2.3Juniper防火墙地址翻译

防火墙基本配置步骤
防火墙的基本配置分三个步骤：
1、配置接口的IP地址和接口模式。

2、配置默认路由！
3、配置允许策略，TRUST到UNTRUST的策略！
这个是接口栏的截图：单击EDIT即可进行编辑！这里需要编辑trust口和untrust口！
这是点击trust口的edit后进入的配置界面，您只要输入IP地址和掩码位即可！注意：Manage ip* 对应的空白框一定不要填入内容，截图里的是自动生成的！其他保持默认，单击下面的OK即可完成！
下图是点击untrust口的edit进入编辑，选择static ip ,填入IP地址和掩码位，这里的IP是公网IP地址，manage ip那依然保持空白，模式为route,然后在service options选项栏中，将web ui,telnet,ping；三处打勾，如图！
然后点击OK即可完成！
点击左栏的Destination选项即可出现路由界面：新建点击NEW即可！
下图为点击NEW后出现的画面：如图填入内容，ip address/netmask填入0.0.0.0/0,
Next hop处选择gateway，在interface 处的下拉菜单中选择出口，gateway ip address填入UNTRUST口IP地址的下一跳网关即可！其他默认单击OK完成！
trust,TO处选择untrust，然后点击NEW！
点击new后的配置界面，如图配置即可！source address,destination address,service三处都选择ANY，action选permit, 在logging处打勾，其他保持默认，点击OK即可！
下图为蓝影标出的这条策略就是如上图配置完成后看到的结果！。

Juniper防火墙简明实用手册（版本号：）目录1juniper中文参考手册重点章节导读版本：Juniper防火墙中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper 防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

1.1 第二卷：基本原理1.1.1第一章：ScreenOS 体系结构●安全区●安全区接口●策略1.1.2第二章：路由表和静态路由●配置静态路由1.1.3第三章：区段●安全区●配置安全区●功能区段：HA区段1.1.4第四章：接口●接口类型：安全区接口：物理●接口类型：安全区接口：功能区段接口●察看接口●配置安全区接口：将接口绑定到安全区、从安全区解除接口绑定、修改接口、跟踪IP地址●二级IP地址1.1.5第五章：接口模式●透明模式●NAT模式●路由模式1.1.6第六章：为策略构建块●地址：地址条目、地址组●服务：预定义的服务、定制服务●DIP池：端口地址转换、范例：创建带有PAT的DIP池、范例：修改DIP池、扩展接口和DIP●时间表1.1.7第七章：策略●三种类型的策略●策略定义●策略应用1.1.8第八章：地址转换●地址转换简介●源网络地址转换●目的网络地址转换●映射IP 地址●虚拟IP地址1.1.9第十一章：系统参数●下载/上传设置和固件●系统时钟1.2 第三卷：管理1.2.1第一章：管理●通过WEB 用户界面进行管理●通过命令行界面进行管理●管理的级别：根管理员、可读/ 写管理员、只读管理员、定义Admin用户●保证管理信息流的安全：更改端口号、更改Admin 登录名和密码、重置设备到出厂缺省设置、限制管理访问1.2.2监控NetScreen 设备●储存日志信息●事件日志●信息流日志●系统日志1.3 第八卷：高可用性1.3.1NSRP●NSRP 概述●NSRP 和NETSCREEN 的操作模式●NSRP集群●VSD组●同步1.3.2故障切换●设备故障切换(NSRP)●VSD 组故障切换(NSRP)●为设备或VSD 组故障切换配置对象监控2Juniper防火墙初始化配置和操纵对一台空配置的Juniper防火墙我们可以用两种方法去进行操纵：Console 控制台和WEB。

Juniper 防火墙v6.0以上版本 L2tpvpn (for XP Win7)配置图解防火墙端配置1、新建地址池Objects – IP Pools – NewIP Pool Name ：用户自定义名称Start IP ：用户自定义一段地址的起始地址End IP ：用户自定义一段地址的结束地址2、修改L2TP 默认设置VPNs – L2TP – Default Settings3、建立用户和组3.1 新建用户Objects – Users – Local -- New重复这个过程，建立多个用户3.2 新建用户组Objects – Users – Local Group -- New4、建立Vpn Tunnel建立tunnel前，先确定好用于拨入VPN的接口编号。

VPNs – L2TP – Tunnel -- New5、建立策略Policy – Policies – NewSource Address : 选择 Dial-UP VPNDestination Address : 选择 New Address ，填入你要访问的目的地址或目的地址段Service ：选择要访问的服务Action : 选择 tunnelL2TP ：选择新建的L2TP vpn tunnelLogging ：可选记录访问日志客户端配置1.1XP端配置1.1.1建立拨号网上邻居右键属性-点击新建连接向导图标点击完成，vpn拨号配置建立完，后面进行配置调整在新建的vpn连接上右键属性提示保留配置时选择Y1.1.2修改注册表点击开始—运行 --- 键入 regedit命令点击确定，进入注册表配置。

进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Paramete rs ，在右侧新建值命名为“ProhibitIpSec”注意大小写，数值为1修改完毕后重启计算机，进行vpn拨号测试用户名和密码栏中填入防火墙端配置的用户名和密码。

Juniper 防火墙的一些概念安全区（Security Zone）：Juniper 防火墙增加了全新的安全区域（Security Zone）的概念，安全区域是一个逻辑的结构，是多个处于相同属性区域的物理接口的集合。

当不同安全区域之间相互通讯时，必须通过事先定义的策略检查才能通过；当在同一个安全区域进行通讯时，默认状态下允许不通过策略检查，经过配置后也可以强制进行策略检查以提高安全性。

安全区域概念的出现，使防火墙的配置能更灵活同现有的网络结构相结合。

以下图为例，通过实施安全区域的配置，内网的不同部门之间的通讯也必须通过策略的检查，进一步提高的系统的安全。

接口（Interface）：信息流可通过物理接口和子接口进出安全区（Security Zone）。

为了使网络信息流能流入和流出安全区，必须将一个接口绑定到一个安全区，如果属于第3 层安全区，则需要给接口分配一个IP地址。

虚拟路由器（Virtual Router）：Juniper 防火墙支持虚拟路由器技术，在一个防火墙设备里，将原来单一路由方式下的单一路由表，进化为多个虚拟路由器以及相应的多张独立的路由表，提高了防火墙系统的安全性以及IP 地址配置的灵活性。

安全策略（Policy）：Juniper防火墙在定义策略时，主要需要设定源IP地址、目的IP地址、网络服务以及防火墙JUNIPER 防火墙快速安装手册的动作。

在设定网络服务时，Juniper 防火墙已经内置预设了大量常见的网络服务类型，同时，也可以由客户自行定义网络服务。

在客户自行定义通过防火墙的服务时，需要选择网络服务的协议，是UDP、TCP还是其它，需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。

因此，通过对网络服务的定义，以及IP地址的定义，使Juniper防火墙的策略细致程度大大加强，安全性也提高了。

除了定义上述这些主要参数以外，在策略中还可以定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。

#---表示翻译不一定准确*---表示常用命令>get ？Address show address book显示地址信息admin show admin information 显示管理员信息alarm show alarm info 显示报警信息alg application layer gateway information 应用层网关信息alg-portnum get ALG port num 获得ALG接口号码alias get alias definitions 得到别名定义arp show ARP entries 显示ARP记录asp aspattack show attacks 显示攻击信息auth show authentication information 显示登陆信息认证信息auth-server authentication server settings 认证服务器设置backu4p backup information 备份信息chassis show chassis information 显示机架信息（机架温度….）clock show system clock 显示系统时钟config show system configuration 显示系统配置信息console show console parameters 显示控制台参数设置counter show counters 显示计数器仪表di get deep inspection parameters 深入检测参数dialer get dialer information 得到拨号器信息dip show all dips in a vsys or root 显示所有dip里的虚拟系统或者根dip-in show incoming dip table info 显示进入DIP表的信息dns show dns info 显示DNS信息domain show domain name 显示域名dot1x display global configuration 显示全局配置driver show driver info 显示驱动信息envar show environment variables 显示环境变量信息event show event messages 显示事件消息file show file information 显示文件信息firewall show firewall protection information 显示防火墙保护信息gate show gate info 阀门信息显示global-pro global-pro settings 全局设置 #group show groups 显示组信息group-expression group expressions details 组的表达方式详细信息hostname show host name 显示主机名igmp IGMPike get IKE info 得到密钥信息infranet Infranet Controller configuration Infranet控制器配置interface show interfaces 显示接口信息ip get ip parameters 获得IP参数ip-classification Show IP classification 显示IP分类ippool get ippool info 得到IP地址池信息ipsec get ipsec information 得到安全协议的信息irdp show IRDP status 显示IRDP的状态地位l2tp get l2tp information 得到L2TP的信息license-key get license key info 得到许可证密钥信息log show log info 显示日志信息mac-learn show mac learning table 透明模式下显示MAC地址信息memory show memory info 显示内存信息mip show all mips in a vsys or root 显示所有MIP的虚拟系统或者根multicast-group-policy multicast group policy 多播组策略nrtp show nrtp information 显示NRTP信息nsmgmt show NSM agent status/configuration 显示NSM代理/配置状态nsrp show nsrp info 显示冗余协议信息ntp get ntp parameters 得到NTP参数os show task information 显示任务信息password-policy password policy 密码策略performance get performance info 获得性能信息pim show global PIM-SM information 显示全球sm信息 #pki show the pki settings 显示pki 设置参数policy show policy 显示策略信息ppp get PPP settings 得到PPP设置参数pppoe how pppoe configuration and statistics 如何配置和统计pppoe # proxy-id vpn proxy-id setting vpn 代理ID的设置信息rm show resource management info 显示资源管理信息route show routes in a vrouter 查看路由信息sa show security association 显示安全协议sa-filter config debug message per SA filter 过滤器 #scheduler show scheduler 显示虚拟机信息scp show SCP status 显示SCP 状态service show service book 显示服务目录session show all sessions 显示所有会话信息snmp show SNMP information 显示简单网络管理协议的信息snmpwalk snmp walk ？socket show socket info 显示插座信息ssh show SSH status 显示SSH 状态ssl show ssl info 显示ssl 信息syslog show syslog information 显示系统日志信息system show system info 显示系统信息tech-support show tech support information 显示技术支持信息timer show timer info 显示时钟计时器信息traffic-shaping show traffic shaping info 显示传输形成信息 #url show url filter information 显示 URL 过滤信息user show user 显示用户信息user-group user group settings 用户组设置vip show virtual IP info 显示虚拟IP信息vpn show vpn session 显示VPN会话信息vpn-group Keyword for showing vpn group setup vpn关键字组的设置vpnmonitor show vpn monitor parameters显示vpn监控参数vrouter show virtual router info 显示虚拟路由器信息webauth webauth settings webauth设置webtrends show webtrends information 显示电子商务信息xauth get xauth information 得到扩展认证的信息xlate show xlate ctx infozone configure zone 配置区域> ？Clear clear dynamic system info 清晰的动态系统信息Delete delete persistent info in flash 删除信息:在flash中持续exec exec system commands 执行系统命令exit exit command console 退出命令控制台get get system information 获得系统信息mtrace multicast traceroute from source to destination 多播traceroute从来源到目的地ping ping other hostreset reset system 重启系统save save command 保存命令set configure system parameters 配置系统参数命令trace-route trace route 跟踪路由到目的地址unset unconfigure system parameters 删除系统配置参数>clear ？admin clear admin information 清除的管理员信息alarm clear alarm infoalg application layer gateway information 应用层网关信息arp clear ARP entries in the current vsys 明确在当前vsys ARP条目auth clear user authentication table 清除用户认证表cluster cluster option 集群选择config clear config related setting 清除相关配置设定counter clear counters 清除接口计数器dbuf clear debug buffer 清除debug 缓冲器dhcp clear dhcp 清除dhcpdip-in clear incoming dip entries 清除进入dip条目dns clear dns cache table 清除dns缓存服务器dot1x clear info 清除信息event clear event messages 清除事件消息igmp IGMPike Clear IKE info 清除 IKE 信息ike-cookie clear ike cookieinterface clear interfaces 清除接口ippool clear ippool info 清除ip地址池信息ipsec get ipsec information 得到网际协议安全信息l2tp clear l2tp 清除 2层隧道协议log clear log info 清除日志信息mac-learn clear mac learning tablemulticast clear multicast informationnrtp clear nrtp resourcesnsrp clear nsrp infopppoe clear pppoe statisticssa clear sa ike valuesa-statistics clear statistics in security associationsession clear session tablesnmp clear snmptraffic-shaping clear traffic shaping paramtersvrouter clear vrouter param> delete ?Cluster cluster option 删除集群选择Crypto delete crypto info 删除密码信息file delete a file 删除一个文件node_secret clear SecurID stored node secret 清除存储节点SecurID秘密nsmgmt delete nsmgmt private/public keys 删除nsmgmt私人和公共钥匙pki delete a PKI object 删除一个PKI对象ssh delete SSH 删除 SSHccie-> exec ?admin exec ADMIN commands 执行管理员命令alg application layer gateway information 执行应用层网关信息attack-db perform attack database update or checking数据库进行更新或攻击的检查auth user authentication actions 用户身份认证的行为backup exec backup command 执行备份命令config config exec command 配置执行命令dhcp exec dhcp command执行dhcp命令dialer exec dialer commands 执行拨号器命令dns refresh all dns entries 刷新所有dns条目igmp IGMPike IKE exec commands 执行密钥命令infranet Infranet Confroller configurationinterface Interface configuration 执行接口配置license-key set feature configuration 设置功能配置log exec log commands 执行日志命令modem exec modem Hayes Command Set 执行的命令集现代海耶斯nsrp exec nsrp commandsntp exec ntp command执行nsrp命令password perform password verification 执行密码验证pki PKI exec commands 执行命令policy policy verify 执行策略验证pppoe maintain pppoe connection 保持pppoe连接proxy-id exec proxy id update command执行代理身份更新命令save save command 保存命令ssh exec SSH commands 执行 SSH 命令switch test switch module 测试交换机模块syslog syslog configuration 执行系统日志配置usb-device exec usb command 执行USB 命令vrouter execute vrouter commands 虚拟路由命令ccie-> exit ?<return><string>> mtrace ?由源向目标跟踪解析组播地址路径destination mtrace to the destination mtrace到目的地source mtrace from source mtrace从源> ping ?<return><string> host name> reset ?<return>no-prompt no confirmation 无法确认save-config save configurations 保存配置> save ?<return>attack-db save attack database 保存攻击数据库config save configurations 保存配置image-key save image key 保存关键图像software save software 保存软件ccie-> set ?address define address book entry 定义通讯录条目admin admin commandalarm set alarm parameters 参数设置闹钟alg attach algalias set alias 设置别名arp set arp entries arp条目集attack set attack 设置攻击auth user authentication settings 用户认证设置auth-server authentication server settings 认证服务器设置clock system clock adjustment 系统时钟调整common-criteria Common Criteria function 普遍的标准功能config set/unset config 设置/删除配置console console parameters 控制台参数dbuf set debug buffer 缓冲设置调试di set deep inspection parameters 深度检测参数设置dialer set dialer parameters 拨号器参数设置dip port-translated dip attribute & dip group configuration dns dns configuration dns配置domain domain name 域名envar set environment variables 设置环境变量ffilter flow filter configuration 流过滤配置fips-mode FIPS mode functionfirewall enable firewall protection 使防火墙保护flow flow configuration 流程配置group define address/ser vice groups 定义地址/ ser副组group-expression group expression details 集团表达细节hostname name of this host 主机名ike config Internet Key Exchange 配置网络匙交换infranet Infranet Controller configuration Infranet控制器配置interface interface command接口命令ip set ip parameters设置IP参数ippool ippool settingsipsec set ipsec access sessionl2tp l2tp configuration l2tp配置license-key license-key 密钥许可证log set log config 配置日志信息mac configure static mac entry into mac learning table 配置静态mac进入MAC 学习表multicast-group-policy multicast group policy 多播组策略nsmgmt set NSM agent configuration NSM代理配置设置nsrp NetScreen Redundancy Protocol command NetScreen冗余协议命令ntp set ntp parameters ntp参数设置password-policy password policy 密码策略pki PKI Configuration PKI配置policy policy configuration 策略配置ppp set PPP settings 设置PPP设置pppoe pppoe configuration pppoe配置proxy-id vpn proxy-id setting vpn proxy-id设置sa-filter config debug message per SA filter 配置调试信息/ SA的过滤器scheduler scheduler parameters 调度参数scp set SCP 集单片机service service configuration 服务配置snmp snmp command snmp(简单网络管理协议)命令ssh set SSHssl set ssl configuration ssl配置设置syslog syslog configuration syslog配置tftp tftp settings 配置设置timer timer configurationtraffic-shaping set traffic shaping infourl Web filtering configuration 网页过滤配置user user database 用户数据库user-group user group settings 用户组设置vip virtual ip configuration虚拟ip配置vpn vpn configuration vpn配置vpn-group Keyword for define vpn group 为定义vpn关键字组vpnmonitor vpn monitor parameters vpn监测参数vrouter configure vrouter 配置vrouterwebauth webauth settings webauth设置webtrends webtrends configurat ionxauth xauth configurationzone configure security zone 配置的安全地带。

Juniper路由器中文配置文档深圳傲天信息技术有限公司二零零零年十二月目录JUNOS配置简介 (2)JUNOS软件简介 (2)JUNOS软件安装 (3)JUNOS命令行简介 (5)初始化配置 (6)路由器的调试 (7)端口配置 (8)系统整体配置 (11)IS-IS配置 (12)OSPF配置 (14)BGP配置 (16)Routing Policy (18)JUNOS配置简介JUNOS软件简介JUNOS软件的三大功能：1）ROUTING2）ENHANCED ROUTING SERVICES3）MPLSTRAFFIC ENGINEERINGVPNS它所支持的特性有：1）模块化设计2）EGP：BGP4Route reflectorsConfederationsCommunitiesRoute flap dampingTCP MD5 authenticationREGEX3）IGP：Integrated IS-ISOSPFRIPv24）Juniper policy engine5）MulticastDVMRP PIM DIM PIM SM MSDP(Multicast Source Discovery Protocol)6）MPLSTraffic engineeringVPNs7）Class of Service在传统VPN方面，JUNIPER路由器需加插一块Tunnel PIC板来支持。

它支持PIM SM隧道模式和GRE封装。

JUNOS软件安装1、启动设备和媒介启动顺序1、可移动媒介：a)用于安装和升级，通常为空b)M40使用120MB软驱c)M20/160使用110MB PCMCIA FLASH卡2、FLASH驱动器a)在一个新的Juniper路由器中，JUNOS软件预先安装在FLASH驱动器中3、硬盘a)在一个新的Juniper路由器中，与安装一个备份JUNOS软件，还用于存储系统log文件和诊断文件2、软件安装1、出厂预安装软件a)FLASH驱动器b)硬盘（备份）c)可移动媒介（用于系统恢复）2、存储媒介使用下列设备名，在路由器启动的时候显示出来a)FLASH驱动器－wd0b)硬盘－wd2c)可移动媒介－wfd03、可以从各种拷贝启动a)如果FLASH驱动器坏了，还可以从硬盘或者软驱启动4、升级a)可以从可移动媒介或者从Internet上升级3、完全安装－准备阶段1、记录下基本信息a)路由器名b)管理接口IP地址c)缺省路由器IP地址d)域名和DNS服务器IP地址2、将已存在的配置文件COPY到安全的地方a)配置文件位于/config/juniper.conf3、确定你要安装的媒介4、完全安装－重新安装1、插入安装媒介a)M40 LS-120软盘b)M20 PCMCIA FLASH卡2、重新启动路由器a)从console口使用命令：root @ lab2 >system haltb)重新启动电源3、输入安装前保存的一些信息4、系统安装完后自动重新启动5、升级软件1、JUNOS软件包含三个包a)jkernel-操作系统b)jroute－路由引擎软件c)jpfe－包转发引擎软件d)jbundle－所有的三个软件包2、下列是软件包的名字举例：a)jroute-4.0R1.tgzb)jkernel-4.0R1.tgzc)jpfe-4.0R1.tgz3、每个包可以个别的单独升级4、CLI命令模式下使用show system software显示安装的软件信息5、命名规范：package-m.n.Znumber.tgza)m.n是主版本号b)number是release号码c)Z是大写字母i.A-Alphaii.B-Betaiii.R-Releaseiv.I-Internal6、例如：jbundle-3.4R1.2.tgz6、升级软件包root@lab2> request system software add new-package-nameroot@lab2> request system reboot7、备份已存在的软件系统软件和配置可以备份到硬盘中，最好在稳定的时候进行使用request system snapshot命令备份软件到/altroot和/altconfig文件系统中，通常情况下，root文件系统/备份到/altroot中，/config备份到/altconfig中。

①通过Web浏览器方式管理.推荐使用IE浏览器进行登录管理,需要知道防火墙对应端口的管理IP地址;②命令行方式.支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接两种命令行登录管理模式.Juniper防火墙默认端口绑定说明:型号端口命名方式(从左往右计数) 配置界面端口形式NS-5GT 1口为Untrust接口;2-4口为Trust接口; Interface:untrust,trustNS25 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4口为NullInterface:1口为ethernet1,2口为ethernet2,其他接口顺序后推NS50-204 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4口为HA接口Interface:1口为ethernet1,2口为ethernet2,其他接口顺序后推NS208 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4-7口为Null接口;8口为HA接口;Interface:1口为ethernet1,2口为ethernet2,其他接口顺序后推SSG5 1口为Untrust接口;2口为DMZ接口;3-7口为Trust接口;Interface:1口为ethernet0/0,2口为ethernet0/1,其他接口顺序后推SSG20 1口为Untrust接口;2口为DMZ接口;3-5口为Trust接口;Interface:1口为ethernet0/0,2口为ethernet0/1,其他接口顺序后推SSG140 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4-10口为Null接口;Interface:1口为ethernet0/0,2口为ethernet0/1,其他接口顺序后推SSG520-550 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4口为Null接口;Interface:1口为ethernet0/0,2口为ethernet0/1,其他接口顺序后推Juniper防火墙缺省管理端口和IP地址:①Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理.缺省IP地址为:192.168.1.1/255.255.255.0;②缺省IP地址通常设置在防火墙的Trust端口上(NS-5GT),最小端口编号的物理端口上(NS-25/50/204/208/SSG系列),或者专用的管理端口上(ISG-1000/2000,NS-5200/5400).Juniper防火墙缺省登录管理账号:①用户名:netscreen;②密码:netscreen.1.3,Juniper防火墙的常用功能在一般情况下,防火墙设备的常用功能包括:透明模式的部署,NAT/路由模式的部署,NAT的应用,MIP的应用,DIP的应用,VIP的应用,基于策略VPN的应用.本安装手册将分别对以上防火墙的配置及功能的实现加以说明.注:在对MIP/DIP/VIP等Juniper防火墙的一些基本概念不甚了解的情况下,请先到本手册最后一章节内容查看了解!2,Juniper防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:①基于TCP/IP协议三层的NAT模式;②基于TCP/IP协议三层的路由模式;③基于二层协议的透明模式.2.1,NAT模式当Juniper防火墙入口接口("内网端口")处于NAT模式时,防火墙将通往Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源IP 地址和源端口号. 防火墙使用Untrust 区(外网或者公网)接口的IP 地址替换始发端主机的源IP 地址; 同时使用由防火墙生成的任意端口号替换源端口号.NAT模式应用的环境特征:①注册IP地址(公网IP地址)的数量不足;②内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet;③内部网络中有需要外显并对外提供服务的服务器.2.2,Route模式当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变(除非明确采用了地址翻译策略).①与NAT模式下不同,防火墙接口都处于路由模式时,防火墙不会自动实施地址翻译;②与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中.路由模式应用的环境特征:①防火墙完全在内网中部署应用;②NAT模式下的所有环境;③需要复杂的地址翻译.2.3,透明模式当Juniper防火墙接口处于"透明"模式时,防火墙将过滤通过的IP数据包,但不会修改IP数据包包头中的任何信息.防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的. 透明模式是一种保护内部网络从不可信源接收信息流的方便手段.使用透明模式有以下优点:①不需要修改现有网络规划及配置;②不需要实施地址翻译;③可以允许动态路由协议,Vlan trunking的数据包通过.2.4,基于向导方式的NA T/Route模式下的基本配置Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web 浏览器配置向导完成.注:要启动配置向导,则必须保证防火墙设备处于出厂状态.例如:新的从未被调试过的设备,或者经过命令行恢复为出厂状态的防火墙设备.通过Web浏览器登录处于出厂状态的防火墙时,防火墙的缺省管理参数如下:①缺省IP:192.168.1.1/255.255.255.0;②缺省用户名/密码:netscreen/ netscreen;注:缺省管理IP地址所在端口参见在前言部份讲述的"Juniper防火墙缺省管理端口和IP地址"中查找!! 在配置向导实现防火墙应用的同时,我们先虚拟一个防火墙设备的部署环境,之后,根据这个环境对防火墙设备进行配置.防火墙配置规划:①防火墙部署在网络的Internet出口位置,内部网络使用的IP地址为192.168.1.0/255.255.255.0所在的网段,内部网络计算机的网关地址为防火墙内网端口的IP地址:192.168.1.1;②防火墙外网接口IP地址(通常情况下为公网IP地址,在这里我们使用私网IP地址模拟公网IP地址)为:10.10.10.1/255.255.255.0,网关地址为:10.10.10.251要求: 实现内部访问Internet的应用.注:在进行防火墙设备配置前,要求正确连接防火墙的物理链路;调试用的计算机连接到防火墙的内网端口上.1. 通过IE或与IE兼容的浏览器(推荐应用微软IE浏览器)使用防火墙缺省IP地址登录防火墙(建议:保持登录防火墙的计算机与防火墙对应接口处于相同网段,直接相连).2. 使用缺省IP登录之后,出现安装向导:注:对于熟悉Juniper防火墙配置的工程师,可以跳过该配置向导,直接点选:No,skip the wizard and go straight to the WebUI management session instead,之后选择Next,直接登录防火墙设备的管理界面.3. 使用向导配置防火墙,请直接选择:Next,弹出下面的界面:4. "欢迎使用配置向导",再选择Next.注:进入登录用户名和密码的修改页面,Juniper防火墙的登录用户名和密码是可以更改的,这个用户名和密码的界面修改的是防火墙设备上的根用户,这个用户对于防火墙设备来说具有最高的权限,需要认真考虑和仔细配置,保存好修改后的用户名和密码.5. 在完成防火墙的登录用户名和密码的设置之后,出现了一个比较关键的选择,这个选择决定了防火墙设备是工作在路由模式还是工作在NAT模式:选择Enable NAT,则防火墙工作在NAT模式;不选择Enable NAT,则防火墙工作在路由模式.6. 防火墙设备工作模式选择,选择:Trust-Untrust Mode模式.这种模式是应用最多的模式,防火墙可以被看作是只有一进一出的部署模式.注:NS-5GT防火墙作为低端设备,为了能够增加低端产品应用的多样性,Juniper在NS-5GT的OS中独立开发了几种不同的模式应用于不同的环境.目前,除NS-5GT以外,Juniper其他系列防火墙不存在另外两种模式的选择.7. 完成了模式选择,点击"Next"进行防火墙外网端口IP配置.外网端口IP配置有三个选项分别是:DHCP自动获取IP地址;通过PPPoE拨号获得IP地址;手工设置静态IP 地址,并配置子网掩码和网关IP地址.在这里,我们选择的是使用静态IP地址的方式,配置外网端口IP地址为:10.10.10.1/255.255.255.0,网关地址为:10.10.10.251.8. 完成外网端口的IP地址配置之后,点击"Next"进行防火墙内网端口IP配置:9. 在完成了上述的配置之后,防火墙的基本配置就完成了,点击"Next"进行DHCP服务器配置.注:DHCP服务器配置在需要防火墙在网络中充当DHCP服务器的时候才需要配置.否则请选择"NO"跳过.注:上面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能,由防火墙设备给内部计算机用户自动分配IP地址,分配的地址段为:192.168.1.100-192.168.1.150一共51个IP地址,在分配IP地址的同时,防火墙设备也给计算机用户分配了DNS服务器地址,DNS用于对域名进行解析,如:将解析为IP地址:202.108.33.32.如果计算机不能获得或设置DNS服务器地址,无法访问互联网.10. 完成DHCP服务器选项设置,点击"Next"会弹出之前设置的汇总信息:11. 确认配置没有问题,点击"Next"会弹出提示"Finish"配置对话框: 在该界面中,点选:Finish之后,该Web页面会被关闭,配置完成. 此时防火墙对来自内网到外网的访问启用基于端口地址的NAT,同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略:策略:策略方向由Trust到Untrust,源地址:ANY,目标地址:ANY,网络服务内容:ANY; 策略作用:允许来自内网的任意IP地址穿过防火墙访问外网的任意地址.重新开启一个IE页面,并在地址栏中输入防火墙的内网端口地址,确定后,出现下图中的登录界面.输入正确的用户名和密码,登录到防火墙之后,可以对防火墙的现有配置进行修改.总结:上述就是使用Web浏览器通过配置向导完成的防火墙NAT或路由模式的应用.通过配置向导,可以在不熟悉防火墙设备的情况下,配置简单环境的防火墙应用.2.5,基于非向导方式的NAT/Route模式下的基本配置基于非向导方式的NAT和Route模式的配置建议首先使用命令行开始,最好通过控制台的方式连接防火墙,这个管理方式不受接口IP地址的影响.注:在设备缺省的情况下,防火墙的信任区(Trust Zone)所在的端口是工作在NAT模式的,其它安全区所在的端口是工作在路由模式的. 基于命令行方式的防火墙设备部署的配置如下(网络环境同上一章节所讲述的环境):2.5.1,NS-5GT NAT/Route模式下的基本配置注:NS-5GT设备的物理接口名称叫做trust和untrust;缺省Zone包括:trust和untrust, 请注意和接口区分开.①Unset interface trust ip (清除防火墙内网端口的IP地址);②Set interface trust zone trust(将内网端口分配到trust zone);③Set interface trust ip 192.168.1.1/24(设置内网端口的IP地址,必须先定义zone,之后再定义IP地址);④Set interface untrust zone untrust(将外网口分配到untrust zone);⑤Set interface untrust ip 10.10.10.1/24(设置外网口的IP地址);⑥Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251(设置防火墙对外的缺省路由网关地址);⑦Set policy from trust to untrust any any any permit log(定义一条由内网到外网的访问策略.策略的方向是:由zone trust 到zone untrust, 源地址为:any,目标地址为:any,网络服务为:any,策略动作为:permit允许,log:开启日志记录);⑧Save (保存上述的配置文件).2.5.2,非NS-5GT NAT/Route模式下的基本配置①Unset interface ethernet1 ip(清除防火墙内网口缺省IP地址);②Set interface ethernet1 zone trust(将ethernet1端口分配到trust zone);③Set interface ethernet1 ip 192.168.1.1/24(定义ethernet1端口的IP地址);④Set interface ethernet3 zone untrust(将ethernet3端口分配到untrust zone);⑤Set interface ethernet3 ip 10.10.10.1/24(定义ethernet3端口的IP地址);⑥Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251(定义防火墙对外的缺省路由网关);⑦Set policy from trust to untrust any any any permit log(定义由内网到外网的访问控制策略);⑧Save (保存上述的配置文件)注:上述是在命令行的方式上实现的NAT模式的配置,因为防火墙出厂时在内网端口(trust zone所属的端口)上启用了NAT,所以一般不用特别设置,但是其它的端口则工作在路由模式下,例如:untrust和DMZ区的端口. 如果需要将端口从路由模式修改为NAT模式,则可以按照如下的命令行进行修改:①Set interface ethernet2 NAT (设置端口2为NAT模式)②Save总结:①NAT/Route模式做防火墙部署的主要模式,通常是在一台防火墙上两种模式混合进行(除非防火墙完全是在内网应用部署,不需要做NAT-地址转换,这种情况下防火墙所有端口都处于Route模式,防火墙首先作为一台路由器进行部署);②关于配置举例,NS-5GT由于设备设计上的特殊性,因此专门列举加以说明;Juniper 在2006年全新推出的SSG系列防火墙,除了端口命名不一样,和NS系列设备管理配置方式一样.2.6,基于非向导方式的透明模式下的基本配置实现透明模式配置建议采用命令行的方式,因为采用Web的方式实现时相对命令行的方式麻烦.通过控制台连接防火墙的控制口,登录命令行管理界面,通过如下命令及步骤进行二层透明模式的配置:①Unset interface ethernet1 ip(将以太网1端口上的默认IP地址删除);②Set interface ethernet1 zone v1-trust(将以太网1端口分配到v1-trust zone:基于二层的安全区,端口设置为该安全区后,则端口工作在二层模式,并且不能在该端口上配置IP地址);③Set interface ethernet2 zone v1-dmz(将以太网2端口分配到v1-dmz zone);④Set interface ethernet3 zone v1-untrust(将以太网3端口分配到v1-untrust zone);⑤Set interface vlan1 ip 192.168.1.1/24(设置VLAN1的IP地址为:192.168.1.1/255.255.255.0,该地址作为防火墙管理IP地址使用);⑥Set policy from v1-trust to v1-untrust any any any permit log(设置一条由内网到外网的访问策略);⑦Save(保存当前的配置);总结:①带有V1-字样的zone为基于透明模式的安全区,在进行透明模式的应用时,至少要保证两个端口的安全区工作在二层模式;②虽然Juniper防火墙可以在某些特殊版本工作在混合模式下(二层模式和三层模式的混合应用),但是通常情况下,建议尽量使防火墙工作在一种模式下(三层模式可以混用:NAT和路由).3,Juniper防火墙几种常用功能的配置这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP,VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务.3.1,MIP的配置MIP是"一对一"的双向地址翻译(转换)过程.通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制.MIP应用的网络拓扑图:注:MIP配置在防火墙的外网端口(连接Internet的端口).3.1.1,使用Web浏览器方式配置MIP①登录防火墙,将防火墙部署为三层模式(NA T或路由模式);②定义MIP:Network=>Interface=>ethernet2=>MIP,配置实现MIP的地址映射.MappedIP:公网IP地址,Host IP:内网服务器IP地址③定义策略:在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问.3.1.2,使用命令行方式配置MIP①配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet2 zone untrustset interface ethernet2 ip 1.1.1.1/24②定义MIPset interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vroutertrust-vr③定义策略set policy from untrust to trust any mip(1.1.1.5) http permitsave3.2,VIP的配置MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21,25,110等)与内部多个私有IP地址的不同服务端口的映射关系.通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的.VIP应用的拓扑图:注:VIP配置在防火墙的外网连接端口上(连接Internet的端口).3.2.1,使用Web浏览器方式配置VIP①登录防火墙,配置防火墙为三层部署模式.②添加VIP:Network=>Interface=>ethernet8=>VIP③添加与该VIP公网地址相关的访问控制策略.3.2.2,使用命令行方式配置VIP①配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24②定义VIPset interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10③定义策略set policy from untrust to trust any vip(1.1.1.10) http permitsave注:VIP的地址可以利用防火墙设备的外网端口地址实现(限于低端设备).3.3,DIP的配置DIP的应用一般是在内网对外网的访问方面.当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性.解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址.DIP应用的网络拓扑图:3.3.1,使用Web浏览器方式配置DIP①登录防火墙设备,配置防火墙为三层部署模式;②定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口定义IP地址池;③定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中, 启用源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置; 策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT.3.3.2,使用命令行方式配置DIP①配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24②定义DIPset interface ethernet3 dip 5 1.1.1.30 1.1.1.30③定义策略set policy from trust to untrust any any http nat src dip-id 5 permitsave4,Juniper防火墙IPSec VPN的配置Juniper所有系列防火墙(除部分早期型号外)都支持IPSec VPN,其配置方式有多种,包括:基于策略的VPN,基于路由的VPN,集中星形VPN和背靠背VPN等.在这里,我们主要介绍最常用的VPN模式:基于策略的VPN. 站点间(Site-to-Site)的VPN是IPSec VPN的典型应用,这里我们介绍两种站点间基于策略VPN的实现方式:站点两端都具备静态公网IP地址;站点两端其中一端具备静态公网IP地址,另一端动态公网IP地址.4.1,站点间IPSec VPN配置:staic ip-to-staic ip当创建站点两端都具备静态IP的VPN应用中,位于两端的防火墙上的VPN配置基本相同,不同之处是在VPN gateway部分的VPN网关指向IP不同,其它部分相同. VPN组网拓扑图:staic ip-to-staic ip4.1.1,使用Web浏览器方式配置①登录防火墙设备,配置防火墙为三层部署模式;②定义VPN第一阶段的相关配置:VPNs=>Autokey Advanced=>Gateway 配置VPN gateway部分,定义VPN网关名称,定义"对端VPN设备的公网IP地址" 为本地VPN 设备的网关地址,定义预共享密钥,选择发起VPN服务的物理端口;③在VPN gateway的高级(Advanced)部分,定义相关的VPN隧道协商的加密算法, 选择VPN的发起模式;④配置VPN第一阶段完成显示列表如下图;⑤定义VPN第二阶段的相关配置:VPNs=>Autokey IKE在Autokey IKE部分,选择第一阶段的VPN配置;⑥在VPN第二阶段高级(Advances)部分,选择VPN的加密算法;⑦配置VPN第二阶段完成显示列表如下图;⑧定义VPN策略,选择地址和服务信息,策略动作选择为:隧道模式;VPN隧道选择为: 刚刚定义的隧道,选择自动设置为双向策略;4.1.2,使用命令行方式配置CLI ( 东京)①配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24②定义路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250③定义地址set address trust Trust_LAN 10.1.1.0/24set address untrust paris_office 10.2.2.0/24④定义IPSec VPNset ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshareh1p8A24nG5 proposal pre-g2-3des-shaset vpn tokyo_paris gateway to_paris sec-level compatible⑤定义策略set policy top name "To/From Paris" from trust to untrust Trust_LAN paris_officeany tunnel vpn tokyo_parisset policy top name "To/From Paris" from untrust to trust paris_office Trust_LANany tunnel vpn tokyo_parissaveCLI ( 巴黎)①定义接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24②定义路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250③定义地址set address trust Trust_LAN 10.2.2.0/24set address untrust tokyo_office 10.1.1.0/24④定义IPSec VPNset ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshareh1p8A24nG5 proposal pre-g2-3des-shaset vpn paris_tokyo gateway to_tokyo sec-level compatible⑤定义策略set policy top name "To/From Tokyo" from trust to untrust Trust_LAN tokyo_officeany tunnel vpn paris_tokyoset policy top name "To/From Tokyo" from untrust to trust tokyo_office Trust_LANany tunnel vpn paris_tokyosave4.2,站点间IPSec VPN配置:staic ip-to-dynamic ip在站点间IPSec VPN应用中,有一种特殊的应用,即在站点两端的设备中,一端拥有静态的公网IP地址,而另外一端只有动态的公网IP地址,以下讲述的案例是在这种情况下,Juniper防火墙如何建立IPSec VPN隧道.基本原则: 在这种IPSec VPN组网应用中,拥有静态公网IP地址的一端作为被访问端出现,拥有动态公网IP地址的一端作为VPN隧道协商的发起端. 和站点两端都具备静态IP地址的配置的不同之处在于VPN第一阶段的相关配置,在主动发起端(只有动态公网IP地址一端)需要指定VPN网关地址,需配置一个本地ID,配置VPN发起模式为:主动模式;在站点另外一端(拥有静态公网IP地址一端)需要指定VPN网关地址为对端设备的ID信息,不需要配置本地ID,其它部分相同.IPSec VPN组网拓扑图:staic ip-to-dynamic ip4.2.1,使用Web浏览器方式配置①VPN第一阶段的配置:动态公网IP地址端.VPN的发起必须由本端开始,动态地址端可以确定对端防火墙的IP地址,因此在VPN 阶段一的配置中,需指定对端VPN设备的静态IP地址.同时,在本端设置一个Local ID,提供给对端作为识别信息使用.②VPN第一阶段的高级配置:动态公网IP地址端.在VPN阶段一的高级配置中动态公网IP一端的VPN的发起模式应该配置为:主动模式(Aggressive)③VPN第一阶段的配置:静态公网IP地址端.在拥有静态公网IP地址的防火墙一端,在VPN阶段一的配置中,需要按照如下图所示的配置:"Remote Gateway Type"应该选择"Dynamic IP Address",同时设置Peer ID(和在动态IP地址一端设置的Local ID相同).④VPN第二阶段配置,和在"static ip-to-static ip"模式下相同.⑤VPN的访问控制策略,和在"static ip-to-static ip"模式下相同.4.2.1,使用命令行方式配置CLI ( 设备-A)①定义接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 dhcp clientset interface ethernet3 dhcp client settings server 1.1.1.5②定义路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3③定义用户set user pmason password Nd4syst4④定义地址set address trust "trusted network" 10.1.1.0/24set address untrust "mail server" 3.3.3.5/32⑤定义服务set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group service remote_mail add httpset group service remote_mail add ftpset group service remote_mail add telnetset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3⑥定义VPNset ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn branch_corp gateway to_mail sec-level compatible⑦定义策略set policy top from trust to untrust "trusted network" "mail server" remote_mailtunnel vpn branch_corp auth server Local user pmasonset policy top from untrust to trust "mail server" "trusted network" remote_mailtunnel vpn branch_corpsaveCLI ( 设备-B)①定义接口参数set interface ethernet2 zone dmzset interface ethernet2 ip 3.3.3.3/24set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24②路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250③定义地址set address dmz "mail server" 3.3.3.5/32set address untrust "branch office" 10.1.1.0/24④定义服务set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3⑤定义VPNset ike gateway to_branch dynamic pmason@ aggressiveoutgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn corp_branch gateway to_branch tunnel sec-level compatible⑥定义策略set policy top from dmz to untrust "mail server" "branch office" remote_mailtunnel vpn corp_branchset policy top from untrust to dmz "branch office" "mail server" remote_mailtunnel vpn corp_branchsave5,Juniper中低端防火墙的UTM功能配置Juniper中低端防火墙(目前主要以SSG系列防火墙为参考)支持非常广泛的攻击防护及内容安全功能,主要包括:防病毒(Anti-Virus),防垃圾邮件(Anti-Spam),URL过滤(URL filtering)以及深层检测/入侵防御(Deep Inspection/IPS).注:上述的安全/防护功能集成在防火墙的ScreenOS操作系统中,但是必须通过license (许可)激活后方可使用(并会在激活一段时间(通常是1年)后过期).当然在使用这些功能的时候,我们还需要设定好防火墙的时钟以及DNS服务器地址. 当防火墙激活了相应的安全/防护功能以后,通过WebUI可以发现,Screening条目下会增加相应的功能条目,如下图:5.1,防病毒功能的设置Juniper防火墙的防病毒引擎(从ScreenOS5.3开始内嵌Kaspersky的防病毒引擎)可以针对HTTP,FTP,POP3,IMAP以及SMTP等协议进行工作.5.1.1,Scan Manager的设置"Pattern Update Server"项中的URL地址为Juniper防火墙病毒特征库的官方下载网址(当系统激活了防病毒功能后,该网址会自动出现). "Auto Pattern Update"项允许防火墙自动更新病毒特征库;后面的"Interval"项可以指定自动更新的频率. "Update Now"项可以执行手动的病毒特征库升级."Drop/Bypass file if its size exceeds KB"项用来控制可扫表/传输的文件大小."Drop"项会在超过限额后,扔掉文件而不做扫描;"Bypass"项则会放行文件而不做扫描."Drop//Bypass file if the number of concurrent files exceeds files"项用控制同时扫描/传输的文件数量."Drop"项会在超过限额后,扔掉文件而不做扫描;"Bypass"项则会放行文件而不做扫描.5.1.2,Profile的设置通过设置不同的Profile,我们可以对不同的安全策略(Policy)采用不同的防病毒操作(Juniper防火墙的防病毒引用是基于安全策略的;也就是说我们的防病毒设置是通过在特定的策略中引入特定的Profile来实现的.),进而实现高粒度化地防病毒控制,将防病毒对系统资源的消耗降到最低.ns-profile是系统自带的profile.用户不需要做任何设置,就可以在安全策略里直接引用它. 除此之外,用户可以根据自己的需求来设置适合自身需求的profile.Profile方面的设置包括对FTP,HTTP,IMAP,POP3以及SMTP等5个协议的内容,见下图. Enable选项每个特定的协议类型,都有一个Enable选项.选择之,则防病毒引擎会检查与这个协议相关的流量;反之,则不会检查.Scan Mode的设置Scan Mode有三个选择项:Scan All,Scan Intelligent,Scan By Extension.Scan All:对于流量,检查所有已知的特征码.Scan Intelligent:对于流量,检查比较常见的特征码.Scan By Extension:仅针对特定的文件扩展名类型进行检查.如果选择该类型,则需要事先设定好Ext-List(设置文件扩展名的类型)与Include/Exclude Extension List. Decompress Layer的设置为了减少传输的时间,很多文件在传输过程中都会被压缩.Decompress Layer就是用来设置防病毒引擎扫描压缩文件的层数.防病毒引擎最多可以支持对4层压缩文件的扫描.Skipmime Enable的设置对于HTTP协议,可以进行Skipmime Enable的设置.打开该功能,则防病毒引擎不扫描Mime List中包括的文件类型(系统默认打开该功能,并匹配默认的Mime List:ns-skip-mime-list).Email Notify的设置对于IMAP,POP3,SMTP等email协议,可以进行Email Nortify的设置.打开该功能, 可以在发现病毒/异常后,发送email来通知用户(病毒发送者/邮件发送方/邮件接收方).5.1.3,防病毒profile在安全策略中的引用我们前面已经提到过,防病毒的实现是通过在特定安全策略中应用profile来实现的.比如,我们在名为ftp-scan的策略中引用av1的防病毒profile.①首先建立了名为av1的profile,并enable FTP协议的扫描;由于我仅希望检测的是FTP应用,故关闭对其他协议的扫描.见下图:②设置ftp-scan安全策略,并引用profile av1.。

①通过Web浏览器方式管理.推荐使用IE浏览器进行登录管理,需要知道防火墙对应端口的管理IP地址;②命令行方式.支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接两种命令行登录管理模式.Juniper防火墙默认端口绑定说明:型号端口命名方式(从左往右计数) 配置界面端口形式NS-5GT 1口为Untrust接口;2-4口为Trust接口; Interface:untrust,trustNS25 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4口为NullInterface:1口为ethernet1,2口为ethernet2,其他接口顺序后推NS50-204 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4口为HA接口Interface:1口为ethernet1,2口为ethernet2,其他接口顺序后推NS208 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4-7口为Null接口;8口为HA接口;Interface:1口为ethernet1,2口为ethernet2,其他接口顺序后推SSG5 1口为Untrust接口;2口为DMZ接口;3-7口为Trust接口;Interface:1口为ethernet0/0,2口为ethernet0/1,其他接口顺序后推SSG20 1口为Untrust接口;2口为DMZ接口;3-5口为Trust接口;Interface:1口为ethernet0/0,2口为ethernet0/1,其他接口顺序后推SSG140 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4-10口为Null接口;Interface:1口为ethernet0/0,2口为ethernet0/1,其他接口顺序后推SSG520-550 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4口为Null接口;Interface:1口为ethernet0/0,2口为ethernet0/1,其他接口顺序后推Juniper防火墙缺省管理端口和IP地址:①Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理.缺省IP地址为:192.168.1.1/255.255.255.0;②缺省IP地址通常设置在防火墙的Trust端口上(NS-5GT),最小端口编号的物理端口上(NS-25/50/204/208/SSG系列),或者专用的管理端口上(ISG-1000/2000,NS-5200/5400).Juniper防火墙缺省登录管理账号:①用户名:netscreen;②密码:netscreen.1.3,Juniper防火墙的常用功能在一般情况下,防火墙设备的常用功能包括:透明模式的部署,NAT/路由模式的部署,NAT的应用,MIP的应用,DIP的应用,VIP的应用,基于策略VPN的应用.本安装手册将分别对以上防火墙的配置及功能的实现加以说明.注:在对MIP/DIP/VIP等Juniper防火墙的一些基本概念不甚了解的情况下,请先到本手册最后一章节内容查看了解!2,Juniper防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:①基于TCP/IP协议三层的NAT模式;②基于TCP/IP协议三层的路由模式;③基于二层协议的透明模式.2.1,NAT模式当Juniper防火墙入口接口("内网端口")处于NAT模式时,防火墙将通往Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源IP 地址和源端口号. 防火墙使用Untrust 区(外网或者公网)接口的IP 地址替换始发端主机的源IP 地址; 同时使用由防火墙生成的任意端口号替换源端口号.NAT模式应用的环境特征:①注册IP地址(公网IP地址)的数量不足;②内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet;③内部网络中有需要外显并对外提供服务的服务器.2.2,Route模式当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变(除非明确采用了地址翻译策略).①与NAT模式下不同,防火墙接口都处于路由模式时,防火墙不会自动实施地址翻译;②与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中.路由模式应用的环境特征:①防火墙完全在内网中部署应用;②NAT模式下的所有环境;③需要复杂的地址翻译.2.3,透明模式当Juniper防火墙接口处于"透明"模式时,防火墙将过滤通过的IP数据包,但不会修改IP数据包包头中的任何信息.防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的. 透明模式是一种保护内部网络从不可信源接收信息流的方便手段.使用透明模式有以下优点:①不需要修改现有网络规划及配置;②不需要实施地址翻译;③可以允许动态路由协议,Vlan trunking的数据包通过.2.4,基于向导方式的NA T/Route模式下的基本配置Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web 浏览器配置向导完成.注:要启动配置向导,则必须保证防火墙设备处于出厂状态.例如:新的从未被调试过的设备,或者经过命令行恢复为出厂状态的防火墙设备.通过Web浏览器登录处于出厂状态的防火墙时,防火墙的缺省管理参数如下:①缺省IP:192.168.1.1/255.255.255.0;②缺省用户名/密码:netscreen/ netscreen;注:缺省管理IP地址所在端口参见在前言部份讲述的"Juniper防火墙缺省管理端口和IP地址"中查找!! 在配置向导实现防火墙应用的同时,我们先虚拟一个防火墙设备的部署环境,之后,根据这个环境对防火墙设备进行配置.防火墙配置规划:①防火墙部署在网络的Internet出口位置,内部网络使用的IP地址为192.168.1.0/255.255.255.0所在的网段,内部网络计算机的网关地址为防火墙内网端口的IP地址:192.168.1.1;②防火墙外网接口IP地址(通常情况下为公网IP地址,在这里我们使用私网IP地址模拟公网IP地址)为:10.10.10.1/255.255.255.0,网关地址为:10.10.10.251要求: 实现内部访问Internet的应用.注:在进行防火墙设备配置前,要求正确连接防火墙的物理链路;调试用的计算机连接到防火墙的内网端口上.1. 通过IE或与IE兼容的浏览器(推荐应用微软IE浏览器)使用防火墙缺省IP地址登录防火墙(建议:保持登录防火墙的计算机与防火墙对应接口处于相同网段,直接相连).2. 使用缺省IP登录之后,出现安装向导:注:对于熟悉Juniper防火墙配置的工程师,可以跳过该配置向导,直接点选:No,skip the wizard and go straight to the WebUI management session instead,之后选择Next,直接登录防火墙设备的管理界面.3. 使用向导配置防火墙,请直接选择:Next,弹出下面的界面:4. "欢迎使用配置向导",再选择Next.注:进入登录用户名和密码的修改页面,Juniper防火墙的登录用户名和密码是可以更改的,这个用户名和密码的界面修改的是防火墙设备上的根用户,这个用户对于防火墙设备来说具有最高的权限,需要认真考虑和仔细配置,保存好修改后的用户名和密码.5. 在完成防火墙的登录用户名和密码的设置之后,出现了一个比较关键的选择,这个选择决定了防火墙设备是工作在路由模式还是工作在NAT模式:选择Enable NAT,则防火墙工作在NAT模式;不选择Enable NAT,则防火墙工作在路由模式.6. 防火墙设备工作模式选择,选择:Trust-Untrust Mode模式.这种模式是应用最多的模式,防火墙可以被看作是只有一进一出的部署模式.注:NS-5GT防火墙作为低端设备,为了能够增加低端产品应用的多样性,Juniper在NS-5GT的OS中独立开发了几种不同的模式应用于不同的环境.目前,除NS-5GT以外,Juniper其他系列防火墙不存在另外两种模式的选择.7. 完成了模式选择,点击"Next"进行防火墙外网端口IP配置.外网端口IP配置有三个选项分别是:DHCP自动获取IP地址;通过PPPoE拨号获得IP地址;手工设置静态IP 地址,并配置子网掩码和网关IP地址.在这里,我们选择的是使用静态IP地址的方式,配置外网端口IP地址为:10.10.10.1/255.255.255.0,网关地址为:10.10.10.251.8. 完成外网端口的IP地址配置之后,点击"Next"进行防火墙内网端口IP配置:9. 在完成了上述的配置之后,防火墙的基本配置就完成了,点击"Next"进行DHCP服务器配置.注:DHCP服务器配置在需要防火墙在网络中充当DHCP服务器的时候才需要配置.否则请选择"NO"跳过.注:上面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能,由防火墙设备给内部计算机用户自动分配IP地址,分配的地址段为:192.168.1.100-192.168.1.150一共51个IP地址,在分配IP地址的同时,防火墙设备也给计算机用户分配了DNS服务器地址,DNS用于对域名进行解析,如:将解析为IP地址:202.108.33.32.如果计算机不能获得或设置DNS服务器地址,无法访问互联网.10. 完成DHCP服务器选项设置,点击"Next"会弹出之前设置的汇总信息:11. 确认配置没有问题,点击"Next"会弹出提示"Finish"配置对话框: 在该界面中,点选:Finish之后,该Web页面会被关闭,配置完成. 此时防火墙对来自内网到外网的访问启用基于端口地址的NAT,同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略:策略:策略方向由Trust到Untrust,源地址:ANY,目标地址:ANY,网络服务内容:ANY; 策略作用:允许来自内网的任意IP地址穿过防火墙访问外网的任意地址.重新开启一个IE页面,并在地址栏中输入防火墙的内网端口地址,确定后,出现下图中的登录界面.输入正确的用户名和密码,登录到防火墙之后,可以对防火墙的现有配置进行修改.总结:上述就是使用Web浏览器通过配置向导完成的防火墙NAT或路由模式的应用.通过配置向导,可以在不熟悉防火墙设备的情况下,配置简单环境的防火墙应用.2.5,基于非向导方式的NAT/Route模式下的基本配置基于非向导方式的NAT和Route模式的配置建议首先使用命令行开始,最好通过控制台的方式连接防火墙,这个管理方式不受接口IP地址的影响.注:在设备缺省的情况下,防火墙的信任区(Trust Zone)所在的端口是工作在NAT模式的,其它安全区所在的端口是工作在路由模式的. 基于命令行方式的防火墙设备部署的配置如下(网络环境同上一章节所讲述的环境):2.5.1,NS-5GT NAT/Route模式下的基本配置注:NS-5GT设备的物理接口名称叫做trust和untrust;缺省Zone包括:trust和untrust, 请注意和接口区分开.①Unset interface trust ip (清除防火墙内网端口的IP地址);②Set interface trust zone trust(将内网端口分配到trust zone);③Set interface trust ip 192.168.1.1/24(设置内网端口的IP地址,必须先定义zone,之后再定义IP地址);④Set interface untrust zone untrust(将外网口分配到untrust zone);⑤Set interface untrust ip 10.10.10.1/24(设置外网口的IP地址);⑥Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251(设置防火墙对外的缺省路由网关地址);⑦Set policy from trust to untrust any any any permit log(定义一条由内网到外网的访问策略.策略的方向是:由zone trust 到zone untrust, 源地址为:any,目标地址为:any,网络服务为:any,策略动作为:permit允许,log:开启日志记录);⑧Save (保存上述的配置文件).2.5.2,非NS-5GT NAT/Route模式下的基本配置①Unset interface ethernet1 ip(清除防火墙内网口缺省IP地址);②Set interface ethernet1 zone trust(将ethernet1端口分配到trust zone);③Set interface ethernet1 ip 192.168.1.1/24(定义ethernet1端口的IP地址);④Set interface ethernet3 zone untrust(将ethernet3端口分配到untrust zone);⑤Set interface ethernet3 ip 10.10.10.1/24(定义ethernet3端口的IP地址);⑥Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251(定义防火墙对外的缺省路由网关);⑦Set policy from trust to untrust any any any permit log(定义由内网到外网的访问控制策略);⑧Save (保存上述的配置文件)注:上述是在命令行的方式上实现的NAT模式的配置,因为防火墙出厂时在内网端口(trust zone所属的端口)上启用了NAT,所以一般不用特别设置,但是其它的端口则工作在路由模式下,例如:untrust和DMZ区的端口. 如果需要将端口从路由模式修改为NAT模式,则可以按照如下的命令行进行修改:①Set interface ethernet2 NAT (设置端口2为NAT模式)②Save总结:①NAT/Route模式做防火墙部署的主要模式,通常是在一台防火墙上两种模式混合进行(除非防火墙完全是在内网应用部署,不需要做NAT-地址转换,这种情况下防火墙所有端口都处于Route模式,防火墙首先作为一台路由器进行部署);②关于配置举例,NS-5GT由于设备设计上的特殊性,因此专门列举加以说明;Juniper 在2006年全新推出的SSG系列防火墙,除了端口命名不一样,和NS系列设备管理配置方式一样.2.6,基于非向导方式的透明模式下的基本配置实现透明模式配置建议采用命令行的方式,因为采用Web的方式实现时相对命令行的方式麻烦.通过控制台连接防火墙的控制口,登录命令行管理界面,通过如下命令及步骤进行二层透明模式的配置:①Unset interface ethernet1 ip(将以太网1端口上的默认IP地址删除);②Set interface ethernet1 zone v1-trust(将以太网1端口分配到v1-trust zone:基于二层的安全区,端口设置为该安全区后,则端口工作在二层模式,并且不能在该端口上配置IP地址);③Set interface ethernet2 zone v1-dmz(将以太网2端口分配到v1-dmz zone);④Set interface ethernet3 zone v1-untrust(将以太网3端口分配到v1-untrust zone);⑤Set interface vlan1 ip 192.168.1.1/24(设置VLAN1的IP地址为:192.168.1.1/255.255.255.0,该地址作为防火墙管理IP地址使用);⑥Set policy from v1-trust to v1-untrust any any any permit log(设置一条由内网到外网的访问策略);⑦Save(保存当前的配置);总结:①带有V1-字样的zone为基于透明模式的安全区,在进行透明模式的应用时,至少要保证两个端口的安全区工作在二层模式;②虽然Juniper防火墙可以在某些特殊版本工作在混合模式下(二层模式和三层模式的混合应用),但是通常情况下,建议尽量使防火墙工作在一种模式下(三层模式可以混用:NAT和路由).3,Juniper防火墙几种常用功能的配置这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP,VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务.3.1,MIP的配置MIP是"一对一"的双向地址翻译(转换)过程.通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制.MIP应用的网络拓扑图:注:MIP配置在防火墙的外网端口(连接Internet的端口).3.1.1,使用Web浏览器方式配置MIP①登录防火墙,将防火墙部署为三层模式(NA T或路由模式);②定义MIP:Network=>Interface=>ethernet2=>MIP,配置实现MIP的地址映射.MappedIP:公网IP地址,Host IP:内网服务器IP地址③定义策略:在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问.3.1.2,使用命令行方式配置MIP①配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet2 zone untrustset interface ethernet2 ip 1.1.1.1/24②定义MIPset interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vroutertrust-vr③定义策略set policy from untrust to trust any mip(1.1.1.5) http permitsave3.2,VIP的配置MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21,25,110等)与内部多个私有IP地址的不同服务端口的映射关系.通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的.VIP应用的拓扑图:注:VIP配置在防火墙的外网连接端口上(连接Internet的端口).3.2.1,使用Web浏览器方式配置VIP①登录防火墙,配置防火墙为三层部署模式.②添加VIP:Network=>Interface=>ethernet8=>VIP③添加与该VIP公网地址相关的访问控制策略.3.2.2,使用命令行方式配置VIP①配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24②定义VIPset interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10③定义策略set policy from untrust to trust any vip(1.1.1.10) http permitsave注:VIP的地址可以利用防火墙设备的外网端口地址实现(限于低端设备).3.3,DIP的配置DIP的应用一般是在内网对外网的访问方面.当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性.解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址.DIP应用的网络拓扑图:3.3.1,使用Web浏览器方式配置DIP①登录防火墙设备,配置防火墙为三层部署模式;②定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口定义IP地址池;③定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中, 启用源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置; 策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT.3.3.2,使用命令行方式配置DIP①配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24②定义DIPset interface ethernet3 dip 5 1.1.1.30 1.1.1.30③定义策略set policy from trust to untrust any any http nat src dip-id 5 permitsave4,Juniper防火墙IPSec VPN的配置Juniper所有系列防火墙(除部分早期型号外)都支持IPSec VPN,其配置方式有多种,包括:基于策略的VPN,基于路由的VPN,集中星形VPN和背靠背VPN等.在这里,我们主要介绍最常用的VPN模式:基于策略的VPN. 站点间(Site-to-Site)的VPN是IPSec VPN的典型应用,这里我们介绍两种站点间基于策略VPN的实现方式:站点两端都具备静态公网IP地址;站点两端其中一端具备静态公网IP地址,另一端动态公网IP地址.4.1,站点间IPSec VPN配置:staic ip-to-staic ip当创建站点两端都具备静态IP的VPN应用中,位于两端的防火墙上的VPN配置基本相同,不同之处是在VPN gateway部分的VPN网关指向IP不同,其它部分相同. VPN组网拓扑图:staic ip-to-staic ip4.1.1,使用Web浏览器方式配置①登录防火墙设备,配置防火墙为三层部署模式;②定义VPN第一阶段的相关配置:VPNs=>Autokey Advanced=>Gateway 配置VPN gateway部分,定义VPN网关名称,定义"对端VPN设备的公网IP地址" 为本地VPN 设备的网关地址,定义预共享密钥,选择发起VPN服务的物理端口;③在VPN gateway的高级(Advanced)部分,定义相关的VPN隧道协商的加密算法, 选择VPN的发起模式;④配置VPN第一阶段完成显示列表如下图;⑤定义VPN第二阶段的相关配置:VPNs=>Autokey IKE在Autokey IKE部分,选择第一阶段的VPN配置;⑥在VPN第二阶段高级(Advances)部分,选择VPN的加密算法;⑦配置VPN第二阶段完成显示列表如下图;⑧定义VPN策略,选择地址和服务信息,策略动作选择为:隧道模式;VPN隧道选择为: 刚刚定义的隧道,选择自动设置为双向策略;4.1.2,使用命令行方式配置CLI ( 东京)①配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24②定义路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250③定义地址set address trust Trust_LAN 10.1.1.0/24set address untrust paris_office 10.2.2.0/24④定义IPSec VPNset ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshareh1p8A24nG5 proposal pre-g2-3des-shaset vpn tokyo_paris gateway to_paris sec-level compatible⑤定义策略set policy top name "To/From Paris" from trust to untrust Trust_LAN paris_officeany tunnel vpn tokyo_parisset policy top name "To/From Paris" from untrust to trust paris_office Trust_LANany tunnel vpn tokyo_parissaveCLI ( 巴黎)①定义接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24②定义路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250③定义地址set address trust Trust_LAN 10.2.2.0/24set address untrust tokyo_office 10.1.1.0/24④定义IPSec VPNset ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshareh1p8A24nG5 proposal pre-g2-3des-shaset vpn paris_tokyo gateway to_tokyo sec-level compatible⑤定义策略set policy top name "To/From Tokyo" from trust to untrust Trust_LAN tokyo_officeany tunnel vpn paris_tokyoset policy top name "To/From Tokyo" from untrust to trust tokyo_office Trust_LANany tunnel vpn paris_tokyosave4.2,站点间IPSec VPN配置:staic ip-to-dynamic ip在站点间IPSec VPN应用中,有一种特殊的应用,即在站点两端的设备中,一端拥有静态的公网IP地址,而另外一端只有动态的公网IP地址,以下讲述的案例是在这种情况下,Juniper防火墙如何建立IPSec VPN隧道.基本原则: 在这种IPSec VPN组网应用中,拥有静态公网IP地址的一端作为被访问端出现,拥有动态公网IP地址的一端作为VPN隧道协商的发起端. 和站点两端都具备静态IP地址的配置的不同之处在于VPN第一阶段的相关配置,在主动发起端(只有动态公网IP地址一端)需要指定VPN网关地址,需配置一个本地ID,配置VPN发起模式为:主动模式;在站点另外一端(拥有静态公网IP地址一端)需要指定VPN网关地址为对端设备的ID信息,不需要配置本地ID,其它部分相同.IPSec VPN组网拓扑图:staic ip-to-dynamic ip4.2.1,使用Web浏览器方式配置①VPN第一阶段的配置:动态公网IP地址端.VPN的发起必须由本端开始,动态地址端可以确定对端防火墙的IP地址,因此在VPN 阶段一的配置中,需指定对端VPN设备的静态IP地址.同时,在本端设置一个Local ID,提供给对端作为识别信息使用.②VPN第一阶段的高级配置:动态公网IP地址端.在VPN阶段一的高级配置中动态公网IP一端的VPN的发起模式应该配置为:主动模式(Aggressive)③VPN第一阶段的配置:静态公网IP地址端.在拥有静态公网IP地址的防火墙一端,在VPN阶段一的配置中,需要按照如下图所示的配置:"Remote Gateway Type"应该选择"Dynamic IP Address",同时设置Peer ID(和在动态IP地址一端设置的Local ID相同).④VPN第二阶段配置,和在"static ip-to-static ip"模式下相同.⑤VPN的访问控制策略,和在"static ip-to-static ip"模式下相同.4.2.1,使用命令行方式配置CLI ( 设备-A)①定义接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 dhcp clientset interface ethernet3 dhcp client settings server 1.1.1.5②定义路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3③定义用户set user pmason password Nd4syst4④定义地址set address trust "trusted network" 10.1.1.0/24set address untrust "mail server" 3.3.3.5/32⑤定义服务set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group service remote_mail add httpset group service remote_mail add ftpset group service remote_mail add telnetset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3⑥定义VPNset ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn branch_corp gateway to_mail sec-level compatible⑦定义策略set policy top from trust to untrust "trusted network" "mail server" remote_mailtunnel vpn branch_corp auth server Local user pmasonset policy top from untrust to trust "mail server" "trusted network" remote_mailtunnel vpn branch_corpsaveCLI ( 设备-B)①定义接口参数set interface ethernet2 zone dmzset interface ethernet2 ip 3.3.3.3/24set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24②路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250③定义地址set address dmz "mail server" 3.3.3.5/32set address untrust "branch office" 10.1.1.0/24④定义服务set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3⑤定义VPNset ike gateway to_branch dynamic pmason@ aggressiveoutgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn corp_branch gateway to_branch tunnel sec-level compatible⑥定义策略set policy top from dmz to untrust "mail server" "branch office" remote_mailtunnel vpn corp_branchset policy top from untrust to dmz "branch office" "mail server" remote_mailtunnel vpn corp_branchsave5,Juniper中低端防火墙的UTM功能配置Juniper中低端防火墙(目前主要以SSG系列防火墙为参考)支持非常广泛的攻击防护及内容安全功能,主要包括:防病毒(Anti-Virus),防垃圾邮件(Anti-Spam),URL过滤(URL filtering)以及深层检测/入侵防御(Deep Inspection/IPS).注:上述的安全/防护功能集成在防火墙的ScreenOS操作系统中,但是必须通过license (许可)激活后方可使用(并会在激活一段时间(通常是1年)后过期).当然在使用这些功能的时候,我们还需要设定好防火墙的时钟以及DNS服务器地址. 当防火墙激活了相应的安全/防护功能以后,通过WebUI可以发现,Screening条目下会增加相应的功能条目,如下图:5.1,防病毒功能的设置Juniper防火墙的防病毒引擎(从ScreenOS5.3开始内嵌Kaspersky的防病毒引擎)可以针对HTTP,FTP,POP3,IMAP以及SMTP等协议进行工作.5.1.1,Scan Manager的设置"Pattern Update Server"项中的URL地址为Juniper防火墙病毒特征库的官方下载网址(当系统激活了防病毒功能后,该网址会自动出现). "Auto Pattern Update"项允许防火墙自动更新病毒特征库;后面的"Interval"项可以指定自动更新的频率. "Update Now"项可以执行手动的病毒特征库升级."Drop/Bypass file if its size exceeds KB"项用来控制可扫表/传输的文件大小."Drop"项会在超过限额后,扔掉文件而不做扫描;"Bypass"项则会放行文件而不做扫描."Drop//Bypass file if the number of concurrent files exceeds files"项用控制同时扫描/传输的文件数量."Drop"项会在超过限额后,扔掉文件而不做扫描;"Bypass"项则会放行文件而不做扫描.5.1.2,Profile的设置通过设置不同的Profile,我们可以对不同的安全策略(Policy)采用不同的防病毒操作(Juniper防火墙的防病毒引用是基于安全策略的;也就是说我们的防病毒设置是通过在特定的策略中引入特定的Profile来实现的.),进而实现高粒度化地防病毒控制,将防病毒对系统资源的消耗降到最低.ns-profile是系统自带的profile.用户不需要做任何设置,就可以在安全策略里直接引用它. 除此之外,用户可以根据自己的需求来设置适合自身需求的profile.Profile方面的设置包括对FTP,HTTP,IMAP,POP3以及SMTP等5个协议的内容,见下图. Enable选项每个特定的协议类型,都有一个Enable选项.选择之,则防病毒引擎会检查与这个协议相关的流量;反之,则不会检查.Scan Mode的设置Scan Mode有三个选择项:Scan All,Scan Intelligent,Scan By Extension.Scan All:对于流量,检查所有已知的特征码.Scan Intelligent:对于流量,检查比较常见的特征码.Scan By Extension:仅针对特定的文件扩展名类型进行检查.如果选择该类型,则需要事先设定好Ext-List(设置文件扩展名的类型)与Include/Exclude Extension List. Decompress Layer的设置为了减少传输的时间,很多文件在传输过程中都会被压缩.Decompress Layer就是用来设置防病毒引擎扫描压缩文件的层数.防病毒引擎最多可以支持对4层压缩文件的扫描.Skipmime Enable的设置对于HTTP协议,可以进行Skipmime Enable的设置.打开该功能,则防病毒引擎不扫描Mime List中包括的文件类型(系统默认打开该功能,并匹配默认的Mime List:ns-skip-mime-list).Email Notify的设置对于IMAP,POP3,SMTP等email协议,可以进行Email Nortify的设置.打开该功能, 可以在发现病毒/异常后,发送email来通知用户(病毒发送者/邮件发送方/邮件接收方).5.1.3,防病毒profile在安全策略中的引用我们前面已经提到过,防病毒的实现是通过在特定安全策略中应用profile来实现的.比如,我们在名为ftp-scan的策略中引用av1的防病毒profile.①首先建立了名为av1的profile,并enable FTP协议的扫描;由于我仅希望检测的是FTP应用,故关闭对其他协议的扫描.见下图:②设置ftp-scan安全策略,并引用profile av1.。

juniper netscreen防火墙学习笔记《原创》防火墙OS升级：通过WEBUI模式时需要考虑版本问题，也就是要按照版本的顺序来升级。

通过CLI模式不需要考虑版本问题。

save software from tftp 192.168.0.1 ns5gt.5.0.0r8.1 to flash恢复出厂设置：Unset all ——reset或者：Login: 序列号Password:序列号查看license：get license-key导入导出配置文件：首先开启tftp server !!!!!导入：save config from tftp 192.168.0.1 os.cfg merge from ethernet1(连接tftp server 的接口)导出：save config from flash to tftp 192.168.0.1 os.cfg新建帐户：Rott帐户：set admin name XXXXSet admin password XXXX具有读写权限：set admin name XXXX set password XXXX privilege all 具有只读权限：set admin name XXXX set password XXXX privilege read-onlyIPMAC地址绑定：设置静态绑定：set arp 192.168.0.1 0000e26e4743 e1强迫执行ARP目的扫描：set arp always-on-dest设置一个地址组：group,其中包含所有ARP绑定的地址，设置策略允许这个地址组通过注意：只有和端口在同一网段的才能进行绑定很多软件可以改变计算机信息包的MAC地址，此时防火墙不具备检查真伪MAC地址的功能。

安全区段：安全区段—安全区段接口—虚拟路由器—策略Ethernet1/2.3 第一槽位第二接口第三子接口创建安全区段—set zone name zone1Set zone name zone2save分配到路由—set zone zone1 vrouter untrust-vrSet zone zone2 vrouter trust-vrsave创建接口—set interface eth1 zone trustSet interface eth1 ip 10.0.0.1/24Set interface eth1 manage pingSet interface eth1 manage webuiSet interface eth1 manage telnetSave设置V-R— set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr Set vrouter untrust-vr route 0.0.0.0/0 interface eth1/2 gateway 10.0.0.2/24Save。

Juniper防火墙基本命令常用查看命令Get int查看接口配置信息Get int ethx/x查看指定接口配置信息 Get mip查看映射ip关系 Get route查看路由表Get policy id x查看指定策略Get nsrp查看nsrp信息，后可接参数查看具体vsd组、端口监控设置等 Get per cpu de查看cpu利用率信息Get per sessionde查看每秒新建会话信息 Get session查看当前会话信息，后可匹配源地址、源端口、目的地址、目的端口、协议等选项Get session info查看当前会话数量Get system查看系统信息，包括当前os版本，接口信息，设备运行时间等 Get chaiss查看设备及板卡序列号，查看设备运行温度 Get counter stat查看所有接口计数信息Get counter stat ethx/x查看指定接口计数信息Get counter flow zone trust/untrust查看指定区域数据流信息Get counter screen zone untrust/trust查看指定区域攻击防护统计信息Get tech-support查看设备状态命令集，一般在出现故障时，收集该信息寻求JTAC支持常用设置命令Set int ethx/x zone trust/untrust/dmz/ha配置指定接口进入指定区域(trust/untrust/dmz/ha等) Set int ethx/x ip x.x.x.x/xx配置指定接口ip地址Set int ethx/x manage配置指定接口管理选项，打开所有管理选项Set int ethx/x manage web/telnet/ssl/ssh配置指定接口指定管理选项 Set int ethx/x phy full 100mb配置指定接口速率及双工方式 Set int ethx/x phy link-down配置指定接口shutdownSet nsrp vsd id 0 monitor interface ethx/x配置ha监控端口，如此端口断开，则设备发生主/备切换Exec nsrp vsd 0 mode backup手工进行设备主/备切换，在当前的主设备上执行set route 0.0.0.0/0 interface ethernet1/3 gateway 222.92.116.33配置路由，需同时指定下一跳接口及ip地址所有set命令，都可以通过unset命令来取消，相当于cisco中的no所有命令都可以通过“TAB”键进行命令补全，通过“?”来查看后续支持的命令防火墙基本配置create account [admin | user]<username> （创建账户）回车输入密码：再次输入密码：configure account admin (配置账户)回车输入密码：再次输入密码： 2.port配置config ports <portlist> auto off{speed [10 | 100 | 1000]} duplex [half | full] auto off 配置端口的限速和工作模式（全和半） 3.Vlan配置无论是核心还是接入层，都要先创建三个Vlan，并且将所有归于Default Vlan的端口删除： config vlan default del port all 清除默认VLAN里面所有端口 create vlan Server create vlan User创建vlan server user和mangercreate vlan Manger 定义802.1q标记config vlan Server tag 10 config vlan User tag 20 config vlan Manger tag 30 设定Vlan网关地址：config vlan Server ipa 192.168.41.1/24 config vlan User ipa 192.168.40.1/24 config vlan Manger ip a 192.168.*.*/24Enable ipforwarding 启用ip路由转发，即vlan间路由 Trunk 配置config vlan Server add port 1-3 t config vlan User add port 1-3 t config vlan manger add port 1-3 t 4.VRRP配置enable vrrp 开启虚拟路由冗余协议configure vrrp add vlan UserVlan 在VLAN里面添加vrrpconfigure vrrp vlan UserVlan add master vrid 10 192.168.6.254 configure vrrp vlan UserVlan auth entication simple-passwordextreme configure vrrp vlan UserVlan vrid 10 priority 200 configure vrrp vlan UserVlan vrid 10 advertisement-interval15 configure vrrp vlan UserVlan vrid 1 0 preempt 5.端口镜像配置首先将端口从VLAN中删除enable mirroring to port 3 ＃选择3作为镜像口 config mirroring add port 1 ＃把端口1的流量发送到3config mirroring add port 1 vlan default ＃把1和vlandefault的流量都发送到3 6.port-channel 配置enable sharing <port> grouping<portlist> {port-based |address-based | round-robin} show port s haring //查看配置 7.stp配置enable stpd //启动生成树create stpd stp-name //创建一个生成树configure stpd <spanning treename> add vlan <vlanname> {ports<portlist> [dot1d | emistp |pvst -plus]}configure stpd stpd1 priority 16384configure vlan marketing add ports 2-3 stpd stpd1 emistp 8.DHCP 中继配置 enable bootprelay config bootprelay add <dhcp serverip> 9.NAT配置Enable nat ＃启用nat Static NAT Rule Exampleconfig nat add out_vlan_1 map source 192.168.1.12/32 to216.52.8.32/32 Dynamic NAT Rule Exam pleconfig nat add out_vlan_1 map source 192.168.1.0/24 to216.52.8.1 - 216.52.8.31 Portmap NAT R ule Exampleconfig nat add out_vlan_2 map source 192.168.2.0/25 to216.52.8.32 /28 both portmap Portmap Min-Max Exampleconfig nat add out_vlan_2 map source 192.168.2.128/25 to216.52.8.64/28 tcp portmap 1024 - 819 2 10.OSPF配置enable ospf 启用OSPF进程create ospf area <area identifier>创建OSPF区域configure ospf routerid [automatic |<routerid>] 配置Routeridconfigure ospf add vlan [<vlanname> | all] area <areaidentifier> {passive}把某个vlan加到某个Area中去，相当于Cisco中的 network的作用configure ospf area <areaidentifier> add range<ipaddress><mask> [advertise | noadvertise]{type-3 | type-7} 把某个网段加到某个Area中去，相当于Cisco中的network的作用configure ospf vlan <vlan name>neighbor add <ipaddress> OSPF中路由重发布配置enable ospf export direct [cost<metric> [ase-type-1 | ase-type-2]{tag <number>} |<route map>] enable ospf export static [cost<metric> [ase-type-1 | ase-type-2]{tag <number>} |<route map>] enable ospf originate-default {always} cost<metric> [ase-type-1 | ase-type-2]{tag <number>} enable ospf originate-router-id 11.SNMP配置enable snmp access启用SNMP访问 enable snmp traps启用SNMP限制create access-profile <accessprofile> type [ipaddress | vlan]config snmp access-profile readonly[<access_profile> |none]配置snmp的只读访问列表，none 是去除config snmp access-profile readwrite[<access_profile> | none]这是控制读写控制 config snmp add trapreceiver <ipaddress> {port<udp_port>}community<communitystring> {from<source ip address>} 配置snmp接收host和团体字符串 12.安全配置disable ip-option loose-source-route禁止散发源路由 disable ip-option strict-source-route禁止静态源路由 disable ip-option record-route 禁用路由记录。

juniper防火墙常用配置1.Juniper防火墙管理配置的基本信息Juniper防火墙常用管理方式：①通过Web浏览器方式管理。

推荐使用IE浏览器进行登录管理，需要知道防火墙对应端口的管理IP地址；Juniper防火墙缺省管理端口和IP地址：Juniper防火墙缺省登录管理账号：①用户名：②密码：NS-5GT NAT/Route模式下的基本配置注：NS-5GT设备的物理接口名称叫做trust和untrust；缺省Zone 包括：trust和untrust，请注意和接口区分开。

① Unset interface trust ip （清除防火墙内网端口的IP地址）；② Set interface trust zone trust（将内网端口trust分配到trust zone）；③（设置内网端口trust的IP地址，必须先定义zone，之后再定义IP地址）；④ Set interface untrust zone untrust（将外网口untrust分配到untrust zone）；⑤（设置外网口untrust的IP地址）；⑥（设置防火墙对外的缺省路由网关地址）；⑦ Set policy from trust to untrust any any any permit log（定义一条由内网到外网的访问策略。

策略的方向是：由zone trust 到zone untrust，源地址为：any，目标地址为：any，网络服务为：any，策略动作为：permit允许，log：开启日志记录）；⑧ Save （保存上述的配置文件）。

NS-25-208 NAT/Route模式下的基本配置我们在做nat地址转换的时候要注意当前内网接口和外网接口的模式，正常的应该是：⑦ Set policy from trust to untrust any any any permit log（定义由内网到外网的访问控制策略）；⑧ Save （保存上述的配置文件）3.Juniper防火墙几种常用功能的配置这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现，包括：MIP（映射IP）、VIP（虚拟IP）和DIP，这三种常用功能主要应用于防火墙所保护服务器提供对外服务。

juniper命令注解netscreen 设备管理配置netscreen 设备管理配置8实例分析：NETSCREEN 现有配置1.1时间设定set clock dst-off /自动调整时间关set clock ntp /设置NTP时间同步set clock timezone 9 /设置时区set vrouter trust-vr sharable /设置虑拟路由器trust-vr可以为其他VSYS系统共享1.2路由导出及自定义服务设定unset vrouter "trust-vr" auto-route-export /禁止路由器trust-vr的路由自动导出set service "CVS" protocol tcp src-port 0-65535 dst-port 2401-2401/自定义CVS服务协议为TCP 源端口为0-65535 目地端口为24011.3认证的设定set auth-server "Local" id 0 /设置认证SERVER为本地认证set auth-server "Local" server-name "Local" /设置本地认证SERVER名为LOCAL set auth default auth server "Local" /设置默认认证服务器为LOCAL1.4管理员的设定set admin name "netscreen" /设置管理员用户名set admin password "XXXXXX" /设置管理员密码set admin user "livedoorcn" password "XXXXXXX" privilege "all"/添加管理员用户livedoorcn及其权限为R-W1.5管理IP的设定set admin manager-ip xxx.174.65.0 255.255.255.0 /设置管理IPset admin manager-ip 10.0.71.136 255.255.255.255 /设置管理IPset admin manager-ip xxx.xxx.xxx.141 255.255.255.192 /设置管理IPset admin manager-ip xxx.xxx.xxx.246 255.255.255.255 /设置管理IPset admin manager-ip 10.0.71.139 255.255.255.255 /设置管理IPset admin manager-ip xxx.xxx.xxx.0 255.255.255.0 /设置管理IP1.6SSH及区域设定set admin scs password disable username netscreen /禁止用户的SSH密码认证set admin scs password disable username livedoorcn /禁止用户的SSH密码认证set admin auth timeout 10 /设置认证时间超时set admin auth server "Local" /设置管理认证服务器set zone "Trust" vrouter "trust-vr" /设置信任区域set zone "Untrust" vrouter "trust-vr" /设置非信任区域set zone "VLAN" vrouter "trust-vr" /设置VLAN区域set zone "Trust" tcp-rst /设置TRUST安全区超时回应RESET信息set zone "Untrust" block /封锁同一安全区中主机之间的信息流unset zone "Untrust" tcp-rst /设置UNTRUST安全区超时不回应RESET信息set zone "MGT" block /封锁同一安全区中主机之间的信息流set zone "VLAN" block /封锁同一安全区中主机之间的信息流set zone "VLAN" tcp-rst /设置TRUST安全区超时回应RESET信息1.7网络攻击保护选项的设定set zone "Trust" screen alarm-without-drop /设置告警但并不丢弃数据包set zone "Trust" screen icmp-flood /设置ICMP泛洪攻击保护set zone "Trust" screen udp-flood /设置UDP泛洪攻击保护set zone "Trust" screen winnuke /设置winnuke攻击保护set zone "Trust" screen port-scan /设置端口扫描攻击保护set zone "Trust" screen ip-sweep /设置IP地址扫描攻击保护set zone "Trust" screen tear-drop /设置tear-drop攻击保护set zone "Trust" screen syn-flood /设置SYN 泛滥攻击保护(DOS)set zone "Trust" screen ip-spoofing /设置IP欺骗攻击保护set zone "Trust" screen ping-death /设置PING-DEATH攻击保护set zone "Trust" screen ip-filter-src /设置禁示使用松散源路由或严格源路由选项set zone "Trust" screen land /设置陆地攻击保护set zone "Trust" screen tcp-no-flag /设置TCP无标志保护set zone "Trust" screen unknown-protocol /设置未知协议保护set zone "Trust" screen ip-bad-option /设置BAD选项保护set zone "Trust" screen ip-record-route /设置记录路由保护set zone "Trust" screen ip-timestamp-opt /设置时间戳保护set zone "Trust" screen ip-security-opt /设置IP安全选项保护(已不用)set zone "Trust" screen ip-loose-src-route /设置松散源路由(记录)set zone "Trust" screen ip-strict-src-route /设置严格源路由(记录)set zone "Trust" screen ip-stream-opt /设置IP选项流ID(费弃选项)set zone "Trust" screen icmp-large /设置icmp大包保护set zone "Trust" screen syn-fin /设置操作系统set zone "Trust" screen fin-no-ack /设置FIN但无ACK标志保护set zone "Trust" screen limit-session source-ip-based /设置源IP会话限制set zone "Trust" screen syn-ack-ack-proxy /设置同步代理泛滥保护set zone "Trust" screen block-frag /设置IP封包的碎片保护set zone "Trust" screen limit-session destination-ip-based /设置目的IP会话限制set zone "Untrust" screen tear-dropset zone "Untrust" screen syn-floodset zone "Untrust" screen ping-deathset zone "Untrust" screen ip-filter-srcset zone "Untrust" screen landset zone "V1-Untrust" screen tear-dropset zone "V1-Untrust" screen syn-floodset zone "V1-Untrust" screen ping-deathset zone "V1-Untrust" screen ip-filter-srcset zone "V1-Untrust" screen landset zone "Trust" screen limit-session destination-ip-based 1280 /设置目的IP会话限制1.8接口的设定set interface "trust" zone "Trust" /将接口trust绑定到trust安全区域set interface "untrust" zone "Untrust" /将接口untrust绑定到untrust安本区域unset interface vlan1 ip /没有设定VLAN IP地址set interface trust ip 10.0.71.1/24 /设置trust接口IP地址set interface trust nat /设置trust接口工作模式set interface untrust ip xxx.xxx.xxx.131/26 /设置untrust接口IP地址set interface untrust route /设置untrust接口工作模式set interface untrust gateway xxx.xxx.xxx.129 /设置untrust接口网关unset interface vlan1 bypass-others-ipsec /阻止NetScreen 设备通过IPSec信息流unset interface vlan1 bypass-non-ip /阻止所有非IP和非ARP 单点传送信息流set interface trust ip manageable /设置trust接口为可管理接口set interface untrust ip manageable /设置untrust接口为可管理接口set interface untrust manage ping /允许untrust接口PINGset interface untrust manage ssh /允许untrust接口可以SSH 管理set interface untrust manage web /允许untrust接口可以WEB 管理1.9MIP地址映射的设定set interface "untrust" mip xxx.xxx.xxx.135 host 10.0.71.135 netmask 255.255.255.255 vrouter "trust-vr" /设置MIP映射地址以下类同:set interface "untrust" mip xxx.xxx.xxx.133 host 10.0.71.133 netmask 255.255.255.255 vrouter "trust-vr"set interface "untrust" mip xxx.xxx.xxx.134 host 10.0.71.134 netmask 255.255.255.255 vrouter "trust-vr"set interface "untrust" mip xxx.xxx.xxx.136 host 10.0.71.136 netmask 255.255.255.255 vrouter "trust-vr"set interface "untrust" mip xxx.xxx.xxx.139 host 10.0.71.139 netmask 255.255.255.255 vrouter "trust-vr"set interface "untrust" mip xxx.xxx.xxx.140 host 10.0.71.140 netmask 255.255.255.255 vrouter "trust-vr"set interface "untrust" mip xxx.xxx.xxx.132 host 10.0.71.132 netmask 255.255.255.255 vrouter "trust-vr"set interface "untrust" mip xxx.xxx.xxx.142 host 10.0.71.142 netmask 255.255.255.255 vrouter "trust-vr"set interface "untrust" mip xxx.xxx.xxx.143 host 10.0.71.143 netmask 255.255.255.255 vrouter "trust-vr"。

参数时区设置虚拟路由器设置ALG认证和管理员属性ZONE设置接口设置Flow设置HA设置SYSLOGSNMP VPN命令set clock dst-offset clock ntpset clock timezone 8set ntp server x.x.x.xset ntp server backup1 "x.x.x.x"set ntp server backup2 "x.x.x.x"set ntp max-adjustment 0set vrouter trust-vr sharableunset vrouter "trust-vr" auto-route-exportunset alg sip enableunset alg mgcp enableunset alg sccp enableunset alg sunrpc enableunset alg msrpc enableunset alg rtsp enableunset alg h323 enableset auth-server "XXXX" radius secret "xxxx"set auth-server "ACS" radius port 1646set admin name "ccb"set admin password "xxxxxxxxx"set admin manager-ip x.x.x.x x.x.x.xset admin auth timeout 10set admin auth server "XXXX"set admin auth banner console login "Access is….ly" set admin privilege get-externalset admin format dosset zone "Trust" vrouter "untrust-vr"set zone "Untrust" vrouter "untrust-vr"set zone "DMZ" vrouter "untrust-vr"unset zone "Trust" tcp-rstset zone "Trust" blockunset zone "Untrust" tcp-rstset zone "Untrust" blockset zone "Untrust" screen tear-dropset zone "Untrust" screen syn-floodset zone "Untrust" screen ping-deathset zone "Untrust" screen ip-filter-srcset zone "Untrust" screen landset zone "Untrust" screen alarm-without-dropset interface "ethernet1/1" zone "xxx"set interface ethernet1/1 ip x.x.x.x/xset interface ethernet1/1 routeset interface ethernet1/1 manage-ipset interface ethernet1/1 ip manageableset interface ethernet1/1 manage xxxxunset flow tcp-syn-checkset flow tcp-syn-bit-checkset flow syn-proxy syn-cookieset flow reverse-route clear-text peferset flow reverse-route tunnel alwaysset flow no-tcp-seq-checkset nsrp cluster id 1set nsrp rto-mirror syncset nsrp rto-mirror session ageout-ackunset nsrp rto-mirror session pingset nsrp vsd-group id 0 priority 20set nsrp vsd-group id 0 monitor interface ethernet1/1 set nsrp monitor track-ip ipset nsrp monitor track-ip ip x.x.x.x threshold 10set nsrp vsd-group master-always-existset ntp no-ha-syncset syslog enableset syslog config "x.x.x.x"set syslog config " x.x.x.x " facilities local0 local0set snmp community "xxx" Read-Only Trap-on version v1set snmp host "bbb" y.y.y.y 255.255.255.255 trap v2set snmp name xxxxset snmp port listen 161set snmp port trap 162set pki authority default scep mode "auto"set pki x509 default cert-path partialset ike respond-bad-spi 1unset ike ikeid-enumerationunset ike dos-protectionunset ipsec access-session enableset ipsec access-session maximum 5000set ipsec access-session upper-threshold 0set ipsec access-session lower-threshold 0set ipsec access-session dead-p2-sa-timeout 0unset ipsec access-session log-errorunset ipsec access-session info-exch-connectedunset ipsec access-session use-error-logset interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3set ike gateway To_Paris address 2.2.2.2 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn Tokyo_Paris gateway To_Paris sec-level compatibleset vpn Tokyo_Paris bind interface tunnel.1set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip10.2.2.0/24 anywebConfiguration > Date/Time > Configuration > Date/Time > Configuration > Date/Time > Set Time Zone_hours_minutes from GMT Configuration > Date/Time>Primary Server IP/Name: X.X.X.X Configuration > Date/Time>Backup Server1 IP/Name: X.X.X.X Configuration > Date/Time>Backup Server2 IP/Name: X.X.X.X Configuration >Date/Time>Automatically synchronize with an Internet Time Server (NTP): ( 选择 )Maximum time adjustment seconds:0Network > Routing > Virtual Routers > Edit ( 对于 trust-vr):Shared and accessible by other vsys ( 选择 )Network > Routing > Virtual Router > Edit ( 对于 trust-vr): 取消选择Auto Export Route to Untrust-VR，然后单击 OK。

juniper防火墙简单配置（Juniper firewall simple configuration）取消重点保护使设置时钟的时区7设置时钟DST重复启动2 0 3日02:00结束平日1 0 11 02:00vrouter信任虚拟共享设置设置“不信任vrouter VR”出口集vrouter信任VR”设置自动路径导出出口集appleichat使ALG不appleichat重新装配使ALG集ALG SCTP使认证服务器设置“本地”ID 0认证服务器设置“本地”服务器名称“地方”认证服务器设置“本地”ID 1认证服务器设置“本地”服务器名称“地方”设置默认的认证服务器认证的“地方”设置认证RADIUS记帐端口1646设置管理员名称”txbfhq”设置管理员密码”npd4p / ryerllc51dfsub2fgt96d5on”设置管理访问尝试1集失败960管理员访问锁设置管理员认证网络超时0设置管理认证服务器的“本地”设置管理员认证远程根设置管理格式设置区的“信任”vrouter信任VR”设置区的“不信任”的vrouter信任VR”集区dmz vrouter信任VR”集区”vrouter VLAN”“信任VR”设置区的“不信任”的信任vrouter屯“VR”设置区的“信任”的TCP RST不带“不信任”的块不带“不信任”的TCP RST集区”管理”模块不带“V1信任“TCP RST不带“V1不信任”的TCP RST不带“DMZ”TCP RST不带“v1-dmz”TCP RST不带“VLAN”TCP RST设置区的“信任”屏幕IP欺骗基于区不带“不信任”的屏幕的泪滴不带“不信任”的屏幕SYN洪水不带“不信任”的屏幕平死不带“不信任”的屏幕的IP筛选器SRC 不带“不信任”的屏幕的土地设置区的“不信任”的屏幕区基于IP欺骗集区V1不信任”的屏幕的泪滴集区V1不信任”的屏幕SYN洪水集区V1不信任”的屏幕平死集区V1不信任”屏幕的IP筛选器SRC集区V1不信任”屏幕的土地集区dmz屏幕报警不降集区“DMZ”屏幕上的隧道集区dmz屏幕ICMP洪水集区dmz屏幕泛滥集区dmz屏幕WinNuke集区dmz屏幕端口扫描集区dmz屏幕IP扫描集区“DMZ”屏幕的泪滴集区dmz屏幕SYN洪水集区dmz屏幕IP欺骗集区dmz屏平死集区“DMZ”屏幕的IP筛选器SRC 集区“DMZ”屏幕的土地集区“DMZ”屏幕的SYN片段集区dmz屏幕TCP没有国旗集区dmz筛选未知协议集区dmz屏幕IP不坏的选择集区“DMZ”屏幕的IP记录路由集区“DMZ”屏幕选择IP时间戳集区dmz屏幕IP安全选择集区dmz屏幕IP松散的src路径集区dmz屏幕IP严格的src路径集区“DMZ”屏幕选择IP流集区dmz屏幕ICMP片段集区dmz ICMP大屏幕集区dmz屏幕同翅集区dmz屏翅无确认集区dmz屏幕限制会话的源IP集区dmz屏幕SYN ACK ACK代理集区dmz屏幕块碎片集区dmz屏幕限制会话的IP目标集区dmz屏幕组件块拉链集区dmz屏幕组件块罐集区dmz屏幕组件块EXE集区dmz屏幕组件阻止ActiveX集区dmz屏幕ICMP ID集区dmz屏幕TCP扫描集区dmz屏幕UDP扫描集区dmz屏幕IP欺骗下降RPF路由设置界面“Ethernet0 / 0区”“信任”设置界面“Ethernet0 / 1“区”非军事区”设置界面“Ethernet0 / 2区”“不信任”设置界面“Ethernet0 / 3“区”V1空”设置IP 10.0.3.9/24接口Ethernet0 / 0设置NAT接口Ethernet0 / 0设置接口VLAN1的IP设置IP 192.168.2.1/24接口Ethernet0 / 1 设置NAT接口Ethernet0 / 1设置IP 218.89.188.50/24接口Ethernet0 / 2 设置NAT接口Ethernet0 / 2设置接口VLAN1绕过其他IPSec设置接口VLAN1旁路非IP设置接口Ethernet0 / 0 IP管理设置接口Ethernet0 / 1 IP管理设置接口Ethernet0 / 2 IP管理设置接口Ethernet0 / 1管理SSH设置管理Telnet接口Ethernet0 / 1设置管理SNMP接口Ethernet0 / 1设置接口Ethernet0 / 1管理SSL设置接口Ethernet0 / 1管理网络设置接口Ethernet0 / 2管理平设置接口Ethernet0 / 2管理SSH设置管理Telnet接口Ethernet0 / 2设置管理SNMP接口Ethernet0 / 2设置接口Ethernet0 / 2管理SSL设置接口Ethernet0 / 2管理网络设置接口Ethernet0接口IP 8079 / 1 VIP“http”218.89.189.232设置接口Ethernet0接口IP 8080 / 1 VIP“http”218.89.188.50设置接口Ethernet0接口IP 8077 / 1 VIP“http”10.0.3.10设置接口Ethernet0接口IP 8078 / 1 VIP“http”10.0.3.9设置界面“Ethernet0 / 2“218.89.188.50主机子网掩码255.255.255.255 10.0.3.10 MIP VR”信任VR”设置流量没有TCP序列检查设置流SYN校验设置流TCP SYN位检查设置流量反向路径清晰的文本选择设置流量反向路由隧道总是设置默认的权限模式PKI SCEP“自动”设置默认路径部分PKI X509证书设置地址的“信任”“10.0.3.1 / 24“10.0.3.1 255.255.255.0设置地址的“信任”“218.89.189.1 / 24“218.89.189.1 255.255.255.0设置地址“DMZ”“123”192.168.2.3 255.255.255.255设置地址“DMZ”kbx”10.0.3.10 255.255.255.0设置地址“DMZ”oda1”1.2.1.8 255.255.255.255设置地址“DMZ”oda2”1.2.1.8 255.255.255.255设置用户“恒源祥”UID 3设置用户“恒源祥”型奥特湾设置用户“恒源祥”密码“rvx4ldt9nz8bftsee1cajiiyq + nq9j3hyq = =“设置用户“恒源祥”“启用”设置用户“DW”UID 4设置用户“DW”型奥特湾设置用户“DW”密码“jbbrzotvn7ma6ssjcacxvyrw9jnjo3uwmg = =“设置用户“DW”“启用”设置用户的“kbx UID 1设置用户的“kbx”型奥特湾设置用户的“kbx“密码”sbofmfycngvprksk1mcvhzgdovnjbjd5rq = =“设置用户的“kbx”“启用”设置密码策略出口设置IKE响应不良SPI 1集艾克IKEv2 IKE SA软寿命60撤消艾克ikeid枚举撤消艾克DOS保护设置访问会话启用IPSec集IPSec接入会话最大5000集IPSec接入会话上限0集IPSec接入会议门槛降低0集IPSec接入会话dead-p2-sa-timeout 0 设置IPSec接入会话日志错误设置IPSec接入会话信息交换连接设置IPSec接入会话使用错误日志设置“不信任vrouter VR”出口集vrouter信任VR”出口设置URL协议Websense出口将策略ID从“信任”设置为“信任”、“任何”、“任何”、“任何”允许日志。

1、点击：Objects 中的IPPools添加一个IP地址池，这个地址池主要用来给我们通过L2TPVPN拨号进来的用户分配的内网的IP 地址。

如上图：IP Pool Name 输入地址池名字，以便调用；Start IP：地址池起始地址；End IP：地址池结束地址；输入好后点击OK。

2、地址池创建完毕后，点击Objects - Users - Local 点击New 创建用户如上图：输入User Name；User Password：输入密码；选中L2TP User；3、用户创建完毕后，创建用户组点击New进入创建用户组界面。

如下图：Group Name：输入组名；Availale Memgers下将创建好的用户点击“<<”添加到Group Members中点击OK。

4、用户组创建完毕后，进行L2TP缺省设置。

5、建立L2TP隧道，如下图点击New来新建一个。

如上图：Name：输入隧道名称；Dialup Group：修改成刚才创建的VPN拨号用户组；Outgoing Interface：我们出去通过那个接口，因为NS5GT是一款低端的juniper防火墙，只有trust与untrust，因为要做测试所以把VPN接口设置成内网接口trust，所以我这里就选择trust。

6、创建防火墙策略，下面我们来设置策略“Policis”在这下面有一个“From”后面选择“untrust”，“TO”后面选择“Trust”表示，我们现在要建立一条策略是从“Untrust”到“Trust”的，选择好以后点击后面的“New”来进行建立。

如下图：设置好点击OK。

需要强调的是现在创建的是测试内网VPN拨号，如果接入外网需要在第五步创建L2TP隧道时将Outgoing Interface设置成untrust，然后将重新创建防火墙策略。

这里防火墙的L2TP隧道创建完毕，下面是XP客户端创建VPN拨号连接。

XP 下VPN客户端具体设置如下：1、打开网络连接属性；2、左边“创建一个新的连接”；3、在弹出的“新连接向导”中点击“下一步”；4、选择“连接到我的工作场所的网络”后点击下一步；5、选择“虚拟专用网络连接”后点击“下一步”；6、输入公司名“XXX”后点击下一步；7、输入VPN服务器IP“192.168.1.254”后点击“下一步”；s 8、点击“完成”；9、弹出“连接”对话框点击“属性”；10、选择“高级（自定义设置）”—>选择“高级”—>点击“设置”；11、在“数据机密”下选择“可选加密”，还有下面“允许这些协议”，下面的“质询握手身份验证协议（CHAP）”；12、“网络”选项卡“VPN类型”改成“L2TP IPSec VPN”；13、须修改注册表，双击附带的注册表文件导入到注册表中后重新启动计算机；1、手动修改注册表，运行输入“regedit”打开注册表编辑器，2、找到以下这个表项：“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters”，3、在右边新填一个“DOWN值”。

Juniper防火墙配置的导入及导出juniper防火墙的配置文件可以通过多种方法导入导出，以便在防火墙出现故障时进行紧急恢复，因此维护防火墙要养成经常备份配置文件的好习惯。

下面看看juniper防火墙对配置文件可以做的一些操作。

使用根用户帐号进入Web界面，在Configuration > Update > Config File界面中可以看到juniper防火墙的配置操作界面。

保存现有防火墙配置到本地电脑选择"save to file"，会弹出下载提示，选择保存目录就可以讲防火墙的配置保存到本地了。

命令行：save config from flash to tftp 192.168.1.10 ssg140.cfg （需要开启TFTP服务，192.168.1.10为TFTP服务器地址，下面的命令行操作都需要TFTP支持）导入新配置覆盖原有配置选择Replace Current Configuration，点击Browse按钮，选择一个配置文件。

点击Apply 确认。

重启防火墙。

命令行：save config from tftp 192.168.1.10 ssg140.cfg to flash导入新配置与原有配置合并使用根用户或具有读写权限的帐号进入Web界面，在Configuration > Update > Config File 界面中，选择Merge to Current Configuration，点击Browse按钮，选择一个配置文件。

点击Apply确认。

重启防火墙。

命令行：SSG140-> save config from tftp 192.168.1.1 ssg140.cfg merge from trustLoad config from 192.168.1.10/cfg from trust .tftp received ctets = 2655tftp success!TFTP SucceededSave config ... ......................................................................SSH version 2 already active. ................Save System Configuration ...DoneDoneJuniper防火墙配置备份为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。