juniper防火墻常用配置

1、juniper netscreen fw 的常用配置1. juniper防火墻管理配置的基本信息juniper防火墻常用管理方式： 通過wob瀏覽器方式管理。推薦使用ie瀏覽器進(jìn)行登錄管理，需要知道防火墻對應(yīng)端口的管理ip地址; 命令行方式。支持通過console端口超級終端連接和telnet防火墻管理1p地址連接兩 種命令行登錄管理模式。juniper防火墻缺省管理端口和1p地址： juniper防火墻出廠時可通過缺省設(shè)置的ip地址使用telnet或者web方式管理。缺省ip 地址為：192. 168. 1. 1/255. 255. 255. 0； 缺省ip地址通常設(shè)置在防火墻的trust端

2、口上(ns-5gt).最小端口編號的物理端口上(ns-25/50/204/208/ssg 系列)、或者專用的管理端口上(isg-1000/2000, ns-5200/5400)。juniper防火墻缺省登錄管理賬號： 用戶名：netscreen； 密碼：netscreeno2. 配置ns達(dá)到內(nèi)網(wǎng)能訪問internet的要求，我們經(jīng)常使用的方式是nat/route的方式，主要的配置過程為：ns-5gt n'at/route模式下的基本配置 注:ns-5gt設(shè)備的物理接口名稱叫做trust和untrust；缺省zone包括:trust和untrust, 請注意和接口區(qū)分開。 unset i

3、nterface trust ip （清除防火墻內(nèi)網(wǎng)端口的ip地址）； set interface trust zone trust （將內(nèi)網(wǎng)端口 trust 分配到 trust zone）； set interface trust ip 192. 168. 1. 1/24 （設(shè)置內(nèi)網(wǎng)端口 trust 的 ip 地址,必須先定 義zone,之后再定義ip地址）； set interface untrust zone untrust （將外網(wǎng)口 untrust 分配到 untrust zone）； set interface untrust ip 10. 10. 10. 1/24 （設(shè)置外網(wǎng)口

4、untrust 的 ip 地址）； set route 0. 0. 0. 0/0 interface untrust gateway 10. 10. 10. 251 （設(shè)置防火墻對外的 缺省路由網(wǎng)關(guān)地址）； set pol icy from trust to untrust any any any permit log （定義一條由內(nèi)網(wǎng)到外網(wǎng) 的訪問策略。策略的方向是：由zone trust到zone untrust,源地址為：any,目標(biāo)地 址為：any,網(wǎng)絡(luò)服務(wù)為：any,策略動作為：permit允許，log：開啟日志記錄）； save （保存上述的配置文件）。ns-25-208 nat/

5、route模式下的基本配置 unset interface ethernetl ip （清除防火墻內(nèi)網(wǎng)口缺省ip地址）； set interface ethernetl zone trust （將 ethernetl 端口分配到 trust zone）（初始狀態(tài)ethernet屬于trust,如果以前用過最好用get interface命令查下） 我們在做nat地址轉(zhuǎn)換的時候要注意當(dāng)前內(nèi)網(wǎng)接口和外網(wǎng)接口的模式，正常的應(yīng)該是：內(nèi)網(wǎng) 為nat模式，外網(wǎng)為route模式，如果此例子中的ethernetl的接口為route模式，我們可 用下面的命令進(jìn)行修改：set interface ethernet

6、l nat set interface ethernetl ip 192. 168. 1. 1/24 （定義 ethernetl 端口的 ip 地址）； 這個也是初始默認(rèn)的ip,而且可用于web管理，如果要重新配置其他的ip并且使z可管理， 還得加上一條命令）set interface ethernet ip-manage set interface ethernet3 zone untrust （將 ethernet3 端口分配到 untrust zone）； set interface ethernet3 ip 10. 10. 10. 1/24 （定義 ethernet3 端口的 ip 地

7、址）； set route 0. 0. 0. 0/0 interface ethernet3 gateway 10. 10. 10. 251 （網(wǎng)關(guān)地址有 isp 提供）（定義防火墻對外的缺省路由網(wǎng)關(guān)）； set policy from trust to untrust any any any permit log （定義由內(nèi)網(wǎng)到外網(wǎng)的訪 問控制策略）； save （保存上述的配置文件）3. juniper防火墻幾種常用功能的配置這里講述的juniper防火墻的兒種常用功能主要是指基于策略的nat的實現(xiàn)，包括：mip （映 射ip）、vtp （虛擬tp）和dip,這三種常用功能主要應(yīng)用于防火墻

8、所保護(hù)服務(wù)器提供對外 服務(wù)。3. 1、mip的配置mip是“一對一”的雙向地址翻譯（轉(zhuǎn)換）過稈。通常的情況是：當(dāng)你有若干個公網(wǎng)ip地 址，又存在若干的對外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器（服務(wù)器使用私有ip地址），為了實現(xiàn)互聯(lián) 網(wǎng)用戶訪問這些服務(wù)器，可在internet出口的防火墻上建立公網(wǎng)ip地址與服務(wù)器私有ip 地址之間的一對一映射（mtp）,并通過策略實現(xiàn)對服務(wù)器所提供服務(wù)進(jìn)行訪問控制。注：mip配置在防火墻的外網(wǎng)端口（連接internet的端口）。3. 1. 1、使用web瀏覽器方式配置mtp 登錄防火墻，將防火墻部署為三層模式（nat或路由模式）； 定義 mtp： network=>tnt

9、erface=>ethernet2=>mtp,配置實現(xiàn) mip 的地址映射<.mapped tp： 公網(wǎng)ip地址，host ip：內(nèi)網(wǎng)服務(wù)器ip地址 定義策略：在policy中，配置由外到內(nèi)的訪問控制策略，以此允許來自外部網(wǎng)絡(luò)對內(nèi)部 網(wǎng)絡(luò)服務(wù)器應(yīng)用的訪問。3.1.2、使用命令行方式配置mip 配置接口參數(shù)set interface ethernetl zone trustset interface ethernetl ip /24set interface etherrietl nat set interface ethernet2 zone untrust

10、set interface ethernet2 ip /24 定義m1pset interface ethernet2 mip 1. 1 1.5 host netmask 255 255. 255 255 vrouter trust-vr 定義策略set policy from untrust to trust any mip（l. 1.1.5） http permitsave3.2、vip的配置mip是一個公網(wǎng)ip地址對應(yīng)一個私有ip地址，是一對一的映射關(guān)系；而v1p是一個公網(wǎng)ip 地址的不同端口（協(xié)議端口如：21、25、110. 443等）與內(nèi)部多個私有tp

11、地址的不同服務(wù) 端口的映射關(guān)系。通常應(yīng)用在只有很少的公網(wǎng)1p地址，卻擁有多個私有1p地址的服務(wù)器, 并且，這些服務(wù)器是需要對外提供各種服務(wù)的。注：vip配置在防火墻的外網(wǎng)連接端口上（連接internet的端口）。3.2.1、使用web瀏覽器方式配置vip 登錄防火墻，配置防火墻為三層部署模式。 添加 vip： network=>interface=>ethernet8=>vip 添加與該v1p公網(wǎng)地址相關(guān)的訪問控制策略。3.2.2. 使用命令行方式配置vip<!-if jsupportlists->1. <!-endif->® 配置接口參數(shù)s

12、etinterface ethernetl zone trustsetinterface ethernetl ip /24setinterface ethernetl natsetinterface ethernet3 zone untrustsetinterface ethernet3 ip 1. 1. 1. 1/24 定義v1pset interface ethernet3 vip 0 80 http 0 定義策略set policy from untrust to trust any vip(l. 1. 1. 10) http permit

13、(此處不能把目標(biāo)地址設(shè)為any)save注：vip的地址可以利用防火墻設(shè)備的外網(wǎng)端i i地址實現(xiàn)（限于低端設(shè)備）。使用web瀏覽器方式配置dip 登錄防火墻設(shè)備，配置防火墻為三層部署模式; 定義 dtp： network=>interface=>ethernet3=>dip,在定義了公網(wǎng) tp 地址的 untrust 端 口定義ip地址池； 定義策略：定義由內(nèi)到外的訪問策略，在策略的高級(adv)部分nat的相關(guān)內(nèi)容中，啟 用源地址nat,并在下拉菜單小選擇剛剛定義好的dip地址池，保存策略，完成配置；策略配置完成z后擁有內(nèi)部1p地址的網(wǎng)絡(luò)設(shè)備在訪問互聯(lián)網(wǎng)時會自動從該地址池屮

14、選擇一 個公網(wǎng)ip地址進(jìn)行nat。使用命令行方式配置dip配置接口參數(shù)set interface ethernetl zone trustset interface ethernetl ip /24set interface ethernetl natset interface ethernet3 zone untrustset interface ethernet3 ip 1. 1. 1. 1/24定義dipset interface ethernet3 dip 5 1. 1. 1. 30 1. 1. 1. 30 定義策略set pol icy from trust to u

15、ntrust any any http nat src dip-id 5 permit save4、juniper防火墻一些實用工具4.1、防火墻配置文件的導(dǎo)出和導(dǎo)入juniper防火墻的配置文件的導(dǎo)入導(dǎo)出功能為用戶提供了一個快速恢復(fù)當(dāng)前配置的有效的 手段。一旦用戶不小心因為操作失誤或設(shè)備損壞更換，都可以利用該功能，實現(xiàn)快速的防火 墻配置的恢復(fù)，在最短的時間內(nèi)恢復(fù)設(shè)備和網(wǎng)絡(luò)正常工作。4. 1. 1、配置文件的導(dǎo)出配置文件的導(dǎo)出(webui)：在 configuration > update > config file 位置，點(diǎn)選：save to f訂e,將當(dāng)前的防火墻設(shè)備的配置文件

16、導(dǎo)出為一個無后綴名的可編輯文本文件。配置文件的導(dǎo)出(clt ) : ns208-> save config from flash to tftp 1. 1. 7. 250 15juno3. cfg4. 1.2、配置文件的導(dǎo)入配置文件的導(dǎo)入(webut):在 configuration > update > config file 位置，1、點(diǎn)選：merge to current configuration,覆蓋當(dāng)前配置并保留不同之處;2、點(diǎn)選：replace current configuration替換當(dāng)前配置文件。導(dǎo)入完成之后，防火墻設(shè)備會自動重新啟動，讀取新的配置文件并

17、運(yùn)行。 配置文件的導(dǎo)入(cli) : ns208-> save config from tftp 1. 1. 7. 250 15juneo3. cfg to flash 或者 ns208-> save config from tftp 1. 1. 7. 250 15juneo3. cfg merge4. 2防火墻軟件(screenos)更新關(guān)于 screenos：juniper防火墻的os軟件是可以升級的，一般每一到兩個月會有一個新的os版本發(fā)布，os 版本如：5. 0. 0r11.0,其中r前面的5. 0.0是大版本號，這個版本號的變化代表著功能的變 化；r后面的11.0是小版本

18、號，這個號碼的變化代表著bug的完善，因此一般建議，在大 版本號確定的情況下，選擇小版本號大的os作為當(dāng)前設(shè)備的os。關(guān)于os升級注意事項：升級0s需要一定的時間，根據(jù)設(shè)備性能的不同略有差異，一般情況下大約需要5分鐘的時 間。在升級的過程川，一定要保持電源的供應(yīng)、網(wǎng)線連接的穩(wěn)定，最好是將防火墻從網(wǎng)絡(luò)中 暫時取出，待0s升級完成后再將防火墻設(shè)備接入網(wǎng)絡(luò)。screenos 升級(webui) : configuration > update > screenos/keys©screenos 升級(cli) : n s208-save software from tftp 1.

19、 1.7. 250 new image to flosh4.3、防火墻恢復(fù)密碼及出廠配置的方法當(dāng)防火墻密碼遺失的情況下，我們只能將防火墻恢復(fù)到出廠配置，方法是： 記錄下防火墻的序列號(又稱serial number,在防火墻機(jī)身上面可找到)； 使用控制線連接防火墻的console端口并重起防火墻； 防火墻正常啟動到登錄界面，是用記錄下來的序列號作為登錄的用戶名/密碼，根據(jù)防火 墻的提示恢復(fù)到出廠配置。5. juniper防火墻的一些概念安全區(qū)(security zone):juniper防火墻增加了全新的安全區(qū)域(security zone)的概念，安全區(qū)域是一個邏輯的 結(jié)構(gòu)，是多個處于相同屬

20、性區(qū)域的物理接口的集合。當(dāng)不同安全區(qū)域之間相互通訊時，必須 通過事先定義的策略檢查才能通過；當(dāng)在同一個安全區(qū)域進(jìn)行通訊時，默認(rèn)狀態(tài)下允許不通 過策略檢查，經(jīng)過配置后也可以強(qiáng)制進(jìn)行策略檢查以提高安全性。安全區(qū)域概念的出現(xiàn)，使防火墻的配置能更靈活同現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)相結(jié)合。以下圖為例，通 過實施安全區(qū)域的配置，內(nèi)網(wǎng)的不同部門之間的通訊也必須通過策略的檢查，進(jìn)一步提高的 系統(tǒng)的安全。接口 (interface): 信息流可通過物理接口和子接口進(jìn)出安全區(qū)(security zone)。為了使網(wǎng)絡(luò)信息流能流入 和流出安全區(qū)，必須將一個接口綁定到一個安全區(qū)，如果屬于第3層安全區(qū)，則需要給接 口分配一個ip地址

21、。虛擬路由器(virtual router):juniper防火墻支持虛擬路由器技術(shù)，在一個防火墻設(shè)備里，將原來單一路由方式下的單一 路由表，進(jìn)化為多個虛擬路市器以及相應(yīng)的多張獨(dú)立的路市表，提高了防火墻系統(tǒng)的安全性 以及ip地址配置的靈活性。安全策略(policy):juniper防火墻在定義策略時，主要需要設(shè)定源ip地址、目的ip地址、網(wǎng)絡(luò)服務(wù)以及防火 墻的動作。在設(shè)定網(wǎng)絡(luò)服務(wù)時，juniper防火墻已經(jīng)內(nèi)置預(yù)設(shè)了大量常見的網(wǎng)絡(luò)服務(wù)類型, 同時，也可以由客戶自行定義網(wǎng)絡(luò)服務(wù)。在客戶自行定義通過防火墻的服務(wù)時，需要選擇網(wǎng)絡(luò)服務(wù)的協(xié)議，是udp、tcp還是其它， 需要定義源端口或端口范圍、目的端

22、口或端口范圍、網(wǎng)絡(luò)服務(wù)在無流量情況下的超時定義等。 因此，通過對網(wǎng)絡(luò)服務(wù)的定義，以及ip地址的定義，使juniper防火墻的策略細(xì)致程度大 大加強(qiáng)，安全性也提高了。除了定義上述這些主要參數(shù)以外，在策略中還可以定義用戶的認(rèn)證、在策略里定義是否要做 地址翻譯、帶寬管理等功能。通過這些主要的安全元素和附加元素的控制，可以讓系統(tǒng)管理員對進(jìn)出防火墻的數(shù)據(jù)流量進(jìn)行嚴(yán)格的訪問控制，達(dá)到保護(hù)內(nèi)網(wǎng)系統(tǒng)資源安全的目的。映射 ip （mip）:mip是從一個ip地址到另一個ip地址雙向的一對一映射。當(dāng)防火墻收到一個fi標(biāo)地址為mip的內(nèi)向數(shù)據(jù)流時，通過策略控制防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)至mip指向地址的主機(jī)；當(dāng)mip映 射的

23、主機(jī)發(fā)起出站數(shù)據(jù)流時，通過策略控制防火墻將該主機(jī)的源ip地址轉(zhuǎn)換成mtp地址。虛擬 ip （vip）:vip是一個通過防火墻外網(wǎng)端口可用的公網(wǎng)ip地址的不同端口（協(xié)議端口如：21、25、110 等）與內(nèi)部多個私有11）地址的不同服務(wù)端口的映射關(guān)系。通常應(yīng)用在只有很少的公網(wǎng)1p 地址，卻擁有多個私有tp地址的服務(wù)器，并且這些服務(wù)器是需要對外提供各種服務(wù)的。netscreen配置橋接模式將要配置橋接模式的接口都不分配ip地址（或分配為0. 0. 0.0）,然后將它們的zone都設(shè)置為：vl-trustvl-untrustvl-dmz的其中一個就可以了。當(dāng)配置第二個接口時系統(tǒng)會提示你有超過一個 接口

24、配置為該區(qū)域的橋接接口的o當(dāng)一個接口配置vl-trust另一個配置vl-untrust時，要使兩者互通需 要在 policies 中添加:“允許 vl-untrust 的 any 訪問 vl-trust 的 any” 與“允許vl-trust的any訪問vl-untrust的any"就可以全通了 （ps： 透明模式的策略安全等級劃分與路rti模式相當(dāng)）。配置管理1p需要選定一個名為vlanl的接口，將其配置ip地址設(shè)置為 管理ip地址，并激活web ui管理、telnet管理、ping功能，然后再 -trust 口激活web ui管理、telnet管理、ping功能就可以在vl-trust 的區(qū)域下通過vwnl接口的管理ip管理防火墻了。需要注意的是，vl- untrust區(qū)域的機(jī)器無論進(jìn)行任何設(shè)置都是不能通過vlanl接口的管理 ip管理防火墻的。另外，橋接模式支持像傳統(tǒng)路由模式下的包過濾策略，但不支持"at/ pat等映射策略。白皮書上的例子：管理設(shè)置與接口1.