juniper screen 防火墙三种部署模式及基本配置

合集下载

Juniper 防火墙配置简介

Juniper 防火墙配置简介

防火墙配置简介Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 1 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 2Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 3 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 4Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 5 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 6Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 7 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 8Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 9 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 10Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 11 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 12Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 13 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 14Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 15 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 16Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 17 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 18Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 19 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 20Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 21 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 22Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 23 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 24Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 25 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 26Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 27 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 28Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 29 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 30Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 31 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 32Thank YouCopyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 33。

Juniper NetScreen防火墙新人指南

Juniper NetScreen防火墙新人指南

Juniper NetScreen防火墙新人指南(WEB、CLI)来源:作者:netscreen时间:01-03 06:02:55浏览:737【大中小】NetScreen防火墙支持多种管理方式:WEB管理,CLI (Telnet) 管理等,由于一般调试工作中,我们最常用的也就是前面两种。

(ScreenOS 4.0)首先,使用CONSOLE口进行配置1.把配送的线的一端插在防火墙的CONSOLE口,线的另一端插在转换插头后插在PC的串行口上。

2.打开WINDOWS的附件-》通讯-》超级终端,选择插有CONSOLE线的串口连接。

(设置串口属性:9600-8-无-硬件)3.出现提示符号后输入帐号密码进入设置命令行界面。

(默认帐号:Netscreen;密码Netscreen)4.进入Netscreen命令行管理界面 }B4BWeb管理连接设置1. 设置接口IP;若所有接口均未配置IP(Netscreen设备初始化设置),需设置一个端口IP,用于连接web管理界面,这里设置trust端口;在命令行模式下输入: ns5XT->set int trust ip *命令说明: A.B.C.D为IP地址,通常设置为一个内网地址,E 为IP地址的掩码位,通常设为24。

此时通过get interface命令可以看到端口状态的信息(类似CISCO SHOW 接口命令)2.启动接口的web管理功能; ns5XT->set int trust manage web3.连通PC和防火墙间的网络,通过浏览器的web界面进行具体功能设置 DW,建立对于NS-5,NS-10,NS-100防火墙,PC与trust口,DMZ口采用直通电缆连接,PC与untrust 口的连接采用交叉线。

对于NS-25,NS-200及以上产品,PC与防火墙所有端口的连接都采用直通电缆。

注意:将PC网卡的IP地址设置成与防火墙相应端口的管理IP同一个网段内;打开IE浏览器,键入防火墙的管理IP,打开登陆画面;防火墙基本设置:1.设置访问超时时间:Web: 在Web中的Configuration>Admin>Management中的Enabel Web Management Idle Timeout 中填入访问超时的分钟数,并在前面打勾。

Juniper网络安全防火墙设备安装手册

Juniper网络安全防火墙设备安装手册

Juniper 网络安全防火墙设备快速安装手册目录1、前言 (4)1.1 、J UNIPER防火墙配置概述 (4)1.2 、J UNIPER防火墙管理配置的基本信息 (4)1.3 、J UNIPER防火墙的常用功能 (5)2、JUNIPER防火墙三种部署模式及基本配置 (6)2.1 、NAT模式 (6)2.2 、R OUTE-路由模式 (7)2.3 、透明模式 (8)2.4 、基于向导方式的NAT/R OUTE模式下的基本配置 (8)2.5 、基于非向导方式的NAT/R OUTE模式下的基本配置 (17)2.5.1 、NS-5GT NAT/Route模式下的基本配置 (18)2.5.2 、NS-25-208 NAT/Route模式下的基本配置 (19)2.6 、基于非向导方式的透明模式下的基本配置 (20)3、JUNIPER防火墙几种常用功能的配置 (21)3.1 、MIP的配置 (21)3.1.1 、使用Web浏览器方式配置MIP (22)3.1.2 、使用命令行方式配置MIP (24)3.2 、VIP的配置 (24)3.2.1 、使用Web浏览器方式配置VIP (25)3.2.2 、使用命令行方式配置VIP (26)3.3 、DIP的配置 (27)3.3.1 、使用Web浏览器方式配置DIP (27)3.3.2 、使用命令行方式配置DIP (29)4、JUNIPER防火墙IPSEC VPN的配置 (29)4.1 、站点间IPS EC VPN配置:STAIC IP-TO-STAIC IP (29)4.1.1 、使用Web浏览器方式配置 (30)4.1.2 、使用命令行方式配置 (34)4.2 、站点间IPS EC VPN配置:STAIC IP-TO-DYNAMIC IP (36)4.2.1 、使用Web浏览器方式配置 (37)4.2.1、使用命令行方式配置 (40)5、JUNIPER中低端防火墙的UTM功能配置 (42)5.1 、防病毒功能的设置 (43)5.1.1 、Scan Manager的设置 (43)5.1.2 、Profile的设置 (44)5.1.3 、防病毒profile在安全策略中的引用 (46)5.2 、防垃圾邮件功能的设置 (48)5.2.1 、Action 设置 (49)5.2.2 、White List与Black List的设置 (49)5.2.3 、防垃圾邮件功能的引用 (51)5.3 、WEB/URL过滤功能的设置 (51)5.3.1 、转发URL过滤请求到外置URL过滤服务器 (51)5.3.2 、使用内置的URL过滤引擎进行URL过滤 (53)5.3.3 、手动添加过滤项 (54)5.4 、深层检测功能的设置 (58)5.4.1 、设置DI攻击特征库自动更新 (58)5.4.2 、深层检测(DI)的引用 (59)6、JUNIPER防火墙的HA(高可用性)配置 (61)6.1 、使用W EB浏览器方式配置 (62)6.2 、使用命令行方式配置 (64)7、JUNIPER防火墙一些实用工具 (65)7.1 、防火墙配置文件的导出和导入 (65)7.1.1 、配置文件的导出 (66)7.1.2 、配置文件的导入 (66)7.2 、防火墙软件(S CREEN OS)更新 (67)7.3 、防火墙恢复密码及出厂配置的方法 (68)8、JUNIPER防火墙的一些概念 (68)1、前言我们制作本安装手册的目的是使初次接触Juniper 网络安全防火墙设备(在本安装手册中简称为“Junip er防火墙”)的工程技术人员,可以通过此安装手册完成对Juniper防火墙基本功能的实现和应用。

Juniper Screens安全配置

Juniper Screens安全配置

Juniper Screens配置Screens 是Juniper防火墙对应用层(Scans,Floods,不规则IP包,DDos)攻击的一个过滤器。

通过使用大量硬件接口,在路由之前,进行规则匹配。

一、配置一个Screens1,创建一个screens#edit security screen ids-option untrust-screen2,添加screens规则。

#set security screen ids-option untrust-screen alarm-without-drop#set security screen ids-option untrust-screen icmp ping-death#set security screen ids-option untrust-screen ip source-route-option#set security screen ids-option untrust-screen ip tear-drop#set security screen ids-option untrust-screen tcp port-scan threshold 1000#set security screen ids-option untrust-screen tcp syn-flood alarm-threshold 1024#set security screen ids-option untrust-screen tcp syn-flood attack-threshold 200#set security screen ids-option untrust-screen tcp syn-flood source-threshold 1024#set security screen ids-option untrust-screen tcp syn-flood destination-threshold2048#set security screen ids-option untrust-screen tcp syn-flood timeout 20#set security screen ids-option untrust-screen tcp land3,应用Screens规则到zones#set security zones security-zone untrust screen untrust-screen查看命中数:>show security screen statistics zone untrust>show security screen statistics interface ge-0/0/0.0二、泛洪(Flooding)防护1,限制地址session会话#set security screen ids-option FLOOD limit-session source-ip-based 10000#set security screen ids-option FLOOD limit-session destination-ip-based 100002,ICMP和UDP 泛洪保护。

juniper Netscreen防火墙策略路由配置

juniper Netscreen防火墙策略路由配置

juniper Netscreen防火墙策略路由配置Netscreen-25 概述Juniper网络公司NetScreen-25和NetScreen-50是面向大企业分支办事处和远程办事处、以及中小企业的集成安全产品。

它们可提供网络周边安全解决方案,并带有多个DMZ和VPN,可以确保无线LAN的安全性,或保护内部网络的安全。

NetScreen-25设备可提供100 Mbps 的防火墙和20 Mbps的3DES或AES VPN性能,可支持32,000条并发会话和125条VPN 隧道。

NetScreen-50设备是高性能的集成安全产品,可提供170 Mbps的防火墙和45 Mbps 的3DES或AES VPN性能,可支持64,000条并发会话和500 条VPN隧道。

一、特性与优势NetScreen-25和NetScreen-50产品的主要特性和优势如下:集成的深层检测防火墙可以逐策略提供应用层攻击防护,以保护互联网协议安全;集成的Web过滤功能,可制订企业Web使用策略、提高整体生产率、并最大限度地减少因滥用企业资源而必须承担的赔偿责任;拒绝服务攻击防护功能,可抵御30多种不同的内外部攻击;高可用性功能,可最大限度地消除单点故障;动态路由支持,以减少对手工建立新路由的依赖性;冗余的VPN隧道和VPN监控,可缩短VPN连接的故障切换时间;虚拟路由器支持,可将内部、专用或重叠的IP地址映射到全新的IP地址,提供到最终目的地的备用路由,且不被公众看到;可定制的安全区,能够提高接口密度,无需增加硬件开销、降低策略制订成本、限制未授权用户接入与攻击、简化VPN管理;通过图形Web UI、CLI或NetScreen-Security Manager集中管理系统进行管理;基于策略的管理,用于进行集中的端到端生命周期管理;.二、技术规格Netscreen-25或Netscreen-50都有两种不同的许可选项(Advanced/Baseline),提供不同级别的功能和容量。

juniper防火墙详细配置手册

juniper防火墙详细配置手册

juniper防火墙详细配置手册Juniper防火墙简明实用手册(版本号:V1.0)目录1juniper中文参考手册重点章节导读 (4)1.1第二卷:基本原理41.1.1第一章:ScreenOS 体系结构41.1.2第二章:路由表和静态路由41.1.3第三章:区段41.1.4第四章:接口41.1.5第五章:接口模式51.1.6第六章:为策略构建块51.1.7第七章:策略51.1.8第八章:地址转换51.1.9第十一章:系统参数61.2第三卷:管理61.2.1第一章:管理61.2.2监控NetScreen 设备61.3第八卷:高可用性61.3.1...................................................... NSRP61.3.2故障切换72Juniper防火墙初始化配置和操纵 (8)3查看系统概要信息 (9)4主菜单常用配置选项导航 (10)5Configration配置菜单 (11)5.1Date/Time:日期和时间115.2Update更新系统镜像和配置文件125.2.1更新ScreenOS系统镜像125.2.2更新config file配置文件135.3Admin管理155.3.1Administrators管理员账户管理155.3.2Permitted IPs:允许哪些主机可以对防火墙进行管理166Networks配置菜单 (17)6.1Zone安全区176.2Interfaces接口配置196.2.1查看接口状态的概要信息196.2.2设置interface接口的基本信息196.2.3设置地址转换216.2.4设置接口Secondary IP地址256.3Routing路由设置266.3.1查看防火墙路由表设置266.3.2创建新的路由条目277Policy策略设置 (28)7.1查看目前策略设置287.2创建策略298对象Object设置 (31)9策略Policy报告Report (33)1juniper中文参考手册重点章节导读版本:Juniper防火墙5.0中文参考手册,内容非常庞大和繁杂,其中很多介绍和功能实际应用的可能性不大,为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作,下面简单对参考手册中的重点章节进行一个总结和概括,掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

Juniper防火墙配置

Juniper防火墙配置

Netscreen 204防火墙/VPN NSRP(HA)冗余设置步骤目录一、网络拓扑结构图 (3)二、设置步骤 (3)三、命令行配置方式 (4)四、图形界面下的配置步骤 (8)设置前请先将在线主防火墙的配置备份一次,具体步骤请参考《维护文档》一、网络拓扑结构图二、设置步骤1、将两台防火墙的第四个端口连接在一起,我们设置将原有防火墙设置为主防火墙,新增加的防火墙为备份的防火墙,备份的防火墙只连接第四个端口,其他的端口将在防火墙配置完毕后才连接上2、使用终端线缆连接到防火墙的Console口,超级终端参数设置为9600-8-无-1-无。

三、命令行配置方式蓝色字体为在超级终端上输入的命令3.1、主防火墙配置,(移动公司在线使用的Netscreen-204防火墙)ns204>unset interface e4 ip将端口4的IP地址删除,ns204>set interface e4 zone ha将端口4和HA区域绑定一起配置NSRPns204->ns204->ns204-> get nsrp查看NSRP配置信息nsrp version: 2.0cluster info:cluster id not set: nsrp is inactive 默认的情况下NSRP没有击活VSD group info:init hold time: 5heartbeat lost threshold: 3heartbeat interval: 1000(ms)group priority preempt holddown inelig master PB other memberstotal number of vsd groups: 0Total iteration=3808,time=2721060,max=880,min=286,average=714RTO mirror info:run time object sync: disabledping session sync: enabledcoldstart sync donensrp link info:no nsrp link has been defined yetNSRP encryption: disabled--- more ---NSRP authentication: disabledNSRP monitor interface: nonenumber of gratuitous arps: 4 (default)track ip: disabledns204-> set nsrp cluster id 1 设置cluster组号ns204(M)-> set nsrp vsd id 0 设置VSD的组号,这条命令可以不用输入,因为Netscreen防火墙的默认的虚拟安全数据库(VSD)的值是0。

Juniper防火墙配置图解

Juniper防火墙配置图解

Juniper 防火墙v6.0以上版本 L2tpvpn (for XP Win7)配置图解防火墙端配置1、新建地址池Objects – IP Pools – NewIP Pool Name :用户自定义名称Start IP :用户自定义一段地址的起始地址End IP :用户自定义一段地址的结束地址2、修改L2TP 默认设置VPNs – L2TP – Default Settings3、建立用户和组3.1 新建用户Objects – Users – Local -- New重复这个过程,建立多个用户3.2 新建用户组Objects – Users – Local Group -- New4、建立Vpn Tunnel建立tunnel前,先确定好用于拨入VPN的接口编号。

VPNs – L2TP – Tunnel -- New5、建立策略Policy – Policies – NewSource Address : 选择 Dial-UP VPNDestination Address : 选择 New Address ,填入你要访问的目的地址或目的地址段Service :选择要访问的服务Action : 选择 tunnelL2TP :选择新建的L2TP vpn tunnelLogging :可选记录访问日志客户端配置1.1XP端配置1.1.1建立拨号网上邻居右键属性-点击新建连接向导图标点击完成,vpn拨号配置建立完,后面进行配置调整在新建的vpn连接上右键属性提示保留配置时选择Y1.1.2修改注册表点击开始—运行 --- 键入 regedit命令点击确定,进入注册表配置。

进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Paramete rs ,在右侧新建值命名为“ProhibitIpSec”注意大小写,数值为1修改完毕后重启计算机,进行vpn拨号测试用户名和密码栏中填入防火墙端配置的用户名和密码。

防火墙三种部署模式及基本配置

防火墙三种部署模式及基本配置

防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:① 基于TCP/IP协议三层的NAT模式;② 基于TCP/IP协议三层的路由模式;③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源 IP 地址和源端口号。

防火墙使用 Untrust 区(外网或者公网)接口的 IP 地址替换始发端主机的源IP 地址;同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征:① 注册IP地址(公网IP地址)的数量不足;② 内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet;③ 内部网络中有需要外显并对外提供服务的服务器。

2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变。

① 与NAT模式下不同,防火墙接口都处于路由模式时,不需要为了允许入站数据流到达某个主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址;② 与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。

路由模式应用的环境特征:① 注册IP(公网IP地址)的数量较多;② 非注册IP地址(私网IP地址)的数量与注册IP地址(公网IP地址)的数量相当;③ 防火墙完全在内网中部署应用。

2.3、透明模式当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改 IP数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN 的2 层交换机或者桥接器,防火墙对于用户来说是透明的。

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。

juniper防火墙初始配置及管理

juniper防火墙初始配置及管理
• 两种办法恢复出厂默认配置
– 在Console模式下,用设备的序列号作为用户名/密码进行登录。
• 成功后系统出现警告提示,将擦去现有配置,确认后系统开始恢复默认配 置,随后重启。整个过程约3分钟。
– 使用设备面板上的针孔(pinhole)
• 按下按钮直到系统指示灯变成红色 • 等待指示灯恢复到绿色 • 再按前述步骤来一次 • 系统进入初始化状态
28
灾难恢复-----恢复系统文件 II
29
灾难恢复-----恢复系统文件 III
• 当出现“Save to on-board flash disk?”提示时,按“Y”键将OS存入FLASH。 • 当出现“Run download system image?”提示时,按“Y”键运行新的OS。
30
15• 点击“Save To File”按钮,进行下载。系统将提示你选择文件目录。
基本系统配置-----管理员帐号管理
• Configuration > Admin > Administrators
创建新的管理员帐号
编辑管理员帐号
Root管理员由系统定义,不能删除;但可以修改其名称和密码。 Root管理员可以创建或删除本地管理员帐号。 本地管理员帐号分为Read-Only和Read-Write两种权限。
16
管理员帐号管理-----创建新的系统管理员帐号
• Configuration > Admin > Administrators > Configuration
17
管理员帐号管理-----修改系统管理员帐号用户名/密码
• Configuration > Admin > Administrators > Edit

Juniper防火墙命令配置、界面配置、中文解释对照表

Juniper防火墙命令配置、界面配置、中文解释对照表

参数时区设置虚拟路由器设置ALG认证和管理员属性ZONE设置接口设置Flow设置HA设置SNMP VPN命令set clock dst-offset clock ntpset clock timezone 8set ntp server x.x.x.xset ntp server backup1 "x.x.x.x"set ntp server backup2 "x.x.x.x"set ntp max-adjustment 0set vrouter trust-vr sharableunset vrouter "trust-vr" auto-route-exportunset alg sip enableunset alg mgcp enableunset alg sccp enableunset alg sunrpc enableunset alg msrpc enableunset alg rtsp enableunset alg h323 enableset auth-server "Local" id 0set auth-server "Local" server-name "Local" set auth-server "XXXX" id 1set auth-server "XXXX" server-name "x.x.x.x" set auth-server "XXXX" account-type admin set auth default auth server "Local"set auth-server "XXXX" radius secret "xxxx"set auth-server "ACS" radius port 1646set admin name "ccb"set admin password "xxxxxxxxx"set admin manager-ip x.x.x.x x.x.x.xset admin auth timeout 10set admin auth server "XXXX"set admin auth banner console login "Access is….ly" set admin privilege get-externalset admin format dosset zone "Trust" vrouter "untrust-vr"set zone "Untrust" vrouter "untrust-vr"set zone "DMZ" vrouter "untrust-vr"unset zone "Trust" tcp-rstset zone "Trust" blockunset zone "Untrust" tcp-rstset zone "Untrust" blockset zone "Untrust" screen tear-dropset zone "Untrust" screen syn-floodset zone "Untrust" screen ping-deathset zone "Untrust" screen ip-filter-srcset zone "Untrust" screen landset zone "Untrust" screen alarm-without-dropset interface "ethernet1/1" zone "xxx"set interface ethernet1/1 ip x.x.x.x/xset interface ethernet1/1 routeset interface ethernet1/1 manage-ipset interface ethernet1/1 ip manageableset interface ethernet1/1 manage xxxxunset flow tcp-syn-checkset flow tcp-syn-bit-checkset flow syn-proxy syn-cookieset flow reverse-route clear-text peferset flow reverse-route tunnel alwaysset flow no-tcp-seq-checkset nsrp cluster id 1set nsrp rto-mirror syncset nsrp rto-mirror session ageout-ackunset nsrp rto-mirror session pingset nsrp vsd-group id 0 priority 20set nsrp vsd-group id 0 monitor interface ethernet1/1 set nsrp monitor track-ip ipset nsrp monitor track-ip ip x.x.x.x threshold 10set nsrp vsd-group master-always-existset ntp no-ha-syncset snmp community "xxx" Read-Only Trap-on version v1set snmp host "bbb" y.y.y.y 255.255.255.255 trap v2set snmp name xxxxset snmp port listen 161set snmp port trap 162set pki authority default scep mode "auto"set pki x509 default cert-path partialset ike respond-bad-spi 1unset ike ikeid-enumerationunset ike dos-protectionunset ipsec access-session enableset ipsec access-session maximum 5000set ipsec access-session upper-threshold 0set ipsec access-session lower-threshold 0set ipsec access-session dead-p2-sa-timeout 0unset ipsec access-session log-errorunset ipsec access-session info-exch-connectedunset ipsec access-session use-error-logset interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3set ike gateway To_Paris address 2.2.2.2 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn Tokyo_Paris gateway To_Paris sec-level compatibleset vpn Tokyo_Paris bind interface tunnel.1set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip10.2.2.0/24 anywebConfiguration > Date/Time > Configuration > Date/Time > Configuration > Date/Time > Set Time Zone_hours_minutes from GMT Configuration > Date/Time>Primary Server IP/Name: X.X.X.X Configuration > Date/Time>Backup Server1 IP/Name: X.X.X.X Configuration > Date/Time>Backup Server2 IP/Name: X.X.X.X Configuration >Date/Time>Automatically synchronize with an Internet Time Server (NTP): ( 选择 )Maximum time adjustment seconds:0Network > Routing > Virtual Routers > Edit ( 对于 trust-vr):Shared and accessible by other vsys ( 选择 )Network > Routing > Virtual Router > Edit ( 对于 trust-vr): 取消选择Auto Export Route to Untrust-VR,然后单击 OK。

Juniper防火墙基本配置

Juniper防火墙基本配置

规格对照之SSG 20
规格对照之SSG 140
防火墙性能(大型数据包) 350+ Mbps • 防火墙性能(IMIX) 300Mbps • 每秒处理的防火墙数据包数量 100,000PPS • 3DES+SHA-1 VPN性能 100 Mbps • 并发VPN隧道数 500 ,最大并发会话数 48,000 • 新会话/秒 8,000 最大安全策略数1,000 最大安全区数量 40 • 最大虚拟路由器数量 6 最大虚拟局域网数量 100 • 固定I/O 8x10/100,2x10/100/1000 • 物理接口模块(PIM)扩展插槽 (I/O) 4 • 无802.11 a/b/g
远程办公室/中小企业/中小分支机构
中大企业/大型分支机构
企业总部/数据中心
SSG系列型号
• SSG 5 & SSG20 (ssg20有2个Mini插槽的)
o o 160 Mbps FW / 40 Mbps VPN 会话数:8000,加license可扩展到16000 350+ Mbps FW / 100 Mbps VPN 8 FE + 2 GE Interfaces + 4 PIM slots 会话数:48000
特点与效益
• 特点二:防火墙整合路由功能 效益 结合安全防御和 LAN/WAN路由功能,并能够阻止内部网络与应用层 中出现的攻击,以保护企业内部网络,降低 IT的费用支出
• 特点三:提供各种不同的LAN和WAN 接口选项 效益 包括T1/E1, Serial, DS3/E3, ADSL, Ethernet, SFP等
• Web UI
network->DHCP->选择端口 Edit 设置DHCP模式,DHCP网关、掩码,DHCP的DNS Networ->DHCP->选择端口 address 设置DHCP地址范围

juniper netscreen ssg5gt防火墙傻瓜配置说明书

juniper netscreen ssg5gt防火墙傻瓜配置说明书

juniper netscreen ssg5gt防火墙傻瓜配置说明书一、防火墙的基本设置1、防火墙程序的重装如果防火墙出现故障,需要重装程序或重新配置,可以采用超级终端,先清空程序,再进行安装。

具体操作为:第一步:用9针数据线(防火墙有带)连接防火墙和电脑(下图画红线端口),打开电源。

第二步:打开程序—附件—通讯—超级终端(下图),第四步:打开超级终端出现下图,随便填写连接名称,按确定,第五步:确定后出现下图,“连接使用”选择COM1,其它不填第六步:再确定后出现下图,第七步:再按确定,就出现名为“1111”的超级终端第八步:当防火墙接上电脑后,超级终端就会出现login: ,如果要重装软件,就输入防火墙产品背面的序列号,本公司使用的产品序列号为0064092004011007,再按回车,出现password: ,再输入序列号,回车,就出现重启画面。

下图红线部分是询问是否重启y/n,键盘输入y,回车,自动重启,防火墙恢复到出厂设置,web入口为192.168.1.1:第九步:把防火墙拆下,通过网络线放入到服务器端(或者用网络线与任意一机器相连都行,但机器的本地连接要与防火墙同一网段,即网关设为192.168.1.1),接上电源,然后打开IE,输入http://192.168.1.1,就可登录防火墙首页,然后进行防火墙的基本程序重装。

2、防火墙程序重装第一步:打开IE,输入http://192.168.1.1,可见下图第二步:直接按“下一步”,出现下图第三步:再按next ,出现下图。

可以自定义用户名和密码(现在防火墙上设置的用户名为netscreen ,密码为hai2DA ),第四步:然后再按next,可见下图第五步:选中“Enable Nat ”,按“next ”,出现下图第六步:选择“trust-untrust Mode”,按“next”,可见下图第七步:因为我们的是固定外网IP,选中“static IP”,在“untrust zone interface IP(即:非信任区入口IP)”填写入外网IP:121.40.245.10;在netmask(子网掩码)填写入:255.255.255.0;在gateway(网关)中填写入:121.40.245.1。

Juniper防火墙中文版配置手册说明

Juniper防火墙中文版配置手册说明

Juniper防⽕墙中⽂版配置⼿册说明Juniper SSG-5防⽕墙配置⼿册中⽂版初始化设置1.将防⽕墙设备通电,连接⽹线从防⽕墙e0\2⼝连接到电脑⽹卡。

2.电脑本地连接设置静态IP地址,IP地址192.168.1.2(在192.168.1.0/24都可以),⼦⽹掩码255.255.255.0,默认⽹关192.168.1.1,如下图:3.设置好IP地址后,测试连通,在命令⾏ping 192.168.1.1,如下图:4.从IE浏览器登陆防⽕墙web页⾯,在地址栏输⼊192.168.1.1,如下图向导选择最下⾯No, skip——,然后点击下⾯的Next:5.在登录页⾯输⼊⽤户名,密码,初始均为netscreen,如下图:6.登陆到web管理页⾯,选择Configuration – Date/Time,然后点击中间右上⾓Sync Clock With Client选项,如下图:7.选择Interfaces – List,在页⾯中间点击bgroup0最右侧的Edit,如下图:8.此端⼝为Trust类型端⼝,建议IP设置选择Static IP,IP Address输⼊规划好的本地内⽹IP地址,如192.168.22.1/24,Manage IP 192.168.22.1。

之后勾选Web UI,Telnet,SSH,SNMP,SSL,Ping。

如下图:Internet⽹络设置1.修改本地IP地址为本地内⽹IP地址,如下图:2.从IE浏览器打开防⽕墙web页⾯,输⼊⽤户名密码登陆,如下图:3.选择Interfaces – List,点击页⾯中ethernet0/0最右侧的Edit选项,如下图:4.此端⼝为Untrust类型端⼝,设置IP地址有以下三种⽅法:(根据ISP提供的⽹络服务类型选择)A.第⼀种设置IP地址是通过DHCP端获取IP地址,如下图:B.第⼆种设置IP地址的⽅法是通过PPPoE拨号连接获取IP,如下图,然后选择Create new pppoe setting,在如下图输⼊本地ADSL pppoe拨号账号,PPPoE Instance输⼊名称,Bound to Interface选择ethernet0/0,Username和Password输⼊ADSL账号密码,之后OK,如下图:PPPoE拨号设置完毕之后,点击Connect,如下图:回到Interface –List,可以看到此拨号连接的连接状态,如下图:ethernet0/0右侧PPPoE⼀栏有⼀个红叉,表⽰此连接已经设置但未连接成功,如连接成功会显⽰绿勾。

juniper防火墙简单配置(Juniper firewall simple configuration)

juniper防火墙简单配置(Juniper firewall simple configuration)

juniper防火墙简单配置(Juniper firewall simple configuration)取消重点保护使设置时钟的时区7设置时钟DST重复启动2 0 3日02:00结束平日1 0 11 02:00vrouter信任虚拟共享设置设置“不信任vrouter VR”出口集vrouter信任VR”设置自动路径导出出口集appleichat使ALG不appleichat重新装配使ALG集ALG SCTP使认证服务器设置“本地”ID 0认证服务器设置“本地”服务器名称“地方”认证服务器设置“本地”ID 1认证服务器设置“本地”服务器名称“地方”设置默认的认证服务器认证的“地方”设置认证RADIUS记帐端口1646设置管理员名称”txbfhq”设置管理员密码”npd4p / ryerllc51dfsub2fgt96d5on”设置管理访问尝试1集失败960管理员访问锁设置管理员认证网络超时0设置管理认证服务器的“本地”设置管理员认证远程根设置管理格式设置区的“信任”vrouter信任VR”设置区的“不信任”的vrouter信任VR”集区dmz vrouter信任VR”集区”vrouter VLAN”“信任VR”设置区的“不信任”的信任vrouter屯“VR”设置区的“信任”的TCP RST不带“不信任”的块不带“不信任”的TCP RST集区”管理”模块不带“V1信任“TCP RST不带“V1不信任”的TCP RST不带“DMZ”TCP RST不带“v1-dmz”TCP RST不带“VLAN”TCP RST设置区的“信任”屏幕IP欺骗基于区不带“不信任”的屏幕的泪滴不带“不信任”的屏幕SYN洪水不带“不信任”的屏幕平死不带“不信任”的屏幕的IP筛选器SRC 不带“不信任”的屏幕的土地设置区的“不信任”的屏幕区基于IP欺骗集区V1不信任”的屏幕的泪滴集区V1不信任”的屏幕SYN洪水集区V1不信任”的屏幕平死集区V1不信任”屏幕的IP筛选器SRC集区V1不信任”屏幕的土地集区dmz屏幕报警不降集区“DMZ”屏幕上的隧道集区dmz屏幕ICMP洪水集区dmz屏幕泛滥集区dmz屏幕WinNuke集区dmz屏幕端口扫描集区dmz屏幕IP扫描集区“DMZ”屏幕的泪滴集区dmz屏幕SYN洪水集区dmz屏幕IP欺骗集区dmz屏平死集区“DMZ”屏幕的IP筛选器SRC 集区“DMZ”屏幕的土地集区“DMZ”屏幕的SYN片段集区dmz屏幕TCP没有国旗集区dmz筛选未知协议集区dmz屏幕IP不坏的选择集区“DMZ”屏幕的IP记录路由集区“DMZ”屏幕选择IP时间戳集区dmz屏幕IP安全选择集区dmz屏幕IP松散的src路径集区dmz屏幕IP严格的src路径集区“DMZ”屏幕选择IP流集区dmz屏幕ICMP片段集区dmz ICMP大屏幕集区dmz屏幕同翅集区dmz屏翅无确认集区dmz屏幕限制会话的源IP集区dmz屏幕SYN ACK ACK代理集区dmz屏幕块碎片集区dmz屏幕限制会话的IP目标集区dmz屏幕组件块拉链集区dmz屏幕组件块罐集区dmz屏幕组件块EXE集区dmz屏幕组件阻止ActiveX集区dmz屏幕ICMP ID集区dmz屏幕TCP扫描集区dmz屏幕UDP扫描集区dmz屏幕IP欺骗下降RPF路由设置界面“Ethernet0 / 0区”“信任”设置界面“Ethernet0 / 1“区”非军事区”设置界面“Ethernet0 / 2区”“不信任”设置界面“Ethernet0 / 3“区”V1空”设置IP 10.0.3.9/24接口Ethernet0 / 0设置NAT接口Ethernet0 / 0设置接口VLAN1的IP设置IP 192.168.2.1/24接口Ethernet0 / 1 设置NAT接口Ethernet0 / 1设置IP 218.89.188.50/24接口Ethernet0 / 2 设置NAT接口Ethernet0 / 2设置接口VLAN1绕过其他IPSec设置接口VLAN1旁路非IP设置接口Ethernet0 / 0 IP管理设置接口Ethernet0 / 1 IP管理设置接口Ethernet0 / 2 IP管理设置接口Ethernet0 / 1管理SSH设置管理Telnet接口Ethernet0 / 1设置管理SNMP接口Ethernet0 / 1设置接口Ethernet0 / 1管理SSL设置接口Ethernet0 / 1管理网络设置接口Ethernet0 / 2管理平设置接口Ethernet0 / 2管理SSH设置管理Telnet接口Ethernet0 / 2设置管理SNMP接口Ethernet0 / 2设置接口Ethernet0 / 2管理SSL设置接口Ethernet0 / 2管理网络设置接口Ethernet0接口IP 8079 / 1 VIP“http”218.89.189.232设置接口Ethernet0接口IP 8080 / 1 VIP“http”218.89.188.50设置接口Ethernet0接口IP 8077 / 1 VIP“http”10.0.3.10设置接口Ethernet0接口IP 8078 / 1 VIP“http”10.0.3.9设置界面“Ethernet0 / 2“218.89.188.50主机子网掩码255.255.255.255 10.0.3.10 MIP VR”信任VR”设置流量没有TCP序列检查设置流SYN校验设置流TCP SYN位检查设置流量反向路径清晰的文本选择设置流量反向路由隧道总是设置默认的权限模式PKI SCEP“自动”设置默认路径部分PKI X509证书设置地址的“信任”“10.0.3.1 / 24“10.0.3.1 255.255.255.0设置地址的“信任”“218.89.189.1 / 24“218.89.189.1 255.255.255.0设置地址“DMZ”“123”192.168.2.3 255.255.255.255设置地址“DMZ”kbx”10.0.3.10 255.255.255.0设置地址“DMZ”oda1”1.2.1.8 255.255.255.255设置地址“DMZ”oda2”1.2.1.8 255.255.255.255设置用户“恒源祥”UID 3设置用户“恒源祥”型奥特湾设置用户“恒源祥”密码“rvx4ldt9nz8bftsee1cajiiyq + nq9j3hyq = =“设置用户“恒源祥”“启用”设置用户“DW”UID 4设置用户“DW”型奥特湾设置用户“DW”密码“jbbrzotvn7ma6ssjcacxvyrw9jnjo3uwmg = =“设置用户“DW”“启用”设置用户的“kbx UID 1设置用户的“kbx”型奥特湾设置用户的“kbx“密码”sbofmfycngvprksk1mcvhzgdovnjbjd5rq = =“设置用户的“kbx”“启用”设置密码策略出口设置IKE响应不良SPI 1集艾克IKEv2 IKE SA软寿命60撤消艾克ikeid枚举撤消艾克DOS保护设置访问会话启用IPSec集IPSec接入会话最大5000集IPSec接入会话上限0集IPSec接入会议门槛降低0集IPSec接入会话dead-p2-sa-timeout 0 设置IPSec接入会话日志错误设置IPSec接入会话信息交换连接设置IPSec接入会话使用错误日志设置“不信任vrouter VR”出口集vrouter信任VR”出口设置URL协议Websense出口将策略ID从“信任”设置为“信任”、“任何”、“任何”、“任何”允许日志。

Juniper NETSCREEN NSRP典型配置及维护

Juniper NETSCREEN NSRP典型配置及维护

Juniper NETSCREEN NSRP典型配置及维护Layer3 Fullmesh连接A/A组网模式Layer3 Fullmesh连接A/A结构提供了一种更为灵活的组网方式,在保证网络高可靠性的同时提升了网络的可用性。

A/A结构中两台防火墙同时作为主用设备并提供互为在线备份,各自独立处理信息流量并共享连接会话信息。

一旦发生设备故障另一台设备将负责处理所有进出网络流量。

Fullmesh连接A/A 组网模式对网络环境要求较高,要求网络维护人员具备较强技术能力,防火墙发生故障时,接管设备受单台设备容量限制,可能会导致会话连接信息丢失,采用A/A模式组网时,建议每台防火墙负责处理的会话连接数量不超过单台设备容量的50%,以确保故障切换时不会丢失会话连接。

配置说明:定义VSD0和VSD1虚拟安全设备组(创建Cluster ID时将自动创建VSD0),其中NS-A为VSD0主用设备和VSD1备用设备,NS-B为VSD1主用设备和VSD0备用设备;创建冗余接口实现两物理接口动态冗余;配置交换机路由指向来引导网络流量经过哪个防火墙。

NS-A(Active):set interface redundant1 zone Untrustset interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/set interface ethernet1 group redundant1set interface ethernet2 group redundant1set interface redundant2 zone trustset interface redundant2 ip 192.168.1.4/29set interface redundant2 manage-ip 192.168.2.1set interface ethernet3 group redundant2set interface ethernet4 group redundant2/***配置冗余接口、定义Vsd0 接口IP地址***/set interface redundant1:1 ip 100.1.1.5/29set interface redundant2:1 ip 192.168.1.5/29/***VSD1的VSI接口需手动配置IP地址,冒号后面的1表示该接口属于VSD1的VSI***/set interface ethernet7 zone haset interface ethernet8 zone haset nsrp cluster id 1set nsrp vsd-group id 0 priority 50set nsrp vsd-group id 1 /*** VSD1使用缺省配置,优先级为100***/set nsrp rto-mirror syncset nsrp monitor interface redundant1set nsrp monitor interface redundant2set nsrp secondary-path ethernet2/1/***定义NSRP备用心跳接口,保证心跳连接信息不会丢失***/set arp always-on-dest/***强制采用基于ARP表而不是会话表中的MAC地址转发封包***/set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1NS-B(Active):set interface redundant1 zone Untrustset interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/set interface ethernet1 group redundant1set interface ethernet2 group redundant1set interface redundant2 zone trustset interface redundant2 ip 192.168.1.4/29set interface redundant2 manage-ip 192.168.2.2set interface ethernet3 group redundant2set interface ethernet4 group redundant2/***配置冗余接口、定义Vsd0 接口IP地址***/set interface redundant1:1 ip 100.1.1.5/29set interface redundant2:1 ip 192.168.1.5/29set interface ethernet7 zone haset interface ethernet8 zone haset nsrp cluster id 1/***定义一致的Cluster ID,自动启用采用缺省配置的VSD0***/set nsrp rto-mirror syncset nsrp vsd-group id 1 priority 50set nsrp monitor interface redundant1set nsrp monitor interface redundant2set nsrp secondary-path ethernet2/1/***定义NSRP备用心跳接口,保证心跳连接信息不会丢失***/set arp always-on-dest/***强制采用基于ARP表而不是会话中的MAC地址转发封包***/set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1NSRP常用维护命令1、get license-key查看防火墙支持的feature,其中NSRPA/A模式包含了A/P模式,A/P 模式不支持A/A模式。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:① 基于TCP/IP协议三层的NAT模式;② 基于TCP/IP协议三层的路由模式;③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口(内网端口)处于NAT模式时,防火墙Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:① 基于TCP/IP协议三层的NAT模式;② 基于TCP/IP协议三层的路由模式;③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源IP 地址和源端口号。

防火墙使用Untrust 区(外网或者公网)接口的IP 地址替换始发端主机的源IP 地址;同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征:① 注册IP地址(公网IP地址)的数量不足;2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变。

① 与NAT模式下不同,防火墙接口都处于路由模式时,不需要为了允许入站数据流到达某个主机而建立映射IP (MIP)和虚拟IP (VIP)地址;② 与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。

路由模式应用的环境特征:① 注册IP(公网IP地址)的数量较多;② 非注册IP地址(私网IP地址)的数量与注册IP地址(公网IP地址)的数量相当;③ 防火墙完全在内网中部署应用。

2.3、透明模式当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改IP数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN 的2层交换机或者桥接器,防火墙对于用户来说是透明的。

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。

使用透明模式有以下优点:① 不需要修改现有网络规划及配置;② 不需要为到达受保护服务器创建映射或虚拟IP 地址;③ 在防火墙的部署过程中,对防火墙的系统资源消耗最低。

2.4、基于向导方式的NAT/Route模式下的基本配置Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web浏览器配置向导完成。

注:要启动配置向导,则必须保证防火墙设备处于出厂状态。

例如:新的从未被调试过的设备,或者经过命令行恢复为出厂状态的防火墙设备。

通过Web浏览器登录处于出厂状态的防火墙时,防火墙的缺省管理参数如下:① 缺省IP:;② 缺省用户名/密码:注:缺省管理IP地址所在端口参见在前言部份讲述的“Juniper防火墙缺省管理端口和IP地址”中查找!!在配置向导实现防火墙应用的同时,我们先虚拟一个防火墙设备的部署环境,之后,根据这个环境对防火墙设备进行配置。

防火墙配置规划:所在的网段,内部网络计算机的网关地址为防火墙内网端口的IP地址:192.168.1.1;② 防火墙外网接口IP地址(通常情况下为公网IP地址,在这里我们使用私网IP地址模拟公网IP地址)为:,网关地址为:10.10.10.251要求:注:在进行防火墙设备配置前,要求正确连接防火墙的物理链路;调试用的计算机连接到防火墙的内网端口上。

1.通过IE或与IE兼容的浏览器(推荐应用微软IE浏览器)使用防火墙缺省IP地址登录防火墙(建议:保持登录防火墙的计算机与防火墙对应接口处于相同网段,直接相连)。

2.使用缺省IP登录之后,出现安装向导:注:对于熟悉Juniper防火墙配置的工程师,可以跳过该配置向导,直接点选:No,skip the wizard and go straight to the WebUI management session instead,之后选择Next,直接登录防火墙设备的管理界面。

3.使用向导配置防火墙,请直接选择:Next,弹出下面的界面:4. “欢迎使用配置向导”,再选择Next。

注:进入登录用户名和密码的修改页面,Juniper防火墙的登录用户名和密码是可以更改的,这个用户名和密码的界面修改的是防火墙设备上的根用户,这个用户对于防火墙设备来说具有最高的权限,需要认真考虑和仔细配置,保存好修改后的用户名和密码。

5.在完成防火墙的登录用户名和密码的设置之后,出现了一个比较关键的选择,这个选择决定了防火墙设备是工作在路由模式还是工作在NAT模式:选择Enable NAT,则防火墙工作在NAT模式;不选择Enable NAT,则防火墙工作在路由模式。

6.防火墙设备工作模式选择,选择:Trust-Untrust Mode模式。

这种模式是应用最多的模式,防火墙可以被看作是只有一进一出的部署模式。

注:NS-5GT防火墙作为低端设备,为了能够增加低端产品应用的多样性,Juniper在NS-5GT的OS中独立开发了几种不同的模式应用于不同的环境。

目前,除NS-5GT以外,Juniper其他系列防火墙不存在另外两种模式的选择。

7.完成了模式选择,点击“Next”进行防火墙外网端口IP配置。

外网端口IP 配置有三个选项分别是:DHCP自动获取IP地址;通过PPPoE拨号获得IP地址;手工设置静态IP地址,并配置子网掩码和网关IP地址。

在这里,我们选择的是使用静态IP地址的方式,配置外网端口IP地址为:,网关地址为:10.10.10.251。

8.完成外网端口的IP地址配置之后,点击“Next”进行防火墙内网端口IP配置:9.在完成了上述的配置之后,防火墙的基本配置就完成了,点击“Next”进行DHCP服务器配置。

注:DHCP服务器配置在需要防火墙在网络中充当DHCP服务器的时候才需要配置。

否则请选择“NO”跳过。

注:上面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能,由防火墙设备给内部计算机用户自动分配IP地址,分配的地址段为:192.168.1.100-192.168.1.150一共51个IP地址,在分配IP地址的同时,防火墙设备也给计算机用户分配了DNS服务器地址,DNS用于对域名进行解析,如:将错误!超链接引用无效。

地址:202.108.33.32。

如果计算机不能获得或设置DNS服务器地址,无法访问互联网。

10.完成DHCP服务器选项设置,点击“Next”会弹出之前设置的汇总信息:11.确认配置没有问题,点击“Next”会弹出提示“Finish”配置对话框:在该界面中,点选:Finish之后,该Web页面会被关闭,配置完成。

此时防火墙对来自内网到外网的访问启用基于端口地址的NAT,同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略:策略:策略方向由Trust到Untrust,源地址:ANY,目标地址:ANY,网络服务内容:ANY;策略作用:允许来自内网的任意IP地址穿过防火墙访问外网的任意地址。

重新开启一个IE页面,并在地址栏中输入防火墙的内网端口地址,确定后,出现下图中的登录界面。

输入正确的用户名和密码,登录到防火墙之后,可以对防火墙的现有配置进行修改。

总结:上述就是使用Web浏览器通过配置向导完成的防火墙NAT或路由模式的应用。

通过配置向导,可以在不熟悉防火墙设备的情况下,配置简单环境的防火墙应用。

2.5、基于非向导方式的NAT/Route模式下的基本配置基于非向导方式的NAT和Route模式的配置建议首先使用命令行开始,最好通过控制台的方式连接防火墙,这个管理方式不受接口IP地址的影响。

注:在设备缺省的情况下,防火墙的信任区(Trust Zone)所在的端口是工作在NAT模式的,其它安全区所在的端口是工作在路由模式的。

基于命令行方式的防火墙设备部署的配置如下(网络环境同上一章节所讲述的环境):2.5.1、NS-5GT NAT/Route模式下的基本配置注:NS-5GT设备的物理接口名称叫做trust和untrust;缺省Zone包括:trust和untrust,请注意和接口区分开。

① Unset interface trust ip (清除防火墙内网端口的IP地址);② Set interface trust zone trust(将内网端口分配到trust zone);IP地址,必须先定义zone,之后再定义IP地址);④ Set interface untrust zone untrust(将外网口分配到untrust zone);IP地址);省路由网关地址);⑦ Set policy from trust to untrust any any any permit log(定义一条由内网到外网的访问策略。

策略的方向是:由zone trust 到zone untrust,源地址为:any,目标地址为:any,网络服务为:any,策略动作为:permit允许,log:开启日志记录);⑧ Save (保存上述的配置文件)。

2.5.2、NS-25-208 NAT/Route模式下的基本配置⑦ Set policy from trust to untrust any any any permit log(定义由内网到外网的访问控制策略);⑧ Save (保存上述的配置文件)注:上述是在命令行的方式上实现的NAT模式的配置,因为防火墙出厂时在内网端口(trust zone所属的端口)上启用了NAT,所以一般不用特别设置,但是其它的端口则工作在路由模式下,例如:untrust和DMZ区的端口。

如果需要将端口从路由模式修改为NAT模式,则可以按照如下的命令行进行修改:② Save总结:① NAT/Route模式做防火墙部署的主要模式,通常是在一台防火墙上两种模式混合进行(除非防火墙完全是在内网应用部署,不需要做NAT-地址转换,这种情况下防火墙所有端口都处于Route模式,防火墙首先作为一台路由器进行部署);② 关于配置举例,NS-5GT由于设备设计上的特殊性,因此专门列举加以说明;Juniper在2006年全新推出的SSG系列防火墙,除了端口命名不一样,和NS-25等设备管理配置方式一样。

2.6、基于非向导方式的透明模式下的基本配置实现透明模式配置建议采用命令行的方式,因为采用Web的方式实现时相对命令行的方式麻烦。

通过控制台连接防火墙的控制口,登录命令行管理界面,通过如下命令及步骤进行二层透明模式的配置:基于二层的安全区,端口设置为该安全区后,则端口工作在二层模式,并且不能在该端口上配置IP地址);,该地址作为防火墙管理IP地址使用);⑥ Set policy from v1-trust to v1-untrust any any any permit log(设置一条由内网到外网的访问策略);⑦ Save(保存当前的配置);总结:① 带有V1-字样的zone为基于透明模式的安全区,在进行透明模式的应用时,至少要保证两个端口的安全区工作在二层模式;② 虽然Juniper防火墙可以工作在混合模式下(二层模式和三层模式的混合应用),但是通常情况下,建议尽量使防火墙工作在一种模式下(三层模式可以混用:NAT和路由)。

相关文档
最新文档