#JuniperSSG550M防火墙.docx
- 文档编号:4356754
- 上传时间:2022-11-30
- 格式:DOCX
- 页数:42
- 大小:414.99KB
#JuniperSSG550M防火墙.docx
《#JuniperSSG550M防火墙.docx》由会员分享,可在线阅读,更多相关《#JuniperSSG550M防火墙.docx(42页珍藏版)》请在冰豆网上搜索。
#JuniperSSG550M防火墙
WAP项目现场安装文档(SSG550M防火墙>V1.0JuniperNetworks.
2008-9-6
1概述3
2电信WAP中心网络规划4
2.1Zone规划4
2.2访问策略实现62.2.1PDSN访问实现62.2.2163公网访问实现72.2.3DCN访问实现72.2.4CN2访问实现7
3设备端口连接规划7
3.1设备端口编号7
3.2设备端口连接表7
3.3防火墙接口地址规划8
3.4防火墙策略定义规划9
4防火墙配置安装步骤10
4.1初始化配置10
4.2防火墙冗余NSRP设置12
4.3设置设备接口参数18
4.4设置路由21
4.5定义WAP中心主机及信息服务端口23
4.6配置NAT 4.7定义安全访问策略28 4.8用户账号管理28 4.9配置文件备份29 4.10版本升级步骤30 4.11常用排错步骤及命令汇总31 5附录: 防火墙配置文件32 5.1SSG-550M-1防火墙配置32 配置 36 5.2SSG-550M-2防火墙 2/36 1概述 电信WAP网关采用两台ZXR10T40G三层交换机做为核心交换机,并且采用两台Juniper SSG-550M防火墙来做安全控制。 WAP网关通过电信的CE路由器分别连接PDSN、CN2、 DCN和电信163公网4个网络,以内蒙古电信WAP为例,网络结构图如下: 在逻辑结构上,WAP网关需要和PDSN、CN2、DCN和163公网4个网络进行网络互联。 此次项目通过JUNIPER防火墙实现的主要功能如下: 1.PDSN网络<10.0.0.0/8)的主机需要访问10.0.0.165主机TCP的80端口,UDP的 9200-9203、1813、1812端口。 通过防火墙后,即访问我内部主机 3/36192.168.0.133TCP的8000端口,UDP的9200-9203、1813、1812。 2.内部的多台主机<包括192.168.0.133)需要访问163公网上的任何资源,而且192.168.0.133的TCP的8090端口需要被163公网上的主机访问。 这样报文在出防火墙时,需要转换成公网地址。 3.内部的多台主机<包括192.168.0.133)需要与CN2上相互访问,这样内部主机需要转换成CN2的地址与CN2的主机进行通讯。 而且192.168.0.133的TCP的8090端口需要被CN2上的主机访问,其他的端口还不确定。 4.内部的多台主机(包括192.168.0.133>需要与DCN的主机进行互相访问。 也需要转换成DCN的地址进行互通。 5.PDSN网络的主机需要通过防火墙去访问163公网上的资源,需要在防火墙上将源地址变换成公网地址。 2电信WAP中心网络规划 2.1Zone规划 根据WAP业务访问需求,因为在此项目中使用的JuniperSSG-550M防火墙为标准配 置,仅自带4个千兆接口,其中eth0/3接口作为HA传输心跳等信息,至此实际能应用到此网络环境中进行数据传输的接口只有3个 仅能提供2个接口通过交换机与我们的设备进行通信。 内部网络占用一个端口,这样实际上剩下2个端口来接电信的4个网络。 为保证内部用户与其4个网络互相通信,并正常访问,在此将对网络连接接口进行如下规划: 1、PDSN单独划分为一个DMZzone,CN2\DCN\163公网划分到Untrustzone。 2、PDSN网络单独一根线通过交换机接到防火墙的eth0/1接口,该接口为DMZzone。 3、163网络单独一根线通过交换机接到防火墙的eth0/2接口,该接口为Untrustzone。 4、CN2\DCN网络所以流量将通过eth0/2接口进出,该接口为Untrustzone。 4/36 Untrust区域: 每台SSG550M的固定第3个接口eth0/2与交换机相连接入163\CN2\DCN网络,物理接口配置163公网地址,通过MIP对外开放服务端口,但是访问DCN\CN2网络进出所有流量也通过此区域接口,通过在此接口下启用扩展DIP功能,实现源地 址转换。 Trust区域: SSG550M的固定第1个接口eth0/0与交换机相连接入WAP内网,配置内网地址192.168.0.1/24。 DMZ区域: SSG550M的固定第2个接口eth0/1与交换机相连接入PDSN网络,配置IP地址: 10.0.0.167/28. 物理结构图和数据流向如下图所示: 5/36 2.2访问策略实现 2.2.1PDSN访问实现 PDSN网络<10.0.0.0/8)的主机需要访问10.0.0.165主机TCP的80端口,UDP的9200- 9203、1813、1812端口。 通过防火墙后,即访问我内部主机192.168.0.133TCP的8000端口, UDP的9200-9203、1813、1812。 因为涉及端口转换,因此采用MIP无法实现该功能,通过策略,采用目的地址+端口的转 换来映射内部服务器地址和端口。 PDSN->10.0.0.165: 80增加一条策略,从DMZ区到Trust区,源地址为手机地址池,目的地址为10.0.0.165服务为HTTP时,需要启用目的地址转换,转换成内部服务器192.168.0.133的TCP8000端口。 PDSN->10.0.0.165: 9200-9203增加一条策略,从DMZ区到Trust区,源地址为手机地址池,目的地址为10.0.0.165的9200-9203端口时时,需要启用目的地址转换,转换成内部服务器192.168.0.133即可。 6/36 PDSN->163公网通过policy进行163公网DIP转换。 2.2.2163公网访问实现 内部服务器->163公网建立一个163公网,建立从Trust区到untrust区的策略接口,将源地址转换从接口地址即可。 163公网->内部服务器建立一个163公网和内部服务器对应的MIP 192.168.0.133->163公网建立一个163公网和内部服务器对应的MIP 2.2.3DCN访问实现 内部服务器->DCN建立一个DCN的DIP,通过扩展的DIP实现地址转换DCN->内部服务器通过策略,采用目的地址转换来映射内部服务器地址。 2.2.4CN2访问实现 内部服务器->DCN建立一个DCN的DIP,通过扩展的DIP实现地址转换 DCN->内部服务器通过策略,采用目的地址转换来映射内部服务器地址。 3设备端口连接规划 3.1设备端口编号 <图片仅供参考,以实物为准) 插槽顺序: (下面列出为标准出厂配置,没有增加任何模块,仅使用4个固定接口> 风扇 插槽一 插槽四 插槽二 插槽五 插槽三 插槽六 4个固定10/100/1000M以太网接口ConsoleAUX 3.2设备端口连接表 JuniperSSG-550M-1防火墙固定I/O接口连接表 固定接口 端口类型 端口编号 端口所属区域名称 连接对端设备< 用途 型号及端口) 7/36 固定I/0接口 10/100/1000M Auto eth0/0 Trust ZTE_T40G-1G2: 1 连接业务内网 10/100/1000M Auto eth0/1 DMZ ZTET40G-1G2: 2 连接PDSN网络 10/100/1000M Auto eth0/2 Un-trust ZTET40G-1G2: 3 物理连接163网络,其中 CN2\DCN网络进出流量也经过此接口 10/100/1000M Auto eth0/3 HA SSG-550M-2 eth0/3接口 连接SSG-550M-1做HA接口 JuniperSSG-550M-2防火墙固定I/O接口连接表 固定接口 端口类型 端口编号 端口所属区域名称 连接对端设备<型号及端口) 用途 固定I/0接口 10/100/1000M Auto eth0/0 Trust ZTET40G-2 G2: 1 连接业务内网 10/100/1000M Auto eth0/1 DMZ ZTE_T40G-2 G2: 2 连接PDSN网络 10/100/1000M Auto eth0/2 Un-trust ZTE_T40G-2 G2: 3 物理连接163网络,其中 CN2\DCN网络进出流量也经过此接口 10/100/1000M Auto eth0/3 HA SSG-550M-1eth0/3接口 连接SSG-550M-2做HA接口 JuniperSSG-550M此款设备出厂标准配置为自带4个10/100/1000M以太网接口和6个物理接口模块 在此项目实行中我们将仅采用系统缺省zone(Trust\DMZ\Un-trust>,分别对应: Trust=内部网络、DMZ=PDS、NUn-trust=163、CN2\DCN 3.3防火墙接口地址规划 因为在此项目中两台JuniperSSG-550M防火墙将采用HA模式部署在网络中,因此两台接口IP地址将会相同<因为当HA建立起来,大部分配置会自动同步,IP地址应当在HA建立成功前提下设置)。 具体配置将参照下表进行配置: 固定接口 端口类型 端口名称 端口IP地址 网关 用途 固定I/0接口 10/100/1000M Auto Eth0/0 物理接口IP地址192.168.0.1/24 SSG-550M-1_Manage-ip: 192.168.0.5 SSG-550M-2Manage-ip: 192.168.0.6 连接内部业务网 10/100/1000M Auto Eth0/1 物理接口IP地址: 10.0.0.167/28 10.0.0.161 连接PDSN网络 10/100/1000M Auto Eth0/2 物理接口IP地址: 211.136.136.4/28 211.136.136.1 物理连接163网络, CN2\DCN网络流量也经过此接口 10/100/1000M Auto Eth0/3 0.0.0.0 0 HA CN2地址段: 172.16.1.96/28DCN地址段: 192.168.100.96/28 8/36 在此项目实行中,将对interfaceeth0/0接口配置manage-ip为方便对安全设备进行管理维护! 在生产环境实行过程中千万注意,内网地址可以有项目组讨论并根据实际情况定义分配,但是连接CN2\ENI两个网络的接口IP地址、业务地址、设备互联地址,需要向上级机构提前申请<如: 电信等ISP)! 申请的地址信息包括<NAT地址、设备互联地址、子网掩码、网关等信息),具体参数将按照实际实行环境及需求决定。 申请地址信息后建议立即测试,以免在实行过程中带来不必要的麻烦! 3.4防火墙策略定义规划 因为在此项目中,涉及到4个网络,并且针对每个网络内部服务器都需要提供相应的服务,内部用户访问其4个网络也需要通过源地址翻译与目标网络进行通信,因此在策略的规划中,请遵循下列规则进行配置: 在定义安全策略前,请提供以下内容: 1、源地址<可以是any或者单个地址或者地址组) 2、目标地址<可以是any或者单个地址或者地址组) 3、服务内容<可以是单个服务或者多个服务) 4、按照需求是否需要基于策略的地址转换<源地址、目标地址),其中源地址转换还包含接口地址转换、DIP地址池转换方式,基于目标地址转换可以是单个IP地址,或者IP加端口。 5、新建内部服务器地址<服务器地址: 10.0.0.165/32、172.16.1.100/32、192.168.200.100/32)。 6、自定义服务<包含需要对外开放的端口及服务名称,如: 9200、9203等等).7、注意策略的优先级<默认从上到下检查策略匹配,可以根据实际情况进行调整)下表将列出此次安全访问策略的规则: <从DMZ区域: PDSN网络到Trust区域): 源地址 目标地址 服务 目标地址转换 备注 Any 10.0.0.165/32 80(HTTP> 192.168.0.133: 8000 端口转换成8000 Any 10.0.0.165/32 9200 192.168.0.133: 9200 端口转换成9200 Any 10.0.0.165/32 9203 192.168.0.133: 9203 端口转换成9203 Any 10.0.0.165/32 1813 192.168.0.133: 1813 端口转换成1813 Any 10.0.0.165/32 1812 192.168.0.133: 1812 端口转换成1812 <从Trust区域到DMZ区域): 源地址 目标地址 服务 源地址转换 备注 192.168.0.133/32(服务器> Any Any DIP地址池转换 10.0.0.165 访问外网转换成 10.0.0.165 192.168.0.0/24(其他用户> Any Any 接口地址转换 10.0.0.167 访问外网转换成 10.0.0.165 <从DMZ区域到Un-trust: 163公网) 源地址 目标地址 服务端口 源地址转换 备注 Any(根据具体地址需求而定> Any Any DIP地址池转换成Untrust区域物理接口IP 访问公网163网络 源地址 目标地址 服务 源地址转换 <从Trust区域到Untrust区域) 源地址目标地址服务源地址转换 9/36 Server-IP CN2-172.16.0.0/16 Any 扩展DIP 172.16.1.100 Server-IP DCN-192.168.0.0/16 Any 扩展DIP 192.168.200.100 192.168.0.0/24 CN2-172.16.0.0/16 Any 扩展DIP 172.16.1.99 192.168.0.0/24 DCN-192.168.0.0/16 Any 扩展DIP 192.168.200.99 192.168.0.0/24 Any Any 接口地址转换 (Untrust区域到Trust区域> 源地址 目标地址 服务 地址转换 备注 CN2-172.16.0.0/16 CN2-172.16.1.100 TCP\8090 192.168.0.133 基于策略的目标地址转换 Any MIP(211.136.136.2> TCP\8090 192.168.0.133 一对一地址映射 4防火墙配置安装步骤 4.1初始化配置 步骤1: 连接防火墙方式一: Console方式 基于Console终端配置SSG-550M的准备 安装Windows操作系统的PC一台<安装超级终端) SSG-550M设备标准配置自带的Console电缆一条使用超级终端建立一个连接,通过Console电缆一端连接SSG-550M任何一台设备,一端连接COM口,COM的参数设置如: 10/36 使用Console端口做初始化配置,Netscreen防火墙的初始账号和密码: login: netscreenpassword: netscreen方式二: 基于WEB方式 将PC机连接到Trustzone中交换机的某一个接口,在IE浏览器地址栏键入http: // 在Web用户界面(WebUI>中,每个任务的指令集都分为导航路径和配置设置。 要打开可用来输入配置设置的WebUI页面,可单击屏幕左侧导航树中的某个菜单项,然后单击随后出现的项目。 在您进行操作时,导航路径会出现在屏幕顶部,每个页面都由尖括号分隔。 导航树还提供了Help>ConfigGuide配置页,帮助您配置安全策略和“互联网协议安全性”(IPSec>。 从下拉菜单选择一个选项,然后按照该页面上的说明进行操作。 单击ConfigGuide左上方的? 字符可获得“在线帮助”。 如下图: 11/36 可以根据实际管理需要,Juniper防火墙还可以通过telnet\SSH\SSL等方式管理,配置仅需在接口设置下开启相应的服务即可。 SSG-550M->sethostnameSSG-550M-1 SSG-550M->sethostnameSSG-550M-2如果需要恢复出厂安全设备,可以在命令行界面下,输入: SSG-550M>unsetall此时会提示yes/no,在此选择yes,接下来再输入另外一条命令: reset此时会提示是否保存配置,则选择no,接着提示是否重启,则选择yes,当设备重启后,则先前的配置将全部丢失,此操作谨慎使用,以免造成不必要的麻烦! 4.2防火墙冗余NSRP设置 在配置HA之前,请注意以下事项: NO.1、两台设备screenOS版本是否一致<必须一致)NO.2、必须首先按设备硬件安装和配置指南中的说明将两台安全设备用电缆连接起来 NO.3、要管理任一模式的备份设备,必须使用为每个安全区段接口设置的管理IP 地址<除VSD组0以外,不能在VSI上为任何VSD组设置一个管理IP地址)。 NO.4NSRP不传播的命令: NSRPset/unsetnsrpclusteridnumber set/unsetnsrpauthpasswordpswd_str set/unsetnsrpencryptpasswordpswd_str set/unsetnsrpmonitorinterfaceinterface 12/36 set/unsetnsrpvsd-groupidid_num{modestring|preempt|prioritynumber}接口set/unsetinterfaceinterfacemanage-ipip_addr set/unsetinterfaceinterfacephy⋯ set/unsetinterfaceinterfacebandwidthnumber set/unsetinterfaceredundantnumberphyprimaryinterface 被监控对象所有IP跟踪、区段监控和接口监控命令控制台设置所有控制台命令(set/unsetconsole⋯>主机名set/unsethostnamename_str SNMPset/unsetsnmpnamename_str虚拟路由器set/unsetvroutername_strrouter-idip_addr清除所有clear命令(clearadmin,cleardhcp,⋯>调试所有debug命令(debugalarm,debugarp,⋯> 在此项目中我们将部署HA模式为Active-Passive模式,主/备模式,具体配置如下: 为确保信息流连续流动,可以对一个冗余集群中的两台安全设备进行电缆连接和配置,其中一台设备用作主设备,另一台用作备份设备。 主设备将其所有网络和配置设置以及当前会话信息传播到备份设备。 如果主设备出现故障,备份设备会晋升为主设备并接管信息流处理。 图形化界面配置 1)设置HA端口(SSG-550M-1、SSG-550M-2>,两台设备必须都配置HA接口选择Network>Interfaces>Ethernet0/3>Edit 在ZoneName: HA 将Ethernet0/3 设置成HA心跳端口 端口设置加入HAzone 两台设备都必须将interfaceEth0/3 13/36 2)点击Network>NSRP>Cluster: 在ClusterID字段中,键入1,然后 单击Apply 此步为激活NSRP 选择Network>NSRP>Cluster,输入以下内容,单击Apply ClusterID: 1 0是关闭NSRP功能,参数1-7是激活NSRP 3)点击Network>NSRP>Synchronization: 选择NSRPRTO Synchronization\setnsrprto-mirrorroute然后单击Apply 14/36 •芝US.FUfs..-god0-da.d snL-I 卜t-=_-±UCTBl"taB«==-Ii- snuMW WEB ddsz Eghi匕 M_sJ agN £QL ■JCEB H工电&=AL>代 «=1一 Jwd-tmFa ®.._.pyllKr2o 二富豆—>±£®LIMR
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JuniperSSG550M 防火墙