juniper防火墻詳細(xì)配置手冊(cè)

M9N]juniper防火墻詳置手冊(cè)M9N]juniper防火墻詳置手冊(cè)QX96QT-XQQB89Q8-NQJuniper防火墻簡(jiǎn)明實(shí)用手冊(cè)（版本號(hào)：）1juniper中文參考手冊(cè)重點(diǎn)章節(jié)導(dǎo)讀版本：Juniper防火墻中文參考手冊(cè)，內(nèi)容非常龐大和繁雜，其中很多介紹和功能實(shí)際應(yīng)用的可能性不大，為了讓大家盡快用最短的時(shí)間內(nèi)掌握J(rèn)uniper防火墻的實(shí)際操作，下面簡(jiǎn)單對(duì)參考手冊(cè)中的重點(diǎn)章節(jié)進(jìn)行一個(gè)總結(jié)和概括，掌握了這些內(nèi)容大家就可以基本能夠完成安全部署和維護(hù)的工作。1.1第二卷：基本原理1.1.1 第一章：ScreenOS體系結(jié)構(gòu)安全區(qū)安全區(qū)接口策略1.1.2 第二章：路由表和靜態(tài)路由配置靜態(tài)路由1.1.3 第三章：區(qū)段安全區(qū)配置安全區(qū)功能區(qū)段：HA區(qū)段1.1.4 第四章：接口接口類(lèi)型：安全區(qū)接口：物理接口類(lèi)型：安全區(qū)接口：功能區(qū)段接口察看接口配置安全區(qū)接口：將接口綁定到安全區(qū)、從安全區(qū)解除接口綁定、修改接口、跟蹤IP地址二級(jí)IP地址1.1.5第五章：接口模式透明模式NAT模式路由模式1.1.6 第六章：為策略構(gòu)建塊地址：地址條目、地址組服務(wù)：預(yù)定義的服務(wù)、定制服務(wù)DIP池：端口地址轉(zhuǎn)換、范例：創(chuàng)建帶有PAT的DIP池、范例：修改DIP池、擴(kuò)展接口和DIP時(shí)間表1.1.7 第七章：策略三種類(lèi)型的策略策略定義策略應(yīng)用1.1.8第八章：地址轉(zhuǎn)換地址轉(zhuǎn)換簡(jiǎn)介源網(wǎng)絡(luò)地址轉(zhuǎn)換目的網(wǎng)絡(luò)地址轉(zhuǎn)換映射IP地址虛擬IP地址1.1.9第^一章：系統(tǒng)參數(shù)下載/上傳設(shè)置和固件系統(tǒng)時(shí)鐘1.2第三卷：管理1.2.1第一章：管理通過(guò)WEB用戶界面進(jìn)行管理通過(guò)命令行界面進(jìn)行管理管理的級(jí)別：根管理員、可讀/寫(xiě)管理員、只讀管理員、定義Admin用戶保證管理信息流的安全：更改端口號(hào)、更改Admin登錄名和密碼、重置設(shè)備到出廠缺省設(shè)置、限制管理訪問(wèn)1.2.2監(jiān)控NetScreen設(shè)備儲(chǔ)存日志信息事件日志信息流日志系統(tǒng)日志1.3第八卷：高可用性1.3.1NSRPNSRP概述NSRP和NETSCREEN的操作模式NSRP集群VSD組同步1.3.2故障切換設(shè)備故障切換(NSRP)VSD組故障切換(NSRP)為設(shè)備或VSD組故障切換配置對(duì)象監(jiān)控2Juniper防火墻初始化配置和操縱對(duì)一臺(tái)空配置的Juniper防火墻我們可以用兩種方法去進(jìn)行操縱：Console控制臺(tái)和WEB。Console控制臺(tái)：使用Console線連接到Juniper的防火墻上的Console口，利用超級(jí)終端用CLI命令行界面進(jìn)行配置。使用WEB界面：Juniper防火墻上默認(rèn)情況下在E1接口（trust）口有一個(gè)初始管理IP地址；我們可以把自己的筆記本和防火墻的E1口用一根交叉線連接起來(lái)，然后把本機(jī)的地址配置為，之后我們就可以在本機(jī)上通過(guò)IE瀏覽器登陸的地址通過(guò)WEB界面對(duì)設(shè)備進(jìn)行配置了。注意1：Juniper防火墻接口的WEB管理特性默認(rèn)只在E1接口（trust）口才啟用，也就是說(shuō)我們有可能無(wú)法通過(guò)用WEB登陸其他接口進(jìn)行操縱，除非我們提前已經(jīng)打開(kāi)了相應(yīng)接口的WEB管理選項(xiàng)。注意2：如果Juniper防火墻上有配置，我們不知道目前E1接口的IP地址，我們可以先通過(guò)Console控制臺(tái)用"getinterface”的命令看一下目前E1口的IP地址。注意3：Juniper防火墻OS以上的版本支持MDI和MDIX自適應(yīng)，也就是說(shuō)我們的主機(jī)和E1口也可以用直通線進(jìn)行互連，但這種方式有失效的時(shí)候，如果出現(xiàn)用交叉線互連物理也無(wú)法UP的情況，可以在Console控制臺(tái)用 “NS208->deletefileflash:/ns_sys_config‘刪除配置文件并重起防火墻的方式可以解決（Juniper的BUG）。注：系統(tǒng)默認(rèn)登陸用戶名和口令都是：“netscreen”。3查看系統(tǒng)概要信息使用WEB登陸防火墻的管理地址，進(jìn)入GUI管理界面，如上圖所示。左邊是主配置菜單。右邊最上方是系統(tǒng)啟動(dòng)以及時(shí)間信息，右上角顯木主機(jī)名。Deviceinformation：設(shè)備信息，顯示設(shè)備硬軟件版本、序列號(hào)以及主機(jī)名。Interfacelinkstatus：接口鏈路狀態(tài)，顯示接口所屬區(qū)和鏈路UP/DOWN信息。ResourcesStatus：資源狀況，顯示系統(tǒng)CPU和內(nèi)存使用率以及目前的會(huì)話和策略是系統(tǒng)滿負(fù)荷的比例。（其中注意內(nèi)存使用率是不真實(shí)的，在系統(tǒng)空負(fù)荷的情況下內(nèi)存占用率也會(huì)很高，是系統(tǒng)本身設(shè)計(jì)的問(wèn)題）。Themostrecentalarms系統(tǒng)最近的報(bào)警信息Themostrecentevents系統(tǒng)最近的通告信息4主菜單常用配置選項(xiàng)導(dǎo)航在主菜單中我們經(jīng)常用到的配置菜單如下，后面將針對(duì)這些常用配置選項(xiàng)進(jìn)行詳細(xì)的介紹。Configuration：Date/Time；Update；Admin；Auth；ReportSettingsNetwork：Zones；Interfaces；Routing；NSRPPolicesObjects：Addresses；ServicesReports：Polices只要能夠熟練掌握以上設(shè)置選項(xiàng)，就足以應(yīng)對(duì)外網(wǎng)改造和日常維護(hù)的工作。5Configration配置菜單5.1Date/Time:日期和時(shí)間準(zhǔn)確設(shè)置Juniper防火墻的時(shí)鐘主要是為了使LOG信息都帶有正確的時(shí)間以便于分析和排錯(cuò)，設(shè)置時(shí)鐘主要有三種方法。用CLI命令行設(shè)置：setclockmm/dd/yyyyhh:mm:ss。用WEB界面使用和客戶端本機(jī)的時(shí)鐘同步：簡(jiǎn)單實(shí)用。用WEB界面配置NTP和NTP服務(wù)器的時(shí)鐘同步。5.2Update更新系統(tǒng)鏡像和配置文件5.2.1更新ScreenOS系統(tǒng)鏡像5.2.2更新configfile配置文件在這個(gè)菜單中我們可以查看目前文本形式的配置文件，把目前的配置文件導(dǎo)出進(jìn)行備份，以及替換和更新目前的配置。注意單選框默認(rèn)是點(diǎn)選在“MergetoCurrentConfigration"即和目前配置融合的位置，而我們一般是要完全替換目前的配置文件的，因此一定要注意把單選框點(diǎn)擊到“ReplaceCurrentConfigration"。當(dāng)進(jìn)行配置替換的之后系統(tǒng)會(huì)自動(dòng)重起使新配置生效。TIP：進(jìn)行配置的替換必須用ROOT用戶進(jìn)行登陸，用Read-Write用戶進(jìn)行登陸是無(wú)法進(jìn)行配置的替換操縱的，只有融合配置的選項(xiàng)，替換目前配置的選項(xiàng)將會(huì)隱藏不可見(jiàn)，如下圖所示：UploadConfigurationtoDevice&MergetoCurrentConfigurationNewConfigurationFile| 瀏覽...|~Apply_I CancelI5.3Admin管理5.3.1 Administrators管理員賬戶管理只有用根ROOT用戶才能夠創(chuàng)建管理員賬戶?？梢赃M(jìn)行ROOT用戶賬戶用戶名和密碼的更改，但此賬戶不能被刪除?？梢詣?chuàng)建只讀賬戶和讀寫(xiě)賬戶，其中讀寫(xiě)賬戶可以對(duì)設(shè)備的大部分配置進(jìn)行更改。5.3.2PermittedIPs：允許哪些主機(jī)可以對(duì)防火墻進(jìn)行管5.3.2理6Networks配置菜單6.1Zone安全區(qū)查看目前的安全區(qū)設(shè)置安全區(qū)內(nèi)必須有物理接口才會(huì)有實(shí)際意義，每一個(gè)安全區(qū)同時(shí)可以包含多個(gè)物理接口，但每一個(gè)物理接口同時(shí)只能屬于一個(gè)安全區(qū)。幾個(gè)系統(tǒng)默認(rèn)的安全區(qū)和接口：1：Trust區(qū)包含ETH1口2：Untrust區(qū)包含ETH4口3：DMZ區(qū)包含ETH3口其他區(qū)必須進(jìn)行手工創(chuàng)建并把相應(yīng)物理接口放入安全區(qū)內(nèi)。虛擬路由我們統(tǒng)一選Trust-Vr,多個(gè)VR對(duì)我們沒(méi)有太大意義，不建議使用。創(chuàng)建新的安全區(qū)：■flJtuiiprr-Srrf<riOS岫f曲，物山。以琲輝題F*■缺）-州心齒mfl氐加『仍電t旃】曲wHOI3空件（T痢E 査看世）風(fēng)#心A>d>梆ti?H&iiQ.)|基I玷頃〃9TO.ZW.mnEKii.LtjdNetwork>如M>頃flijg曲nYN02FWD,,.BockToZoneL屹t回叫則PWNHStrfM-ZW HomegOaiflgiiPitilou,罷蛔mBimTrftgDNSJorbe-Int臼而AWDHCPPPPdEPScr^enhitjPoIIHhzoneNdma輸入安全區(qū)名稱(chēng)VirtualRouterNami?|tnist-vz三| ■ 保持默認(rèn)值faneT^pe彳La側(cè)3廣Layer2廣TunnelOutZone[fiust-—博區(qū)—蘇我們都選三層VLANiO：1zObject「Repent3Wlzaid&1麗pLcqout奇完事BlockIrtro-loneTretflcFIfTCPnahSYN,涵ndRESETback廠TCP/IP^eoEsemhlyfarALGF^symnnatricViPNF渥區(qū)域milCancel/3Mn~rut在輸入安全區(qū)名稱(chēng)后其余選項(xiàng)均保持默認(rèn)值即可。6.2Interfaces接口配置6.2.1 查看接口狀態(tài)的概要信息接口概要顯示接口的ip地址信息，所屬安全區(qū)，接口類(lèi)型和鏈路的狀態(tài)。其中接口類(lèi)型除非是防火墻使用透明模式，否則都會(huì)是Layer3三層的。6.2.2設(shè)置interface接口的基本信息接口基本配置包括接口的IP地址掩碼，是否可以被管理，接口的模式以及接口的管理特性選項(xiàng)。最上面的幾個(gè)鏈接是配置NAT地址轉(zhuǎn)換以及IP跟蹤等高級(jí)特性的。下面那個(gè)其中需要大家配置的地方是設(shè)置此物理接口屬于哪個(gè)安全區(qū)，從下拉框中點(diǎn)選，其他選項(xiàng)保持不變即可。StaitcIP選擇框是設(shè)置接口的IP地址和掩碼信息的，其中有一個(gè)Mangeable的選項(xiàng)，只有選中我們才可以通過(guò)WEB或TELNET登陸此地址進(jìn)行管理。ManageIP框保持為空的時(shí)候系統(tǒng)會(huì)自動(dòng)把實(shí)際IP作為管理IP自動(dòng)加上。接口模式有路由模式和NAT模式：NAT模式：從此接口進(jìn)入從其他口流出的流量源地址都會(huì)做轉(zhuǎn)換，即使我們?cè)诓呗灾胁灰棉D(zhuǎn)換地址池，源地址都會(huì)轉(zhuǎn)換為出站的接口地址。路由模式：除非我們?cè)诓呗远x中明確引用了轉(zhuǎn)換地址池，否則源地址都不會(huì)做轉(zhuǎn)換。由于路由模式比NAT模式更靈活，所以我們一般都會(huì)用路由模式。ETH1口默認(rèn)是NAT模式，一定要注意把其更改為Route路由模式。Serviceoptions服務(wù)選項(xiàng)：設(shè)置此接口是否允許被PING,WEB或TELNET等方式進(jìn)行管理，默認(rèn)情況下ETH1（內(nèi)網(wǎng)口）的都是打開(kāi)的，而ETH4口（外網(wǎng)口）的WEB和TELNET管理選項(xiàng)是關(guān)閉的，也就是說(shuō)如果我們想從外網(wǎng)登陸ETH4口的IP進(jìn)行管理，必須把相應(yīng)的WEB或TELNET選項(xiàng)點(diǎn)中。最后的配置框可以保持默認(rèn)值。lirtertacei:etriRrnsti卩R/Fuaf琪駐Icfl?.0.,344.37/29)PfDpertliES：lirtertacei:etriRrnsti卩R/Fuaf琪駐Icfl?.0.,344.37/29)PfDpertliES：如胃帕MEPPEE麗匚由*如晦］卩m噸IPTW琲］卩郷”叩S&acKidiraenaceList◎?謙x.g).&歯，溢I加帔寸財(cái)■法◎W二「IH' _Hdiiien，仙琳日頑勺DttSZor?5.InerfiiceiDHCP地直皿I時(shí)喚p/打I嵩EHsap9弱“兩.VPNs価WIH■阻HelpLcg+ut6.2.3設(shè)置地址轉(zhuǎn)換Juniper防火墻的地址轉(zhuǎn)換有三種方式：MIP-靜態(tài)一對(duì)一地址轉(zhuǎn)換；VIP-虛擬一對(duì)多地址轉(zhuǎn)換；DIP-動(dòng)態(tài)多對(duì)多地址轉(zhuǎn)換。由于MIP和VIP地址轉(zhuǎn)換有一些規(guī)則限制，比如要轉(zhuǎn)換外網(wǎng)發(fā)起流量的源地址的時(shí)候，轉(zhuǎn)換后的地址必須和ETH1內(nèi)網(wǎng)口在同一個(gè)子網(wǎng)，否則無(wú)法配置。而DIP不受此規(guī)則的影響，同時(shí)可以完成MIP和VIP的功能，應(yīng)用和設(shè)置比較靈活，因此我們建議地址轉(zhuǎn)換統(tǒng)一采用DIP的方式。配置MIP靜態(tài)地址轉(zhuǎn)換Minpp-ftri］P/XjABma^k hioEtER V^niJl-nr 「Din電Nn>entf^du^llatfe創(chuàng)建新tflMIP配置MIP靜態(tài)地址映射的時(shí)候要注意轉(zhuǎn)換后的虛擬地址要在數(shù)據(jù)流的出站接口上進(jìn)行配置：例如流量從E1口入從E4口出，訪問(wèn)外網(wǎng)，我們把的地址轉(zhuǎn)換為，那么這個(gè)的地址的MIP是做在出站接口，也就是E4口上的。新建MIP靜態(tài)地址映射當(dāng)使用靜態(tài)MIP地址映射時(shí)，對(duì)方發(fā)起的數(shù)據(jù)流的目的地地址要注意設(shè)置為MIP后的地址。6.2.3.2設(shè)置DIP動(dòng)態(tài)地址轉(zhuǎn)換DIP動(dòng)態(tài)地址轉(zhuǎn)換可以實(shí)現(xiàn)一對(duì)一，一對(duì)多，多對(duì)一和多對(duì)多的訪問(wèn)。DIP地址池和MIP一樣要設(shè)置在出站接口上來(lái)實(shí)現(xiàn)源地址的翻譯。DIP地址池可以和出站接口不再一個(gè)網(wǎng)段（使用擴(kuò)展IP技術(shù)）。如果訪問(wèn)是多對(duì)一的（多個(gè)客戶端訪問(wèn)一個(gè)服務(wù)器），必須使用Port-Xlate端口轉(zhuǎn)換特性（默認(rèn)設(shè)置，建議都使用這種方式）。 如果DIP被策略引用則無(wú)法編輯和更改，必須先移除策略后才可以編輯。創(chuàng)建新的DIP地址池：文件便）ntit）擊春⑦收怨⑩lAd?櫥助就■31J-uni —曲ELTiiHmTm】、島匚卜&裝崩七比4的tr；l-FMt如果DIP地址池和出站接口不在同一網(wǎng)段必須使用擴(kuò)展IP特性，把選擇框選擇到下方“Inthesameastheextendedip",并輸入一個(gè)擴(kuò)展IP的地址。例如出站接口是，而源地址出站時(shí)我們想轉(zhuǎn)換成的地址，那么在擴(kuò)展IP框中我們可以輸入/24。擴(kuò)展IP地址可以使用一個(gè)地址也可以用一個(gè)網(wǎng)段，推薦使用網(wǎng)段的方式。同一DIP地址網(wǎng)段可以同時(shí)分布在多個(gè)接口上，比如虛擬地址簿可以同時(shí)設(shè)置在El、E2和E3口上。但同一個(gè)DIP地址只能同時(shí)設(shè)置在一個(gè)接口上，比如地址只能設(shè)置在E1或E2或E3口上，不能同時(shí)在多個(gè)接口上都設(shè)置。6.2.4設(shè)置接口SecondaryIP地址6.3Routing路由設(shè)置Juniper防火墻我們一般僅使用靜態(tài)路由，靜態(tài)路由的選路規(guī)則和路由器基本相同，例如最長(zhǎng)掩碼匹配優(yōu)先，接口如果DOWN,相應(yīng)靜態(tài)條目會(huì)消失。6.3.1 查看防火墻路由表設(shè)置路由我們統(tǒng)一都設(shè)在trust-vr中（默認(rèn)選項(xiàng)）。只有帶"*"號(hào)的才表示路由有效，等同于路由器showiproute的效果。添加的路由條目只能刪除，無(wú)法編輯。6.3.2 創(chuàng)建新的路由條目目標(biāo)地址段可以寫(xiě)IP/掩碼也可以寫(xiě)IP/前綴；如或者/24。下一跳默認(rèn)都是點(diǎn)在NextHopVirtualRouterName；一定要注意改點(diǎn)到Gateway處，否則路由不生效。接口和下一跳網(wǎng)關(guān)地址都要選擇和輸入。7Policy策略設(shè)置7.1查看目前策略設(shè)置可以選擇查看從某個(gè)源安全區(qū)到某個(gè)目的安全區(qū)的策略，也可以選擇從ALL到ALL來(lái)查看所有的策略。Service是系統(tǒng)預(yù)定義或我們自定義的服務(wù)端口號(hào)。Action動(dòng)作是指策略是允許或拒絕，允許是一個(gè)對(duì)勾，拒絕是一個(gè)X,另外如果是綠色圖表說(shuō)明沒(méi)有做源地址轉(zhuǎn)換，藍(lán)色圖表說(shuō)明做了源地址轉(zhuǎn)換。在Option下如果有一個(gè)小記事本的圖表，說(shuō)明我們要記錄此數(shù)據(jù)流，當(dāng)數(shù)據(jù)流通過(guò)時(shí)可以看到詳細(xì)的地址轉(zhuǎn)換情況。生效：可以通過(guò)取消對(duì)勾讓本策略暫時(shí)失效。移動(dòng)：可以調(diào)整策略查找的順序，策略的查找和匹配默認(rèn)是從上到下，我們可以通過(guò)移動(dòng)來(lái)控制策略生效的順序。

7.2創(chuàng)建策略源地址和目的地址如果以前曾經(jīng)設(shè)置過(guò)，可以用下拉菜單進(jìn)行選擇，否則需要在NewAddress新地址欄進(jìn)行輸入。如果地址曾經(jīng)輸入過(guò)，做策略時(shí)我們?nèi)栽贜ewAddress欄中進(jìn)行輸入，點(diǎn)擊確定的時(shí)候系統(tǒng)會(huì)出現(xiàn)重復(fù)IP地址條目的提示信息，但不影響策略的設(shè)置。入侵檢測(cè)的配置如果自己不是特別了解應(yīng)用的特性建議不要做任何配置，保持原有默認(rèn)配置不變。在進(jìn)行調(diào)試時(shí)建議打開(kāi)LOG記錄，看是否有數(shù)據(jù)流通過(guò)及地址轉(zhuǎn)換情況。如果要進(jìn)行源或目的地址的轉(zhuǎn)換需要點(diǎn)擊高級(jí)選項(xiàng)進(jìn)入二級(jí)配置菜單。HJ-ufti TghCTSKEsA-縫）-血￡「qwft.InXtr