Juniper网络安全防火墙设备安装手册

1、 Juniper 网络安全防火墙设备快速安装手册目 录 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 、前言 HYPERLINK l _bookmark0 4 HYPERLINK l _bookmark0 、JUNIPER防火墙配置概述4 HYPERLINK l _bookmark0 、JUNIPER防火墙管理配置的基本信息4 HYPERLINK l _bookmark1 、JUNIPER防火墙的常用功能5 HYPERLINK l _bookmark2 2 HYPERLINK l _bookmark2 、 HYPERLINK l _bookma

2、rk2 JUNIPER HYPERLINK l _bookmark2 防火墙三种部署模式及基本配置 HYPERLINK l _bookmark2 6 HYPERLINK l _bookmark2 、NAT模式6 HYPERLINK l _bookmark3 、ROUTE-路由模式7 HYPERLINK l _bookmark4 、透明模式8 HYPERLINK l _bookmark4 、基于向导方式的NAT/ROUTE模式下的基本配置8 HYPERLINK l _bookmark5 、基于非向导方式的NAT/ROUTE模式下的基本配置17 HYPERLINK l _bookmark6 、NS

3、-5GT NAT/Route模式下的基本配置18 HYPERLINK l _bookmark7 、NS-25-208 NAT/Route模式下的基本配置19 HYPERLINK l _bookmark8 、基于非向导方式的透明模式下的基本配置20 HYPERLINK l _bookmark9 3 HYPERLINK l _bookmark9 、 HYPERLINK l _bookmark9 JUNIPER HYPERLINK l _bookmark9 防火墙几种常用功能的配置 HYPERLINK l _bookmark9 21 HYPERLINK l _bookmark9 、MIP的配置21

4、HYPERLINK l _bookmark10 、使用Web浏览器方式配置MIP22 HYPERLINK l _bookmark11 、使用命令行方式配置MIP24 HYPERLINK l _bookmark11 、VIP的配置24 HYPERLINK l _bookmark12 、使用Web浏览器方式配置VIP25 HYPERLINK l _bookmark13 、使用命令行方式配置VIP26 HYPERLINK l _bookmark14 、DIP的配置27 HYPERLINK l _bookmark14 、使用Web浏览器方式配置DIP27 HYPERLINK l _bookmark15

5、 、使用命令行方式配置DIP29 HYPERLINK l _bookmark15 4 HYPERLINK l _bookmark15 、 HYPERLINK l _bookmark15 JUNIPER HYPERLINK l _bookmark15 防火墙 HYPERLINK l _bookmark15 IPSEC VPN HYPERLINK l _bookmark15 的配置 HYPERLINK l _bookmark15 29 HYPERLINK l _bookmark15 、站点间IPSEC VPN配置：STAIC IP-TO-STAIC IP29 HYPERLINK l _bookma

6、rk16 、使用Web浏览器方式配置30 HYPERLINK l _bookmark17 、使用命令行方式配置34 HYPERLINK l _bookmark18 、站点间IPSEC VPN配置：STAIC IP-TO-DYNAMIC IP36 HYPERLINK l _bookmark19 、使用Web浏览器方式配置37 HYPERLINK l _bookmark20 4.2.1、使用命令行方式配置40 HYPERLINK l _bookmark21 5 HYPERLINK l _bookmark21 、 HYPERLINK l _bookmark21 JUNIPER HYPERLINK l

7、 _bookmark21 中低端防火墙的 HYPERLINK l _bookmark21 UTM HYPERLINK l _bookmark21 功能配置 HYPERLINK l _bookmark21 42 HYPERLINK l _bookmark22 、防病毒功能的设置43 HYPERLINK l _bookmark22 、Scan Manager的设置43 HYPERLINK l _bookmark23 、Profile的设置44 HYPERLINK l _bookmark24 、防病毒profile在安全策略中的引用46 HYPERLINK l _bookmark25 、防垃圾邮件功

8、能的设置48 HYPERLINK l _bookmark26 、Action 设置49 HYPERLINK l _bookmark26 、White List与Black List的设置49 HYPERLINK l _bookmark27 、防垃圾邮件功能的引用51 HYPERLINK l _bookmark27 、WEB/URL过滤功能的设置51 HYPERLINK l _bookmark27 、转发URL过滤请求到外置URL过滤服务器51 HYPERLINK l _bookmark28 、使用内置的URL过滤引擎进行URL过滤53 HYPERLINK l _bookmark29 、手动添加

9、过滤项54 HYPERLINK l _bookmark30 、深层检测功能的设置58 HYPERLINK l _bookmark30 、设置DI攻击特征库自动更新58 HYPERLINK l _bookmark31 、深层检测（DI）的引用59 HYPERLINK l _bookmark32 6 HYPERLINK l _bookmark32 、 HYPERLINK l _bookmark32 JUNIPER HYPERLINK l _bookmark32 防火墙的 HYPERLINK l _bookmark32 HA HYPERLINK l _bookmark32 （高可用性）配置 HYPE

10、RLINK l _bookmark32 61 HYPERLINK l _bookmark33 、使用WEB浏览器方式配置62 HYPERLINK l _bookmark34 、使用命令行方式配置64 HYPERLINK l _bookmark35 7 HYPERLINK l _bookmark35 、 HYPERLINK l _bookmark35 JUNIPER HYPERLINK l _bookmark35 防火墙一些实用工具 HYPERLINK l _bookmark35 65 HYPERLINK l _bookmark35 、防火墙配置文件的导出和导入65 HYPERLINK l _b

11、ookmark36 、配置文件的导出66 HYPERLINK l _bookmark36 、配置文件的导入66 HYPERLINK l _bookmark37 、防火墙软件（SCREENOS）更新67 HYPERLINK l _bookmark38 、防火墙恢复密码及出厂配置的方法68 HYPERLINK l _bookmark38 8 HYPERLINK l _bookmark38 、 HYPERLINK l _bookmark38 JUNIPER HYPERLINK l _bookmark38 防火墙的一些概念 HYPERLINK l _bookmark38 681、前言我们制作本安装手册

12、的目的是使初次接触 Juniper 网络安全防火墙设备（在本安装手册中简称为“Juniper 防火墙”）的工程技术人员，可以通过此安装手册完成对 Juniper 防火墙基本功能的实现和应用。、Juniper防火墙配置概述Juniper 防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求；但是由于部署模式及功能的多样性使得Juniper 防火墙在实际部署时具有一定的复杂性。在配置Juniper 防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对 Juniper 防火墙进行配置和管理。基本配置：确认防火墙的部署

13、模式：NAT 模式、路由模式、或者透明模式；为防火墙的端口配置 IP 地址（包括防火墙的管理 IP 地址），配置路由信息；配置访问控制策略，完成基本配置。其它配置：配置基于端口和基于地址的映射；配置基于策略的 VPN；修改防火墙默认的用户名、密码以及管理端口。、Juniper防火墙管理配置的基本信息Juniper 防火墙常用管理方式：通过 Web 浏览器方式管理。推荐使用 IE 浏览器进行登录管理，需要知道防火墙对应端口的管理 IP 地址；命令行方式。支持通过 Console 端口超级终端连接和 Telnet 防火墙管理 IP 地址连接两种命令行登录管理模式。Juniper 防火墙缺省管理端口

14、和 IP 地址：Juniper 防火墙出厂时可通过缺省设置的 IP 地址使用 Telnet 或者 Web 方式管理。缺省IP 地址为：/；缺省 IP 地址通常设置在防火墙的 Trust 端口上（NS-5GT）、最小端口编号的物理端口上 （ NS-25/50/204/208/SSG系 列 ） 、 或 者 专 用 的 管 理 端 口 上（ISG-1000/2000,NS-5200/5400）。Juniper 防火墙缺省登录管理账号：用户名：netscreen；密码：netscreen。、Juniper防火墙的常用功能在一般情况下，防火墙设备的常用功能包括：透明模式的部署、NAT/路由模式的部署、N

15、AT 的应用、MIP 的应用、DIP 的应用、VIP 的应用、基于策略 VPN 的应用。本安装手册将分别对以上防火墙的配置及功能的实现加以说明。注：在对 MIP/DIP/VIP 等 Juniper 防火墙的一些基本概念不甚了解的情况下，请先到本手册最后一章节内容查看了解！2、Juniper防火墙三种部署模式及基本配置Juniper 防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：基于 TCP/IP 协议三层的 NAT 模式；基于 TCP/IP 协议三层的路由模式；基于二层协议的透明模式。、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往

16、Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源 IP 地址和源端口号。防火墙使用 Untrust 区（外网或者公网）接口的 IP 地址替换始发端主机的源 IP 地址； 同时使用由防火墙生成的任意端口号替换源端口号。NAT 模式应用的环境特征：注册 IP 地址（公网 IP 地址）的数量不足；内部网络使用大量的非注册 IP 地址（私网 IP 地址）需要合法访问 Internet；内部网络中有需要外显并对外提供服务的服务器。、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数

17、据包包头中的源地址和端口号保持不变（除非明确采用了地址翻译策略）。与NAT模式下不同，防火墙接口都处于路由模式时，防火墙不会自动实施地址翻译；与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。路由模式应用的环境特征：防火墙完全在内网中部署应用；NAT 模式下的所有环境； 需要复杂的地址翻译。、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改 IP 数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器， 防火墙对于用户来说是透明的。透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用

18、透明模式有以下优点：不需要修改现有网络规划及配置；不需要实施 地址翻译；可以允许动态路由协议、Vlan trunking的数据包通过。、基于向导方式的NAT/Route模式下的基本配置Juniper 防火墙 NAT 和路由模式的配置可以在防火墙保持出厂配置启动后通过 Web 浏览器配置向导完成。注：要启动配置向导，则必须保证防火墙设备处于出厂状态。例如：新的从未被调试过的设备，或者经过命令行恢复为出厂状态的防火墙设备。通过 Web 浏览器登录处于出厂状态的防火墙时，防火墙的缺省管理参数如下：缺省 IP：/；缺省用户名/密码：netscreen/ netscreen；注：缺省管理 IP 地址所在

19、端口参见在前言部份讲述的“Juniper 防火墙缺省管理端口和 IP地址”中查找！在配置向导实现防火墙应用的同时，我们先虚拟一个防火墙设备的部署环境，之后，根据这个环境对防火墙设备进行配置。防火墙配置规划： 防火墙部署在网络的 Internet 出口位 置，内部网络使用的 IP 地址 为/ 所在的网段，内部网络计算机的网关地址为防火墙内网端口的 IP 地址：； 防火墙外网接口 IP 地址（通常情况下为公网 IP 地址，在这里我们使用私网 IP 地址模拟公网 IP 地址）为：/，网关地址为：51要求：实现内部访问 Internet 的应用。注：在进行防火墙设备配置前，要求正确连接防火墙的物理链路

20、；调试用的计算机连接到防火墙的内网端口上。通过 IE 或与IE 兼容的浏览器（推荐应用微软 IE 浏览器）使用防火墙缺省 IP 地址登录防火墙（建议：保持登录防火墙的计算机与防火墙对应接口处于相同网段，直接相连）。使用缺省 IP 登录之后，出现安装向导：注：对于熟悉 Juniper 防火墙配置的工程师，可以跳过该配置向导，直接点选：No，skip the wizard and go straight to the WebUI management session instead，之后选择 Next，直接登录防火墙设备的管理界面。使用向导配置防火墙，请直接选择：Next，弹出下面的界面：“欢迎使

21、用配置向导”，再选择 Next。注：进入登录用户名和密码的修改页面，Juniper 防火墙的登录用户名和密码是可以更改的， 这个用户名和密码的界面修改的是防火墙设备上的根用户，这个用户对于防火墙设备来说具有最高的权限，需要认真考虑和仔细配置，保存好修改后的用户名和密码。在完成防火墙的登录用户名和密码的设置之后，出现了一个比较关键的选择，这个选择决定了防火墙设备是工作在路由模式还是工作在 NAT 模式：选择 Enable NAT，则防火墙工作在 NAT 模式；不选择 Enable NAT，则防火墙工作在路由模式。防火墙设备工作模式选择，选择：Trust-Untrust Mode 模式。这种模式是

22、应用最多的模式，防火墙可以被看作是只有一进一出的部署模式。注：NS-5GT 防火墙作为低端设备，为了能够增加低端产品应用的多样性，Juniper 在NS-5GT的 OS 中独立开发了几种不同的模式应用于不同的环境。目前，除 NS-5GT 以外，Juniper 其他系列防火墙不存在另外两种模式的选择。完成了模式选择，点击“Next”进行防火墙外网端口 IP 配置。外网端口 IP 配置有三个选项分别是：DHCP 自动获取 IP 地址；通过 PPPoE 拨号获得 IP 地址；手工设置静态IP 地址，并配置子网掩码和网关 IP 地址。在这里，我们选择的是使用静态 IP 地址的方式，配置外网端口 IP

23、地址为： /，网关地址为：51。完成外网端口的 IP 地址配置之后，点击“Next”进行防火墙内网端口 IP 配置：在完成了上述的配置之后，防火墙的基本配置就完成了，点击“Next”进行 DHCP 服务器配置。注：DHCP 服务器配置在需要防火墙在网络中充当 DHCP 服务器的时候才需要配置。否则请选择“NO”跳过。注：上面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能，由防火墙设备给内部计算机用户自动分配IP地址，分配的地址段为：00-50 一共 51 个IP地址，在分配IP地址的同时，防火墙设备也给计算机用户分配了DNS服务器地址， DNS用于对域名进行解析，如：将 HYP

24、ERLINK http:/WWW.SINA.COM.CN解析为IP地址/ h WWW.SINA.COM.CN解析为IP地址：2。如果计算机不能获得或设置DNS服务器地址，无法访问互联网。完成 DHCP 服务器选项设置，点击“Next”会弹出之前设置的汇总信息：确认配置没有问题，点击“Next”会弹出提示“Finish”配置对话框：在该界面中，点选：Finish 之后，该 Web 页面会被关闭，配置完成。此时防火墙对来自内网到外网的访问启用基于端口地址的 NAT，同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略：策略：策略方向由 Trust 到 Untrust，源地址：ANY，目

25、标地址：ANY，网络服务内容： ANY；策略作用：允许来自内网的任意 IP 地址穿过防火墙访问外网的任意地址。重新开启一个 IE 页面，并在地址栏中输入防火墙的内网端口地址，确定后，出现下图中的登录界面。输入正确的用户名和密码，登录到防火墙之后，可以对防火墙的现有配置进行修改。总结：上述就是使用 Web 浏览器通过配置向导完成的防火墙 NAT 或路由模式的应用。通过配置向导，可以在不熟悉防火墙设备的情况下，配置简单环境的防火墙应用。、基于非向导方式的NAT/Route模式下的基本配置基于非向导方式的 NAT 和 Route 模式的配置建议首先使用命令行开始，最好通过控制台的方式连接防火墙，这个

26、管理方式不受接口 IP 地址的影响。注：在设备缺省的情况下，防火墙的信任区（Trust Zone）所在的端口是工作在 NAT 模式的，其它安全区所在的端口是工作在路由模式的。基于命令行方式的防火墙设备部署的配置如下（网络环境同上一章节所讲述的环境）：、NS-5GT NAT/Route模式下的基本配置注：NS-5GT 设备的物理接口名称叫做 trust 和untrust；缺省 Zone 包括：trust 和 untrust，请注意和接口区分开。Unset interface trust ip （清除防火墙内网端口的 IP 地址）；Set interface trust zone trust（将内

27、网端口分配到 trust zone）；Set interface trust ip /24（设置内网端口的 IP 地址，必须先定义 zone，之后再定义 IP 地址）；Set interface untrust zone untrust（将外网口分配到 untrust zone）；Set interface untrust ip /24（设置外网口的 IP 地址）；Set route /0 interface untrust gateway 51（设置防火墙对外的缺省路由网关地址）；Set policy from trust to untrust any any any permit log（

28、定义一条由内网到外网的访问策略。策略的方向是：由 zone trust 到 zone untrust， 源地址为：any，目标地址为： any，网络服务为：any，策略动作为：permit 允许，log：开启日志记录）；Save （保存上述的配置文件）。、NS-25-208 NAT/Route模式下的基本配置Unset interface ethernet1 ip（清除防火墙内网口缺省 IP 地址）；Set interface ethernet1 zone trust（将 ethernet1 端口分配到 trust zone）；Set interface ethernet1 ip /24（定义

29、 ethernet1 端口的 IP 地址）；Set interface ethernet3 zone untrust（将 ethernet3 端口分配到 untrust zone）；Set interface ethernet3 ip /24（定义 ethernet3 端口的 IP 地址）；Set route /0 interface ethernet3 gateway 51（定义防火墙对外的缺省路由网关）；Set policy from trust to untrust any any any permit log（定义由内网到外网的访问控制策略）；Save （保存上述的配置文件）注：上述是

30、在命令行的方式上实现的 NAT 模式的配置，因为防火墙出厂时在内网端口（trust zone 所属的端口）上启用了 NAT，所以一般不用特别设置，但是其它的端口则工作在路由模式下，例如：untrust 和 DMZ 区的端口。如果需要将端口从路由模式修改为 NAT 模式，则可以按照如下的命令行进行修改：Set interface ethernet2 NAT （设置端口 2 为 NAT 模式）Save总结： NAT/Route 模式做防火墙部署的主要模式，通常是在一台防火墙上两种模式混合进行（除非防火墙完全是在内网应用部署，不需要做 NAT-地址转换，这种情况下防火墙所有端口都处于 Route 模

31、式，防火墙首先作为一台路由器进行部署）； 关于配置举例，NS-5GT 由于设备设计上的特殊性，因此专门列举加以说明；Juniper 在 2006 年全新推出的 SSG 系列防火墙，除了端口命名不一样，和 NS-25 等设备管理配置方式一样。、基于非向导方式的透明模式下的基本配置实现透明模式配置建议采用命令行的方式，因为采用 Web 的方式实现时相对命令行的方式麻烦。通过控制台连接防火墙的控制口，登录命令行管理界面，通过如下命令及步骤进行二层透明模式的配置：Unset interface ethernet1 ip（将以太网 1 端口上的默认 IP 地址删除）； Set interface eth

32、ernet1 zone v1-trust（将以太网 1 端口分配到 v1-trust zone：基于二层的安全区，端口设置为该安全区后，则端口工作在二层模式，并且不能在该端口上配置 IP 地址）；Set interface ethernet2 zone v1-dmz（将以太网 2 端口分配到 v1-dmz zone）；Set interface ethernet3 zone v1-untrust（将以太网 3 端口分配到 v1-untrust zone）；Set interface vlan1 ip /24 （设置 VLAN1 的 IP 地址为： /，该地址作为防火墙管理 IP 地址使用）；

33、Set policy from v1-trust to v1-untrust any any any permit log（设置一条由内网到外网的访问策略）；Save（保存当前的配置）；总结：带有 V1-字样的 zone 为基于透明模式的安全区，在进行透明模式的应用时，至少要保证两个端口的安全区工作在二层模式；虽然 Juniper 防火墙可以在某些特殊版本工作在混合模式下（二层模式和三层模式的混合应用），但是通常情况下，建议尽量使防火墙工作在一种模式下（三层模式可以混用： NAT 和路由）。3、Juniper防火墙几种常用功能的配置这里讲述的 Juniper 防火墙的几种常用功能主要是指基于策

34、略的 NAT 的实现，包括：MIP、VIP 和 DIP，这三种常用功能主要应用于防火墙所保护服务器提供对外服务。、MIP的配置MIP 是“一对一”的双向地址翻译（转换）过程。通常的情况是：当你有若干个公网 IP 地址，又存在若干的对外提供网络服务的服务器（服务器使用私有 IP 地址），为了实现互联网用户访问这些服务器，可在 Internet 出口的防火墙上建立公网 IP 地址与服务器私有 IP 地址之间的一对一映射（MIP），并通过策略实现对服务器所提供服务进行访问控制。MIP 应用的网络拓扑图：注：MIP 配置在防火墙的外网端口（连接 Internet 的端口）。、使用Web浏览器方式配置M

35、IP登录防火墙，将防火墙部署为三层模式（NAT 或路由模式）；定义MIP：Network=Interface=ethernet2=MIP，配置实现 MIP 的地址映射。Mapped IP：公网 IP 地址，Host IP：内网服务器 IP 地址定义策略：在 POLICY 中，配置由外到内的访问控制策略，以此允许来自外部网络对内部网络服务器应用的访问。、使用命令行方式配置MIP配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip /24 set interface ethernet1 natset interface

36、 ethernet2 zone untrust set interface ethernet2 ip /24定义MIPset interface ethernet2 mip host netmask 55 vrouter trust-vr定义策略set policy from untrust to trust any mip() http permit save、VIP的配置MIP 是一个公网 IP 地址对应一个私有 IP 地址，是一对一的映射关系；而 VIP 是一个公网IP 地址的不同端口（协议端口如：21、25、110 等）与内部多个私有 IP 地址的不同服务端口的映射关系。通常应用在只有

37、很少的公网 IP 地址，却拥有多个私有 IP 地址的服务器，并且，这些服务器是需要对外提供各种服务的。 VIP 应用的拓扑图：注：VIP 配置在防火墙的外网连接端口上（连接 Internet 的端口）。、使用Web浏览器方式配置VIP登录防火墙，配置防火墙为三层部署模式。添加VIP：Network=Interface=ethernet8=VIP添加与该VIP公网地址相关的访问控制策略。、使用命令行方式配置VIP配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip /24 set interface ethernet

38、1 natset interface ethernet3 zone untrust set interface ethernet3 ip /24定义VIPset interface ethernet3 vip 0 80 http 0定义策略set policy from untrust to trust any vip(0) http permit save注：VIP 的地址可以利用防火墙设备的外网端口地址实现（限于低端设备）。、DIP的配置DIP 的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在 NAT 模式下，通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口 IP 地

39、址，并实现对外网（互联网）的访问，这种应用存在一定的局限性。解决这种局限性的办法就是 DIP，在内部网络IP 地址外出访问时，动态转换为一个连续的公网 IP 地址池中的 IP 地址。DIP 应用的网络拓扑图：、使用Web浏览器方式配置DIP登录防火墙设备，配置防火墙为三层部署模式；定义DIP：Network=Interface=ethernet3=DIP，在定义了公网IP地址的untrust端口定义IP地址池；定义策略：定义由内到外的访问策略，在策略的高级（ADV）部分NAT的相关内容中， 启用源地址NAT，并在下拉菜单中选择刚刚定义好的DIP地址池，保存策略，完成配置；策略配置完成之后拥有内

40、部 IP 地址的网络设备在访问互联网时会自动从该地址池中选择一个公网 IP 地址进行 NAT。、使用命令行方式配置DIP配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip /24 set interface ethernet1 natset interface ethernet3 zone untrust set interface ethernet3 ip /24定义DIPset interface ethernet3 dip 5 0 0定义策略set policy from trust to untrust

41、any any http nat src dip-id 5 permit save4、Juniper防火墙IPSec VPN的配置Juniper 所有系列防火墙（除部分早期型号外）都支持 IPSec VPN，其配置方式有多种，包括：基于策略的 VPN、基于路由的 VPN、集中星形 VPN 和背靠背 VPN 等。在这里，我们主要介绍最常用的 VPN 模式：基于策略的 VPN。站点间（Site-to-Site）的 VPN 是 IPSec VPN 的典型应用，这里我们介绍两种站点间基于策略 VPN 的实现方式：站点两端都具备静态公网 IP 地址；站点两端其中一端具备静态公网IP 地址，另一端动态公网

42、 IP 地址。、站点间IPSec VPN配置：staic ip-to-staic ip当创建站点两端都具备静态 IP 的 VPN 应用中，位于两端的防火墙上的 VPN 配置基本相同， 不同之处是在 VPN gateway 部分的 VPN 网关指向 IP 不同，其它部分相同。VPN 组网拓扑图：staic ip-to-staic ip、使用Web浏览器方式配置登录防火墙设备，配置防火墙为三层部署模式；定义 VPN 第一阶段的相关配置：VPNs=Autokey Adwanced=Gateway配置 VPN gateway 部分，定义 VPN 网关名称、定义“对端 VPN 设备的公网 IP 地址”

43、为本地 VPN 设备的网关地址、定义预共享密钥、选择发起 VPN 服务的物理端口；在 VPN gateway 的高级（Advanced）部分，定义相关的 VPN 隧道协商的加密算法、选择 VPN 的发起模式；配置 VPN 第一阶段完成显示列表如下图；定义 VPN 第二阶段的相关配置：VPNs=Autokey IKE在 Autokey IKE 部分，选择第一阶段的 VPN 配置；在 VPN 第二阶段高级（Advances）部分，选择 VPN 的加密算法；配置 VPN 第二阶段完成显示列表如下图；定义 VPN 策略，选择地址和服务信息，策略动作选择为：隧道模式；VPN 隧道选择为： 刚刚定义的隧道

44、，选择自动设置为双向策略；、使用命令行方式配置CLI ( 东京)配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip /24 set interface ethernet1 natset interface ethernet3 zone untrust set interface ethernet3 ip /24定义路由set vrouter trust-vr route /0 interface ethernet3 gateway 50定义地址set address trust Trust_LAN /24 set

45、 address untrust paris_office /24定义IPSec VPNset ike gateway to_paris address main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn tokyo_paris gateway to_paris sec-level compatible定义策略set policy top name To/From Paris from trust to untrust Trust_LAN paris_office any t

46、unnel vpn tokyo_parisset policy top name To/From Paris from untrust to trust paris_office Trust_LAN any tunnel vpn tokyo_parissaveCLI ( 巴黎)定义接口参数set interface ethernet1 zone trustset interface ethernet1 ip /24 set interface ethernet1 natset interface ethernet3 zone untrust set interface ethernet3 ip

47、 /24定义路由set vrouter trust-vr route /0 interface ethernet3 gateway 50定义地址set address trust Trust_LAN /24set address untrust tokyo_office /24定义IPSec VPNset ike gateway to_tokyo address main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn paris_tokyo gateway to_tokyo se

48、c-level compatible定义策略set policy top name To/From Tokyo from trust to untrust Trust_LAN tokyo_office any tunnel vpn paris_tokyoset policy top name To/From Tokyo from untrust to trust tokyo_office Trust_LAN any tunnel vpn paris_tokyosave、站点间IPSec VPN配置：staic ip-to-dynamic ip在站点间 IPSec VPN 应用中，有一种特殊的应

49、用，即在站点两端的设备中，一端拥有静态的公网 IP 地址，而另外一端只有动态的公网 IP 地址，以下讲述的案例是在这种情况下， Juniper 防火墙如何建立 IPSec VPN 隧道。基本原则：在这种 IPSec VPN 组网应用中，拥有静态公网 IP 地址的一端作为被访问端出现，拥有动态公网 IP 地址的一端作为 VPN 隧道协商的发起端。和站点两端都具备静态 IP 地址的配置的不同之处在于 VPN 第一阶段的相关配置，在主动发起端（只有动态公网 IP 地址一端）需要指定 VPN 网关地址，需配置一个本地 ID，配置 VPN 发起模式为：主动模式；在站点另外一端（拥有静态公网 IP 地址一

50、端）需要指定 VPN 网关地址为对端设备的 ID 信息，不需要配置本地 ID，其它部分相同。IPSec VPN 组网拓扑图：staic ip-to-dynamic ip、使用Web浏览器方式配置 VPN 第一阶段的配置：动态公网 IP 地址端。VPN 的发起必须由本端开始，动态地址端可以确定对端防火墙的 IP 地址，因此在 VPN 阶段一的配置中，需指定对端 VPN 设备的静态 IP 地址。同时，在本端设置一个 Local ID，提供给对端作为识别信息使用。VPN 第一阶段的高级配置：动态公网 IP 地址端。在 VPN 阶段一的高级配置中动态公网 IP 一端的 VPN 的发起模式应该配置为：主

51、动模式（Aggressive） VPN 第一阶段的配置：静态公网 IP 地址端。在拥有静态公网 IP 地址的防火墙一端，在 VPN 阶段一的配置中，需要按照如下图所示的配置：“Remote Gateway Type”应该选择“Dynamic IP Address”，同时设置 Peer ID（和在动态 IP 地址一端设置的 Local ID 相同）。VPN 第二阶段配置，和在”static ip-to-static ip”模式下相同。VPN 的访问控制策略，和在”static ip-to-static ip”模式下相同。4.2.1、使用命令行方式配置CLI ( 设备-A)定义接口参数set in

52、terface ethernet1 zone trustset interface ethernet1 ip /24 set interface ethernet1 natset interface ethernet3 zone untrust set interface ethernet3 dhcp clientset interface ethernet3 dhcp client settings server 定义路由set vrouter trust-vr route /0 interface ethernet3定义用户set user pmason password Nd4syst4

53、定义地址set address trust trusted network /24 set address untrust mail server /32定义服务set service ident protocol tcp src-port 0-65535 dst-port 113-113 set group service remote_mailset group service remote_mail add http set group service remote_mail add ftp set group service remote_mail add telnet set gro

54、up service remote_mail add ident set group service remote_mail add mail set group service remote_mail add pop3定义VPNset ike gateway to_mail address aggressive local-id HYPERLINK mailto:pmason pmason outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn branch_corp gateway

55、to_mail sec-level compatible定义策略set policy top from trust to untrust trusted network mail server remote_mail tunnel vpn branch_corp auth server Local user pmasonset policy top from untrust to trust mail server trusted network remote_mail tunnel vpn branch_corpsaveCLI ( 设备-B)定义接口参数set interface ether

56、net2 zone dmz set interface ethernet2 ip /24 set interface ethernet3 zone untrust set interface ethernet3 ip /24路由set vrouter trust-vr route /0 interface ethernet3 gateway 50定义地址set address dmz mail server /32set address untrust branch office /24定义服务set service ident protocol tcp src-port 0-65535 ds

57、t-port 113-113 set group service remote_mailset group service remote_mail add ident set group service remote_mail add mail set group service remote_mail add pop3定义VPNset ike gateway to_branch dynamic HYPERLINK mailto:pmason pmason aggressiveoutgoing-interface ethernet3 preshare h1p8A24nG5 proposal p

58、re-g2-3des-sha set vpn corp_branch gateway to_branch tunnel sec-level compatible定义策略set policy top from dmz to untrust mail server branch office remote_mail tunnel vpn corp_branchset policy top from untrust to dmz branch office mail server remote_mail tunnel vpn corp_branchsave5、Juniper中低端防火墙的UTM功能配

59、置Juniper 中低端防火墙（目前主要以 SSG 系列防火墙为参考）支持非常广泛的攻击防护及内容安全功能，主要包括：防病毒（Anti-Virus）、防垃圾邮件（Anti-Spam）、URL 过滤（URL filtering）以及深层检测/入侵防御（Deep Inspection/IPS）。注：上述的安全/防护功能集成在防火墙的 ScreenOS 操作系统中，但是必须通过 license（许可）激活后方可使用（并会在激活一段时间（通常是 1 年）后过期）。当然在使用这些功能的时候，我们还需要设定好防火墙的时钟以及 DNS 服务器地址。当防火墙激活了相应的安全/防护功能以后，通过 WebUI 可

60、以发现，Screening 条目下会增加相应的功能条目，如下图：、防病毒功能的设置Juniper 防火墙的防病毒引擎（从 ScreenOS5.3 开始内嵌 Kaspersky 的防病毒引擎）可以针对 HTTP、FTP、POP3、IMAP 以及 SMTP 等协议进行工作。、Scan Manager的设置令 “Pattern Update Server”项中的 URL 地址为 Juniper 防火墙病毒特征库的官方下载网址（当系统激活了防病毒功能后，该网址会自动出现）。令 “Auto Pattern Update”项允许防火墙自动更新病毒特征库；后面的“Interval”项可以指定自动更新的频率。