Juniper网络安全防火墙设备迅速安装手册V1.0_第1页
Juniper网络安全防火墙设备迅速安装手册V1.0_第2页
Juniper网络安全防火墙设备迅速安装手册V1.0_第3页
Juniper网络安全防火墙设备迅速安装手册V1.0_第4页
Juniper网络安全防火墙设备迅速安装手册V1.0_第5页
已阅读5页,还剩83页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

餐券

Juniper网络安全防火墙设备迅速安

装手册V1.0

目录

1、序言错误!未定义书签。

1.1、JUNIPER防火墙配置概述错误味定义书签。

1.2、JUNIPER防火墙管理配置的基本信息错误味定义书签。

1.3、JUNIPER防火墙的常用功能错误味定义书签。

2、JUNIPER防火墙三种布署模式及基本配置错误味定义书签。

2.2NAT模式错误!未定义书签。

2.2、ROUTE-路由模式错误味定义书签。

2.3、透明模式错误味定义书签。

2.4、基于向导方式日勺NAT/ROUTE模式下口勺基本配置错误!未定义书签。

2.5、基于非向导方式的NAT/ROUTE模式下口勺基本配置错误!未定义书签。

、NS-5GTNAT/Roule模式下口勺基本配置错误味定义书签。

、NS-25-208NAT/Route模式下的基本配置错误!未定义书签。

2.6、基于非向导方式的透明模式下H勺基本配置错误!未定义书签。

3、JUNIPER防火墙几种常用功能的配置错误味定义书签。

3.1、MIP的配置错误味定义书签。

、使用Web浏览器方式配置MIP错误味定义书签。

、使用命令行方式配置MIP错误味定义书签。

3.2、VIP的配置错误味定义书签。

、使用Web浏览器方式配置VIP错误味定义书签。

、使用命令行方式配置VIP错误味定义书签。

3.3、DIP的配置错误味定义书签。

、使用Web浏览器方式配置DIP错误味定义书签。

、使用命令行方式配置DIP错误味定义书签。

4、JUNIPER防火墙IPSECVPN的配置错误味定义书签。

4.1、站点间IPSECVPN配置:STAIGIP-TO-STAICIP错误!未定义书签。

、使用Web浏览器方式配置错误味定义书签。

、使用命令行方式配置错误味定义书签。

4.2、站点间IPSECVPN配置:STAICIP-TO-DYNAMICP错误!未定义书签。

、使用Web浏览器方式配置错误味定义书签。

、使用命令行方式配置错误味定义书签。

5、JUNIPER中低端防火墙的UTM功能配置错误!未定义书签。

5.1、防病毒功能H勺设置错误味定义书签。

、ScanManager的设置错误!未定义书签。

、Profile的设置错误味定义书签。

、防病毒profile在安全方略中的引用错误味定义书签。

5.2、防垃圾邮件功能的设置错误味定义书签。

、Action设置错误味定义书签。

、WhiteList与BlackList日勺设置错误味定义书签。

、防垃圾邮件功能的引用错误味定义书签。

5.3>WEB/URL过滤功能口勺设置错误!未定义书签。

、转发URL过滤祈求到外置URL过滤服务器错误!未定义书签。

、使用内置的URL过滤引擎进行URL过滤错误!未定义书签。

、手动添加过滤项错误味定义书签。

5.4、深层检测功能的设置错误保定义书签。

、设置DI袭击特性库自动更新错误!未定义书签。

、深层检测(DI)的引用错误味定义书签。

6、JUNIPER防火墙的HA(高可用性)配置错误味定义书签。

6.1、使用WEB浏览器方式配置错误味定义书签。

6.2、使用命令行方式配置错误味定义书签。

7、JUNIPER防火墙某些实用工具错误味定义书签。

7.1、防火墙配置文献H勺导出和导入错误味定义书签。

、配置文献的导出错误味定义书签。

、配置文献的导入错误保定义书签。

7.2、防火墙软件(SCREENOS)更新错误味定义书签。

7.3、防火墙恢复密码及出厂配置的措施错误味定义书签。

8、JUNIPER防火墙的某些概念错误味定义书签。

1、序言

我们制作本安装手册的目的是使初次接触Juniper网络安全防火墙设备(在本安装手册中简

称为“Juniper防火墙”)的工程技术人员,可以通过此安装手册完毕对Juniper防火墙基

本功能的实现和应用。

1.1、Juniper防火墙配置概述

Juniper防火墙作为专业的网络安全设备,可以支持多种复杂网络环境中的网络安全应用需

求;不过由于布署模式及功能的多样性使得Junipe「防火墙在实际布署时具有一定U勺复杂性。

在配置Juniper防火墙之前我们一般需要先理解顾客既有网络的规划状况和顾客对防火墙配

置及实现功能H勺诸多规定,提议参照如下思绪和环节对Juniper防火墙进行配置和管理。

基本配置:

1.确认防火墙口勺布署模式:NAT模式、路由模式、或者透明模式;

2.为防火堵口勺端口配置IP地址(包括防火墙口勺管理IP地址),配置路由信息;

3.配置访问控制方略,完毕基本配置。

其他配置:

1.配置基于端口和基于地址"勺映射:

2.配置基于方略的VPN;

3.修改防火墙默认的顾客名、密码以及管理端口。

1.2.Juniper防火墙管理配置的基本信息

Juniper防火墙常用管理方式:

①通过Web浏览器方式管理。推荐使用IE浏览器进行登录管理,需要懂得防火墙对应

端口的管理IP地址;

②命令行方式。支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接

两种命令行登录管理模式。

Juniper防火墙缺省管理端口和IP地址:

①Juniper防火堵出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理。缺省

IP地址为:/;

②缺省IP地址一般设置在防火墙的Trust端口上(NS・5GT)、最小端口编号的物理端口

上(NS-25/50/204/208/SSG系列)、或者专用的管理端口上

(ISG-1000/2023,NS-5200/5400)。

Juniper防火墙缺省登录管理账号:

①顾客名:netscreen:

②密码:netscreen(.

1.3、Juniper防火墙常用功能

在一般状况下,防火墙设等口勺常用功能包括:透明模式口勺布署、NAT/路由模式的布署、NAT

的应用、MIP的应用、DIP的应用、VIP口勺应用、基于方略VPN的应用。

本安装手册将分别对以上防火墙的配置及功能的实现加以阐明。

注:在对MIP/DIP/VIP等Juniper防火墙的某些基本概念不甚理解的状况下,请先到本手

册最终一章节内容查看理解!

2、Juniper防火墙三种布署模式及基本配置

Juniper防火墙在实际的布署过程中重要有三种模式可供选择,这三种模式分别是:

①基于TCP/IP协议三层日勺NAT模式:

②基于TCP/IP协议三层日勺路由模式;

③基于二层协议的透明模式。

2.1、NAT模式

当Juniper防火墙入口接口(“内网端口”)处在NAT模式时,防火墙将通往Untrust区(外

网或者公网)日勺IP数据包包头中的两个组件进行转换:源IP地址和源端口号。

防火墙使用Untrust区(外网或者公网)接口U勺IP地址替代始发端主机的源IP地址;

同步使用由防火墙生成的任意端口号替代源端口号。

10.1.115

0

10.1.15

Trust区段

fflmisi

私有地址空间Trust区段

/24

RJunfpei

UntrustI,段

公共地址空向1.酉

'•.•••■

50

Untiust区段

NAT模式应用的环境特性:

①注册IP地址(公网IP地址)H勺数量局限性;

②内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet;

③内部网络中有需要外显并对外提供服务的服务器。

2.2、Route•路由模式

当Juniper防火墙接口配置为路由模式时,防火墙在不一样安全区间(例如:

Trust/Utrust/DMZ)转发信息流时IP数据包包头中U勺源地址和端口号保持不变(除非明确

采用了地址翻译方略)。

①与NAT模式卜.不一样,防火墙接「I都处在路由模式时,防火墙不会自动实行地址翻译;

②与透明模式下不一样,当防火墙接口都处在路由模式时,其所有接口都处在不一样H勺

子网中。

5

00

101.1.25

Trust《段

私仃地址空间

Trust!<R

接口

1011.1/24

^JuniperC—M

nn

Untrus!I*收

公共地址空间1.fi.V24

外部路由器

1.11250

Untrust区段

互联网

路由模式应用的环境特性:

①防火墙完全在内网中布署应用;

②NAT模式下的所有环境;

③需要复杂日勺地址翻译。

2.3、透明模式

当Juniper防火墙接口处在“透明”模式时,防火墙将过滤通过网P数据包,但不会修改IP

数据包包头中的任何信息,防火墙的作用更像是处在同一VLANH勺2层互换机或者桥接器,

防火墙对于顾客来说是透明的。

透明模式是一种保护内部网络从不可信源接受信息流的以便手段。使用透明模式有如下长

处:

①不需要修改既有网络规划及配置;

②不需要实行地址翻译;

③可以容许动态路由协议、ViantrunkinglJ勺数据包通过。

2.4、基于向导方式的INAT/Route模式下的1基本配置

Juniper防火墙NAT和路由模式"勺配置可以在防火墙保持出厂配置启动后通过Web浏览器

配置向导完毕。

注:要启动配置向导,则必须保证防火墙设备处在出厂状态。例如:新的从未被调试过的设

备,或者通过命令行恢复为出厂状态口勺防火墙设备。

通过Web浏览器登录处在出厂状态日勺防火墙时,防火墙日勺缺省管理参数如下:

①缺省IP:192,168.1.1/;

②缺省顾客名/密码:netscreen/netscreen;

注:缺省管理IP地址所在端口参见在序言部份讲述的"Juniper防火墙缺省管理端口和IP

地址”中查找!!

在配置向导实现防火墙应用的同步,我们先虚拟一种防火墙设备的布署环境,之后,根据这

个环境对防火墙设备进行配置。

防火墙配置规划:

①防火墙布署在网络出JInternet出口位置,内部网络使用的IP地址为

/所在口勺网段,内部网络计算机的网关地址为防火墙内网端

口的IP地址:;

规定:

实现内部访问Internet的应用。

注:在进行防火墙设备配置前,规定对H勺连接防火墙的物理链路;调试用的计算机连接到防

火墙的内网端口上。

1.通过IE或与IE兼容的浏览器(推荐应用微软IE浏览器)使用防火墙缺省IP地址登录

防火墙(提议:保持登录防火墙的计算机与防火墙对应接口处在相似网段,直接相连)。

皆Login_licrosoftInternetExplorer

文件⑪编辑⑪查看笆收藏®工具9帮助Qi)

。后退…J回0;,搜索收藏夹◎

地址@)图/

2.使用缺省IP登录之后,出现安装向导:

RapidDeploymentWizard

WelcometotheRapidDeploymentWizard.

DoyouhaveaRapidDeploymentConfigletfile?

<j>No,usetheInitialConfigurationWizardinstead.

OYes,usethefollowingRapidDeploymentConfigletfile:

OChangethePortMode:Trust-Untrust(WorkingMode)v

OLoadConfigletfrom:|________|[浏览•••]

ONo,skiptheWizardandgostraighttotheWebUImanagementsessioninstead.

Note:TochangethePortMode,selectthenewmodeandclickApplyto

saveyourchanges.YoumustchangetheportmodeBEFOREloadingthe

Configletfile.

Next»[Cancel

注:对于熟悉Juniper防火墙配置口勺工程师,可以跳过该配置向导,直接点选:No,skipthe

wizardandgostraighttotheWebUImanagementsessioninstead,之后选择Next,直接

登录防火墙设备II勺管理界面。

3.使用向导配置防火墙,请直接选择:Next,弹出下面的界面:

InitialConfigurationWizard

WelcometotheInitialConfigurationWizard.

ThiswizardpromptsyouforinformationnecessarytocetyourNetScreendeviceupand

running.SuchinformationincludesbasicitemssuchasinterfaceIPaddresses,a

username,apassword,andotherfeatures.

Aftercompletingthewizard,youshouldbeabletoaccessandmanagethedeviceusng

aTelnetorSSHsession,theNetScreenWebUIapplication,ortheNetScreen-Security

Managementapplication.

ClickNexttocontinue.

Next»Cancel

4.“欢迎使用配置向导”,再选择Next。

InitialConfigurationWizard

Entertheadministrator'sloginnameandpassword:

AdministratorLoginName:netscreen

Password:

ConfirmPassword:

Note:Youcannotretrievetheloginnameandpasswordifyou

loseit.Pleasemakesureyouhaveacopyofthisinformationin

asecurelocation.

«PreviousNext»Cancel

注:进入登录顾客名和密码W、J修改页面,Juniper防火墙口勺登录顾客名和密码是可以更改的J,

这个顾客名和密码口勺界面修改口勺是防火墙设备上的根顾客,这个顾客对「防火墙设备来说具

有最高的权限,需要认真考虑和仔细配置,保留好修改后H勺顾客名和密码.

5.在完毕防火墙R勺登录顾客名和密码的设置之后,出现了一种比较关键R勺选择,这个选择

决定了防火墙设备是工作在路由模式还是工作在NAT模式:

♦选择EnableNAT,则防火墙工作在NAT模式;

♦不选择EnableNAT,则防火墙工作在路由模式。

InitialConfigurationWizard

0EnableNAT

WithNAT,externaldevices(intheUntrustzone)useasinglepublicdestinationIP

addresstoaccessyourlocalhosts(intheTrustzone;,Eachlocalhosthasaunique

privateIPaddress,whichyoucanspecifyyourselforobtainfromanISP.NAT

translatesaddresses,allowingthedevicetoexchangepacketsbetweenyourlocal

hostsandtheexternaldevices.

WithoutNAT,eachofyourlocalhostsusesauniquepublicIPaddress,assignedby

yourISP.ExternaldevicescannotaccessthemthroughasinglepublicdestinationIP

address.

«PreviousNext»Cancel

6.防火墙设备工作模式选择,选择:Trust-UntrustMode模式。这种模式是应用最多日勺模

式,防火墙可以被看作是只有一进一出的布署模式。

InitialConfigurationWizard

WhichpnrtmnriprinynuwantthpriAvirptn”GR?

©Trust-UntrustMode

OHome-WorkMode

ODual-UntrustMode

«Previous]Next»[Cancel

注:NS-5GT防火墙作为低端设备,为了可以增长低端产品应用W、J多样性,Juniper在NS-5GT

的OS中独立开发了几种不一样口勺模式应用于不一样的环境。目前,除NS-5GT以外,

Juniper其他系列防火墙不存在此外两种模式的选择。

7.完毕了模式选择,点击“Next”进行防火墙外网端口IP配置。外网端口IP配置有三个

选项分别是:DHCP自动获取IP地址;通过PPPoE拨号获得IP地址;手工设置静态

IP地址,并配置子网掩码和网关IP地址。

InitialConfigurationWizard

HowdoestheNetscreendeviceconnecttotheuntrustzone(Internet)?

ODynamicIPviaDHCP

QDynamicIPviaPPPoE

Username:

Password:

«Previous[Next>>Cancel

在这里,我们选择日勺是使用静态IP地址的方式,配置外网端口IP地址为:

/,网关地址为:51。

8.完毕外网端口R勺IP地址配置之后,点击“Next”进行防火墙内网端口IP配置:

InitialConfigurationWizard

EntertheIPaddressandsubnetmaskfortheinterfaceconnectedtoyoulocalhosts

(intheTrustzone).

TrustZoneInterfaceIPAddress:192,160.1.1

Netmask:(2557255.255.0

Azonesectionspartofanetworkintoadefinedsegmentorarea.Ineffect,azone

protectsoneareafromotherareas.Youcanapplyvarioussecurityoptionstoazone,

accordingtothespecificneedsofyourorganization.TheTrustzoneistheareawhere

yourlocal(protected)hostsreside.SpecifytheIPaddressandsubnetmaskthat

encompassestheportionofyournetworkthatcontainsyourhosts.

«PreviousNext»Cancel

9.在完毕了上述的J配置之后,防火墙的I基本配置就完毕了,点击“Next”进行DHCP服

务器配置。

注:DHCP服务渊配置在需耍防火墙在网络中充当DHCP服务器口勺时候才需要配置。否则

请选择“NO”跳过。

InitialConfigurationWizard

DoyouwanttheNetScreendevicetodynamicallyassignIPaddressestoyourlocal

hostsusingDHCP?Ifso,selectYesandenteranIPacdressrangefromwhichtoassign

theaddresses.

®Yes

IPAddressRangeStart192.168.1.100

End192.168.1.150

DNSServer1(optional)202.99.8.1

DNSServer2(optional)202.106.0.20|

ONO

«PreviousNext»Cancel

注:上面的页面信息显示的是在防火墙设备上配置实现一种DHCP服务器功能,由防火墙

设备给内部计算机顾客自动分派IP地址,分派的地址段为:00-50

一共51个IP地址,在分派IP地址R勺同步,防火墙设备也给计算机顾客分派了DNS服务

器地址,DNS用于对域名进行解析,如:将.SINA解析为IP地址:2o

假如计算机不能获得或设置DNS服务器地址,无法访问互联网。

10.完毕DHCP服务器选项设置,点击“Next”会弹出之前设置的汇总信息:

InitialConfigurationWizard

Beforeproceedingfurther,reviewthefollowingsettings.

DeviceisinNATmode

InterfaceunzrustIP

Interfaceun:rustNetmask

Interfaceun:rustDefaultGatewayS1

InterfacetrustIP

InterfacetrustNetmask

setadminpassword"netscreen'

setinterfacejntrustip

setinterfacejntrustgatewayS1

setinterfacetrustip

setinterfacetrustmanage

setinterfacetrustnat

unsetdhcpserveripall

setinterfacetrustdhcpserveroptiongateway

setinterfacetrustdhcpserveroptionnetmask

setinterfacetrustdhcpserverip00to50

setinterfacetrustdhcpserveroptiondnsl

setinterfacetrustdhcpserveroptiondns20

ClickNexttoentertheconfiguration

«Previous|Next>>][Cancel

11.确认配置没有问题,点击“Next”会弹出提醒“Finish”配置对话框:

Beforeproceedingfurther,reviewthefollowingsettings.

DeviceisinHATmode

Interfaceun:rustIP

interfaceun:rustNetmask

Interfaceun:rustDefaultGateway51

interfacetrustIP

InterfacetrustNetmask2SS.2SS.2SS.0

setadminpassword'netscreen'

setinterfacejntrustip255.255.2S5,0

setinterfacejntrustgateway51

setinterfacetrustip2SS.2S5.2SS.0

setinterfacetrustmanage

setinterfacetrustnat

unsetdhcpserveripall

setinterfacetrustdhcpserveroptiongateway

setinterfacetrustdhcpserveroptionnetmask2SS.2SS.255.0

setinterfacetrustdhcpserverip00to192.168.1,150

setinterfacetrustdhcpserveroptiondnsl

setinterfacetrustdhcpserveroptiondns20

Warning

Deviceisgoingtorestart,whenthisisdone,youmustdothefollowingto

continuemanagingtheNetscreendevicewiththeWebUI:

1.Closethisinstanceofyourbrowser.

2.Openanewinstance,andentermanagementipofthedeviceintheURL

field.

3.Whenpromptedtologin,enteryournewloginnameandpassword.

CloseWindow

Cimch

在该界面中,点选:Finish之后,该Web页面会被关用,配置完毕。

此时防火墙对来自内网到外网的访问启用基于端口地址的NAT,同步防火墙设备会自动在

方略列表部分生成一条由内网到外网H勺访问方略:

♦方略:方略方向由Trust到Untrust,源地址:ANY,目Fl勺地址:ANY,网络服务内容:

ANY;

♦方略作用:容许来自内网11勺任意IP地址穿过防火墙访问外网II勺任意地址。

重新启动一种旧页面,并在地址栏中输入防火墙的内网端口地址,确定后,出现下图中的

登录界面。输入对时的顾客名和密码,登录到防火墙之后,可以对防火墙时既有配置进行修

改。

AdminName:|netscreen

Passwdrxi'[z:Q工:QZO口口匚匚口二口二工CX

Rememmynameandpassword

Login

■■■■■■

总结:

上述就是使用Web浏览器通过配置向导完毕的防火墙NAT或路由模式的应用。通过配置向

导,可以在不熟悉防火墙设备的状况下,配置简朴环境的防火墙应用。

2.5、基于非向导方式的NAT/Route模式下的基本配置

基于非向导方式U勺NAT和Route模式的配置提议首先使用命令行开始,最佳通过控制台11勺

方式连接防火墙,这个管理方式不受接口IP地址的影响。

注:在设备缺省的状况下,防火墙的信任区(TrustZone)所在的端口是工作在NAT模式

的,其他安全区所在的端口是工作在路由模式的。

基于命令行方式日勺防火墙设备布署日勺配置如下(网络环境同上一章节所讲述的环境):

2.5.1、NS-5GTNAT/Route模式下的基本配置

注:NS-5GT设备的物理装口名称叫做trust和untrust:缺省Zone包括:trust和untrust.

请注意和接口辨别开。

①Unsetinterfacetrustip(清除防火墙内网端口口勺IP地址);

②Setinterfacetrustzcnetrust(将内网端口分派到trustzone);

③Setinterfacetrustip/24(设置内网端口口勺IP地址,必须先定义zone,之

后再定义定地址):

④Setinterfaceuntrustzoneuntrust(将外网口分派到untrustzone);

⑤Setinterfaceuntrustip/24(设置外网口l向IP地址);

⑥Setroute/0interfaceuntrustgateway51(设置防火墙对外的缺省路

由网关地址);

"•♦I

⑦Setpolicyfromtrusttountrustanyanyanypermitlog(定义一条由内网到外网的访问

方略。方略的方向是:由zonetrust到zoneuntrust,源地址为:any,目H勺地址为:

any,网络服务为:any,方略动作为:permit容许,log:启动日志记录);

IUQ:I,'•・一《,

⑧Save(保留上述的配置文献)。

2.5.2、NS-25-208NAT/Route模式下的基本配置

①Unsetinterfaceethernetlip(清除防火墙内网口缺省IP地址);

②Setinterfaceethernetlzonetrust(将ethernetl端口分派到trustzone);

③Setinterfaceethernetlip/24(定义ethernetl端口的IIP地址);

④Setinterfaceethernet3zoneuntrust(将ethemet3端口分派至ijuntrustzone);

⑤Setinterfaceethernet3ip/24(定义ethernet3端口日勺IP地址);

©Setroute/0interfaceethernet3gateway51(定义防火墙对外的缺省

路由网关);

⑦Setpolicyfromtrusttountrustanyanyanypermitlog(定义由内网到外网的访问控制

方略);

⑧Save(保留上述II勺配置文献)

注:上述是在命令行的方式上实现『、JNAT模式的配置,由于防火墙出厂时在内网端口(trust

zone所属的端口)上启用了NAT,因此一般不用尤其设置.,不过其他日勺端口则工作在路由

模式下,例如:untrust和DMZ区的端口。

假如需要将端口从路由模式修改为NAT模式,则可以按照如下的命令行进行修改:

①Setinterfaceethernet2NAT(设置端口2为NAT模式)

②Save

总结:

①NAT/Route模式做防火墙布署的重要模式,一般是在一台防火墙上两种模式混合进行

(除非防火墙完全是在内网应用布署,不需要做NAT•地址转换,这种状况下防火墙所

有端口都处在Route模式,防火墙首先作为一台路由器进行布署);

②有关配置举例,NS-5GT由于设备设计上的)特殊性,因此专门列举加以阐明;Juniper

在2023年全新推出的SSG系列防火墙,除了端口命名不一样样,和NS・25等设备管

理配置方式同样。

2.6、基于非向导方式的透明模式下的基本配置

实现透明模式配置提议采用命令行的方式,由于采用Web的方式实现时相对命令行的方式

麻烦。通过控制台连接防火墙H勺控制口,登录命令行管理界面,通过如下命令及环节进行二

层透明模式H勺配置:

①Unsetinterfaceethemetlip(将以太网1端口上II勺默认IP地址删除);

②Setinterfaceethernetlzonev1-trust(将以太网1端口分派到v1-trustzone:基于二

层口勺安全区,端口设置为该安全区后,则端口工作在二层模式,并且不能在该端口上

配置IP地址):

③Setinterfaceethernet2zonev1-dmz(将以太网2端口分派至Uv1-dmzzone);

④Setinterfaceethernet3zonev1-untrust(将以太网3端口分派到v1-untrustzone);

⑤Setinterfacevlanlip/24(设置VLAN1的IP地址为:

192.168.1.1/,该地址作为防火墙管理IP地址使用);

@Setpolicyfromv1-trusttov1-untrustanyanyanypermitlog(设置一条由内网到外网

的I访问方略);

⑦Save(保留目前的配置);

总结:

①带有V1-字样口勺zone为基于透明模式H勺安全区,在进行透明模式的应用时,至少要保

证两个端口的安全区工作在二层模式;

②虽然Juniper防火墙可以在某些特殊版本工作在混合模式下(二层模式和三层模式的混

合应用),不过一般状况下,提议尽量使防火墙工作在一种模式下(三层模式可以混用:

NAT和路由工

3、Juniper防火墙几种常用功能的配置

这里讲述的Juniper防火墙的几种常用功能重要是指基于方略的NATI向实现,包括:MIP、

VIP和DIP,这三种常用功能重要应用于防火墙所保护服务器提供对外服务。

31、MIP的J配置

MIP是“一对一”口勺双向地址翻译(转换)过程。一般的状况是;当你有若干个公网IP地

址,又存在若干U勺对外提供网络服务U勺服务器(服务器使用私有IP地址),为了实现互联网

顾客访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址

之间的一对一映射(MIP),并通过方略实现对服务器所提供服务进行访问控制。

MIP应用时网络拓扑图:

Untest区|殳

MIP

(etherret2卜归程)

Urrtru8tM.段按「I

ethemet2,/24

Global1<15

Tnwt区段接「I

ethemetl,1C.1.11/24

安全设备查询指向10115的路由,然后

©将信息流转发eihemeiL

T,诩区段

注:MIP配置在防火墙的外网端口(连接Internet的端口)。

3.1.1,使用Web浏览器方式配置MIP

①登录防火墙,将防火墙布署为三层模式(NAT或路由模式);

②定义MIP:Network=>lnterface=>ethernet2=>MIP,配置实现MIP的地址映射,Maoped

IP:公网IP地址,HostIP:内网服务器IP地址

③定义方略:在POLICY中,配置由外到内口勺访问控制方略,以此容许来自外部网络对

内部网络服务器应用的访问。

3.1.2、使用命令行方式配置MIP

①配置接口参数

setinterfaceethernetlzonetrust

setinterfaceethernetlnat

setinterfaceethernet2zoneuntrust

②定义MIP

vroutertrust-vr

③定义方略

setpolicyfromuntrusttotrustanymip()permit

save

3.2、VIP的配置

MIP是一种公网IP地址对应一种私有IP地址,是一对一日勺映射关系;而VIP是一种公网

IP地址口勺不一样端口(协议端口如:21、25、110等)与内部多种私有IP地址的不一样服

务端口的映射关系.一般应用在只有很少的公网IP地处,却拥有多种私有IP地计的服务器.

并且,这些服务器是需要对外提供多种服务的。

VIP应用的拓扑图:

Web服务器

0

HTTP(80)一FTP(21)

FTP眼务器

/10.1120

(《互联网/bf|

———Jr/、(||l|J

SMTP(25)

邮件服务器

.30

Untrust区段按IJTrust区段接1」

ethemed.11.1.124ethemetl,10.1.11/24

③添加与该VIP公网地址有关的访问控制方略。

3.2.2.使用命令行方式配置VIP

①配置接口参数

setinterfaceethernetlzonetrust

setinterfaceethernetlnat

setinterfaceethernet3zoneuntrust

②定义VIP

③定义方略

setpolicyfromuntrusttotrustanyvip(0)permit

save

注:VIP的地址可以运用防火墙设备的外网端口地址实现(限于低端设备)。

33、DIP的配置

DIP的J应用一般是在内网对外网日勺访问方面。当防火墙内网端口布署在NAT模式下,通过

防火墙由内网对外网的访问会自动转换为防火墙设备H勺外网端口IP地址,并实现对外网(互

联网)H勺访问,这种应用存在一定日勺局限性。处理这种局限性的措施就是DIP,在内部网络

IP地址外出访问时,动态转换为一种持续的公网IP地址池中的IP地址。

DIP应用的网络拓扑图:

.整圣鹳器楮鸵措DIP池ID5

11.1.30-1.11.30

启用1PAT»)

3.3.1、使用Web浏览器方式配置DIP

①登录防火墙设备,配置防火墙为三层布署模式;

②定义DIP:Network=>lnterface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口

定义IP地址池;

③定义方略:定义由内到外日勺访问方略,在方略时高级(ADV)部分NAT/J有关内容中,

启用源地址NAT,并在下拉菜单中选择刚刚定义好时DIP地址池,保留方略,完毕配置;

方略配置完毕之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一

种公网IP地址进行NATo

/?»»f6-»er*al:JuniperSctcrnOSVindovvInternettsplvrei

//>«1“II/E・JA3

M<IIS«(DUM3TAQ)WttQJ>

j6,《L—”nB,4Ori0•虔・

a«gS-s»rial

IHtR*P*rp«»9e

ggJunlper,

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论