JUNIPER 防火墙快速安装手册
目 录
1、前言.............................................................................................................................4
1.1、JUNIPER防火墙配置概述........................................................................................4
1.2、JUNIPER防火墙管理配置的基本信息......................................................................4
1.3、JUNIPER防火墙的常用功能.....................................................................................5
2、JUNIPER防火墙三种部署模式及基本配置...................................................................6
2.1、NAT模式................................................................................................................6
2.2、ROUTE-路由模式....................................................................................................7
2.3、透明模式................................................................................................................8
2.4、基于向导方式的NAT/ROUTE模式下的基本配置......................................................8
2.5、基于非向导方式的NAT/ROUTE模式下的基本配置................................................17
2.5.1、NS-5GT NAT/Route模式下的基本配置.........................................................18
2.5.2、NS-25-208 NAT/Route模式下的基本配置.....................................................19
2.6、基于非向导方式的透明模式下的基本配置............................................................20
3、JUNIPER防火墙几种常用功能的配置........................................................................21
3.1、MIP的配置...........................................................................................................21
3.1.1、使用Web浏览器方式配置MIP.......................................................................22
3.1.2、使用命令行方式配置MIP...............................................................................24
3.2、VIP的配置...........................................................................................................24
3.2.1、使用Web浏览器方式配置VIP........................................................................25
3.2.2、使用命令行方式配置VIP...............................................................................26
3.3、DIP的配置...........................................................................................................27
3.3.1、使用Web浏览器方式配置DIP........................................................................27
3.3.2、使用命令行方式配置DIP...............................................................................29
4、JUNIPER防火墙IPSEC ×××的配置..........................................................................29
4.1、站点间IPSEC ×××配置:STAIC IP-TO-STAIC IP......................................................29
4.1.1、使用Web浏览器方式配置..............................................................................30
4.1.2、使用命令行方式配置.....................................................................................34
4.2、站点间IPSEC ×××配置:STAIC IP-TO-DYNAMIC IP.................................................36
4.2.1、使用Web浏览器方式配置..............................................................................37
4.2.1、使用命令行方式配置.....................................................................................40
5、JUNIPER中低端防火墙的UTM功能配置....................................................................42
5.1、防病毒功能的设置...............................................................................................43
5.1.1、Scan Manager的设置...................................................................................43
5.1.2、Profile的设置................................................................................................44
5.1.3、防病毒profile在安全策略中的引用.................................................................46
5.2、防垃圾邮件功能的设置........................................................................................48
5.2.1、Action 设置..................................................................................................49
5.2.2、White List与Black List的设置........................................................................49
JUNIPER 防火墙快速安装手册
第 3 页 共 70 页
5.2.3、防垃圾邮件功能的引用..................................................................................51
5.3、WEB/URL过滤功能的设置...................................................................................51
5.3.1、转发URL过滤请求到外置URL过滤服务器.....................................................51
5.3.2、使用内置的URL过滤引擎进行URL过滤.........................................................53
5.3.3、手动添加过滤项............................................................................................54
5.4、深层检测功能的设置............................................................................................58
5.4.1、设置DI***特征库自动更新..........................................................................58
5.4.2、深层检测(DI)的引用..................................................................................59
6、JUNIPER防火墙的HA(高可用性)配置...................................................................61
6.1、使用WEB浏览器方式配置....................................................................................62
6.2、使用命令行方式配置............................................................................................64
7、JUNIPER防火墙一些实用工具...................................................................................65
7.1、防火墙配置文件的导出和导入.............................................................................65
7.1.1、配置文件的导出............................................................................................66
7.1.2、配置文件的导入............................................................................................66
7.2、防火墙软件(SCREENOS)更新..........................................................................67
7.3、防火墙恢复密码及出厂配置的方法......................................................................68
8、JUNIPER防火墙的一些概念......................................................................................68
关于本手册的使用:
①
本手册更多的从实际使用的角度去编写,如果涉及到的一些概念上的东西表述不够透彻、清晰,请使用者自行去找一些资料查证;
②
本手册在编写的过程中对需要使用者特别注的地方,都有“注”标识,请大家仔细阅读相关内容;对于粗体、红、蓝色标注的地方也需要多注意;
③
本着技术共享的原则,我们编写了该手册,希望对在销售、使用Juniper防火墙的相应技术人员有所帮助,大家在使用过程中有任何建议可反馈到:[email protected];[email protected];
④
本手册归“联强国际(香港)有限公司”所有,严禁盗版。
JUNIPER 防火墙快速安装手册
第 4 页 共 70 页
1、前言
我们制作本安装手册的目的是使初次接触Juniper网络安全防火墙设备(在本安装手册中简称为“Juniper防火墙”)的工程技术人员,可以通过此安装手册完成对Juniper防火墙基本功能的实现和应用。
1.1、Juniper防火墙配置概述
Juniper防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求;但是由于部署模式及功能的多样性使得Juniper防火墙在实际部署时具有一定的复杂性。
在配置Juniper防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对Juniper防火墙进行配置和管理。
基本配置:
1.
确认防火墙的部署模式:NAT模式、路由模式、或者透明模式;
2.
为防火墙的端口配置IP地址(包括防火墙的管理IP地址),配置路由信息;
3.
配置访问控制策略,完成基本配置。
其它配置:
1.
配置基于端口和基于地址的映射;
2.
配置基于策略的×××;
3.
修改防火墙默认的用户名、密码以及管理端口。
1.2、Juniper防火墙管理配置的基本信息
Juniper防火墙常用管理方式:
①
通过Web浏览器方式管理。推荐使用IE浏览器进行登录管理,需要知道防火墙对应端口的管理IP地址;
②
命令行方式。支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接两种命令行登录管理模式。
JUNIPER 防火墙快速安装手册
第 5 页 共 70 页
Juniper防火墙缺省管理端口和IP地址:
①
Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理。缺省IP地址为:192.168.1.1/255.255.255.0;
②
缺省IP地址通常设置在防火墙的Trust端口上(NS-5GT)、最小端口编号的物理端口上(NS-25/50/204/208/SSG系列)、或者专用的管理端口上(ISG-1000/2000,NS-5200/5400)。
Juniper防火墙缺省登录管理账号:
①
用户名:netscreen;
②
密 码:netscreen。
1.3、Juniper防火墙的常用功能
在一般情况下,防火墙设备的常用功能包括:透明模式的部署、NAT/路由模式的部署、NAT的应用、MIP的应用、DIP的应用、VIP的应用、基于策略×××的应用。
本安装手册将分别对以上防火墙的配置及功能的实现加以说明。
注:在对MIP/DIP/VIP等Juniper防火墙的一些基本概念不甚了解的情况下,请先到本手册最后一章节内容查看了解!
JUNIPER 防火墙快速安装手册
2、Juniper防火墙三种部署模式及基本配置
Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:
①
基于TCP/IP协议三层的NAT模式;
②
基于TCP/IP协议三层的路由模式;
③
基于二层协议的透明模式。
2.1、NAT模式
当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往 Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源 IP 地址和源端口号。
防火墙使用 Untrust 区(外网或者公网)接口的 IP 地址替换始发端主机的源 IP 地址;同时使用由防火墙生成的任意端口号替换源端口号。
第 6 页 共 70 页
JUNIPER 防火墙快速安装手册
NAT模式应用的环境特征:
①
注册IP地址(公网IP地址)的数量不足;
②
内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet;
③
内部网络中有需要外显并对外提供服务的服务器。
2.2、Route-路由模式
当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变(除非明确采用了地址翻译策略)。
①
与NAT模式下不同,防火墙接口都处于路由模式时,防火墙不会自动实施地址翻译;
②
与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。
路由模式应用的环境特征:
①
防火墙完全在内网中部署应用;
②
NAT模式下的所有环境; 第 7 页 共 70 页
JUNIPER 防火墙快速安装手册
③
需要复杂的地址翻译。
2.3、透明模式
当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改 IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的。
透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点:
①
不需要修改现有网络规划及配置;
②
不需要实施 地址翻译;
③
可以允许动态路由协议、Vlan trunking的数据包通过。
2.4、基于向导方式的NAT/Route模式下的基本配置
Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web浏览器
第 8 页 共 70 页
JUNIPER 防火墙快速安装手册
第 9 页 共 70 页
配置向导完成。
注:要启动配置向导,则必须保证防火墙设备处于出厂状态。例如:新的从未被调试过的设备,或者经过命令行恢复为出厂状态的防火墙设备。
通过Web浏览器登录处于出厂状态的防火墙时,防火墙的缺省管理参数如下:
①
缺省IP:192.168.1.1/255.255.255.0;
②
缺省用户名/密码:netscreen/ netscreen;
注:缺省管理IP地址所在端口参见在前言部份讲述的“Juniper防火墙缺省管理端口和IP地址”中查找!!
在配置向导实现防火墙应用的同时,我们先虚拟一个防火墙设备的部署环境,之后,根据这个环境对防火墙设备进行配置。
防火墙配置规划:
①
防火墙部署在网络的Internet出口位置,内部网络使用的IP地址为192.168.1.0/255.255.255.0所在的网段,内部网络计算机的网关地址为防火墙内网端口的IP地址:192.168.1.1;
②
防火墙外网接口IP地址(通常情况下为公网IP地址,在这里我们使用私网IP地址模拟公网IP地址)为:10.10.10.1/255.255.255.0,网关地址为:10.10.10.251
要求:
实现内部访问Internet的应用。
注:在进行防火墙设备配置前,要求正确连接防火墙的物理链路;调试用的计算机连接到防火墙的内网端口上。
1.
通过IE或与IE兼容的浏览器(推荐应用微软IE浏览器)使用防火墙缺省IP地址登录防火墙(建议:保持登录防火墙的计算机与防火墙对应接口处于相同网段,直接相连)。
JUNIPER 防火墙快速安装手册
2.
使用缺省IP登录之后,出现安装向导:
注:对于熟悉Juniper防火墙配置的工程师,可以跳过该配置向导,直接点选:No,skip the wizard and go straight to the WebUI management session instead,之后选择Next,直接登录防火墙设备的管理界面。
3.
使用向导配置防火墙,请直接选择:Next,弹出下面的界面:
JUNIPER 防火墙快速安装手册
4.
“欢迎使用配置向导”,再选择Next。 第 11 页 共 70 页
JUNIPER 防火墙快速安装手册
注:进入登录用户名和密码的修改页面,Juniper防火墙的登录用户名和密码是可以更改的,这个用户名和密码的界面修改的是防火墙设备上的根用户,这个用户对于防火墙设备来说具有最高的权限,需要认真考虑和仔细配置,保存好修改后的用户名和密码。
5.
在完成防火墙的登录用户名和密码的设置之后,出现了一个比较关键的选择,这个选择决定了防火墙设备是工作在路由模式还是工作在NAT模式:
选择Enable NAT,则防火墙工作在NAT模式;
不选择Enable NAT,则防火墙工作在路由模式。
6.
防火墙设备工作模式选择,选择:Trust-Untrust Mode模式。这种模式是应用最多的模式,防火墙可以被看作是只有一进一出的部署模式。 第 12 页 共 70 页
JUNIPER 防火墙快速安装手册
注:NS-5GT防火墙作为低端设备,为了能够增加低端产品应用的多样性,Juniper在NS-5GT的OS中独立开发了几种不同的模式应用于不同的环境。目前,除NS-5GT以外,Juniper其他系列防火墙不存在另外两种模式的选择。
7.
完成了模式选择,点击“Next”进行防火墙外网端口IP配置。外网端口IP配置有三个选项分别是:DHCP自动获取IP地址;通过PPPoE拨号获得IP地址;手工设置静态IP地址,并配置子网掩码和网关IP地址。 第 13 页 共 70 页
JUNIPER 防火墙快速安装手册
在这里,我们选择的是使用静态IP地址的方式,配置外网端口IP地址为:10.10.10.1/255.255.255.0,网关地址为:10.10.10.251。
8.
完成外网端口的IP地址配置之后,点击“Next”进行防火墙内网端口IP配置: 第 14 页 共 70 页
JUNIPER 防火墙快速安装手册
9.
在完成了上述的配置之后,防火墙的基本配置就完成了,点击“Next”进行DHCP服务器配置。
注:DHCP服务器配置在需要防火墙在网络中充当DHCP服务器的时候才需要配置。否则请选择“NO”跳过。
注:上面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能,由防火墙设备给内部计算机用户自动分配IP地址,分配的地址段为:192.168.1.100-192.168.1.150一共51个IP地址,在分配IP地址的同时,防火墙设备也给计算机用户分配了DNS服务器地址,DNS用于对域名进行解析,如:将WWW.SINA.COM.CN解析为IP地址:202.108.33.32。如果计算机不能获得或设置DNS服务器地址,无法访问互联网。
10.
完成DHCP服务器选项设置,点击“Next”会弹出之前设置的汇总信息: 第 15 页 共 70 页
11.
确认配置没有问题,点击“Next”会弹出提示“Finish”配置对话框: 第 16 页 共 70 页
JUNIPER 防火墙快速安装手册
在该界面中,点选:Finish之后,该Web页面会被关闭,配置完成。
此时防火墙对来自内网到外网的访问启用基于端口地址的NAT,同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略:
策略:策略方向由Trust到Untrust,源地址:ANY,目标地址:ANY,网络服务内容:ANY;
策略作用:允许来自内网的任意IP地址穿过防火墙访问外网的任意地址。
重新开启一个IE页面,并在地址栏中输入防火墙的内网端口地址,确定后,出现下图中的登录界面。输入正确的用户名和密码,登录到防火墙之后,可以对防火墙的现有配置进行修改。
上述就是使用Web浏览器通过配置向导完成的防火墙NAT或路由模式的应用。
导,可以在不熟悉防火墙设备的情况下,配置简单环境的防火墙应用。
基于非向导方式的NAT和Route模式的配置建议首先使用命令行开始,
方式连接防火墙,这个管理方式不受接口IP地址的影响。 注:在设备缺省的情况下,防火墙的信任区(Trust Z
的
注:NS-5GT设备的物理
请
①
Unset interface trust ip (清除防火墙内网端口的IP地址);
②
Set interface trust zone trust(将内网端口分配到trust zone); ③ Set interface trust ip 1
后
再定义IP地址);
④
Set interface untrust zone untrust(将外网口分配到untrust zone)
⑥
Set route 0.0.0.0
⑦
Set policy from trust to untrust any any any permit log(定义一条由内网到外网的访问策略。策略的方向是:由zone trust 到 zone untrust, 源地址为:any,目标地址为:any,网络服务为:any,策略动作为:permit允许,log:开启日志记录);
⑧
Save (保存上述的配置文件)。
2.5.2、NS-25-208 NAT/Route模式下的基本配置
①
Unset interface ethernet1 ip(清除防火墙内网口缺省IP地址);
②
Set interface ethernet1 zone trust(将ethernet1端口分配到trust zone);
③
Set interface ethernet1 ip 192.168.1.1/24(定义ethernet1端口的IP地址);
④
Set interface ethernet3 zone untrust(将ethernet3端口分配到untrust zone);
⑤
Set interface ethernet3 ip 10.10.10.1/24(定义ethernet3端口的IP地址);
⑥
Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251(定义防火墙对外的缺省路由网关);
⑦
Set policy from trust to untrust any any any permit log(定义由内网到外网的访问控制策略);
⑧
Save (保存上述的配置文件)
注:上述是在命令行的方式上实现的NAT模式的配置,因为防火墙出厂时在内网端口(trust zone所属的端口)上启用了NAT,所以一般不用特别设置,但是其它的端口则工作在路由模式下,例如:untrust和DMZ区的端口。
如果需要将端口从路由模式修改为NAT模式,则可以按照如下的命令行进行修改:
①
Set interface ethernet2 NAT (设置端口2为NAT模式)
②
Save
总结:
①
NAT/Route模式做防火墙部署的主要模式,通常是在一台防火墙上两种模式混合进行(除非防火墙完全是在内网应用部署,不需要做NAT-地址转换,这种情况下防火墙所有端口都处于Route模式,防火墙首先作为一台路由器进行部署);
②
关于配置举例,NS-5GT由于设备设计上的特殊性,因此专门列举加以说明;Juniper在2006年全新推出的SSG系列防火墙,除了端口命名不一样,和NS-25等设备管理配置方式一样。
2.6、基于非向导方式的透明模式下的基本配置
实现透明模式配置建议采用命令行的方式,因为采用Web的方式实现时相对命令行的方式麻烦。通过控制台连接防火墙的控制口,登录命令行管理界面,通过如下命令及步骤进行二层透明模式的配置:
①
Unset interface ethernet1 ip(将以太网1端口上的默认IP地址删除);
②
Set interface ethernet1 zone v1-trust(将以太网1端口分配到v1-trust zone:基于二层的安全区,端口设置为该安全区后,则端口工作在二层模式,并且不能在该端口上配置IP地址);
③
Set interface ethernet2 zone v1-dmz(将以太网2端口分配到v1-dmz zone);
④
Set interface ethernet3 zone v1-untrust(将以太网3端口分配到v1-untrust zone);
⑤
Set interface vlan1 ip 192.168.1.1/24(设置VLAN1的IP地址为:192.168.1.1/255.255.255.0,该地址作为防火墙管理IP地址使用);
⑥
Set policy from v1-trust to v1-untrust any any any permit log(设置一条由内网到外网的访问策略);
⑦
Save(保存当前的配置);
总结:
①
带有V1-字样的zone为基于透明模式的安全区,在进行透明模式的应用时,至少要保证两个端口的安全区工作在二层模式;
②
虽然Juniper防火墙可以在某些特殊版本工作在混合模式下(二层模式和三层模式的混合应用),但是通常情况下,建议尽量使防火墙工作在一种模式下(三层模式可以混用:NAT和路由)。
3、Juniper防火墙几种常用功能的配置
这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。
3.1、MIP的配置
MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址
JUNIPER 防火墙快速安装手册
之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。
MIP应用的网络拓扑图:
注:MIP配置在防火墙的外网端口(连接Internet的端口)。
3.1.1、使用Web浏览器方式配置MIP
①
登录防火墙,将防火墙部署为三层模式(NAT或路由模式);
②
定义MIP:Network=>Interface=>ethernet2=>MIP,配置实现MIP的地址映射。Mapped IP:公网IP地址,Host IP:内网服务器IP地址 第 22 页 共 70 页
③
定义策略:在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。 第 23 页 共 70 页
3.1.2、使用命令行方式配置MIP
①
配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
②
定义MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr
③
定义策略
set policy from untrust to trust any mip(1.1.1.5) http permit
save
3.2、VIP的配置
MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。
JUNIPER 防火墙快速安装手册
VIP应用的拓扑图:
注:VIP配置在防火墙的外网连接端口上(连接Internet的端口)。
3.2.1、使用Web浏览器方式配置VIP
①
登录防火墙,配置防火墙为三层部署模式。
②
添加VIP:Network=>Interface=>ethernet8=>VIP
③
添加与该VIP公网地址相关的访问控制策略。 第 25 页 共 70 页
3.2.2、使用命令行方式配置VIP
①
配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
②
定义VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
③
定义策略
set policy from untrust to trust any vip(1.1.1.10) http permit
save
注:VIP的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。
JUNIPER 防火墙快速安装手册
3.3、DIP的配置
DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址。
DIP应用的网络拓扑图:
3.3.1、使用Web浏览器方式配置DIP
①
登录防火墙设备,配置防火墙为三层部署模式;
②
定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口定义IP地址池; 第 27 页 共 70 页
③
定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中,启用源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置;
策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT。
3.3.2、使用命令行方式配置DIP
①
配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
②
定义DIP
set interface ethernet3 dip 5 1.1.1.30 1.1.1.30
③
定义策略
set policy from trust to untrust any any http nat src dip-id 5 permit
save
4、Juniper防火墙IPSec ×××的配置
Juniper所有系列防火墙(除部分早期型号外)都支持IPSec ×××,其配置方式有多种,包括:基于策略的×××、基于路由的×××、集中星形×××和背靠背×××等。在这里,我们主要介绍最常用的×××模式:基于策略的×××。
站点间(Site-to-Site)的×××是IPSec ×××的典型应用,这里我们介绍两种站点间基于策略×××的实现方式:站点两端都具备静态公网IP地址;站点两端其中一端具备静态公网IP地址,另一端动态公网IP地址。
4.1、站点间IPSec ×××配置:staic ip-to-staic ip
当创建站点两端都具备静态IP的×××应用中,位于两端的防火墙上的×××配置基本相同,不同之处是在××× gateway部分的×××网关指向IP不同,其它部分相同。
JUNIPER 防火墙快速安装手册
×××组网拓扑图:staic ip-to-staic ip
4.1.1、使用Web浏览器方式配置
①
登录防火墙设备,配置防火墙为三层部署模式;
②
定义×××第一阶段的相关配置:×××s=>Autokey Adwanced=>Gateway
配置××× gateway部分,定义×××网关名称、定义“对端×××设备的公网IP地址”
为本地×××设备的网关地址、定义预共享密钥、选择发起×××服务的物理端口;
第 30 页 共 70 页
③
在××× gateway的高级(Advanced)部分,定义相关的×××隧道协商的加密算法、选择×××的发起模式;
④
配置×××第一阶段完成显示列表如下图;
第 31 页 共 70 页
⑤
定义×××第二阶段的相关配置:×××s=>Autokey IKE
在Autokey IKE部分,选择第一阶段的×××配置;
⑥
在×××第二阶段高级(Advances)部分,选择×××的加密算法;
第 32 页 共 70 页
⑦
配置×××第二阶段完成显示列表如下图;
⑧
定义×××策略,选择地址和服务信息,策略动作选择为:隧道模式;×××隧道选择为:刚刚定义的隧道,选择自动设置为双向策略; 第 33 页 共 70 页
4.1.2、使用命令行方式配置
CLI ( 东京)
①
配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
②
定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
③
定义地址
set address trust Trust_LAN 10.1.1.0/24
set address untrust paris_office 10.2.2.0/24
④
定义IPSec ×××
set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshare
h1p8A24nG5 proposal pre-g2-3des-sha
JUNIPER 防火墙快速安装手册
第 35 页 共 70 页
set *** tokyo_paris gateway to_paris sec-level compatible
⑤
定义策略
set policy top name "To/From Paris" from trust to untrust Trust_LAN paris_office
any tunnel *** tokyo_paris
set policy top name "To/From Paris" from untrust to trust paris_office Trust_LAN
any tunnel *** tokyo_paris
save
CLI ( 巴黎)
①
定义接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
②
定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
③
定义地址
set address trust Trust_LAN 10.2.2.0/24
set address untrust tokyo_office 10.1.1.0/24
④
定义IPSec ×××
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshare
h1p8A24nG5 proposal pre-g2-3des-sha
set *** paris_tokyo gateway to_tokyo sec-level compatible
⑤
定义策略
set policy top name "To/From Tokyo" from trust to untrust Trust_LAN tokyo_office
any tunnel *** paris_tokyo
set policy top name "To/From Tokyo" from untrust to trust tokyo_office Trust_LAN
any tunnel *** paris_tokyo
save
4.2、站点间IPSec ×××配置:staic ip-to-dynamic ip
在站点间IPSec ×××应用中,有一种特殊的应用,即在站点两端的设备中,一端拥有静态的公网IP地址,而另外一端只有动态的公网IP地址,以下讲述的案例是在这种情况下,Juniper防火墙如何建立IPSec ×××隧道。
基本原则:
在这种IPSec ×××组网应用中,拥有静态公网IP地址的一端作为被访问端出现,拥有动态公网IP地址的一端作为×××隧道协商的发起端。
和站点两端都具备静态IP地址的配置的不同之处在于×××第一阶段的相关配置,在主动发起端(只有动态公网IP地址一端)需要指定×××网关地址,需配置一个本地ID,配置×××发起模式为:主动模式;在站点另外一端(拥有静态公网IP地址一端)需要指定×××网关地址为对端设备的ID信息,不需要配置本地ID,其它部分相同。
IPSec ×××组网拓扑图:staic ip-to-dynamic ip
第 36 页 共 70 页
JUNIPER 防火墙快速安装手册
4.2.1、使用Web浏览器方式配置
①
×××第一阶段的配置:动态公网IP地址端。
×××的发起必须由本端开始,动态地址端可以确定对端防火墙的IP地址,因此在×××
阶段一的配置中,需指定对端×××设备的静态IP地址。同时,在本端设置一个Local
ID,提供给对端作为识别信息使用。
②
×××第一阶段的高级配置:动态公网IP地址端。
在×××阶段一的高级配置中动态公网IP一端的×××的发起模式应该配置为:主动
模式(Aggressive) 第 37 页 共 70 页
③
×××第一阶段的配置:静态公网IP地址端。
在拥有静态公网IP地址的防火墙一端,在×××阶段一的配置中,需要按照如下图所
示的配置:“Remote Gateway Type”应该选择“Dynamic IP Address”,同时设置
Peer ID(和在动态IP地址一端设置的Local ID相同)。
第 38 页 共 70 页
④
×××第二阶段配置,和在”static ip-to-static ip”模式下相同。
⑤
×××的访问控制策略,和在”static ip-to-static ip”模式下相同。 第 39 页 共 70 页
4.2.1、使用命令行方式配置
CLI ( 设备-A)
①
定义接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 dhcp client
set interface ethernet3 dhcp client settings server 1.1.1.5
②
定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
③
定义用户
set user pmason password Nd4syst4
④
定义地址
set address trust "trusted network" 10.1.1.0/24
set address untrust "mail server" 3.3.3.5/32
第 40 页 共 70 页
第 41 页 共 70 页
⑤
定义服务
set service ident protocol tcp src-port 0-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add http
set group service remote_mail add ftp
set group service remote_mail add telnet
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
⑥
定义×××
set ike gateway to_mail address 2.2.2.2 aggressive local-id [email protected]
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set *** branch_corp gateway to_mail sec-level compatible
⑦
定义策略
set policy top from trust to untrust "trusted network" "mail server" remote_mail
tunnel *** branch_corp auth server Local user pmason
set policy top from untrust to trust "mail server" "trusted network" remote_mail
tunnel *** branch_corp
save
CLI ( 设备-B)
①
定义接口参数
set interface ethernet2 zone dmz
set interface ethernet2 ip 3.3.3.3/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
②
路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
③
定义地址
set address dmz "mail server" 3.3.3.5/32
第 42 页 共 70 页
set address untrust "branch office" 10.1.1.0/24
④
定义服务
set service ident protocol tcp src-port 0-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
⑤
定义×××
set ike gateway to_branch dynamic [email protected] aggressive
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set *** corp_branch gateway to_branch tunnel sec-level compatible
⑥
定义策略
set policy top from dmz to untrust "mail server" "branch office" remote_mail
tunnel *** corp_branch
set policy top from untrust to dmz "branch office" "mail server" remote_mail
tunnel *** corp_branch
save
5、Juniper中低端防火墙的UTM功能配置
Juniper中低端防火墙(目前主要以SSG系列防火墙为参考)支持非常广泛的***防护及内容安全功能,主要包括:防病毒(Anti-Virus)、防垃圾邮件(Anti-Spam)、URL过滤(URL filtering)以及深层检测/***防御(Deep Inspection/IPS)。
注:上述的安全/防护功能集成在防火墙的ScreenOS操作系统中,但是必须通过license(许可)激活后方可使用(并会在激活一段时间(通常是1年)后过期)。当然在使用这些功能的时候,我们还需要设定好防火墙的时钟以及DNS服务器地址。
JUNIPER 防火墙快速安装手册
当防火墙激活了相应的安全/防护功能以后,通过WebUI可以发现,Screening条目下会增加相应的功能条目,如下图:
5.1、防病毒功能的设置
Juniper防火墙的防病毒引擎(从ScreenOS5.3开始内嵌Kaspersky的防病毒引擎)可以针对HTTP、FTP、POP3、IMAP以及SMTP等协议进行工作。
5.1.1、Scan Manager的设置
第 43 页 共 70 页
“Pattern Update Server”项中的URL地址为Juniper防火墙病毒特征库的官方下载网址(当系统激活了防病毒功能后,该网址会自动出现)。
“Auto Pattern Update”项允许防火墙自动更新病毒特征库;后面的“Interval”项可以指定自动更新的频率。
“Update Now”项可以执行手动的病毒特征库升级。
“Drop/Bypass file if its size exceeds KB”项用来控制可扫表/传输的文件大小。“Drop”项会在超过限额后,扔掉文件而不做扫描;“Bypass”项则会放行文件而不做扫描。
“Drop//Bypass file if the number of concurrent files exceeds files”项用控制同时扫描/传输的文件数量。“Drop”项会在超过限额后,扔掉文件而不做扫描;“Bypass”项则会放行文件而不做扫描。
5.1.2、Profile的设置
通过设置不同的Profile,我们可以对不同的安全策略(Policy)采用不同的防病毒操作(Juniper防火墙的防病毒引用是基于安全策略的;也就是说我们的防病毒设置是通过在特定的策略中引入特定的Profile来实现的。),进而实现高粒度化地防病毒控制,将防病毒对系统资源的消耗降到最低。
JUNIPER 防火墙快速安装手册
ns-profile是系统自带的profile。用户不需要做任何设置,就可以在安全策略里直接引用它。
除此之外,用户可以根据自己的需求来设置适合自身需求的profile。Profile方面的设置包括对FTP、HTTP、IMAP、POP3以及SMTP等5个协议的内容,见下图。
JUNIPER 防火墙快速安装手册第 46 页 共 70 页
Enable选项
每个特定的协议类型,都有一个Enable选项。选择之,则防病毒引擎会检查与这个协议相关的流量;反之,则不会检查。
Scan Mode的设置
Scan Mode有三个选择项:Scan All、Scan Intelligent、Scan By Extension。
Scan All:对于流量,检查所有已知的特征码。
Scan Intelligent:对于流量,检查比较常见的特征码。
Scan By Extension:仅针对特定的文件扩展名类型进行检查。如果选择该类型,则须要事先设定好Ext-List(设置文件扩展名的类型)与Include/Exclude Extension List。
Decompress Layer的设置
为了减少传输的时间,很多文件在传输过程中都会被压缩。Decompress Layer就是用来设置防病毒引擎扫描压缩文件的层数。防病毒引擎最多可以支持对4层压缩文件的扫描。
Skipmime Enable的设置
对于HTTP协议,可以进行Skipmime Enable的设置。打开该功能,则防病毒引擎不扫描Mime List中包括的文件类型(系统默认打开该功能,并匹配默认的Mime List:ns-skip-mime-list)。
Email Notify的设置
对于IMAP、POP3、SMTP等email协议,可以记性Email Nortify的设置。打开该功能,可以在发现病毒/异常后,发送email来通知用户(病毒发送者/邮件发送方/邮件接收方)。
5.1.3、防病毒profile在安全策略中的引用
我们前面已经提到过,防病毒的实现是通过在特定安全策略中应用profile来实现的。比如,我们在名为ftp-scan的策略中引用av1的防病毒profile。
①
首先建立了名为av1的profile,并enable FTP协议的扫描;由于我仅希望检测的是FTP应用,故关闭对其他协议的扫描。见下图:
JUNIPER 防火墙快速安装手册
②
设置ftp-scan安全策略,并引用profile av1。
JUNIPER 防火墙快速安装手册
③
引用了profile进行病毒扫描的策略,在action栏会有相应的图标出现。
5.2、防垃圾邮件功能的设置
Juniper防火墙内嵌的防垃圾邮件引擎,可以帮助企业用户来减轻收到垃圾邮件的困扰。
Juniper的防垃圾邮件功能主要是通过公共防垃圾邮件服务器来实现的。公共的防垃圾邮件
服务器会实时地更新防垃圾邮件的库,做到最大范围、最小误判的防垃圾功能。到ScreenOS5.4为止,juniper的防垃圾邮件引擎只支持SMTP协议。
Juniper防垃圾邮件通过两种方式来检测垃圾邮件:1.通过公共防垃圾邮件服务器的5.2.1、Action 设置
SBL Default Enable项选中后,防火墙使用公共防垃圾服务器来判别垃圾邮件。默认为打开。
Actions项用来指定对垃圾邮件的处理方法:Tag on Subject(在邮件标题栏标注信息,指
明该邮件为垃圾邮件;不丢弃邮件);Tag on Header(在邮件内容的头部标注信息,指明
该邮件为垃圾邮件;不丢弃邮件);Drop(直接丢弃查找到的垃圾邮件)
5.2.2、White List与Black List的设置
通过防火墙自定义white list和black list。比如在White List > White List Content栏输入www.sina.com.cn,则防火墙在检查到与这个网址相关的邮件,都会认为是可信任邮件,直接放行。
JUNIPER 防火墙快速安装手册
比如在Black List >Black List Content栏输入www.baidu.com,则防火墙在检测到这个网址有关的邮件时,都会判定为垃圾邮件。
JUNIPER 防火墙快速安装手册
5.2.3、防垃圾邮件功能的引用
最后,我们只要在安全策略里面引用防垃圾邮件功能,就可以对邮件进行检测了。Antispam enable项只要勾选,就开启了防垃圾邮件功能,如下图所示。
5.3、WEB/URL过滤功能的设置
Juniper可通过两种方式来提供URL过滤功能。一种是通过转发流量给外部的URL过滤服务器来实现(支持SurfControl和Websense两个产品);一种是通过内置的SurfControl URL过滤引擎来提供URL过滤。
5.3.1、转发URL过滤请求到外置URL过滤服务器
如果采用第一种方式的话,首先防火墙必须能够访问到本地的提供URL过滤的服务器(SurfControl或者Websense)。然后通过以下项的设置来完成该功能的启用。
①
在Web Filtering > Protocol Selection条目下,选择需要Redirect按钮(SurfControl或者Websense)。
第 51 页 共 70 页
②
打开Web Filtering选项的Websense/SurfControl的条目:
Enable Web Filtering项设置为勾选,则Web Filtering功能打开。
JUNIPER 防火墙快速安装手册
Source Interface项用来选择与URL过滤服务器相连的接口(如果不选,则采用Default)。
Server Name项填入URL过滤服务器的地址。
Server Port项填入与服务器端口通讯的端口(默认为15868)。
If connectivity to the server is lost,Block/Permit all HTTP requests项用来决定如果与服务器连接丢失以后,防火墙采取什么措施。选择Block项,则与服务器失去联系后,阻断所有HTTP请求;选择Permit项,则放行所有HTTP请求。
5.3.2、使用内置的URL过滤引擎进行URL过滤
如果使用Juniper防火墙自带的SurfControl引擎来过滤URL,可以通过以下操作来完成。
①
在Web Filtering > Protocol Selection条目下,选择需要Integrated按钮(SurfControl或者Websense)。
②
打开Web Filtering选项的SC-CPA的条目:
第 53 页 共 70 页
Enable Web Filtering via CPA Server项勾选。
Server Name项选择地区(比如我们处于亚洲,则选择Asia Pacific)。
Host项会根据Server Name自动填充域名(比如前面选择了Asia Pacific,则会出现Asiai.SurfCPA.com)。
Port项与服务器端口通讯的端口(默认为9020)。
If connectivity to the server is lost,Block/Permit all HTTP requests项用来决定如果与服务器连接丢失以后,防火墙采取什么措施。选择Block项,则与服务器失去联系后,阻断所有HTTP请求;选择Permit项,则放行所有HTTP请求。
5.3.3、手动添加过滤项
下面以实例的方式来讲解手动添加过滤项的操作过程。我们假设要禁止访问www.sina.com的访问。
①
首先,我们建立一个自己的过滤组(category),名字为news。在Screening > WEB Filtering > Categories > Custom > Edit下:
JUNIPER 防火墙快速安装手册
②
其次,我们建议一个新的Profile,取名叫justfortest:Screening > WEB Filtering > Profiles > Custom > Edit
第 55 页 共 70 页
Black List项中可以选择预定义或者自定义的过滤组(category)。进入Black List的组的网址将无条件禁止访问。
White List项中可以选择预定义或者自定义的过滤组(category)。进入White List的组的网址将无条件允许访问。
Default Action项可以选择Permit或者Deny。选择Permit,则没有匹配Black List/White List/手动设定过滤项的网址,将被允许访问;Deny则反之。
Subscribers identified by项
Category Name可选择我们想要过滤的组别(在例子中,我们选取之前建立的news)
Action可选择permit或者block(在本例中,我们选取block)
③
最后,我们在安全策略中引用URL过滤。
注:我们建立一条策略,然后在WEB Filtering项选择我们刚才建立的profile“justfortest”。
策略建立完以后,会在Options栏出现WWW的图标。 第 56 页 共 70 页
安全策略生效后,我们就无法访问新浪网站了,我们将看到Your page is blocked due to a security policy that prohibits access to category。如下图: 第 57 页 共 70 页
第 58 页 共 70 页
5.4、深层检测功能的设置
Juniper防火墙可以通过license激活的方式来实现软件级别的***检测防御功能,即深层检测功能(DI)。深层检测可以从L3、L4以及L7等多个层面进行恶意流量的检测及防护。
当我们将订购的DI许可导入防火墙以后,DI功能就开启了。然后我们通过一些简单的设置,就可以用DI来检测和防御网络恶意行为了。
Juniper深层检测模块目前支持的检测类型包括:(截止OS5.4)
■ AIM (AOL Instant Messenger)
■ DHCP (Dynamic Host Configuration Protocol)
■ DNS (Domain Name System)
■ FTP (File Transfer Protocol)
■ GNUTELLA (File Sharing Network Protocol)
■ GOPHER (Gopher Protocol)
■ HTTP (Hypertext Transfer Protocol)
■ ICMP (Internet Control Message Protocol)
■ IDENT (Identification Protocol)
■ IKE (Internet Key Exchange)
■ IMAP (Internet Message Access Protocol)
■ IRC (Internet Relay Chat Protocol)
■ LDAP (Lightweight Directory Access Protocol)
■ LPR (Line Printer)
■ MSN (Microsoft Messenger)
■ MSRPC (Microsoft Remote Procedure Call)
■ NBNAME (NetBIOS Name Service)
■ NFS (Network File Service)
■ NTP (Network Time Protocol)
■ POP3 (Post Office Protocol)
■ RADIUS (Remote Authentication Dial In User Service)
■ SMB (Server Message Block)
■ SMTP (Simple Mail Transfer Protocol)
■ SYSLOG (System Log)
■ TELNET (Terminal Emulation Protocol)
■ TFTP (Trivial File Transfer Protocol)
■ VNC (Virtual Network Computing, or Remote Frame Buffer Protocol)
■ WHOIS (Remote Directory Access Protocol)
■ YMSG (Yahoo Messenger)
除此之外,我们还可以通过手动的方式来自定义***类型(使用Juniper IDP设备来编写的话,会相对简便)。
5.4.1、设置DI***特征库自动更新
随着已知***的数目的日益增加,***特征库也在不断地扩大着。我们可以通过设置自动更
JUNIPER 防火墙快速安装手册
新的办法来让防火墙自动下载最新的***特征库。
我们可以通过Update的Attack Signature 下设置***特征库的自动更新。
Signature Pack项可以选择Base(一般情况下的***特征码集合)、Client(主要针对降低客户端上网风险的***特征码集合)、Server(主要针对保护服务器端的***特征码集合)、Worm Mitigation(主要针对蠕虫的***特征码集合)四种类型。
Database Server URL项填写着提供***特征库更新的服务器域名(系统会自动填充,一般不用自己填写)。
Update Mode项可以选择None(不自动更新)、Automatic Notification(有新的更新则发出通知)、Automatic Update(自动更新)。
Schedule at项可以选择At (更新的时间)、Daily(每日更新)、Weekly On (星期几更新)、Monthly On (几月份更新)。
Update Now项可以手动更新***特征库。
5.4.2、深层检测(DI)的引用
跟前面所讲的其他功能一样,我们同样是在安全策略中引用DI功能。 第 59 页 共 70 页
建立一条策略,然后点击在Action项旁边的Deep Inspection项,弹出配置框,如下图。
Severity项可以选择要防范的***的强度(从Critical到Info);
Group项用来选择***的具体组别(按照***的具体对象、协议、严重程度来分);
Action项用来选择检测到***后的处理方法:None、Ignore、Drop Packet、Drop、Close Client、Close Server、Close。
选择完以上项后则可以按ADD按钮添加到下面的***防护表中去。
JUNIPER 防火墙快速安装手册
完成了DI功能设置的安全策略的Action栏会变成一个放大镜的图标,如上图。
6、Juniper防火墙的HA(高可用性)配置
为了保证网络应用的高可用性,在部署Juniper防火墙过程中可以在需要保护的网络边缘同时部署两台相同型号的防火墙设备,实现HA的配置。Juniper防火墙提供了三种高可用性的应用配置模式:主备方式、主主方式和双主冗余方式。在这里,我们只对主备方式的配置进行说明。
防火墙HA网络拓扑图(主备模式): 第 61 页 共 70 页
6.1、使用Web浏览器方式配置
WebUI ( 设备-A)
①
接口
Network > Interfaces > Edit ( 对于 ethernet7): 输入以下内容,然后单击 OK:
Zone Name: HA
Network > Interfaces > Edit ( 对于 ethernet8): 输入以下内容,然后单击 OK:
Zone Name: HA
Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容,然后单击 OK:
Zone Name: Untrust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 210.1.1.1/24
Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容,然后单击
Apply:
Zone Name: Trust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 10.1.1.1/24
Manage IP: 10.1.1.20
输入以下内容,然后单击 OK:
Interface Mode: NAT
②
NSRP
Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 输入
以下内容,然后单击 Apply:
ethernet1: ( 选择); Weight: 255
ethernet3: ( 选择); Weight: 255
Network > NSRP > Synchronization: 选择 NSRP RTO Synchronization,然后
单击 Apply。
Network > NSRP > Cluster: 在 Cluster ID 字段中,键入 1,然后单击 Apply。
WebUI ( 设备-B)
①
接口
Network > Interfaces > Edit ( 对于 ethernet7): 输入以下内容,然后单击 OK:
Zone Name: HA
Network > Interfaces > Edit ( 对于 ethernet8): 输入以下内容,然后单击 OK:
Zone Name: HA
Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容,然后单击 OK:
Zone Name: Untrust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 210.1.1.1/24
Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容,然后单击
Apply:
Zone Name: Trust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 10.1.1.1/24
Manage IP: 10.1.1.21
输入以下内容,然后单击 OK:
Interface Mode: NAT
②
NSRP
Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 输入
以下内容,然后单击 Apply:
ethernet1: ( 选择); Weight: 255
ethernet3: ( 选择); Weight: 255
Network > NSRP > Synchronization: 选择 NSRP RTO Synchronization,然后
单击 Apply。
Network > NSRP > Cluster: 在 Cluster ID 字段中,键入 1,然后单击 Apply。
6.2、使用命令行方式配置
CLI ( 设备-A)
①
接口
set interface ethernet7 zone ha
set interface ethernet8 zone ha
set interface ethernet1 zone untrust
set interface ethernet1 ip 210.1.1.1/24
set interface ethernet3 zone trust
set interface ethernet3 ip 10.1.1.1/24
set interface ethernet3 manage-ip 10.1.1.20
set interface ethernet3 nat
②
NSRP
set nsrp rto-mirror sync
set nsrp monitor interface ethernet1
set nsrp monitor interface ethernet3
set nsrp cluster id 1
save
CLI ( 设备-B)
①
接口
set interface ethernet7 zone ha
set interface ethernet8 zone ha
set interface ethernet1 zone untrust
set interface ethernet1 ip 210.1.1.1/24
set interface ethernet3 zone trust
set interface ethernet3 ip 10.1.1.1/24
set interface ethernet3 manage-ip 10.1.1.21
set interface ethernet3 nat
②
NSRP
set nsrp rto-mirror sync
set nsrp monitor interface ethernet1
set nsrp monitor interface ethernet3
set nsrp cluster id 1
save
注:基于主主方式的HA应用的说明:详见《概念与范例 screenOS参考指南》可以在:www.juniper.net免费获得。
7、Juniper防火墙一些实用工具
7.1、防火墙配置文件的导出和导入
Juniper防火墙的配置文件的导入导出功能为用户提供了一个快速恢复当前配置的有效的手段。一旦用户不小心因为操作失误或设备损坏更换,都可以利用该功能,实现快速的防火墙配置的恢复,在最短的时间内恢复设备和网络正常工作。
JUNIPER 防火墙快速安装手册
7.1.1、配置文件的导出
配置文件的导出(WebUI):在Configuration > Update > Config File位置,点选:Save to file,将当前的防火墙设备的配置文件导出为一个无后缀名的可编辑文本文件。
配置文件的导出(CLI):ns208-> save config from flash to tftp 1.1.7.250 15Jun03.cfg
7.1.2、配置文件的导入
配置文件的导入(WebUI):在Configuration > Update > Config File位置,1、点选:Merge to Current Configuration,覆盖当前配置并保留不同之处;2、点选:Replace Current Configuration 替换当前配置文件。导入完成之后,防火墙设备会自动重新启动,读取新的配置文件并运行。 第 66 页 共 70 页
配置文件的导入(CLI):ns208-> save config from tftp 1.1.7.250 15June03.cfg to flash
或者ns208->save config from tftp 1.1.7.250 15June03.cfg merge
7.2、防火墙软件(ScreenOS)更新
关于ScreenOS:
Juniper防火墙的OS软件是可以升级的,一般每一到两个月会有一个新的OS版本发布,OS版本如:5.0.0R11.0,其中R前面的5.0.0是大版本号,这个版本号的变化代表着功能的变化;R后面的11.0是小版本号,这个号码的变化代表着BUG的完善,因此一般建议,在大版本号确定的情况下,选择小版本号大的OS作为当前设备的OS。
关于OS升级注意事项:
升级OS需要一定的时间,根据设备性能的不同略有差异,一般情况下大约需要5分钟的时间。在升级的过程中,一定要保持电源的供应、网线连接的稳定,最好是将防火墙从网络中暂时取出,待OS升级完成后再将防火墙设备接入网络。
ScreenOS升级(WebUI):Configuration > Update > ScreenOS/Keys。
JUNIPER 防火墙快速安装手册
ScreenOS升级(CLI): ns208-> save software from tftp 1.1.7.250 newp_w_picpath to flash
7.3、防火墙恢复密码及出厂配置的方法
当防火墙密码遗失的情况下,我们只能将防火墙恢复到出厂配置,方法是:
①
记录下防火墙的序列号(又称Serial Number,在防火墙机身上面可找到);
②
使用控制线连接防火墙的Console端口并重起防火墙;
③
防火墙正常启动到登录界面,是用记录下来的序列号作为登录的用户名/密码,根据防火墙的提示恢复到出厂配置。
8、Juniper防火墙的一些概念
安全区(Security Zone):
Juniper 防火墙增加了全新的安全区域(Security Zone)的概念,安全区域是一个逻辑的结构,是多个处于相同属性区域的物理接口的集合。当不同安全区域之间相互通讯时,必须通过事先定义的策略检查才能通过;当在同一个安全区域进行通讯时,默认状态下允许不通过
JUNIPER 防火墙快速安装手册
策略检查,经过配置后也可以强制进行策略检查以提高安全性。
安全区域概念的出现,使防火墙的配置能更灵活同现有的网络结构相结合。以下图为例,通过实施安全区域的配置,内网的不同部门之间的通讯也必须通过策略的检查,进一步提高的系统的安全。
接口(Interface):
信息流可通过物理接口和子接口进出安全区(Security Zone)。为了使网络信息流能流入和流出安全区,必须将一个接口绑定到一个安全区,如果属于第3 层安全区,则需要给接口分配一个 IP地址。
虚拟路由器(Virtual Router):
Juniper防火墙支持虚拟路由器技术,在一个防火墙设备里,将原来单一路由方式下的单一路由表,进化为多个虚拟路由器以及相应的多张独立的路由表,提高了防火墙系统的安全性以及IP地址配置的灵活性。
安全策略(Policy):
Juniper防火墙在定义策略时,主要需要设定源IP地址、目的IP地址、网络服务以及防火墙
第 69 页 共 70 页
的动作。在设定网络服务时,Juniper防火墙已经内置预设了大量常见的网络服务类型,同时,也可以由客户自行定义网络服务。
在客户自行定义通过防火墙的服务时,需要选择网络服务的协议,是UDP、TCP还是其它,需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。因此,通过对网络服务的定义,以及IP地址的定义,使Juniper防火墙的策略细致程度大大加强,安全性也提高了。
除了定义上述这些主要参数以外,在策略中还可以定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。通过这些主要的安全元素和附加元素的控制,可以让系统管理员对进出防火墙的数据流量进行严格的访问控制,达到保护内网系统资源安全的目的。
映射IP(MIP):
MIP是从一个 IP 地址到另一个 IP 地址双向的一对一映射。当防火墙收到一个目标地址为 MIP 的内向数据流时,通过策略控制防火墙将数据转发至MIP 指向地址的主机;当MIP映射的主机发起出站数据流时,通过策略控制防火墙将该主机的源 IP 地址转换成 MIP 地址。
虚拟IP(VIP):
VIP是一个通过防火墙外网端口可用的公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且这些服务器是需要对外提供各种服务的。