防火墙详细配置手册

juniper防火墙详细配置手册

Juniper防火墙简明实用手册

（版本号：VI.0）

目.录

1juniper中文参考手册重点章节导读...............................4

1.1第二卷：基本原理

4

LL1第一章*•ScreenOS体系结构

4

LL2第二章*■路由表和静态路由

4

1・1・3第章•区段

4

LL4第四章*•接口

4

LL5第五章*接口模式

5

1.1・6第六章*为策略构建块

5

LL7第七章•策略

5

LL8第八章•*地址转换

5

1.1・9第十-章*■系统参数

6

1.2第卷*•管理

6

121第章*•管理

6

122监控NetScrcen设备

6

1.3第八卷•高可用性

第1页

1.3.1...............................................................................................NSRP

6

L3.2故障切换

2Juniper防火墙初始化配置和操纵.........8

3查看系统概要信息..................................................9

4主菜单常用配置选项导航...........................................10

5Confixration配置菜单...................11

5・]Date/Time:日期和时间

11

5.21Jpdate更新系统镜像和配置文件

12

5.2.1更新ScreenOS系统镜像

12

5・2・2更新configfile配置文件

13

5.3Admin管理

15

5.3.1Administrators管理员账户管理

15

5.3.2PermittedIPs：允许哪些主机可以对防火墙进行管理

16

6Nclworks配置菜单...............................................17

61Zone安全区

17

6・2[nterfaces接口配置

19

621查看接口状态的概要信息

19

第2页

6・2・2设置interface接口的基本信息

19

623设置地址转换

21

6.2.4设置接口SecondaryIP地址

25

6・3Routing路由设置

26

631查看防火墙路由表设置

26

632仓I建新的路由条目

27

7Policy策略设置..........................28

7.1查看目前策略设置

28

7・2创建策略

29

8对象Object设置.................................................31

9策略Policy报告Report....................................33

第3页

-・・•

1juniper中文参考手册重点章节导读

版本：Juniper防火墙5.0中文参考手册，内容非常庞大和繁杂，其中很多

介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握

Juniper防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和

概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

1.1第二卷：基本原理

L1.1第一章：ScreenOS体系结构

•安全区

•安全区接口

•策略

1.1.2第二章：路由表和静态路由

•配置静态路由

1.1・3第三章：区段

•安全区

•配置安全区

•功能区段：HA区段

LL4第四章：接口

•接口类型：安全区接口：物理

•接口类型：安全区接口：功能区段接口

•察看接口

•配置安全区接口，将接口绑定到安全区、从安全区解除接口绑定、修

4

改接口、跟踪IP地址

•二级IP地址

1.1.5第五章：接口模式

•透明模式

•NAT模式

•路由模式

1.1.6第六章：为策略构建块

•地址：地址条目、地址组

•服务：预定义的服务、定制服务

•DIP池：端口地址转换、范例：创建带有PAT的DIP池、范例：修

改DIP池、扩展接口和DIP

•时间表

1.1.7第七章：策略

•三种类型的策略

•策略定义

•策略应用

1.1.8第八章：地址转换

•地址转换简介

•源网络地址转换

•目的网络地址转换

•映射IP地址

•虚拟IP地址

5

-・・•

1.1.9第十一章：系统参数

•下载/上传设置和固件

•系统时钟

1.2第三卷：管理

1.2.1第一章：管理

•通过WEB用户界面进行管理

•通过命令行界面进行管理

•管理的级别：根管理员、可读/写管理员、只读管理员、定义Admin

用户

•保证管理信息流的安全：更改端口号、更改Admin登录名和密码、

重置设备到出厂缺省设置、限制管理访问

1.2.2监控NetScreen设备

•储存日志信息

•事件日志

•信息流日志

•系统日志

1.3第八卷：高可用性

1.3.1NSRP

•NSRP概述

•NSRP和NETSCREEN的操作模式

•NSRP集群

•VSD组

6

•・・•

•同步

1.3.2故障切换

•设备故障切换(NSRP)

•VSD组故障切换(NSRP)

•为设备或VSD组故障切换配置对象监控

7

-・・•

2Juniper防火墙初始化配置和操纵

对一台空配置的Juniper防火墙我们可以用两种方法去进行操纵：Console

控制台和WEB。

1.Console控制台：使用Console线连接到Juniper的防火墙上的Console

口，利用超级终端用CLI命令行界面进行配置。

2.使用WEB界面：Juniper防火墙上默认情况下在E1接口（trust）口有

一个初始管理IP地址192.168.1.1255.255.255.0；我们可以把自己

的笔记本和防火墙的E1口用一根交叉线连接起来，然后把本机的地址

配置为192.168.1.X255.255.255.0,之后我们就可以在本机上通过IE

浏览器登陆192,168.1.1的地址通过WEB界面对设备进行配置了。

注意1：Juniper防火墙接口的WEB管理特性默认只在E1接口（trust）口才启

用，也就是说我们有可能无法通过用WEB登陆其他接口进行操纵，除非我们提

前已经打开了相应接口的WEB管理选项。

注意2：如果Juniper防火墙上有配置，我们不知道目前E1接口的IP地址，我

们可以先通过Console控制台用“getinterfacew的命令看一下目前El口的

IP地址。

注意3：Juniper防火墙0S5.0以上的版本支持MDI和MDIX自适应，也就是说

我们的主机和E1口也可以用直通线进行互连，但这种方式有失效的时候，如果

出现用交叉线互连物理也无法UP的情况，可以在Console控制台用

"NS208->deletefileflash:/ns_sys_configw删除配置文件并重起防

火墙的方式可以解决（Juniper的BUG）。

注：系统默认登陆用户名和口令都是："ne&reen”。

8

-・・•

3查看系统概要信息

使用WEB登陆防火墙的管理地址，进入GUI管理界面，如上图所示。

•左边是主配置菜单。

•右边最上方是系统启动以及时间信息，右上角显示主机名。

•Deviceinformation：设备信息，显示设备硬软件版本、序列号以及主机名。

•Interfacelinkstatus：接口链路状态，显示接口所属区和链路UP/DOWN

信息。

•ResourcesStatus：资源状况，显示系统CPU和内存使用率以及目前的会话

和策略是系统满负荷的比例。（其中注意内存使用率是不真实的，在系统空

负荷的情况下内存占用率也会很高，是系统本身设计的问题）。

•Themostrecentalarms：系统最近的报警信息

9

-・・•

•Themostrecentevents：系统最近的通告信息

4主菜单常用配置选项导航

在主菜单中我们经常用到的配置菜单如下，后面将针对这些常用配置选项

进行详细的介绍。

1.Configuration：Date/Time；Update；Admin；Auth；ReportSettings

2.Network：Zones；Interfaces；Routing；NSRP

3.Polices

4.Objects：Addresses；Services

5.Reports：Polices

只要能够熟练掌握以上设置选项，就足以应对外网改造和日常维护的工作。

10

•・・•

5Configration配置菜单

5.1Date/Time:日期和时间

准确设置Juniper防火墙的时钟主要是为了使LOG信息都带有正确的时间

以便于分析和排错，设置时钟主要有三种方法。

1.用CLI命令行设置：setclockmm/dd/yyyyhh:mm:ss。

2.用WEB界面使用和客户端本机的时钟同步：简单实用。

3.用WEB界面配置NTP和NTP服务器的时钟同步。

11

•・・•

5.2Update更新系统镜像和配置文件

5.2.1更新ScreenOS系统镜像

12

-・・•

5.2.2更新configfile配置文件

•在这个菜单中我们可以查看目前文本形式的配置文件，把目前的配置文件导

出进行备份，以及替换和更新目前的配置。

•注意单选框默认是点选在“MergetoCurrentConfigrationw即和目前配置

融合的位置，而我们一般是要完全替换目前的配置文件的，因此一定要注意

把单选框点击到"ReplaceCurrentContigration

•当进行配置替换的之后系统会自动重起使新配置生效。

•TIP：进行配置的替换必须用ROOT用户进行登陆，用Read-Write用户

进行登陆是无法进行配置的替换操纵的，只有融合配置的选项，替换目前配

置的选项将会隐藏不可见，如下图所示：

13

•・・•

UploadConfigurationtoDevice

GMergetoCurrentConfiguration

NewConfigurationFile|浏览..，|

ApplyCancel1

14

-・・•

5.3Admin管理

5.3.1Administrators管理员账户管理

•只有用根ROOT用户才能够创建管理员账户。

•可以进行ROOT用户账户用户名和密码的更改，但此账户不能被删除。

•可以创建只读账户和读写账户，其中读写账户可以对设备的大部分配置进行

更改。

15

•・・•

5.3.2PermittedIPs：允许哪些主机可以对防火墙进行管理

16

-・・•

6Networks配置菜单

6.1Zone安全区

•查看目前的安全区设置

•安全区内必须有物理接口才会有实际意义，每一个安全区同时可以包含多个

物理接口，但每一个物理接口同时只能属于一个安全区。

•几个系统默认的安全区和接口：

1:Trust区包含ETH1口

2：Untrust区包含ETH4口

3：DMZ区包含ETH3口

其他区必须进行手工创建并把相应物理接口放入安全区内。

・虚拟路由我们统一选Trust-Vr,多个VR对我们没有太大意义，不建议使用。

17

•・・•

•创建新的安全区:

•在输入安全区名称后其余选项均保持默认值即可。

18

-・・•

6.2Interfaces接口配置

6.2.1查看接口状态的概要信息

•接口概要显示接口的IP地址信息，所属安全区，接口类型和链路的状态。

其中接口类型除非是防火墙使用透明模式，否则都会是Layer3三层的c

6.2.2设置interface接口的基本信息

接口基本配置包括接口的IP地址掩码，是否可以被管理，接口的模式以及

接口的管理特性选项。

19

-・・•

•最上面的几个链接是配置NAT地址转换以及IP跟踪等高级特性的。

•下面那个其中需要大家配置的地方是设置此物理接口属于哪个安全区，从下

拉框中点选，其他选项保持不变即可。

•StaitcIP选择框是设置接口的IP地址和掩码信息的，其中有一个Mangeable

的选项，只有选中我们才可以通过WEB或TELNET登陆此地址进行管理。

ManageIP框保持为空的时候系统会自动把实际IP作为管理IP自动加上。

•接口模式有路由模式和NAT模式：

NAT模式：从此接口进入从其他口流出的流量源地址都会做转换，即使我

们在策略中不引用转换地址池，源地址都会转换为出站的接口地址。

路由模式：除非我们在策略定义中明确引用了转换地址池，否则源地址都不

会做转换。

由于路由模式比NAT模式更灵活，所以我们一般都会用路由模式。

•ETH1口默认是NAT模式，一定要注意把其更改为Route路由模式。

20

-・・•

•Serviceoptions服务选项：设置此接口是否允许被PING,WEB或TELNET

等方式进行管理，默认情况下ETH1（内网口）的都是打开的，而ETH4口

（外网口）的WEB和TELNET管理选项是关闭的，也就是说如果我们想从外

网登陆ETH4口的IP进行管理,必须把相应的WEB或TELNET选项点中。

・最后的配置框可以保持默认值。

6.2.3设置地址转换

Juniper防火墙的地址转换有三种方式：MIP.静态一对一地址转换；VIP-

虚拟一对多地址转换；DIP-动态多对多地址转换。

由于MIP和VIP地址转换有一些规则限制，比如要转换外网发起流量的源

地址的时候，转换后的地址必须和ETH1内网口在同一个子网，否则无法配置。

而DIP不受此规则的影响，同时可以完成MIP和VIP的功能，应用和设置比较

灵活，因此我们建议地址转换统一采用DIP的方式。

6・2.3.1配置MIP静态地址转换

21

•・・•

•配置MIP静态地址映射的时候要注意转换后的虚拟地址要在数据流的出站

接口上进行配置：例如流量从E1口入从E4口出，192.168.L1访问外网，

我们把192168.1.1的地址转换为那么这个1.1.1.1的地址的MIP是

做在出站接口，也就是E4口上的。

・新建MIP静态地址映射

•当使用静态MIP地址映射时，对方发起的数据流的目的地地址要注意设置

为MIP后的地址。

22

-・・•

6・2.3.2设置DIP动态地址转换

•DIP动态地址转换可以实现一对一，一对多，多对一和多对多的访问。

•DIP地址池和MIP一样要设置在出站接口上来实现源地址的翻译。

•DIP地址池可以和出站接口不再一个网段（使用扩展IP技术）。

•如果访问是多对一的（多个客户端访问一个服务器），必须使用Port-Xlate

端口转换特性（默认设置，建议都使用这种方式）。

•如果DIP被策略引用则无法编辑和更改，必须先移除策略后才可以编辑。

•创建新的DIP地址池：

23

-・・•

•如果DIP地址池和出站接口不在同一网段必须使用扩展IP特性，把选择框

选择到下方"Inthesameastheextendedip”,并输入一个扩展IP的地址。

•例如出站接口是9X.2.244.1/28,而源地址出站时我们想转换成192.168.1.X

的地址，那么在扩展IP框中我们可以输入192.168.1.0/24o

•扩展IP地址可以使用一个地址也可以用一个网段，推荐使用网段的方式。

•同一DIP地址网段可以同时分布在多个接口上，比如9X.2.18.0虚拟地址簿

可以同时设置在El、E2和E3口上。

•但同一个DIP地址只能同时设置在一个接口上，比如9X.2.18.1地址只能设

置在E1或E2或E3口上，不能同时在多个接口上都设置9X.2.18.1o

24

•・・•

6.2.4设置接口SecondaryIP地址

25

-・・•

6.3Routing路由设置

Juniper防火墙我们一般仅使用静态路由，静态路由的选路规则和路由器基

本相同，例如最长掩码匹配优先，接口如果DOWN,相应静态条目会消失，

6.3.1查看防火墙路由表设置

•路由我们统一都设在trust-vi•中（默认选项）。

•只有带号的才表示路由有效，等同于路由器showiproute的效果。

•添加的路由条目只能删除，无法编辑。

26

,

6.3.2创建新的路由条目

文件(Z)M(X)查看9XAtX)«*>QP

]«»刖e««a.,

02«htalK»*

Network>Routing>RoutingEntries>ConfigurationYN02FW0

VirtualRouterNametru$t-vr

NetworkAddress/Netmask「/|255.255.2SS.O目标地址段

Heine

•ConflgiHalion

]Network「NextHopVirtualRouterName|untru*t-vrjJ•不用,默认值，一审要点选一卜向

Binding

DNS廿Gateway♦—要点中GateWiy

Zones

interface3«.―渐送tl撮口

IrrtMixes

DHCPGatewayIPAddress(00.0.0♦下一跳网关地址

PPPoE

Metric11

Rosing

RoUmgEnines

Tag(u-

SourceRovtvig

VirtualRoutes

NSRP

Satening

PoliciM

•目标地址段可以写IP/it码也可以写IP/前缀；如100.1.1.0255.255.255.0或

者100.1.1.0/24。

・下一跳默认都是点在NextHopVirtualRouterName；一定要注意改点到

Gateway处，否则路由不生效。

•接口和下一跳网关地址都要选择和输入。

27

-・・•

7Policy策略设置

7.1查看目前策略设置

•可以选择查看从某个源安全区到某个目的安全区的策略，也可以选择从ALL

到ALL来查看所有的策略。

•Service是系统预定义或我们自定义的服务端口号。

•Action动作是指策略是允许或拒绝，允许是一个对勾，拒绝是一个X,另外

如果是绿色图表说明没有做源地址转换，蓝色图表说明做了源地址转换。

•在Option下如果有一个小记事本的图表，说明我们要记录此数据流，当数

据流通过时可以看到详细的地址转换情况。

•生效：可以通过取消对勾让本策略暂时失效。