2024年-Juniper防火墙配置

Juniper防火墙基础12024/5/12目录Juniper防火墙简介及作用Juniper防火墙基本配置Juniper防火墙的接口模式Juniper防火墙的策略Juniper防火墙端口映射22024/5/12防火墙应用场景132024/5/12防火墙应用场景2DMZ区安全区2“供访客使用只能上网安全区1供员工使用Web,email,关键应用企业总部/数据中心性能容量Juniper防火墙型号对应远程办公室/中小企业/中小分支机构中大企业/大型分支机构30Gbps10GbpsNS5400NS52004Gbps1Gbps600Mbps300MbpsISG2000ISG1000SSG550SSG520SSG140SSG5SSG20总部/数据中心省级/地市核心分支机构SSG320/35052024/5/12SSG系列型号SSG5&SSG20(ssg20有2个Mini插槽的）160MbpsFW/40MbpsVPN会话数：8000，加license可扩展到16000SSG140350+MbpsFW/100MbpsVPN8FE+2GEInterfaces+4PIMslots会话数：48000SSG320M/350M

450+MbpsFW/175MbpsVPN;550+MbpsFW/225MbpsVPN;4GE+3or5PIMslots会话数：48000;SSG520M/550M2GbpsFW/300MbpsVPN；4GbpsFW/500MbpsVPN4GE+6PIMslots会话数：128000；256000SSG5SSG20SSG140SSG550MSSG520MSSG320MSSG350M62024/5/12规格对照之SSG5 防火墙性能（大型数据包）160Mbps防火墙性能(IMIX)90Mbps每秒处理的防火墙数据包数量30,000PPS3DES+SHA-1VPN性能40Mbps并发VPN隧道数25/40，最大并发会话数8,000/16,000新会话/秒2,800最大安全策略数200最大安全区数量8最大虚拟路由器数量3/4最大虚拟局域网数量10/50固定I/O7x10/100802.11a/b/g可选需要购买扩展许可72024/5/12规格对照之SSG20 防火墙性能（大型数据包）160Mbps防火墙性能(IMIX)90Mbps每秒处理的防火墙数据包数量30,000PPS3DES+SHA-1VPN性能40Mbps并发VPN隧道数25/40，最大并发会话数8,000/16,000新会话/秒2,800最大安全策略数200最大安全区数量8最大虚拟路由器数量3/4最大虚拟局域网数量10/50固定I/O5x10/100微型物理接口模块(Mini-PIM)扩展插槽（I/O）2802.11a/b/g可选需要购买扩展许可82024/5/12规格对照之SSG140防火墙性能（大型数据包）350+Mbps防火墙性能(IMIX)300Mbps每秒处理的防火墙数据包数量100,000PPS3DES+SHA-1VPN性能100Mbps并发VPN隧道数500，最大并发会话数48,000新会话/秒8,000最大安全策略数1,000最大安全区数量40最大虚拟路由器数量6最大虚拟局域网数量100固定I/O8x10/100,2x10/100/1000物理接口模块(PIM)扩展插槽（I/O）4无802.11a/b/g92024/5/12规格对照之SSG350防火墙性能（大型数据包）550+Mbps防火墙性能(IMIX)500Mbps每秒处理的防火墙数据包数量225,000PPS3DES+SHA-1VPN性能225Mbps并发VPN隧道数500，最大并发会话数128,000新会话/秒12,500最大安全策略数2,000最大安全区数量40最大虚拟路由器数量8最大虚拟局域网数量125固定I/O4x10/100/1000物理接口模块(PIM)扩展插槽（I/O）5无802.11a/b/g可转换为junos软件102024/5/12产品特点与效益列表特点一：提供完整的统一威胁管理(UTM)功能效益◎状态防火墙，可执行接入控制并阻止网络层攻击◎整合入侵检测解决方案(IPS)，有效阻止应用层的攻击◎提供Site-to-siteIPSecVPN，以确保各分支机构之间能够安全通信◎阻止拒绝服务(DoS)攻击◎支持H.323、SIP、SCCP和MGCP的应用层网关，以检测和保护VoIP流量◎整合卡巴斯基防病毒技术，防止病毒、间谍软件、广告软件和其它恶意软件的入侵◎整合SOPHOS防垃圾邮件技术，有效阻止不知名的垃圾邮件和钓鱼邮件◎整合Websense技术，有效控制和阻止对恶意网站的访问112024/5/12特点与效益特点二：防火墙整合路由功能效益结合安全防御和LAN/WAN路由功能，并能够阻止内部网络与应用层中出现的攻击，以保护企业内部网络，降低IT的费用支出特点三：提供各种不同的LAN和WAN接口选项效益包括T1/E1,Serial,DS3/E3,ADSL,Ethernet,SFP等122024/5/12特点与效益特点四：提供稳定的路由协议效益提供最好的路由协议，包括OSPF、BGP和RIPv1/2，而且兼容于FrameRelay、MultilinkFrameRelay、PPP、MultilinkPPP和HDLC特点五：支持自动联机VPN(ACVPN)效益可自动完成设置，并且以集中星型(hub-and-spoke)拓扑在远程分支机构之间自动建立VPN隧道，以提供高扩展性支持132024/5/12特点与效益特点六：支持多种高可用性选项效益支持接口或设备之间的故障切换机制，使服务不中断特点七：多种管理方式效益可通过图形化Web接口、CLI或NetworkandSecurityManager中央管理系统加以管理142024/5/12特点与效益特点八：整合统一接入控制(UAC)效益可作为统一接入控制(UAC)的执行端，验证用户身份、设备安全状态等特点九：支持基于路由/策略的VPN效益为企业在VPN环境里提供网络流量的负载平衡与备份功能152024/5/12特点与效益特点十：网络分段效益SSG系列提供一组高级网络分段功能，如桥接群组、安全区、虚拟LAN和虚拟路由器，让网管人员能够针对不同用户群组、无线网络和区域服务器，部署不同等级的安全防护机制。强大的网络安全管理和控制能力，能防止未经授权就接入网络的内、外部和DMZ子群组。162024/5/12目录Juniper防火墙简介及作用Juniper防火墙基本配置Juniper防火墙的接口模式Juniper防火墙的策略Juniper防火墙端口映射172024/5/12Juniper管理方式WebUI默认的管理地址是

默认用户名密码是netscreenCLIconsole连接182024/5/12设置主机名CLISSG5-Serial->sethostnameZ-Pai-FWWebUINetwork->DNS->Host->HostName192024/5/12202024/5/12设置管理员账号、密码CLISSG5-Serial->setadminuserzpaipassword***

privilegeallWebUIConfiguration->administratrs->NEW212024/5/12222024/5/12Zone（区段）区段是由一个或者多个网段组成的集合，需要通过策略来对入站和出站数据流进行调整。区段是绑定了一个或者多个端口的逻辑实体。可以设置3层区段和2层区段。查看ZoneCLIGetzoneWebUINetwork->Zone232024/5/12创建Zone设置2层zone，名字前必须加上l2CLIsetzonenamel2**[L2]WebUINetwork->Zone->NEW242024/5/12252024/5/12配置端口zoneCLIsetinterfaceethernet0/0zoneuntrustWebUI

network->interfaces->list->选择端口EDIT

在zonename中选取，点击OK262024/5/12272024/5/12配置端口管理方式及设置管理地址CLIsetinterfaceeth0/0ipsetinterfaceeth0/0manage-ipsetinterfaceeth0/0managewebsetinterfaceeth0/0managetelnet

WebUI

network->interfaces->list->选择端口EDIT设置地址类型DHCP、PPPoE或者是静态地址可以设置此端口的管理功能web管理、telent、等功能282024/5/12292024/5/12设置DHCP及DHCP地址范围CLIsetinterfacebgroup0dhcpserverenablesetinterfacebgroup0dhcpserveroptiongatewaysetinterfacebgroup0dhcpserveroptionnetmasksetinterfacebgroup0dhcpserverip0to00WebUInetwork->DHCP->选择端口Edit设置DHCP模式，DHCP网关、掩码，DHCP的DNSNetwor->DHCP->选择端口address设置DHCP地址范围302024/5/12312024/5/12322024/5/12目录Juniper防火墙简介及作用Juniper防火墙基本配置Juniper防火墙的接口模式Juniper防火墙的策略Juniper防火墙端口映射332024/5/12防火墙的接口模式接口的连接模式动态地址静态地址PPPoE接口的传输模式路由模式NAT模式透明模式342024/5/12透明模式路由模式VS透明模式路由模式，防火墙扮演一个三层设备，基于目的IP地址转发数据包。透明模式，防火墙扮演一个二层设备，如同桥或交换机，基于目的MAC地址转发以太帧透明模式与交换机防火墙同交换机一样使用MAC地址表，智能地基于帧的目的MAC地址进行转发；但是，防火墙不会泛洪MAC地址表不存在的未知的目的单播MAC地址。防火墙不参与生成树（STP）。因此，必须保证在使用透明模式防火墙时，不能故意增加二层环路。如果有环路，你会很快的该设备和交换机的CPU利用率会增加到100％。

交换机在第一层和第二层处理流量，透明模式防火墙可以在第一层到第七层处理流量。因为，透明模式防火墙既可以基于第二层信息转发流量，又可以基于ACLs、甚至应用层策略来转发流量。透明模式默认的策略是出站全部允许，进站全部禁止352024/5/12设置接口的连接模式CLIsetinterfaceethernet0/6dhcpclientenablesetinterfaceethernet0/6ip0setpppoename"pppoe"setpppoename"pppoe"username123password123setpppoename"pppoe"interfaceethernet0/6WebUINetwork->Interfaces->选择端口->edit选择ObtainIPUsingDHCP、ObtainIPUsingPPPoE或者StaticIP362024/5/12372024/5/12382024/5/12设置接口的传输模式设置路由模式或NAT模式CLIsetinterfacee0/0natsetinterfacee0/0routeWebUINetwork->Interfaces->选择端口->edit在interfacemode中选择NAT或者Route392024/5/12402024/5/12设置接口的传输模式设置透明模式CLIsetinterfacevlan1ipsetinterfaceeth0/5zonev1-trustsetinterfaceeth0/6zonev1-untrustWebUINetwork->interface->vlan1edit设置管理地址Network->interface->eth0/5edit更改zonename为v1-trustNetwork->interface->eth0/6edit更改zonename为v1-untrust412024/5/12422024/5/12432024/5/12442024/5/12目录Juniper防火墙简介及作用Juniper防火墙基本配置Juniper防火墙的接口模式Juniper防火墙的策略Juniper防火墙端口映射452024/5/12策略的组成（1）ID是策略的序号，但不是策略匹配的顺序Name是策略的名称，可以通过名称来标识策略的作用Zone区段，在之前以及讲过Addressname/group设置策略的源地址和目的地址，一定要先创建地址名称或者地址组。在策略中只能引用地址名称/地址组。462024/5/12策略的组成（2）Servicename服务的名称，系统中有定义好的服务，可以通过getservice来查看服务的名称及使用的端口号。如果策略中要使用的服务不在列表中，需要自己来创建。同地址一样，在策略中只能引用策略名称。动作允许permit/禁止deny/拒绝reject472024/5/12创建地址名称和地址组CLIsetaddresstrustaddress-name192.168.10.10255.255.255.255setgroupaddresstrustgroup-nameaddaddress-nameWebUIPolicy->PolicyElements->address->list点击new新建地址Policy->PolicyElements->address->group点击new新建组482024/5/12492024/5/12502024/5/12创建服务CLIsetserviceservice-nameprotocoltcpsrc-port11-11WebUIPolicy->PolicyElements->services->custom点击New来新建在transportprotocol中选择IP协议选择sourceprot或者destinationport，填写端口号512024/5/12522024/5/12策略的结构[ID][Name]Fromzonetozone

source-address-namedestination-address-nameservice-name{permit/deny}CLISetpolicyfromtrusttountrustaaanyhttpdeny添加多个服务Setpolicyid10Setservicedns

SetserviceftpexitWebUIPolicy->policies选择From（zone）To（zone）点击New新建策略Name是可选项，在源地址和目的地址中可选取在addresslist中建立的地址池，也可在newaddress中直接添加。Service中也可以添加多个服务，点击multiple中选择532024/5/12542024/5/12目录Juniper防火墙简介及作用Juniper防火墙基本配置Juniper防火墙的接口模式Juniper防火墙的策