10 Juniper防火墙使用固定IP接入上网
Juniper 防火墙配置简介
防火墙配置简介Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 1 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 2Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 3 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 4Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 5 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 6Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 7 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 8Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 9 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 10Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 11 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 12Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 13 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 14Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 15 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 16Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 17 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 18Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 19 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 20Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 21 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 22Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 23 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 24Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 25 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 26Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 27 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 28Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 29 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 30Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 31 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 32Thank YouCopyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 33。
Juniper防火墙新手教程10:Juniper防火墙使用固定IP接入上网
Juniper防火墙新手教程10:Juniper 防火墙使用固定IP接入上网分类: Juniper学习作者: 刘苏平Juniper防火墙有多种上网接入方法:固定IP,DHCP自动获取IP,ADSL拨号。
这三种接入方式基本涵盖了目前所有的上网接入方法,是Juniper防火墙具有很强的网络适应能力。
首先介绍Juniper防火墙使用固定IP接入上网的配置方法进入防火墙的Web界面,设置接口地址Trust接口Network > Interfaces > Edit (对于Trust Interface)Zone Name: TrustStatic IP: IP Address/Netmask: 192.168.1.1/24 (内网IP,可以根据自己的需要修改,默认IP为192.168.1.1/24 )Interface Mode: NAT默认的管理地址(Manage IP)与接口地址相同,但也可以更改,但管理地址必须与接口地址在同一网段中。
Untrust接口Network > Interfaces > Edit (对于Untrust Interface)Zone Name: UntrustStatic IP: IP Address/Netmask: 外网IP (输入接入商给的外网IP 及掩码地址)Interface Mode: Route设置路由只有对于使用固定IP地址线路接入方式,才需要设置默认路由。
其他两种接入方式,防火墙会自动添加默认路由的。
Network > Routing > Destination选择trust-vr,NewIP Address/Netmask: 0.0.0.0/0.0.0.0选择Gageway,Interface选择Untrust接口,Gateway IP Address填写接入商提供的网关IP。
设置策略部分低端的防火墙中默认有一条From Trust To Untrust,原地址为ANY,目标地址为ANY,服务为ANY的允许策略。
Juniper_SSG防火墙配置手册
Juniper SSG防火墙配置手册初始化设置................................................... 错误!未定义书签。
Internet网络设置............................................ 错误!未定义书签。
一样策略设置................................................. 错误!未定义书签。
VPN连接设置................................................. 错误!未定义书签。
初始化设置1.将防火墙设备通电,连接网线从防火墙e0\2口连接到电脑网卡。
2.电脑本地连接设置静态IP地址,IP地址(在都能够),子网掩码,默许网关,如以下图:3.设置好IP地址后,测试连通,在命令行ping ,如以下图:4.从IE阅读器登岸防火墙web页面,在地址栏输入,如以下图向导选择最下面No, skip ——,然后点击下面的Next:5.在登录页面输入用户名,密码,初始均为netscreen,如以下图:6.登岸到web治理页面,选择Configuration –Date/Time,然后点击中间右上角Sync Clock With Client选项,如以下图:7.选择Interfaces – List,在页面中间点击bgroup0最右边的Edit,如以下图:8.此端口为Trust类型端口,建议IP设置选择Static IP,IP Address输入计划好的本地内网IP地址,如,Manage IP 。
以后勾选Web UI,Telnet,SSH,SNMP,SSL,Ping。
如以下图:Internet网络设置1.修改本地IP地址为本地内网IP地址,如以下图:2.从IE阅读器打开防火墙web页面,输入用户名密码登岸,如以下图:3.选择Interfaces –List,点击页面中ethernet0/0最右边的Edit选项,如以下图:4.此端口为Untrust类型端口,设置IP地址有以下三种方式:(依照ISP提供的网络效劳类型选择)A.第一种设置IP地址是通过DHCP端获取IP地址,如以下图:B.第二种设置IP地址的方式是通过PPPoE拨号连接获取IP,如以下图,然后选择Create new pppoe setting,在如以下图输入本地ADSL pppoe拨号账号,PPPoE Instance输入名称,Bound to Interface选择ethernet0/0,Username和Password输入ADSL账号密码,以后OK,如以下图:PPPoE拨号设置完毕以后,点击Connect,如以下图:回到Interface –List,能够看到此拨号连接的连接状态,如以下图:ethernet0/0右边PPPoE一栏有一个红叉,表示此连接已经设置但未连接成功,如连接成功会显示绿勾。
JuniperSSG防火墙中文版配置手册
Juniper SSG-5防火墙配置手册中文版初始化设置1.将防火墙设备通电,连接网线从防火墙e0\2口连接到电脑网卡。
2.电脑本地连接设置静态IP地址,IP地址(在都可以),子网掩码,默认网关,如下图:3.设置好IP地址后,测试连通,在命令行ping ,如下图:4.从IE浏览器登陆防火墙web页面,在地址栏输入,如下图向导选择最下面No, skip ——,然后点击下面的Next:5.在登录页面输入用户名,密码,初始均为netscreen,如下图:6.登陆到web管理页面,选择Configuration –Date/Time,然后点击中间右上角Sync Clock With Client选项,如下图:7.选择Interfaces – List,在页面中间点击bgroup0最右侧的Edit,如下图:8.此端口为Trust类型端口,建议IP设置选择Static IP,IP Address输入规划好的本地内网IP地址,如,Manage IP 。
之后勾选Web UI,Telnet,SSH,SNMP,SSL,Ping。
如下图:Internet网络设置1.修改本地IP地址为本地内网IP地址,如下图:2.从IE浏览器打开防火墙web页面,输入用户名密码登陆,如下图:3.选择Interfaces – List,点击页面中ethernet0/0最右侧的Edit选项,如下图:4.此端口为Untrust类型端口,设置IP地址有以下三种方法:(根据ISP提供的网络服务类型选择)A.第一种设置IP地址是通过DHCP端获取IP地址,如下图:B.第二种设置IP地址的方法是通过PPPoE拨号连接获取IP,如下图,然后选择Create new pppoe setting,在如下图输入本地ADSL pppoe拨号账号,PPPoE Instance输入名称,Bound to Interface选择ethernet0/0,Username和Password输入ADSL账号密码,之后OK,如下图:PPPoE拨号设置完毕之后,点击Connect,如下图:回到Interface –List,可以看到此拨号连接的连接状态,如下图:ethernet0/0右侧PPPoE一栏有一个红叉,表示此连接已经设置但未连接成功,如连接成功会显示绿勾。
Juniper防火墙配置
目录
• • • • • Juniper防火墙简介及作用 Juniper防火墙基本配置 Juniper防火墙的接口模式 Juniper防火墙的策略 Juniper防火墙端口映射
防火墙应用场景1
防火墙应用场景2
DMZ区
安全区1 供员工使用 Web, email, 关键应用
安全区2 “供访客使用 只能上网
规格对照之SSG 350
产品特点与效益列表
• 特点一:提供完整的统一威胁管理(UTM)功能 效益 ◎ 状态防火墙,可执行接入控制并阻止网络层攻击 ◎ 整合入侵检测解决方案(IPS),有效阻止应用层的攻击 ◎ 提供 Site-to-site IPSec VPN,以确保各分支机构之间能够安全通信 ◎ 阻止拒绝服务(DoS)攻击 ◎ 支持 H.323、SIP、SCCP和MGCP的应用层网关,以检测和保护VoIP 流量 ◎ 整合卡巴斯基防病毒技术,防止病毒、间谍软件、广告软件和其它恶 意软件的 入侵 ◎ 整合SOPHOS防垃圾邮件技术,有效阻止不知名的垃圾邮件和钓鱼邮 件 ◎ 整合Websense技术,有效控制和阻止对恶意网站的访问
创建Zone 设置2层zone,名字前必须加上l2 • CLI set zone name l2** [L2] • Web UI Network->Zone->NEW
配置端口zone • CLI set interface ethernet0/0 zone untrust • Web UI network->interfaces->list ->选择端口EDIT 在zone name中选取,点击OK
特点与效益
• 特点四:提供稳定的路由协议 效益 提供最好的路由协议,包括OSPF、BGP和RIP v1/2,而且 兼容于Frame Relay、Multilink Frame Relay、PPP、 Multilink PPP和HDLC • 特点五:支持自动联机VPN (AC VPN) 效益 可自动完成设置,并且以集中星型(hub-and-spoke)拓扑 在远程分支机构之间自动建立VPN隧道,以提供高扩展性 支持
juniper防火墙
Juniper防火墙Juniper防火墙是一种企业级网络安全设备,专门设计用于保护网络免受非法入侵、恶意软件和其他网络威胁的攻击。
本文将介绍Juniper防火墙的基本原理、功能和配置方法。
1. 简介Juniper防火墙是Juniper Networks公司生产的一系列网络安全设备,包括物理和虚拟防火墙产品。
它采用先进的技术和算法,为企业提供强大的安全防护能力。
Juniper防火墙具有高性能、高可靠性和高安全性的特点,被广泛应用于数据中心、企业网络和云环境中。
2. 基本原理Juniper防火墙基于过滤规则对网络流量进行检查和控制。
它通过检查IP包的源地址、目的地址、端口和协议等信息,决定是否允许该流量通过。
防火墙还可以进行深度包检查和应用层协议分析,以识别和阻止潜在的安全威胁。
3. 功能3.1 防火墙规则防火墙规则是决定哪些流量被允许通过防火墙的最重要的配置项之一。
管理员可以根据网络的安全需求和策略,定义各种规则,如允许或禁止特定IP地址、端口或协议的流量通过。
3.2 网络地址转换(NAT)Juniper防火墙支持网络地址转换(NAT),它允许在私有网络和公共网络之间建立映射关系。
NAT可以隐藏内部网络的真实IP地址,提高网络的安全性,并且允许多个内部主机共享一个公共IP地址。
3.3 虚拟专用网络(VPN)Juniper防火墙支持虚拟专用网络(VPN)技术,可以建立安全的远程连接并加密数据传输。
VPN可以用于远程办公、分支机构互联和对外合作等场景,保护数据在传输过程中的安全性和隐私性。
3.4 入侵检测与预防系统(IDS/IPS)Juniper防火墙集成了入侵检测与预防系统(IDS/IPS),可以实时监测网络流量,识别并阻止潜在的入侵行为。
IDS/IPS可以在网络层和应用层提供全面的安全保护,有效地减少安全威胁所带来的风险。
3.5 安全日志和报警Juniper防火墙可以生成详细的安全日志,并提供实时的报警机制。
Juniper简单入门介绍-端口,静态路由,策略
Juniper简单入门介绍-端口,静态路由,策略Juniper简单入门介绍(配置端口,静态路由,配置防火墙策略)登陆Juniper设备后,需输入edit或者configuration 命令进入系统配置模式Juniper 系统自带命令和变量可按“空格”键补齐Juniper 系统“用户自定义”变量可按TAB键补齐一、配置端口Juniper配置端口是基于物理端口下的逻辑端口进行配置,例如set interfaces ge-0/0/5 unit 0 family inet address 192.168.1.1 以上命令为ge-0/0/5口添加一个ip地址为192.168.1.1,其中unit为逻辑端口单元,范围0~16385,若再执行命令set interfaces ge-0/0/5 unit 1 family inet address 192.168.2.1 则ge-0/0/5现在有两个ip分别为192.168.1.1和192.168.2.1 以上命令也可以写成set interfaces ge-0/0/5.0 family inet address 192.168.1.1其中.0代表unit 0二、配置静态路由举例:现有网段125.39.91.240/28Juniper ge-0/0/0.0 设置ip为192.168.88.1set routing-options static route 0.0.0.0/0 next-hop 192.168.88.1其中0.0.0.0/0 表示任意目标地址,192.168.88.1为路由器直连网关。
再举例:让所有访问192.168.77.X的路由走192.168.99.1set routing-options static route 192.168.77.0/24 next-hop 192.168.99.1以上192.168.77段,掩码为24,而192.168.99.1为路由器直连网关。
juniper防火墙如何配置多个ip
juniper防火墙如何配置多个ipjuniper防火墙配置多个ip方法一:放到dmz里面或者单独加一条策略全通的源ip是192.168.50.173 目的是any 其余的都是允许就ok了。
192.168.50.173/32 any any permit建好后将该策略移动到192.168.50.0/24策略的前面就行了juniper防火墙配置多个ip方法二:进入防火墙的web界面,设置接口地址trust接口network > interfaces > edit (对于trust interface)zone name: truststatic ip: ip address/netmask: 192.168.1.1/24 (内网ip,可以根据自己的需要修改,默认ip为192.168.1.1/24 ) interface mode: nat默认的管理地址(manage ip)与接口地址相同,但也可以更改,但管理地址必须与接口地址在同一网段中。
untrust接口network > interfaces > edit (对于untrust interface) zone name: untruststatic ip: ip address/netmask: 外网ip (输入接入商给的外网ip及掩码地址)interface mode: route设置路由只有对于使用固定ip地址线路接入方式,才需要设置默认路由。
其他两种接入方式,防火墙会自动添加默认路由的。
network > routing > destination选择trust-vr,newip address/netmask: 0.0.0.0/0.0.0.0选择gageway,interface选择untrust接口,gateway ip address填写接入商提供的网关ip。
设置策略部分低端的防火墙中默认有一条from trust to untrust,原地址为any,目标地址为any,服务为any的允许策略。
juniper防火墙配置
1、配置思路1)建立ZONE,规划接口,配置接口ip和静态路由2)定义策略地址(华南这里配置没有具体到对地址对象的分组,所以这一步这里省略)3)定义策略服务(先定义端口服务,然后完成VIP,MIP服务的定义)3)匹配策略5)恢复出厂配置(知道密码,不知密码的情况)6)配置导出与导入7)其他(添加用户,修改用户密码,同步)2、具体操作1)配置接口IP和静态路由第一步,通过IE登录到防火墙的WEBUI(ip为https://192.168.1.1),选择跳过向导直接进入登录,输入用户密码(netscreen/netscreen)进入第二步、为接口匹配iP(Zones和接口都用系统默认的就够用了,这里只需为接口配相应的IP)进入Network>interfaces界面先编辑eth0/1 的地址:其中Management Services可根管理需求勾选,ping勾上接着编辑eth0/2的地址:这里Management Service 勾上Web UI、Telnet及SSH,Ping也勾上,这样方便以后通过外网来管理防火墙。
最后方法同上修改eth0/0的ip为所要设的IP (华南这里:172.31.11.1/24),这里为方便管理Mangement Service全勾上。
配置完成后,防火墙会自动重启,这时需要重新修改本机的IP与防火墙的eth0/0接口的IP同网段(本机通过连接线连接在eth0/0口)第三步、添加静态路由进入Network > Routing > Destination界面,点击右上角的NEW来新建路由i)添加到internet的缺省路由目标网络:0.0.0.0 0.0.0.0 网关:202.105.115.201ii)同上方式添加一条连通DMZ与内、地区的路由(目标网络172.31.0.0/16 网关:172.31.11.2)iii)同上方式添加一条连通DMZ到总部的路由(目标网络172.17.0.0/16 网关:172.31.11.2)添加完成后如下图示2)定义策略地址(略)3)定义策略服务(先定义端口服务,然后完成VIP,MIP服务的定义)进入Policy > Policy Elements > Services > Custom界面来自定义服务端口第一步、对照之前准备的照服务端口映射表,统计需要定义的端口服务注:此图为端口服务映射表的部分统计的端口有:50000,22000,51000,4489,81,8080,7761,3389,139,4899,4200接着添加定义端口服务,点击右上角新建来定义端口,进入下面的界面:服务名设为端口号,目标端口号因为只有一个,范围的最小最大值都为端口号,这样就定义好了一个端口服务。
Juniper路由器配置操作手册
Juniper路由器配置操作手册ziJuniper OS 4.2R1.3 路由器配置操作手册1系统配置 (2)1.1系统信息基本配置 (2)1.2系统用户信息 (2)1.3系统服务配置 (3)2端口配置 (4)2.1juniper端口介绍 (4)2.2端口配置 (4)3SNMP配置 (6)4Routing-options配置 (7)4.1静态路由配置 (7)4.2route-id&as (7)4.3bgp聚合配置 (7)5Route protocal配置 (8)5.1Ospf配置 (8)5.2Bgp 配置 (9)6Policy 配置 (9)7Firewall 配置 (12)8Juniper与Cisco互连端口参数调整 (12)9Juniper备份结构与Cisco不同 (14)9.1console root登录 (14)9.2telnet登录 (14)Juniper所有配置,均在配置状态下进行。
分为由console进入和远程telnet进入。
由console进入JUNOS系统命令操作(由FreeBSD的简化系统)%cli 进入下面的用户操作hostname>edit 进入下面的用户配置hostname# 配置操作由远程telnet直接进入用户操作hostname>edit 进入下面的用户配置hostname# 配置操作1 系统配置1.1 系统信息基本配置#edit system 进入system配置菜单#set host-name axi580-a-hz1#set domain-name #set time-zone Asia/Shanghai# set system root-authentication plain-text-password (console登录,root口令缺省为空,虚设新口令)New password:******Retype new password:******#show 查看配置#commit 配置生效OR#commit confirmed 配置生效测试,5分钟后系统自动会滚,恢复原来配置。
Juniper防火墙有多种上网接入方法
Juniper防火墙有多种上网接入方法:固定IP,DHCP自动获取IP,ADSL拨号。
这三种接入方式基本涵盖了目前所有的上网接入方法,是Juniper防火墙具有很强的网络适应能力。
先介绍使用固定IP接入上网的方法。
手头上只有NS-25所以就拿它来简单配置一下,虽然它比较老了,但是原理都差不多。
还要先把情况说明一下,NS-25总共有4个端口,实验中ethernet1作为Trust区域,IP地址为192.168.1.1/24,ethernet3作为Untrust区域,IP地址为10.17.100.254/24,其它两个端口本实验中暂时不用。
本机接入ethernet1口,IP地址为192.168.1.2/24。
在地址栏中键入http://192.168.1.1 用户名密码都是netscreen,进入防火墙
防火墙初次配置会出现快速配置向导,选择第3项,Next跳过配置向导直接进入配置界面
首先进入ethernet1的编辑界面,接口模式设置为NAT,
然后进入ethernet3的编辑界面,接口模式设置为Route
设置完接口,我们还要配置策略(默认没有任何策略),简单设置一条从Trust到UNtrust 的全通策略
点击New按钮新建一条从Trust到UNtrust的策略
配置到现在我们还不能访问Internet,还有最重要的一步,那就是配置路由,给防火墙指定一个网关就OK了
选择Network>Routing>Routing Entries
选择trust-vr,新建一条路由
OK,大功告成。
Juniper防火墙IPSecVPN配置手册
当本端 ISG/SSG Untrust 接口为静态公网 IP 地址、远端为静态公网 IP 地址,
第 4 页 共 87 页
内部资料,请勿外传! Juniper 防火墙 IPSEC VPN 配置手册
且本端启用基于路由的 IPSEC VPN,本端 ISG/SSG 配置如下:
步骤一:配置子接口 tunnel.1
第 8 页 共 87 页
内部资料,请勿外传! Juniper 防火墙 IPSEC VPN 配置手册
2) unrust 区域--trust 区域的策略:
第 9 页 共 87 页
内部资料,请勿外传!
Juniper 防火墙 IPSec VPN 配置手册 V1.0
(仅供内部使用)
修改日期 2011.9.15
修改内容 新建此文档
备注
修改人员 李庭芳
北京世纪华风科技发展有限公司 2011 . 7. 6
内部资料,请勿外传!
目录
Juniper 防火墙 IPSEC VPN 配置手册
1 IPSEC VPN简介..........................................................................................................................3 2 IPSEC VPN两阶段加密算法 ......................................................................................................3
步骤二:配置 IPSEC VPN 阶段 1
第 5 页 共 87 页
Juniper防火墙的基本设置v.1
Juniper防⽕墙的基本设置v.1①通过Web浏览器⽅式管理.推荐使⽤IE浏览器进⾏登录管理,需要知道防⽕墙对应端⼝的管理IP地址;②命令⾏⽅式.⽀持通过Console端⼝超级终端连接和Telnet防⽕墙管理IP地址连接两种命令⾏登录管理模式. Juniper防⽕墙默认端⼝绑定说明:型号端⼝命名⽅式(从左往右计数) 配置界⾯端⼝形式NS-5GT 1⼝为Untrust接⼝;2-4⼝为Trust接⼝; Interface:untrust,trustNS25 1⼝为Trust接⼝;2⼝为DMZ接⼝;3⼝为Untrust接⼝;4⼝为NullInterface:1⼝为ethernet1,2⼝为ethernet2,其他接⼝顺序后推NS50-204 1⼝为Trust接⼝;2⼝为DMZ接⼝;3⼝为Untrust接⼝;4⼝为HA接⼝Interface:1⼝为ethernet1,2⼝为ethernet2,其他接⼝顺序后推NS208 1⼝为Trust接⼝;2⼝为DMZ接⼝;3⼝为Untrust接⼝;4-7⼝为Null接⼝;8⼝为HA接⼝;Interface:1⼝为ethernet1,2⼝为ethernet2,其他接⼝顺序后推SSG5 1⼝为Untrust接⼝;2⼝为DMZ接⼝;3-7⼝为Trust接⼝;Interface:1⼝为ethernet0/0,2⼝为ethernet0/1,其他接⼝顺序后推SSG20 1⼝为Untrust接⼝;2⼝为DMZ接⼝;3-5⼝为Trust接⼝;Interface:1⼝为ethernet0/0,2⼝为ethernet0/1,其他接⼝顺序后推SSG140 1⼝为Trust接⼝;2⼝为DMZ接⼝;3⼝为Untrust接⼝;4-10⼝为Null接⼝;Interface:1⼝为ethernet0/0,2⼝为ethernet0/1,其他接⼝顺序后推SSG520-550 1⼝为Trust接⼝;2⼝为DMZ接⼝;3⼝为Untrust接⼝;4⼝为Null接⼝;Interface:1⼝为ethernet0/0,2⼝为ethernet0/1,其他接⼝顺序后推Juniper防⽕墙缺省管理端⼝和IP地址:①Juniper防⽕墙出⼚时可通过缺省设置的IP地址使⽤Telnet或者Web⽅式管理.缺省IP地址为:192.168.1.1/255.255.255.0;②缺省IP地址通常设置在防⽕墙的Trust端⼝上(NS-5GT),最⼩端⼝编号的物理端⼝上(NS-25/50/204/208/SSG系列),或者专⽤的管理端⼝上(ISG-1000/2000,NS-5200/5400).Juniper防⽕墙缺省登录管理账号:①⽤户名:netscreen;②密码:netscreen.1.3,Juniper防⽕墙的常⽤功能在⼀般情况下,防⽕墙设备的常⽤功能包括:透明模式的部署,NAT/路由模式的部署,NAT的应⽤,MIP的应⽤,DIP的应⽤,VIP的应⽤,基于策略VPN的应⽤.本安装⼿册将分别对以上防⽕墙的配置及功能的实现加以说明.注:在对MIP/DIP/VIP等Juniper防⽕墙的⼀些基本概念不甚了解的情况下,请先到本⼿册最后⼀章节内容查看了解!2,Juniper防⽕墙三种部署模式及基本配置Juniper防⽕墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:①基于TCP/IP协议三层的NAT模式;②基于TCP/IP协议三层的路由模式;③基于⼆层协议的透明模式.2.1,NAT模式当Juniper防⽕墙⼊⼝接⼝("内⽹端⼝")处于NAT模式时,防⽕墙将通往Untrust 区(外⽹或者公⽹)的IP 数据包包头中的两个组件进⾏转换:源IP 地址和源端⼝号. 防⽕墙使⽤Untrust 区(外⽹或者公⽹)接⼝的IP 地址替换始发端主机的源IP 地址; 同时使⽤由防⽕墙⽣成的任意端⼝号替换源端⼝号.NAT模式应⽤的环境特征:①注册IP地址(公⽹IP地址)的数量不⾜;②内部⽹络使⽤⼤量的⾮注册IP地址(私⽹IP地址)需要合法访问Internet;③内部⽹络中有需要外显并对外提供服务的服务器.2.2,Route模式当Juniper防⽕墙接⼝配置为路由模式时,防⽕墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端⼝号保持不变(除⾮明确采⽤了地址翻译策略).①与NAT模式下不同,防⽕墙接⼝都处于路由模式时,防⽕墙不会⾃动实施地址翻译;②与透明模式下不同,当防⽕墙接⼝都处于路由模式时,其所有接⼝都处于不同的⼦⽹中.路由模式应⽤的环境特征:①防⽕墙完全在内⽹中部署应⽤;②NAT模式下的所有环境;③需要复杂的地址翻译.2.3,透明模式当Juniper防⽕墙接⼝处于"透明"模式时,防⽕墙将过滤通过的IP数据包,但不会修改IP数据包包头中的任何信息.防⽕墙的作⽤更像是处于同⼀VLAN的2 层交换机或者桥接器,防⽕墙对于⽤户来说是透明的. 透明模式是⼀种保护内部⽹络从不可信源接收信息流的⽅便⼿段.使⽤透明模式有以下优点:①不需要修改现有⽹络规划及配置;②不需要实施地址翻译;③可以允许动态路由协议,Vlan trunking的数据包通过.2.4,基于向导⽅式的NA T/Route模式下的基本配置Juniper防⽕墙NAT和路由模式的配置可以在防⽕墙保持出⼚配置启动后通过Web 浏览器配置向导完成.注:要启动配置向导,则必须保证防⽕墙设备处于出⼚状态.例如:新的从未被调试过的设备,或者经过命令⾏恢复为出⼚状态的防⽕墙设备.通过Web浏览器登录处于出⼚状态的防⽕墙时,防⽕墙的缺省管理参数如下:①缺省IP:192.168.1.1/255.255.255.0;②缺省⽤户名/密码:netscreen/ netscreen;注:缺省管理IP地址所在端⼝参见在前⾔部份讲述的"Juniper防⽕墙缺省管理端⼝和IP地址"中查找!! 在配置向导实现防⽕墙应⽤的同时,我们先虚拟⼀个防⽕墙设备的部署环境,之后,根据这个环境对防⽕墙设备进⾏配置.防⽕墙配置规划:①防⽕墙部署在⽹络的Internet出⼝位置,内部⽹络使⽤的IP地址为192.168.1.0/255.255.255.0所在的⽹段,内部⽹络计算机的⽹关地址为防⽕墙内⽹端⼝的IP地址:192.168.1.1;②防⽕墙外⽹接⼝IP地址(通常情况下为公⽹IP地址,在这⾥我们使⽤私⽹IP地址模拟公⽹IP地址)为:10.10.10.1/255.255.255.0,⽹关地址为:10.10.10.251要求: 实现内部访问Internet的应⽤.注:在进⾏防⽕墙设备配置前,要求正确连接防⽕墙的物理链路;调试⽤的计算机连接到防⽕墙的内⽹端⼝上.1. 通过IE或与IE兼容的浏览器(推荐应⽤微软IE浏览器)使⽤防⽕墙缺省IP地址登录防⽕墙(建议:保持登录防⽕墙的计算机与防⽕墙对应接⼝处于相同⽹段,直接相连).2. 使⽤缺省IP登录之后,出现安装向导:注:对于熟悉Juniper防⽕墙配置的⼯程师,可以跳过该配置向导,直接点选:No,skip the wizard and go straight to the WebUI management session instead,之后选择Next,直接登录防⽕墙设备的管理界⾯.3. 使⽤向导配置防⽕墙,请直接选择:Next,弹出下⾯的界⾯:4. "欢迎使⽤配置向导",再选择Next.注:进⼊登录⽤户名和密码的修改页⾯,Juniper防⽕墙的登录⽤户名和密码是可以更改的,这个⽤户名和密码的界⾯修改的是防⽕墙设备上的根⽤户,这个⽤户对于防⽕墙设备来说具有最⾼的权限,需要认真考虑和仔细配置,保存好修改后的⽤户名和密码.5. 在完成防⽕墙的登录⽤户名和密码的设置之后,出现了⼀个⽐较关键的选择,这个选择决定了防⽕墙设备是⼯作在路由模式还是⼯作在NAT模式:选择Enable NAT,则防⽕墙⼯作在NAT模式;不选择Enable NAT,则防⽕墙⼯作在路由模式.6. 防⽕墙设备⼯作模式选择,选择:Trust-Untrust Mode模式.这种模式是应⽤最多的模式,防⽕墙可以被看作是只有⼀进⼀出的部署模式.注:NS-5GT防⽕墙作为低端设备,为了能够增加低端产品应⽤的多样性,Juniper在NS-5GT的OS中独⽴开发了⼏种不同的模式应⽤于不同的环境.⽬前,除NS-5GT以外,Juniper其他系列防⽕墙不存在另外两种模式的选择.7. 完成了模式选择,点击"Next"进⾏防⽕墙外⽹端⼝IP配置.外⽹端⼝IP配置有三个选项分别是:DHCP⾃动获取IP地址;通过PPPoE拨号获得IP地址;⼿⼯设置静态IP 地址,并配置⼦⽹掩码和⽹关IP地址.在这⾥,我们选择的是使⽤静态IP地址的⽅式,配置外⽹端⼝IP地址为:10.10.10.1/255.255.255.0,⽹关地址为:10.10.10.251.8. 完成外⽹端⼝的IP地址配置之后,点击"Next"进⾏防⽕墙内⽹端⼝IP配置:9. 在完成了上述的配置之后,防⽕墙的基本配置就完成了,点击"Next"进⾏DHCP服务器配置.注:DHCP服务器配置在需要防⽕墙在⽹络中充当DHCP服务器的时候才需要配置.否则请选择"NO"跳过.注:上⾯的页⾯信息显⽰的是在防⽕墙设备上配置实现⼀个DHCP服务器功能,由防⽕墙设备给内部计算机⽤户⾃动分配IP地址,分配的地址段为:192.168.1.100-192.168.1.150⼀共51个IP地址,在分配IP地址的同时,防⽕墙设备也给计算机⽤户分配了DNS服务器地址,DNS⽤于对域名进⾏解析,如:将/doc/2d968ad1da38376bae1fae16.html 解析为IP地址:202.108.33.32.如果计算机不能获得或设置DNS服务器地址,⽆法访问互联⽹.10. 完成DHCP服务器选项设置,点击"Next"会弹出之前设置的汇总信息:11. 确认配置没有问题,点击"Next"会弹出提⽰"Finish"配置对话框: 在该界⾯中,点选:Finish之后,该Web页⾯会被关闭,配置完成.此时防⽕墙对来⾃内⽹到外⽹的访问启⽤基于端⼝地址的NAT,同时防⽕墙设备会⾃动在策略列表部分⽣成⼀条由内⽹到外⽹的访问策略:策略:策略⽅向由Trust到Untrust,源地址:ANY,⽬标地址:ANY,⽹络服务内容:ANY; 策略作⽤:允许来⾃内⽹的任意IP地址穿过防⽕墙访问外⽹的任意地址.重新开启⼀个IE页⾯,并在地址栏中输⼊防⽕墙的内⽹端⼝地址,确定后,出现下图中的登录界⾯.输⼊正确的⽤户名和密码,登录到防⽕墙之后,可以对防⽕墙的现有配置进⾏修改.总结:上述就是使⽤Web浏览器通过配置向导完成的防⽕墙NAT或路由模式的应⽤.通过配置向导,可以在不熟悉防⽕墙设备的情况下,配置简单环境的防⽕墙应⽤.2.5,基于⾮向导⽅式的NAT/Route模式下的基本配置基于⾮向导⽅式的NAT和Route模式的配置建议⾸先使⽤命令⾏开始,最好通过控制台的⽅式连接防⽕墙,这个管理⽅式不受接⼝IP地址的影响.注:在设备缺省的情况下,防⽕墙的信任区(Trust Zone)所在的端⼝是⼯作在NAT模式的,其它安全区所在的端⼝是⼯作在路由模式的. 基于命令⾏⽅式的防⽕墙设备部署的配置如下(⽹络环境同上⼀章节所讲述的环境):2.5.1,NS-5GT NAT/Route模式下的基本配置注:NS-5GT设备的物理接⼝名称叫做trust和untrust;缺省Zone包括:trust和untrust, 请注意和接⼝区分开.①Unset interface trust ip (清除防⽕墙内⽹端⼝的IP地址);②Set interface trust zone trust(将内⽹端⼝分配到trust zone);③Set interface trust ip 192.168.1.1/24(设置内⽹端⼝的IP地址,必须先定义zone,之后再定义IP地址);④Set interface untrust zone untrust(将外⽹⼝分配到untrust zone);⑤Set interface untrust ip 10.10.10.1/24(设置外⽹⼝的IP地址);⑥Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251(设置防⽕墙对外的缺省路由⽹关地址);⑦Set policy from trust to untrust any any any permit log(定义⼀条由内⽹到外⽹的访问策略.策略的⽅向是:由zone trust 到zone untrust, 源地址为:any,⽬标地址为:any,⽹络服务为:any,策略动作为:permit允许,log:开启⽇志记录);⑧Save (保存上述的配置⽂件).2.5.2,⾮NS-5GT NAT/Route模式下的基本配置①Unset interface ethernet1 ip(清除防⽕墙内⽹⼝缺省IP地址);②Set interface ethernet1 zone trust(将ethernet1端⼝分配到trust zone);③Set interface ethernet1 ip 192.168.1.1/24(定义ethernet1端⼝的IP地址);④Set interface ethernet3 zone untrust(将ethernet3端⼝分配到untrust zone);⑤Set interface ethernet3 ip 10.10.10.1/24(定义ethernet3端⼝的IP地址);⑥Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251(定义防⽕墙对外的缺省路由⽹关);⑦Set policy from trust to untrust any any any permit log(定义由内⽹到外⽹的访问控制策略);⑧Save (保存上述的配置⽂件)注:上述是在命令⾏的⽅式上实现的NAT模式的配置,因为防⽕墙出⼚时在内⽹端⼝(trust zone所属的端⼝)上启⽤了NAT,所以⼀般不⽤特别设置,但是其它的端⼝则⼯作在路由模式下,例如:untrust和DMZ区的端⼝. 如果需要将端⼝从路由模式修改为NAT模式,则可以按照如下的命令⾏进⾏修改:①Set interface ethernet2 NAT (设置端⼝2为NAT模式)②Save总结:①NAT/Route模式做防⽕墙部署的主要模式,通常是在⼀台防⽕墙上两种模式混合进⾏(除⾮防⽕墙完全是在内⽹应⽤部署,不需要做NAT-地址转换,这种情况下防⽕墙所有端⼝都处于Route模式,防⽕墙⾸先作为⼀台路由器进⾏部署);②关于配置举例,NS-5GT由于设备设计上的特殊性,因此专门列举加以说明;Juniper 在2006年全新推出的SSG系列防⽕墙,除了端⼝命名不⼀样,和NS系列设备管理配置⽅式⼀样.2.6,基于⾮向导⽅式的透明模式下的基本配置实现透明模式配置建议采⽤命令⾏的⽅式,因为采⽤Web的⽅式实现时相对命令⾏的⽅式⿇烦.通过控制台连接防⽕墙的控制⼝,登录命令⾏管理界⾯,通过如下命令及步骤进⾏⼆层透明模式的配置:①Unset interface ethernet1 ip(将以太⽹1端⼝上的默认IP地址删除);②Set interface ethernet1 zone v1-trust(将以太⽹1端⼝分配到v1-trust zone:基于⼆层的安全区,端⼝设置为该安全区后,则端⼝⼯作在⼆层模式,并且不能在该端⼝上配置IP地址);③Set interface ethernet2 zone v1-dmz(将以太⽹2端⼝分配到v1-dmz zone);④Set interface ethernet3 zone v1-untrust(将以太⽹3端⼝分配到v1-untrust zone);⑤Set interface vlan1 ip 192.168.1.1/24(设置VLAN1的IP地址为:192.168.1.1/255.255.255.0,该地址作为防⽕墙管理IP地址使⽤);⑥Set policy from v1-trust to v1-untrust any any any permit log(设置⼀条由内⽹到外⽹的访问策略);⑦Save(保存当前的配置);总结:①带有V1-字样的zone为基于透明模式的安全区,在进⾏透明模式的应⽤时,⾄少要保证两个端⼝的安全区⼯作在⼆层模式;②虽然Juniper防⽕墙可以在某些特殊版本⼯作在混合模式下(⼆层模式和三层模式的混合应⽤),但是通常情况下,建议尽量使防⽕墙⼯作在⼀种模式下(三层模式可以混⽤:NAT和路由).3,Juniper防⽕墙⼏种常⽤功能的配置这⾥讲述的Juniper防⽕墙的⼏种常⽤功能主要是指基于策略的NAT的实现,包括:MIP,VIP和DIP,这三种常⽤功能主要应⽤于防⽕墙所保护服务器提供对外服务.3.1,MIP的配置MIP是"⼀对⼀"的双向地址翻译(转换)过程.通常的情况是:当你有若⼲个公⽹IP地址,⼜存在若⼲的对外提供⽹络服务的服务器(服务器使⽤私有IP地址),为了实现互联⽹⽤户访问这些服务器,可在Internet出⼝的防⽕墙上建⽴公⽹IP地址与服务器私有IP地址之间的⼀对⼀映射(MIP),并通过策略实现对服务器所提供服务进⾏访问控制.MIP应⽤的⽹络拓扑图:注:MIP配置在防⽕墙的外⽹端⼝(连接Internet的端⼝).3.1.1,使⽤Web浏览器⽅式配置MIP①登录防⽕墙,将防⽕墙部署为三层模式(NA T或路由模式);②定义MIP:Network=>Interface=>ethernet2=>MIP,配置实现MIP的地址映射.MappedIP:公⽹IP地址,Host IP:内⽹服务器IP地址③定义策略:在POLICY中,配置由外到内的访问控制策略,以此允许来⾃外部⽹络对内部⽹络服务器应⽤的访问.3.1.2,使⽤命令⾏⽅式配置MIP①配置接⼝参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet2 zone untrustset interface ethernet2 ip 1.1.1.1/24②定义MIPset interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vroutertrust-vr③定义策略set policy from untrust to trust any mip(1.1.1.5) http permitsave3.2,VIP的配置MIP是⼀个公⽹IP地址对应⼀个私有IP地址,是⼀对⼀的映射关系;⽽VIP是⼀个公⽹IP地址的不同端⼝(协议端⼝如:21,25,110等)与内部多个私有IP地址的不同服务端⼝的映射关系.通常应⽤在只有很少的公⽹IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的.VIP应⽤的拓扑图:注:VIP配置在防⽕墙的外⽹连接端⼝上(连接Internet的端⼝).3.2.1,使⽤Web浏览器⽅式配置VIP①登录防⽕墙,配置防⽕墙为三层部署模式.②添加VIP:Network=>Interface=>ethernet8=>VIP③添加与该VIP公⽹地址相关的访问控制策略.3.2.2,使⽤命令⾏⽅式配置VIP①配置接⼝参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24②定义VIPset interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10③定义策略set policy from untrust to trust any vip(1.1.1.10) http permitsave注:VIP的地址可以利⽤防⽕墙设备的外⽹端⼝地址实现(限于低端设备).3.3,DIP的配置DIP的应⽤⼀般是在内⽹对外⽹的访问⽅⾯.当防⽕墙内⽹端⼝部署在NAT模式下,通过防⽕墙由内⽹对外⽹的访问会⾃动转换为防⽕墙设备的外⽹端⼝IP地址,并实现对外⽹(互联⽹)的访问,这种应⽤存在⼀定的局限性.解决这种局限性的办法就是DIP,在内部⽹络IP地址外出访问时,动态转换为⼀个连续的公⽹IP地址池中的IP地址.DIP应⽤的⽹络拓扑图:3.3.1,使⽤Web浏览器⽅式配置DIP①登录防⽕墙设备,配置防⽕墙为三层部署模式;②定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公⽹IP地址的untrust端⼝定义IP地址池;③定义策略:定义由内到外的访问策略,在策略的⾼级(ADV)部分NAT的相关内容中, 启⽤源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置; 策略配置完成之后拥有内部IP地址的⽹络设备在访问互联⽹时会⾃动从该地址池中选择⼀个公⽹IP地址进⾏NAT.3.3.2,使⽤命令⾏⽅式配置DIP①配置接⼝参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24②定义DIPset interface ethernet3 dip 5 1.1.1.30 1.1.1.30③定义策略set policy from trust to untrust any any http nat src dip-id 5 permitsave4,Juniper防⽕墙IPSec VPN的配置Juniper所有系列防⽕墙(除部分早期型号外)都⽀持IPSec VPN,其配置⽅式有多种,包括:基于策略的VPN,基于路由的VPN,集中星形VPN和背靠背VPN等.在这⾥,我们主要介绍最常⽤的VPN模式:基于策略的VPN. 站点间(Site-to-Site)的VPN是IPSec VPN 的典型应⽤,这⾥我们介绍两种站点间基于策略VPN的实现⽅式:站点两端都具备静态公⽹IP地址;站点两端其中⼀端具备静态公⽹IP地址,另⼀端动态公⽹IP地址.4.1,站点间IPSec VPN配置:staic ip-to-staic ip当创建站点两端都具备静态IP的VPN应⽤中,位于两端的防⽕墙上的VPN配置基本相同,不同之处是在VPN gateway部分的VPN ⽹关指向IP不同,其它部分相同. VPN组⽹拓扑图:staic ip-to-staic ip4.1.1,使⽤Web浏览器⽅式配置①登录防⽕墙设备,配置防⽕墙为三层部署模式;②定义VPN第⼀阶段的相关配置:VPNs=>Autokey Advanced=>Gateway 配置VPN gateway部分,定义VPN⽹关名称,定义"对端VPN设备的公⽹IP地址" 为本地VPN 设备的⽹关地址,定义预共享密钥,选择发起VPN服务的物理端⼝;③在VPN gateway的⾼级(Advanced)部分,定义相关的VPN隧道协商的加密算法, 选择VPN的发起模式;④配置VPN第⼀阶段完成显⽰列表如下图;⑤定义VPN第⼆阶段的相关配置:VPNs=>Autokey IKE在Autokey IKE部分,选择第⼀阶段的VPN配置;⑥在VPN第⼆阶段⾼级(Advances)部分,选择VPN的加密算法;⑦配置VPN第⼆阶段完成显⽰列表如下图;⑧定义VPN策略,选择地址和服务信息,策略动作选择为:隧道模式;VPN隧道选择为: 刚刚定义的隧道,选择⾃动设置为双向策略;4.1.2,使⽤命令⾏⽅式配置CLI ( 东京)①配置接⼝参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24②定义路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250③定义地址set address trust Trust_LAN 10.1.1.0/24set address untrust paris_office 10.2.2.0/24④定义IPSec VPNset ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshareh1p8A24nG5 proposal pre-g2-3des-shaset vpn tokyo_paris gateway to_paris sec-level compatible⑤定义策略set policy top name "To/From Paris" from trust to untrust Trust_LAN paris_officeany tunnel vpn tokyo_parisset policy top name "To/From Paris" from untrust to trust paris_office Trust_LANany tunnel vpn tokyo_parissaveCLI ( 巴黎)①定义接⼝参数set interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24②定义路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250③定义地址set address trust Trust_LAN 10.2.2.0/24set address untrust tokyo_office 10.1.1.0/24④定义IPSec VPNset ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshareh1p8A24nG5 proposal pre-g2-3des-shaset vpn paris_tokyo gateway to_tokyo sec-level compatible⑤定义策略set policy top name "To/From Tokyo" from trust to untrust Trust_LAN tokyo_officeany tunnel vpn paris_tokyoset policy top name "To/From Tokyo" from untrust to trust tokyo_office Trust_LANany tunnel vpn paris_tokyosave4.2,站点间IPSec VPN配置:staic ip-to-dynamic ip在站点间IPSec VPN应⽤中,有⼀种特殊的应⽤,即在站点两端的设备中,⼀端拥有静态的公⽹IP地址,⽽另外⼀端只有动态的公⽹IP地址,以下讲述的案例是在这种情况下,Juniper防⽕墙如何建⽴IPSec VPN隧道.基本原则: 在这种IPSec VPN组⽹应⽤中,拥有静态公⽹IP地址的⼀端作为被访问端出现,拥有动态公⽹IP地址的⼀端作为VPN 隧道协商的发起端. 和站点两端都具备静态IP地址的配置的不同之处在于VPN第⼀阶段的相关配置,在主动发起端(只有动态公⽹IP地址⼀端)需要指定VPN⽹关地址,需配置⼀个本地ID,配置VPN发起模式为:主动模式;在站点另外⼀端(拥有静态公⽹IP地址⼀端)需要指定VPN⽹关地址为对端设备的ID信息,不需要配置本地ID,其它部分相同.IPSec VPN组⽹拓扑图:staic ip-to-dynamic ip4.2.1,使⽤Web浏览器⽅式配置①VPN第⼀阶段的配置:动态公⽹IP地址端.VPN的发起必须由本端开始,动态地址端可以确定对端防⽕墙的IP地址,因此在VPN 阶段⼀的配置中,需指定对端VPN设备的静态IP地址.同时,在本端设置⼀个Local ID,提供给对端作为识别信息使⽤.②VPN第⼀阶段的⾼级配置:动态公⽹IP地址端.在VPN阶段⼀的⾼级配置中动态公⽹IP⼀端的VPN的发起模式应该配置为:主动模式(Aggressive)③VPN第⼀阶段的配置:静态公⽹IP地址端.在拥有静态公⽹IP地址的防⽕墙⼀端,在VPN阶段⼀的配置中,需要按照如下图所⽰的配置:"Remote Gateway Type"应该选择"Dynamic IP Address",同时设置Peer ID(和在动态IP地址⼀端设置的Local ID相同).④VPN第⼆阶段配置,和在"static ip-to-static ip"模式下相同.⑤VPN的访问控制策略,和在"static ip-to-static ip"模式下相同.4.2.1,使⽤命令⾏⽅式配置CLI ( 设备-A)①定义接⼝参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 dhcp clientset interface ethernet3 dhcp client settings server 1.1.1.5②定义路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3③定义⽤户set user pmason password Nd4syst4④定义地址set address trust "trusted network" 10.1.1.0/24set address untrust "mail server" 3.3.3.5/32⑤定义服务set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group service remote_mail add httpset group service remote_mail add ftpset group service remote_mail add telnetset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3⑥定义VPNset ike gateway to_mail address 2.2.2.2 aggressive local-idpmason@/doc/2d968ad1da38376bae1fae16.htmloutgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn branch_corp gateway to_mail sec-level compatible⑦定义策略set policy top from trust to untrust "trusted network" "mail server" remote_mailtunnel vpn branch_corp auth server Local user pmasonset policy top from untrust to trust "mail server" "trusted network" remote_mailtunnel vpn branch_corpsaveCLI ( 设备-B)①定义接⼝参数set interface ethernet2 zone dmzset interface ethernet2 ip 3.3.3.3/24set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24②路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250③定义地址set address dmz "mail server" 3.3.3.5/32set address untrust "branch office" 10.1.1.0/24④定义服务set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3⑤定义VPNset ike gateway to_branch dynamic pmason@/doc/2d968ad1da38376bae1fae16.html aggressive outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn corp_branch gateway to_branch tunnel sec-level compatible⑥定义策略set policy top from dmz to untrust "mail server" "branch office" remote_mailtunnel vpn corp_branchset policy top from untrust to dmz "branch office" "mail server" remote_mailtunnel vpn corp_branchsave5,Juniper中低端防⽕墙的UTM功能配置Juniper中低端防⽕墙(⽬前主要以SSG系列防⽕墙为参考)⽀持⾮常⼴泛的攻击防护及内容安全功能,主要包括:防病毒(Anti-Virus),防垃圾邮件(Anti-Spam),URL过滤(URL filtering)以及深层检测/⼊侵防御(Deep Inspection/IPS).注:上述的安全/防护功能集成在防⽕墙的ScreenOS操作系统中,但是必须通过license (许可)激活后⽅可使⽤(并会在激活⼀段时间(通常是1年)后过期).当然在使⽤这些功能的时候,我们还需要设定好防⽕墙的时钟以及DNS服务器地址. 当防⽕墙激活了相应的安全/防护功能以后,通过WebUI可以发现,Screening条⽬下会增加相应的功能条⽬,如下图:5.1,防病毒功能的设置Juniper防⽕墙的防病毒引擎(从ScreenOS5.3开始内嵌Kaspersky的防病毒引擎)可以针对HTTP,FTP,POP3,IMAP以及SMTP等协议进⾏⼯作.5.1.1,Scan Manager的设置"Pattern Update Server"项中的URL地址为Juniper防⽕墙病毒特征库的官⽅下载⽹址(当系统激活了防病毒功能后,该⽹址会⾃动出现). "Auto Pattern Update"项允许防⽕墙⾃动更新病毒特征库;后⾯的"Interval"项可以指定⾃动更新的频率. "Update Now"项可以执⾏⼿动的病毒特征库升级."Drop/Bypass file if its size exceeds KB"项⽤来控制可扫表/传输的⽂件⼤⼩."Drop"项会在超过限额后,扔掉⽂件⽽不做扫描;"Bypass"项则会放⾏⽂件⽽不做扫描."Drop//Bypass file if the number of concurrent files exceeds files"项⽤控制同时扫描/传输的⽂件数量."Drop"项会在超过限额后,扔掉⽂件⽽不做扫描;"Bypass"项则会放⾏⽂件⽽不做扫描.5.1.2,Profile的设置通过设置不同的Profile,我们可以对不同的安全策略(Policy)采⽤不同的防病毒操作(Juniper防⽕墙的防病毒引⽤是基于安全策略的;也就是说我们的防病毒设置是通过在特定的策略中引⼊特定的Profile来实现的.),进⽽实现⾼粒度化地防病毒控制,将防病毒对系统资源的消耗降到最低.ns-profile是系统⾃带的profile.⽤户不需要做任何设置,就可以在安全策略⾥直接引⽤它. 除此之外,⽤户可以根据⾃⼰的需求来设置适合⾃⾝需求的profile.Profile⽅⾯的设置包括对FTP,HTTP,IMAP,POP3以及SMTP等5个协议的内容,见下图. Enable选项每个特定的协议类型,都有⼀个Enable选项.选择之,则防病毒引擎会检查与这个协议相关的流量;反之,则不会检查.Scan Mode的设置Scan Mode有三个选择项:Scan All,Scan Intelligent,Scan By Extension.Scan All:对于流量,检查所有已知的特征码.Scan Intelligent:对于流量,检查⽐较常见的特征码.Scan By Extension:仅针对特定的⽂件扩展名类型进⾏检查.如果选择该类型,则需要事先设定好Ext-List(设置⽂件扩展名的类型)与Include/Exclude Extension List. Decompress Layer的设置为了减少传输的时间,很多⽂件在传输过程中都会被压缩.Decompress Layer就是⽤来设置防病毒引擎扫描压缩⽂件的层数.防病毒引擎最多可以⽀持对4层压缩⽂件的扫描.Skipmime Enable的设置对于HTTP协议,可以进⾏Skipmime Enable的设置.打开该功能,则防病毒引擎不扫描Mime List中包括的⽂件类型(系统默认打开该功能,并匹配默认的Mime List:ns-skip-mime-list).Email Notify的设置对于IMAP,POP3,SMTP等email协议,可以进⾏Email Nortify的设置.打开该功能, 可以在发现病毒/异常后,发送email来通知⽤户(病毒发送者/邮件发送⽅/邮件接收⽅).5.1.3,防病毒profile在安全策略中的引⽤我们前⾯已经提到过,防病毒的实现是通过在特定安全策略中应⽤profile来实现的.⽐如,我们在名为ftp-scan的策略中引⽤av1的防病毒profile.①⾸先建⽴了名为av1的profile,并enable FTP协议的扫描;由于我仅希望检测的是FTP应⽤,故关闭对其他协议的扫描.见下图:②设置ftp-scan安全策略,并引⽤profile av1.③引⽤了profile进⾏病毒扫描的策略,在action栏会有相应的图标出现.5.2,防垃圾邮件功能的设置Juniper防⽕墙内嵌的防垃圾邮件引擎,可以帮助企业⽤户来减轻收到垃圾邮件的困扰. Juniper的防垃圾邮件功能主要是通过公共防垃圾邮件服务器来实现的.公共的防垃圾邮件服务器会实时地更新防垃圾邮件的库,做到最⼤范围,最⼩误判的防垃圾功能.到ScreenOS5.4为⽌,juniper的防垃圾邮件引擎只⽀持SMTP协议. Juniper防垃圾邮件通过两种⽅式来检测垃圾邮件:1.通过公共防垃圾邮件服务器的whitelist(可信任名单)与black list(不可信任名单).5.2.1,Action 设置SBL Default Enable项选中后,防⽕墙使⽤公共防垃圾服务器来判别垃圾邮件.默认为打开.Actions项⽤来指定对垃圾邮件的处理⽅法:Tag on Subject(在邮件标题栏标注信息,指明该邮件为垃圾邮件;不丢弃邮件);Tag on Header(在邮件内容的头部标注信息,指明该邮件为垃圾邮件;不丢弃邮件);Drop(直接丢弃查找到的垃圾邮件)5.2.2,White List与Black List的设置通过防⽕墙⾃定义white list和black list.⽐如在White List > White List Content栏输⼊/doc/2d968ad1da38376bae1fae16.html ,则防⽕墙在检查到与这个⽹址相关的邮件,都会认为是可信任邮件,直接放⾏. ⽐如在Black List >Black List Content栏输⼊/doc/2d968ad1da38376bae1fae16.html ,则防⽕墙在检测到这个⽹址有关的邮件时,都会判定为垃圾邮件.5.2.3,防垃圾邮件功能的引⽤最后,我们只要在安全策略⾥⾯引⽤防垃圾邮件功能,就可以对邮件进⾏检测了.Antispam enable项只要勾选,就开启了防垃圾邮件功能,如下图所⽰.5.3,WEB/URL过滤功能的设置Juniper可通过两种⽅式来提供URL过滤功能.⼀种是通过转发流量给外部的URL过滤服务器来实现(⽀持SurfControl和Websense两个产品);⼀种是通过内置的SurfControl URL过滤引擎来提供URL过滤.5.3.1,转发URL过滤请求到外置URL过滤服务器如果采⽤第⼀种⽅式的话,⾸先防⽕墙必须能够访问到本地的提供URL过滤的服务器(SurfControl或者Websense).然后通过以下项的设置来完成该功能的启⽤.①在Web Filtering > Protocol Selection条⽬下,选择需要Redirect按钮(SurfControl 或者Websense).。
Juniper防火墙简单配置
Juniper防火墙基本配置1.将防火墙连入网络,网线连接防火墙Trust口。
将本机ip设置在192.168.1.0的网段,注意ip地址不能是192.168.1.1。
在本机IE地址栏中输入http://192.168.1.1/来访问防火墙,就可以看到如下的登陆界面了。
设备初始设定的用户名和密码都是netscreen。
2.设置防火墙的时间。
在【Configuration-Date/Time】中,点击“Sync Clock With Client”,可以让防火墙的时间和本机的时间一致;然后点击“Apply”让设置生效。
3.设置端口地址。
在【Network-Interfaces】中,可以看到防火墙各端口的ip设置。
点击Trust 同一行的“Edit”,就可以编辑Trust口的设置。
通常都会选择静态IP,就需要设置端口的ip地址、子网掩码(允许直接输入掩码的位数),再选好端口需要开启的服务。
设置完毕后,可以点击“OK”来完成设置,也可以点击“Apply”马上应用。
点击UnTrust 同一行的“Edit”,就可以编辑UnTrust口的设置。
如果选择静态IP,就设置端口的ip地址、子网掩码(允许直接输入掩码的位数);防火墙端口还支持DHCP获得ip地址,或者通过PPOE拨号获得IP地址(ADSL就是使用这种方式的);再选好端口需要开启的服务。
设置完毕后,可以点击“OK”来完成设置,也可以点击“Apply”马上应用。
4.设置默认路由。
在【Network-Routing-Routing Entries】中可以看到防火墙中路由的设置情况。
红框选中的为默认路由。
手动增加默认路由的方法:在【Network-Routing-Routing Entries】中,点击“New”,进入在【Network-Routing-Routing Entries-Configration】,设置地址、网关、接口,可以参照图中所示。
5.设置策略。
juniper防火墙简单配置(J...
juniper防火墙简单配置(J...juniper防火墙简单配置(Juniper firewall simple configuration)取消重点保护使设置时钟的时区7设置时钟DST重复启动2 0 3日02:00结束平日1 0 11 02:00vrouter信任虚拟共享设置设置“不信任vrouter VR”出口集vrouter信任VR”设置自动路径导出出口集appleichat使ALG不appleichat重新装配使ALG集ALG SCTP使认证服务器设置“本地”ID 0认证服务器设置“本地”服务器名称“地方”认证服务器设置“本地”ID 1认证服务器设置“本地”服务器名称“地方”设置默认的认证服务器认证的“地方”设置认证RADIUS记帐端口1646设置管理员名称”txbfhq”设置管理员密码”npd4p / ryerllc51dfsub2fgt96d5on”设置管理访问尝试1集失败960管理员访问锁设置管理员认证网络超时0设置管理认证服务器的“本地”设置管理员认证远程根设置管理格式设置区的“信任”vrouter信任VR”设置区的“不信任”的vrouter信任VR”集区dmz vrouter信任VR”集区”vrouter VLAN”“信任VR”设置区的“不信任”的信任vrouter屯“VR”设置区的“信任”的TCP RST不带“不信任”的块不带“不信任”的TCP RST集区”管理”模块不带“V1信任“TCP RST不带“V1不信任”的TCP RST不带“DMZ”TCP RS T不带“v1-dmz”TCP RST不带“VLAN”TCP RST设置区的“信任”屏幕IP欺骗基于区不带“不信任”的屏幕的泪滴不带“不信任”的屏幕SYN洪水不带“不信任”的屏幕平死不带“不信任”的屏幕的IP筛选器SRC 不带“不信任”的屏幕的土地设置区的“不信任”的屏幕区基于IP欺骗集区V1不信任”的屏幕的泪滴集区V1不信任”的屏幕SYN洪水集区V1不信任”的屏幕平死集区V1不信任”屏幕的IP筛选器SRC集区V1不信任”屏幕的土地集区dmz屏幕报警不降集区“DMZ”屏幕上的隧道集区dmz屏幕ICMP洪水集区dmz屏幕泛滥集区dmz屏幕WinNuke集区dmz屏幕IP扫描集区“DMZ”屏幕的泪滴集区dmz屏幕SYN洪水集区dmz屏幕IP欺骗集区dmz屏平死集区“DMZ”屏幕的IP筛选器SRC 集区“DMZ”屏幕的土地集区“DMZ”屏幕的SYN片段集区dmz屏幕TCP没有国旗集区dmz筛选未知协议集区dmz屏幕IP不坏的选择集区“DMZ”屏幕的IP记录路由集区“DMZ”屏幕选择IP时间戳集区dmz屏幕IP安全选择集区dmz屏幕IP松散的src路径集区dmz屏幕IP严格的src路径集区“DMZ”屏幕选择IP流集区dmz屏幕ICMP片段集区dmz ICMP大屏幕集区dmz屏幕同翅集区dmz屏翅无确认集区dmz屏幕限制会话的源IP集区dmz屏幕SYN ACK ACK代理集区dmz屏幕块碎片集区dmz屏幕限制会话的IP目标集区dmz屏幕组件块拉链集区dmz屏幕组件块罐集区dmz屏幕组件块EXE集区dmz屏幕组件阻止ActiveX集区dmz屏幕ICMP ID集区dmz屏幕TCP扫描集区dmz屏幕IP欺骗下降RPF路由设置界面“Ethernet0 / 0区”“信任”设置界面“Ethernet0 / 1“区”非军事区”设置界面“Ethernet0 / 2区”“不信任”设置界面“Ethernet0 / 3“区”V1空”设置IP 10.0.3.9/24接口Ethernet0 / 0设置NAT接口Ethernet0 / 0设置接口VLAN1的IP设置IP 192.168.2.1/24接口Ethernet0 / 1 设置NAT接口Ethernet0 / 1设置IP 218.89.188.50/24接口Ethernet0 / 2 设置NAT接口Ethernet0 / 2设置接口VLAN1绕过其他IPSec设置接口VLAN1旁路非IP设置接口Ethernet0 / 0 IP管理设置接口Ethernet0 / 1 IP管理设置接口Ethernet0 / 2 IP管理设置接口Ethernet0 / 1管理SSH设置管理Telnet接口Ethernet0 / 1设置管理SNMP接口Ethernet0 / 1设置接口Ethernet0 / 1管理SSL设置接口Ethernet0 / 1管理网络设置接口Ethernet0 / 2管理平设置接口Ethernet0 / 2管理SSH设置管理Telnet接口Ethernet0 / 2设置管理SNMP接口Ethernet0 / 2设置接口Ethernet0 / 2管理SSL设置接口Ethernet0 / 2管理网络设置接口Ethernet0接口IP 8079 / 1VIP“http”218.89.189.232设置接口Ethernet0接口IP 8080 / 1 VIP“http”218.89.188.50设置接口Ethernet0接口IP 8077 / 1 VIP“http”10.0.3.10设置接口Ethernet0接口IP 8078 / 1 VIP“http”10.0.3.9设置界面“Ethernet0 / 2“218.89.188.50主机子网掩码255.255.255.255 10.0.3.10 MIP VR”信任VR”设置流量没有TCP序列检查设置流SYN校验设置流TCP SYN位检查设置流量反向路径清晰的文本选择设置流量反向路由隧道总是设置默认的权限模式PKI SCEP“自动”设置默认路径部分PKI X509证书设置地址的“信任”“10.0.3.1 / 24“10.0.3.1 255.255.255.0设置地址的“信任”“218.89.189.1 / 24“218.89.189.1 255.255.255.0设置地址“DMZ”“123”192.168.2.3 255.255.255.255设置地址“DMZ”kbx”10.0.3.10 255.255.255.0设置地址“DMZ”oda1”1.2.1.8 255.255.255.255设置地址“DMZ”oda2”1.2.1.8 255.255.255.255设置用户“恒源祥”UID 3设置用户“恒源祥”型奥特湾设置用户“恒源祥”密码“rvx4ldt9nz8bftsee1cajiiyq + nq9j3hyq = =“设置用户“恒源祥”“启用”设置用户“DW”UID 4设置用户“DW”型奥特湾设置用户“DW”密码“jbbrzotvn7ma6ssjcacxvyrw9jnjo3uwmg = =“设置用户“DW”“启用”设置用户的“kbx UID 1设置用户的“kbx”型奥特湾设置用户的“kbx“密码”sbofmfycngvprksk1mcvhzgdovnjbjd5rq = =“设置用户的“kbx”“启用”设置密码策略出口设置IKE响应不良SPI 1集艾克IKEv2 IKE SA软寿命60撤消艾克ikeid枚举撤消艾克DOS保护设置访问会话启用IPSec集IPSec接入会话最大5000集IPSec接入会话上限0集IPSec接入会议门槛降低0集IPSec接入会话dead-p2-sa-timeout 0 设置IPSec接入会话日志错误设置IPSec接入会话信息交换连接设置IPSec接入会话使用错误日志设置“不信任vrouter VR”出口集vrouter信任VR”出口设置URL协议Websense出口将策略ID从“信任”设置为“信任”、“任何”、“任何”、“任何”允许日志。
Juniper 网络准入控制解决方案
随着企业信息化程度的提高,数量众多的桌面 PC 管理成为系统管理员越来越重要的工作,目前企业拥有上百台 PC 机及终端。
系统管理员在日常维护过程中主要面临以下问题,而这些问题,既给系统管理员带来沉重的工作负担,也会严重影响企业的业务运作。
在信息系统中桌面系统(PC)的数量往往是最多的,这些桌面系统往往很分散,分布于不同的楼层,甚至分布于不同的大楼,加上使用这些桌面系统的用户技能水准差异很大,使得管理维护工作很困难;病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率和机会。
与此同时,移动计算的普及进一步加剧了威胁。
移动用户能够从家里或公共热点连接互联网或办公室网络—常在无意中轻易地感染病毒并将其带进企业环境,进而感染网络。
频繁的病毒和安全攻击使得桌面系统的维护工作量剧增。
据 IDG 对病毒统计报告显示,每年新出现的的病毒种类大多数是针对 Windows 操作系统的病毒.由于未及时打操作系统补丁、未及时升级防病毒软件、绕过网络安全设施随意上Internet 网、外来机器的接入、外来程序的拷贝等原因,组织内部的PC 机很容易被攻击和被病毒感染;为解决安全问题,管理员经常需要在多台机器上安装同一个软件或补丁,如操作系统补丁包,传统的手工安装要花费系统管理员大量时间 ;为提高效率,系统管理员经常需要做远程支持,帮助用户快速及时解决 PC 机问题。
系统管理员与 PC 机用户仅依靠电话很难远程解决问题。
随着企业日益严重依赖网络业务, 日益迫切需要为所有用户提供轻松的网络接入,并且企业对网络的依赖性越来越严重,因此网络变得空前关键且更易遭受攻击.因此,支持用户接入任何资源,无论是分类文档中的数据、病人健康信息、还是知识资产,始终需要在接入价值与安全风险之间找到最佳平衡点。
事实上,仅靠网络边缘的外围设备已无法保证安全性。
边缘安全措施无法保护内部网络段,也无法替代主机安全措施。
即便企业运行着防火墙等网络周边安全机制,病毒和电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为仍频繁利用最终用户设备渗入企业环境。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Juniper防火墙有多种上网接入方法:固定IP,DHCP自动获取IP,ADSL拨号。
这三种接入方式基本涵盖了目前所有的上网接入方法,是Juniper防火墙具有很强的网络适应能力。
首先介绍Juniper防火墙使用固定IP接入上网的配置方法
进入防火墙的Web界面,设置接口地址
Trust接口
Network > Interfaces > Edit (对于Trust Interface)
Zone Name: Trust
Static IP: IP Address/Netmask: 192.168.1.1/24 (内网IP,可以根据自己的需要修改,默认IP为
192.168.1.1/24 )
Interface Mode: NAT
默认的管理地址(Manage IP)与接口地址相同,但也可以更改,但管理地址必须与接口地址在同一网段中。
Untrust接口
Network > Interfaces > Edit (对于Untrust Interface)
Zone Name: Untrust
Static IP: IP Address/Netmask: 外网IP (输入接入商给的外网IP及掩码地址)Interface Mode: Route
设置路由
只有对于使用固定IP地址线路接入方式,才需要设置默认路由。
其他两种接入方式,防火墙会自动添加默认路由的。
Network > Routing > Destination
选择trust-vr,New
IP Address/Netmask: 0.0.0.0/0.0.0.0
选择Gageway,Interface选择Untrust接口,Gateway IP Address填写接入商提供的网关IP。
设置策略
部分低端的防火墙中默认有一条From Trust To Untrust,原地址为ANY,目标地址为ANY,服务为ANY的允许策略。
其他型号均没有,需要手动添加。
选择From Trust To Untrust,New新建一条
Source Address选择New Address,填写192.168.1.0/24 (内网网段)Destination Address选择Address Book Entry,再选择ANY
Service选择ANY
Action选择Permit
选择Logging
OK退出
这条策略是允许内网的所有用户上网,不做任何限制。