Juniper防火墙部署工程

Juniper防火墙部署工程(第一部分)

第一章 Juniper的安全理念 (3)

1.1 基本防火墙功能 (3)

1.2 内容安全功能 (4)

1.3 虚拟专网(VPN)功能 (7)

1.4 流量管理功能 (7)

1.5 强大的ASIC的硬件保障 (8)

1.6 设备的可靠性和安全性 (8)

1.7 完备简易的管理 (9)

第二章项目概述 (9)

第三章总体方案建议 (10)

3.1 防火墙A和防火墙B的双机热备、均衡负载实现方案 (10)

3.2 防火墙A和防火墙B的VLAN（802.1Q的trunk协议）实现方案 (15)

3.3 防火墙A和防火墙B的动态路由支持程度的实现方案 (16)

3.4 防火墙的VPN实现方案 (16)

3.5 防火墙的安全控制实现方案 (17)

3.6 防火墙的网络地址转换实现方案 (25)

3.7 防火墙的应用代理实现方案 (28)

3.9 防火墙用户认证的实现方案 (28)

3.10 防火墙对带宽管理实现方案 (30)

3.11 防火墙日志管理、管理特性以及集中管理实现方案 (31)

第一章Juniper的安全理念

网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。Juniper 的整合式安全设备是专为互联网网络安全而设，将硬件状态防火墙、虚拟专用网（IPsec VPN）、入侵防护（IPS）和流量管理等多种安全功能集于一体。Juniper 整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过内置的WebUI、命令行界面或中央管理方案进行统一管理。

1.1 基本防火墙功能Juniper提供了可扩展的网络安全解决方案，适用于包括宽带移动用户、中小型企业Internet边界、大型企业的内部网络安全域划分和控制，以至电子商务网站的服务器保护等等。Juniper全功能防火墙采用实时检测技术，可以防止入侵者和拒绝服务(denial-of-service)的攻击。Juniper防火墙采用ScreenOS软件，是经过ICSA认证的实时检测防火墙。Juniper的防火墙系列采用安全优化的硬件（包括ASIC芯片和主板、操作系统和防火墙），比拼凑而成的软件类方案提供更高级的安全水平。Juniper的防火墙系列提供强大的攻击防御能力，包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力，配备硬件加速的会话建立(session ramp rates)性能，即使在最关键性的环境下也可以提供安全保护。

Juniper的防火墙系列提供各种网络地址翻译(NAT)、端口地址翻译(PAT)的功

能――有效隐藏内部、无法路由的IP地址。

1.2 内容安全功能Juniper提供多样的内容安全功能，包括深层检测功能、防病毒、垃圾邮件过滤、和网页过滤4种，并且可以提供试用的临时许可license，可以让用户在一定时间内下载特征库及使用该内容安全更新。过了试用期后，用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到

垃圾邮件和网页过滤的定时更新。

用户可以分别购买某个单项的内容安全服务，也可以购买价格更加优惠的4项打

包的内容安全服务。

1.2.1 深层检测功能(Deep Inspection)深层检测功能（Deep Inspection，简称DI）是Juniper的防火墙操作系统ScreenOS里集成的一个专门对网络流量里的应用层攻击（包括网络蠕虫、木马和恶意软件）进行检测的功能，其实就是将Juniper的IPS/IDP的入侵检测和防护的功能集成到Juniper防火墙的ScreenOS里面，对会话实施基于状态的策略的同时进行对应用层攻击特征的匹配，并且作出相应的保护动作。Juniper的防火墙针对流量的应用层的分析和特征匹配进行了一系列的优化，降低了对数据吞吐能力的影响。

为了减少对防火墙性能的影响，Juniper为深层检测提供4种特征包，让IT管理员根据需要保护的资源而灵活选择下载、更新和采用，包括：

1、

基础版（Base）特征包：针对中小型企业的全面防护（包括保护C/S应用和防

蠕虫）；

2、

服务器（Server）特征包：针对服务器群进行保护（包括保护IIS、Exchange

和Oracle服务器等）；

3、

客户端（Client）特征包：针对分布式企业的中小型分支机构客户端设备进行保

护（如手提电脑等）；

4、

常见蠕虫保护（Worm）特征包：针对大企业的分支机构提供全面的常见的蠕虫

保护。

深层检测（DI）防火墙被设计用来对网络上一系列最常见的协议（如HTTP, DNS, FTP, SMTP, POP3, IMAP, NetBIOS/SMB, MS-RPC, P2P, 和IM等）的应用层保护，并且可在将来简单地添加更多的协议。对这些协议，深层检测（DI）防火墙采用和数据接收方（如服务器和客户端的应用）相同的方式来理解应用层信息。为了精确地理解应用层信息，深层检测（DI）防火墙实施包碎片重组，次序重组，去除无用信息和信息正常化处理。一旦深层检测（DI）防火墙按这些方法重组出

了网络流量，它就用协议异常检测和服务控制字段里的上下文的攻击特征匹配的

方法来对流量里的攻击进行防护。

深层检测（DI）防火墙利用了攻击数据库来储存异常协议和攻击特征（有时被称做“特征”），按协议和攻击的严重性分类，来实施状态检测和深层检测任务。防火墙的分析引擎由其本身的数据库实时提取有关的攻击特征来有效地分析流

量。

一旦Juniper的深层检测（DI）防火墙对应用层数据进行重组后，它就实施针对该应用的分析，决定该流量的目的是恶意的还是非恶意的。首先，它根据协议的定义进行分析，如果数据偏离了协议的定义，就代表了协议异常。高冲击力的、带恶意的协议异常，如设法造成内存溢出来控制系统的，将被识别为攻击。对协议异常的细化管理包括调整如何及在哪里查找异常，从而使得支持非正常协议的系统获得同样的支持。深层检测（DI）防火墙将按照细化的协议控制来对相关的服务域进行识别。服务控制字段是与特别功能相关的流量中的部分，如email 地址、URL、文件名等。深层检测（DI）防火墙将按特征匹配的方法对相应的字段进行检测。而这些字段就代表了应用层信息，并让深层检测（DI）防火墙可以理解应用层会话，并在正确的字段上进行攻击特征库的匹配查找。

协议符合检查使用户获得攻击出现日第0天防护

因为Juniper深层检测（DI）防火墙可以对流量进行协议符合检查，它也就具备了无须了解某一特别攻击，就可以对一系列的攻击如内存溢出攻击等的防护能力。这意味着这种解决方法可以在对新攻击出现的第0天即具备防护能力。同时，这也是对某些无法简单匹配特征的更狡猾攻击的防护方式。

对已知攻击的服务控制字段特征匹配

协议匹配检测的是一些未知的和更狡猾的攻击，还有一些攻击是已知的，可以通过已知的特征匹配的方式来更有效地防护它们。Juniper深层检测（DI）防火墙实施应用分析，理解信息内容，并将流量信息的不同部分对应到相应的服务控制字段上。服务控制字段是依相应协议事先定义的包头值，代表了相应的目的，使用了固定的流量的相对位置。如：在SMTP里，有一些服务控制字段包括：命令行（从客户端发给服务器的命令），数据行（一行email内容），From：（发送者的email地址），等。深层检测（DI）防火墙应用已知的特征匹配（在防火墙内部的数据库里已经有了相应的定义），与流量的相关部分进行比较，查找出带攻击的恶意部分流量。Juniper的特征匹配减少了系统资源的使用，将主要精力集中在相关恶意流量部分，有效地实施了对已知攻击的保护。Juniper的防火墙目前都可以集成入侵防护的功能，并且入侵防护的特征库可以

更新升级，目前攻击特征已超过800种。当然，攻击特征库可以自动或手动更新，更新过程将包括连接Juniper的攻击特征库服务器（定期对新攻击和旧有攻击进行更新）。此外，Juniper还按需要发布紧急更新，对重点攻击进行防护。

1.2.2 防病毒防病毒也是一项内容保护不可缺少的部分。深层检测（DI）是对应用层控制字段信息进行攻击特征匹配（一般是蠕虫病毒或缓冲区溢出等攻击），而防病毒是针对文件里的携带的攻击（包括间谍软件、广告软件、网络钓鱼软件和键盘侧录软件）进行匹配的技术，而文件的传递一般依靠web、FTP 的下载和上传，以及email附件等。通过和业界领先的防病毒厂家的卡巴斯基（Kaspersky）公司合作，Juniper在HSC、NetScreen-5GT和SSG系列（包括SSG550、SSG520等）的防火墙提供防病毒的一体化解决方案，即卡巴斯基（Kaspersky）病毒扫描引擎完全集成在防火墙的操作系统里，并且通过操作系

统的升级而升级。

对于不同的用户，Juniper可以提供3种不同的扫描级别，包括：

A）

标准级别（Standard）：缺省和推荐采用的级别，可以提供最全面和误报率最低

的扫描；

B）

常见病毒级别（In the wild）：只对常见病毒进行扫描从而性能更佳；

C）

扩展级别（Extended）：对更多的广告软件进行扫描，误报率相对较高。

而对其他高端产品，则用重定向到防病毒网关服务器上的方式实现网关防毒。

1.2.3 垃圾邮件过滤垃圾邮件过滤功能也是内容安全的一个重要的组成部分。Juniper的垃圾邮件过滤功能主要集成在Juniper的中低端防火墙（包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列）里。通过不断更新的IP地址和垃圾邮件发送者列表，有效地高精确性地屏蔽垃圾邮件发送者和网络钓鱼者。当然用户也可以自己定义垃圾邮件的白名单和黑名单，手工地对垃圾

邮件进行屏蔽。

1.2.4 网页过滤对于放在网络边界为用户提供Internet访问的边界防火墙而言，还必须对企业员工对Internet访问的网站进行控制。包括Surfcontrol和Websense都实时对Internet上的站点进行分类，如：新闻类、盗版软件类、军事类、财经等等。通过允许用户能和不能访问某一类型的网站，可以提高企业员工的工作效率，并避免诸如员工到非法恶意软件站点下载等情况而导致的法律纠纷。Juniper的网页过滤功能（采用Surfcontrl技术）主要集成在Juniper的中低端防火墙（包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列）里，

而对中高端的防火墙而言，可以采用用防火墙重定向到Surfcontrol或Websense

服务器的方式。

1.3 虚拟专网(VPN)

功能Juniper防火墙中整合了一个全功能VPN解决方案，它们支持站点到站

点VPN及远程接入VPN应用。

?通过VPNC测试，与其他通过IPSec认证的厂商设备兼容。

?三倍DES、DES和AES加密使用数字证书(PKI X.509)，自动的或

手动的IKE。

?SHA-1和MD5认证。

?同时支持网状式(mesh)及集中星型(hub and spoke)的VPN网络，可按VPN部署的需求，配置用其一或整合两种网络拓扑。

?Juniper的防火墙很好地支持VPN的冗余，可以实施基于策略的VPN

和基于路由的VPN。

1.4 流量管理功能流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽，有助确保在用户上网浏览时或在执行其他非关键性应用时

而不会影响关键性业务的流量。

?根据IP地址、用户、应用或时间段来进行管理

?可以对进出两个方向的流量都进行流量管理

?设定保障带宽和最大带宽

?以八种优先等级，为流量分配优先权

?支持符合行业标准的diffserv数据包标记

1.5 强大的ASIC

的硬件保障Juniper防火墙的安全机制广泛采用了ASIC芯片技术，在ASIC硬件中处理防火墙访问策略和加密算法，这方面运算的速度是软件类方案不能相比的；同时它还可以省出中央处理器资源用于管理数据流。这种安全加密的ASIC更可与Juniper的ScreenOS操作系统和系统软件紧密地集成起来，与其他基于通用的商用操作系统的安全产品相比，Juniper产品消除了不必要的软件层和安全漏洞。Juniper将安全功能提升到系统层次，更可以节省建立额外平

台带来的开支。目前，其他采用PC或工作站作为平台的软件类方案，往往令系

统性能大打折扣。

ASIC芯片对防火墙的性能和稳定性有极大的提高，主要体现在：

1、

ASIC芯片可以对会话建立后的流量进行不经过CPU处理的直接转发；

2、

ASIC芯片可以对IPsec VPN进行加解密处理。

3、

可以对一系列的网络层的DDoS攻击（包括生成对TCP Syn泛洪攻击的cookie）进行防护，直接在ASIC芯片上对数据包进行丢弃，避免了对系统的影响。

4、

IP包的碎片重组和流量统计也依靠ASIC芯片实现。

正是由于采用了高性能的专用ASIC芯片，所以Juniper的安全产品的性能不仅仅在实验室网络环境下都能够发挥出高水平，在实际的生产网络环境中同样可以

保持高性能。

1.6 设备的可靠性和安全性Juniper将所有功能集成于单一硬件产品中，它不仅易于安装和管理，而且能够提供更高可靠性和安全性。由于Juniper设备没有其它品牌对硬盘驱动器和移动部件所存在的稳定型问题，所以它是对在线时间要求极高的用户的最佳方案。采用Juniper设备的WebUI管理方式，可以直接登陆Web界面里对防火墙、VPN和流量管理功能进行配置和管理，减轻了配置另外的硬件和操作系统。这个做法缩短了安装的时间，并在防范

安全漏洞的工作上，减少设定的步骤。

1.7 完备简易的管理Juniper的安全设备包括强健的管理支持，允许网络管理员安全地管理设备。由于VPN功能是内置的，因此可以对所有管理

加密，从而实现真正的安全远程管理。

?采用NetScreen Security Manager，以C/S形式实现中央站点管理。

?通过内置WebUI实现浏览操作式的管理。

?带内，可透过SSH和Telnet进入命令行界面(CLI)；带外，则可透过

控制台/调制解调器端口/带外管理口进行管理。

?电子邮件告警、SNMP traps和告警。

?系统日志(Syslog)、简单网络管理协议(SNMP)、WebTrends和

MicroMuse NetCool界面可与第三方报表系统互兼容。

防火墙上将syslog发到到多台普通的syslog服务器上，如果要进行syslog汇总分析报表，则可以和WebTrend服务器配合使用，也可以通过多家syslog的报表分析软件（包括中文界面的软件）对syslog进行日志报表。

除了Syslog服务器，Juniper防火墙还可以将syslog发到Juniper的NSM集中管理服务器上，然后NSM服务器按照策略将不同的日志发给不同的syslog服务器。如果在NSM服务器的基础上安装了SRS的日志报表服务器后，用户也可

以用SRS来生成历史报表。

防火墙上本身提供一定数量的本地认证用户数据库，也可和Radius服务器、LDAP服务器等配合使用提供外部用户身份认证。

Juniper防火墙部署工程(第二部分)

第三章总体方案建议

计算机网络安全建设方案是参照国际通行的PDRR（Protection－防护、Detection－检测、Respone－响应和Recovery－恢复）安全模型进行设计的。与防火墙A和B直接相关的网络部分如下图所示：

注：◎2台防火墙间可增加HA（高可用性）连接。

3.1 防火墙A和防火墙B的双机热备、均衡负载实现方案

Juniper 的中高端防火墙对双机热备、负载分担的实现有很好的支持，实施的方式是通过Juniper的冗余协议NSRP，类似于VRRP（HSRP）但在其基础上有很大的改进，现详细介绍如下：

Juniper为了实现更安全、更有效的防火墙冗余体系，开发了专有的防火墙HA工作的协议NSRP，NSRP协议借鉴了VRRP协议，而且弥补了VRRP协议的不足，是针对安全设备的HA协议。NSRP实现了：

①在HA组成员之间镜像配置，在发生故障切换时确保正确的行为。

②可以在HA组中维护所有活动会话和VPN隧道。

③故障切换算法根据系统健康状态确定哪个系统是主系统，把状态与相邻系统连接起来或监控从本系统到远端的路径。

④无论活动会话和VPN隧道的数量有多少，故障检测和切换到备用系统可以在低于一秒时间内完成。

⑤整个系统的防火墙处理能力提高一倍。

⑥Juniper 的中高端防火墙更支持全网状的Active/Active HA，避免低级的网络故障导致Juniper防火墙的不可用。

Juniper 设备处于“路由”或NAT 模式时，可以将冗余集群中的两台设备都配置为主动，通过具有负载均衡能力的路由器，运行诸如“虚拟路由器冗余协议(VRRP)”等协议，共享它们之间分配的流量。通过使用“NetScreen 冗余协议(NSRP)”创建两个虚拟安全设备(VSD) 组，每个组都具有自己的虚拟安全接口(VSI)，即可实现此目的。设备A 充当VSD 组1 的主设备，并充当VSD 组2 的备份设备。设备B 充当VSD 组2 的主设备，并充当VSD 组1 的备份设备。此配置称为双主动（请参阅下图）。由于设备冗余，因此不存在单一故障点。负载分担的方式是通过同一VLAN内一部分设备的网关指向一台防火墙的端口ip地址，另一部分设备的网网关指向另一台防火墙的端口ip地址。故障切换后，该VLAN 的所有设备都指向同一防火墙的物理端口（逻辑上具备两个同网段的IP地址，作为不同设备的缺省网关IP地址）。

设备A 和设备B 各接收50% 的网络和VPN 流量。设备A 出现故障时，设备B 变成VSD 组1 的主设备，同时继续作为VSD 组2 的主设备，并处理100% 的流量。在双主动配置中，故障切换产生的流量转移结果如下图所示。

尽管处于双主动配置的两台设备分开的会话总数不能超过单个防火墙设备的容量，但添加的第二台设备使可用的潜在带宽加倍。第二台主动设备也保证两台设备都具有网络连接功能。即双主动的配置方法的最大连接数保持为原单机时的数量，该数量对一个大型网络也已足够了，但是数据吞吐量则增大一倍。

除NSRP 集群（主要负责在组成员间传播配置并通告每个成员的当前VSD 组状态）外，还可以将设备A 和设备B 配置为RTO 镜像组中的成员，该镜像组负责维持一对设备之间执行对象(RTO)3 的同步性。主设备让位时，通过维持所有当前会话，备份设备可立即用最短的服务停顿时间承担主地位。

除冗余设备外，还可以在防火墙设备上配置冗余物理接口。如果一级端口失去网络连接，则二级端口承担连接的任务。

在防火墙设备中，也存在冗余物理HA 接口，它不仅处理不同种类的HA 通信，而且彼此充当备份。缺省情况下，HA1 处理控制消息，HA2 处理数据消息。如果失去任一HA 链接，则另一链接可承担起两种消息类型。在没有专用HA 接口的Juniper 设备上，必须将

一个或两个物理以太网接口绑定到HA 区段上。

由于NSRP 通信的机密特性，可以通过加密和认证保障所有NSRP 流量的安全。对于加密和认证，NSRP 分别支持DES 和MD5 算法。

通常，在Juniper的冗余协议NSRP的支持下，防火墙的冗余连接有以下几种形式：λ Active-Standby：

有冗余，无法同时工作

Active-Active：λ

有冗余，双机同时工作，仅能容忍1个故障点

Active-Active(全网状，Full Mesh)：λ

有冗余，双机同时工作，最多容忍3个故障点，网络结构较复杂，可以检测切换非相邻设备的故障。

Juniper的中高端防火墙设备通过一个或两个高可靠性端口HA1和HA2来实现NSRP。在实际配置时，可将第一个端口HA1配置为传递控制信息的连接，实现两台防火墙的配置同步、心跳检测、故障检测、实时会话信息同步等功能，此时两台防火墙的会话状态表保持一致，传递信息的流量实际并不大（主要是会话建立的初期需要传递较多的会话的参数信息），所以两台防火墙的会话信息可以实时得到同步。第二个端口HA2配置为传递实际数据流量数据线路，主要是在不对称流量进出的情况发挥作用，即某一会话的流量进来是通过第一台防火墙，但是返回的流量却因为相邻路由设备的原因发到了第二台防火墙，此时第二台防火墙进行会话状态检测后发现是基于现有会话的，而且属于第一台防火墙处理的流量，于是将返回的流量通过HA2端口发给第一台防火墙。两个HA端口可以作为备份，即实际上一个HA就可以实现以上功能，保证了网络的高可靠性。

在实际应用中，可以通过网络优化、路由调整的方法将不对称的流量减少，从而使得第二个端口HA2的负载处在合理水平。

以上的故障切换均可在小于1秒内完成，并且对用户流量透明。具体切换的触发因素和检测方式列表如下：

故障描述 NSRP / Juniper 保护

Juniper 保护的故障

数据端口故障(物理层和链路层) 冗余数据端口

HA端口冗余HA端口

电源故障冗余电源

设备完全掉电心跳信号

ScreenOS 系统故障导致流量不通过但端口是up的(layer 3 故障) 心跳信号

相邻设备故障

完全掉电和不提供服务 IP 路径检测

路由器故障

端口故障链路监测

设备故障 IP 路径检测&链路监测

应用故障 IP 路径检测

交换机故障

端口故障链路监测

设备故障链路监测

应用故障 IP 路径检测

管理员控制的设备维护和down机 IP 路径检测

多设备故障

Juniper 和周围设备在不同路径故障冗余端口

环境故障

物理接线故障链路监测

电路故障心跳信号, 多电源, 链路监测, IP路径检测

此外，由于实施了Juniper 的冗余协议NSRP，包括VPN、地址翻译等多种应用的实时信息都得到同步，即对VPN连接、地址翻译连接的切换也是在小于1秒完成，所以在实施时具备很强的灵活性，适应了各种网络应用的情况。而且查错较为简单。所以该方案的优势还是比较明显的，只需在实施时注意减少不对称路由的条数，让大部分的流量对称地传送，小部分不对称路由的流量通过HA2口做“h”型的转发即可。

3.2 防火墙A和防火墙B的VLAN（802.1Q的trunk协议）实现方案

Juniper 防火墙在路由模式的（包括5GT）都支持VLAN终结和VLAN间的路由，即在物

理端口下可以开802.1Q的逻辑子接口。

不同的逻辑子接口可以放在不同的安全区里面，然后可以对不同安全区之间的互相访问进行控制（缺省情况下的规则是不允许互相访问）。

Juniper防火墙在透明模式下一般可以支持对不带vlan tag标记和带vlan tag标记的数据包的穿越，同时对该数据包的IP层及应用层的信息进行分析，从而可以更容易地将该防火墙部署到网络里面。

3.3 防火墙A和防火墙B的动态路由支持程度的实现方案

Juniper 的防火墙支持的路由协议包括：

1、 OSPF/BGP动态路由；

2、 RIPv2动态路由；

3、源路由：即根据源IP地址或源接口来确定下一跳；

4、多链路负载均衡：Juniper防火墙支持同一物理接口下多链路和不同不物理接口下的多链路的负载均衡，最多的链路可达4条。

5、 Juniper防火墙的三层接口，包括物理接口、逻辑子接口、loopback接口、VPN 通道接口等都可以运行动态路由；

3.4 防火墙的VPN实现方案

Juniper防火墙的各个三层接口都可端结IPsec VPN，并且可以实施基于策略的VPN（通过防火墙策略定义手动调用相应的VPN），和基于路由的VPN（通过路由协议自动选择相应的VPN隧道，然后单独实施防火墙策略）。

Juniper防火墙中整合了一个全功能VPN解决方案，它们支持站点到站点VPN及远程接入VPN应用。

?通过VPNC测试，与其他通过IPSec认证的厂商设备兼容。

?三倍DES、DES和AES加密，使用数字证书(PKI X.509)，自动的或手动的IKE。? SHA-1和MD5认证。

?同时支持网状式(mesh)及集中星型(hub and spoke)的VPN网络，可按VPN部署的需求，配置用其一或整合两种网络拓扑。

?支持IPsec NAT穿越；

?支持远程接入VPN，即通过PC上的VPN客户端（需客户自己提供）发起IPsec VPN，并在防火墙上终结。

3.5 防火墙的安全控制实现方案

防火墙系统的安全策略是整个系统的核心，对于一个安全系统，安全策略的制订至关重要。策略本身出现问题，会导致整个安全系统产生致命的安全问题。因此，对于安全系统的策略制订一定要遵守相关的原则。

几乎所有防火墙系统的安全策略由以下元素组成：

源地址目的地址服务动作

所有防火墙策略的执行是按照前后顺序方式执行，当策略被执行后，其后的策略不被执行。因此，在制订安全策略时要遵循以下原则：

?越严格的策略越要放在前面

?越宽松的策略越要往后放

?策略避免有二意性

三种类型的策略

可通过以下三种策略控制信息流的流动：

?通过创建区段间策略，可以管理允许从一个安全区段到另一个安全区段的信息流的种类。

?通过创建区段内部策略，也可以控制允许通过绑定到同一区段的接口间的信息流的类型。

?通过创建全局策略，可以管理地址间的信息流，而不考虑它们的安全区段。

区段间策略

区段间策略提供对安全区段间信息流的控制。可以设置区段间策略来允许、拒绝或设置从一个区段到另一个区段的信息流通道。使用状态式检查技术，Juniper 设备保持活动TCP 会话表和活动UDP“pseudo”会话表，以便允许它能回应服务请求。例如，如果有一个策略允许从Trust 区段中的主机A 到Untrust 区段中的服务器B 的HTTP 请求，则当Juniper 设备接收到从服务器B 到主机A 的HTTP 回应时，Juniper 设备将接收到的封包与它的表进行对照检查。找到回应批准HTTP 请求的封包时，Juniper 设备允许来自Untrust 区段中服务器B 的封包穿越防火墙到达Trust 区段中的主机A。要控制由服务器B 发起的流向主机A 的信息流（不只是回应由主机A 发起的信息流），必须创建从Untrust 区段中服务器B 到Trust 区段中主机A 的第二个策略。

区段内部策略

区段内部策略提供对绑定到同一安全区段的接口间信息流的控制。源地址和目的地址都在同一安全区段中，但是通过Juniper 设备上的不同接口到达。与区段间策略一样，区段内部策略也控制信息流单向流动。要允许从数据路径任一端发起的信息流，必须创建两个策略，每个方向一个策略。

全局策略

与区段间和区段内部策略不同，全局策略不引用特定的源和目的区段。全局策略引用用户定义的Global 区段地址或预定义的Global 区段地址“any”。这些地址可以跨越多个安全区段。例如，如果要提供对多个区段的访问或从多个区段进行访问，则可以创建具有Global 区段地址“any”的全局策略，它包含所有区段中的所有地址。

策略组列表

Juniper 设备维护三种不同的策略组列表，每种策略组列表对应于以下三种策略之一：?区段间策略

?区段内部策略

?全局策略

Juniper 设备接收到发起新会话的封包时，会记录入口接口，从而获知接口所绑定的源区段。然后Juniper 设备执行路由查询以确定出口接口，从而确定该接口所绑定的目的区段。使用源区段和目的区段，Juniper 设备可以执行策略查询，按以下顺序查阅策略组列表：

1、如果源区段和目的区段不同，则Juniper 设备在区段间策略组列表中执行策略查询。（或）如果源区段和目的区段相同，则Juniper 设备在区段内部策略组列表中执行策略查询。

2、如果Juniper 设备执行区段间或区段内部策略查询，但是没有找到匹配策略，则Juniper 设备会检查全局策略组列表以查找匹配策略。

3、如果Juniper 设备执行区段间和全局策略查询，但是没有找到匹配项，Juniper 设备会将缺省的允许/拒绝策略应用到封包：unset/set policy default-permit-all。（或）如果Juniper 设备执行区段内部和全局策略查询，但是没有找到匹配策略，Juniper 设备会将该区段的区段内部阻塞设置应用到封包：unset/set zone zone block。

Juniper 设备从上至下搜索每个策略组列表。因此，必须在列表中将较为特殊的策略定位在不太特殊的策略上面。

策略定义

防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点，因此可以筛选并引导所有通过执行策略组列表（区段间策略、内部区段策略和全局策略）产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全区段流到另一个安全区段的信息流。可以决定哪些用户和信息能进入和离开，以及它们进入和离开的时间和地点。

策略的结构

策略必须包含下列元素：

?区段（源区段和目的区段）

?地址（源地址和目的地址）

?服务

?动作（permit、deny、tunnel）

策略也可包含下列元素：

? VPN 通道确定

? Layer 2（第2 层）传输协议(L2TP) 通道确定

?策略组列表顶部位置

?网络地址转换(NAT)，使用动态IP (DIP) 池

?用户认证

?备份HA 会话

?记录

?计数

?信息流报警设置

?时间表

?信息流整形

时间表

通过将时间表与策略相关联，可以确定策略生效的时间。可以将时间表配置为循环生效，也可配置为单次事件。时间表为控制网络信息流的流动以及确保网络安全提供了强有力的工具。在稍后的一个范例中，如果您担心职员向公司外传输重要数据，则可设置一个策略，阻塞正常上班时间以外的出站FTP-Put 和MAIL 信息流。

在WebUI 中，在Objects > Schedules 部分中定义时间表。在CLI 中，使用set schedule 命令。

基于安全区段的防火墙保护选项

防火墙用于保护网络的安全，具体做法是先检查要求从一个安全区段到另一区段的通路的所有连接尝试，然后予以允许或拒绝。缺省情况下，防火墙拒绝所有方向的所有信息流。通过创建策略，定义允许在预定时间通过指定源地点到达指定目的地点的信息流的种类，您可以控制区段间的信息流。范围最大时，可以允许所有类型的信息流从一个区段中的任何源地点到其它所有区段中的任何目的地点，而且没有任何预定时间限制。范围最小时，可以创建一个策略，只允许一种信息流在预定的时间段内、在一个区段中的指定主机与另一区段中的指定主机之间流动。

为保护所有连接尝试的安全，防火墙设备使用了一种动态封包过滤方法，即通常所说的状态式检查。使用此方法，防火墙设备在TCP 包头中记入各种不同的信息单元—源和目的IP 地址、源和目的端口号，以及封包序列号—并保持穿越防火墙的每个TCP 会话的状态。（防火墙也会根据变化的元素，如动态端口变化或会话终止，来修改会话状态。）当响应的TCP 封包到达时，防火墙设备会将其包头中包含的信息与检查表中储存的相关会话的状态进行比较。如果相符，允许响应封包通过防火墙。如果不相符，则丢弃该封包。

防火墙选项用于保护区段的安全，具体做法是先检查要求经过某一接口离开和到达该区域的所有连接尝试，然后予以准许或拒绝。为避免来自其它区段的攻击，可以启用防御机制来检测并避开以下常见的网络攻击。下列选项可用于具有物理接口的区段（这些选项不适用于子接口）：SYN Attack（SYN 攻击）、ICMP Flood（ICMP 泛滥）、UDP Flood （UDP 泛滥）和Port Scan Attack（端口扫描攻击）。

SYNλ Attack（SYN 攻击）：当网络中充满了会发出无法完成的连接请求的SYN 封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务(DoS) 时，就发生了SYN 泛滥攻击。

ICMP Flood（ICMP 泛滥）：当ICMP pingλ产生的大量回应请求超出了系统的最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时，就发生了ICMP 泛滥。当启用了ICMP 泛滥保护功能时，可以设置一个临界值，一旦超过此值就

会调用ICMP 泛滥攻击保护功能。如果超过了该临界值，防火墙设备在该秒余下的时间和下一秒内会忽略其它的ICMP 回应要求。

UDP Flood（UDP 泛滥）：与ICMP 泛滥相似，当以减慢系统速度为目的向该点发送UDPλ封包，以至于系统再也无法处理有效的连接时，就发生了UDP 泛滥。当启用了UDP 泛滥保护功能时，可以设置一个临界值，一旦超过此临界值就会调用UDP 泛滥攻击保护功能。如果从一个或多个源向单个目表发送的UDP 封包数超过了此临界值，Juniper 设备在该秒余下的时间和下一秒内会忽略其它到该目标的UDP 封包。

Port Scan Attack（端口扫描攻击）：当一个源IP 地址在定义的时间间隔内向位于相同目标IP 地址10λ个不同的端口发送IP 封包时，就会发生端口扫描攻击。这个方案的目的是扫描可用的服务，希望会有一个端口响应，因此识别出作为目标的服务。Juniper 设备在内部记录从某一远程源地点扫描的不同端口的数目。使用缺省设置，如果远程主机在

0.005 秒内扫描了10 个端口（5,000 微秒），防火墙会将这一情况标记为端口扫描攻击，并在该秒余下的时间内拒绝来自该源地点的其它封包（不论目标IP 地址为何）。

余下的选项可用于具有物理接口和子接口的区段：

Limitλ session（限制会话）：防火墙设备可限制由单个IP 地址建立的会话数量。例如，如果从同一客户端发送过多的请求，就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟防火墙设备可以为单个IP 地址建立的最大会话数量。

SYN-ACK-ACK Proxyλ保护：当认证用户初始化Telnet 或FTP 连接时，用户会SYN 封包到Telnet 或FTP服务器。Juniper 设备会截取封包，通过Proxy 将SYN-ACK 封包发送给用户。用户用ACK 封包响应。此时，初始的三方握手就已完成。防火墙设备在其会话表中建立项目，并向用户发送登录提示。如果用户怀有恶意而不登录，但继续启动SYN- ACK-ACK 会话，防火墙会话表就可能填满到某个程度，让设备开始拒绝合法的连接要求。要阻挡这类攻击，您可以启用SYN-ACK-ACK Proxy 保护SCREEN 选项。从相同IP 地址的连接数目到达syn-ack-ack-proxy 临界值后，防火墙设备就会拒绝来自该IP 地址的进一步连接要求。缺省情况下，来自单一IP 地址的临界值是512 次连接。您可以更改这个临界值（为1 到2,500,000 之间的任何数目）以更好地适合网络环境的需求。

SYNλ Fragment（SYN 碎片）：SYN 碎片攻击使目标主机充塞过量的SYN 封包碎片。主机接到这些碎片后，会等待其余的封包到达以便将其重新组合在起来。通过向服务器或主机堆积无法完成的连接，主机的内存缓冲区最终将会塞满。进一步的连接无法进行，

并且可能会破坏主机操作系统。当协议字段指示是ICMP封包，并且片断标志被设置为1 或指出了偏移值时，防火墙设备会丢弃ICMP 封包。

SYN and FIN Bits Set（SYN 和FIN 位的封包）：通常不会在同一封包中同时设置SYN 和FINλ标志。但是，攻击者可以通过发送同时置位两个标志的封包来查看将返回何种系统应答，从而确定出接收端上的系统的种类。接着，攻击者可以利用已知的系统漏洞来实施进一步的攻击。启用此选项可使防火墙设备丢弃在标志字段中同时设置SYN 和FIN 位的封包。

TCP Packet Withoutλ Flag（无标记的TCP 封包）：通常，在发送的TCP 封包的标志字段中至少会有一位被置位。此选项将使防火墙设备丢弃字段标志缺少或不全的TCP 封包。

FIN Bit With No ACK Bit（有FIN 位无ACK 位）：设置了FIN 标志的TCP 封包通常也会设置ACKλ位。此选项将使防火墙设备丢弃在标志字段中设置了FIN 标志，但没有设置ACK 位的封包。

ICMP Fragment（ICMPλ碎片）：检测任何设置了“更多片断”标志，或在偏移字段中指出了偏移值的ICMP 帧。

Ping of Death：TCP/IPλ规范要求用于数据包报传输的封包必须具有特定的大小。许多ping 实现允许用户根据需要指定更大的封包大小。过大的ICMP 封包会引发一系列负面的系统反应，如拒绝服务(DoS)、系统崩溃、死机以及重新启动。如果允许防火墙设备执行此操作，它可以检测并拒绝此类过大且不规则的封包。

Address Sweep Attack（地址扫描攻击）：与端口扫描攻击类似，当一个源IPλ地址在定义的时间间隔（缺省值为5,000 微秒）内向不同的主机发送ICMP 响应要求（或ping）时，就会发生地址扫描攻击。这个配置的目的是Ping 数个主机，希望有一个会回复响应，以便找到可以作为目标的地址。防火墙设备在内部记录从一个远程源ping 的不同地址的数目。使用缺省设置，如果某远程主机在0.005 秒（5,000 微秒）内ping 了10 个地址，防火墙会将这一情况标记为地址扫描攻击，并在该秒余下的时间内拒绝来自于该主机的ICMP 回应要求。

λ Large ICMP Packet（大的ICMP 封包）：防火墙设备丢弃长度大于1024 的ICMP 封包。

Tearλ Drop Attack（撕毁攻击）：撕毁攻击利用了IP 封包碎片的重新组合。在IP 包头中，选项之一为偏移值。当一个封包碎片的偏移值与大小之和不同于下一封包碎片时，封

包发生重叠，并且服务器尝试重新组合封包时会引起系统崩溃。如果防火墙在某封包碎片中发现了这种不一致现象，将会丢弃该碎片。

Filter IP Source Route Option（过滤IPλ源路由选项）：IP 包头信息有一个选项，其中所含的路由信息可指定与包头源路由不同的源路由。启用此选项可封锁所有使用“源路由选项”的IP 信息流。“源路由选项”可允许攻击者以假的IP 地址进入网络，并将数据送回到其真正的地址。

Record Routeλ Option（记录路由选项）：防火墙设备封锁IP 选项为7（记录路由）的封包。此选项用于记录封包的路由。记录的路由由一系列互联网地址组成，外来者经过分析可以了解到您的网络的编址方案及拓扑结构方面的详细信息。

λ IP Security Option（IP 安全性选项）：此选项为主机提供了一种手段，可发送与DOD 要求兼容的安全性、分隔、TCC（非公开用户组）参数以及“处理限制代码”。

IP Strict Source Routeλ Option（IP 严格源路由选项）：防火墙设备封锁IP 选项为9（严格源路由选择）的封包。此选项为封包源提供了一种手段，可在向目标转发封包时提供网关所要使用的路由信息。此选项为严格源路由，因为网关或主机IP 必须将数据包报直接发送到源路由中的下一地址，并且只能通过下一地址中指示的直接连接的网络才能到达路由中指定的下一网关或主机。

λ Unknown Protocol（未知协议）：防火墙设备丢弃协议字段设置为101 或更大值的封包。目前，这些协议类型被保留，尚未定义。

λ IP Spoofing（IP 欺骗）：当攻击者试图通过假冒有效的客户端IP 地址来绕过防火墙保护时，就发生了欺骗攻击。如果启用了IP 欺骗防御机制，防火墙设备会用自己的路由表对IP 地址进行分析，来抵御这种攻击。如果IP 地址不在路由表中，则不允许来自该源的信息流通过防火墙设备进行通信，并且会丢弃来自该源的所有封包。在CLI 中，您可以指示Juniper 设备丢弃没有包含源路由或包含已保留源IP 地址（不可路由的，例如

127.0.0.1）的封包：set zone zone screen ip-spoofing drop-no-rpf-route。

Bad IP Option（坏的IP 选项）：当IP 数据包包头中的IPλ选项列表不完整或残缺时，会触发此选项。

IP Timestamp Option（IP 时戳选项）：防火墙设备封锁IPλ选项列表中包括选项4（互联网时戳）的封包。

Loose Source Route Option：防火墙设备封锁IPλ选项为3（松散源路由）的封包。此选项为封包源提供了一种手段，可在向目标转发封包时提供网关所要使用的路由信息。此

选项是松散源路由，因为允许网关或主机IP 使用任何数量的其它中间网关的任何路由来到达路由中的下一地址。

IP Stream Option（IP 流选项）：防火墙设备封锁IPλ选项为8（流ID）的封包。此选项提供了一种方法，用于在不支持流概念的网络中输送16 位SATNET 流标识符。

WinNukeλ Attack（WinNuke 攻击）：WinNuke 是一种常见的应用程序，其唯一目的就是使互联网上任何运行Windows 的计算机崩溃。WinNuke 通过已建立的连接向主机发送带外(OOB) 数据—通常发送到NetBIOS 端口139—并引起NetBIOS 碎片重叠，以此来使多台机器崩溃。重新启动后，会显示下列信息，指示攻击已经发生：

An exception OE has occurred at 0028:[address] in VxD MSTCP(01) +

000041AE. This was called from 0028:[address] in VxD NDIS(01) +

00008660. It may be possible to continue normally.（00008660。有可能继续正常运行。）Press any key to attempt to continue.（请按任意键尝试继续运行。）

Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications.（按CTRL+ALT+DEL 可尝试继续运行。将丢失所有应用程序中的未保存信息。）

Press any key to continue. （按任意键继续。）

如果启用了WinNuke 攻击防御机制，Juniper 设备会扫描所有进入的“Microsoft NetBIOS 会话服务”（端口139）封包。如果防火墙设备发现某个封包上设置了TCP URG 代码位，就会检查偏移值、删除碎片重叠并根据需要纠正偏移值以防止发生OOB 错误。然后让经过修正的封包通过，并在“事件警报”日

志中创建一个WinNuke 攻击日志条目。

Landλ Attack：“陆地”攻击将SYN 攻击和IP 欺骗结合在了一起，当攻击者发送含有受害方IP 地址的欺骗性SYN 封包，将其作为目的和源IP 地址时，就发生了陆地攻击。接收系统通过向自己发送SYN-ACK 封包来进行响应，同时创建一个空的连接，该连接将会一直保持到达到空闲超时值为止。向系统堆积过多的这种空连接会耗尽系统资源，导致DoS。通过将SYN 泛滥防御机制和IP 欺骗保护措施结合在一起，防火墙设备将会封锁任何此类性质的企图。

Malicious URLλ Protection：当启用“恶意URL 检测”时，Juniper 设备会监视每个HTTP 封包并检测与若干用户定义模式中的任意一个相匹配的任何封包。设备会自动丢弃所有此类封包。

juniper防火墙配置手册

JUNIPER 防火墙快速安装手册目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置：STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置：STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)

Juniper SRX防火墙简明配置手册-090721

Juniper SRX防火墙简明配置手册卞同超 Juniper 服务工程师 Juniper Networks, Inc. 北京市东城区东长安街1号东方经贸城西三办公室15层1508室邮编:100738 目录一、JUNOS操作系统介绍 ............................................................................................................. 1.1 层次化配置结构........................................................................................................................ 1.2 JunOS配置管理......................................................................................................................... 1.3 SRX主要配置内容.................................................................................................................... 二、SRX防火墙配置对照说明...................................................................................................... 2.1 初始安装.................................................................................................................................... 2.1.1 登陆............................................................................................................................... 2.1.2 设置root用户口令..................................................................................................... 2.1.3 设置远程登陆管理用户............................................................................................... 2.1.4 远程管理SRX相关配置............................................................................................... 2.2 Policy .......................................................................................................................................... 2.3 NAT ............................................................................................................................................ 2.3.1 Interface based NAT................................................................................................. 2.3.2 Pool based Source NAT............................................................................................. 2.3.3 Pool base destination NAT..................................................................................... 2.3.4 Pool base Static NAT............................................................................................... 2.4 IPSEC VPN................................................................................................................................. 2.5 Application and ALG .................................................................................................................. 2.6 JSRP............................................................................................................................................ 三、SRX防火墙常规操作与维护.......................................................................................................... 3.1 设备关机................................................................................................................................ 3.2设备重启............................................................................................................................... 3.3操作系统升级 (15) 3.4密码恢复............................................................................................................................... 3.5常用监控维护命令............................................................................................................... Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

Juniper防火墙日常维护手册

Juniper防火墙维护手册

目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置（双机配置） (7) 1.5.配置MIP（通过图形界面配置） (9) 1.6.配置访问策略（通过图形界面配置） (11) https://www.360docs.net/doc/6316893620.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)

1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen，为了便于区分设备和维护，在对防火墙进行配置前先对防火墙进行命名： Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段，用于专门对接口进行管理时用。在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理IP，则不能对备用防火墙进行登录了。一般在单机时，不需要配置接口的管理IP，但在双机时，建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。注意：接口的工作模式可以工作在路由模式，NAT模式和透明模式。在产品线应用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用，建议把防火墙的所有接口都配置成route的工作模式，用命令set interface接口名 route配置即可，缺省情况下需要在trust区段中的接口使用此命令。本例子中，配置接口ethernet2属于Untrust区，IP地址为202.38.12.23/28，如设置管理方式是Http，命令如下： Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat

Juniper_SRX防火墙Web配置手册

Juniper SRX防火墙配置手册

Juniper SRX防火墙配置说明 1系统配置 (1) 1.1配置ROOT帐号密码 (1) 1.2配置用户名和密码 (2) 2接口配置 (8) 2.1IPV4地址配置 (9) 2.2接口T RUNK模式配置 (13) 2.3接口A CC ESS模式配置 (14) 3VLAN配置 (15) 3.1创建VLAN配置 (15) 4路由配置 (19) 4.1静态路由配置 (21) 5自定义应用配置 (22) 5.1自定义服务配置 (22) 5.2应用组配置 (23) 6地址组配置 (24) 6.1地址簿配置 (24) 6.2地址组配置 (25) 7日程表配置 (27) 8NAT配置 (30) 8.1S TA TIC NA T配置 (30)

1 系统配置 1.1 配置root帐号密码首次登陆设备时，需要采用console方式，登陆用户名为：root，密码为空，登陆到cli下以后，执行如下命令，设置root帐号的密码。 root# set system root-authentication plain-text-password root# new password : root123 root# retype new password: root123 密码将以密文方式显示。注意：必须要首先配置root帐号密码，否则后续所有配置的修改都无法提交。 SRX系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在trust区域，配置一个ip地址192.168.1.1，允许ping、telnet、web等管理方式，可以通过该地址登陆设备。登陆后显示页面如下：

Juniper SRX路由器命令配置手册

Juniper SRX配置手册

目录一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (12) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (15) 3.3 操作系统升级 (15) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)

Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate

juniper防火墙详细配置手册

Juniper防火墙简明实用手册（版本号：）

目录 1juniper中文参考手册重点章节导读.................................... 错误!未定义书签。第二卷：基本原理 ...................................................... 错误!未定义书签。第一章：ScreenOS 体系结构 .......................... 错误!未定义书签。第二章：路由表和静态路由............................ 错误!未定义书签。第三章：区段.................................................... 错误!未定义书签。第四章：接口.................................................... 错误!未定义书签。第五章：接口模式............................................ 错误!未定义书签。第六章：为策略构建块.................................... 错误!未定义书签。第七章：策略.................................................... 错误!未定义书签。第八章：地址转换............................................ 错误!未定义书签。第十一章：系统参数........................................ 错误!未定义书签。第三卷：管理 .............................................................. 错误!未定义书签。第一章：管理.................................................... 错误!未定义书签。监控NetScreen 设备........................................ 错误!未定义书签。第八卷：高可用性 ...................................................... 错误!未定义书签。 NSRP ................................................................... 错误!未定义书签。故障切换............................................................ 错误!未定义书签。2Juniper防火墙初始化配置和操纵........................................ 错误!未定义书签。3查看系统概要信息................................................................. 错误!未定义书签。4主菜单常用配置选项导航..................................................... 错误!未定义书签。5Configration配置菜单 ........................................................... 错误!未定义书签。 Date/Time:日期和时间 ............................................... 错误!未定义书签。 Update更新系统镜像和配置文件 ............................. 错误!未定义书签。更新ScreenOS系统镜像 .................................. 错误!未定义书签。更新config file配置文件.................................. 错误!未定义书签。 Admin管理 .................................................................. 错误!未定义书签。 Administrators管理员账户管理....................... 错误!未定义书签。 Permitted IPs：允许哪些主机可以对防火墙进行管理错误!未定

Juniper防火墙故障情况下的快速恢复

为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。一、设备重启动：Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。二、操作系统备份：日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。三、操作系统恢复：当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统，命令行方式：save software from tftp x.x.x.x filename to flash，或通过web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。四、配置文件备份：日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。 2、通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config配置信息记录到本地。 3、通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。五、配置文件恢复：防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。 2、通过web页面进行配置文件恢复：Configuration > Update > Config File，选中Replace Current Configuration，并从本地设备中选中供恢复的备份配置文件，点击apply后系统将进行重启动使新配置生效。 3、通过超级终端远程telnet/ssh到防火墙，通过unset all 命令清除防火墙配置，并进行重启，重启后将备份的配置命令粘贴到防火墙中。六、恢复出厂值：console线缆连接到防火墙，通过reset命令对防火墙进行重启，并使用防火墙的16位序列号作为账号/口令进行登陆，可将防火墙配置快速恢复为出厂值。七、硬件故障处理：当防火墙出现故障时，且已经排除配置故障和ScreenOS软件故障，可通过NSRP切换到备用设备来恢复网络运行，并进一步定位硬件故障。切换方式为1、拔掉主用防火墙的上下行网线（仅在设备关闭电源的情况下，才需要拔掉该设备的HA连线），防火墙将自动进行主备切换。2、或在主用设备上执行：exec nsrp vsd-group id 0 mode backup,手动执行防火墙主备切换。八、设备返修（RMA）:如经Juniper公司确认防火墙发生硬件故障，请及时联系设备代理商。设备代理商将根据报修流程，由Juniper公司对保修期内的损坏部件或设备进行RMA（设备返修）。

Juniper_SRX基本配置手册

Juniper SRX防火墙基本配置手册

1SRX防火墙的PPPoE拔号配置 Juniper SRX防火墙支持PPPoE拔号，这样防火墙能够连接ADSL链路，提供给内网用户访问网络的需求。配置拓扑如下所示： Juniper SRX240防火墙在Juniper SRX防火墙上面设置ADSL PPPoE拔号，可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0，在命令行下面的查看命令如下所示： juniper@HaoPeng# run show interfaces terse | match pp Interface Admin Link Proto Local Remote pp0 up up 在WEB界面下，也能够看到PPPoE的拔号接口pp0 配置步聚如下所示：第一步：选择接口ge-0/0/4作为PPPoE拔号接口的物理接口，将接口封装成PPPoE To configure PPPoE encapsulation on an Ethernet interface: juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether 第二步：配置PPPoE接口PP0.0的参数 To create a PPPoE interface and configure PPPoE options: user@host# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/4.0 auto-reconnect 100 idle-timeout 100 client

Juniper 常用配置

Juniper 常用配置一、基本操作 1、登录设备系统初始化用户名是roo t，密码是空。在用户模式下输入configure或者是edit可以进入配置模式。 2、设置用户名：set host-name EX4200。 3、配置模式下运行用户模式命令，则需要在命令前面加一个run，如：run show interface 。 4、在show 后面使用管道符号加上display set将其转换成set 格式命令show protocols ospf | display set 。 5、在需要让配置生效需要使用commit命令，在commit之前使用commit check来对配置进行语法检查。如果提交之后，可以使用rollback进行回滚，rollback 1回滚上一次提前之前的配置，rollback 2则是回滚上 2 次提交之前的配置。 6、交换机重启：request system reboot 7、交换机关机：request system halt 二、交换机基本操作 2.1 设置root密码交换机初始化用户名是root 是没有密码的，在进行commit 之前必须修改root 密码。明文修改方式只是输入的时候是明文，在交换机中还是以密文的方式存放的。实例：明文修改方式： lab@EX4200-1# top [edit] lab@EX4200-1# edit system [edit system] lab@EX4200-1# set root-authentication plain-text-password 2.2 设置删除主机名实例：

#"设置主机名为EX4200" lab@EX4200-1# edit system [edit system] lab@EX4200-1# set host-name EX4200 #”删除命令”# lab@EX4200-1# edit system [edit system] lab@EX4200-1# delete host-name EX4200 2.3 开启Telnet登陆服务说明：在默认缺省配置下，EX 交换机只是开放了http 远程登陆方式，因此如果想通过telnet登陆到交换机上，必须在系统中打开telnet 服务。实例： lab@EX4200-1# edit system service [edit system services] #打开Telnet 服务 lab@EX4200-1# set telnet #同时telnet 的最大连接数范围1-250 lab@EX4200-1# set telnet connection-limit 10 #每分钟同时最大连接数范围1-250 lab@EX4200-1# set telnet rate-limit 10 #删除telnet服务 lab@EX4200-1# edit system service [edit system services] lab@EX4200-1# delete telnet 2.4 开启远程ssh登陆 EX 交换机默认是没有开启SSH 服务，当你打开了SSH 服务而没有制定SSH 的版本，系统自动支持V1和V2 版本。如果你指定了SSH 的版本，则系统只允许你指定版本的SSH 登陆。实例： lab@EX4200-1# edit system service

Juniper SRX防火墙巡检命令

Juniper SRX防火墙巡检命令 1. CPU利用率核查show chassis routing-engine 2. MEM利用率核查show chassis routing-engine 3. OSPF邻居关系核查show ospf neighbor 4. LDP端口状态检查show ldp interface 5. ISIS邻居关系检查show isis adjacency 6. BGP邻居关系检查show bgp neighbor 7. HSRP信息检查show vrrp extensive 8. 生成树STP信息检查 9. 电源状态核查show chassis environment pem 10. 风扇状态核查show chassis environment 11. 单板告警核查show chassis alarms 12. 单板状态核查show chassis fpc/show chassis fpc pic-status 13. 单板温度核查show chassis fpc/show chassis fpc pic-status 14. 单板固件版本信息检查show chassis fpc detail 15. 接口配置核查show configuration interfaces 16. 接口描述规范性核查show interface descriptions 17. AAA认证检查show configuration system 18. 引擎板冗余状态检查show configuration chassis redundancy 19. NTP状态核查show ntp associations 20. SYSLOG配置指向检查show configuration system syslog 21. TRAP配置指向检查

juniper配置命令大全中英文对照版

#---表示翻译不一定准确 *---表示常用命令 >get ？ Address show address book显示地址信息 admin show admin information 显示管理员信息 alarm show alarm info 显示报警信息 alg application layer gateway information 应用层网关信息 alg-portnum get ALG port num 获得ALG接口号码 alias get alias definitions 得到别名定义 arp show ARP entries 显示ARP记录 asp asp attack show attacks 显示攻击信息 auth show authentication information 显示登陆信息认证信息 auth-server authentication server settings 认证服务器设置 backu4p backup information 备份信息 chassis show chassis information 显示机架信息（机架温度….） clock show system clock 显示系统时钟 config show system configuration 显示系统配置信息 console show console parameters 显示控制台参数设置 counter show counters 显示计数器仪表 di get deep inspection parameters 深入检测参数 dialer get dialer information 得到拨号器信息 dip show all dips in a vsys or root 显示所有dip里的虚拟系统或者根dip-in show incoming dip table info 显示进入DIP表的信息 dns show dns info 显示DNS信息 domain show domain name 显示域名 dot1x display global configuration 显示全局配置 driver show driver info 显示驱动信息 envar show environment variables 显示环境变量信息 event show event messages 显示事件消息 file show file information 显示文件信息 firewall show firewall protection information 显示防火墙保护信息 gate show gate info 阀门信息显示 global-pro global-pro settings 全局设置 # group show groups 显示组信息 group-expression group expressions details 组的表达方式详细信息 hostname show host name 显示主机名 igmp IGMP ike get IKE info 得到密钥信息 infranet Infranet Controller configuration Infranet控制器配置interface show interfaces 显示接口信息 ip get ip parameters 获得IP参数 ip-classification Show IP classification 显示IP分类 ippool get ippool info 得到IP地址池信息 ipsec get ipsec information 得到安全协议的信息 irdp show IRDP status 显示IRDP的状态地位 l2tp get l2tp information 得到L2TP的信息 license-key get license key info 得到许可证密钥信息 log show log info 显示日志信息 mac-learn show mac learning table 透明模式下显示MAC地址信息

Juniper SRX防火墙配置手册-命令行模式

Juniper SRX防火墙简明配置手册

目录一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (4) 1.3 SRX主要配置内容 (5) 二、SRX防火墙配置对照说明 (6) 2.1 初始安装 (6) 2.1.1 登陆 (6) 2.1.2 设置root用户口令 (6) 2.1.3 设置远程登陆管理用户 (7) 2.1.4 远程管理SRX相关配置 (7) 2.2 Policy (8) 2.3 NAT (8) 2.3.1 Interface based NAT (9) 2.3.2 Pool based Source NAT (10) 2.3.3 Pool base destination NAT (11) 2.3.4 Pool base Static NAT (12) 2.4 IPSEC VPN (13) 2.5 Application and ALG (15) 2.6 JSRP (15) 三、SRX防火墙常规操作与维护 (19) 3.1 设备关机 (19) 3.2设备重启 (20) 3.3操作系统升级 (20) 3.4密码恢复 (21) 3.5常用监控维护命令 (22)

juniper防火墙详细配置手册

Juniper防火墙简明实用手册（版本号：V1.0）

目录 1juniper中文参考手册重点章节导读 (4) 1.1第二卷：基本原理 4 1.1.1第一章：ScreenOS 体系结构 4 1.1.2第二章：路由表和静态路由 4 1.1.3第三章：区段 4 1.1.4第四章：接口 4 1.1.5第五章：接口模式 5 1.1.6第六章：为策略构建块 5 1.1.7第七章：策略 5 1.1.8第八章：地址转换 5 1.1.9第十一章：系统参数 6 1.2第三卷：管理 6 1.2.1第一章：管理 6 1.2.2监控NetScreen 设备 6 1.3第八卷：高可用性

6 1.3.1...................................................... NSRP 6 1.3.2故障切换 7 2Juniper防火墙初始化配置和操纵 (8) 3查看系统概要信息 (9) 4主菜单常用配置选项导航 (10) 5Configration配置菜单 (11) 5.1Date/Time:日期和时间 11 5.2Update更新系统镜像和配置文件 12 5.2.1更新ScreenOS系统镜像 12 5.2.2更新config file配置文件 13 5.3Admin管理 15 5.3.1Administrators管理员账户管理 15 5.3.2Permitted IPs：允许哪些主机可以对防火墙进行管理 16 6Networks配置菜单 (17) 6.1Zone安全区 17 6.2Interfaces接口配置 19 6.2.1查看接口状态的概要信息 19