juniper防火墙常用配置.docx

1、juniper防火墙常用配置1.Juniper 防火墙管理配置的基本信息Juniper 防火墙常用管理方式：1通过 Web 浏览器方式管理。推荐使用 IE 浏览器进行登录管理，需要知 道防火墙对应端口的管理 IP 地址；Ju ni per防火墙缺省管理端口和IP地址：Juni per防火墙缺省登录管理账号：1用户名：2密码：NS-5GT NAT/Route模式下的基本配置注：NS-5GT设备的物理接口名称叫做trust和untrust;缺省Zone包括：trust和untrust，请注意和接口区分开。1Un set in terface trust ip （清除防火墙内网端口的IP地址）；2S

2、et interface trust zone trust （将内网端口 trust 分配到 trust zone）; （设置内网端口 trust的IP地址，必须先定义zone,之后再定义IP地址）； Set interface untrust zone untrust （将外网口 untrust 分配到 untrust zone）;（设置外网口 un trust的IP地址）；（设置防火墙对外的缺省路 由网关地址）； Set policy from trust to untrust any any any permit log （定义一条由内网到 外网的访问策略。策略的方向是：由 zone t

3、rust 到 zone untrust ，源地址为：any,目标地址为：any,网络服务为：any,策略动作为：permit 允许， log：开启日志记录）； Save （保存上述的配置文件）。NS-25-208 NAT/Route模式下的基本配置我们在做 nat 地址转换的时候要注意当前内网接口和外网接口的模式,正 常的应该是： Set policy from trust to untrust any any any permit log （定义由内网到外 网的访问控制策略）； Save （保存上述的配置文件）3.Ju ni per防火墙几种常用功能的配置这里讲述的Juniper防火墙的几种

4、常用功能主要是指基于策略的 NAT的实现,包括：MIP （映射IP）、VIP （虚拟IP）和DIP,这三种常用功能主要应用于防火墙 所保护服务器提供对外服务。 3.1、MIP的配置MIP 是“一对一 ”的双向地址翻译（转换）过程。通常的情况是： 注：3.1.1、 使用 Web 浏览器方式配置 MIP1登录防火墙,将防火墙部署为三层模式（ NAT 或路由模式）；2定义 MIP：公网IP地址，Host IP:内网服务器IP地址3定义策略：在POLICY中，配置由外到内的访问控制策略，以此允许来自外部网络对内 部网络服务器应用的访问。3.1.2、 使用命令行方式配置 MIP1配置接口参数2定义 MI

5、P3定义策略set policy from untrust to trust any mip(1.1.1.5) http permitsave3.2、VIP的配置MIP是一个公网IP地址对应一个私有IP地址，是一对一的映射关系；而 VIP是一个公网IP地址的不同端口（协议端口如：21、25、110.443等）与内部多个私有IP地址的不同服务端口的映射关 系。通常应用在只有很少的公网IP地址，却拥有多个私有IP地址的服务器，并 且，这些服务器是需要对外提供各种服务的。注：3.2.1 、使用 Web 浏览器方式配置 VIP1登录防火墙，配置防火墙为三层部署模式。2添加 VIP：3添加与该VIP公网

6、地址相关的访问控制策略。3.2.2、使用命令行方式配置 VIP1. Update Config File位置，点选：Save to file,将当前的防火墙设备的配置文件导出为一个无后缀名的可编辑 文本文件。配置文件的导出（ CLI）：ns208-save config from flash to tftp 1.1.7.25015Jun03.cfg4.1.2、配置文件的导入配置文件的导入（ WebUI）：在 Configuration Update Config File位置，1、 点选：Merge to Curre nt Con figuration，覆盖当前配置并保留不同之处；2、 点选：

7、Replace Current Configuration 替换当前配置文件。导入完成之后,防火墙 设备会自动重新启动,读取新的配置文件并运行。配置文件的导入（ CLI）：ns208-save config from tftp 1.1.7.25015June03.cfgto flash 或者 ns208- save config from tftp 1.1.7.250 15June03.cfg merge4.2、 防火墙软件（ScreenOS更新关于 ScreenOS：Juniper防火墙的OS软件是可以升级的，一般每一到两个月会有一个新的 OS版本发布，OS版本如：5.0.0R11.0,其中

8、R前面的5.0.0是大版本号，这个版 本号的变化代表着功能的变化；R后面的11.0是小版本号，这个号码的变化代 表着BUG的完善，因此一般建议，在大版本号确定的情况下，选择小版本号大 的OS作为当前设备的OSo关于OS升级注意事项：升级OS需要一定的时间，根据设备性能的不同略有差异，一般情况下大约 需要5分钟的时间。在升级的过程中，一定要保持电源的供应、网线连接的稳 定，最好是将防火墙从网络中暂时取出，待 OS升级完成后再将防火墙设备接入网络。Scree nOS升级（WebUI）:Configuration Update ScreenOS/KeyosScreenOS升级（CL）:ns208-

9、save software from tftp 1.1.7.250 newimage to flash4.3、 防火墙恢复密码及出厂配置的方法当防火墙密码遗失的情况下，我们只能将防火墙恢复到出厂配置，方法 是：记录下防火墙的序列号(又称 Serial Number,在防火墙机身上面可找 到)；使用控制线连接防火墙的Console端口并重起防火墙； 防火墙正常启动到登录界面，是用记录下来的序列号作为登录的用户名 / 密码，根据防火墙的提示恢复到出厂配置。5、Juniper防火墙的一些概念安全区( Security Zone)：Juniper防火墙增加了全新的安全区域(Security Zone)

10、的概念，安全区域 是一个逻辑的结构，是多个处于相同属性区域的物理接口的集合。当不同安全 区域之间相互通讯时，必须通过事先定义的策略检查才能通过；当在同一个安 全区域进行通讯时，默认状态下允许不通过策略检查，经过配置后也可以强制 进行策略检查以提高安全性。安全区域概念的出现，使防火墙的配置能更灵活同现有的网络结构相结 合。以下图为例，通过实施安全区域的配置，内网的不同部门之间的通讯也必 须通过策略的检查，进一步提高的系统的安全。接口( Interface)：信息流可通过物理接口和子接口进出安全区(Security Zo n。为了使网络 信息流能流入和流出安全区，必须将一个接口绑定到一个安全区，如

11、果属于第 3 层安全区，则需要给接口分配一个 IP 地址。虚拟路由器( Virtual Router)：Juni per防火墙支持虚拟路由器技术，在一个防火墙设备里，将原来单一路 由方式下的单一路由表，进化为多个虚拟路由器以及相应的多张独立的路由 表，提高了防火墙系统的安全性以及IP地址配置的灵活性。安全策略( Policy)：Juniper防火墙在定义策略时，主要需要设定源 IP地址、目的IP地址、网络服务以及防火墙的动作。在设定网络服务时， Ju ni per防火墙已经内置预设了大量常见的网络服务类型，同时，也可以由客户自行定义网络服务。在客户自行定义通过防火墙的服务时，需要选择网络服务的

12、协议，是UDP、TCP还是其它，需要定义源端口或端口范围、目的端口或端口范围、网络 服务在无流量情况下的超时定义等。因此，通过对网络服务的定义，以及IP地址的定义，使Juniper防火墙的策 略细致程度大大加强，安全性也提高了。除了定义上述这些主要参数以外，在策略中还可以定义用户的认证、在策 略里定义是否要做地址翻译、带宽管理等功能。通过这些主要的安全元素和附 加元素的控制，可以让系统管理员对进出防火墙的数据流量进行严格的访问控 制，达到保护内网系统资源安全的目的。映射 IP（MIP）：MIP 是从一个 IP 地址到另一个 IP 地址双向的一对一映射。当防火墙收到 一个目标地址为 MIP 的内

13、向数据流时，通过策略控制防火墙将数据转发至 MIP 指向地址的主机；当MIP映射的主机发起出站数据流时，通过策略控制防火墙 将该主机的源 IP 地址转换成 MIP 地址。虚拟 IP（VIP）：VIP是一个通过防火墙外网端口可用的公网IP地址的不同端口（协议端口 如：21、25、110等）与内部多个私有IP地址的不同服务端口的映射关系。通 常应用在只有很少的公网IP地址，却拥有多个私有IP地址的服务器，并且这些 服务器是需要对外提供各种服务的。将要配置桥接模式的接口都不分配IP地址（或分配为0.0.0.0）,然后将它们的Zone都设置为：v1-trustv1-untrustv1-dmz的其中一个

14、就可以了。当配置第二个接口时系统会提示你有超过一个接口配置为该区域的桥接接口的。当一个接口配置 v1-trust 另一个配置 v1- untrust 时，要使两者互通需要在 Policies 中添加：“允许 v1-untrust 的 Any 访问 v1-trust 的 Any”与允许v1-trust的Any访问v1-untrust的Any”就可以全通了（ PS透明模式的策略安全等级划分与路由模式相当）。配置管理IP需要选定一个名为Vian1的接口，将其配置IP地址设置为管理IP地址，并激活 WEB UI管理、TELNET!理、PING功能，然后再v1 -trust 口激活 WEB UI管理、T

15、ELNET管理、PING功能就可以在v1-trust 的区域下通过Vian1接口的管理IP管理防火墙了。需要注意的是，v1- untrust 区域的机器无论进行任何设置都是不能通过 Vian1 接口的管理 IP管理防火墙的。另外，桥接模式支持像传统路由模式下的包过滤策略，但不支持 NAT/ PAT等映射策略。白皮书上的例子：管理设置与接口1.set interface vian1 ip 209.122.17.2522.set interface vian1 manage web4.set interface vlan1 manage ping10. set interface trust manage web12. set interface trust manage ping路由metric 1地址策略16.set policy from v1-trust to v1-untrust any any any permit17.set policy from v1-untrust to v1-trust any Mail_Server mail permit18.set policy from v1-untrust to v1-trust any FTP_Server ftp-get permit19.save