，更多相关《Juniper防火墙快速配置文档格式.docx（21页珍藏版）》请在冰豆网上搜索。

3.2.2,使用命令行方式配置VIP..............................................................................27

3.3,DIP的配置..........................................................................................................28

3.3.1,使用Web浏览器方式配置DIP.....................................................................28

3.3.2,使用命令行方式配置DIP..............................................................................30

4,JUNIPER防火墙IPSECVPN的配置........................................................................30

4.1,站点间IPSECVPN配置:

STAICIP-TO-STAICIP....................................................30

4.1.1,使用Web浏览器方式配置............................................................................31

4.1.2,使用命令行方式配置.....................................................................................35

4.2,站点间IPSECVPN配置:

STAICIP-TO-DYNAMICIP........................................37

4.2.1,使用Web浏览器方式配置............................................................................38

4.2.1,使用命令行方式配置.....................................................................................41

5,JUNIPER中低端防火墙的UTM功能配置.................................................................43

5.1,防病毒功能的设置...............................................................................................44

5.1.1,ScanManager的设置..................................................................................44

5.1.2,Profile的设置................................................................................................45

5.1.3,防病毒profile在安全策略中的引用...............................................................47

5.2,防垃圾邮件功能的设置........................................................................................49

5.2.1,Action设置..................................................................................................50

5.2.2,WhiteList与BlackList的设置.....................................................................50

5.2.3,防垃圾邮件功能的引用..................................................................................52

5.3,WEB/URL过滤功能的设置..................................................................................52

5.3.1,转发URL过滤请求到外置URL过滤服务器.................................................52

5.3.2,使用内置的URL过滤引擎进行URL过滤.....................................................54

5.3.3,手动添加过滤项............................................................................................55

5.4,深层检测功能的设置............................................................................................59

5.4.1,设置DI攻击特征库自动更新.........................................................................59

5.4.2,深层检测（DI）的引用..................................................................................60

6,JUNIPER防火墙的HA（高可用性）配置.................................................................62

6.1,使用WEB浏览器方式配置...................................................................................63

6.2,使用命令行方式配置............................................................................................65

7,JUNIPER防火墙一些实用工具..................................................................................66

7.1,防火墙配置文件的导出和导入.............................................................................66

7.1.1,配置文件的导出............................................................................................67

7.1.2,配置文件的导入............................................................................................67

7.2,防火墙软件（SCREENOS）更新..........................................................................68

7.3,防火墙恢复密码及出厂配置的方法......................................................................69

8,JUNIPER防火墙的一些概念.....................................................................................69

关于本手册的使用:

①本手册更多的从实际使用的角度去编写,如果涉及到的一些概念上的东西表述不够透

彻,清晰,请使用者自行去参考其它资料进行查证;

②本手册在编写的过程中对需要使用者特别注意的地方,都有"

注"

标识,请读者仔细

阅读相关内容;

对于粗体,红,蓝色标注的地方也需要多注意;

③本着技术共享的原则,我们编写了该手册,希望对销售以及使用Juniper防火墙的相应

技术人员有所帮助,在使用过程中有任何建议可反馈到:

chuang_li@.hk;

jiajun_xiong@.hk;

④本手册版权归"

联强国际（香港）有限公司"

所有,严禁盗版.

1,前言

我们制作本安装手册的目的是使初次接触Juniper网络安全防火墙设备（在本安装手册中简称为"

Juniper防火墙"

）的工程技术人员,可以通过此安装手册完成对Juniper防火墙基本功能的实现和应用.

1.1,Juniper防火墙配置概述

Juniper防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求;

但是由于部署模式及功能的多样性使得Juniper防火墙在实际部署时具有一定的复杂性.在配置Juniper防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对Juniper防火墙进行配置和管理.

基本配置:

1.确认防火墙的部署模式:

NAT模式,路由模式,或者透明模式;

2.为防火墙的端口配置IP地址（包括防火墙的管理IP地址）,配置路由信息;

3.配置访问控制策略,完成基本配置.

其它配置:

1.配置基于端口和基于地址的映射;

2.配置基于策略的VPN;

3.修改防火墙默认的用户名,密码以及管理端口.

1.2,Juniper防火墙管理配置的基本信息

Juniper防火墙常用管理方式:

①通过Web浏览器方式管理.推荐使用IE浏览器进行登录管理,需要知道防火墙对应端口的管理IP地址;

②命令行方式.支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接两种命令行登录管理模式.

Juniper防火墙默认端口绑定说明:

型号端口命名方式（从左往右计数）配置界面端口形式

NS-5GT1口为Untrust接口;

2-4口为Trust接口;

Interface:

untrust,trust

NS251口为Trust接口;

2口为DMZ接口;

3口为Untrust

接口;

4口为Null

Interface:

1口为ethernet1,

2口为ethernet2,其他接口顺

序后推

NS50-2041口为Trust接口;

4口为HA接口

NS2081口为Trust接口;

4-7口为Null接口;

8口为HA接口;

SSG51口为Untrust接口;

3-7口为Trust

1口为ethernet0/0,

2口为ethernet0/1,其他接口

顺序后推

SSG201口为Untrust接口;

3-5口为Trust

SSG1401口为Trust接口;

4-10口为Null接口;

SSG520-5501口为Trust接口;

4口为Null接口;

Juniper防火墙缺省管理端口和IP地址:

①Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理.缺省

IP地址为:

192.168.1.1/255.255.255.0;

②缺省IP地址通常设置在防火墙的Trust端口上（NS-5GT）,最小端口编号的物理端口上（NS-25/50/204/208/SSG系列）,或者专用的管理端口上

（ISG-1000/2000,NS-5200/5400）.

Juniper防火墙缺省登录管理账号:

①用户名:

netscreen;

②密码:

netscreen.

1.3,Juniper防火墙的常用功能

在一般情况下,防火墙设备的常用功能包括:

透明模式的部署,NAT/路由模式的部署,NAT的应用,MIP的应用,DIP的应用,VIP的应用,基于策略VPN的应用.

本安装手册将分别对以上防火墙的配置及功能的实现加以说明.

注:

在对MIP/DIP/VIP等Juniper防火墙的一些基本概念不甚了解的情况下,请先到本手册最后一章节内容查看了解!

2,Juniper防火墙三种部署模式及基本配置

Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:

①基于TCP/IP协议三层的NAT模式;

②基于TCP/IP协议三层的路由模式;

③基于二层协议的透明模式.

2.1,NAT模式

当Juniper防火墙入口接口（"

内网端口"

）处于NAT模式时,防火墙将通往Untrust区（外网或者公网）的IP数据包包头中的两个组件进行转换:

源IP地址和源端口号.防火墙使用Untrust区（外网或者公网）接口的IP地址替换始发端主机的源IP地址;

同时使用由防火墙生成的任意端口号替换源端口号.

NAT模式应用的环境特征:

①注册IP地址（公网IP地址）的数量不足;

②内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet;

③内部网络中有需要外显并对外提供服务的服务器.

2.2,Route模式

当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间（例如:

Trust/Utrust/DMZ）转发信息流时IP数据包包头中的源地址和端口号保持不变（除非明确采用了地址翻译策略）.

①与NAT模式下不同,防火墙接口都处于路由模式时,防火墙不会自动实施地址翻译;

②与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中.

路由模式应用的环境特征:

①防火墙完全在内网中部署应用;

②NAT模式下的所有环境;

③需要复杂的地址翻译.

2.3,透明模式

当Juniper防火墙接口处于"

透明"

模式时,防火墙将过滤通过的IP数据包,但不会修改IP数据包包头中的任何信息.防火墙的作用更像是处于同一VLAN的2层交换机或者桥接器,防火墙对于用户来说是透明的.透明模式是一种保护内部网络从不可信源接收信息流的方便手段.使用透明模式有以下优点:

①不需要修改现有网络规划及配置;

②不需要实施地址翻译;

③可以允许动态路由协议,Vlantrunking的数据包通过.

2.4,基于向导方式的NAT/Route模式下的基本配置

Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web浏览器配置向导完成.

要启动配置向导,则必须保证防火墙设备处于出厂状态.例如:

新的从未被调试过的设备,或者经过命令行恢复为出厂状态的防火墙设备.

通过Web浏览器登录处于出厂状态的防火墙时,防火墙的缺省管理参数如下:

①缺省IP:

②缺省用户名/密码:

netscreen/netscreen;

缺省管理IP地址所在端口参见在前言部份讲述的"

Juniper防火墙缺省管理端口和IP地址"

中查找!

!

在配置向导实现防火墙应用的同时,我们先虚拟一个防火墙设备的部署环境,之后,根据这个环境对防火墙设备进行配置.

防火墙配置规划:

①防火墙部署在网络的Internet出口位置,内部网络使用的IP地址为

192.168.1.0/255.255.255.0所在的网段,内部网络计算机的网关地址为防火墙内网端

口的IP地址:

192.168.1.1;

②防火墙外网接口IP地址（通常情况下为公网IP地址,在这里我们使用私网IP地址模拟公网IP地址）为:

10.10.10.1/255.255.255.0,网关地址为:

10.10.10.251

要求:

实现内部访问Internet的应用.

在进行防火墙设备配置前,要求正确连接防火墙的物理链路;

调试用的计算机连接到防火墙的内网端口上.

1.通过IE或与IE兼容的浏览器（推荐应用微软IE浏览器）使用防火墙缺省IP地址登录防火墙（建议:

保持登录防火墙的计算机与防火墙对应接口处于相同网段,直接相连）.

2.使用缺省IP登录之后,出现安装向导:

对于熟悉Juniper防火墙配置的工程师,可以跳过该配置向导,直接点选:

No,skipthe

wizardandgostraighttotheWebUImanagementsessioninstead,之后选择Next,直接

登录防火墙设备的管理界面.

3.使用向导配置防火墙,请直接选择:

Next,弹出下面的界面:

4."

欢迎