JUNIPER防火墙配置维护.docx

资源描述

JUNIPER防火墙配置维护.docx

《JUNIPER防火墙配置维护.docx》由会员分享，可在线阅读，更多相关《JUNIPER防火墙配置维护.docx（32页珍藏版）》请在冰点文库上搜索。

JUNIPER防火墙配置维护.docx

JUNIPER防火墙配置维护

中兴通讯固网业务用服部

修改记录

文档编号

版本号

拟制人/修改人

审核人

拟制/修改

日期

更改原因

主要更改内容要点

无

V200801

吴鸿飞

卢小山

2008-8-4

2008年专题文档光盘编写

初稿生成

第1章防火墙的基本知识及概念1

第2章安装步骤2

2.1初始化配置2

2.2端口设置4

2.2.1设置HA端口4

2.2.2连接接口设置5

2.2.3Internet接口设置。

2.2.4设置redundant冗余接口7

2.2.5建立red1冗余接口的成员8

2.3设置路由9

2.3.1路由表选择9

2.3.2增加默认路由10

2.3.3增加内部网络的路由11

2.4NAT设置11

2.4.1设置Internet网端的NAT（地址翻译）11

2.4.2设置10.0.0.0网端的地址翻译14

2.5端口服务15

2.6定义策略18

2.6.1设置10.0.0.0网端访问防火墙内部业务处理机服务器的策略18

2.6.2内部网络访问外部网络的策略定义21

2.7双机冗余NSRP配置22

2.7.1激活 NSRP22

2.7.2设置VSDGroup23

2.7.3同步23

2.7.4监控端口24

2.7.5同步另一台配置25

2.8账号管理26

2.9配置文件备份27

2.10版本升级步骤29

第一章防火墙的基本知识及概念

摘要：

本章介绍防火墙基本知识和概念。

安全区是由一个或多个网段组成的集合，需要通过策略来对入站和出站信息流进行调整安全区是绑定了一个或多个接口的逻辑实体。

通过多种类型的NetScreen设备，用户可以定义多个安全区，确切数目可根据网络需要来确定。

除用户定义的区段外，用户还可以使用预定义的区段：

Trust、Untrust和DMZ（用于第3层操作），或者V1-Trust、V1-Untrust和V1-DMZ（用于第2层操作）2。

如果愿意，可以继续使用这些预定义区段。

也可以忽略预定义区段而只使用用户定义的区段3。

另外，用户还可以同时使用这两种区段—预定义和用户定义。

利用区段配置的这种灵活性，用户可以创建能够最好地满足用户的具体需要的网络设计。

图11网络图

第二章安装步骤

摘要：

本章介绍juniper防火墙的安装设置。

二.1初始化配置

按以下连接防火墙，然后进行初始化设置。

1．Console方式

基于Console终端配置ISG2000的准备工作如下：

●安装Windows操作系统的PC一台（装有超级终端）

●ISG2000设备自带的Console电缆一条

使用超级终端建立一个连接，通过Console电缆一端连接ISG2000，一端连接COM，COM的参数设置如图21：

图21com属性

2．基于WEB方式

在浏览器地址栏键入http:

//10.147.66.65（ISG2000设备初始IP地址192.168.1.1），如下图22：

图22IE初始化打开登陆界面

使用Console端口做初始化配置。

Juniper防火墙的初始账号和密码分别为：

netscreen

password:

netscreen

nsisg2000->sethostnameFW01----------设置主机名称

FW01->

FW01->setintmgtip10.147.66.65/27---------设置管理端口的地址

将电脑网卡地址设置成和管理端口同一网段。

3．图形登陆

打开IE浏览器，并在URL：

输入防火墙的管理地址。

图23IE打开登陆界面

二.2端口设置

二.2.1设置HA端口

选择Network>Interfaces>Ethernet1/1>Edit

在ZoneName：

HA---------将Ethernet1/1设置成HA心跳端口

图24HA端口设置界面

选择Network>Interfaces>Ethernet1/2>Edit

在ZoneName：

HA---------将Ethernet1/2 设置成HA心跳端口

图25HA心跳端口设置界面

二.2.2连接接口设置

选择Network>Interfaces>Ethernet2/1>Edit：

输入以下内容，单击OK

在ZoneName：

Untrust---------将Ethernet2/1设置成Untrust安全区域

IPAddress/Netwask:

10.0.0.251/25----------输入IP地址

图26连接接口设置界面

二.2.3Internet接口设置。

图27Internet接口设置界面

二.2.4设置redundant冗余接口

选择Network>Interfaces>RedundantIF：

单击New

图28redundant冗余接口界面

输入以下内容，单击OK

InterfaceName:

Redundant1----------------建立red1接口

ZoneName：

Trust---------将Red1接口设置成Trust安全区域

IPAddress/Netwask:

10.147.67.1/27----------输入IP地址和掩码

图29Redundant

图210redundant冗余接口界面

二.2.5建立red1冗余接口的成员

选择Network>Interfaces>Ethernet3/2：

输入以下内容，单击OK

Asmemberofgroup:

redundant1

图211建立red1冗余接口的成员界面

选择Network>Interfaces>Ethernet3/1：

输入以下内容，单击OK

Asmemberofgroup:

redundant1

图212建立red1冗余接口的成员界面

图213建立red1冗余接口的成员界面

二.3设置路由

二.3.1路由表选择

Network>Routing>RoutingEntries

图214路由表选择界面

二.3.2增加默认路由

Network>Routing>RoutingEntries>trust-vr>New，输入以下内容，单击OK。

NetworkAddress/Netmask:

0.0.0.0/0

Gateway：

Interface:

ethernet2/2

GatewayIPAddress:

211.138.184.193------网关地址，CMNet6506接口地址

图215增加默认路由界面

二.3.3增加内部网络的路由

Network>Routing>RoutingEntries>trust-vr>New，输入以下内容，单击OK。

NetworkAddress/Netmask:

10.147.67.0/255.255.255.0

Gateway：

Interface:

redundant1

GatewayIPAddress:

10.147.67.2------网关地址，F5VRRP接口地址

输入10.147.70.30

图216增加内部网络的路由界面

二.4NAT设置

二.4.1设置Internet网端的NAT

Network>Internet（List）

图217设置Internet网端的NAT界面

选择正确的接口。

Ethernet2/2接口是连接Internet接口，因此选择在该端口上设置NAT。

图218设置Internet网端的NAT界面

选择Network>Interface>Ethernet2/2>Edit>MIP（List）>NEW

图219设置Internet网端的NAT界面

输入以下内容，单击OK。

MappedIP:

211.138.184.198-------公网WWW服务器地址

Network:

255.255.255.255

HostIPAddress:

10.147.67.68-------内网WWW服务器网卡地址

HostVirtualRouterName:

trust-vr

图220设置Internet网端的NAT界面

图221设置Internet网端的NAT界面

二.4.2设置10.0.0.0网端的地址翻译

Network>Interface>Ethernet2/1>Edit

图222设置10.0.0.0网端的地址翻译界面

选择MIP。

图223设置10.0.0.0网端的地址翻译界面

输入以下内容，单击OK。

MappedIP:

10.0.0.172-------服务地址

Network:

255.255.255.255

HostIPAddress:

10.147.67.5-------F5设备VIP地址

HostVirtualRouterName:

trust-vr

输入:

10.147.70.5

图224设置10.0.0.0网端的地址翻译界面

二.5端口服务

选择Objects>Services>Custom：

图225设置端口服务界面

选择

，输入以下内容，单击OK。

图226设置端口服务界面

选择OK。

图227设置端口服务界面

增加其他的服务：

图228设置端口服务界面

二.6定义策略

二.6.1设置10.0.0.0网端访问防火墙内部业务处理机服务器的策略

选择Policy>FromUntrust>ToGlobal>New

图229定义策略界面

输入以下内容，单击OK。

SourceAddress:

AddressBookEntry:

Any

DestinationAddress:

AddressbookEntry:

MIP（10.0.0.172）

Service:

点击Multiple，选择以下服务

Brower_ud

DNS

ENUM_DNS_IN

ENUM_DNS_OUT

FTP

HTTP

HTTPS

Push_tcp

Radius_udp

Smsc5016_tcp

Snmp_GET_SET-UDP

SNMP_Trap_udp

Action:

Permit

Logging:

√

图230定义策略界面

在选择service的选择框。

图231定义策略界面

图232定义策略界面

二.6.2内部网络访问外部网络的策略定义

Policy>FromTrust>ToUntrust>New

图233内部网络访问外部网络的策略定义界面

输入以下内容，单击OK

SourceAddress:

AddressBookEntry:

Any

DestinationAddress:

AddressbookEntry:

Any

Service:

any

Action:

Permit

Logging:

√

图234内部网络访问外部网络的策略定义界面

二.7双机冗余NSRP配置

二.7.1激活NSRP

选择Network>NSRP>Cluster，输入以下内容，单击Apply

ClusterID:

1----------0是关闭NSRP功能，参数1-7是激活NSRP

NSRPAuthenticationPassword:

Netscreen

NSRPEncryptionPassword:

Netscreen

图235激活NSRP

二.7.2设置VSDGroup

选择Network>NSRP>VSDGroup>Configuration，输入以下内容，单击OK。

GroupID:

Priority:

图236设置VSDGroupNSRP

二.7.3同步

选择Network>NSRP>Synchronization。

图237同步

二.7.4监控端口

NSRP监控的端口出现故障，两台做双机的设备将切换主/备关系。

选择Network>NSRP>Monitor>Interface>VSDID:

0>EditInterface。

图238监控端口

图239监控端口

二.7.5同步另一台配置

本操作必须在超级终端中设置。

同步过程中关键的信息只有在超级终端中才能看到。

该步骤将主防火墙的配置和备份防火墙的配置进行同步，设置前请先将主防火墙的配置备份一次。

使用超级终端登陆备份防火墙的console端口。

使用一下命令：

nsisg2000->sethostnameFW02----------设置主机名称

FW02->

FW02->setintmgtip10.147.66.66/27---------设置管理端口的地址

FW02->setinte1/1zoneha---------设置HA心跳端口

FW02->setinte1/2zoneha---------设置HA心跳端口

FW02->setnsrpclusterid1

FW02（B）->setnsrpvsd-groupid0priority100-------设备状态切换到备份状态

FW02（B）->setnsrprto-mirrorsync---------NSRP的配置

FW02（B）->execnsrpsyncrtoallfrompeer-------将从主设备上向备份主机同步会话状态信息

FW02（B）->execnsrpsyncfilefrompeer-------将从主设备上向备份主机同步配置信息

FW02（B）->execnsrpsyncglobal-configcheck-sum------将两台设备的配置进行校检，如有不同，备份的设备将会在重启后把主设备上的配置导入备份主机中

FW02（B）->execnsrpsyncglobal-configsave-----如有不同，备份的设备将会在重启后把主设备上的配置导入备份主机中

以下信息只有在超级终端上才有显示：

FW02（B）->execnsrpsyncglobal-configsave

loadpeersystemconfigtosave

Saveglobalconfigurationsuccessfully.

Continuetosavelocalconfigurations...Savelocalconfigurationsuccessfully.

done.

Pleaseresetyourboxtoletclusterconfigurationtakeeffect!

FW02（B）->reset

Systemreset,areyousure?

y/[n]y

Inreset...

重启备份防火墙，在重启的过程中，备份的防火墙将会从主设备上同步配置。

FW02（B）->reset

重启后在超级终端中显示如下：

Systemconfig（1242bytes）loaded

.Done.

Localconfig（209bytes）loaded

LoadSystemConfiguration

.......................................................Done

configurationinsync

SystemchangestatetoActive

（1）

Receivedallrun-time-objectfrompeer.

Netscreen防火墙的冗余配置结束，登录设备检查配置。

二.8账号管理

选择Configuration>Admin>Administrators>Edit。

图240账号管理

二.9配置文件备份

选择Configuration>Update>Configfile>SaveTOFile。

图241配置文件备份

图242配置文件备份

选择配置文件保存的目录。

图243配置文件备份

二.10版本升级步骤

升级前请将原有配置备份。

建议升级过程中使用超级终端连接到防火墙的Console端口上。

选择Configuration>Update>ScreenOS/KEY>FirewareUpdate（ScreenOS）>浏览。

图244版本升级

选择文件>打开>Apply。

图245版本升级

展开阅读全文