JuniperSSG5企业级别防火墙绝对详细.docx
- 文档编号:29929991
- 上传时间:2023-08-03
- 格式:DOCX
- 页数:25
- 大小:330.99KB
JuniperSSG5企业级别防火墙绝对详细.docx
《JuniperSSG5企业级别防火墙绝对详细.docx》由会员分享,可在线阅读,更多相关《JuniperSSG5企业级别防火墙绝对详细.docx(25页珍藏版)》请在冰豆网上搜索。
JuniperSSG5企业级别防火墙绝对详细
JuniperSSG-5(基本型)参数细节(2007.07上市)
基本规格
防火墙类型:
企业级防火墙
网络吞吐量:
160Mbps
并发连接数:
4000
主要功能:
地址转换,防火墙,统一威胁管理/内容安全,VoIP安全性,vpn,防火墙和VPN用户验证,路由,封装,流量管理(QoS),系统管理,日志记录和监视
网络
网络管理:
系统管理,NetIQWebTrends,SNMP(v2),SNMPfullcustomMIB,console,telne,SSH,NetScreen-SecurityManager,AllmanagementviaVPNtunnelonanyinterface,Rapiddeployment
端口类型:
7x10/100,广域网:
出厂配置的RS232Serial/AUX或ISDNBRIS/T或V.92
安全性
过滤带宽:
40Mbps
人数限制:
无用户数限制
入侵检测:
Dos,DDoS
安全标准:
CSA,CB
端口参数
控制端口:
console
电气规格
电源电压:
100~240VAC
外观参数
产品质量:
0.59kg
长度(mm):
143
宽度(mm):
222
高度(mm):
41
环境参数
工作温度:
0~40
工作湿度:
10%-90%,非冷凝
存储温度:
-20~65℃
存储湿度:
10%-90%,非冷凝
企业用途
一般网络工程师最头痛的莫过于受到外部网络的攻击,有了SSG5让你的外网可以搭建简单而又不失安全性。
如果公司有一条与外线相连,通过SSG5可以轻轻松松帮你建立sitetosite(点到点)的VPN。
SSG5三十天就上手-Day2SSG5如何还原到出厂设定值。
方法一:
在SSG5的后面有一个Reset(重置)的针孔,如果今天只是要跟你说用针插一下这个孔,那我就略掉了。
当然它绝对不是你所想得这么简单,要使用Reset重启按钮,你需要对该针孔插两次针,且不是随便插,你必须配合它的灯号,第一次插大约4秒不动,然后灯号变成一红一绿,在将针拔出间隔约1秒之后,再将针插入约4秒,如此才能完成Reset操作。
方法二:
ConsoleReset:
需要连到SSG5的Console线一根,它是一端为Comport另一端为RJ45,跟CiscoSwitch用的线一样。
将线连接到SSG5的Consoleport后,使用超级终端连接SSG5,然后帐号密码都输入SSG5背后贴纸的序号。
接着按下两次Y,如此你就可以还原到原厂设定值。
还原后的SSG5预设帐号和密码都为netscreen。
SSG5三十天就上手-Day3SSG5如何进行备份与还原。
一般如果有两台SSG5要互相替换,当然最佳的方法是做HA,可惜在没有钱的IT界,一定是一台SSG5来当很多台的Backup,此时如果在线的SSG5挂了,如何让你Backup的SSG5,可以快速还原就非常重要!
第一、平时要对你在线的SSG5进行Config的Backup,请登入你SSG5的Web页面,在左边的选单中,进入
然后在右边画面中,点选
第二、进行快速还原,请登入你Backup的SSG5的Web页面,在左边的选项中,进入
SSG5三十天就上手-Day4SSG5如何进行软件更新。
新版软件会帮你解决一些旧版的bug之外,还会进行功能的改进,因此对SSG5进行软件升级就变成你必备的技能。
下载软件
你可以拿你SSG5的序列号,到Juniper的网页,注册一个账号,注册后你可以download新版SSG5的软件。
更新软件
准备好软件档案后,登入你的SSG5的Web页面,在左边的选单中,进入
接着就等SSG5更新完毕
!
SSG5三十天就上手-Day5SSG5SecurityZones
SecurityZones-安全区设定
你可以通过SecurityZones将你的SSG5切个为多个安全区域,在SSG5中预设会有下列Zones:
Null
Trust
Untrust
Self
Global
HA
MGT
Untrust-Tun
V1-Null
V1-Trust
V1-Untrust
DMZ
V1-DMZ
VLAN
其中建议你最少要使用两个SecurityZones将你的网络进行区隔。
在默认值中会将ethernet0/0放到Untrust,ethernet0/1放到DMZ,其它放到Trust。
假设你只有一条对外线,建议你将该线路放到ethernet0/0(Untrust),内部就放到Trust。
然后再设定SSG5的Policy来保护内部网络。
SSG5三十天就上手-Day6SSG5Interface
Interface是SSG5中实际封包进出的出入口,经由Interface让封包来进出securityzone。
为了让网络封包能够进出securityzone,你必须将bind一个interface到该securityzone,如果你要让两个securityzone互通封包时,你就必须设定policies(就像是iptables)。
你可以把多个Interfacebind到同一个securityzone,但是一个Interface只能被bind到一个securityzone,也就是说Interface跟securityzone是多对一的关系。
InterfaceTypes
PhysicalInterfaces
这就是你SSG5中的实体网络port,你可以对照SSG5机体上的编号:
eth0/0~eth0/6共有七个网络port
BridgeGroupInterfaces
Subinterfaces
AggregateInterfaces
RedundantInterfaces
VirtualSecurityInterfaces
SSG5三十天就上手-Day7SSG5InterfaceModes
在SSG5Interface可以以下列几种方式运作:
TransparentMode
NAT(NetworkAddressTranslation)Mode
RouteMode
Interface被bind在Layer3且有设定IP时可以选择使用NAT或Route方式运作。
Interface被bind在Layer2的Zone时,Interface需以Transparent方式运作。
TransparentMode:
当Interface在此模式时,IPaddress会设定为0.0.0.0,此时SSG5不会对于封包中的source或destination信息做任何的修改。
SSG5此时就像扮演Layer2switch或bridge。
NATMode:
此时你的SSG5就像扮演Layer3Switch或是Router,会对封包进行转译(translates),他会换掉流向Untrustzone封包的SourceIP跟Port。
RouteMode:
当SSG5的Interface在此模式时,防火墙不会对于两个不同zone之间的封包做SourceNAT。
SSG5三十天就上手-Day8SSG5Policies
Policies你可以将它想成iptables
在SSG5中,预设会将跨securityzone的封包(interzonetraffic)deny,bind在同一个zone的interface的封包(intrazonetraffic)预设为allow
如果你需要对以上预设行为进行调整,那你就必须透过Policies来进行。
Policies由下列基本元素所组成:
Direction:
这是指封包的流向从sourcezone流向destinationzone
SourceAddress:
这是封包起始的地址
DestinationAddress:
这是封包要送到的地址
Service:
这是封包的服务种类,如DNS、http等等
Action:
这是当收到封包满足此Polices时要进行的动作。
举例来说:
假设你要设定任何地址都可以由Trustzone到UntrustZone中的
10.0.0.1的FTPServer,则你的基本policies元素如下:
Direction:
从Trust到Untrust
SourceAddress:
any
Service:
ftp(FileTransferProtocol)
Action:
permit
ThreeTypesofPolicies
你可以通过下列三种型态的Policies来控制您的封包:
InterzonePolicies—控制一般Zone与zone之间的封包。
IntrazonePolicies—控制同一Zone之间的封包
GlobalPolicies—套用到所有zone
SSG5三十天就上手-Day9SSG5DomainNameSystem(DNS)Support
SSG5也支持DNS,让你可以通过DNSName来找到IPAddress。
在你要使用DNS之前,你需要先在你的SSG5上设定DNSServer。
假设你的DNSServer的IP为192.168.1.2跟192.168.1.3,并且你要将DNS设定为每天晚上11点refresh。
请登入你SSG5的web页面,点击左边的"Network"==>"DNS"==>"Host"然后在右边的页面中,输入下列之信息:
PrimaryDNSServer:
192.168.1.2
DNSRefresh:
(请勾选)并手动在EveryDayat:
字段上输入23:
00,然后按下Apply,这样你SSG5的DNS就设定完成了。
SSG5三十天就上手-Day10SSG5DHCP(DynamicHostConfigurationProtocol)Support
DHCP(DynamicHostConfigurationProtocol)可以用来让网络中的计算机自动获取IP。
通过DHCP可以让网络工程师对网络中的计算机设定更容易。
SSG5在DHCP中可以办演下列角色:
DHCPClient:
可以通过网络中的DHCPServer取得所配发的IP。
DHCPServer:
可以在网络中配发IP给DHCPClient。
DHCPRelayAgent:
负责接收网络中的DHCPClient要求IP的封包,并转给(relay)给指定的DHCPServer,必取得Server所配IP之讯后,转回给Client。
要在SSG5中设定DHCP,请登入SSG5的web管理接口,点选左的"Network"==>"DHCP"然后在右边的页面中,选择要设定的Interface,点选Configure字段中的edit。
如此就可以设定DHCP相关信息。
当你的Interface为Down或ip设定为0.0.0.0/0(就是没设ip),你只能选择DHCPClient。
其它你可以在上述中的三个角色三选一。
若选择DHCPRelayAgent,接着设定RelayAgentServerIP或DomainName。
若选择DHCPServer,接着设定DHCPServer其它相关设定:
ServerMode->可选择Auto(Probing)、Enable、Disable一般会选择Enable
Lease->预设为Unlimited
接着GatewayNetmaskDNSWINS等相关信息即可。
SSG5三十天就上手-Day11SSG5SetupPPPoE(Point-to-PointProtocoloverEthernet)
如果公司的外线没有固定IP,那大多会使用(大多是ADSL)PPPoE拨号上网。
SSG5对PPPoE的支持也没有问题,在SSG5的默认值中,通常会将eth0/0设定在Untrust的Zone,并使用eth0/0来当做对外线路,所以这里也建议你可以利用eth0/0来设定PPPoE的拨号上网。
SettingUpPPPoE请登入SSG5的web管理接口,点选左边的"Network"=>"Interfaces",然后在右边的页面,对eth0/0点选"Edit",进入编辑页面后,点选"ObtainIPusingPPPoE",并接着在选项后面有一个Link(Createnewpppoesetting)可以让您点选并Create你的PPPoE的Profile,
或者你已经是前就先Create后,也可以直接在选项后直接使用下拉选单挑选事先Create好的PPPoEPorfile。
CreatePPPoEProfile请登入SSG5的web管理接口,点选左边的"Network"=>"PPP"=>"PPPoEProfile",然后在右边的页面右上方,按下"New"的按钮,接着设定PPPoEInstance(这是这个Profile的名子)、接着输入从ISP那边拿来的帐号密码。
这样你的SSG5就可以使用PPPoE拨号上网了。
SSG5三十天就上手-Day12SSG5SetupNetworkBoot(SSG5支持网络开机)
当你的环境中,可以网络开机时候,你可以让SSG5也支持这样的设定。
一般如果你要让networkboot可以正常work,你必须在你的DHCPServer中,设定两个项目:
1.next-server:
这个IP是TFTPserver的IPaddress2.filenam:
这是Bootfile的filename。
这样DHCPClient如果设定使用网络开机的时候,他就知道拿完IP之后,要去找哪一台TFTPServer来downloadbootfile进行开机。
在SSG5中,你在设定DHCP的时候,只要指定上述两个数值即可让你的SSG5支持网络开机。
设定方法如下:
请登入SSG5的web管理接口,点选左边的"Network"==>"DHCP"然后在右边的页面中,选择要设定的Interface,点选Configure字段中的edit。
请选择设定为DHCPServer,并设定NextServerIp,这里选择FromInput并输入IP。
接着点选右下角的CustomOptions,进入CustomOptions设定页面。
再点选右上角的"New",在code输入67,type选择string,value中输入bootfile的filename。
这样就完成设定,接着你就可以测试看看。
PS:
如果你的FirmwareVersion:
6.3.0r4.0(Firewall+VPN),会遇到带出的bootfile的filename多了一个怪怪符号,目前看来是这一版的bug。
SSG5三十天就上手-Day13SSG5管理员帐号和密码
前面讲了SSG5的功能如何设定,接下来要跟大家讲解最基本的安全问题,那就是SSG5的管理员帐号和密码。
SSG5的预设管理员帐号和密码为netscreen/netscreen,如果要修改可以通过console接口进行修改,如果手上没有console的线,也可以通过下列方式。
当拿到一台新的SSG5或是将SSG5reset到原厂设定值的时候,它预设会将eth0/2~eth0/6设定为一个bgroup0,并且会当DHCPServer配发IP,该bgroup0的IP会设定为192.168.1.1。
可以将你的计算机连接到该bgroup0的port,取得IP之后,透过Telnet进入Console。
进入Console后,先用预设帐号和密码登入。
登入后先利用下列指令修改管理员的帐号名称。
setadminname"管理员帐号"
接这SSG5会提示时已将密码设定为netscreen,并建议你立即修改密码,再利用下列指令修改管理员的密码。
setadminpassword"管理员密码"这样就完成了修改管理员帐号和密码的工作。
SSG5三十天就上手-Day14SSG5变更管理port
SSG5预设的http管理web是通过80端口。
假设你的interfaceip为192.168.1.1,预设开启web管理时可以通过http:
//192.168.1.1来进行管理,如果你把端口变更为5522,你则需用下列方式连接:
http:
//192.168.1.1:
5522变更登录方式为:
请登入SSG5的web管理接口,点选左边的"Configuration"==>"Admin"==>"Management",然后在HTTPPort字段输入你的port,如5522。
SSG5三十天就上手-Day15SSG5EventLog
通过SSG5的EventLog可以让你知道你的SSG5发生了什么事情。
比如SSG5本身产的讯息或是alarms等等。
在SSG5将EventLog分为下列Level:
[Alert]:
这个信息是需要马上被注意的,如防火墙遭到攻击。
[Critical]:
这个信息
是有可能会影响运作或是功能,如HA(HighAvailability)状态改变。
[Error]:
这个信息是SSG5发生错误且可能造成运作上或是功能上的错误,如连上SSHServers.
[Warning]:
这个信息是SSG5发生了会影响功能方面的事件,如认证失败。
[Notification]:
这是发生一般正常的事件,给予管理这常态的通知,如管理人员变更网络参数设定,是否需开通上网功能。
[Debugging]:
这是提供详细的信息让你用来做debug用途。
你可以登入SSG5的web管理页面,并在"Reports"=>"SystemLog"=>"Event"查看SSG5的EventLog。
SSG5三十天就上手-Day16SSG5SendingEmailAlerts
身为一位网络工程师人员,每天看Log可以说是天命。
但是天天进系统看Log实在会累死人,尤其是当你可以能会用十几台SSG5的时候。
这个时候当然是要叫SSG5每天自动把alarm用e-mail寄给你!
设定的方法如下:
登入SSG5的web管理页面,并进入"Configuration"=>"ReportSettings"=>"Email",在右边的页面,你就可以设定下列信息:
1.SMTPServerName
2.E-mailAddress1
3.E-mailAddress2
请在SMTPServerName设定你的mailserver,假设我的mailserver为192.168.171.25,那就将192.168.171.25输入到SMTPServerName的字段。
当然如果你有将SSG5DNSenable,你就可以使用hostname(如)。
接着在E-mailAddress的字段输入要被通知的网络工程师的邮箱。
如WhiteRose1989At然后按下Apply即可。
PS:
当然你要将EnableE-mailNotificationforAlarms勾选,另外还可以选择IncludeTrafficLog。
SSG5三十天就上手-Day17SSG5HowtosetupRadiusServer
SSG5可以让你设定外部的RadiusServer来进行认证的工作,假设你有一台freeradius,已经安装好,IP为192.168.191.18,监听的端口为:
1812,且设定SharedSecret为ithome。
你只要进行下列设定,就可以让你的SSG5可以使用这台Radius进行认证。
AccountType由于我们想要用在认证,所以勾选AuthRADIUSPort输入1812,SharedSecret输入ithome,接着按下OK,这样你的AuthServer就设定完成。
SSG5三十天就上手-Day18SSG5如何利用RadiusServer控制上网权限
通常公司都会管控公司网络的上网权限,避免有人可以来乱上网。
在SSG5可以轻松做到对上网进行权限管控。
在Day5我们有介绍过SSG5SecurityZones,假设你将你的LAN放在Trust的Zone,把上网的线路,放在Untrust的Zone。
在Day8我们有介绍过Policies,你可以通过Policies来控制两个Zone之间的traffic。
我们可以通过Policies中的进阶设定,设定我们在Day16所设定完成的Radius来进行认证,只让认证通过的user可以上网。
设定方法如下:
请登入你SSG5的web管理接口,点选左边的"Policy"==>"Policies",然后在右边页面中,上方的From选择"Trust",To选择"Untrust",然后按下最右边的"New"。
设定好SourceAddress跟DestinationAddress,此范例中都选择Any,Service也选择Any。
接着按下"Advanced"进入进阶设定页面,勾选"Authentication",并选择我们设定好的RadiusServer。
按下OK,这样你就可以通过RadiusServer控制上网权限。
SSG5三十天就上手-Day19SSG5如何CreatingaSecondaryIPAddress
让你的Interface挂多个IP。
有些情况,你会需要让你的Interface挂两个IP,一个挂外面publicip,另一个挂里面的privateip。
这个时候你就可以利用SSG5SecondaryIPAddress的功能,设定方法如下:
请登入你SSG5的web管理接口,点选左边的"Network"=
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JuniperSSG5 企业 级别 防火墙 绝对 详细