juniper防火墙常用配置

  • 格式:docx
  • 大小:24.63 KB
  • 文档页数:11

1.Juniper防火墙管理配置的基本信息Juniper防火墙常用管理方式:①通过Web浏览器方式管理。

推荐使用IE浏览器进行登录管理,需要知道防火墙对应端口的管理IP地址;Juniper防火墙缺省管理端口和IP地址:Juniper防火墙缺省登录管理账号:①用户名:②密码:NS-5GT NAT/Route模式下的基本配置注:NS-5GT设备的物理接口名称叫做trust和untrust;缺省Zone包括:trust和untrust,请注意和接口区分开。

① Unset interface trust ip (清除防火墙内网端口的IP地址);② Set interface trust zone trust(将内网端口trust分配到trust zone);③(设置内网端口trust的IP地址,必须先定义zone,之后再定义IP地址);④ Set interface untrust zone untrust(将外网口untrust分配到untrust zone);⑤(设置外网口untrust的IP地址);⑥(设置防火墙对外的缺省路由网关地址);⑦ Set policy from trust to untrust any any any permit log(定义一条由内网到外网的访问策略。

策略的方向是:由zone trust 到zone untrust,源地址为:any,目标地址为:any,网络服务为:any,策略动作为:permit允许,log:开启日志记录);⑧ Save (保存上述的配置文件)。

NS-25-208 NAT/Route模式下的基本配置我们在做nat地址转换的时候要注意当前内网接口和外网接口的模式,正常的应该是:⑦ Set policy from trust to untrust any any any permit log(定义由内网到外网的访问控制策略);⑧ Save (保存上述的配置文件)3.Juniper防火墙几种常用功能的配置这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP(映射IP)、VIP(虚拟IP)和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。

3.1、MIP的配置MIP是“一对一”的双向地址翻译(转换)过程。

通常的情况是:注:3.1.1、使用Web浏览器方式配置MIP①登录防火墙,将防火墙部署为三层模式(NAT或路由模式);②定义MIP:公网IP地址,Host IP:内网服务器IP地址③定义策略:在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。

3.1.2、使用命令行方式配置MIP①配置接口参数②定义MIP③定义策略set policy from untrust to trust any mip(1.1.1.5) http permitsave3.2、VIP的配置MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110.443等)与内部多个私有IP地址的不同服务端口的映射关系。

通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。

注:3.2.1、使用Web浏览器方式配置VIP①登录防火墙,配置防火墙为三层部署模式。

②添加VIP:③添加与该VIP公网地址相关的访问控制策略。

3.2.2、使用命令行方式配置VIP<!--[if !supportLists]-->1. <!--[endif]-->①配置接口参数②定义VIP③定义策略set policy from untrust to trust any vip(1.1.1.10) http permit (此处不能把目标地址设为any)save注:VIP的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。

使用Web浏览器方式配置DIP①登录防火墙设备,配置防火墙为三层部署模式;②定义DIP:③定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中,启用源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置;策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT。

使用命令行方式配置DIP①配置接口参数②定义DIP③定义策略set policy from trust to untrust any any http nat src dip-id 5 permit save4、Juniper防火墙一些实用工具4.1、防火墙配置文件的导出和导入Juniper防火墙的配置文件的导入导出功能为用户提供了一个快速恢复当前配置的有效的手段。

一旦用户不小心因为操作失误或设备损坏更换,都可以利用该功能,实现快速的防火墙配置的恢复,在最短的时间内恢复设备和网络正常工作。

4.1.1、配置文件的导出配置文件的导出(WebUI):在Configuration > Update > Config File位置,点选:Save to file,将当前的防火墙设备的配置文件导出为一个无后缀名的可编辑文本文件。

配置文件的导出(CLI):ns208->save config from flash to tftp 1.1.7.25015Jun03.cfg4.1.2、配置文件的导入配置文件的导入(WebUI):在Configuration > Update > Config File位置,1、点选:Merge to Current Configuration,覆盖当前配置并保留不同之处;2、点选:Replace Current Configuration 替换当前配置文件。

导入完成之后,防火墙设备会自动重新启动,读取新的配置文件并运行。

配置文件的导入(CLI):ns208->save config from tftp 1.1.7.25015June03.cfgto flash 或者ns208-> save config from tftp 1.1.7.250 15June03.cfg merge4.2、防火墙软件(ScreenOS)更新关于ScreenOS:Juniper防火墙的OS软件是可以升级的,一般每一到两个月会有一个新的OS版本发布,OS版本如:5.0.0R11.0,其中R前面的5.0.0是大版本号,这个版本号的变化代表着功能的变化;R后面的11.0是小版本号,这个号码的变化代表着BUG的完善,因此一般建议,在大版本号确定的情况下,选择小版本号大的OS作为当前设备的OS。

关于OS升级注意事项:升级OS需要一定的时间,根据设备性能的不同略有差异,一般情况下大约需要5分钟的时间。

在升级的过程中,一定要保持电源的供应、网线连接的稳定,最好是将防火墙从网络中暂时取出,待OS升级完成后再将防火墙设备接入网络。

ScreenOS升级(WebUI):Configuration > Update > ScreenOS/Keys。

ScreenOS升级(CLI):ns208-> save software from tftp 1.1.7.250 newimage to flash4.3、防火墙恢复密码及出厂配置的方法当防火墙密码遗失的情况下,我们只能将防火墙恢复到出厂配置,方法是:①记录下防火墙的序列号(又称Serial Number,在防火墙机身上面可找到);②使用控制线连接防火墙的Console端口并重起防火墙;③防火墙正常启动到登录界面,是用记录下来的序列号作为登录的用户名/密码,根据防火墙的提示恢复到出厂配置。

5、Juniper防火墙的一些概念安全区(Security Zone):Juniper 防火墙增加了全新的安全区域(Security Zone)的概念,安全区域是一个逻辑的结构,是多个处于相同属性区域的物理接口的集合。

当不同安全区域之间相互通讯时,必须通过事先定义的策略检查才能通过;当在同一个安全区域进行通讯时,默认状态下允许不通过策略检查,经过配置后也可以强制进行策略检查以提高安全性。

安全区域概念的出现,使防火墙的配置能更灵活同现有的网络结构相结合。

以下图为例,通过实施安全区域的配置,内网的不同部门之间的通讯也必须通过策略的检查,进一步提高的系统的安全。

接口(Interface):信息流可通过物理接口和子接口进出安全区(Security Zone)。

为了使网络信息流能流入和流出安全区,必须将一个接口绑定到一个安全区,如果属于第3层安全区,则需要给接口分配一个IP地址。

虚拟路由器(Virtual Router):Juniper防火墙支持虚拟路由器技术,在一个防火墙设备里,将原来单一路由方式下的单一路由表,进化为多个虚拟路由器以及相应的多张独立的路由表,提高了防火墙系统的安全性以及IP地址配置的灵活性。

安全策略(Policy):Juniper防火墙在定义策略时,主要需要设定源IP地址、目的IP地址、网络服务以及防火墙的动作。

在设定网络服务时,Juniper防火墙已经内置预设了大量常见的网络服务类型,同时,也可以由客户自行定义网络服务。

在客户自行定义通过防火墙的服务时,需要选择网络服务的协议,是UDP、TCP还是其它,需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。

因此,通过对网络服务的定义,以及IP地址的定义,使Juniper防火墙的策略细致程度大大加强,安全性也提高了。

除了定义上述这些主要参数以外,在策略中还可以定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。

通过这些主要的安全元素和附加元素的控制,可以让系统管理员对进出防火墙的数据流量进行严格的访问控制,达到保护内网系统资源安全的目的。

映射IP(MIP):MIP是从一个IP 地址到另一个IP 地址双向的一对一映射。

当防火墙收到一个目标地址为MIP 的内向数据流时,通过策略控制防火墙将数据转发至MIP 指向地址的主机;当MIP映射的主机发起出站数据流时,通过策略控制防火墙将该主机的源IP 地址转换成MIP 地址。

虚拟IP(VIP):VIP是一个通过防火墙外网端口可用的公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。

通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且这些服务器是需要对外提供各种服务的。

将要配置桥接模式的接口都不分配IP地址(或分配为0.0.0.0),然后将它们的Zone都设置为:v1-trustv1-untrustv1-dmz的其中一个就可以了。