Juniper网络安全防火墙设备快速安装手册 V revised.doc

资源描述

《Juniper网络安全防火墙设备快速安装手册 V revised.doc》由会员分享，可在线阅读，更多相关《Juniper网络安全防火墙设备快速安装手册 V revised.doc（70页珍藏版）》请在三一文库上搜索。

1、JUNIPER 防火墙快速安装手册第第 1 页页共共 70 页页 http:/ Juniper 网络安全防火墙设备快速安网络安全防火墙设备快速安装手册装手册 V1.0 联强国际（香港）有限公司 2007-4 JUNIPER 防火墙快速安装手册第第 2 页页共共 70 页页 http:/ 目目录录 1、前言、前言.4 1.1、JUNIPER防火墙配置概述.4 1.2、JUNIPER防火墙管理配置的基本信息.5 1.3、JUNIPER防火墙的常用功能.6 2、JUNIPER 防火墙三种部署模式及基本配置防火墙三种部署模式及基本配置.6 2.1、NAT 模式6 2.2、ROUTE-路由模

2、式.7 2.3、透明模式.8 2.4、基于向导方式的 NAT/ROUTE模式下的基本配置.9 2.5、基于非向导方式的 NAT/ROUTE模式下的基本配置 .18 2.5.1、NS-5GT NAT/Route 模式下的基本配置.19 2.5.2、NS-25-208 NAT/Route 模式下的基本配置.20 2.6、基于非向导方式的透明模式下的基本配置.21 3、JUNIPER 防火墙几种常用功能的配置防火墙几种常用功能的配置 22 3.1、MIP 的配置 .22 3.1.1、使用 Web 浏览器方式配置 MIP23 3.1.2、使用命令行方式配置 MIP.25 3.2、VIP 的配置25 3

3、.2.1、使用 Web 浏览器方式配置 VIP.26 3.2.2、使用命令行方式配置 VIP27 3.3、DIP 的配置28 3.3.1、使用 Web 浏览器方式配置 DIP 28 3.3.2、使用命令行方式配置 DIP30 4、JUNIPER 防火墙防火墙 IPSEC VPN 的配置的配置.30 4.1、站点间 IPSEC VPN 配置：STAIC IP-TO-STAIC IP.30 4.1.1、使用 Web 浏览器方式配置 .31 4.1.2、使用命令行方式配置 35 4.2、站点间 IPSEC VPN 配置：STAIC IP-TO-DYNAMIC IP37 4.2.1、使用 Web 浏览

4、器方式配置 .38 4.2.1、使用命令行方式配置 41 5、JUNIPER 中低端防火墙的中低端防火墙的 UTM 功能配置功能配置 43 5.1、防病毒功能的设置.44 5.1.1、Scan Manager 的设置44 5.1.2、Profile 的设置.45 5.1.3、防病毒 profile 在安全策略中的引用47 5.2、防垃圾邮件功能的设置 .49 5.2.1、Action 设置50 5.2.2、White List 与 Black List 的设置.50 JUNIPER 防火墙快速安装手册第第 3 页页共共 70 页页 http:/ 5.2.3、防垃圾邮件功能的引用.52 5.

5、3、WEB/URL 过滤功能的设置.52 5.3.1、转发 URL 过滤请求到外置 URL 过滤服务器 52 5.3.2、使用内置的 URL 过滤引擎进行 URL 过滤54 5.3.3、手动添加过滤项55 5.4、深层检测功能的设置.59 5.4.1、设置 DI 攻击特征库自动更新59 5.4.2、深层检测（DI）的引用.60 6、JUNIPER 防火墙的防火墙的 HA（高可用性）配置（高可用性）配置 62 6.1、使用 WEB浏览器方式配置63 6.2、使用命令行方式配置.65 7、JUNIPER 防火墙一些实用工具防火墙一些实用工具.66 7.1、防火墙配置文件的导出和导入.66 7.1.

6、1、配置文件的导出67 7.1.2、配置文件的导入67 7.2、防火墙软件（SCREENOS）更新 .68 7.3、防火墙恢复密码及出厂配置的方法69 8、JUNIPER 防火墙的一些概念防火墙的一些概念.69 关于本手册的使用：关于本手册的使用：本手册更多的从实际使用的角度去编写，如果涉及到的一些概念上的东西表述不够透彻、清晰，请使用者自行去找一些资料查证；本手册在编写的过程中对需要使用者特别注的地方，都有“注”标识，请大家仔细阅读相关内容；对于粗体、红、蓝色标注的地方也需要多注意；本着技术共享的原则，我们编写了该手册，希望对在销售、使用 Juniper 防火墙的相应技术人员有所

7、帮助，大家在使用过程中有任何建议可反馈到： chuang_.hk；jiajun_.hk；本手册归“联强国际（香港）有限公司”所有，严禁盗版。 JUNIPER 防火墙快速安装手册第第 4 页页共共 70 页页 http:/ 1、前言、前言我们制作本安装手册的目的是使初次接触 Juniper 网络安全防火墙设备（在本安装手册中（在本安装手册中简称为简称为“Juniper 防火墙防火墙” ）的工程技术人员，可以通过此安装手册完成对 Juniper 防火墙基本功能的实现和应用。 1.1、Juniper 防火墙配置概述防火墙配置概述 Juniper 防火墙作为专业的网络安全设备，可以支持各种

8、复杂网络环境中的网络安全应用需求；但是由于部署模式及功能的多样性使得 Juniper 防火墙在实际部署时具有一定的复杂性。在配置 Juniper 防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对 Juniper 防火墙进行配置和管理。基本配置：基本配置： 1.确认防火墙的部署模式：NAT 模式、路由模式、或者透明模式； 2.为防火墙的端口配置 IP 地址（包括防火墙的管理 IP 地址），配置路由信息； 3.配置访问控制策略，完成基本配置。其它配置：其它配置： 1.配置基于端口和基于地址的映射； 2.配置基于策略的

9、VPN； 3.修改防火墙默认的用户名、密码以及管理端口。 1.2、Juniper 防火墙管理配置的基本信息防火墙管理配置的基本信息 Juniper 防火墙常用管理方式：防火墙常用管理方式：通过 Web 浏览器方式管理。推荐使用 IE 浏览器进行登录管理，需要知道防火墙对应需要知道防火墙对应端口的管理端口的管理 IP 地址；地址；命令行方式。支持通过 Console 端口超级终端连接端口超级终端连接和 Telnet 防火墙管理防火墙管理 IP 地址连接地址连接 JUNIPER 防火墙快速安装手册第第 5 页页共共 70 页页 http:/ 两种命令行登录管理模式。 Juniper 防火

10、墙缺省管理端口和防火墙缺省管理端口和 IP 地址：地址： Juniper 防火墙出厂时可通过缺省设置的 IP 地址使用 Telnet 或者 Web 方式管理。缺省 IP 地址为：192.168.1.1/255.255.255.0；缺省 IP 地址通常设置在防火墙的 Trust 端口上（端口上（NS-5GT）、最小端口编号的物理端最小端口编号的物理端口上（口上（NS-25/50/204/208/SSG 系列）系列）、或者专用的管理端口上（专用的管理端口上（ISG-1000/2000,NS- 5200/5400）。 Juniper 防火墙缺省登录管理账号：防火墙缺省登录管理账号：用户

11、名：netscreen；密码：netscreen。 1.3、Juniper 防火墙的常用功能防火墙的常用功能在一般情况下，防火墙设备的常用功能包括：透明模式的部署、NAT/路由模式的部署、 NAT 的应用、MIP 的应用、DIP 的应用、VIP 的应用、基于策略 VPN 的应用。本安装手册将分别对以上防火墙的配置及功能的实现加以说明。注：在对注：在对 MIP/DIP/VIP 等等 Juniper 防火墙的一些基本概念不甚了解的情况下，请先到本手防火墙的一些基本概念不甚了解的情况下，请先到本手册最后一章节内容查看了解！册最后一章节内容查看了解！ JUNIPER 防火墙快速安装手册第

12、第 6 页页共共 70 页页 http:/ 2、Juniper 防火墙三种部署模式及基本配置防火墙三种部署模式及基本配置 Juniper 防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：基于 TCP/IP 协议三层的 NAT 模式；基于 TCP/IP 协议三层的路由模式；基于二层协议的透明模式。 2.1、NAT 模式模式当Juniper防火墙入口接口（“内网端口内网端口”）处于NAT模式时，防火墙将通往 Untrust 区（外网或者公网）（外网或者公网）的IP 数据包包头中的两个组件进行转换：源 IP 地址和源端口号。防火墙使用 Untrust 区（外网或者公网

13、）（外网或者公网）接口的 IP 地址替换始发端主机的源 IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。 JUNIPER 防火墙快速安装手册第第 7 页页共共 70 页页 http:/ NAT 模式应用的环境特征：模式应用的环境特征：注册 IP 地址（公网（公网 IP 地址）地址）的数量不足；内部网络使用大量的非注册 IP 地址（私网（私网 IP 地址）地址）需要合法访问 Internet；内部网络中有需要外显并对外提供服务的服务器。 2.2、Route-路由模式路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：（例如： Trust/Utr

14、ust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变（除非明确采用了地址翻译策略）。与NAT模式下不同，防火墙接口都处于路由模式时，防火墙不会自动实施地址翻译；与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。路由模式应用的环境特征：路由模式应用的环境特征：防火墙完全在内网中部署应用； NAT 模式下的所有环境； JUNIPER 防火墙快速安装手册第第 8 页页共共 70 页页 http:/ 需要复杂的地址翻译。 2.3、透明模式、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改 IP

15、数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器，防火墙对于用户来说是透明的。透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点：不需要修改现有网络规划及配置；不需要实施地址翻译；可以允许动态路由协议、Vlan trunking的数据包通过。 2.4、基于向导方式的、基于向导方式的 NAT/Route 模式下的基本配置模式下的基本配置 Juniper 防火墙 NAT 和路由模式的配置可以在防火墙保持出厂配置启动后通过 Web 浏览浏览 JUNIPER 防火墙快速安装手册第第 9 页页共共 70 页页 http:/

16、器器配置向导完成。注：要启动配置向导，则必须保证防火墙设备处于出厂状态。例如：新的从未被调试过的设备，或者经过命令行恢复为出厂状态的防火墙设备。通过 Web 浏览器登录处于出厂状态的防火墙时，防火墙的缺省管理参数如下：缺省缺省 IP：192.168.1.1/255.255.255.0；缺省用户名缺省用户名/密码：密码：netscreen/ netscreen；注：缺省管理注：缺省管理 IP 地址所在端口参见在前言部份讲述的地址所在端口参见在前言部份讲述的“Juniper 防火墙缺省管理端口和防火墙缺省管理端口和 IP 地址地址”中查找！中查找！在配置向导实现防火墙应用的同时，我

17、们先虚拟一个防火墙设备的部署环境，之后，根据这个环境对防火墙设备进行配置。防火墙配置规划：防火墙配置规划：防火墙部署在网络的 Internet 出口位置，内部网络使用的 IP 地址为 192.168.1.0/255.255.255.0 所在的网段，内部网络计算机的网关地址为防火墙内网端口的 IP 地址：192.168.1.1；防火墙外网接口 IP 地址（通常情况下为公网 IP 地址，在这里我们使用私网 IP 地址模拟公网 IP 地址）为：10.10.10.1/255.255.255.0，网关地址为：10.10.10.251 要求：要求：实现内部访问 Internet 的应用。注

18、：在进行防火墙设备配置前，要求正确连接防火墙的物理链路；调试用的计算机连接到防火墙的内网端口上。 1.通过 IE 或与 IE 兼容的浏览器（推荐应用微软 IE 浏览器）使用防火墙缺省 IP 地址登录防火墙（建议：保持登录防火墙的计算机与防火墙对应接口处于相同网段，直接相连）。 JUNIPER 防火墙快速安装手册第第 10 页页共共 70 页页 http:/ 2.使用缺省 IP 登录之后，出现安装向导：注：对于熟悉 Juniper 防火墙配置的工程师，可以跳过该配置向导，直接点选：No，skip the wizard and go straight to the WebUI man

19、agement session instead，之后选择 Next，直接登录防火墙设备的管理界面。 3.使用向导配置防火墙，请直接选择：Next，弹出下面的界面： JUNIPER 防火墙快速安装手册第第 11 页页共共 70 页页 http:/ 4.“欢迎使用配置向导” ，再选择 Next。 JUNIPER 防火墙快速安装手册第第 12 页页共共 70 页页 http:/ 注：进入登录用户名和密码的修改页面，Juniper 防火墙的登录用户名和密码是可以更改的，这个用户名和密码的界面修改的是防火墙设备上的根用户，这个用户对于防火墙设备来说具有最高的权限，需要认真考虑和仔细配置，保

20、存好修改后的用户名和密码。 5.在完成防火墙的登录用户名和密码的设置之后，出现了一个比较关键的选择，这个选择决定了防火墙设备是工作在路由模式还是工作在 NAT 模式：选择 Enable NAT，则防火墙工作在 NAT 模式；不选择 Enable NAT，则防火墙工作在路由模式。 6.防火墙设备工作模式选择，选择：Trust-Untrust Mode 模式。这种模式是应用最多的模式，防火墙可以被看作是只有一进一出的部署模式。 JUNIPER 防火墙快速安装手册第第 13 页页共共 70 页页 http:/ 注：NS-5GT 防火墙作为低端设备，为了能够增加低端产品应用的多样性，Jun

21、iper 在 NS- 5GT 的 OS 中独立开发了几种不同的模式应用于不同的环境。目前，除目前，除 NS-5GT 以外，以外， Juniper 其他系列防火墙不存在另外两种模式的选择。其他系列防火墙不存在另外两种模式的选择。 7.完成了模式选择，点击“Next”进行防火墙外网端口 IP 配置。外网端口 IP 配置有三个选项分别是：DHCP 自动获取 IP 地址；通过 PPPoE 拨号获得 IP 地址；手工设置静态 IP 地址，并配置子网掩码和网关 IP 地址。 JUNIPER 防火墙快速安装手册第第 14 页页共共 70 页页 http:/ 在这里，我们选择的是使用静态 IP 地址的

22、方式，配置外网端口 IP 地址为： 10.10.10.1/255.255.255.0，网关地址为：10.10.10.251。 8.完成外网端口的 IP 地址配置之后，点击“Next”进行防火墙内网端口 IP 配置： JUNIPER 防火墙快速安装手册第第 15 页页共共 70 页页 http:/ 9.在完成了上述的配置之后，防火墙的基本配置就完成了，点击“Next”进行 DHCP 服务器配置。注：DHCP 服务器配置在需要防火墙在网络中充当 DHCP 服务器的时候才需要配置。否则请选择“NO”跳过。注：上面的页面信息显示的是在防火墙设备上配置实现一个 DHCP 服务器功能，由防火墙

23、设备给内部计算机用户自动分配 IP 地址，分配的地址段为：192.168.1.100- 192.168.1.150 一共 51 个 IP 地址，在分配 IP 地址的同时，防火墙设备也给计算机用户分配了 DNS 服务器地址，DNS 用于对域名进行解析，如：将 WWW.SINA.COM.CN 解析为 IP 地址：202.108.33.32。如果计算机不能获得或设置 DNS 服务器地址，无法访问互联网。 10. 完成 DHCP 服务器选项设置，点击“Next”会弹出之前设置的汇总信息： JUNIPER 防火墙快速安装手册第第 16 页页共共 70 页页 http:/ 11. 确认配置没有问题

24、，点击“Next”会弹出提示“Finish”配置对话框： JUNIPER 防火墙快速安装手册第第 17 页页共共 70 页页 http:/ 在该界面中，点选：Finish 之后，该 Web 页面会被关闭，配置完成。此时防火墙对来自内网到外网的访问启用基于端口地址的 NAT，同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略：策略：策略方向由 Trust 到 Untrust，源地址：ANY，目标地址：ANY，网络服务内容： ANY；策略作用：允许来自内网的任意 IP 地址穿过防火墙访问外网的任意地址。重新开启一个 IE 页面，并在地址栏中输入防火墙的内网端口地址，确定

25、后，出现下图中的登录界面。输入正确的用户名和密码，登录到防火墙之后，可以对防火墙的现有配置进行修改。总结：总结：上述就是使用 Web 浏览器通过配置向导完成的防火墙 NAT 或路由模式的应用。通过配置向导，可以在不熟悉防火墙设备的情况下，配置简单环境的防火墙应用。 2.5、基于非向导方式的、基于非向导方式的 NAT/Route 模式下的基本配置模式下的基本配置基于非向导方式的 NAT 和 Route 模式的配置建议首先使用命令行开始，最好通过控制台的方式连接防火墙，这个管理方式不受接口 IP 地址的影响。 JUNIPER 防火墙快速安装手册第第 18 页页共共 70 页页 h

26、ttp:/ 注：在设备缺省的情况下，防火墙的信任区（注：在设备缺省的情况下，防火墙的信任区（Trust Zone）所在的端口是工作在）所在的端口是工作在 NAT 模模式的，其它安全区所在的端口是工作在路由模式的。式的，其它安全区所在的端口是工作在路由模式的。基于命令行方式的防火墙设备部署的配置如下（网络环境同上一章节所讲述的环境）： 2.5.1、NS-5GT NAT/Route 模式下的基本配置模式下的基本配置注：NS-5GT 设备的物理接口名称叫做 trust 和 untrust；缺省 Zone 包括：trust 和 untrust，请注意和接口区分开。 Unset interface

27、 trust ip （清除防火墙内网端口的 IP 地址）； Set interface trust zone trust（将内网端口分配到 trust zone）； Set interface trust ip 192.168.1.1/24（设置内网端口的 IP 地址，必须先定义 zone，之后再定义 IP 地址）； Set interface untrust zone untrust（将外网口分配到 untrust zone）； Set interface untrust ip 10.10.10.1/24（设置外网口的 IP 地址）； Set route 0.0.0.0/0 in

28、terface untrust gateway 10.10.10.251（设置防火墙对外的缺省路由网关地址）； JUNIPER 防火墙快速安装手册第第 19 页页共共 70 页页 http:/ Set policy from trust to untrust any any any permit log（定义一条由内网到外网的访问策略。策略的方向是：由 zone trust 到 zone untrust，源地址为：any，目标地址为：any，网络服务为：any，策略动作为：permit 允许，log：开启日志记录）； Save （保存上述的配置文件）。 2.5.2、NS-25

29、-208 NAT/Route 模式下的基本配置模式下的基本配置 Unset interface ethernet1 ip（清除防火墙内网口缺省 IP 地址）； Set interface ethernet1 zone trust（将 ethernet1 端口分配到 trust zone）； Set interface ethernet1 ip 192.168.1.1/24（定义 ethernet1 端口的 IP 地址）； Set interface ethernet3 zone untrust（将 ethernet3 端口分配到 untrust zone）； JUNIPER 防火墙快速

30、安装手册第第 20 页页共共 70 页页 http:/ Set interface ethernet3 ip 10.10.10.1/24（定义 ethernet3 端口的 IP 地址）； Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251（定义防火墙对外的缺省路由网关）； Set policy from trust to untrust any any any permit log（定义由内网到外网的访问控制策略）； Save （保存上述的配置文件）注：上述是在命令行的方式上实现的 NAT 模式的配置，因为防

31、火墙出厂时在内网端口（trust zone 所属的端口）上启用了 NAT，所以一般不用特别设置，但是其它的端口则工作在路由模式下，例如：untrust 和 DMZ 区的端口。如果需要将端口从路由模式修改为 NAT 模式，则可以按照如下的命令行进行修改： Set interface ethernet2 NAT （设置端口 2 为 NAT 模式） Save 总结：总结： NAT/Route 模式做防火墙部署的主要模式，通常是在一台防火墙上两种模式混合进行模式做防火墙部署的主要模式，通常是在一台防火墙上两种模式混合进行（除非防火墙完全是在内网应用部署，不需要做（除非防火墙完全是在内网应用部署

32、，不需要做 NAT-地址转换，这种情况下防火墙地址转换，这种情况下防火墙所有端口都处于所有端口都处于 Route 模式，防火墙首先作为一台路由器进行部署）模式，防火墙首先作为一台路由器进行部署）；关于配置举例，关于配置举例，NS-5GT 由于设备设计上的特殊性，因此专门列举加以说明；由于设备设计上的特殊性，因此专门列举加以说明； Juniper 在在 2006 年全新推出的年全新推出的 SSG 系列防火墙，除了端口命名不一样，和系列防火墙，除了端口命名不一样，和 NS-25 等设备管理配置方式一样。等设备管理配置方式一样。 2.6、基于非向导方式的透明模式下的基本配置、基于非向导方式的透

33、明模式下的基本配置实现透明模式配置建议采用命令行的方式，因为采用 Web 的方式实现时相对命令行的方式麻烦。通过控制台连接防火墙的控制口，登录命令行管理界面，通过如下命令及步骤进行二层透明模式的配置： Unset interface ethernet1 ip（将以太网 1 端口上的默认 IP 地址删除）； JUNIPER 防火墙快速安装手册第第 21 页页共共 70 页页 http:/ Set interface ethernet1 zone v1-trust（将以太网 1 端口分配到 v1-trust zone：基于二层的安全区，端口设置为该安全区后，则端口工作在二层模式，并且

34、不能在该端口上配置 IP 地址）； Set interface ethernet2 zone v1-dmz（将以太网 2 端口分配到 v1-dmz zone）； Set interface ethernet3 zone v1-untrust（将以太网 3 端口分配到 v1-untrust zone）； Set interface vlan1 ip 192.168.1.1/24（设置 VLAN1 的 IP 地址为： 192.168.1.1/255.255.255.0，该地址作为防火墙管理 IP 地址使用）； Set policy from v1-trust to v1-untrust

35、any any any permit log（设置一条由内网到外网的访问策略）； Save（保存当前的配置）；总结：总结：带有 V1-字样的 zone 为基于透明模式的安全区，在进行透明模式的应用时，至少要保证两个端口的安全区工作在二层模式；虽然 Juniper 防火墙可以在某些特殊版本工作在混合模式下（二层模式和三层模式的混合应用），但是通常情况下，建议尽量使防火墙工作在一种模式下（三层模式可以混用：NAT 和路由）。 3、Juniper 防火墙几种常用功能的防火墙几种常用功能的配置配置这里讲述的 Juniper 防火墙的几种常用功能主要是指基于策略的 NAT 的实现

36、，包括： MIP、VIP 和 DIP，这三种常用功能主要应用于防火墙所保护服务器提供对外服务。 3.1、MIP 的的配置配置 MIP 是“一对一”的双向地址翻译（转换）过程。通常的情况是：当你有若干个公网 IP 地址，又存在若干的对外提供网络服务的服务器（服务器使用私有 IP 地址），为了实现互联网用户访问这些服务器，可在 Internet 出口的防火墙上建立公网 IP 地址与服务器私有 IP JUNIPER 防火墙快速安装手册第第 22 页页共共 70 页页 http:/ 地址之间的一对一映射（MIP），并通过策略实现对服务器所提供服务进行访问控制。 MIP 应用的网络拓扑图：

37、注：注：MIP 配置在防火墙的外网端口（连接配置在防火墙的外网端口（连接 Internet 的端口）的端口）。 3.1.1、使用、使用 Web 浏览器方式配置浏览器方式配置 MIP 登录防火墙，将防火墙部署为三层模式（NAT 或路由模式）；定义 MIP：Network=Interface=ethernet2=MIP，配置实现 MIP 的地址映射。 Mapped IP：公网 IP 地址，Host IP：内网服务器 IP 地址 JUNIPER 防火墙快速安装手册第第 23 页页共共 70 页页 http:/ 定义策略：在 POLICY 中，配置由外到内的访问控制策略，以此允许来自外部网络

38、对内部网络服务器应用的访问。 JUNIPER 防火墙快速安装手册第第 24 页页共共 70 页页 http:/ 3.1.2、使用命令行方式配置、使用命令行方式配置 MIP 配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet2 zone untrust set interface ethernet2 ip 1.1.1.1/24 定义MIP set interface etherne

39、t2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr 定义策略 set policy from untrust to trust any mip(1.1.1.5) http permit save 3.2、VIP 的的配置配置 MIP 是一个公网 IP 地址对应一个私有 IP 地址，是一对一的映射关系；而 VIP 是一个公网 IP 地址的不同端口（协议端口如：21、25、110 等）与内部多个私有 IP 地址的不同服务端口的映射关系。通常应用在只有很少的公网 IP 地址，却拥有多个私有 IP 地址的服务器，

40、并且，这些服务器是需要对外提供各种服务的。 JUNIPER 防火墙快速安装手册第第 25 页页共共 70 页页 http:/ VIP 应用的拓扑图：注：注：VIP 配置在防火墙的外网连接端口上（连接配置在防火墙的外网连接端口上（连接 Internet 的端口）的端口）。 3.2.1、使用、使用 Web 浏览器方式配置浏览器方式配置 VIP 登录防火墙，配置防火墙为三层部署模式。添加VIP：Network=Interface=ethernet8=VIP 添加与该VIP公网地址相关的访问控制策略。 JUNIPER 防火墙快速安装手册第第 26 页页共共 70 页页 http:/

41、3.2.2、使用命令行方式配置、使用命令行方式配置 VIP 配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 定义VIP set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10 定义策略 set policy from untr

42、ust to trust any vip(1.1.1.10) http permit save 注：注：VIP 的地址可以利用防火墙设备的外网端口地址实现（限于低端设备）的地址可以利用防火墙设备的外网端口地址实现（限于低端设备）。 JUNIPER 防火墙快速安装手册第第 27 页页共共 70 页页 http:/ 3.3、DIP 的的配置配置 DIP 的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在 NAT 模式下，通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口 IP 地址，并实现对外网（互联网）的访问，这种应用存在一定的局限性。解决这种局限性的办法就是 DIP

43、，在内部网络 IP 地址外出访问时，动态转换为一个连续的公网 IP 地址池中的 IP 地址。 DIP 应用的网络拓扑图： 3.3.1、使用、使用 Web 浏览器方式配置浏览器方式配置 DIP 登录防火墙设备，配置防火墙为三层部署模式；定义DIP：Network=Interface=ethernet3=DIP，在定义了公网IP地址的untrust端口定义IP地址池； JUNIPER 防火墙快速安装手册第第 28 页页共共 70 页页 http:/ 定义策略：定义由内到外的访问策略，在策略的高级（ADV）部分NAT的相关内容中，启用源地址NAT，并在下拉菜单中选择刚刚定义好的DIP地址

44、池，保存策略，完成配置；策略配置完成之后拥有内部 IP 地址的网络设备在访问互联网时会自动从该地址池中选择一个公网 IP 地址进行 NAT。 JUNIPER 防火墙快速安装手册第第 29 页页共共 70 页页 http:/ 3.3.2、使用命令行方式配置、使用命令行方式配置 DIP 配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set int

45、erface ethernet3 ip 1.1.1.1/24 定义DIP set interface ethernet3 dip 5 1.1.1.30 1.1.1.30 定义策略 set policy from trust to untrust any any http nat src dip-id 5 permit save 4、Juniper 防火墙防火墙 IPSec VPN 的配置的配置 Juniper 所有系列防火墙（除部分早期型号外）都支持 IPSec VPN，其配置方式有多种，包括：基于策略的 VPN、基于路由的 VPN、集中星形 VPN 和背靠背 VPN 等。在这里，我们主要

46、介绍最常用的 VPN 模式：基于策略的 VPN。站点间（Site-to-Site）的 VPN 是 IPSec VPN 的典型应用，这里我们介绍两种站点间基于策略 VPN 的实现方式：站点两端都具备静态公网站点两端都具备静态公网 IP 地址；站点两端其中一端具备静态公地址；站点两端其中一端具备静态公网网 IP 地址，另一端动态公网地址，另一端动态公网 IP 地址。地址。 4.1、站点间、站点间 IPSec VPN 配置：配置：staic ip-to-staic ip 当创建站点两端都具备静态 IP 的 VPN 应用中，位于两端的防火墙上的 VPN 配置基本相同，不同之处是在 VPN gate

展开阅读全文