Juniper网络安全防火墙设备
快速安装手册
目录
1、前言 (4)
1.1、J UNIPER防火墙配置概述 (4)
1.2、J UNIPER防火墙管理配置的基本信息 (4)
1.3、J UNIPER防火墙的常用功能 (5)
2、JUNIPER防火墙三种部署模式及基本配置 (6)
2.1、NAT模式 (6)
2.2、R OUTE-路由模式 (7)
2.3、透明模式 (8)
2.4、基于向导方式的NAT/R OUTE模式下的基本配置 (8)
2.5、基于非向导方式的NAT/R OUTE模式下的基本配置 (17)
2.5.1、NS-5GT NAT/Route模式下的基本配置 (18)
2.5.2、NS-25-208 NAT/Route模式下的基本配置 (19)
2.6、基于非向导方式的透明模式下的基本配置 (20)
3、JUNIPER防火墙几种常用功能的配置 (21)
3.1、MIP的配置 (21)
3.1.1、使用Web浏览器方式配置MIP (22)
3.1.2、使用命令行方式配置MIP (23)
3.2、VIP的配置 (24)
3.2.1、使用Web浏览器方式配置VIP (24)
3.2.2、使用命令行方式配置VIP (25)
3.3、DIP的配置 (26)
3.3.1、使用Web浏览器方式配置DIP (26)
3.3.2、使用命令行方式配置DIP (28)
4、JUNIPER防火墙IPSEC VPN的配置 (28)
4.1、站点间IPS EC VPN配置:STAIC IP-TO-STAIC IP (28)
4.1.1、使用Web浏览器方式配置 (29)
4.1.2、使用命令行方式配置 (33)
4.2、站点间IPS EC VPN配置:STAIC IP-TO-DYNAMIC IP (35)
4.2.1、使用Web浏览器方式配置 (36)
4.2.1、使用命令行方式配置 (39)
5、JUNIPER防火墙的HA(高可用性)配置 (42)
5.1、使用W EB浏览器方式配置 (42)
5.2、使用命令行方式配置 (44)
6、JUNIPER防火墙一些实用工具 (46)
6.1、防火墙配置文件的导出和导入 (46)
6.1.1、配置文件的导出 (46)
6.1.2、配置文件的导入 (46)
6.2、防火墙软件(S CREEN OS)更新 (47)
6.3、防火墙恢复密码及出厂配置的方法 (48)
7、JUNIPER防火墙的一些概念 (48)
1、前言
我们制作本安装手册的目的是使初次接触Juniper网络安全防火墙设备(在本安装手册中简称为“Juniper防火墙”)的工程技术人员,可以通过此安装手册完成对Juniper防火墙基本功能的实现和应用。
1.1、Juniper防火墙配置概述
Juniper防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求;但是由于部署模式及功能的多样性使得Juniper防火墙在实际部署时具有一定的复杂性。
在配置Juniper防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对Juniper防火墙进行配置和管理。
基本配置:
1. 确认防火墙的部署模式:NAT模式、路由模式、或者透明模式;
2. 为防火墙的端口配置IP地址(包括防火墙的管理IP地址),配置路由信息;
3. 配置访问控制策略,完成基本配置。
其它配置:
1. 配置基于端口和基于地址的映射;
2. 配置基于策略的VPN;
3. 修改防火墙默认的用户名、密码以及管理端口。
1.2、Juniper防火墙管理配置的基本信息
Juniper防火墙常用管理方式:
①通过Web浏览器方式管理。推荐使用IE浏览器进行登录管理,需要知道防火墙对应端口的管
理IP地址;
②命令行方式。支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接两种命令
行登录管理模式。
Juniper防火墙缺省管理端口和IP地址:
①Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理。缺省IP地址为:
192.168.1.1/255.255.255.0;
②缺省IP地址通常设置在防火墙的Trust端口上(NS-5GT)、最小端口编号的物理端口上(NS-
25/50/204/208/SSG系列)、或者专用的管理端口上(ISG-1000/2000,NS-5200/5400)。Juniper防火墙缺省登录管理账号:
①用户名:netscreen;
②密码:netscreen。
1.3、Juniper防火墙的常用功能
在一般情况下,防火墙设备的常用功能包括:透明模式的部署、NAT/路由模式的部署、NAT的应用、MIP的应用、DIP的应用、VIP的应用、基于策略VPN的应用。
本安装手册将分别对以上防火墙的配置及功能的实现加以说明。
注:在对MIP/DIP/VIP等Juniper防火墙的一些基本概念不甚了解的情况下,请先到本手册最后一章
2、Juniper防火墙三种部署模式及基本配置
Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:
①基于TCP/IP协议三层的NAT模式;
②基于TCP/IP协议三层的路由模式;
③基于二层协议的透明模式。
2.1、NAT模式
当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源IP 地址和源端口号。
防火墙使用Untrust 区(外网或者公网)接口的IP 地址替换始发端主机的源IP 地址;同时使用由防火墙生成的任意端口号替换源端口号。
NAT模式应用的环境特征:
①注册IP地址(公网IP地址)的数量不足;
②内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet;
③内部网络中有需要外显并对外提供服务的服务器。
2.2、Route-路由模式
当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变。
①与NAT模式下不同,防火墙接口都处于路由模式时,不需要为了允许入站数据流到达某个主
机而建立映射IP (MIP) 和虚拟IP (VIP) 地址;
②与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。
路由模式应用的环境特征:
①注册IP(公网IP地址)的数量较多;
②非注册IP地址(私网IP地址)的数量与注册IP地址(公网IP地址)的数量相当;
③防火墙完全在内网中部署应用。
2.3、透明模式
当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的。
透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点:
①不需要修改现有网络规划及配置;
②不需要为到达受保护服务器创建映射或虚拟IP 地址;
③在防火墙的部署过程中,对防火墙的系统资源消耗最低。
2.4、基于向导方式的NAT/Route模式下的基本配置
Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web浏览器配置向导完成。
注:要启动配置向导,则必须保证防火墙设备处于出厂状态。例如:新的从未被调试过的设备,或者经过命令行恢复为出厂状态的防火墙设备。
通过Web浏览器登录处于出厂状态的防火墙时,防火墙的缺省管理参数如下:
①缺省IP:192.168.1.1/255.255.255.0;
②缺省用户名/密码:netscreen/ netscreen;
注:缺省管理IP地址所在端口参见在前言部份讲述的“Juniper防火墙缺省管理端口和IP地址”中查找!!
在配置向导实现防火墙应用的同时,我们先虚拟一个防火墙设备的部署环境,之后,根据这个环境对防火墙设备进行配置。
防火墙配置规划:
①防火墙部署在网络的Internet出口位置,内部网络使用的IP地址为192.168.1.0/255.255.255.0
所在的网段,内部网络计算机的网关地址为防火墙内网端口的IP地址:192.168.1.1;
②防火墙外网接口IP地址(通常情况下为公网IP地址,在这里我们使用私网IP地址模拟公网IP
地址)为:10.10.10.1/255.255.255.0,网关地址为:10.10.10.251
要求:
实现内部访问Internet的应用。
注:在进行防火墙设备配置前,要求正确连接防火墙的物理链路;调试用的计算机连接到防火墙的内网端口上。
1. 通过IE或与IE兼容的浏览器(推荐应用微软IE浏览器)使用防火墙缺省IP地址登录防火墙(建
议:保持登录防火墙的计算机与防火墙对应接口处于相同网段,直接相连)。
2. 使用缺省IP登录之后,出现安装向导:
注:对于熟悉Juniper防火墙配置的工程师,可以跳过该配置向导,直接点选:No,skip the wizard and go straight to the WebUI management session instead,之后选择Next,直接登录防火墙设备的管理界面。
3. 使用向导配置防火墙,请直接选择:Next,弹出下面的界面:
4. “欢迎使用配置向导”,再选择Next。
注:进入登录用户名和密码的修改页面,Juniper防火墙的登录用户名和密码是可以更改的,这个用户名和密码的界面修改的是防火墙设备上的根用户,这个用户对于防火墙设备来说具有最高的权限,需要认真考虑和仔细配置,保存好修改后的用户名和密码。
5. 在完成防火墙的登录用户名和密码的设置之后,出现了一个比较关键的选择,这个选择决定
了防火墙设备是工作在路由模式还是工作在NAT模式:
选择Enable NAT,则防火墙工作在NAT模式;
不选择Enable NAT,则防火墙工作在路由模式。
6. 防火墙设备工作模式选择,选择:Trust-Untrust Mode模式。这种模式是应用最多的模式,防
火墙可以被看作是只有一进一出的部署模式。
注:NS-5GT防火墙作为低端设备,为了能够增加低端产品应用的多样性,Juniper在NS-5GT的OS中独立开发了几种不同的模式应用于不同的环境。目前,除NS-5GT以外,Juniper其他系列防火墙不存在另外两种模式的选择。
7. 完成了模式选择,点击“Next”进行防火墙外网端口IP配置。外网端口IP配置有三个选项分别是:
DHCP自动获取IP地址;通过PPPoE拨号获得IP地址;手工设置静态IP地址,并配置子网掩码和网关IP地址。
在这里,我们选择的是使用静态IP地址的方式,配置外网端口IP地址为:10.10.10.1/255.255.255.0,网关地址为:10.10.10.251。
8. 完成外网端口的IP地址配置之后,点击“Next”进行防火墙内网端口IP配置:
9. 在完成了上述的配置之后,防火墙的基本配置就完成了,点击“Next”进行DHCP服务器配置。
注:DHCP服务器配置在需要防火墙在网络中充当DHCP服务器的时候才需要配置。否则请选择“NO”跳过。
注:上面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能,由防火墙设备给内部计算机用户自动分配IP地址,分配的地址段为:192.168.1.100-192.168.1.150一共51个IP地址,在分配IP地址的同时,防火墙设备也给计算机用户分配了DNS服务器地址,DNS用于对域名进行解析,如:将Error! Hyperlink reference not valid.地址:202.108.33.32。如果计算机不能获得或设置DNS 服务器地址,无法访问互联网。
10. 完成DHCP服务器选项设置,点击“Next”会弹出之前设置的汇总信息:
11. 确认配置没有问题,点击“Next”会弹出提示“Finish”配置对话框:
在该界面中,点选:Finish之后,该Web页面会被关闭,配置完成。
此时防火墙对来自内网到外网的访问启用基于端口地址的NAT,同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略:
策略:策略方向由Trust到Untrust,源地址:ANY,目标地址:ANY,网络服务内容:ANY;
策略作用:允许来自内网的任意IP地址穿过防火墙访问外网的任意地址。
重新开启一个IE页面,并在地址栏中输入防火墙的内网端口地址,确定后,出现下图中的登录界面。输入正确的用户名和密码,登录到防火墙之后,可以对防火墙的现有配置进行修改。
总结:
上述就是使用Web浏览器通过配置向导完成的防火墙NAT或路由模式的应用。通过配置向导,可以在不熟悉防火墙设备的情况下,配置简单环境的防火墙应用。
2.5、基于非向导方式的NAT/Route模式下的基本配置
基于非向导方式的NAT和Route模式的配置建议首先使用命令行开始,最好通过控制台的方式连接防火墙,这个管理方式不受接口IP地址的影响。
注:在设备缺省的情况下,防火墙的信任区(Trust Zone)所在的端口是工作在NAT模式的,其它安全区所在的端口是工作在路由模式的。
基于命令行方式的防火墙设备部署的配置如下(网络环境同上一章节所讲述的环境):
2.5.1、NS-5GT NAT/Route模式下的基本配置
注:NS-5GT设备的物理接口名称叫做trust和untrust;缺省Zone包括:trust和untrust,请注意和接口区分开。
①Unset interface trust ip (清除防火墙内网端口的IP地址);
②Set interface trust zone trust(将内网端口分配到trust zone);
③Set interface trust ip 192.168.1.1/24(设置内网端口的IP地址,必须先定义zone,之后再定
义IP地址);
④Set interface untrust zone untrust(将外网口分配到untrust zone);
⑤Set interface untrust ip 10.10.10.1/24(设置外网口的IP地址);
1. ⑥Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251(设置防火墙对外的缺省路由网
关地址);
1. ⑦Set policy from trust to untrust any any any permit log(定义一条由内网到外网的访问策略。
策略的方向是:由zone trust 到zone untrust,源地址为:any,目标地址为:any,网络服务为:any,策略动作为:permit允许,log:开启日志记录);
1. ⑧Save (保存上述的配置文件)。
2.5.2、NS-25-208 NAT/Route模式下的基本配置
1. ①Unset interface ethernet1 ip(清除防火墙内网口缺省IP地址);
2. ②Set interface ethernet1 zone trust(将ethernet1端口分配到trust zone);
3. ③Set interface ethernet1 ip 192.168.1.1/24(定义ethernet1端口的IP地址);
4. ④Set interface ethernet3 zone untrust(将ethernet3端口分配到untrust zone);
5. ⑤Set interface ethernet3 ip 10.10.10.1/24(定义ethernet3端口的IP地址);
6. ⑥Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251(定义防火墙对外的缺省路由
网关);
7. ⑦Set policy from trust to untrust any any any permit log(定义由内网到外网的访问控制策略);
8. ⑧Save (保存上述的配置文件)
注:上述是在命令行的方式上实现的NAT模式的配置,因为防火墙出厂时在内网端口(trust zone所属的端口)上启用了NAT,所以一般不用特别设置,但是其它的端口则工作在路由模式下,例如:untrust和DMZ区的端口。
如果需要将端口从路由模式修改为NAT模式,则可以按照如下的命令行进行修改:
1. ①Set interface ethernet2 NAT (设置端口2为NAT模式)
2. ②Save
总结:
1. ①NAT/Route模式做防火墙部署的主要模式,通常是在一台防火墙上两种模式混合进行(除非
防火墙完全是在内网应用部署,不需要做NAT-地址转换,这种情况下防火墙所有端口都处于Route模式,防火墙首先作为一台路由器进行部署);
2. ②关于配置举例,NS-5GT由于设备设计上的特殊性,因此专门列举加以说明;Juniper在2006
年全新推出的SSG系列防火墙,除了端口命名不一样,和NS-25等设备管理配置方式一样。
2.6、基于非向导方式的透明模式下的基本配置
实现透明模式配置建议采用命令行的方式,因为采用Web的方式实现时相对命令行的方式麻烦。通过控制台连接防火墙的控制口,登录命令行管理界面,通过如下命令及步骤进行二层透明模式的配置:
1. ①Unset interface ethernet1 ip(将以太网1端口上的默认IP地址删除);
2. ②Set interface ethernet1 zone v1-trust(将以太网1端口分配到v1-trust zone:基于二层的安全
区,端口设置为该安全区后,则端口工作在二层模式,并且不能在该端口上配置IP地址);
3. ③Set interface ethernet2 zone v1-dmz(将以太网2端口分配到v1-dmz zone);
4. ④Set interface ethernet3 zone v1-untrust(将以太网3端口分配到v1-untrust zone);
5. ⑤Set interface vlan1 ip 192.168.1.1/24(设置VLAN1的IP地址为:192.168.1.1/255.255.255.0,
该地址作为防火墙管理IP地址使用);
6. ⑥Set policy from v1-trust to v1-untrust any any any permit log(设置一条由内网到外网的访问
策略);
7. ⑦Save(保存当前的配置);
总结:
1. ①带有V1-字样的zone为基于透明模式的安全区,在进行透明模式的应用时,至少要保证两个
端口的安全区工作在二层模式;
2. ②虽然Juniper防火墙可以工作在混合模式下(二层模式和三层模式的混合应用),但是通常情
况下,建议尽量使防火墙工作在一种模式下(三层模式可以混用:NAT和路由)。
3、Juniper防火墙几种常用功能的配置
这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。
3.1、MIP的配置
MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。
MIP应用的网络拓扑图:
注:MIP配置在防火墙的外网端口(连接Internet的端口)。
3.1.1、使用Web浏览器方式配置MIP
公网IP地址,Host IP:内网服务器IP地址
1. ③定义策略:在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络
服务器应用的访问。
3.1.2、使用命令行方式配置MIP
1. ①配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
②定义MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr
③定义策略
set policy from untrust to trust any mip(1.1.1.5) http permit
save
3.2、VIP的配置
MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。
VIP应用的拓扑图:
注:VIP配置在防火墙的外网连接端口上(连接Internet的端口)。
3.2.1、使用Web浏览器方式配置VIP
1. ①登录防火墙,配置防火墙为三层部署模式。
2. ②添加VIP:Network=>Interface=>ethernet8=>VIP
3. ③添加与该VIP公网地址相关的访问控制策略。
3.2.2、使用命令行方式配置VIP
1. ①配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
③定义策略
set policy from untrust to trust any vip(1.1.1.10) http permit
save
注:VIP的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。
3.3、DIP的配置
DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址。
DIP应用的网络拓扑图:
3.3.1、使用Web浏览器方式配置DIP
1. ①登录防火墙设备,配置防火墙为三层部署模式;
2. ②定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口定义
IP地址池;
1. ③定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中,启用
源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置;
策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP 地址进行NAT。
3.3.2、使用命令行方式配置DIP
1. ①配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
②定义DIP
set interface ethernet3 dip 5 1.1.1.30 1.1.1.30
③定义策略
set policy from trust to untrust any any http nat src dip-id 5 permit
save
4、Juniper防火墙IPSec VPN的配置
的VPN、集中星形VPN和背靠背VPN等。在这里,我们主要介绍最常用的VPN模式:基于策略的VPN。
站点间(Site-to-Site)的VPN是IPSec VPN的典型应用,这里我们介绍两种站点间基于策略VPN的实现方式:站点两端都具备静态公网IP地址;站点两端其中一端具备静态公网IP地址,另一端动态公网IP地址。
4.1、站点间IPSec VPN配置:staic ip-to-staic ip
当创建站点两端都具备静态IP的VPN应用中,位于两端的防火墙上的VPN配置基本相同,不同之处是在VPN gateway部分的VPN网关指向IP不同,其它部分相同。
VPN组网拓扑图:staic ip-to-staic ip
4.1.1、使用Web浏览器方式配置
1. ①登录防火墙设备,配置防火墙为三层部署模式;
2. ②定义VPN第一阶段的相关配置:VPNs=>Autokey Adwanced=>Gateway
配置VPN gateway部分,定义VPN网关名称、定义“对端VPN设备的公网IP地址”
为本地VPN设备的网关地址、定义预共享密钥、选择发起VPN服务的物理端口;
1. ③在VPN gateway的高级(Advanced)部分,定义相关的VPN隧道协商的加密算法、选择VPN
的发起模式;
1. ④配置VPN第一阶段完成显示列表如下图;
1. ⑤定义VPN第二阶段的相关配置:VPNs=>Autokey IKE
在Autokey IKE部分,选择第一阶段的VPN配置;
1. ⑥在VPN第二阶段高级(Advances)部分,选择VPN的加密算法;
1. ⑦配置VPN第二阶段完成显示列表如下图;
1. ⑧定义VPN策略,选择地址和服务信息,策略动作选择为:隧道模式;VPN隧道选择为:刚刚
定义的隧道,选择是否设置为双向策略;
4.1.2、使用命令行方式配置
CLI ( 东京)
1. ①配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
②定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
③定义地址
set address trust Trust_LAN 10.1.1.0/24
set address untrust paris_office 10.2.2.0/24
④定义IPSec VPN
set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshare
h1p8A24nG5 proposal pre-g2-3des-sha
set vpn tokyo_paris gateway to_paris sec-level compatible
⑤定义策略
set policy top name "To/From Paris" from trust to untrust Trust_LAN paris_office
any tunnel vpn tokyo_paris
set policy top name "To/From Paris" from untrust to trust paris_office Trust_LAN
any tunnel vpn tokyo_paris
save
CLI ( 巴黎)
1. ①定义接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
②定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
③定义地址
set address trust Trust_LAN 10.2.2.0/24
set address untrust tokyo_office 10.1.1.0/24
④定义IPSec VPN
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshare
h1p8A24nG5 proposal pre-g2-3des-sha
set vpn paris_tokyo gateway to_tokyo sec-level compatible
⑤定义策略
set policy top name "To/From Tokyo" from trust to untrust Trust_LAN tokyo_office
any tunnel vpn paris_tokyo
set policy top name "To/From Tokyo" from untrust to trust tokyo_office Trust_LAN
any tunnel vpn paris_tokyo
save
4.2、站点间IPSec VPN配置:staic ip-to-dynamic ip
在站点间IPSec VPN应用中,有一种特殊的应用,即在站点两端的设备中,一端拥有静态的公网IP地址,而另外一端只有动态的公网IP地址,以下讲述的案例是在这种情况下,Juniper防火墙如何建立IPSec VPN隧道。
基本原则:
在这种IPSec VPN组网应用中,拥有静态公网IP地址的一端作为被访问端出现,拥有动态公网IP地址
和站点两端都具备静态IP地址的配置的不同之处在于VPN第一阶段的相关配置,在主动发起端(只有动态公网IP地址一端)需要指定VPN网关地址,需配置一个本地ID,配置VPN发起模式为:主动模式;在站点另外一端(拥有静态公网IP地址一端)需要指定VPN网关地址为对端设备的ID信息,不需要配置本地ID,其它部分相同。
IPSec VPN组网拓扑图:staic ip-to-dynamic ip
4.2.1、使用Web浏览器方式配置
1. ①VPN第一阶段的配置:动态公网IP地址端。
VPN的发起必须由本端开始,动态地址端可以确定对端防火墙的IP地址,因此在VPN
阶段一的配置中,需指定对端VPN设备的静态IP地址。同时,在本端设置一个Local
ID,提供给对端作为识别信息使用。
1. ②VPN第一阶段的高级配置:动态公网IP地址端。
在VPN阶段一的高级配置中动态公网IP一端的VPN的发起模式应该配置为:主动
模式(Aggressive)
1. ③VPN第一阶段的配置:静态公网IP地址端。
在拥有静态公网IP地址的防火墙一端,在VPN阶段一的配置中,需要按照如下图所
示的配置:“Remote Gateway Type”应该选择“Dynamic IP Address”,同时设置
Peer ID(和在动态IP地址一端设置的Local ID相同)。
1. ④VPN第二阶段配置,和在”static ip-to-static ip”模式下相同。
1. ⑤VPN的访问控制策略,和在”static ip-to-static ip”模式下相同。
4.2.1、使用命令行方式配置
CLI ( 设备-A)
1. ①定义接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 dhcp client
set interface ethernet3 dhcp client settings server 1.1.1.5
②定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
③定义用户
set user pmason password Nd4syst4
set address untrust "mail server" 3.3.3.5/32
⑤定义服务
set service ident protocol tcp src-port 0-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add http
set group service remote_mail add ftp
set group service remote_mail add telnet
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
⑥定义VPN
set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@https://www.doczj.com/doc/d317660247.html, outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn branch_corp gateway to_mail sec-level compatible
⑦定义策略
set policy top from trust to untrust "trusted network" "mail server" remote_mail tunnel vpn branch_corp auth server Local user pmason
set policy top from untrust to trust "mail server" "trusted network" remote_mail tunnel vpn branch_corp
save
CLI ( 设备-B)
1. ①定义接口参数
set interface ethernet2 zone dmz
set interface ethernet2 ip 3.3.3.3/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
②路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
③定义地址
set address dmz "mail server" 3.3.3.5/32
set address untrust "branch office" 10.1.1.0/24
④定义服务
set service ident protocol tcp src-port 0-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
⑤定义VPN
set ike gateway to_branch dynamic pmason@https://www.doczj.com/doc/d317660247.html, aggressive
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn corp_branch gateway to_branch tunnel sec-level compatible
⑥定义策略
set policy top from dmz to untrust "mail server" "branch office" remote_mail tunnel vpn corp_branch
set policy top from untrust to dmz "branch office" "mail server" remote_mail tunnel vpn corp_branch
save
5、Juniper防火墙的HA(高可用性)配置
为了保证网络应用的高可用性,在部署Juniper防火墙过程中可以在需要保护的网络边缘同时部署两台相同型号的防火墙设备,实现HA的配置。Juniper防火墙提供了三种高可用性的应用配置模式:主备方式、主主方式和双主冗余方式。在这里,我们只对主备方式的配置进行说明。
防火墙HA网络拓扑图(主备模式):
5.1、使用Web浏览器方式配置
WebUI ( 设备-A)
1. ①接口
Network > Interfaces > Edit ( 对于ethernet7): 输入以下内容,然后单击OK:
Zone Name: HA
Network > Interfaces > Edit ( 对于ethernet8): 输入以下内容,然后单击OK:
Zone Name: HA
Network > Interfaces > Edit ( 对于ethernet1): 输入以下内容,然后单击OK:
Zone Name: Untrust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 210.1.1.1/24
Network > Interfaces > Edit ( 对于ethernet3): 输入以下内容,然后单击
Apply:
Zone Name: Trust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 10.1.1.1/24
Manage IP: 10.1.1.20
输入以下内容,然后单击OK:
Interface Mode: NAT
②NSRP
Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 输入
以下内容,然后单击Apply:
ethernet1: ( 选择); Weight: 255
ethernet3: ( 选择); Weight: 255
Network > NSRP > Synchronization: 选择NSRP RTO Synchronization,然后
单击Apply。
Network > NSRP > Cluster: 在Cluster ID 字段中,键入1,然后单击Apply。
WebUI ( 设备-B)
1. ①接口
Network > Interfaces > Edit ( 对于ethernet7): 输入以下内容,然后单击OK:
Zone Name: HA
Network > Interfaces > Edit ( 对于ethernet8): 输入以下内容,然后单击OK:
Zone Name: HA
Network > Interfaces > Edit ( 对于ethernet1): 输入以下内容,然后单击OK:
Zone Name: Untrust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 210.1.1.1/24
Network > Interfaces > Edit ( 对于ethernet3): 输入以下内容,然后单击
Apply:
Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24
Manage IP: 10.1.1.21
输入以下内容,然后单击OK:
Interface Mode: NAT
②NSRP
Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 输入
以下内容,然后单击Apply:
ethernet1: ( 选择); Weight: 255
ethernet3: ( 选择); Weight: 255
Network > NSRP > Synchronization: 选择NSRP RTO Synchronization,然后
单击Apply。
Network > NSRP > Cluster: 在Cluster ID 字段中,键入1,然后单击Apply。
5.2、使用命令行方式配置
CLI ( 设备-A)
1. ①接口
set interface ethernet7 zone ha
set interface ethernet8 zone ha
set interface ethernet1 zone untrust
set interface ethernet1 ip 210.1.1.1/24
set interface ethernet3 zone trust
set interface ethernet3 ip 10.1.1.1/24
set interface ethernet3 manage-ip 10.1.1.20
set interface ethernet3 nat
②NSRP
set nsrp rto-mirror sync
set nsrp monitor interface ethernet1
set nsrp monitor interface ethernet3
set nsrp cluster id 1
save
CLI ( 设备-B)
1. ①接口
set interface ethernet7 zone ha
set interface ethernet8 zone ha
set interface ethernet1 zone untrust
set interface ethernet1 ip 210.1.1.1/24
set interface ethernet3 zone trust
set interface ethernet3 ip 10.1.1.1/24
set interface ethernet3 manage-ip 10.1.1.21
set interface ethernet3 nat
②NSRP
set nsrp rto-mirror sync
set nsrp monitor interface ethernet1
set nsrp monitor interface ethernet3
set nsrp cluster id 1
save
注:基于主主方式的HA应用的说明:详见《概念与范例screenOS参考指南》可以在:https://www.doczj.com/doc/d317660247.html,免费获得。
6.1、防火墙配置文件的导出和导入
Juniper防火墙的配置文件的导入导出功能为用户提供了一个快速恢复当前配置的有效的手段。一旦用户不小心因为操作失误或设备损坏更换,都可以利用该功能,实现快速的防火墙配置的恢复,在最短的时间内恢复设备和网络正常工作。
6.1.1、配置文件的导出
配置文件的导出(WebUI):在Configuration > Update > Config File位置,点选:Save to file,将当前的防火墙设备的配置文件导出为一个无后缀名的可编辑文本文件。
配置文件的导出(CLI):ns208-> save config from flash to tftp 1.1.7.250 15Jun03.cfg
6.1.2、配置文件的导入
配置文件的导入(WebUI):在Configuration > Update > Config File位置,1、点选:Merge to Current Configuration,覆盖当前配置并保留不同之处;2、点选:Replace Current Configuration替换当前配置文件。导入完成之后,防火墙设备会自动重新启动,读取新的配置文件并运行。
配置文件的导入(CLI):ns208-> save config from tftp 1.1.7.250 15June03.cfg to flash
或者ns208->save config from tftp 1.1.7.250 15June03.cfg merge
6.2、防火墙软件(ScreenOS)更新
关于ScreenOS:
Juniper防火墙的OS软件是可以升级的,一般每一到两个月会有一个新的OS版本发布,OS版本如:5.0.0R11.0,其中R前面的5.0.0是大版本号,这个版本号的变化代表着功能的变化;R后面的11.0是小版本号,这个号码的变化代表着BUG的完善,因此一般建议,在大版本号确定的情况下,选择小版本号大的OS作为当前设备的OS。
关于OS升级注意事项:
升级OS需要一定的时间,根据设备性能的不同略有差异,一般情况下大约需要5分钟的时间。在升级的过程中,一定要保持电源的供应、网线连接的稳定,最好是将防火墙从网络中暂时取出,待OS升级完成后再将防火墙设备接入网络。
ScreenOS升级(WebUI):Configuration > Update > ScreenOS/Keys。
ScreenOS升级(CLI):ns208-> save software from tftp 1.1.7.250 newimage to flash
6.3、防火墙恢复密码及出厂配置的方法
当防火墙密码遗失的情况下,我们只能将防火墙恢复到出厂配置,方法是:
1. ①记录下防火墙的序列号(又称Serial Number,在防火墙机身上面可找到);
2. ②使用控制线连接防火墙的Console端口并重起防火墙;
3. ③防火墙正常启动到登录界面,是用记录下来的序列号作为登录的用户名/密码,根据防火墙的
提示恢复到出厂配置。
7、Juniper防火墙的一些概念
安全区(Security Zone):
Juniper 防火墙增加了全新的安全区域(Security Zone)的概念,安全区域是一个逻辑的结构,是多个处于相同属性区域的物理接口的集合。当不同安全区域之间相互通讯时,必须通过事先定义的策略检查才能通过;当在同一个安全区域进行通讯时,默认状态下允许不通过策略检查,经过配置后也可以强制进行策略检查以提高安全性。
安全区域概念的出现,使防火墙的配置能更灵活同现有的网络结构相结合。以下图为例,通过实施安全区域的配置,内网的不同部门之间的通讯也必须通过策略的检查,进一步提高的系统的安全。
接口(Interface):
信息流可通过物理接口和子接口进出安全区(Security Zone)。为了使网络信息流能流入和流出安全区,必须将一个接口绑定到一个安全区,如果属于第3 层安全区,则需要给接口分配一个IP地址。
虚拟路由器(Virtual Router):
Juniper防火墙支持虚拟路由器技术,在一个防火墙设备里,将原来单一路由方式下的单一路由表,进化为多个虚拟路由器以及相应的多张独立的路由表,提高了防火墙系统的安全性以及IP地址配置的灵活性。
安全策略(Policy):
Juniper防火墙在定义策略时,主要需要设定源IP地址、目的IP地址、网络服务以及防火墙的动作。在设定网络服务时,Juniper防火墙已经内置预设了大量常见的网络服务类型,同时,也可以由客户自行定义网络服务。
在客户自行定义通过防火墙的服务时,需要选择网络服务的协议,是UDP、TCP还是其它,需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。因此,通过对网络服务的定义,以及IP地址的定义,使Juniper防火墙的策略细致程度大大加强,安全性也提高了。
除了定义上述这些主要参数以外,在策略中还可以定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。通过这些主要的安全元素和附加元素的控制,可以让系统管理员对进出防火墙的数据流量进行严格的访问控制,达到保护内网系统资源安全的目的。
映射IP(MIP):
MIP是从一个IP 地址到另一个IP 地址双向的一对一映射。当防火墙收到一个目标地址为MIP 的内向数据流时,通过策略控制防火墙将数据转发至MIP 指向地址的主机;当MIP映射的主机发起出站数据流时,通过策略控制防火墙将该主机的源IP 地址转换成MIP 地址。
虚拟IP(VIP):
VIP是一个通过防火墙外网端口可用的公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且这些服务器是需要对外提供各种服务的。