神州数码Juniper防火墙安装手册
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Juniper防火墙安装手册
神州数码(深圳)有限公司
二零零五年十二月
Juniper 防火墙安装手册
项目编号 Juniper200601 文档名称 Juniper防火墙安装手册
编写人完成日期 2006.01.18
文档修订记录:
日期修订版本修订内容修订人2005.12.18 V1.0 NSRP设置、L2TP设置梁文辉2005.12.19 V1.0 透明模式、故障排除技巧刘平、李滨2006.01.16 V1.0 NAT模式和路由模式安装张坤
目录
一、透明模式 (5)
1.1 、网络结构图 (5)
1.2、配置文件 (5)
二、NAT模式 (8)
2.1 、网络结构图 (8)
2.2、安装步骤 (8)
2.2.1 初始化配置 (8)
2.2.2 管理功能设置 (11)
2.2.3 安全区 (12)
2.2.4 端口设置 (13)
2.2.5 设置路由 (14)
2.2.6 NAT设置 (16)
2.2.7 端口服务 (19)
2.2.8 定义策略 (21)
三、路由模式 (24)
3.1 、网络结构图 (24)
3.2、安装步骤 (24)
3.2.1 初始化配置 (24)
3.2.2 管理功能设置 (27)
3.2.3 安全区 (28)
3.2.4 端口设置 (29)
3.2.5 Route 模式设置 (30)
3.2.6 设置路由 (31)
3.2.7 定义策略 (32)
四、动态路由 (35)
五、VPN (35)
5.1 C LIENT TO SITE (35)
5.2 建立L2TP (44)
5.2.1网络结构图 (44)
5.2.2配置防火墙 (45)
5.5.3 测试 (54)
六、HA (56)
6.1、网络拓扑结构图 (56)
6.2、设置步骤 (56)
6.3、命令行配置方式 (57)
6.4、图形界面下的配置步骤 (61)
七、故障排除 (65)
7.1 常用TROUBLESHOOTING命令 (65)
7.1.1 get system (65)
7.1.2 get route (65)
7.1.3 get arp (66)
7.1.4 get sess (66)
7.1.5 debug (67)
7.1.6 set ffilter (68)
7.1.7 snoop (69)
7.2 T ROUBLESHOOTING ROUTE (70)
7.2.1 Example 1- no route (70)
7.2.2 Example 2- no policy (70)
7.3 T ROUBLESHOOTING NAT (71)
7.3.1 Interface NAT-src (71)
7.3.2 policy NAT-src (71)
7.3.3 policy NAT-dst (72)
7.3.4 VIP (74)
7.3.5 MIP (74)
7.4 T ROUBLESHOOTING VPN (75)
7.4.1 常用调试命令 (75)
7.4.2 常见错误(以下日志是从VPN接收端收集) (76)
一、透明模式
1.1 、网络结构图
接口为透明模式时,NetScreen设备过滤通过防火墙的数据包,而不会修改IP数据包包头中的任何源或目的地信息。
所有接口运行起来都像是同一网络中的一部分,而NetScreen 设备的作用更像是第2层交换机或桥接器。
在透明模式下,接口的IP地址被设置为 0.0.0.0,使得NetScreen设备对于用户来说是可视或“透明”的。
透明模式是一种保护 Web 服务器,或者主要从不可信源接收信息流的其它任意类型服务器的方便手段。
使用透明模式有以下优点:
・不需要重新配置路由器或受保护服务器的IP设置
・不需要为到达受保护服务器的内向信息流创建映射或虚拟IP地址
1.2、配置文件
命令行步骤(以上图为例):
1、创建二层zone(本例中用的是默认的二层zone,因此不须创建。
如须创建,命令行
格式如下:
set zone name <name> L2 <vlan_tag>
例如:
ns208-> set zone name L2-Demo L2 1
2、指派端口至二层zone
格式如下:
set interface <int-name> zone <zone-name>
本例中命令行如下:
ns208-> set interface ethernet1 zone v1-trust
ns208-> set interface ethernet2 zone v1-DMZ
ns208-> set interface ethernet3 zone v1-untrust
3、设置VLAN1端口
ns208-> set interface vlan1 ip 1.1.1.210/24
ns208-> set interface vlan1 manage web
ns208-> set interface vlan1 manage telnet
ns208-> set interface vlan1 manage ping
4、为二层zone配置管理服务(可选)
格式如下:
set zone <name> manage [<service>]
以本图v1-trust zone为例,配置服务如下:
ns208-> set zone v1-trust manage web
ns208-> set zone v1-trust manage telnet
ns208-> set zone v1-trust manage ping
5、配置策略(略)
WebUI方式
1、创建二层zone
2、指派端口至二层zone
3、置VLAN1端口
4、为二层zone配置管理服务(可选)
5、配置策略(略)
二、NAT模式
2.1 、网络结构图
NAT拓扑图
用户需求:
1、内网用户能通过防火墙访问Internet,防火墙做NAT。
2、 Internet用户能访问内部的Mail Server的相关应用。
3、 Internet用户能通过不同的端口访问内部的 WebServer Group。
2.2、安装步骤
2.2.1 初始化配置
连接防火墙
Console方式
基于Console终端配置ISG2000 的准备
安装Windows操作系统的PC一台(装有超级终端)
ISG2000设备自带的Console电缆一条
使用超级终端建立一个连接,通过Console电缆一端连接ISG2000,一端连接COM,COM的参数设置如图:
使用Console 端口做初始化配置。
Netscreen 防火墙的初始账号和密码:
login: netscreen
password:netscreen
nsisg2000-> set hostname NSISG2000-1 ----------设置主机名称
NSISG2000-1->
NSISG2000-1-> set int mgt ip 192.168.1.1/24 ---------设置管理端口的地址
基于WEB方式
将管理PC机的电脑网卡地址设置成和管理端口同一网段。
并通过网线和ISG-2000的MGT端口连接,打开IE浏览器,在浏览器地址栏键入http://(ISG2000设备IP地址),如上图。
图形登陆
打开IE浏览器,并在URL:输入防火墙的管理地址。
2.2.2 管理功能设置
设置管理口令
选择Configuration> Admin > Administrators,点击NEW键,可以修改并添加防火墙管理员
2.2.3 安全区
设置安全区
选择Network > Zone >,点击NEW键,可以添加新的安全区。
在Zone name:Intranet -----------------安全区的名字
Virtual Router Name:trust-vr ----------------- 用默认的VR
Zone type:Layer 3 ---------------- zone类别为3层
命令行配置方式
set zone name Intranet
在配置防火墙的时候也可以不定义新的安全区,而使用防火墙预定义的安全区,默认的3层安全区有:Trust,UnTrust和DMZ这3个安全区。
本文档使用的是防火墙预定义的安全区。
2.2.4 端口设置
设置端口
选择Network > Interfaces > Ethernet1/1 > Edit
在Zone Name :Trust ---------将Ethernet 1/1 绑定到trust zone。
IP Address / Netwask : 10.1.1.254 /24 ----------输入IP 地址和掩码
选择Network > Interfaces > Ethernet1/2> Edit
在Zone Name :UnTrust ---------将Ethernet 1/1 绑定到trust zone。
IP Address / Netwask : 220.1.1.1 /24 ----------输入IP 地址和掩码
命令行配置方式
set inte e1/1 zone trust
set inte e1/2 zone untrust
set inte e1/1 ip 10.1.1.254/24
set inte e1/2 ip 220.220.1.1/24
2.2.5 设置路由
路由表选择
Network > Routing >Routing Entries
增加对外的默认路由
Network > Routing >Routing Entries > trust-vr > New,输入以下内容,单击OK。
Network Address / Netmask : 0.0.0.0 / 0
Gateway :
Interface: ethernet1/2
Gateway IP Address : 220.220.1.254 ------对外的网关地址
------route list 命令行配置方式
set route 0.0.0.0/0 interface ethernet1/2 gateway 220.220.1.254
2.2.6 NAT设置
基于接口的NAT设置
对绑定到Trust Zone的接口的工作模式进行设置
Network > Interfaces > Ethernet1/1> Edit ------编辑绑定到trust zone的接口
将接口设置为NAT模式
命令行配置方式
set interface e1/1 route
设置MIP地址翻译
选择Network > Interface > E1/2,点击Edit -----编辑绑定到Untrust zone的接口
点击 New 按钮,进入MIP的设置界面
输入需要映射的MIP地址
Mapped IP : 220.220.1.100 -------公网Mail服务器地址
Network : 255.255.255.255
Host IP Address : 10.1.1.100 -------内网Mail服务器网卡地址
Host Virtual Router Name :trust-vr
点击OK添加
命令行配置方式
set interface "ethernet1/2" mip 220.220.1.100 host 10.1.1.100 netmask 255.255.255.255 vrouter "trust-vr"
设置VIP地址翻译
选择Network > Interface > E1/2,点击Edit -----编辑绑定到Untrust zone的接口
输入Virtual IP Address:220.220.1.80 -------公网Web服务器地址点击 Add 添加
点击 New VIP Servie 按键
输入需要映射的Web服务器的地址和对外发布服务端口
Virtual IP : 220.220.1.80 -------公网Web服务器地址
Virtual Port : 80 -------对外发布的服务端口
Map to service : HTTP(80) -------内网Web服务器的真实端口Map to IP:10.1.1.10 -------内网Web服务器的地址
Virtual IP : 220.220.1.80 -------公网Web服务器地址
Virtual Port : 8080 -------对外发布的服务端口
Map to service : HTTP(80) -------内网Web服务器的真实端口Map to IP:10.1.1.20 -------内网Web服务器的地址
Virtual IP : 220.220.1.80 -------公网Web服务器地址
Virtual Port : 8800 -------对外发布的服务端口
Map to service : HTTP(80) -------内网Web服务器的真实端口Map to IP:10.1.1.30 -------内网Web服务器的地址
点击OK添加
命令行配置方式
set interface ethernet1/2 vip 220.220.1.80 80 "HTTP" 10.1.1.10
set interface ethernet1/2 vip 220.220.1.80 + 8080 "HTTP" 10.1.1.20
set interface ethernet1/2 vip 220.220.1.80 + 8800 "HTTP" 10.1.1.30
2.2.7 端口服务
针对WEB服务器对外访问提供的非标准服务端口,我们必须自定义服务端口。
创建服务
选择 Objects > Services > Custom
选择,输入需创建的服务内容,单击OK.
增加其他的服务:
命令行配置步骤
set service "TCP-8080" protocol tcp src-port 0-65535 dst-port 8080-8080
set service "TCP-8800" protocol tcp src-port 0-65535 dst-port 8800-8800
2.2.8 定义策略
设置从内到外的安全策略
选择Policy ,根据需求,为了让内部用户能够访问Internte,我们需要定义从Trust到Untrust 的Policy;而为了让外部用户能够访问内部的服务器,则需要定义从Untrust到Trust的Policy。
方法如下:
选择Policy>From Trust>To Untrust>New
输入以下内容,单击OK 创建Policy
Source Address : Address Book Entry : ------源地址
Destination Address: Address book Entry : ------目的地址
Service : ------服务对象
Action : ------策略的动作
Logging : ------打开或关闭流量日志
命令行配置方式
set policy from trust to untrust any any any permit
设置从内到外的安全策略
选择Policy>From Untrust >To Trust >New
Source Address : Any ------源地址Destination Address: MIP(220.220.1.100) ------目的地址Service : Mail & POP3 ------服务对象
Action : Permit ------策略的动作Logging : ------打开或关闭日志功能
选择Policy>From Untrust >To Trust >New
Source Address : Any ------源地址Destination Address: VIP(220.220.1.80) ------目的地址
Service : HTTP ------服务对象
Action : Permit ------策略的动作Logging : ------打开或关闭日志功能
选择Policy>From Untrust >To Trust >New
Source Address : Any ------源地址Destination Address: VIP(220.220.1.80) ------目的地址
Service : TCP-8080 ------服务对象
Action : Permit ------策略的动作Logging : ------打开或关闭日志功能
选择Policy>From Untrust >To Trust >New
Source Address : Any ------源地址Destination Address: VIP(220.220.1.80) ------目的地址
Service : TCP-8800 ------服务对象
Action : Permit ------策略的动作Logging : ------打开或关闭日志功能
命令行配置方式
set policy id 1 from "Untrust" to "Trust" "Any" "MIP(220.220.1.100)" "MAIL" permit set policy id 1
set service "POP3"
exit
set policy id 2 from "Untrust" to "Trust" "Any" "VIP(220.220.1.80)" "HTTP" permit
set policy id 3 from "Untrust" to "Trust" "Any" "VIP(220.220.1.80)" "TCP-8080" permit set policy id 4 from "Untrust" to "Trust" "Any" "VIP(220.220.1.80)" "TCP-8800" permit
三、路由模式
3.1 、网络结构图
Route 模式拓扑图
用户需求:
1、 ISG-2000防火墙部署在内部网络中,内部不同网段通过防火墙相互访问
2、防火墙部署为Route模式
3、不同网段间的数据包转发为路由转发,不做NAT
4、防火墙2个端口的地址分别是10.1.10.254和1.1.1.254,掩码一律都是24位
5、允许从10.1.110.0/24和10.1.120.0/24网段对1.1.10.0/24网段的所有访问.
6、允许1.1.20.0/24网段对10.1.110.0/24和10.1.120.0/24网段的所有访问。
3.2、安装步骤
3.2.1 初始化配置
连接防火墙
Console方式
基于Console终端配置ISG2000 的准备
安装Windows操作系统的PC一台(装有超级终端)
ISG2000设备自带的Console电缆一条
使用超级终端建立一个连接,通过Console电缆一端连接ISG2000,一端连接COM,COM的参数设置如图:
使用Console 端口做初始化配置。
Netscreen 防火墙的初始账号和密码:login: netscreen
password:netscreen
nsisg2000-> set hostname NSISG2000-1 ----------设置主机名称
NSISG2000-1->
NSISG2000-1-> set int mgt ip 192.168.1.1/24 ---------设置管理端口的地址基于WEB方式
将管理PC机的电脑网卡地址设置成和管理端口同一网段。
并通过网线和ISG-2000的MGT端口连接,打开IE浏览器,在浏览器地址栏键入http://(ISG2000设备IP地址),如上图。
图形登陆
打开IE浏览器,并在URL:输入防火墙的管理地址。
3.2.2 管理功能设置
设置管理口令
选择Configuration> Admin > Administrators,点击NEW键,可以修改并添加防火墙管理员
3.2.3 安全区
设置安全区
选择Network > Zone >,点击NEW键,可以添加新的安全区。
在Zone name:Intranet -----------------安全区的名字
Virtual Router Name:trust-vr ----------------- 用默认的VR
Zone type:Layer 3 ---------------- zone类别为3层
命令行配置方式
set zone name Intranet
在配置防火墙的时候也可以不定义新的安全区,而使用防火墙预定义的安全区,默认的3层安全区有:Trust,UnTrust和DMZ这3个安全区。
本文档使用的是防火墙预定义的安全区。
3.2.4 端口设置
设置端口
选择Network > Interfaces > Ethernet1/1 > Edit
在Zone Name :Trust ---------将Ethernet 1/1 绑定到trust zone。
IP Address / Netwask : 10.1.10.254 /24 ----------输入IP 地址和掩码
选择Network > Interfaces > Ethernet1/2> Edit
在Zone Name :UnTrust ---------将Ethernet 1/1 绑定到trust zone。
IP Address / Netwask : 1.1.1.254/24 ----------输入IP 地址和掩码
命令行配置方式
set inte e1/1 zone trust
set inte e1/2 zone untrust
set inte e1/1 ip 10.1.10.254/24
set inte e1/2 ip 1.1.1.254/24
save
3.2.5 Route 模式设置
基于接口的Route模式设置
对每个接口的工作模式进行设置
Network > Interfaces > Ethernet1/1> Edit ------编辑绑定到trust zone的接口
将E1/1接口设置为Route模式
为了让防火墙工作在路由模式下,需要将所有接口都设置为route。
默认配置下,仅有绑定到Trust Zone的接口是NAT模式
命令行配置方式
set interface e1/1 route
save
3.2.6 设置路由
路由表选择
Network > Routing >Routing Entries
增加不同网段间的默认路由
Network > Routing >Routing Entries > trust-vr > New,输入以下内容,单击OK。
Network Address / Netmask : 10.1.110.0 / 0
Gateway :
Interface: ethernet1/2
Gateway IP Address : 10.1.10.2 ------对外的网关地址
------route list 命令行配置方式
set route 10.1.110.0/24 interface ethernet1/1 gateway 10.1.10.2
set route 10.1.120.0/24 interface ethernet1/1 gateway 10.1.10.3
set route 1.1.10.0/24 interface ethernet1/2 gateway 1.1.1.2
set route 1.1.20.0/24 interface ethernet1/2 gateway 1.1.1.3
save
3.2.7 定义策略
设置从内到外的安全策略
选择Policy ,根据需求,我们要通过定制安全Policy实现允许从10.1.110.0/24和10.1.120.0/24网段对1.1.10.0/24网段的所有访问;以及允许1.1.20.0/24网段对10.1.110.0/24和10.1.120.0/24网段的所有访问。
方法如下:
选择Policy>From Trust>To Untrust>New
点击New按键创建新的安全策略
输入以下内容,单击OK 创建Policy
Source Address : Address Book Entry : ------源地址Destination Address: Address book Entry : ------目的地址Service : ------服务对象Action : ------策略的动作Logging : ------打开或关闭流量日志
设置从Untrust到Trust的安全策略
选择Policy>From Untrust >To Trust >New
输入以下内容,单击OK 创建Policy
Source Address : Address Book Entry : ------源地址Destination Address: Address book Entry : ------目的地址Service : ------服务对象
Action : ------策略的动作
Logging : ------打开或关闭流量日志
------------Policy list 命令行配置方式
set address "Trust" "10.1.110.0/24" 10.1.110.0 255.255.255.0
set address "Trust" "10.1.120.0/24" 10.1.120.0 255.255.255.0
set address "Untrust" "1.1.10.0/24" 1.1.10.0 255.255.255.0
set address "Untrust" "1.1.20.0/24" 1.1.20.0 255.255.255.0
set policy id 1 from "Trust" to "Untrust" "10.1.110.0/24" "1.1.10.0/24" "ANY" permit
set policy id 2 from "Trust" to "Untrust" "10.1.120.0/24" "1.1.10.0/24" "ANY" permit
set policy id 3 from "Untrust" to "Trust" "1.1.20.0/24" "10.1.110.0/24" "ANY" permit
set policy id 4 from "Untrust" to "Trust" "1.1.20.0/24" "10.1.120.0/24" "ANY" permit
save
四、动态路由
五、VPN
5.1 Client to site
如果一台PC在公司外面通过拨号上网获得公网IP地址,通过VPN client的软件来和公司内部建立VPN连接的,必须要有client软件来配合,假设netscreen后的公司内部地址为192.168.1.0网段。
1、建立用户:在树状目录中,Objects ->Users->Local ,单击右边New按钮,如图:
输入User Name,Status 选择为Enable ,将IKE User的复选框选中,并选择Simple
Identity,在IKE Identity 中输入字符串ateam@。
单击OK后退出。
2、建立远程的网关:在树状目录中,VPN -> AutoKey Advanced ->Gateway中,单击右边New按钮,如图
输入相应的Gateway Name为ateam_vpn ,Security Level选择为Custom ,Remote Gateway Type中选择Dialup User,并选择用户名为刚才我们所建立的用户名。
在Preshared Key中输入自己定义的密钥 netscreen,然后单击Advanced按钮,如图
Phase 1 Proposal选择为pre-g2-des-md5 ,Mode (Initiator)选择为Aggressive 。
单击Returen返回上一页面,并单击OK退出。
3、VPN->Autokey IKE中,单击右边New按钮,如图
在VPN Name中输入相应的名称,Remote Gateway选择我们刚才建立的网关
ateam_vpn ,单击Advanced按钮,如图:
Phase 2 Proposal选择g2-esp-des-md5 ,并单击Return返回前一页面,并单击OK退出。
4、单击Policies,在From 中选择Untrust ,在To 中选择Trust ,单击New按钮,如图:
在Source Address中选择Address Book ,并从下拉菜单中选择Dial-Up VPN ,Destination Address中输入本公司内部地址段192.168.1.0 ,子网掩码为255.255.255.0 。
Action选择为Tunnel ,Tunnel VPN选择我们建立的tr ,将Position at Top的复选框选中。
单击OK按钮退出。
5、PC端的设置:将客户端VPN软件安装后,在任务栏右下角会有一个蓝色的图标,双击打开Security Policy Editor ,如图:
在MyConection上右键单击,依次Add->Connection ,新建立一个VPN连接,名称为test 。
6、单击名为test的VPN连接,如图:
在Connection Security中选择Securite ,在Remote Party Identity and Addressing中,ID Type选择为IP Subnet ,Subnet中输入公司内部网络号192.168.1.0 ,Mask中输入
255.255.255.0 。
将Connet using Secure Gateway Tunnel选中,并在ID Type 中选择IP Address ,并输入Netscreen 的公网IP 61.152.219.14 。
7、单击Security Policy ,按照下图进行设置
8、单击My Identity ,按照下图进行设置:
在Select Certificate中选择None ,ID Type选择E-mail Address ,并输入ateam@。
然后单击Pre-Shared Key ,如图
并输入在Netscreen中Gateway中事先定义的密钥netscreen ,然后单击OK确认。
9、单击Security Policy 前面的+ ,依次展开Security Policy->Authentication (Phase 1)->Proposal1 ,进行如图的配置。
10、展开Key Exchange(Phase2)->Proposal1 ,进行如图的设置:
11、单击File->Save或者Save的图标,保存设置。
12、在屏幕右下方的Netscreen的小图标上右键单击,选择Reload Security Policy ,使刚才设置的VPN策略生效。
这时,如果你ping公司的内部IP地址的话,在Netscreen的小图标上会有黄色的小钥匙,并有绿色的小点在闪动,证明已经和内部IP建立起正常的VPN通信了。
如果你要把当前VPN的配制导出在另外的PC上使用,可以单击File->Export Security Policy ,
提示你是否要保护该策略不被修改,如果选择Yes的话,则生成的策略文件在重新导入到PC的时候不能被修改;如果选择No的话,是可以继续修改的。
这里建议选择Yes ,以确保不被修改。
5.2 建立L2TP
5.2.1网络结构图
建立参数:
地址池范围:192.168.2.2----192.168.2.10
DNS Servers: 192.168.1.102
192.168.1.103
Primary WINS Server : 192.168.1.100
Secondary WINS Server: 192.168.1.101
L2TP用户认证:本地
用户名:liang
密码: liang
5.2.2配置防火墙
命令行步骤:
1、建立l2tp用户
set user "liang" enable
set user "liang" type l2tp
set user "liang" password "liang"
2、建立L2TP地址池
set ippool "l2tp-pool" 192.168.2.2 192.168.2.10
注:和内部端口地址不在同一网段。
3、建立DNS、Wins地址
a、所有的用户都使用相同的DNS和WINS地址时,
set l2tp default dns1 192.168.1.102
set l2tp default dns2 192.168.1.103
set l2tp default wins1 192.168.1.100
set l2tp default wins2 192.168.1.101
b、基于不同用户使用不同的DNS和WINS地址时
set l2tp "liang-l2tp" remote-setting dns1 172.1.1.1
set l2tp "liang-l2tp" remote-setting dns2 172.1.1.2
set l2tp "liang-l2tp" remote-setting wins1 172.1.1.3
set l2tp "liang-l2tp" remote-setting wins1 172.1.1.4
4、建立L2TP Tunnel策略
set l2tp "liang-l2tp" outgoing-interface ethernet4 keepalive 60
set l2tp "liang-l2tp" remote-setting ippool "l2tp-pool"
也可根据用户身份建立不同的Tunnel地址策略:
set l2tp "liang-l2tp" auth server "Local" user "liang"
set l2tp “test-l2tp” anth server “local” user “test”
5、建立防火墙安全策略
set policy id 6 from "ouside" to "inside" "Any" "192.168.1.0/24" "ANY" Tunnel l2tp "liang-l2tp" log
注:注意区域的定义。
图形界面的配置步骤
1、建立l2tp用户
2、建立ippool
3、建立L2TP
4、建立L2TP Tunnel
5、建立策略
二、Windows 2000设置。