juniper防火墙详细配置手册簿

《juniper防火墙详细配置手册簿》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

实用文案Juniper防火墙简明实用手册（版本号：V1.0）文案大全 实用文案目录1juniper中文参考手册重点章节导读31.1第二卷：基本原理31.1.1第一章：ScreenOS体系结构31.1.2第二章：路由表和静态路由31.1.3第三章：区段31.1.4第四章：接口31.1.5第五章：接口模式41.1.6第六章：为策略构建块41.1.7第七章：策略41.1.8第八章：地址转换41.1.9第十一章：系统参数51.2第三卷：管理51.2.1第一章：管理51.2.2监控NetScreen设备51.3第八卷：高可用性51.3.1NSRP51.3.2故障切换62Juniper防火墙初始化配置和操纵73查看系统概要信息84主菜单常用配置选项导航95Configration配置菜单105.1Date/Time:日期和时间105.2Update更新系统镜像和配置文件115.2.1更新ScreenOS系统镜像115.2.2更新configfile配置文件125.3Admin管理145.3.1Administrators管理员账户管理145.3.2PermittedIPs：允许哪些主机可以对防火墙进行管理15文案大全 实用文案6Networks配置菜单166.1Zone安全区166.2Interfaces接口配置186.2.1查看接口状态的概要信息186.2.2设置interface接口的基本信息186.2.3设置地址转换206.2.4设置接口SecondaryIP地址246.3Routing路由设置256.3.1查看防火墙路由表设置256.3.2创建新的路由条目267Policy策略设置277.1查看目前策略设置277.2创建策略288对象Object设置309策略Policy报告Report32文案大全 实用文案1juniper中文参考手册重点章节导读版本：Juniper防火墙5.0中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。1.1第二卷：基本原理1.1.1第一章：ScreenOS体系结构l安全区l安全区接口l策略1.1.2第二章：路由表和静态路由l配置静态路由1.1.3第三章：区段l安全区l配置安全区l功能区段：HA区段1.1.4第四章：接口l接口类型：安全区接口：物理l接口类型：安全区接口：功能区段接口l察看接口l文案大全 实用文案配置安全区接口：将接口绑定到安全区、从安全区解除接口绑定、修改接口、跟踪IP地址l二级IP地址1.1.1第五章：接口模式l透明模式lNAT模式l路由模式1.1.2第六章：为策略构建块l地址：地址条目、地址组l服务：预定义的服务、定制服务lDIP池：端口地址转换、范例：创建带有PAT的DIP池、范例：修改DIP池、扩展接口和DIPl时间表1.1.3第七章：策略l三种类型的策略l策略定义l策略应用1.1.4第八章：地址转换l地址转换简介l源网络地址转换l目的网络地址转换l映射IP地址l虚拟IP地址文案大全 实用文案1.1.1第十一章：系统参数l下载/上传设置和固件l系统时钟1.2第三卷：管理1.2.1第一章：管理l通过WEB用户界面进行管理l通过命令行界面进行管理l管理的级别：根管理员、可读/写管理员、只读管理员、定义Admin用户l保证管理信息流的安全：更改端口号、更改Admin登录名和密码、重置设备到出厂缺省设置、限制管理访问1.2.2监控NetScreen设备l储存日志信息l事件日志l信息流日志l系统日志1.3第八卷：高可用性1.3.1NSRPlNSRP概述lNSRP和NETSCREEN的操作模式lNSRP集群lVSD组文案大全 实用文案l同步1.1.1故障切换l设备故障切换(NSRP)lVSD组故障切换(NSRP)l为设备或VSD组故障切换配置对象监控文案大全 实用文案Juniper防火墙初始化配置和操纵对一台空配置的Juniper防火墙我们可以用两种方法去进行操纵：Console控制台和WEB。1.Console控制台：使用Console线连接到Juniper的防火墙上的Console口，利用超级终端用CLI命令行界面进行配置。2.使用WEB界面：Juniper防火墙上默认情况下在E1接口（trust）口有一个初始管理IP地址192.168.1.1255.255.255.0；我们可以把自己的笔记本和防火墙的E1口用一根交叉线连接起来，然后把本机的地址配置为192.168.1.X255.255.255.0，之后我们就可以在本机上通过IE浏览器登陆192.168.1.1的地址通过WEB界面对设备进行配置了。注意1：Juniper防火墙接口的WEB管理特性默认只在E1接口（trust）口才启用，也就是说我们有可能无法通过用WEB登陆其他接口进行操纵，除非我们提前已经打开了相应接口的WEB管理选项。注意2：如果Juniper防火墙上有配置，我们不知道目前E1接口的IP地址，我们可以先通过Console控制台用“getinterface”的命令看一下目前E1口的IP地址。注意3：Juniper防火墙OS5.0以上的版本支持MDI和MDIX自适应，也就是说我们的主机和E1口也可以用直通线进行互连，但这种方式有失效的时候，如果出现用交叉线互连物理也无法UP的情况，可以在Console控制台用“NS208->deletefileflash:/ns_sys_config”删除配置文件并重起防火墙的方式可以解决(Juniper的BUG)。注：系统默认登陆用户名和口令都是：“netscreen”。文案大全 实用文案1查看系统概要信息使用WEB登陆防火墙的管理地址，进入GUI管理界面，如上图所示。l左边是主配置菜单。l右边最上方是系统启动以及时间信息，右上角显示主机名。lDeviceinformation：设备信息，显示设备硬软件版本、序列号以及主机名。lInterfacelinkstatus：接口链路状态，显示接口所属区和链路UP/DOWN信息。lResourcesStatus：资源状况，显示系统CPU和内存使用率以及目前的会话和策略是系统满负荷的比例。（其中注意内存使用率是不真实的，在系统空负荷的情况下内存占用率也会很高，是系统本身设计的问题）。lThemostrecentalarms：系统最近的报警信息文案大全 实用文案lThemostrecentevents：系统最近的通告信息1主菜单常用配置选项导航在主菜单中我们经常用到的配置菜单如下，后面将针对这些常用配置选项进行详细的介绍。1.Configuration：Date/Time；Update；Admin；Auth；ReportSettings2.Network：Zones；Interfaces；Routing；NSRP3.Polices4.Objects：Addresses；Services5.Reports：Polices只要能够熟练掌握以上设置选项，就足以应对外网改造和日常维护的工作。文案大全 实用文案Configration配置菜单1.1Date/Time:日期和时间准确设置Juniper防火墙的时钟主要是为了使LOG信息都带有正确的时间以便于分析和排错，设置时钟主要有三种方法。1.用CLI命令行设置：setclockmm/dd/yyyyhh:mm:ss。2.用WEB界面使用和客户端本机的时钟同步：简单实用。3.用WEB界面配置NTP和NTP服务器的时钟同步。文案大全 实用文案Update更新系统镜像和配置文件1.1.1更新ScreenOS系统镜像文案大全 实用文案更新configfile配置文件l在这个菜单中我们可以查看目前文本形式的配置文件，把目前的配置文件导出进行备份，以及替换和更新目前的配置。l注意单选框默认是点选在“MergetoCurrentConfigration”即和目前配置融合的位置，而我们一般是要完全替换目前的配置文件的，因此一定要注意把单选框点击到“ReplaceCurrentConfigration”。l当进行配置替换的之后系统会自动重起使新配置生效。lTIP：进行配置的替换必须用ROOT用户进行登陆，用Read－Write用户进行登陆是无法进行配置的替换操纵的，只有融合配置的选项，替换目前配置的选项将会隐藏不可见，如下图所示：文案大全 实用文案l文案大全 实用文案Admin管理1.1.1Administrators管理员账户管理l只有用根ROOT用户才能够创建管理员账户。l可以进行ROOT用户账户用户名和密码的更改，但此账户不能被删除。l可以创建只读账户和读写账户，其中读写账户可以对设备的大部分配置进行更改。文案大全 实用文案PermittedIPs：允许哪些主机可以对防火墙进行管理文案大全 实用文案Networks配置菜单1.1Zone安全区l查看目前的安全区设置l安全区内必须有物理接口才会有实际意义，每一个安全区同时可以包含多个物理接口，但每一个物理接口同时只能属于一个安全区。l几个系统默认的安全区和接口：1：Trust区包含ETH1口2：Untrust区包含ETH4口3：DMZ区包含ETH3口其他区必须进行手工创建并把相应物理接口放入安全区内。l虚拟路由我们统一选Trust-Vr，多个VR对我们没有太大意义，不建议使用。文案大全 实用文案l创建新的安全区：l在输入安全区名称后其余选项均保持默认值即可。文案大全 实用文案Interfaces接口配置1.1.1查看接口状态的概要信息l接口概要显示接口的IP地址信息，所属安全区，接口类型和链路的状态。其中接口类型除非是防火墙使用透明模式，否则都会是Layer3三层的。1.1.2设置interface接口的基本信息接口基本配置包括接口的IP地址掩码，是否可以被管理，接口的模式以及接口的管理特性选项。文案大全 实用文案l最上面的几个链接是配置NAT地址转换以及IP跟踪等高级特性的。l下面那个其中需要大家配置的地方是设置此物理接口属于哪个安全区，从下拉框中点选，其他选项保持不变即可。lStaitcIP选择框是设置接口的IP地址和掩码信息的，其中有一个Mangeable的选项，只有选中我们才可以通过WEB或TELNET登陆此地址进行管理。ManageIP框保持为空的时候系统会自动把实际IP作为管理IP自动加上。l接口模式有路由模式和NAT模式：NAT模式：从此接口进入从其他口流出的流量源地址都会做转换，即使我们在策略中不引用转换地址池，源地址都会转换为出站的接口地址。路由模式：除非我们在策略定义中明确引用了转换地址池，否则源地址都不会做转换。由于路由模式比NAT模式更灵活，所以我们一般都会用路由模式。lETH1口默认是NAT模式，一定要注意把其更改为Route路由模式。文案大全 实用文案lServiceoptions服务选项：设置此接口是否允许被PING，WEB或TELNET等方式进行管理，默认情况下ETH1（内网口）的都是打开的，而ETH4口(外网口)的WEB和TELNET管理选项是关闭的，也就是说如果我们想从外网登陆ETH4口的IP进行管理，必须把相应的WEB或TELNET选项点中。l最后的配置框可以保持默认值。1.1.1设置地址转换Juniper防火墙的地址转换有三种方式：MIP-静态一对一地址转换；VIP-虚拟一对多地址转换；DIP-动态多对多地址转换。由于MIP和VIP地址转换有一些规则限制，比如要转换外网发起流量的源地址的时候，转换后的地址必须和ETH1内网口在同一个子网，否则无法配置。而DIP不受此规则的影响，同时可以完成MIP和VIP的功能，应用和设置比较灵活，因此我们建议地址转换统一采用DIP的方式。1.1.1.1配置MIP静态地址转换文案大全 实用文案l配置MIP静态地址映射的时候要注意转换后的虚拟地址要在数据流的出站接口上进行配置：例如流量从E1口入从E4口出，192.168.1.1访问外网，我们把192168.1.1的地址转换为1.1.1.1，那么这个1.1.1.1的地址的MIP是做在出站接口，也就是E4口上的。l新建MIP静态地址映射l当使用静态MIP地址映射时，对方发起的数据流的目的地地址要注意设置为MIP后的地址。文案大全 实用文案设置DIP动态地址转换lDIP动态地址转换可以实现一对一，一对多，多对一和多对多的访问。lDIP地址池和MIP一样要设置在出站接口上来实现源地址的翻译。lDIP地址池可以和出站接口不再一个网段（使用扩展IP技术）。l如果访问是多对一的（多个客户端访问一个服务器），必须使用Port-Xlate端口转换特性（默认设置，建议都使用这种方式）。l如果DIP被策略引用则无法编辑和更改，必须先移除策略后才可以编辑。l创建新的DIP地址池：文案大全 实用文案l如果DIP地址池和出站接口不在同一网段必须使用扩展IP特性，把选择框选择到下方“Inthesameastheextendedip”，并输入一个扩展IP的地址。l例如出站接口是9X.2.244.1/28，而源地址出站时我们想转换成192.168.1.X的地址，那么在扩展IP框中我们可以输入192.168.1.0/24。l扩展IP地址可以使用一个地址也可以用一个网段，推荐使用网段的方式。l同一DIP地址网段可以同时分布在多个接口上，比如9X.2.18.0虚拟地址簿可以同时设置在E1、E2和E3口上。l但同一个DIP地址只能同时设置在一个接口上，比如9X.2.18.1地址只能设置在E1或E2或E3口上，不能同时在多个接口上都设置9X.2.18.1。文案大全 实用文案设置接口SecondaryIP地址文案大全 实用文案Routing路由设置Juniper防火墙我们一般仅使用静态路由，静态路由的选路规则和路由器基本相同，例如最长掩码匹配优先，接口如果DOWN，相应静态条目会消失。1.1.1查看防火墙路由表设置l路由我们统一都设在trust-vr中（默认选项）。l只有带“*”号的才表示路由有效，等同于路由器showiproute的效果。l添加的路由条目只能删除，无法编辑。文案大全 实用文案创建新的路由条目l目标地址段可以写IP/掩码也可以写IP/前缀；如100.1.1.0255.255.255.0或者100.1.1.0/24。l下一跳默认都是点在NextHopVirtualRouterName；一定要注意改点到Gateway处，否则路由不生效。l接口和下一跳网关地址都要选择和输入。文案大全 实用文案Policy策略设置1.1查看目前策略设置l可以选择查看从某个源安全区到某个目的安全区的策略，也可以选择从ALL到ALL来查看所有的策略。lService是系统预定义或我们自定义的服务端口号。lAction动作是指策略是允许或拒绝，允许是一个对勾，拒绝是一个X，另外如果是绿色图表说明没有做源地址转换，蓝色图表说明做了源地址转换。l在Option下如果有一个小记事本的图表，说明我们要记录此数据流，当数据流通过时可以看到详细的地址转换情况。l生效：可以通过取消对勾让本策略暂时失效。文案大全 实用文案l移动：可以调整策略查找的顺序，策略的查找和匹配默认是从上到下，我们可以通过移动来控制策略生效的顺序。1.1创建策略l源地址和目的地址如果以前曾经设置过，可以用下拉菜单进行选择，否则需要在NewAddress新地址栏进行输入。l如果地址曾经输入过，做策略时我们仍在NewAddress栏中进行输入，点击确定的时候系统会出现重复IP地址条目的提示信息，但不影响策略的设置。l入侵检测的配置如果自己不是特别了解应用的特性建议不要做任何配置，保持原有默认配置不变。l在进行调试时建议打开LOG记录，看是否有数据流通过及地址转换情况。文案大全 实用文案l如果要进行源或目的地址的转换需要点击高级选项进入二级配置菜单。l源地址转换点击DIP下拉菜单后前面的选择框会自动选中。l目的地址转换必须手工点击选中前面的目标地址转换的选择框。文案大全 实用文案对象Object设置对象Object的设置主要是为了简化和方便策略的引用和设置，比如地址组和服务组等，下面我们重点介绍一下服务的设置。服务其实就是给对方提供的一些协议端口号，其中大部分的常见服务设备已经提前设置好，比如web，telnet等等，但是一些非常用的端口号，比如TCP8888等就需要我们自己进行自定义设置了。l查看自定义的服务：Objects－Services－Customl技巧：我们可以给服务一个名称，可用中文描述一个中间业务的名称，然后在策略里进行引用，这样在进行排错的时候我们就可以很方便地找到相应的策略，虽然我们也可以给策略一个名称，但在策略汇总表中是不显示出来的。文案大全 实用文案l创建一个新的服务l目标协议和端口号我们可以设置多个组合，例如TCP8888＋UDP＋ICMP等l我们一般仅设置目标端口号，源端口号不做限制，例如我们要提供一个WWW的服务，类似设置就是：TCP0655358080l如果设置允许ICMP的PING，可以设置为：ICMP80文案大全 实用文案策略Policy报告Report如果我们想看具体某一条策略是否有流量或流量的源地址、目的地址以及源和目的转换的情况我们可以在策略中点击记事本直接进行观看。另外系统也提供一个汇总的方式让我们能够方便地观测所有策略的数据流的概要信息，比如在一个时刻都有哪些业务在运行，每种业务的数据量等等。点击Reports－Polices：如上图所示，我们可以直观地看到某个时刻都有哪些业务流在进行，灰色的记事本代表没有业务，蓝色的代表有业务数据流，点击蓝色记事本可以查看业务数据流的详细信息。文案大全