juniper防火墙详细配置手册.docx

juniper防火墙详细配置手册.docx

《juniper防火墙详细配置手册.docx》由会员分享，可在线阅读，更多相关《juniper防火墙详细配置手册.docx（28页珍藏版）》请在冰豆网上搜索。

juniper防火墙详细配置手册

Juniper防火墙简明有效手册

（版本号：

）

1juniper中文参考手册重点章节导读

版本：

Juniper防火墙中文参考手册，内容超级庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大伙儿尽快用最短的时刻内把握Juniper防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和归纳，把握了这些内容大伙儿就可以够够够够大体能够完成平安数署和珍惜的工作。

1.1第二卷：

大体原理

1.1.1第一章：

ScreenOS体系结构

●平安区

●平安区接口

●策略

1.1.2第二章：

路由表和静态路由

●配置静态路由

1.1.3第三章：

区段

●平安区

●配置平安区

●功能区段：

HA区段

1.1.4第四章：

接口

●接口类型：

平安区接口：

物理

●接口类型：

平安区接口：

功能区段接口

●观看接口

配置平安区接口：

将接口绑定到平安区、从平安区解除接口绑定、修改接口、跟踪IP地址

●二级IP地址

1.1.5第五章：

接口模式

●透明模式

●NAT模式

●路由模式

1.1.6第六章：

为策略构建块

●地址：

地址条款、地址组

●效劳：

预概念的效劳、定制效劳

●DIP池：

端口地址转换、范例：

创建带有PAT的DIP池、范例：

修改DIP池、扩展接口和DIP

●时刻表

1.1.7第七章：

策略

●三种类型的策略

●策略概念

●策略应用

1.1.8第八章：

地址转换

●地址转换简介

●源网络地址转换

●目的网络地址转换

●映射IP地址

●虚拟IP地址

1.1.9第十一章：

系统参数

●下载/上传设置和固件

●系统时钟

1.2第三卷：

治理

1.2.1第一章：

治理

●通过WEB用户界面进行治理

●通过命令行界面进行治理

●治理的级别：

根治理员、可读/写治理员、只读治理员、概念Admin用户

●保证治理信息流的平安：

更改端口号、更改Admin登录名和密码、重置设备到出厂缺省设置、限制治理访问

1.2.2监控NetScreen设备

●贮存日记信息

●事件日记

●信息流日记

●系统日记

1.3第八卷：

高可用性

1.3.1NSRP

●NSRP概述

●NSRP和NETSCREEN的操作模式

●NSRP集群

●VSD组

●同步

1.3.2故障切换

●设备故障切换（NSRP）

●VSD组故障切换（NSRP）

●为设备或VSD组故障切换配置对象监控

Juniper防火墙初始化配置和操纵

对一台空配置的Juniper防火墙咱们能够用两种方式去进行操纵：

Console操纵台和WEB。

1.Console操纵台：

利用Console线连接到Juniper的防火墙上的Console口，利用超级终端用CLI命令行界面进行配置。

2.利用WEB界面：

Juniper防火墙上默许情形下在E1接口（trust）口有一个初始治理IP地址；咱们能够把自己的笔记本和防火墙的E1口用一根交叉线连接起来，然后把本机的地址配置为，以后咱们就可以够够够够在本机上通过IE阅读器登岸的地址通过WEB界面对设备进行配置了。

注意1：

Juniper防火墙接口的WEB治理特性默许只在E1接口（trust）口才启用，也确实是说咱们有可能无法通过用WEB登岸其他接口进行操纵，除非咱们提前已经打开了相应接口的WEB治理选项。

注意2：

假设是Juniper防火墙上有配置，咱们不明白目前E1接口的IP地址，咱们能够先通过Console操纵台用“getinterface”的命令看一下目前E1口的IP地址。

注意3：

Juniper防火墙OS以上的版本支持MDI和MDIX自适应，也确实是说咱们的主机和E1口也能够用直通线进行互连，但这种方式有失效的时候，假设是显现用交叉线互连物理也无法UP的情形，能够在Console操纵台用“NS208->deletefileflash:

/ns_sys_config”删除配置文件并重起防火墙的方式能够解决（Juniper的BUG）。

注：

系统默许登岸用户名和口令都是：

“netscreen”。

2查看系统概要信息

利用WEB登岸防火墙的治理地址，进入GUI治理界面，如上图所示。

●左侧是主配置菜单。

●右边最上方是系统启动和时刻信息，右上角显示主机名。

●Deviceinformation：

设备信息，显示设备硬软件版本、序列号和主机名。

●Interfacelinkstatus：

接口链路状态，显示接口所属区和链路UP/DOWN信息。

●ResourcesStatus：

资源状况，显示系统CPU和内存利用率和目前的会话和策略是系统满负荷的比例。

（其中注意内存利用率是不真实的，在系统空负荷的情形下内存占用率也会很高，是系统本身设计的问题）。

●Themostrecentalarms：

系统最近的报警信息

●Themostrecentevents：

系统最近的通告信息

3主菜单常常利用配置选项导航

在主菜单中咱们常常常利用到的配置菜单如下，后面将针对这些常常利用配置选项进行详细的介绍。

1.Configuration：

Date/Time；Update；Admin；Auth；ReportSettings

2.Network：

Zones；Interfaces；Routing；NSRP

3.Polices

4.Objects：

Addresses；Services

5.Reports：

Polices

只要能够熟练把握以上设置选项，就足以应付外网改造和日常珍惜的工作。

Configration配置菜单

3.1Date/Time:

日期和时刻

准确设置Juniper防火墙的时钟主若是为了使LOG信息都带有正确的时刻以便于分析和排错，设置时钟要紧有三种方式。

1.用CLI命令行设置：

setclockmm/dd/yyyyhh:

mm:

ss。

2.用WEB界面利用和客户端本机的时钟同步：

简单有效。

3.用WEB界面配置NTP和NTP效劳器的时钟同步。

Update更新系统镜像和配置文件

3.1.1更新ScreenOS系统镜像

更新configfile配置文件

●在那个菜单中咱们能够查看目前文本形式的配置文件，把目前的配置文件导出进行备份，和替换和更新目前的配置。

●注意单项选择框默许是点选在“MergetoCurrentConfigration”即和目前配置融合的位置，而咱们一样是要完全替换目前的配置文件的，因此必然要注意把单项选择框点击到“ReplaceCurrentConfigration”。

●当进行配置替换的以后系统会自动重起使新配置生效。

●TIP：

进行配置的替换必需用ROOT用户进行登岸，用Read－Write用户进行登岸是无法进行配置的替换操纵的，只有融合配置的选项，替换目前配置的选项将会隐藏不可见，如以下图所示：

●

Admin治理

3.1.2Administrators治理员账户治理

●只有效根ROOT用户才能够创建治理员账户。

●能够进行ROOT用户账户用户名和密码的更改，但此账户不能被删除。

●能够创建只读账户和读写账户，其中读写账户能够对设备的大部份派置进行更改。

PermittedIPs：

许诺哪些主性能够对防火墙进行治理

Networks配置菜单

3.2Zone平安区

●查看目前的平安区设置

●平安区内必需有物理接口才会有实际意义，每一个平安区同时能够包括多个物理接口，但每一个物理接口同时只能属于一个平安区。

●几个系统默许的平安区和接口：

●1：

Trust区包括ETH1口

●2：

Untrust区包含ETH4口

●3：

DMZ区包括ETH3口

●其他区必需进行手工创建并把相应物理接口放入平安区内。

●虚拟路由咱们统一选Trust-Vr，多个VR对咱们没有太大意义，不建议利用。

●创建新的平安区：

●在输入平安区名称后其余选项均维持默许值即可。

Interfaces接口配置

3.2.1查看接口状态的概要信息

●接口概要显示接口的IP地址信息，所属平安区，接口类型和链路的状态。

其中接口类型除非是防火墙利用透明模式，不然都会是Layer3三层的。

3.2.2设置interface接口的大体信息

接口大体配置包括接口的IP地址掩码，是不是能够被治理，接口的模式和接口的治理特性选项。

●最上面的几个链接是配置NAT地址转换和IP跟踪等高级特性的。

●下面那个其中需要大伙儿配置的地址是设置此物理接口属于哪个平安区，从下拉框中点选，其他选项维持不变即可。

●StaitcIP选择框是设置接口的IP地址和掩码信息的，其中有一个Mangeable的选项，只有选中咱们才能够通过WEB或TELNET登岸此地址进行治理。

ManageIP框维持为空的时候系统会自动把实际IP作为治理IP自动加上。

●接口模式有路由模式和NAT模式：

●NAT模式：

从此接口进入从其他口流出的流量源地址都会做转换，即便咱们在策略中不引用转换地址池，源地址都会转换为出站的接口地址。

●路由模式：

除非咱们在策略概念中明确引用了转换地址池，不然源地址都可不能做转换。

●由于路由模式比NAT模式更灵活，因此咱们一样都会用路由模式。

●ETH1口默许是NAT模式，必然要注意把其更改成Route路由模式。

●Serviceoptions效劳选项：

设置此接口是不是许诺被PING，WEB或TELNET等方式进行治理，默许情形下ETH1（内网口）的都是打开的，而ETH4口（外网口）的WEB和TELNET治理选项是关闭的，也确实是说假设是咱们想从外网登岸ETH4口的IP进行治理，必需把相应的WEB或TELNET选项点中。

●最后的配置框能够维持默许值。

3.2.3设置地址转换

Juniper防火墙的地址转换有三种方式：

MIP-静态一对一地址转换；VIP-虚拟一对多地址转换；DIP-动态多对多地址转换。

由于MIP和VIP地址转换有一些规那么限制，比如要转换外网发起流量的源地址的时候，转换后的地址必需和ETH1内网口在同一个子网，不然无法配置。

而DIP不受此规那么的阻碍，同时能够完成MIP和VIP的功能，应用和设置比较灵活，因此咱们建议地址转换统一采用DIP的方式。

3.2.3.1配置MIP静态地址转换

●配置MIP静态地址映射的时候要注意转换后的虚拟地址要在数据流的出站接口上进行配置：

例如流量从E1口入从E4口出，访问外网，咱们把的地址转换为，那么那个的地址的MIP是做在出站接口，也确实是E4口上的。

●新建MIP静态地址映射

●当利用静态MIP地址映射时，对方发起的数据流的目的地地址要注意设置为MIP后的地址。

设置DIP动态地址转换

●DIP动态地址转换能够实现一对一，一对多，多对一和多对多的访问。

●DIP地址池和MIP一样要设置在出站接口上来实现源地址的翻译。

●DIP地址池能够和出站接口再也不一个网段（利用扩展IP技术）。

●假设是访问是多对一的（多个客户端访问一个效劳器），必需利用Port-Xlate端口转换特性（默许设置，建议都利用这种方式）。

●假设是DIP被策略引用那么无法编辑和更改，必需先移除策略后才能够编辑。

●创建新的DIP地址池：

●假设是DIP地址池和出站接口不在同一网段必需利用扩展IP特性，把选择框选择到下方“Inthesameastheextendedip”，并输入一个扩展IP的地址。

●例如出站接口是，而源地址出站时咱们想转换成的地址，那么在扩展IP框中咱们能够输入。

●扩展IP地址能够利用一个地址也能够用一个网段，推荐利用网段的方式。

●同一DIP地址网段能够同时散布在多个接口上，比如虚拟地址簿能够同时设置在E一、E2和E3口上。

●但同一个DIP地址只能同时设置在一个接口上，比如地址只能设置在E1或E2或E3口上，不能同时在多个接口上都设置。

设置接口SecondaryIP地址

Routing路由设置

Juniper防火墙咱们一样仅利用静态路由，静态路由的选路规那么和路由器大体相同，例如最长掩码匹配优先，接口假设是DOWN，相应静态条款会消失。

3.2.4查看防火墙路由表设置

●路由咱们统一都设在trust-vr中（默许选项）。

●只有带“*”号的才表示路由有效，等同于路由器showiproute的成效。

●添加的路由条款只能删除，无法编辑。

创建新的路由条款

●目标地址段能够写IP/掩码也能够写IP/前缀；如或。

●下一跳默许都是点在NextHopVirtualRouterName；必然要注意改点到Gateway处，不然路由不生效。

●接口和下一跳网关地址都要选择和输入。

Policy策略设置

3.3查看目前策略设置

●能够选择查看从某个源平安区到某个目的平安区的策略，也能够选择从ALL到ALL来查看所有的策略。

●Service是系统预概念或咱们自概念的效劳端口号。

●Action动作是指策略是许诺或拒绝，许诺是一个对勾，拒绝是一个X，另外假设是是绿色图表说明没有做源地址转换，蓝色图表说明做了源地址转换。

●在Option下假设是有一个小记事本的图表，说明咱们要记录此数据流，当数据流通过时能够看到详细的地址转换情形。

●生效：

能够通过取消对勾让本策略临时失效。

●移动：

能够调整策略查找的顺序，策略的查找和匹配默许是从上到下，咱们能够通过移动来操纵策略生效的顺序。

3.4创建策略

●源地址和目的地址假设是以前曾经设置过，能够用下拉菜单进行选择，不然需要在NewAddress新地址栏进行输入。

●假设是地址曾经输入过，做策略时咱们仍在NewAddress栏中进行输入，点击确信的时候系统会显现重复IP地址条款的提示信息，但不阻碍策略的设置。

●入侵检测的配置假设是自己不是专门了解应用的特性建议不要做任何配置，维持原有默许配置不变。

●在进行调试时建议打开LOG记录，看是不是有数据流通过及地址转换情形。

●假设是要进行源或目的地址的转换需要点击高级选项进入二级配置菜单。

●源地址转换点击DIP下拉菜单后前面的选择框会自动选中。

●目的地址转换必需手工点击选中前面的目标地址转换的选择框。

对象Object设置

对象Object的设置主若是为了简化和方便策略的引用和设置，比如地址组和效劳组等，下面咱们重点介绍一下效劳的设置。

效劳其实确实是给对方提供的一些协议端口号，其中大部份的常生效劳设备已经提前设置好，比如web，telnet等等，可是一些超级常利用的端口号，比如TCP8888等就需要咱们自己进行自概念设置了。

●查看自概念的效劳：

Objects－Services－Custom

●技术：

咱们能够给效劳一个名称，可用中文描述一个中间业务的名称，然后在策略里进行引用，如此在进行排错的时候咱们就可以够够够够很方便地找到相应的策略，虽然咱们也能够给策略一个名称，但在策略汇总表中是不显示出来的。

●创建一个新的效劳

●目标协议和端口号咱们能够设置多个组合，例如TCP8888＋UDP＋ICMP等

●咱们一样仅设置目标端口号，源端口号不做限制，例如咱们要提供一个WWW的效劳，类似设置确实是：

●TCP0655358080

●假设是设置许诺ICMP的PING，能够设置为：

ICMP80

策略Policy报告Report

假设是咱们想看具体某一条策略是不是有流量或流量的源地址、目的地址和源和目的转换的情形咱们能够在策略中点击记事本直接进行观看。

另外系统也提供一个汇总的方式让咱们能够方便地观测所有策略的数据流的概要信息，比如在一个时刻都有哪些业务在运行，每种业务的数据量等等。

点击Reports－Polices：

如上图所示，咱们能够直观地看到某个时刻都有哪些业务流在进行，灰色的记事本代表没有业务，蓝色的代表有业务数据流，点击蓝色记事本能够查看业务数据流的详细信息。