juniper防火墙详细配置手册

M9N]juniper防火墙详置手册M9N]juniper防火墙详置手册QX96QT-XQQB89Q8-NQJuniper防火墙简明实用手册（版本号：）1juniper中文参考手册重点章节导读版本：Juniper防火墙中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。1.1第二卷：基本原理1.1.1 第一章：ScreenOS体系结构安全区安全区接口策略1.1.2 第二章：路由表和静态路由配置静态路由1.1.3 第三章：区段安全区配置安全区功能区段：HA区段1.1.4 第四章：接口接口类型：安全区接口：物理接口类型：安全区接口：功能区段接口察看接口配置安全区接口：将接口绑定到安全区、从安全区解除接口绑定、修改接口、跟踪IP地址二级IP地址1.1.5第五章：接口模式透明模式NAT模式路由模式1.1.6 第六章：为策略构建块地址：地址条目、地址组服务：预定义的服务、定制服务DIP池：端口地址转换、范例：创建带有PAT的DIP池、范例：修改DIP池、扩展接口和DIP时间表1.1.7 第七章：策略三种类型的策略策略定义策略应用1.1.8第八章：地址转换地址转换简介源网络地址转换目的网络地址转换映射IP地址虚拟IP地址1.1.9第^一章：系统参数下载/上传设置和固件系统时钟1.2第三卷：管理1.2.1第一章：管理通过WEB用户界面进行管理通过命令行界面进行管理管理的级别：根管理员、可读/写管理员、只读管理员、定义Admin用户保证管理信息流的安全：更改端口号、更改Admin登录名和密码、重置设备到出厂缺省设置、限制管理访问1.2.2监控NetScreen设备储存日志信息事件日志信息流日志系统日志1.3第八卷：高可用性1.3.1NSRPNSRP概述NSRP和NETSCREEN的操作模式NSRP集群VSD组同步1.3.2故障切换设备故障切换(NSRP)VSD组故障切换(NSRP)为设备或VSD组故障切换配置对象监控2Juniper防火墙初始化配置和操纵对一台空配置的Juniper防火墙我们可以用两种方法去进行操纵：Console控制台和WEB。Console控制台：使用Console线连接到Juniper的防火墙上的Console口，利用超级终端用CLI命令行界面进行配置。使用WEB界面：Juniper防火墙上默认情况下在E1接口（trust）口有一个初始管理IP地址；我们可以把自己的笔记本和防火墙的E1口用一根交叉线连接起来，然后把本机的地址配置为，之后我们就可以在本机上通过IE浏览器登陆的地址通过WEB界面对设备进行配置了。注意1：Juniper防火墙接口的WEB管理特性默认只在E1接口（trust）口才启用，也就是说我们有可能无法通过用WEB登陆其他接口进行操纵，除非我们提前已经打开了相应接口的WEB管理选项。注意2：如果Juniper防火墙上有配置，我们不知道目前E1接口的IP地址，我们可以先通过Console控制台用"getinterface”的命令看一下目前E1口的IP地址。注意3：Juniper防火墙OS以上的版本支持MDI和MDIX自适应，也就是说我们的主机和E1口也可以用直通线进行互连，但这种方式有失效的时候，如果出现用交叉线互连物理也无法UP的情况，可以在Console控制台用 “NS208->deletefileflash:/ns_sys_config‘删除配置文件并重起防火墙的方式可以解决（Juniper的BUG）。注：系统默认登陆用户名和口令都是：“netscreen”。3查看系统概要信息使用WEB登陆防火墙的管理地址，进入GUI管理界面，如上图所示。左边是主配置菜单。右边最上方是系统启动以及时间信息，右上角显木主机名。Deviceinformation：设备信息，显示设备硬软件版本、序列号以及主机名。Interfacelinkstatus：接口链路状态，显示接口所属区和链路UP/DOWN信息。ResourcesStatus：资源状况，显示系统CPU和内存使用率以及目前的会话和策略是系统满负荷的比例。（其中注意内存使用率是不真实的，在系统空负荷的情况下内存占用率也会很高，是系统本身设计的问题）。Themostrecentalarms系统最近的报警信息Themostrecentevents系统最近的通告信息4主菜单常用配置选项导航在主菜单中我们经常用到的配置菜单如下，后面将针对这些常用配置选项进行详细的介绍。Configuration：Date/Time；Update；Admin；Auth；ReportSettingsNetwork：Zones；Interfaces；Routing；NSRPPolicesObjects：Addresses；ServicesReports：Polices只要能够熟练掌握以上设置选项，就足以应对外网改造和日常维护的工作。5Configration配置菜单5.1Date/Time:日期和时间准确设置Juniper防火墙的时钟主要是为了使LOG信息都带有正确的时间以便于分析和排错，设置时钟主要有三种方法。用CLI命令行设置：setclockmm/dd/yyyyhh:mm:ss。用WEB界面使用和客户端本机的时钟同步：简单实用。用WEB界面配置NTP和NTP服务器的时钟同步。5.2Update更新系统镜像和配置文件5.2.1更新ScreenOS系统镜像5.2.2更新configfile配置文件在这个菜单中我们可以查看目前文本形式的配置文件，把目前的配置文件导出进行备份，以及替换和更新目前的配置。注意单选框默认是点选在“MergetoCurrentConfigration"即和目前配置融合的位置，而我们一般是要完全替换目前的配置文件的，因此一定要注意把单选框点击到“ReplaceCurrentConfigration"。当进行配置替换的之后系统会自动重起使新配置生效。TIP：进行配置的替换必须用ROOT用户进行登陆，用Read-Write用户进行登陆是无法进行配置的替换操纵的，只有融合配置的选项，替换目前配置的选项将会隐藏不可见，如下图所示：UploadConfigurationtoDevice&MergetoCurrentConfigurationNewConfigurationFile| 浏览...|~Apply_I CancelI5.3Admin管理5.3.1 Administrators管理员账户管理只有用根ROOT用户才能够创建管理员账户。可以进行ROOT用户账户用户名和密码的更改，但此账户不能被删除。可以创建只读账户和读写账户，其中读写账户可以对设备的大部分配置进行更改。5.3.2PermittedIPs：允许哪些主机可以对防火墙进行管5.3.2理6Networks配置菜单6.1Zone安全区查看目前的安全区设置安全区内必须有物理接口才会有实际意义，每一个安全区同时可以包含多个物理接口，但每一个物理接口同时只能属于一个安全区。几个系统默认的安全区和接口：1：Trust区包含ETH1口2：Untrust区包含ETH4口3：DMZ区包含ETH3口其他区必须进行手工创建并把相应物理接口放入安全区内。虚拟路由我们统一选Trust-Vr,多个VR对我们没有太大意义，不建议使用。创建新的安全区：■flJtuiiprr-Srrf<riOS岫f曲，物山。以琲辉題F*■缺）-州心齿mfl氐加『仍电t旃】曲wHOI3空件（T痢E 査看世）風#心A>d>梆ti⑭H&iiQ.)|基I玷顷〃9TO.ZW.mnEKii.LtjdNetwork>如M>顷flijg曲nYN02FWD,,.BockToZoneL屹t回叫则PWNHStrfM-ZW HomegOaiflgiiPitilou,罷蛔mBimTrftgDNSJorbe-Int臼而AWDHCPPPPdEPScr^enhitjPoIIHhzoneNdma输入安全区名称VirtualRouterNami®|tnist-vz三| ■ 保持默认值faneT^pe彳La側3广Layer2广TunnelOutZone[fiust-—博区—蘇我们都选三层VLANiO：1zObject「Repent3Wlzaid&1丽pLcqout奇完事BlockIrtro-loneTretflcFIfTCPnahSYN,涵ndRESETback厂TCP/IP^eoEsemhlyfarALGF^symnnatricViPNF渥区域milCancel/3Mn~rut在输入安全区名称后其余选项均保持默认值即可。6.2Interfaces接口配置6.2.1 查看接口状态的概要信息接口概要显示接口的ip地址信息，所属安全区，接口类型和链路的状态。其中接口类型除非是防火墙使用透明模式，否则都会是Layer3三层的。6.2.2设置interface接口的基本信息接口基本配置包括接口的IP地址掩码，是否可以被管理，接口的模式以及接口的管理特性选项。最上面的几个链接是配置NAT地址转换以及IP跟踪等高级特性的。下面那个其中需要大家配置的地方是设置此物理接口属于哪个安全区，从下拉框中点选，其他选项保持不变即可。StaitcIP选择框是设置接口的IP地址和掩码信息的，其中有一个Mangeable的选项，只有选中我们才可以通过WEB或TELNET登陆此地址进行管理。ManageIP框保持为空的时候系统会自动把实际IP作为管理IP自动加上。接口模式有路由模式和NAT模式：NAT模式：从此接口进入从其他口流出的流量源地址都会做转换，即使我们在策略中不引用转换地址池，源地址都会转换为出站的接口地址。路由模式：除非我们在策略定义中明确引用了转换地址池，否则源地址都不会做转换。由于路由模式比NAT模式更灵活，所以我们一般都会用路由模式。ETH1口默认是NAT模式，一定要注意把其更改为Route路由模式。Serviceoptions服务选项：设置此接口是否允许被PING,WEB或TELNET等方式进行管理，默认情况下ETH1（内网口）的都是打开的，而ETH4口（外网口）的WEB和TELNET管理选项是关闭的，也就是说如果我们想从外网登陆ETH4口的IP进行管理，必须把相应的WEB或TELNET选项点中。最后的配置框可以保持默认值。lirtertacei:etriRrnsti卩R/Fuaf琪駐Icfl?.0.,344.37/29)PfDpertliES：lirtertacei:etriRrnsti卩R/Fuaf琪駐Icfl?.0.,344.37/29)PfDpertliES：如胃帕MEPPEE丽匚由*如晦］卩m吨IPTW琲］卩郷”叩S&acKidiraenaceList◎•谦x.g).&歯，溢I加帔寸财■法◎W二「IH' _Hdiiien，仙琳日顽勺DttSZor®5.InerfiiceiDHCP地直皿I时喚p/打I嵩EHsap9弱“兩.VPNs価WIH■阻HelpLcg+ut6.2.3设置地址转换Juniper防火墙的地址转换有三种方式：MIP-静态一对一地址转换；VIP-虚拟一对多地址转换；DIP-动态多对多地址转换。由于MIP和VIP地址转换有一些规则限制，比如要转换外网发起流量的源地址的时候，转换后的地址必须和ETH1内网口在同一个子网，否则无法配置。而DIP不受此规则的影响，同时可以完成MIP和VIP的功能，应用和设置比较灵活，因此我们建议地址转换统一采用DIP的方式。配置MIP静态地址转换Minpp-ftri］P/XjABma^k hioEtER V^niJl-nr 「Din电Nn>entf^du^llatfe创建新tflMIP配置MIP静态地址映射的时候要注意转换后的虚拟地址要在数据流的出站接口上进行配置：例如流量从E1口入从E4口出，访问外网，我们把的地址转换为，那么这个的地址的MIP是做在出站接口，也就是E4口上的。新建MIP静态地址映射当使用静态MIP地址映射时，对方发起的数据流的目的地地址要注意设置为MIP后的地址。6.2.3.2设置DIP动态地址转换DIP动态地址转换可以实现一对一，一对多，多对一和多对多的访问。DIP地址池和MIP一样要设置在出站接口上来实现源地址的翻译。DIP地址池可以和出站接口不再一个网段（使用扩展IP技术）。如果访问是多对一的（多个客户端访问一个服务器），必须使用Port-Xlate端口转换特性（默认设置，建议都使用这种方式）。 如果DIP被策略引用则无法编辑和更改，必须先移除策略后才可以编辑。创建新的DIP地址池：文件便）ntit）击春⑦收怨⑩lAd?橱助就■31J-uni —曲ELTiiHmTm】、岛匚卜&装崩七比4的tr；l-FMt如果DIP地址池和出站接口不在同一网段必须使用扩展IP特性，把选择框选择到下方“Inthesameastheextendedip",并输入一个扩展IP的地址。例如出站接口是，而源地址出站时我们想转换成的地址，那么在扩展IP框中我们可以输入/24。扩展IP地址可以使用一个地址也可以用一个网段，推荐使用网段的方式。同一DIP地址网段可以同时分布在多个接口上，比如虚拟地址簿可以同时设置在El、E2和E3口上。但同一个DIP地址只能同时设置在一个接口上，比如地址只能设置在E1或E2或E3口上，不能同时在多个接口上都设置。6.2.4设置接口SecondaryIP地址6.3Routing路由设置Juniper防火墙我们一般仅使用静态路由，静态路由的选路规则和路由器基本相同，例如最长掩码匹配优先，接口如果DOWN,相应静态条目会消失。6.3.1 查看防火墙路由表设置路由我们统一都设在trust-vr中（默认选项）。只有带"*"号的才表示路由有效，等同于路由器showiproute的效果。添加的路由条目只能删除，无法编辑。6.3.2 创建新的路由条目目标地址段可以写IP/掩码也可以写IP/前缀；如或者/24。下一跳默认都是点在NextHopVirtualRouterName；一定要注意改点到Gateway处，否则路由不生效。接口和下一跳网关地址都要选择和输入。7Policy策略设置7.1查看目前策略设置可以选择查看从某个源安全区到某个目的安全区的策略，也可以选择从ALL到ALL来查看所有的策略。Service是系统预定义或我们自定义的服务端口号。Action动作是指策略是允许或拒绝，允许是一个对勾，拒绝是一个X,另外如果是绿色图表说明没有做源地址转换，蓝色图表说明做了源地址转换。在Option下如果有一个小记事本的图表，说明我们要记录此数据流，当数据流通过时可以看到详细的地址转换情况。生效：可以通过取消对勾让本策略暂时失效。移动：可以调整策略查找的顺序，策略的查找和匹配默认是从上到下，我们可以通过移动来控制策略生效的顺序。

7.2创建策略源地址和目的地址如果以前曾经设置过，可以用下拉菜单进行选择，否则需要在NewAddress新地址栏进行输入。如果地址曾经输入过，做策略时我们仍在NewAddress栏中进行输入，点击确定的时候系统会出现重复IP地址条目的提示信息，但不影响策略的设置。入侵检测的配置如果自己不是特别了解应用的特性建议不要做任何配置，保持原有默认配置不变。在进行调试时建议打开LOG记录，看是否有数据流通过及地址转换情况。如果要进行源或目的地址的转换需要点击高级选项进入二级配置菜单。HJ-ufti TghCTSKEsA-縫）-血£「qwft.InXtr