juniper防火墙常用配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.Juniper防火墙管理配置的基本信息
Juniper防火墙常用管理方式:
①通过Web浏览器方式管理。推荐使用IE浏览器进行登录管理,需要知道防火墙对应端口的管理IP地址;
Juniper防火墙缺省管理端口和IP地址:
Juniper防火墙缺省登录管理账号:
①用户名:
②密码:
NS-5GT NAT/Route模式下的基本配置
注:
NS-5GT设备的物理接口名称叫做trust和untrust;缺省Zone包括:
trust和untrust,请注意和接口区分开。
① Unset interface trust ip (清除防火墙内网端口的IP地址);
② Set interface trust zone trust(将内网端口trust分配到trust zone);③(设置内网端口trust的IP地址,必须先定义zone,之后再定义IP地址);
④ Set interface untrust zone untrust(将外网口untrust分配到untrust zone);⑤(设置外网口untrust的IP地址);⑥(设置防火墙对外的缺省路由网关地址);
⑦ Set policy from trust to untrust any any any permit log(定义一条由内网到外网的访问策略。策略的方向是:
由zone trust 到zone untrust,源地址为:
any,目标地址为:
any,网络服务为:
any,策略动作为:
permit允许,log:
开启日志记录);⑧ Save (保存上述的配置文件)。
NS-25-208 NAT/Route模式下的基本配置
我们在做nat地址转换的时候要注意当前内网接口和外网接口的模式,正常的应该是:
⑦ Set policy from trust to untrust any any any permit log(定义由内网到外网的访问控制策略);
⑧ Save (保存上述的配置文件)
3.Juniper防火墙几种常用功能的配置
这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:
MIP(映射IP)、VIP(虚拟IP)和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。3.
1、MIP的配置
MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:
注:
3.1.
1、使用Web浏览器方式配置MIP
①登录防火墙,将防火墙部署为三层模式(NAT或路由模式);
②定义MIP:
公网IP地址,Host IP:
内网服务器IP地址
③定义策略:
在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。
3.1.
2、使用命令行方式配置MIP
①配置接口参数
②定义MIP
③定义策略
set policy from untrust to trust any mip(1.1.1.5) http permit
save
3.
2、VIP的配置
MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:
21、25、110.443等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。
注:
3.2.
1、使用Web浏览器方式配置VIP
①登录防火墙,配置防火墙为三层部署模式。
②添加VIP:
③添加与该VIP公网地址相关的访问控制策略。3.2.
2、使用命令行方式配置VIP
1. ①配置接口参数
②定义VIP
③定义策略
set policy from untrust to trust any vip(1.1.1.10) http permit (此处不能把目标地址设为any)
save
注:
VIP的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。
使用Web浏览器方式配置DIP
①登录防火墙设备,配置防火墙为三层部署模式;
②定义DIP:
③定义策略:
定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中,启用源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置;策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT。
使用命令行方式配置DIP
①配置接口参数
②定义DIP
③定义策略
set policy from trust to untrust any any http nat src dip-id 5 permit save
4、Juniper防火墙一些实用工具
4.
1、防火墙配置文件的导出和导入
Juniper防火墙的配置文件的导入导出功能为用户提供了一个快速恢复当前配置的有效的手段。一旦用户不小心因为操作失误或设备损坏更换,都可以利用该功能,实现快速的防火墙配置的恢复,在最短的时间内恢复设备和网络正常工作。
4.1.
1、配置文件的导出
配置文件的导出(WebUI):
在Configuration > Update > Config File位置,点选:
Save to file,将当前的防火墙设备的配置文件导出为一个无后缀名的可编辑文本文件。
配置文件的导出(CLI):
ns208->save config from flash to tftp 1.1.7.25015Jun03.cfg
4.1.
2、配置文件的导入
配置文件的导入(WebUI):
在Configuration > Update > Config File位置,
1、点选:
Merge to Current Configuration,覆盖当前配置并保留不同之处;
2、点选:
Replace Current Configuration 替换当前配置文件。导入完成之后,防火墙设备会自动重新启动,读取新的配置文件并运行。配置文件的导入(CLI):