juniper防火墙配置文档

《juniper防火墙配置文档》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

目录1、前言.............................................................................................................................41.1、JUNIPER防火墙配置概述........................................................................................41.2、JUNIPER防火墙管理配置的基本信息......................................................................41.3、JUNIPER防火墙的常用功能.....................................................................................52、JUNIPER防火墙三种部署模式及基本配置...................................................................62.1、NAT模式................................................................................................................62.2、ROUTE-路由模式....................................................................................................72.3、透明模式................................................................................................................82.4、基于向导方式的NAT/ROUTE模式下的基本配置......................................................82.5、基于非向导方式的NAT/ROUTE模式下的基本配置................................................172.5.1、NS-5GTNAT/Route模式下的基本配置.........................................................182.5.2、NS-25-208NAT/Route模式下的基本配置.....................................................192.6、基于非向导方式的透明模式下的基本配置............................................................203、JUNIPER防火墙几种常用功能的配置........................................................................213.1、MIP的配置...........................................................................................................213.1.1、使用Web浏览器方式配置MIP.......................................................................223.1.2、使用命令行方式配置MIP...............................................................................233.2、VIP的配置...........................................................................................................243.2.1、使用Web浏览器方式配置VIP........................................................................243.2.2、使用命令行方式配置VIP...............................................................................25 3.3、DIP的配置...........................................................................................................263.3.1、使用Web浏览器方式配置DIP........................................................................263.3.2、使用命令行方式配置DIP...............................................................................284、JUNIPER防火墙IPSECVPN的配置...........................................................................284.1、站点间IPSECVPN配置：STAICIP-TO-STAICIP......................................................284.1.1、使用Web浏览器方式配置..............................................................................294.1.2、使用命令行方式配置.....................................................................................334.2、站点间IPSECVPN配置：STAICIP-TO-DYNAMICIP.................................................354.2.1、使用Web浏览器方式配置..............................................................................364.2.1、使用命令行方式配置.....................................................................................395、JUNIPER防火墙的HA（高可用性）配置...................................................................425.1、使用WEB浏览器方式配置....................................................................................425.2、使用命令行方式配置............................................................................................446、JUNIPER防火墙一些实用工具...................................................................................466.1、防火墙配置文件的导出和导入.............................................................................466.1.1、配置文件的导出............................................................................................466.1.2、配置文件的导入............................................................................................466.2、防火墙软件（SCREENOS）更新..........................................................................476.3、防火墙恢复密码及出厂配置的方法......................................................................487、JUNIPER防火墙的一些概念......................................................................................48关于本手册的使用： ①本手册更多的从实际使用的角度去编写，如果涉及到的一些概念上的东西表述不够透彻、清晰，请使用者自行去找一些资料查证；②本手册在编写的过程中对需要使用者特别注的地方，都有“注”标识，请大家仔细阅读相关内容；对于粗体、红、蓝色标注的地方也需要多注意；③本着技术共享的原则，我们编写了该手册，希望对在销售、使用Juniper防火墙的相应技术人员有所帮助，大家在使用过程中有任何建议可反馈到：chuang_li@synnex.com.hk；jiajun_xiong@synnex.com.hk；④本手册归“联强国际（香港）有限公司”所有，严禁盗版。1、前言我们制作本安装手册的目的是使初次接触Juniper网络安全防火墙设备（在本安装手册中简称为“Juniper防火墙”）的工程技术人员，可以通过此安装手册完成对Juniper防火墙基本功能的实现和应用。1.1、Juniper防火墙配置概述Juniper防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求；但是由于部署模式及功能的多样性使得Juniper防火墙在实际部署时具有一定的复杂性。在配置Juniper防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对Juniper防火墙进行配置和管理。基本配置：1.确认防火墙的部署模式：NAT模式、路由模式、或者透明模式；2.为防火墙的端口配置IP地址（包括防火墙的管理IP地址），配置路由信息；3.配置访问控制策略，完成基本配置。其它配置：1.配置基于端口和基于地址的映射； 2.配置基于策略的VPN；3.修改防火墙默认的用户名、密码以及管理端口。1.2、Juniper防火墙管理配置的基本信息Juniper防火墙常用管理方式：①通过Web浏览器方式管理。推荐使用IE浏览器进行登录管理，需要知道防火墙对应端口的管理IP地址；②命令行方式。支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接两种命令行登录管理模式。Juniper防火墙缺省管理端口和IP地址：①Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理。缺省IP地址为：192.168.1.1/255.255.255.0；②缺省IP地址通常设置在防火墙的Trust端口上（NS-5GT）、最小端口编号的物理端口上（NS-25/50/204/208/SSG系列）、或者专用的管理端口上（ISG-1000/2000,NS-5200/5400）。Juniper防火墙缺省登录管理账号：①用户名：netscreen；②密码：netscreen。 1.3、Juniper防火墙的常用功能在一般情况下，防火墙设备的常用功能包括：透明模式的部署、NAT/路由模式的部署、NAT的应用、MIP的应用、DIP的应用、VIP的应用、基于策略VPN的应用。2、Juniper防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：①基于TCP/IP协议三层的NAT模式；②基于TCP/IP协议三层的路由模式；③基于二层协议的透明模式。2.1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust区（外网或者公网）的IP数据包包头中的两个组件进行转换：源IP地址和源端口号。防火墙使用Untrust区（外网或者公网）接口的IP地址替换始发端主机的源IP地址；同时使用由防火墙生成的任意端口号替换源端口号。NAT模式应用的环境特征：①注册IP地址（公网IP地址）的数量不足； ②内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet；③内部网络中有需要外显并对外提供服务的服务器。2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP数据包包头中的源地址和端口号保持不变。①与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射IP(MIP)和虚拟IP(VIP)地址；②与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。路由模式应用的环境特征：①注册IP（公网IP地址）的数量较多；②非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；③防火墙完全在内网中部署应用。2.3、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2层交换机或者桥接器，防火墙对于用户来说是透明的。 透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点：①不需要修改现有网络规划及配置；②不需要为到达受保护服务器创建映射或虚拟IP地址；③在防火墙的部署过程中，对防火墙的系统资源消耗最低。2.4、基于向导方式的NAT/Route模式下的基本配置Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web浏览器配置向导完成。注：要启动配置向导，则必须保证防火墙设备处于出厂状态。例如：新的从未被调试过的设备，或者经过命令行恢复为出厂状态的防火墙设备。通过Web浏览器登录处于出厂状态的防火墙时，防火墙的缺省管理参数如下：①缺省IP：192.168.1.1/255.255.255.0；②缺省用户名/密码：netscreen/netscreen；注：缺省管理IP地址所在端口参见在前言部份讲述的“Juniper防火墙缺省管理端口和IP地址”中查找！！在配置向导实现防火墙应用的同时，我们先虚拟一个防火墙设备的部署环境，之后，根据这个环境对防火墙设备进行配置。防火墙配置规划：①防火墙部署在网络的Internet出口位置，内部网络使用的IP地址为192.168.1.0/255.255.255.0所在的网段，内部网络计算机的网关地址为防火墙内网端口的IP地址：192.168.1.1； ②防火墙外网接口IP地址（通常情况下为公网IP地址，在这里我们使用私网IP地址模拟公网IP地址）为：10.10.10.1/255.255.255.0，网关地址为：10.10.10.251要求：实现内部访问Internet的应用。注：在进行防火墙设备配置前，要求正确连接防火墙的物理链路；调试用的计算机连接到防火墙的内网端口上。1.通过IE或与IE兼容的浏览器（推荐应用微软IE浏览器）使用防火墙缺省IP地址登录防火墙（建议：保持登录防火墙的计算机与防火墙对应接口处于相同网段，直接相连）。2.使用缺省IP登录之后，出现安装向导：注：对于熟悉Juniper防火墙配置的工程师，可以跳过该配置向导，直接点选：No，skipthewizardandgostraighttotheWebUImanagementsessioninstead，之后选择Next，直接登录防火墙设备的管理界面。3.使用向导配置防火墙，请直接选择：Next，弹出下面的界面： 4.“欢迎使用配置向导”，再选择Next。注：进入登录用户名和密码的修改页面，Juniper防火墙的登录用户名和密码是可以更改的，这个用户名和密码的界面修改的是防火墙设备上的根用户，这个用户对于防火墙设备来说具有最高的权限，需要认真考虑和仔细配置，保存好修改后的用户名和密码。5.在完成防火墙的登录用户名和密码的设置之后，出现了一个比较关键的选择，这个选择决定了防火墙设备是工作在路由模式还是工作在NAT模式：选择EnableNAT，则防火墙工作在NAT模式；不选择EnableNAT，则防火墙工作在路由模式。6.防火墙设备工作模式选择，选择：Trust-UntrustMode模式。这种模式是应用最多的模式，防火墙可以被看作是只有一进一出的部署模式。注：NS-5GT防火墙作为低端设备，为了能够增加低端产品应用的多样性，Juniper在NS-5GT的OS中独立开发了几种不同的模式应用于不同的环境。目前，除NS-5GT以外，Juniper其他系列防火墙不存在另外两种模式的选择。7.完成了模式选择，点击“Next”进行防火墙外网端口IP配置。外网端口IP配置有三个选项分别是：DHCP自动获取IP地址；通过PPPoE拨号获得IP地址；手工设置静态IP地址，并配置子网掩码和网关IP地址。 在这里，我们选择的是使用静态IP地址的方式，配置外网端口IP地址为：10.10.10.1/255.255.255.0，网关地址为：10.10.10.251。8.完成外网端口的IP地址配置之后，点击“Next”进行防火墙内网端口IP配置：9.在完成了上述的配置之后，防火墙的基本配置就完成了，点击“Next”进行DHCP服务器配置。注：DHCP服务器配置在需要防火墙在网络中充当DHCP服务器的时候才需要配置。否则请选择“NO”跳过。注：上面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能，由防火墙设备给内部计算机用户自动分配IP地址，分配的地址段为：192.168.1.100-192.168.1.150一共51个IP地址，在分配IP地址的同时，防火墙设备也给计算机用户分配了DNS服务器地址，DNS用于对域名进行解析，如：将错误！超链接引用无效。地址：202.108.33.32。如果计算机不能获得或设置DNS服务器地址，无法访问互联网。10.完成DHCP服务器选项设置，点击“Next”会弹出之前设置的汇总信息：11.确认配置没有问题，点击“Next”会弹出提示“Finish”配置对话框：在该界面中，点选：Finish之后，该Web页面会被关闭，配置完成。 此时防火墙对来自内网到外网的访问启用基于端口地址的NAT，同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略：策略：策略方向由Trust到Untrust，源地址：ANY，目标地址：ANY，网络服务内容：ANY；策略作用：允许来自内网的任意IP地址穿过防火墙访问外网的任意地址。重新开启一个IE页面，并在地址栏中输入防火墙的内网端口地址，确定后，出现下图中的登录界面。输入正确的用户名和密码，登录到防火墙之后，可以对防火墙的现有配置进行修改。总结：上述就是使用Web浏览器通过配置向导完成的防火墙NAT或路由模式的应用。通过配置向导，可以在不熟悉防火墙设备的情况下，配置简单环境的防火墙应用。2.5、基于非向导方式的NAT/Route模式下的基本配置基于非向导方式的NAT和Route模式的配置建议首先使用命令行开始，最好通过控制台的方式连接防火墙，这个管理方式不受接口IP地址的影响。注：在设备缺省的情况下，防火墙的信任区（TrustZone）所在的端口是工作在NAT模式的，其它安全区所在的端口是工作在路由模式的。基于命令行方式的防火墙设备部署的配置如下（网络环境同上一章节所讲述的环境）：2.5.1、NS-5GTNAT/Route模式下的基本配置注：NS-5GT设备的物理接口名称叫做trust和untrust；缺省Zone包括：trust和untrust，请注意和接口区分开。 ①Unsetinterfacetrustip（清除防火墙内网端口的IP地址）；②Setinterfacetrustzonetrust（将内网端口分配到trustzone）；③Setinterfacetrustip192.168.1.1/24（设置内网端口的IP地址，必须先定义zone，之后再定义IP地址）；④Setinterfaceuntrustzoneuntrust（将外网口分配到untrustzone）；⑤Setinterfaceuntrustip10.10.10.1/24（设置外网口的IP地址）；⑥Setroute0.0.0.0/0interfaceuntrustgateway10.10.10.251（设置防火墙对外的缺省路由网关地址）；⑦Setpolicyfromtrusttountrustanyanyanypermitlog（定义一条由内网到外网的访问策略。策略的方向是：由zonetrust到zoneuntrust，源地址为：any，目标地址为：any，网络服务为：any，策略动作为：permit允许，log：开启日志记录）；⑧Save（保存上述的配置文件）。2.5.2、NS-25-208NAT/Route模式下的基本配置①Unsetinterfaceethernet1ip（清除防火墙内网口缺省IP地址）；②Setinterfaceethernet1zonetrust（将ethernet1端口分配到trustzone）； ③Setinterfaceethernet1ip192.168.1.1/24（定义ethernet1端口的IP地址）；④Setinterfaceethernet3zoneuntrust（将ethernet3端口分配到untrustzone）；⑤Setinterfaceethernet3ip10.10.10.1/24（定义ethernet3端口的IP地址）；⑥Setroute0.0.0.0/0interfaceethernet3gateway10.10.10.251（定义防火墙对外的缺省路由网关）；⑦Setpolicyfromtrusttountrustanyanyanypermitlog（定义由内网到外网的访问控制策略）；⑧Save（保存上述的配置文件）注：上述是在命令行的方式上实现的NAT模式的配置，因为防火墙出厂时在内网端口（trustzone所属的端口）上启用了NAT，所以一般不用特别设置，但是其它的端口则工作在路由模式下，例如：untrust和DMZ区的端口。如果需要将端口从路由模式修改为NAT模式，则可以按照如下的命令行进行修改：①Setinterfaceethernet2NAT（设置端口2为NAT模式）②Save总结：①NAT/Route模式做防火墙部署的主要模式，通常是在一台防火墙上两种模式混合进行（除非防火墙完全是在内网应用部署，不需要做NAT-地址转换，这种情况下防火墙所有端口都处于Route模式，防火墙首先作为一台路由器进行部署）；②关于配置举例，NS-5GT由于设备设计上的特殊性，因此专门列举加以说明；Juniper在2006年全新推出的SSG系列防火墙，除了端口命名不一样，和NS-25等设备管理配置方式一样。 2.6、基于非向导方式的透明模式下的基本配置实现透明模式配置建议采用命令行的方式，因为采用Web的方式实现时相对命令行的方式麻烦。通过控制台连接防火墙的控制口，登录命令行管理界面，通过如下命令及步骤进行二层透明模式的配置：①Unsetinterfaceethernet1ip（将以太网1端口上的默认IP地址删除）；②Setinterfaceethernet1zonev1-trust（将以太网1端口分配到v1-trustzone：基于二层的安全区，端口设置为该安全区后，则端口工作在二层模式，并且不能在该端口上配置IP地址）；③Setinterfaceethernet2zonev1-dmz（将以太网2端口分配到v1-dmzzone）；④Setinterfaceethernet3zonev1-untrust（将以太网3端口分配到v1-untrustzone）；⑤Setinterfacevlan1ip192.168.1.1/24（设置VLAN1的IP地址为：192.168.1.1/255.255.255.0，该地址作为防火墙管理IP地址使用）；⑥Setpolicyfromv1-trusttov1-untrustanyanyanypermitlog（设置一条由内网到外网的访问策略）；⑦Save（保存当前的配置）；总结：①带有V1-字样的zone为基于透明模式的安全区，在进行透明模式的应用时，至少要保证两个端口的安全区工作在二层模式；②虽然Juniper防火墙可以工作在混合模式下（二层模式和三层模式的混合应用），但是通常情况下，建议尽量使防火墙工作在一种模式下（三层模式可以混用：NAT和路由）。 3、Juniper防火墙几种常用功能的配置这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现，包括：MIP、VIP和DIP，这三种常用功能主要应用于防火墙所保护服务器提供对外服务。3.1、MIP的配置MIP是“一对一”的双向地址翻译（转换）过程。通常的情况是：当你有若干个公网IP地址，又存在若干的对外提供网络服务的服务器（服务器使用私有IP地址），为了实现互联网用户访问这些服务器，可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射（MIP），并通过策略实现对服务器所提供服务进行访问控制。MIP应用的网络拓扑图：注：MIP配置在防火墙的外网端口（连接Internet的端口）。3.1.1、使用Web浏览器方式配置MIP①登录防火墙，将防火墙部署为三层模式（NAT或路由模式）；②定义MIP：Network=>Interface=>ethernet2=>MIP，配置实现MIP的地址映射。MappedIP：公网IP地址，HostIP：内网服务器IP地址③定义策略：在POLICY中，配置由外到内的访问控制策略，以此允许来自外部网络对内部网络服务器应用的访问。3.1.2、使用命令行方式配置MIP ①配置接口参数setinterfaceethernet1zonetrustsetinterfaceethernet1ip10.1.1.1/24setinterfaceethernet1natsetinterfaceethernet2zoneuntrustsetinterfaceethernet2ip1.1.1.1/24②定义MIPsetinterfaceethernet2mip1.1.1.5host10.1.1.5netmask255.255.255.255vroutertrust-vr③定义策略setpolicyfromuntrusttotrustanymip(1.1.1.5)httppermitsave3.2、VIP的配置MIP是一个公网IP地址对应一个私有IP地址，是一对一的映射关系；而VIP是一个公网IP地址的不同端口（协议端口如：21、25、110等）与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址，却拥有多个私有IP地址的服务器，并且，这些服务器是需要对外提供各种服务的。VIP应用的拓扑图：注：VIP配置在防火墙的外网连接端口上（连接Internet的端口）。3.2.1、使用Web浏览器方式配置VIP①登录防火墙，配置防火墙为三层部署模式。 ②添加VIP：Network=>Interface=>ethernet8=>VIP③添加与该VIP公网地址相关的访问控制策略。3.2.2、使用命令行方式配置VIP①配置接口参数setinterfaceethernet1zonetrustsetinterfaceethernet1ip10.1.1.1/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip1.1.1.1/24②定义VIPsetinterfaceethernet3vip1.1.1.1080http10.1.1.10③定义策略setpolicyfromuntrusttotrustanyvip(1.1.1.10)httppermitsave 注：VIP的地址可以利用防火墙设备的外网端口地址实现（限于低端设备）。3.3、DIP的配置DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下，通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址，并实现对外网（互联网）的访问，这种应用存在一定的局限性。解决这种局限性的办法就是DIP，在内部网络IP地址外出访问时，动态转换为一个连续的公网IP地址池中的IP地址。DIP应用的网络拓扑图：3.3.1、使用Web浏览器方式配置DIP①登录防火墙设备，配置防火墙为三层部署模式；②定义DIP：Network=>Interface=>ethernet3=>DIP，在定义了公网IP地址的untrust端口定义IP地址池；③定义策略：定义由内到外的访问策略，在策略的高级（ADV）部分NAT的相关内容中，启用源地址NAT，并在下拉菜单中选择刚刚定义好的DIP地址池，保存策略，完成配置；策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT。 3.3.2、使用命令行方式配置DIP①配置接口参数setinterfaceethernet1zonetrustsetinterfaceethernet1ip10.1.1.1/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip1.1.1.1/24②定义DIPsetinterfaceethernet3dip51.1.1.301.1.1.30③定义策略setpolicyfromtrusttountrustanyanyhttpnatsrcdip-id5permitsave4、Juniper防火墙IPSecVPN的配置Juniper所有系列防火墙都支持IPSecVPN，其配置方式有多种，包括：基于策略的VPN、基于路由的VPN、集中星形VPN和背靠背VPN等。在这里，我们主要介绍最常用的VPN模式：基于策略的VPN。站点间（Site-to-Site）的VPN是IPSecVPN的典型应用，这里我们介绍两种站点间基于策略VPN的实现方式：站点两端都具备静态公网IP地址；站点两端其中一端具备静态公网IP地址，另一端动态公网IP地址。 4.1、站点间IPSecVPN配置：staicip-to-staicip当创建站点两端都具备静态IP的VPN应用中，位于两端的防火墙上的VPN配置基本相同，不同之处是在VPNgateway部分的VPN网关指向IP不同，其它部分相同。VPN组网拓扑图：staicip-to-staicip4.1.1、使用Web浏览器方式配置①登录防火墙设备，配置防火墙为三层部署模式；②定义VPN第一阶段的相关配置：VPNs=>AutokeyAdwanced=>Gateway配置VPNgateway部分，定义VPN网关名称、定义“对端VPN设备的公网IP地址”为本地VPN设备的网关地址、定义预共享密钥、选择发起VPN服务的物理端口；③在VPNgateway的高级（Advanced）部分，定义相关的VPN隧道协商的加密算法、选择VPN的发起模式；④配置VPN第一阶段完成显示列表如下图； ⑤定义VPN第二阶段的相关配置：VPNs=>AutokeyIKE在AutokeyIKE部分，选择第一阶段的VPN配置；⑥在VPN第二阶段高级（Advances）部分，选择VPN的加密算法；⑦配置VPN第二阶段完成显示列表如下图；⑧定义VPN策略，选择地址和服务信息，策略动作选择为：隧道模式；VPN隧道选择为：刚刚定义的隧道，选择是否设置为双向策略； 4.1.2、使用命令行方式配置CLI(东京)①配置接口参数setinterfaceethernet1zonetrustsetinterfaceethernet1ip10.1.1.1/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip1.1.1.1/24②定义路由setvroutertrust-vrroute0.0.0.0/0interfaceethernet3gateway1.1.1.250③定义地址setaddresstrustTrust_LAN10.1.1.0/24setaddressuntrustparis_office10.2.2.0/24④定义IPSecVPNsetikegatewayto_parisaddress2.2.2.2mainoutgoing-interfaceethernet3preshareh1p8A24nG5proposalpre-g2-3des-shasetvpntokyo_parisgatewayto_parissec-levelcompatible⑤定义策略setpolicytopname"To/FromParis"fromtrusttountrustTrust_LANparis_officeanytunnelvpntokyo_paris setpolicytopname"To/FromParis"fromuntrusttotrustparis_officeTrust_LANanytunnelvpntokyo_parissaveCLI(巴黎)①定义接口参数setinterfaceethernet1zonetrustsetinterfaceethernet1ip10.2.2.1/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip2.2.2.2/24②定义路由setvroutertrust-vrroute0.0.0.0/0interfaceethernet3gateway2.2.2.250③定义地址setaddresstrustTrust_LAN10.2.2.0/24setaddressuntrusttokyo_office10.1.1.0/24④定义IPSecVPNsetikegatewayto_tokyoaddress1.1.1.1mainoutgoing-interfaceethernet3preshareh1p8A24nG5proposalpre-g2-3des-shasetvpnparis_tokyogatewayto_tokyosec-levelcompatible⑤定义策略setpolicytopname"To/FromTokyo"fromtrusttountrustTrust_LANtokyo_office anytunnelvpnparis_tokyosetpolicytopname"To/FromTokyo"fromuntrusttotrusttokyo_officeTrust_LANanytunnelvpnparis_tokyosave4.2、站点间IPSecVPN配置：staicip-to-dynamicip在站点间IPSecVPN应用中，有一种特殊的应用，即在站点两端的设备中，一端拥有静态的公网IP地址，而另外一端只有动态的公网IP地址，以下讲述的案例是在这种情况下，Juniper防火墙如何建立IPSecVPN隧道。基本原则：在这种IPSecVPN组网应用中，拥有静态公网IP地址的一端作为被访问端出现，拥有动态公网IP地址的一端作为VPN隧道协商的发起端。和站点两端都具备静态IP地址的配置的不同之处在于VPN第一阶段的相关配置，在主动发起端（只有动态公网IP地址一端）需要指定VPN网关地址，需配置一个本地ID，配置VPN发起模式为：主动模式；在站点另外一端（拥有静态公网IP地址一端）需要指定VPN网关地址为对端设备的ID信息，不需要配置本地ID，其它部分相同。IPSecVPN组网拓扑图：staicip-to-dynamicip4.2.1、使用Web浏览器方式配置①VPN第一阶段的配置：动态公网IP地址端。 VPN的发起必须由本端开始，动态地址端可以确定对端防火墙的IP地址，因此在VPN阶段一的配置中，需指定对端VPN设备的静态IP地址。同时，在本端设置一个LocalID，提供给对端作为识别信息使用。②VPN第一阶段的高级配置：动态公网IP地址端。在VPN阶段一的高级配置中动态公网IP一端的VPN的发起模式应该配置为：主动模式（Aggressive）③VPN第一阶段的配置：静态公网IP地址端。在拥有静态公网IP地址的防火墙一端，在VPN阶段一的配置中，需要按照如下图所示的配置：“RemoteGatewayType”应该选择“DynamicIPAddress”，同时设置PeerID（和在动态IP地址一端设置的LocalID相同）。④VPN第二阶段配置，和在”staticip-to-staticip”模式下相同。 ⑤VPN的访问控制策略，和在”staticip-to-staticip”模式下相同。4.2.1、使用命令行方式配置CLI(设备-A)①定义接口参数setinterfaceethernet1zonetrustsetinterfaceethernet1ip10.1.1.1/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3dhcpclientsetinterfaceethernet3dhcpclientsettingsserver1.1.1.5②定义路由setvroutertrust-vrroute0.0.0.0/0interfaceethernet3③定义用户setuserpmasonpasswordNd4syst4④定义地址setaddresstrust"trustednetwork"10.1.1.0/24setaddressuntrust"mailserver"3.3.3.5/32⑤定义服务 setserviceidentprotocoltcpsrc-port0-65535dst-port113-113setgroupserviceremote_mailsetgroupserviceremote_mailaddhttpsetgroupserviceremote_mailaddftpsetgroupserviceremote_mailaddtelnetsetgroupserviceremote_mailaddidentsetgroupserviceremote_mailaddmailsetgroupserviceremote_mailaddpop3⑥定义VPNsetikegatewayto_mailaddress2.2.2.2aggressivelocal-idpmason@abc.comoutgoing-interfaceethernet3preshareh1p8A24nG5proposalpre-g2-3des-shasetvpnbranch_corpgatewayto_mailsec-levelcompatible⑦定义策略setpolicytopfromtrusttountrust"trustednetwork""mailserver"remote_mailtunnelvpnbranch_corpauthserverLocaluserpmasonsetpolicytopfromuntrusttotrust"mailserver""trustednetwork"remote_mailtunnelvpnbranch_corpsaveCLI(设备-B)①定义接口参数setinterfaceethernet2zonedmz setinterfaceethernet2ip3.3.3.3/24setinterfaceethernet3zoneuntrustsetinterfaceethernet3ip2.2.2.2/24②路由setvroutertrust-vrroute0.0.0.0/0interfaceethernet3gateway2.2.2.250③定义地址setaddressdmz"mailserver"3.3.3.5/32setaddressuntrust"branchoffice"10.1.1.0/24④定义服务setserviceidentprotocoltcpsrc-port0-65535dst-port113-113setgroupserviceremote_mailsetgroupserviceremote_mailaddidentsetgroupserviceremote_mailaddmailsetgroupserviceremote_mailaddpop3⑤定义VPNsetikegatewayto_branchdynamicpmason@abc.comaggressiveoutgoing-interfaceethernet3preshareh1p8A24nG5proposalpre-g2-3des-shasetvpncorp_branchgatewayto_branchtunnelsec-levelcompatible⑥定义策略setpolicytopfromdmztountrust"mailserver""branchoffice"remote_mailtunnelvpncorp_branchsetpolicytopfromuntrusttodmz"branchoffice""mailserver"remote_mail tunnelvpncorp_branchsave6.1、防火墙配置文件的导出和导入Juniper防火墙的配置文件的导入导出功能为用户提供了一个快速恢复当前配置的有效的手段。一旦用户不小心因为操作失误或设备损坏更换，都可以利用该功能，实现快速的防火墙配置的恢复，在最短的时间内恢复设备和网络正常工作。6.1.1、配置文件的导出配置文件的导出（WebUI）：在Configuration>update>ConfigFile位置，点选：Savetofile，将当前的防火墙设备的配置文件导出为一个无后缀名的可编辑文本文件。配置文件的导出（CLI）：ns208->saveconfigfromflashtotftp1.1.7.25015Jun03.cfg6.1.2、配置文件的导入配置文件的导入（WebUI）：在Configuration>update>ConfigFile位置，1、点选：MergetoCurrentConfiguration，覆盖当前配置并保留不同之处；2、点选：ReplaceCurrentConfiguration替换当前配置文件。导入完成之后，防火墙设备会自动重新启动，读取新的配置文件并运行。配置文件的导入（CLI）：ns208->saveconfigfromtftp1.1.7.25015June03.cfgtoflash或者ns208->saveconfigfromtftp1.1.7.25015June03.cfgmerge6.2、防火墙软件（ScreenOS）更新关于ScreenOS： Juniper防火墙的OS软件是可以升级的，一般每一到两个月会有一个新的OS版本发布，OS版本如：5.0.0R11.0，其中R前面的5.0.0是大版本号，这个版本号的变化代表着功能的变化；R后面的11.0是小版本号，这个号码的变化代表着BUG的完善，因此一般建议，在大版本号确定的情况下，选择小版本号大的OS作为当前设备的OS。关于OS升级注意事项：升级OS需要一定的时间，根据设备性能的不同略有差异，一般情况下大约需要5分钟的时间。在升级的过程中，一定要保持电源的供应、网线连接的稳定，最好是将防火墙从网络中暂时取出，待OS升级完成后再将防火墙设备接入网络。ScreenOS升级（WebUI）：Configuration>update>ScreenOS/Keys。ScreenOS升级（CLI）:ns208->savesoftwarefromtftp1.1.7.250newimagetoflash6.3、防火墙恢复密码及出厂配置的方法当防火墙密码遗失的情况下，我们只能将防火墙恢复到出厂配置，方法是：①记录下防火墙的序列号（又称SerialNumber，在防火墙机身上面可找到）；②使用控制线连接防火墙的Console端口并重起防火墙；③防火墙正常启动到登录界面，是用记录下来的序列号作为登录的用户名/密码，根据防火墙的提示恢复到出厂配置。7、Juniper防火墙的一些概念安全区（SecurityZone）： Juniper防火墙增加了全新的安全区域（SecurityZone）的概念，安全区域是一个逻辑的结构，是多个处于相同属性区域的物理接口的集合。当不同安全区域之间相互通讯时，必须通过事先定义的策略检查才能通过；当在同一个安全区域进行通讯时，默认状态下允许不通过策略检查，经过配置后也可以强制进行策略检查以提高安全性。安全区域概念的出现，使防火墙的配置能更灵活同现有的网络结构相结合。以下图为例，通过实施安全区域的配置，内网的不同部门之间的通讯也必须通过策略的检查，进一步提高的系统的安全。接口（Interface）：信息流可通过物理接口和子接口进出安全区（SecurityZone）。为了使网络信息流能流入和流出安全区，必须将一个接口绑定到一个安全区，如果属于第3层安全区，则需要给接口分配一个IP地址。虚拟路由器（VirtualRouter）：Juniper防火墙支持虚拟路由器技术，在一个防火墙设备里，将原来单一路由方式下的单一路由表，进化为多个虚拟路由器以及相应的多张独立的路由表，提高了防火墙系统的安全性以及IP地址配置的灵活性。安全策略（Policy）：Juniper防火墙在定义策略时，主要需要设定源IP地址、目的IP地址、网络服务以及防火墙的动作。在设定网络服务时，Juniper防火墙已经内置预设了大量常见的网络服务类型，同时，也可以由客户自行定义网络服务。在客户自行定义通过防火墙的服务时，需要选择网络服务的协议，是UDP、TCP还是其它，需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。因此，通过对网络服务的定义，以及IP地址的定义，使Juniper防火墙的策略细致程度大大加强，安全性也提高了。 除了定义上述这些主要参数以外，在策略中还可以定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。通过这些主要的安全元素和附加元素的控制，可以让系统管理员对进出防火墙的数据流量进行严格的访问控制，达到保护内网系统资源安全的目的。映射IP（MIP）：MIP是从一个IP地址到另一个IP地址双向的一对一映射。当防火墙收到一个目标地址为MIP的内向数据流时，通过策略控制防火墙将数据转发至MIP指向地址的主机；当MIP映射的主机发起出站数据流时，通过策略控制防火墙将该主机的源IP地址转换成MIP地址。虚拟IP（VIP）：VIP是一个通过防火墙外网端口可用的公网IP地址的不同端口（协议端口如：21、25、110等）与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址，却拥有多个私有IP地址的服务器，并且这些服务器是需要对外提供各种服务的。NetScreen防火墙支持多种管理方式：WEB管理，CLI(Telnet)管理等，由于一般调试工作中，我们最常用的也就是前面两种。（ScreenOS4.0）9!~)Xbr0e　首先，使用CONSOLE口进行配置ahg$RYx5s1.把配送的线的一端插在防火墙的CONSOLE口，线的另一端插在转换插头后插在PC的串行口上。xz[.sQ2.打开WINDOWS的附件-》通讯-》超级终端，选择插有CONSOLE线的串口连接。（设置串口属性：9600-8-无-硬件）_ikl$7fWV53.出现提示符号后输入帐号密码进入设置命令行界面。（默认帐号：Netscreen；密码Netscreen）kKKvRYF.g4．进入Netscreen命令行管理界面QnWW0B~)　Web管理连接设置oB !2|91.设置接口IP；p}o>_#&O"　　若所有接口均未配置IP（Netscreen设备初始化设置），需设置一个端口IP，用于连接web管理界面，这里设置trust端口；在命令行模式下输入：Gr*5Vg　　ns5XT－>setinttrustipeB~EiC6Y命令说明：A.B.C.D为IP地址，通常设置为一个内网地址，E为IP地址的掩码位，通常设为24。232C? 　　此时通过getinterface命令可以看到端口状态的信息（类似CISCOSHOW　接口命令）n,l~/6^2.启动接口的web管理功能；YuI+N　　ns5XT－>setinttrustmanagewebKrds"b3.连通PC和防火墙间的网络，通过浏览器的web界面进行具体功能设置IH"kv8T7　　建立对于NS-5,NS-10,NS-100防火墙，PC与trust口，DMZ口采用直通电缆连接，PC与untrust口的连接采用交叉线。对于NS-25，NS-200及以上产品，PC与防火墙所有端口的连接都采用直通电缆。Pq29r^68　　注意：将PC网卡的IP地址设置成与防火墙相应端口的管理IP同一个网段内；Ly80 wsT　　打开IE浏览器，键入防火墙的管理IP，打开登陆画面；~B/RL)+zkdx　防火墙基本设置： 9'^D-T　1.设置访问超时时间：J+
^zAY^　Web:l(9I?o"　在Web中的Configuration>Admin>Management中的EnabelWebManagementIdleTimeout中填入访问超时的分钟数，并在前面打勾。x`(-,HUc　CLI:GS1Xu>9^0"NS5XT－>setadminauthtimeoutt1hEDG^oe2.Netscreen的管理权限: g~GK(>^!设置超级管理员(Root) QpHWEB：qHLtv,|{进入Configuration>Admin>Administrators，在这里可以管理所有的管理员。wh+@k5u
CLI：/|nfbV_NS5XT－>setadminname2Jb@C
NS5XT－>setadminpassword!no_Dp~+添加本地管理员U8O8qsWEB：*2$|HB点击New链接，打开配置页。输入管理员登录名和密码，指定权限（可选ALL或Read_ONLY，ALL表示该管理员具有更改配置的权限，READ_ONLY表示该管理员只能查看配置，无权更改）。c|q]5oQo CLI:-:H0!S_NS5XT－>setadminuserpasswordprivilegeDNS页面，可配置HostName（主机名），DomainName（域名），PrimaryDNSServer（主域名服务器），SecondDNSServer（副哉名服务器），还有DNS每天更新的时间。配置完后按Apply按键实施。cV!
cDCLI： A/pw　NS5XT－>sethostname_p.,7v　NS5XT－>setdomaincLq]H>=;　NS5XT－>setDNShost4|tV9wS* 　4.设置Zone（安全区域）Nb`U(P@O!　Web：zu2ZfGOW打开Network>Zones页面，可配置已存在于Netscreen设备的所有Zone(并不是所有Zone都可以配置，有许多默认的Zone是不允许配置的，在Configure中不会出现Edit)。按New按键可以新增一个Zone。*S<]`+BCLI：Lf4l6sNS5XT－>setzonevrouter84[J_F[5.设置Interface(接口)0bbGm?WEB："L]9:Gm_打开Network>Interfaces，选择需要配置的接口对应的属性页（有四个可选接口Trust、Untrust、DMZ和Tunnel，其中Trust、Untrust和DMZ为物理接口，Tunnel接口为逻辑接口，用于VPN。对于ns-5系列防火墙，无DMZ端口）。1Kbn>U点击对应接口Configure列中的Edit链接，打开接口配置窗口。（对于不同模式的Interface，进入后的配置会不同，这里用NAT模式做例子，透明模式会少一些配置的内容）[6wIZonename:设置从属的安全区域；(KLqq<FIPAddress/Netmask：设置接口的IP和掩码；tm{aOKhManageIP：设置该接口的管理用IP，该IP必须与接口IP处在同一个网络段中，如果系统IP被设为0..0.0.0，则该ManageIP默认为接口IP。=?Or?　InterfaceMode：设置接口模式，仅trust接口具有该项。可以选择NAT模式或Route模式。当trust接口工作在NAT模式时，任何进入该接口的数据包都会被强制做地址转换。当接口工作在Route模式时，防火墙的默认工作相当与一台路由器，如果要将防火墙实现基于策略的NAT功能，请将trust接口设置成此模式。V}_Gx+X　ManagementServices：选中或清除web、telnet、snmp等复选框可以启用或禁止该接口的相应管理功能。如清除web复选框，再点击save按钮后，该接口的web管理功能关闭，用户无法通过该接口的管理ip进入web管理界面，同时在该接口上的所有web管理连接都将丢失。LV_){+:$　设置完成后点击Apply按钮记录设置。>Y}iCHmCLI：zk*dYG
设置接口IP：0$I@t7a'y
NS5XT－>setinterfaceipD3-4e^zTM设置接口网关：-6t$r6&NS5XT－>setinterfacegateway5X&wo`#启动接口的管理功能：_z([t]G%(NS5XT－>setinterfacemanage^SFr'Is关闭接口的管理功能：,/XDgTYNNS5XT－>unsetinterfacemanage
#FE[k73设置Trust接口工作模式：kAz#q3!NS5XT－>setinterfacetrust--;N$O　　结合CLI和WEB方式，我们能很轻松的将NS搞定