九juniper防火墙技术基本原理管理高可用性

1、技术博客 http:/1914756383/邮件订阅/KUCqX2Juniper简明实用手册（版本号：V1.0） HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX2目录1juniper 中文参考手册重点章节导读31.1第二卷：基本原理....81.1.9第一章：ScreenOS 体系结构3第二章：路由表和静态路由3第三章：区段3第四章：接口3第五章：接口模式4第六章：为策略构建块4第七章：策略4第八章：地址转换4第十一章：系统参数51.2第三卷：管理51.

2、2.1第一章：管理51.2.2NetScreen设备51.3第八卷：高可用性.2JuniperNSRP5故障切换6初始化配置和72345查看系统概要信息8主菜单常用配置选项导航9Configration 配置菜单105.15.2Date/Time:日期和时间10Update 更新系统镜像和配置文件115.2.1更新 ScreenOS 系统镜像115.2.2更新 config file 配置文件12Admin 管理145.3.1Administrators 管理员账户管理Permitted IPs：允许哪些主机可以对进行管理15第 1 页 HYPERLINK

3、 http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX26Networks 配置菜单166.16.2Zone 安全区16erfa接口配置..4查看接口状态的概要信息18设置erface 接口的基本信息18设址转换20设置接口 Secondary IP 地址246.3Routing 路由设置256.3.1查看路由表设置256.3.2创建新的路由条目26Policy 策略设置2777.17.2查看目前策略设置27创建策略2889对象 Object 设置30策略 PolicyReport32第 2 页 HYPERLIN

4、K http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX21 juniper 中文参考手册重点章节导读版本：Juniper5.0 中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和的工作。1.1 第二卷：基本原理1.1.1第一章：ScreenOS 体系结构安全区安全区接口策略1.1.2第二章：路由表和静态路由配置静态路由1.1.3第三章：区段安全区配置安全区功能区段：HA 区

5、段1.1.4第四章：接口接口类型：安全区接口：物理接口类型：安全区接口：功能区段接口察看接口配置安全区接口：将接口绑定到安全区、从安全区解除接口绑定、修3 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX2IP 地址改接口、二级 IP 地址1.1.5第五章：接口模式透明模式NAT 模式路由模式1.1.6第六章：为策略构建块地址：地址条目、地址组服务：预定义的服务、定务DIP 池：端口地址转换、范例：创建带有 PAT 的 DIP 池、范例：修改DIP 池、扩展接口和 DIP时间表1.1.7第七章：策略三种类型的策略策略定义策略应

6、用1.1.8第八章：地址转换地址转换简介源网络地址转换目的网络地址转换IP 地址虚拟 IP 地址4 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX21.1.9 第十一章：系统参数/上传设置和固件系统时钟1.2 第三卷：管理1.2.1第一章：管理通过 WEB 用户界面进行管理通过命令行界面进行管理管理的级别：根管理员、可读/用户写管理员、只读管理员、定义 Admin、更改Admin保证管理信息流的安全：更改端登录名和、重置设备到出厂缺省设置、限制管理1.2.2NetScreen 设备日志信息事件日志信息流日志系统日志1.3 第

7、八卷：高可用性1.3.1 NSRPNSRP 概述NSRP和NETSCREEN的操作模式NSRP 集群VSD 组5 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX2同步1.3.2故障切换设备故障切换(NSRP)VSD 组故障切换(NSRP)为设备或 VSD组故障切换配置对象6 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX22 Juniper初始化配置和对一台空配置的 Juniper可以用两种方法去进行：Console控制台和 WEB。1. Console

8、控制台：使用 Console 线连接到Juniper 的上的Console口，利用超级终端用 CLI 命令行界面进行配置。2. 使用 WEB 界面：Juniper上默认情况下在 E1 接口（trust）口有一个初始管理 IP 地址 ；可以把自己的笔记本和的 E1 口用一根交叉线连接起来，然后把本机的地址配置为 192.168.1.X ，之后就可以在本机上通过 IE浏览器登陆 的地址通过 WEB 界面对设备进行配置了。注意 1：Juniper接口的 WEB 管理特性默认只在 E1 接口（trust）口才启用，也就是说有可能无法通过用 WEB 登陆其他接口进行，除非提前已经打开了相应接口的 WEB

9、 管理选项。注意 2：如果 Juniper上有配置，不知道目前 E1 接口的 IP 地址，我们可以先通过 Console 控制台用“geterface”令看一下目前 E1 口的IP 地址。注意 3：JuniperOS 5.0 以上的版本支持 MDI 和 MDIX 自适应，也就是说的主机和 E1 口也可以用直通线进行互连，但这种方式有失效的时候，如果出现用交叉线互连物理也无法 UP 的情况，可以在 Console 控制台用 “ NS208- delete file flash:/ns_sys_config”删除配置文件并重起防火墙的方式可以解决(Juniper 的 BUG)。注：系统默认登陆用户

10、名和口令都是：“netscreen”。7 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX23查看系统概要信息使用 WEB 登陆的管理地址，进入 GUI 管理界面，如上图所示。左边是主配置菜单。右边最上方是系统启动以及时间信息，右上角显示主机名。Device information：设备信息，显示设备硬版本、序列号以及主机名。erface link sus：接口链路状态，显示接口所属区和链路 UP/DOWN信息。ResourSus：资源状况，显示系统 CPU 和内存使用率以及目前的会话和策略是系统满负荷的比例。（其中注意内存使

11、用率是不真实的，在系统空负荷的情况下内存占用率也会很高，是系统本身设计）。The most recent alarms：系统最近的信息8 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX2The most recent events：系统最近的通告信息4 主菜单常用配置选项导航在主菜单中经常用到的配置菜单如下，后面将针对这些常用配置选项进行详细的介绍。.5.Configuration：Date/Time；Update；Admin；Auth；Report SettingsNetwork：Zones；serfa；Ro

12、uting；NSRPObjects：Addresses；ServiReports：s只要能够熟练掌握以上设置选项，就足以应对改造和日常的工作。9 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX25 Configration 配置菜单5.1 Date/Time:日期和时间准确设置 Juniper的时钟主要是为了使 LOG 信息都带有正确的时间以便于分析和排错，设置时钟主要有三种方法。1.2.3.用 CLI 命令行设置：set clock mm/dd/yyyy hh:mm:ss 。用 WEB 界面使用和客户端本机的时钟同步：简单

13、实用。用 WEB 界面配置 NTP 和 NTP 服务器的时钟同步。10 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX25.2 Update 更新系统镜像和配置文件5.2.1更新 ScreenOS 系统镜像11 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX25.2.2更新 config file 配置文件在这个菜单中可以查看目前文本形式的配置文件，把目前的配置文件导出进行备份，以及替换和更新目前的配置。注意单选框默认是点选在“Merge to Curre

14、nt Configration”即和目前配置融合的位置，而一般是要完全替换目前的配置文件的，因此一定要注意把单选框点击到“Replace Current Configration”。当进行配置替换的之后系统会自动重起使新配置生效。TIP：进行配置的替换必须用 ROOT 用户进行登陆，用 ReadWrite 用户进行登陆是无法进行配置的替换的，只有融合配置的选项，替换目前配置的选项将会隐藏不可见，如下图所示：12 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX213 HYPERLINK http:/c/ http:/c技术博客

15、 http:/1914756383/邮件订阅/KUCqX25.3 Admin 管理5.3.1Administrators 管理员账户管理只有用根 ROOT 用户才能够创建管理员账户。可以进行 ROOT 用户账户用户名和的更改，但此账户不能被删除。可以创建只读账户和读写账户，其中读写账户可以对设备的大部分配置进行更改。14 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX25.3.2Permitted IPs：允许哪些主机可以对进行管理15 HYPERLINK http:/c/ http:/c技术博客 http:/1914756

16、383/邮件订阅/KUCqX26 Networks 配置菜单6.1 Zone 安全区查看目前的安全区设置安全区内必须有物理接口才会有实际意义，每一个安全区同时可以包含多个物理接口，但每一个物理接口同时只能属于一个安全区。几个系统默认的安全区和接口：1：Trust 区包含 ETH1 口 2：Untrust 区包含 ETH4 口 3：DMZ 区包含 ETH3 口其他区必须进行手工创建并把相应物理接口放入安全区内。选 Trust-Vr，多个 VR 对虚拟路由没有太大意义，不建议使用。16 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUC

17、qX2创建新的安全区：在输入安全区名称后其余选项均保持默认值即可。17 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX26.2erfa接口配置6.2.1查看接口状态的概要信息接口概要显示接口的 IP 地址信息，所属安全区，接口类型和链路的状态。其中接口类型除非是使用透明模式，否则都会是 Layer3 三层的。6.2.2 设置erface 接口的基本信息接口基本配置包括接口的 IP 地址掩码，是否可以被管理，接口的模式以及接口的管理特性选项。18 HYPERLINK http:/c/ http:/c技术博客 http:/191

18、4756383/邮件订阅/KUCqX2最上面的几个是配置 NAT 地址转换以及 IP等高级特性的。下面那个其中需要大家配置的地方是设置此物理接口属于哪个安全区，从下拉框中点选，其他选项保持不变即可。Staitc IP 选择框是设置接口的 IP 地址和掩码信息的，其中有一个 Mangeable的选项，只有选中才可以通过 WEB 或NET 登陆此地址进行管理。Manage IP 框保持为空的时候系统会自动把实际 IP 作为管理 IP 自动加上。接口模式有路由模式和 NAT 模式：NAT 模式：从此接口进入从其他口流出的流量源地址都会做转换，即使在策略中不转换地址池，源地址都会转换为出站的接口地址。

19、路由模式：除非在策略定义中明确了转换地址池，否则源地址都不会做转换。由于路由模式比 NAT 模式更灵活，所以一般都会用路由模式。ETH1 口默认是 NAT 模式，一定要注意把其更改为 Route 路由模式。19 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX2Service options 服务选项：设置此接口是否允许被，WEB 或NET等方式进行管理，默认情况下 ETH1（内网口）的都是打开的，而 ETH4 口(外网口)的 WEB 和NET 管理选项是关闭的，也就是说如果想从登陆 ETH4 口的 IP 进行管理，必须把相应

20、的 WEB 或最后的配置框可以保持默认值。NET 选项点中。6.2.3 设址转换Juniper的地址转换有三种方式：MIP-静态一对一地址转换；VIP-虚拟一对多地址转换；DIP-动态多对多地址转换。由于 MIP 和 VIP 地址转换有一些规则限制，比如要转换发起流量的源地址的时候，转换后的地址必须和 ETH1 内网口在同一个子网，否则无法配置。而 DIP 不受此规则的影响，同时可以完成 MIP 和 VIP 的功能，应用和设置比较灵活，因此建议地址转换采用 DIP 的方式。配置 MIP 静态地址转换20 HYPERLINK http:/c/ http:/c技术博客 http:/19147563

21、83/邮件订阅/KUCqX2配置 MIP 静态地址的时候要注意转换后的虚拟地址要在数据流的出站接口上进行配置：例如流量从 E1 口入从 E4 口出，我们把 192168.1.1 的地址转换为 ，那么这个 的地址的 MIP 是做在出站接口，也就是 E4 口上的。新建 MIP 静态地址当使用静态 MIP 地址MIP 后的地址。时，对方发起的数据流的目的地地址要注意设置为21 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX2设置 DIP 动态地址转换DIP 动态地址转换可以实现一对一，一对多，多对一和多对多的DIP 地址池和 MI

22、P 一样要设置在出站接口上来实现源地址的翻译。DIP 地址池可以和出站接口不再一个网段（使用扩展 IP 技术）。是多对一的（多个客户端一个服务器），必须使用 Port-Xlate 端如果口转换特性（默认设置，建议都使用这种方式）。如果 DIP 被策略则无法编辑和更改，必须先移除策略后才可以编辑。创建新的 DIP 地址池：22 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX2如果 DIP 地址池和出站接口不在同一网段必须使用扩展 IP 特性，把选择框选择到下方“he same as the extended ip”，并输入一个

23、扩展 IP 的地址。例如出站接口是 9X.2.244.1/28，而源地址出站时想转换成 192.168.1.X的地址，那么在扩展 IP 框中可以输入 /24。扩展 IP 地址可以使用一个地址也可以用一个网段，使用网段的方式。同一 DIP 地址网段可以同时分布在多个接口上，比如 9X.2.18.0 虚拟地址簿可以同时设置在 E1、E2 和 E3 口上。但同一个 DIP 地址只能同时设置在一个接口上，比如 9X.2.18.1 地址只能设置在 E1 或 E2 或 E3 口上，不能同时在多个接口上都设置 9X.2.18.1。23 HYPERLINK http:/c/ http:/c技术博客 http:

24、/1914756383/邮件订阅/KUCqX26.2.4设置接口 Secondary IP 地址24 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX26.3 Routing 路由设置Juniper一般仅使用静态路由，静态路由的选路规则和路由器基本相同，例如最长掩码匹配优先，接口如果 DOWN，相应静态条目会。6.3.1查看路由表设置路由都设在 trust-vr 中（默认选项）。只有带“*”号的才表示路由有效，等同于路由器 show ip route 的效果。添加的路由条目只能删除，无法编辑。25 HYPERLINK http

25、:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX26.3.2创建新的路由条目目标地址段可以写 IP/掩码也可以写 IP/前缀；如 或者/24。下一跳默认都是点在 Next Hop Virtual Router Name ； 一定要注意改点到 Gateway 处，否则路由不生效。接口和下一跳网关地址都要选择和输入。26 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX27 Policy 策略设置7.1查看目前策略设置可以选择查看从某个源安全区到某个目的安全区的策略，也可以选择从 ALL到

26、ALL 来查看所有的策略。Service 是系统预定义或自定义的服务端。Action 动作是指策略是允许或，允许是一个对勾，是一个 X，另外如果是绿表说明没有做源地址转换，蓝表说明做了源地址转换。在 Option 下如果有一个小记事本的图表，说明流通过时可以看到详细的地址转换情况。要此数据流，当数据生效：可以通过取消对勾让本策略暂时失效。27 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX2移动：可以调整策略查找的顺序，策略的查找和匹配默认是从上到下，可以通过移动来控制策略生效的顺序。7.2创建策略源地址和目的地址如果以前曾经设置过，可以用下拉菜单进行选择，否则需要在 New Address 新地址栏进行输入。如果地址曾经输入过，做策略时仍在 New Address 栏中进行输入，点击确定的时候系统会出现重复 IP 地址条目的提示信息，但不影响策略的设置。检测的配置如果自己不是特别了解应用的特性建议不要做任何配置，保持原有默认配置不变。在进行调试时建议打开 LOG，看是否有数据流通过及地址转换情况。28 HYPERLINK http:/c/ http:/c技术博客 http:/1914756383/邮件订阅/KUCqX2如果要进行源或目的地址的转换需要点击高级选项进入二级