juniper防火墙常用配置.docx
- 文档编号:4908382
- 上传时间:2023-05-07
- 格式:DOCX
- 页数:10
- 大小:19.55KB
juniper防火墙常用配置.docx
《juniper防火墙常用配置.docx》由会员分享,可在线阅读,更多相关《juniper防火墙常用配置.docx(10页珍藏版)》请在冰点文库上搜索。
juniper防火墙常用配置
junipernetscreenFW的常用配置
1.Juniper防火墙管理配置的基本信息
Juniper防火墙常用管理方式:
①通过Web浏览器方式管理。
推荐使用IE浏览器进行登录管理,需要知道防火墙对应端口的管理IP地址;
②命令行方式。
支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接两种命令行登录管理模式。
Juniper防火墙缺省管理端口和IP地址:
①Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理。
缺省IP地址为:
192.168.1.1/255.255.255.0;
②缺省IP地址通常设置在防火墙的Trust端口上(NS-5GT)、最小端口编号的物理端口上(NS-25/50/204/208/SSG系列)、或者专用的管理端口上(ISG-1000/2000,NS-5200/5400)。
Juniper防火墙缺省登录管理账号:
①用户名:
netscreen;
②密码:
netscreen。
2.配置ns达到内网能访问internet的要求,我们经常使用的方式是nat/route的方式,主要的配置过程为:
NS-5GTNAT/Route模式下的基本配置
注:
NS-5GT设备的物理接口名称叫做trust和untrust;缺省Zone包括:
trust和untrust,请注意和接口区分开。
①Unsetinterfacetrustip(清除防火墙内网端口的IP地址);
②Setinterfacetrustzonetrust(将内网端口trust分配到trustzone);
③Setinterfacetrustip192.168.1.1/24(设置内网端口trust的IP地址,必须先定义zone,之后再定义IP地址);
④Setinterfaceuntrustzoneuntrust(将外网口untrust分配到untrustzone);
⑤Setinterfaceuntrustip10.10.10.1/24(设置外网口untrust的IP地址);
⑥Setroute0.0.0.0/0interfaceuntrustgateway10.10.10.251(设置防火墙对外的缺省路由网关地址);
⑦Setpolicyfromtrusttountrustanyanyanypermitlog(定义一条由内网到外网的访问策略。
策略的方向是:
由zonetrust到zoneuntrust,源地址为:
any,目标地址为:
any,网络服务为:
any,策略动作为:
permit允许,log:
开启日志记录);
⑧Save(保存上述的配置文件)。
NS-25-208NAT/Route模式下的基本配置
①Unsetinterfaceethernet1ip(清除防火墙内网口缺省IP地址);
②Setinterfaceethernet1zonetrust(将ethernet1端口分配到trustzone)(初始状态ethernet属于trust,如果以前用过最好用getinterface命令查下)
我们在做nat地址转换的时候要注意当前内网接口和外网接口的模式,正常的应该是:
内网为nat模式,外网为route模式,如果此例子中的ethernet1的接口为route模式,我们可用下面的命令进行修改:
Setinterfaceethernet1nat
③Setinterfaceethernet1ip192.168.1.1/24(定义ethernet1端口的IP地址);
这个也是初始默认的ip,而且可用于web管理,如果要重新配置其他的ip并且使之可管理,还得加上一条命令)
SetinterfaceEthernetip-manage…….
④Setinterfaceethernet3zoneuntrust(将ethernet3端口分配到untrustzone);
⑤Setinterfaceethernet3ip10.10.10.1/24(定义ethernet3端口的IP地址);
⑥Setroute0.0.0.0/0interfaceethernet3gateway10.10.10.251(网关地址有isp提供)(定义防火墙对外的缺省路由网关);
⑦Setpolicyfromtrusttountrustanyanyanypermitlog(定义由内网到外网的访问控制策略);
⑧Save(保存上述的配置文件)
3.Juniper防火墙几种常用功能的配置
这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:
MIP(映射IP)、VIP(虚拟IP)和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。
3.1、MIP的配置
MIP是“一对一”的双向地址翻译(转换)过程。
通常的情况是:
当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。
注:
MIP配置在防火墙的外网端口(连接Internet的端口)。
3.1.1、使用Web浏览器方式配置MIP
①登录防火墙,将防火墙部署为三层模式(NAT或路由模式);
②定义MIP:
Network=>Interface=>ethernet2=>MIP,配置实现MIP的地址映射。
MappedIP:
公网IP地址,HostIP:
内网服务器IP地址
③定义策略:
在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。
3.1.2、使用命令行方式配置MIP
①配置接口参数
setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet2zoneuntrust
setinterfaceethernet2ip1.1.1.1/24
②定义MIP
setinterfaceethernet2mip1.1.1.5host10.1.1.5netmask255.255.255.255vroutertrust-vr
③定义策略
setpolicyfromuntrusttotrustanymip(1.1.1.5)httppermit
save
3.2、VIP的配置
MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:
21、25、110.443等)与内部多个私有IP地址的不同服务端口的映射关系。
通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。
注:
VIP配置在防火墙的外网连接端口上(连接Internet的端口)。
3.2.1、使用Web浏览器方式配置VIP
①登录防火墙,配置防火墙为三层部署模式。
②添加VIP:
Network=>Interface=>ethernet8=>VIP
③添加与该VIP公网地址相关的访问控制策略。
3.2.2、使用命令行方式配置VIP
--[if!
supportLists]-->1.
--[endif]-->①配置接口参数
setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip1.1.1.1/24
②定义VIP
setinterfaceethernet3vip1.1.1.1080http10.1.1.10
③定义策略
setpolicyfromuntrusttotrustanyvip(1.1.1.10)httppermit(此处不能把目标地址设为any)
save
注:
VIP的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。
使用Web浏览器方式配置DIP
①登录防火墙设备,配置防火墙为三层部署模式;
②定义DIP:
Network=>Interface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口定义IP地址池;
③定义策略:
定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中,启用源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置;
策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT。
使用命令行方式配置DIP
①配置接口参数
setinterfaceethernet1zonetrust
setinterfaceethernet1ip10.1.1.1/24
setinterfaceethernet1nat
setinterfaceethernet3zoneuntrust
setinterfaceethernet3ip1.1.1.1/24
②定义DIP
setinterfaceethernet3dip51.1.1.301.1.1.30
③定义策略
setpolicyfromtrusttountrustanyanyhttpnatsrcdip-id5permit
save
4、Juniper防火墙一些实用工具
4.1、防火墙配置文件的导出和导入
Juniper防火墙的配置文件的导入导出功能为用户提供了一个快速恢复当前配置的有效的手段。
一旦用户不小心因为操作失误或设备损坏更换,都可以利用该功能,实现快速的防火墙配置的恢复,在最短的时间内恢复设备和网络正常工作。
4.1.1、配置文件的导出
配置文件的导出(WebUI):
在Configuration>Update>ConfigFile位置,点选:
Savetofile,将当前的防火墙设备的配置文件导出为一个无后缀名的可编辑文本文件。
配置文件的导出(CLI):
ns208->saveconfigfromflashtotftp1.1.7.25015Jun03.cfg
4.1.2、配置文件的导入
配置文件的导入(WebUI):
在Configuration>Update>ConfigFile位置,1、点选:
MergetoCurrentConfiguration,覆盖当前配置并保留不同之处;2、点选:
ReplaceCurrentConfiguration替换当前配置文件。
导入完成之后,防火墙设备会自动重新启动,读取新的配置文件并运行。
配置文件的导入(CLI):
ns208->saveconfigfromtftp1.1.7.25015June03.cfgtoflash
或者ns208->saveconfigfromtftp1.1.7.25015June03.cfgmerge
4.2、防火墙软件(ScreenOS)更新
关于ScreenOS:
Juniper防火墙的OS软件是可以升级的,一般每一到两个月会有一个新的OS版本发布,OS版本如:
5.0.0R11.0,其中R前面的5.0.0是大版本号,这个版本号的变化代表着功能的变化;R后面的11.0是小版本号,这个号码的变化代表着BUG的完善,因此一般建议,在大版本号确定的情况下,选择小版本号大的OS作为当前设备的OS。
关于OS升级注意事项:
升级OS需要一定的时间,根据设备性能的不同略有差异,一般情况下大约需要5分钟的时间。
在升级的过程中,一定要保持电源的供应、网线连接的稳定,最好是将防火墙从网络中暂时取出,待OS升级完成后再将防火墙设备接入网络。
ScreenOS升级(WebUI):
Configuration>Update>ScreenOS/Keys。
ScreenOS升级(CLI):
ns208->savesoftwarefromtftp1.1.7.250newimagetoflash
4.3、防火墙恢复密码及出厂配置的方法
当防火墙密码遗失的情况下,我们只能将防火墙恢复到出厂配置,方法是:
①记录下防火墙的序列号(又称SerialNumber,在防火墙机身上面可找到);
②使用控制线连接防火墙的Console端口并重起防火墙;
③防火墙正常启动到登录界面,是用记录下来的序列号作为登录的用户名/密码,根据防火墙的提示恢复到出厂配置。
5、Juniper防火墙的一些概念
安全区(SecurityZone):
Juniper防火墙增加了全新的安全区域(SecurityZone)的概念,安全区域是一个逻辑的结构,是多个处于相同属性区域的物理接口的集合。
当不同安全区域之间相互通讯时,必须通过事先定义的策略检查才能通过;当在同一个安全区域进行通讯时,默认状态下允许不通过策略检查,经过配置后也可以强制进行策略检查以提高安全性。
安全区域概念的出现,使防火墙的配置能更灵活同现有的网络结构相结合。
以下图为例,通过实施安全区域的配置,内网的不同部门之间的通讯也必须通过策略的检查,进一步提高的系统的安全。
接口(Interface):
信息流可通过物理接口和子接口进出安全区(SecurityZone)。
为了使网络信息流能流入和流出安全区,必须将一个接口绑定到一个安全区,如果属于第3层安全区,则需要给接口分配一个IP地址。
虚拟路由器(VirtualRouter):
Juniper防火墙支持虚拟路由器技术,在一个防火墙设备里,将原来单一路由方式下的单一路由表,进化为多个虚拟路由器以及相应的多张独立的路由表,提高了防火墙系统的安全性以及IP地址配置的灵活性。
安全策略(Policy):
Juniper防火墙在定义策略时,主要需要设定源IP地址、目的IP地址、网络服务以及防火墙的动作。
在设定网络服务时,Juniper防火墙已经内置预设了大量常见的网络服务类型,同时,也可以由客户自行定义网络服务。
在客户自行定义通过防火墙的服务时,需要选择网络服务的协议,是UDP、TCP还是其它,需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。
因此,通过对网络服务的定义,以及IP地址的定义,使Juniper防火墙的策略细致程度大大加强,安全性也提高了。
除了定义上述这些主要参数以外,在策略中还可以定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。
通过这些主要的安全元素和附加元素的控制,可以让系统管理员对进出防火墙的数据流量进行严格的访问控制,达到保护内网系统资源安全的目的。
映射IP(MIP):
MIP是从一个IP地址到另一个IP地址双向的一对一映射。
当防火墙收到一个目标地址为MIP的内向数据流时,通过策略控制防火墙将数据转发至MIP指向地址的主机;当MIP映射的主机发起出站数据流时,通过策略控制防火墙将该主机的源IP地址转换成MIP地址。
虚拟IP(VIP):
VIP是一个通过防火墙外网端口可用的公网IP地址的不同端口(协议端口如:
21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。
通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且这些服务器是需要对外提供各种服务的。
netscreen配置桥接模式
将要配置桥接模式的接口都不分配IP地址(或分配为0.0.0.0),然后
将它们的Zone都设置为:
v1-trust
v1-untrust
v1-dmz
的其中一个就可以了。
当配置第二个接口时系统会提示你有超过一个
接口配置为该区域的桥接接口的。
当一个接口配置v1-trust另一个配置v1-untrust时,要使两者互通需
要在Policies中添加:
“允许v1-untrust的Any访问v1-trust的Any”
与“允许v1-trust的Any访问v1-untrust的Any”就可以全通了(PS:
透明模式的策略安全等级划分与路由模式相当)。
配置管理IP需要选定一个名为Vlan1的接口,将其配置IP地址设置为
管理IP地址,并激活WEBUI管理、TELNET管理、PING功能,然后再v1
-trust口激活WEBUI管理、TELNET管理、PING功能就可以在v1-trust
的区域下通过Vlan1接口的管理IP管理防火墙了。
需要注意的是,v1-
untrust区域的机器无论进行任何设置都是不能通过Vlan1接口的管理
IP管理防火墙的。
另外,桥接模式支持像传统路由模式下的包过滤策略,但不支持NAT/
PAT等映射策略。
白皮书上的例子:
==================================
管理设置与接口
1.setinterfacevlan1ip209.122.17.252
2.setinterfacevlan1manageweb
3.setinterfacevlan1managetelnet
4.setinterfacevlan1manageping
5.setadmintelnetport5555
6.setinterfaceethernet1ip0.0.0.0/0
7.setinterfaceethernet1zonev1-trust
8.setinterfaceethernet3ip0.0.0.0/0
9.setinterfaceethernet3zonev1-untrust
10.setinterfacetrustmanageweb
11.setinterfacetrustmanagetelnet
12.setinterfacetrustmanageping
路由
13.setvroutertrust-vrroute0.0.0.0/0interfacevlan1gateway209.122.17.253metric1
(setroute0.0.0.0/0interfacevlan1gateway109.122.17.253mettric1)
地址
14.setaddressv1-trustMail_Server209.122.17.249/24
15.setaddressv1-trustFTP_Server209.122.17.250/24
策略
16.setpolicyfromv1-trusttov1-untrustanyanyanypermit
17.setpolicyfromv1-untrusttov1-trustanyMail_Servermailpermit
18.setpolicyfromv1-untrusttov1-trustanyFTP_Serverftp-getpermit
19.save
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- juniper 防火墙 常用 配置