防火墙详细配置手册

juniper防火墙具体配备手册Juniper防火墙简要实用手册（版本号：V1.0）目 录1 juniper中文参考手册重点章节导读 31.1 第二卷：基本原理 31.1.1 第一章：ScreenOS体系构造 31.1.2 第二章：路由表和静态路由 31.1.3 第三章：区段 31.1.4 第四章：接口 31.1.5 第五章：接口模式 41.1.6 第六章：为方略构建块 41.1.7 第七章：方略 41.1.8 第八章：地址转换 41.1.9 第十一章：系统参数 51.2 第三卷：管理 51.2.1 第一章：管理 51.2.2 监控NetScreen设备 51.3 第八卷：高可用性 51.3.1 NSRP 51.3.2 故障切换 62 Juniper防火墙初始化配备和操纵 73 查看系统概要信息 84 主菜单惯用配备选项导航 95 Configration配备菜单 105.1 Date/Time:日期和时间 105.2 Update更新系统镜像和配备文献 115.2.1 更新ScreenOS系统镜像 115.2.2 更新configfile配备文献 125.3 Admin管理 145.3.1 Administrators管理员账户管理 145.3.2 PermittedIPs：允许哪些主机能够对防火墙进行管理 156 Networks配备菜单 166.1 Zone安全区 166.2 Interfaces接口配备 186.2.1 查看接口状态的概要信息 186.2.2 设立interface接口的基本信息 186.2.3 设立地址转换 206.2.4 设立接口SecondaryIP地址 246.3 Routing路由设立 256.3.1 查看防火墙路由表设立 256.3.2 创立新的路由条目 267 Policy方略设立 277.1 查看现在方略设立 277.2 创立方略 288 对象Object设立 309 方略Policy报告Report 32juniper中文参考手册重点章节导读版本：Juniper防火墙5.0中文参考手册，内容非常庞大和繁杂，其中诸多介绍和功效实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作，下面简朴对参考手册中的重点章节进行一种总结和概括，掌握了这些内容大家就能够基本能够完毕安全布署和维护的工作。第二卷：基本原理第一章：ScreenOS体系构造安全区安全区接口方略第二章：路由表和静态路由配备静态路由第三章：区段安全区配备安全区功效区段：HA区段第四章：接口接口类型：安全区接口：物理接口类型：安全区接口：功效区段接口察看接口配备安全区接口：将接口绑定到安全区、从安全区解除接口绑定、修改接口、跟踪IP地址二级IP地址第五章：接口模式透明模式NAT模式路由模式第六章：为方略构建块地址：地址条目、地址组服务：预定义的服务、定制服务DIP池：端口地址转换、范例：创立带有PAT的DIP池、范例：修改DIP池、扩展接口和DIP时间表第七章：方略三种类型的方略方略定义方略应用第八章：地址转换地址转换介绍源网络地址转换目的网络地址转换映射IP地址虚拟IP地址第十一章：系统参数下载/上传设立和固件系统时钟第三卷：管理第一章：管理通过WEB顾客界面进行管理通过命令行界面进行管理管理的级别：根管理员、可读/写管理员、只读管理员、定义Admin顾客确保管理信息流的安全：更改端标语、更改Admin登录名和密码、重置设备到出厂缺省设立、限制管理访问监控NetScreen设备储存日志信息事件日志信息流日志系统日志第八卷：高可用性NSRPNSRP概述NSRP和NETSCREEN的操作模式NSRP集群VSD组同时故障切换设备故障切换(NSRP)VSD组故障切换(NSRP)为设备或VSD组故障切换配备对象监控

Juniper防火墙初始化配备和操纵对一台空配备的Juniper防火墙我们能够用两种办法去进行操纵：Console控制台和WEB。Console控制台：使用Console线连接到Juniper的防火墙上的Console口，运用超级终端用CLI命令行界面进行配备。使用WEB界面：Juniper防火墙上默认状况下在E1接口（trust）口有一种初始管理IP地址；我们能够把自己的笔记本和防火墙的E1口用一根交叉线连接起来，然后把本机的地址配备为192.168.1.X，之后我们就能够在本机上通过IE浏览器登陆的地址通过WEB界面对设备进行配备了。注意1：Juniper防火墙接口的WEB管理特性默认只在E1接口（trust）口才启用，也就是说我们有可能无法通过用WEB登陆其它接口进行操纵，除非我们提前已经打开了对应接口的WEB管理选项。注意2：如果Juniper防火墙上有配备，我们不懂得现在E1接口的IP地址，我们能够先通过Console控制台用“getinterface”的命令看一下现在E1口的IP地址。注意3：Juniper防火墙OS5.0以上的版本支持MDI和MDIX自适应，也就是说我们的主机和E1口也能够用直通线进行互连，但这种方式有失效的时候，如果出现用交叉线互连物理也无法UP的状况，能够在Console控制台用 “NS208->deletefileflash:/ns_sys_config”删除配备文献并重起防火墙的方式能够解决(Juniper的BUG)。注：系统默认登陆顾客名和口令都是：“netscreen”。查看系统概要信息使用WEB登陆防火墙的管理地址，进入GUI管理界面，如上图所示。左边是主配备菜单。右边最上方是系统启动以及时间信息，右上角显示主机名。Deviceinformation：设备信息，显示设备硬软件版本、序列号以及主机名。Interfacelinkstatus：接口链路状态，显示接口所属区和链路UP/DOWN信息。ResourcesStatus：资源状况，显示系统CPU和内存使用率以及现在的会话和方略是系统满负荷的比例。（其中注意内存使用率是不真实的，在系统空负荷的状况下内存占用率也会很高，是系统本身设计的问题）。Themostrecentalarms：系统近来的报警信息Themostrecentevents：系统近来的通告信息主菜单惯用配备选项导航在主菜单中我们经惯用到的配备菜单以下，背面将针对这些惯用配备选项进行具体的介绍。Configuration：Date/Time；Update；Admin；Auth；ReportSettingsNetwork：Zones；Interfaces；Routing；NSRPPolicesObjects：Addresses；ServicesReports：Polices只要能够纯熟掌握以上设立选项，就足以应对外网改造和日常维护的工作。

Configration配备菜单Date/Time:日期和时间精确设立Juniper防火墙的时钟重要是为了使LOG信息都带有对的的时间方便于分析和排错，设立时钟重要有三种办法。用CLI命令行设立：setclockmm/dd/yyyyhh:mm:ss。用WEB界面使用和客户端本机的时钟同时：简朴实用。用WEB界面配备NTP和NTP服务器的时钟同时。

Update更新系统镜像和配备文献更新ScreenOS系统镜像

更新configfile配备文献在这个菜单中我们能够查看现在文本形式的配备文献，把现在的配备文献导出进行备份，以及替代和更新现在的配备。注意单选框默认是点选在“MergetoCurrentConfigration”即和现在配备融合的位置，而我们普通是要完全替代现在的配备文献的，因此一定要注意把单选框点击到“ReplaceCurrentConfigration”。当进行配备替代的之后系统会自动重起使新配备生效。TIP：进行配备的替代必须用ROOT顾客进行登陆，用Read－Write顾客进行登陆是无法进行配备的替代操纵的，只有融合配备的选项，替代现在配备的选项将会隐藏不可见，以下图所示：

Admin管理Administrators管理员账户管理只有用根ROOT顾客才干够创立管理员账户。能够进行ROOT顾客账户顾客名和密码的更改，但此账户不能被删除。能够创立只读账户和读写账户，其中读写账户能够对设备的大部分派备进行更改。

PermittedIPs：允许哪些主机能够对防火墙进行管理

Networks配备菜单Zone安全区查看现在的安全区设立安全区内必须有物理接口才会有实际意义，每一种安全区同时能够包含多个物理接口，但每一种物理接口同时只能属于一种安全区。几个系统默认的安全区和接口：

1：Trust区包含ETH1口

2：Untrust区包含ETH4口

3：DMZ区包含ETH3口

其它区必须进行手工创立并把对应物理接口放入安全区内。虚拟路由我们统一选Trust-Vr，多个VR对我们没有太大意义，不建议使用。创立新的安全区：在输入安全区名称后其它选项均保持默认值即可。

Interfaces接口配备查看接口状态的概要信息接口概要显示接口的IP地址信息，所属安全区，接口类型和链路的状态。其中接口类型除非是防火墙使用透明模式，否则都会是Layer3三层的。设立interface接口的基本信息接口基本配备涉及接口的IP地址掩码，与否能够被管理，接口的模式以及接口的管理特性选项。

最上面的几个链接是配备NAT地址转换以及IP跟踪等高级特性的。下面那个其中需要大家配备的地方是设立此物理接口属于哪个安全区，从下拉框中点选，其它选项保持不变即可。StaitcIP选择框是设立接口的IP地址和掩码信息的，其中有一种Mangeable的选项，只有选中我们才能够通过WEB或TELNET登陆此地址进行管理。ManageIP框保持为空的时候系统会自动把实际IP作为管理IP自动加上。接口模式有路由模式和NAT模式：

NAT模式：从此接口进入从其它口流出的流量源地址都会做转换，即使我们在方略中不引用转换地址池，源地址都会转换为出站的接口地址。

路由模式：除非我们在方略定义中明确引用了转换地址池，否则源地址都不会做转换。

由于路由模式比NAT模式更灵活，因此我们普通都会用路由模式。ETH1口默认是NAT模式，一定要注意把其更改为Route路由模式。Serviceoptions服务选项：设立此接口与否允许被PING，WEB或TELNET等方式进行管理，默认状况下ETH1（内网口）的都是打开的，而ETH4口(外网口)的WEB和TELNET管理选项是关闭的，也就是说如果我们想从外网登陆ETH4口的IP进行管理，必须把对应的WEB或TELNET选项点中。最后的配备框能够保持默认值。设立地址转换Juniper防火墙的地址转换有三种方式：MIP-静态一对一地址转换；VIP-虚拟一对多地址转换；DIP-动态多对多地址转换。由于MIP和VIP地址转换有某些规则限制，例如要转换外网发起流量的源地址的时候，转换后的地址必须和ETH1内网口在同一种子网，否则无法配备。而DIP不受此规则的影响，同时能够完毕MIP和VIP的功效，应用和设立比较灵活，因此我们建议地址转换统一采用DIP的方式。配备MIP静态地址转换配备MIP静态地址映射的时候要注意转换后的虚拟地址要在数据流的出站接口上进行配备：例如流量从E1口入从E4口出，访问外网，我们把192168.1.1的地址转换为，那么这个的地址的MIP是做在出站接口，也就是E4口上的。新建MIP静态地址映射当使用静态MIP地址映射时，对方发起的数据流的目的地地址要注意设立为MIP后的地址。

设立DIP动态地址转换DIP动态地址转换能够实现一对一，一对多，多对一和多对多的访问。DIP地址池和MIP同样要设立在出站接口上来实现源地址的翻译。DIP地址池能够和出站接口不再一种网段（使用扩展IP技术）。如果访问是多对一的（多个客户端访问一种服务器），必须使用Port-Xlate端口转换特性（默认设立，建议都使用这种方式）。如果DIP被方略引用则无法编辑和更改，必须先移除方略后才能够编辑。创立新的DIP地址池：

如果DIP地址池和出站接口不在同一网段必须使用扩展IP特性，把选择框选择到下方“Inthesameastheextendedip”，并输入一种扩展IP的地址。例如出站接口是9X.2.244.1/28，而源地址出站时我们想转换成192.168.1.X的地址，那么在扩展IP框中我们能够输入/24。扩展IP地址能够使用一种地址也能够用一种网段，推荐使用网段的方式。同一DIP地址网段能够同时分布在多个接口上，例如9X.2.18.0虚拟地址簿能够同时设立在E1、E2和E3口上。但同一种DIP地址只能同时设立在一种接口上，例如9X.2.18.1地址只能设立在E1或E2或E3口上，不能同时在多个接口上都设立9X.2.18.1。

设立接口SecondaryIP地址

Routing路由设立Juniper防火墙我们普通仅使用静态路由，静态路由的选路规则和路由器基本相似，例如最长掩码匹配优先，接口如果DOWN，对应静态条目会消失。查看防火墙路由表设立路由我们统一都设在trust-vr中（默认选项）。只有带“*”号的才表达路由有效，等同于路由器showiproute的效果。添加的路由条目只能删除，无法编辑。

创立新的路由条目目的地址段能够写IP/掩码也能够写IP/前缀；如或者/24。下一跳默认都是点在NextHopVirtualRouterName；一定要注意改点到Gateway处，否则路由不生效。接口和下一跳网关地址都要选择和输入。

Policy方略设立查看现在方略设立能够选择查看从某个源安全区到某个目的安全区的方略，也能够选择从ALL到ALL来查看全部的方略。Service是系统预定义或我们自定义的服务端标语。Action动作是指方略是允许或回绝，允许是一种对勾，回绝是一种X，另外如果是绿色图表阐明没有做源地址转换，蓝色图表阐明做了源地址转换。在Option下如果有一种小记事本的图表，阐明我们要统计此数据流，当数据流通过时能够看到具体的地址转换状况。生效：能够通过取消对勾让本方略临时失效。移动：能够调节方略查找的次序，方略的查找和匹配默认是从上到下，我们能够通过移动来控制方略生效的次序。创立方略源地址和目的地址如果以前曾经设立过，能够用下拉菜单进行选择，否则需要在NewAddress新地址栏进行输入。如果地址曾经输入过，做方略时我们仍在NewAddress栏中进行输入，点击拟定的时候系统会出现重复IP地址条目的提示信息，但不影响方略的设立。入侵检测的配备如果自己不是特别理解应用的特性建议不要做任何配备，保持原有默认配备不变。在进行调试时建议打开LOG统计，看与否有数据流通过及地址转换状况。如果要进行源或目的地址的转换需要点击高级选项进入二级配备菜单。源地址转换点击DIP下拉菜单后前面的选择框会自动选中。目的地址转