Juniper防火墙的基本设置v.1
2023年8月23日发(作者:质检员工作总结(精选5篇))
杜牧《早雁》-
① 通过Web浏览器方式管理.推荐使用IE浏览器进行登录管理,需要知道防火墙对应端口的管理IP地址;
② 命令行方式.支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接两种命令行登录管理模式.
Juniper防火墙默认端口绑定说明:
型号 端口命名方式(从左往右计数) 配置界面端口形式
NS-5GT 1口为Untrust接口;2-4口为Trust接口; Interface:untrust,trust
NS25 1口为Trust接口;2口为DMZ接口;3口为Untrust
接口;4口为Null
Interface:1口为ethernet1,
2口为ethernet2,其他接口顺
序后推
NS50-204 1口为Trust接口;2口为DMZ接口;3口为Untrust
接口;4口为HA接口
Interface:1口为ethernet1,
2口为ethernet2,其他接口顺
序后推
NS208 1口为Trust接口;2口为DMZ接口;3口为Untrust
接口;4-7口为Null接口;8口为HA接口;
Interface:1口为ethernet1,
2口为ethernet2,其他接口顺
序后推
SSG5 1口为Untrust接口;2口为DMZ接口;3-7口为Trust
接口;
Interface:1口为ethernet0/0,
2口为ethernet0/1,其他接口
顺序后推
SSG20 1口为Untrust接口;2口为DMZ接口;3-5口为Trust
接口;
Interface:1口为ethernet0/0,
2口为ethernet0/1,其他接口
顺序后推
SSG140 1口为Trust接口;2口为DMZ接口;3口为Untrust
接口;4-10口为Null接口;
Interface:1口为ethernet0/0,
2口为ethernet0/1,其他接口
顺序后推
SSG520-550 1口为Trust接口;2口为DMZ接口;3口为Untrust
接口;4口为Null接口;
Interface:1口为ethernet0/0,
2口为ethernet0/1,其他接口
顺序后推
Juniper防火墙缺省管理端口和IP地址:
① Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理.缺省
IP地址为:192.168.1.1/255.255.255.0;
② 缺省IP地址通常设置在防火墙的Trust端口上(NS-5GT),最小端口编号的物理端口上(NS-25/50/204/208/SSG系列),或者专用的管理端口上
(ISG-1000/2000,NS-5200/5400).
Juniper防火墙缺省登录管理账号:
① 用户名:netscreen;
② 密 码:netscreen.
1.3,Juniper防火墙的常用功能
在一般情况下,防火墙设备的常用功能包括:透明模式的部署,NAT/路由模式的部署,NAT的应用,MIP的应用,DIP的应用,VIP的应用,基于策略VPN的应用.
本安装手册将分别对以上防火墙的配置及功能的实现加以说明.
注:在对MIP/DIP/VIP等Juniper防火墙的一些基本概念不甚了解的情况下,请先到本手册最后一章节内容查看了解!
2,Juniper防火墙三种部署模式及基本配置
Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:
① 基于TCP/IP协议三层的NAT模式;
② 基于TCP/IP协议三层的路由模式;
③ 基于二层协议的透明模式.
2.1,NAT模式
当Juniper防火墙入口接口("内网端口")处于NAT模式时,防火墙将通往 Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源 IP 地址和源端口号. 防火墙使用 Untrust 区(外网或者公网)接口的 IP 地址替换始发端主机的源 IP 地址;
同时使用由防火墙生成的任意端口号替换源端口号.
NAT模式应用的环境特征:
① 注册IP地址(公网IP地址)的数量不足;
② 内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet;
③ 内部网络中有需要外显并对外提供服务的服务器.
2.2,Route模式
当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变(除非明确采用了地址翻译策略).
① 与NAT模式下不同,防火墙接口都处于路由模式时,防火墙不会自动实施地址翻译;② 与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中.
路由模式应用的环境特征:
① 防火墙完全在内网中部署应用;
② NAT模式下的所有环境;
③ 需要复杂的地址翻译.
2.3,透明模式
当Juniper防火墙接口处于"透明"模式时,防火墙将过滤通过的IP数据包,但不会修改
IP数据包包头中的任何信息.防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的. 透明模式是一种保护内部网络从不可信源接收信息流的方便手段.使用透明模式有以下优点: ① 不需要修改现有网络规划及配置;
② 不需要实施 地址翻译;
③ 可以允许动态路由协议,Vlan trunking的数据包通过.
2.4,基于向导方式的NAT/Route模式下的基本配置
Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web浏览器配置向导完成.
注:要启动配置向导,则必须保证防火墙设备处于出厂状态.例如:新的从未被调试过的设备,或者经过命令行恢复为出厂状态的防火墙设备.
通过Web浏览器登录处于出厂状态的防火墙时,防火墙的缺省管理参数如下:
① 缺省IP:192.168.1.1/255.255.255.0;
② 缺省用户名/密码:netscreen/ netscreen;
注:缺省管理IP地址所在端口参见在前言部份讲述的"Juniper防火墙缺省管理端口和IP地址"中查!! 在配置向导实现防火墙应用的同时,我们先虚拟一个防火墙设备的部署环境,之后,根据这个环境对防火墙设备进行配置.
防火墙配置规划:
① 防火墙部署在网络的Internet出口位置,内部网络使用的IP地址为
192.168.1.0/255.255.255.0所在的网段,内部网络计算机的网关地址为防火墙内网端
口的IP地址:192.168.1.1;
② 防火墙外网接口IP地址(通常情况下为公网IP地址,在这里我们使用私网IP地址模拟公网IP地址)为:10.10.10.1/255.255.255.0,网关地址为:10.10.10.251
要求: 实现内部访问Internet的应用.
注:在进行防火墙设备配置前,要求正确连接防火墙的物理链路;调试用的计算机连接到防火墙的内网端口上.
1. 通过IE或与IE兼容的浏览器(推荐应用微软IE浏览器)使用防火墙缺省IP地址登录防火墙(建议:保持登录防火墙的计算机与防火墙对应接口处于相同网段,直接相连).
2. 使用缺省IP登录之后,出现安装向导:
注:对于熟悉Juniper防火墙配置的工程师,可以跳过该配置向导,直接点选:No,skip the
wizard and go straight to the WebUI management session instead,之后选择Next,直接
登录防火墙设备的管理界面.
3. 使用向导配置防火墙,请直接选择:Next,弹出下面的界面:
4. "欢迎使用配置向导",再选择Next.
注:进入登录用户名和密码的修改页面,Juniper防火墙的登录用户名和密码是可以更改的,这个用户名和密码的界面修改的是防火墙设备上的根用户,这个用户对于防火墙设备来说具有最高的权限,需要认真考虑和仔细配置,保存好修改后的用户名和密码.
5. 在完成防火墙的登录用户名和密码的设置之后,出现了一个比较关键的选择,这个选择决定了防火墙设备是工作在路由模式还是工作在NAT模式:
选择Enable NAT,则防火墙工作在NAT模式;
不选择Enable NAT,则防火墙工作在路由模式.
6. 防火墙设备工作模式选择,选择:Trust-Untrust Mode模式.这种模式是应用最多的模式,防火墙可以被看作是只有一进一出的部署模式.
注:NS-5GT防火墙作为低端设备,为了能够增加低端产品应用的多样性,Juniper在NS-5GT的OS中独立开发了几种不同的模式应用于不同的环境.目前,除NS-5GT以外,Juniper其他系列防火墙不存在另外两种模式的选择.
7. 完成了模式选择,点击"Next"进行防火墙外网端口IP配置.外网端口IP配置有三个
选项分别是:DHCP自动获取IP地址;通过PPPoE拨号获得IP地址;手工设置静态IP地址,并配置子网掩码和网关IP地址.
在这里,我们选择的是使用静态IP地址的方式,配置外网端口IP地址为:
10.10.10.1/255.255.255.0,网关地址为:10.10.10.251.
8. 完成外网端口的IP地址配置之后,点击"Next"进行防火墙内网端口IP配置:
9. 在完成了上述的配置之后,防火墙的基本配置就完成了,点击"Next"进行DHCP服
务器配置.
注:DHCP服务器配置在需要防火墙在网络中充当DHCP服务器的时候才需要配置.否则请选择"NO"跳过.
注:上面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能,由防火墙设备给内部计算机用户自动分配IP地址,分配的地址段为:192.168.1.100-192.168.1.150一共51个IP地址,在分配IP地址的同时,防火墙设备也给计算机用户分配了DNS服务器地址,DNS用于对域名进行解析,如:将解析为IP地址:202.108.33.32.如果计算机不能获得或设置DNS服务器地址,无法访问互联网.
10. 完成DHCP服务器选项设置,点击"Next"会弹出之前设置的汇总信息:
11. 确认配置没有问题,点击"Next"会弹出提示"Finish"配置对话框: 在该界面中,点选:Finish之后,该Web页面会被关闭,配置完成. 此时防火墙对来自内网到外网的访问启用基于端口地址的NAT,同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略:
策略:策略方向由Trust到Untrust,源地址:ANY,目标地址:ANY,网络服务内容:ANY;
策略作用:允许来自内网的任意IP地址穿过防火墙访问外网的任意地址.
重新开启一个IE页面,并在地址栏中输入防火墙的内网端口地址,确定后,出现下图中的登录界面.输入正确的用户名和密码,登录到防火墙之后,可以对防火墙的现有配置进行修改.
总结:
上述就是使用Web浏览器通过配置向导完成的防火墙NAT或路由模式的应用.通过配置向导,可以在不熟悉防火墙设备的情况下,配置简单环境的防火墙应用.
2.5,基于非向导方式的NAT/Route模式下的基本配置
基于非向导方式的NAT和Route模式的配置建议首先使用命令行开始,最好通过控制台的方式连接防火墙,这个管理方式不受接口IP地址的影响.
注:在设备缺省的情况下,防火墙的信任区(Trust Zone)所在的端口是工作在NAT模式
的,其它安全区所在的端口是工作在路由模式的. 基于命令行方式的防火墙设备部署的配置如下(网络环境同上一章节所讲述的环境):
2.5.1,NS-5GT NAT/Route模式下的基本配置
注:NS-5GT设备的物理接口名称叫做trust和untrust;缺省Zone包括:trust和untrust,
请注意和接口区分开.
① Unset interface trust ip (清除防火墙内网端口的IP地址);
② Set interface trust zone trust(将内网端口分配到trust zone);
③ Set interface trust ip 192.168.1.1/24(设置内网端口的IP地址,必须先定义zone,之
后再定义IP地址);
④ Set interface untrust zone untrust(将外网口分配到untrust zone); ⑤ Set interface untrust ip 10.10.10.1/24(设置外网口的IP地址);
⑥ Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251(设置防火墙对外的缺省路
由网关地址);
⑦ Set policy from trust to untrust any any any permit log(定义一条由内网到外网的访问
策略.策略的方向是:由zone trust 到 zone untrust, 源地址为:any,目标地址为:
any,网络服务为:any,策略动作为:permit允许,log:开启日志记录);
⑧ Save (保存上述的配置文件).
2.5.2,非NS-5GT NAT/Route模式下的基本配置
① Unset interface ethernet1 ip(清除防火墙内网口缺省IP地址);
② Set interface ethernet1 zone trust(将ethernet1端口分配到trust zone);
③ Set interface ethernet1 ip 192.168.1.1/24(定义ethernet1端口的IP地址);
④ Set interface ethernet3 zone untrust(将ethernet3端口分配到untrust zone);
⑤ Set interface ethernet3 ip 10.10.10.1/24(定义ethernet3端口的IP地址);
⑥ Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251(定义防火墙对外的缺省
路由网关);
⑦ Set policy from trust to untrust any any any permit log(定义由内网到外网的访问控制
策略);
⑧ Save (保存上述的配置文件)
注:上述是在命令行的方式上实现的NAT模式的配置,因为防火墙出厂时在内网端口(trust zone所属的端口)上启用了NAT,所以一般不用特别设置,但是其它的端口则工作在路由模式下,例如:untrust和DMZ区的端口. 如果需要将端口从路由模式修改为NAT模式,则可以按照如下的命令行进行修改:
① Set interface ethernet2 NAT (设置端口2为NAT模式)
② Save
总结:
① NAT/Route模式做防火墙部署的主要模式,通常是在一台防火墙上两种模式混合进行(除非防火墙完全是在内网应用部署,不需要做NAT-地址转换,这种情况下防火墙所有端口都处于Route模式,防火墙首先作为一台路由器进行部署);
② 关于配置举例,NS-5GT由于设备设计上的特殊性,因此专门列举加以说明;Juniper
在2006年全新推出的SSG系列防火墙,除了端口命名不一样,和NS系列设备管理
配置方式一样.
2.6,基于非向导方式的透明模式下的基本配置
实现透明模式配置建议采用命令行的方式,因为采用Web的方式实现时相对命令行的方式麻烦.通过控制台连接防火墙的控制口,登录命令行管理界面,通过如下命令及步骤进行二层透明模式的配置:
① Unset interface ethernet1 ip(将以太网1端口上的默认IP地址删除);
② Set interface ethernet1 zone v1-trust(将以太网1端口分配到v1-trust zone:基于二
层的安全区,端口设置为该安全区后,则端口工作在二层模式,并且不能在该端口上
配置IP地址);
③ Set interface ethernet2 zone v1-dmz(将以太网2端口分配到v1-dmz zone);
④ Set interface ethernet3 zone v1-untrust(将以太网3端口分配到v1-untrust zone); ⑤ Set interface vlan1 ip 192.168.1.1/24(设置VLAN1的IP地址为:
192.168.1.1/255.255.255.0,该地址作为防火墙管理IP地址使用);
⑥ Set policy from v1-trust to v1-untrust any any any permit log(设置一条由内网到外网的访问策略);
⑦ Save(保存当前的配置);
总结:
① 带有V1-字样的zone为基于透明模式的安全区,在进行透明模式的应用时,至少要保证两个端口的安全区工作在二层模式;
② 虽然Juniper防火墙可以在某些特殊版本工作在混合模式下(二层模式和三层模式的混合应用),但是通常情况下,建议尽量使防火墙工作在一种模式下(三层模式可以混用:NAT和路由).
3,Juniper防火墙几种常用功能的配置
这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP,VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务.
3.1,MIP的配置
MIP是"一对一"的双向地址翻译(转换)过程.通常的情况是:当你有若干个公网IP地
址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制.
MIP应用的网络拓扑图:
注:MIP配置在防火墙的外网端口(连接Internet的端口).
3.1.1,使用Web浏览器方式配置MIP
① 登录防火墙,将防火墙部署为三层模式(NAT或路由模式);
② 定义MIP:Network=>Interface=>ethernet2=>MIP,配置实现MIP的地址映射.Mapped
IP:公网IP地址,Host IP:内网服务器IP地址
③ 定义策略:在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问.
3.1.2,使用命令行方式配置MIP
① 配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
② 定义MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter
trust-vr
③ 定义策略
set policy from untrust to trust any mip(1.1.1.5) http permit
save
3.2,VIP的配置
MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21,25,110等)与内部多个私有IP地址的不同服务端口的映射关系.通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的.
VIP应用的拓扑图:
注:VIP配置在防火墙的外网连接端口上(连接Internet的端口).
3.2.1,使用Web浏览器方式配置VIP
① 登录防火墙,配置防火墙为三层部署模式.
② 添加VIP:Network=>Interface=>ethernet8=>VIP
③ 添加与该VIP公网地址相关的访问控制策略.
3.2.2,使用命令行方式配置VIP
① 配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
② 定义VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
③ 定义策略
set policy from untrust to trust any vip(1.1.1.10) http permit
save
注:VIP的地址可以利用防火墙设备的外网端口地址实现(限于低端设备).
3.3,DIP的配置
DIP的应用一般是在内网对外网的访问方面.当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性.解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址.
DIP应用的网络拓扑图:
3.3.1,使用Web浏览器方式配置DIP
① 登录防火墙设备,配置防火墙为三层部署模式;
② 定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口定义IP地址池;
③ 定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中,
启用源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置;
策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT.
3.3.2,使用命令行方式配置DIP
① 配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24 ② 定义DIP
set interface ethernet3 dip 5 1.1.1.30 1.1.1.30
③ 定义策略
set policy from trust to untrust any any http nat src dip-id 5 permit
save
4,Juniper防火墙IPSec VPN的配置
Juniper所有系列防火墙(除部分早期型号外)都支持IPSec VPN,其配置方式有多种,包
括:基于策略的VPN,基于路由的VPN,集中星形VPN和背靠背VPN等.在这里,我们主要介绍最常用的VPN模式:基于策略的VPN. 站点间(Site-to-Site)的VPN是IPSec
VPN的典型应用,这里我们介绍两种站点间基于策略VPN的实现方式:站点两端都具备静态公网IP地址;站点两端其中一端具备静态公网IP地址,另一端动态公网IP地址.
4.1,站点间IPSec VPN配置:staic ip-to-staic ip
当创建站点两端都具备静态IP的VPN应用中,位于两端的防火墙上的VPN配置基本相同,不同之处是在VPN gateway部分的VPN网关指向IP不同,其它部分相同.
VPN组网拓扑图:staic ip-to-staic ip
4.1.1,使用Web浏览器方式配置
① 登录防火墙设备,配置防火墙为三层部署模式;
② 定义VPN第一阶段的相关配置:VPNs=>Autokey Advanced=>Gateway 配置VPN
gateway部分,定义VPN网关名称,定义"对端VPN设备的公网IP地址" 为本地VPN设备的网关地址,定义预共享密钥,选择发起VPN服务的物理端口;
③ 在VPN gateway的高级(Advanced)部分,定义相关的VPN隧道协商的加密算法,
选择VPN的发起模式;
④ 配置VPN第一阶段完成显示列表如下图;
⑤ 定义VPN第二阶段的相关配置:VPNs=>Autokey IKE
在Autokey IKE部分,选择第一阶段的VPN配置;
⑥ 在VPN第二阶段高级(Advances)部分,选择VPN的加密算法;
⑦ 配置VPN第二阶段完成显示列表如下图;
⑧ 定义VPN策略,选择地址和服务信息,策略动作选择为:隧道模式;VPN隧道选择为:
刚刚定义的隧道,选择自动设置为双向策略;
4.1.2,使用命令行方式配置
CLI ( 东京)
① 配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
② 定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
③ 定义地址
set address trust Trust_LAN 10.1.1.0/24
set address untrust paris_office 10.2.2.0/24
④ 定义IPSec VPN set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshare
h1p8A24nG5 proposal pre-g2-3des-sha
set vpn tokyo_paris gateway to_paris sec-level compatible
⑤ 定义策略
set policy top name "To/From Paris" from trust to untrust Trust_LAN paris_office
any tunnel vpn tokyo_paris
set policy top name "To/From Paris" from untrust to trust paris_office Trust_LAN
any tunnel vpn tokyo_paris
save
CLI ( 巴黎)
① 定义接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
② 定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
③ 定义地址
set address trust Trust_LAN 10.2.2.0/24
set address untrust tokyo_office 10.1.1.0/24
④ 定义IPSec VPN
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshare
h1p8A24nG5 proposal pre-g2-3des-sha
set vpn paris_tokyo gateway to_tokyo sec-level compatible
⑤ 定义策略
set policy top name "To/From Tokyo" from trust to untrust Trust_LAN tokyo_office
any tunnel vpn paris_tokyo
set policy top name "To/From Tokyo" from untrust to trust tokyo_office Trust_LAN
any tunnel vpn paris_tokyo
save
4.2,站点间IPSec VPN配置:staic ip-to-dynamic ip
在站点间IPSec VPN应用中,有一种特殊的应用,即在站点两端的设备中,一端拥有静态的公网IP地址,而另外一端只有动态的公网IP地址,以下讲述的案例是在这种情况下,Juniper防火墙如何建立IPSec VPN隧道.
基本原则: 在这种IPSec VPN组网应用中,拥有静态公网IP地址的一端作为被访问端出现,拥有动态公网IP地址的一端作为VPN隧道协商的发起端. 和站点两端都具备静态IP地址的配置的不同之处在于VPN第一阶段的相关配置,在主动发起端(只有动态公网IP地址一端)需要指定VPN网关地址,需配置一个本地ID,配置VPN发起模式为:主动模式;在站点另外一端(拥有静态公网IP地址一端)需要指定VPN网关
地址为对端设备的ID信息,不需要配置本地ID,其它部分相同.
IPSec VPN组网拓扑图:staic ip-to-dynamic ip
4.2.1,使用Web浏览器方式配置
① VPN第一阶段的配置:动态公网IP地址端. VPN的发起必须由本端开始,动态地址端可以确定对端防火墙的IP地址,因此在VPN
阶段一的配置中,需指定对端VPN设备的静态IP地址.同时,在本端设置一个Local
ID,提供给对端作为识别信息使用.
② VPN第一阶段的高级配置:动态公网IP地址端.
在VPN阶段一的高级配置中动态公网IP一端的VPN的发起模式应该配置为:主动
模式(Aggressive)
③ VPN第一阶段的配置:静态公网IP地址端.
在拥有静态公网IP地址的防火墙一端,在VPN阶段一的配置中,需要按照如下图所
示的配置:"Remote Gateway Type"应该选择"Dynamic IP Address",同时设置 Peer
ID(和在动态IP地址一端设置的Local ID相同).
④ VPN第二阶段配置,和在"static ip-to-static ip"模式下相同.
⑤ VPN的访问控制策略,和在"static ip-to-static ip"模式下相同.
4.2.1,使用命令行方式配置
CLI ( 设备-A)
① 定义接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 dhcp client
set interface ethernet3 dhcp client settings server 1.1.1.5
② 定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
③ 定义用户
set user pmason password Nd4syst4
④ 定义地址
set address trust "trusted network" 10.1.1.0/24
set address untrust "mail server" 3.3.3.5/32
⑤ 定义服务
set service ident protocol tcp src-port 0-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add http
set group service remote_mail add ftp
set group service remote_mail add telnet
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
⑥ 定义VPN
set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn branch_corp gateway to_mail sec-level compatible
⑦ 定义策略
set policy top from trust to untrust "trusted network" "mail server" remote_mail
tunnel vpn branch_corp auth server Local user pmason set policy top from untrust to trust "mail server" "trusted network" remote_mail
tunnel vpn branch_corp
save
CLI ( 设备-B)
① 定义接口参数
set interface ethernet2 zone dmz
set interface ethernet2 ip 3.3.3.3/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
② 路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
③ 定义地址
set address dmz "mail server" 3.3.3.5/32
set address untrust "branch office" 10.1.1.0/24
④ 定义服务
set service ident protocol tcp src-port 0-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
⑤ 定义VPN
set ike gateway to_branch dynamic pmason@ aggressive
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn corp_branch gateway to_branch tunnel sec-level compatible
⑥ 定义策略
set policy top from dmz to untrust "mail server" "branch office" remote_mail
tunnel vpn corp_branch
set policy top from untrust to dmz "branch office" "mail server" remote_mail
tunnel vpn corp_branch
save
5,Juniper中低端防火墙的UTM功能配置
Juniper中低端防火墙(目前主要以SSG系列防火墙为参考)支持非常广泛的攻击防护及内容安全功能,主要包括:防病毒(Anti-Virus),防垃圾邮件(Anti-Spam),URL过滤(URL filtering)以及深层检测/入侵防御(Deep Inspection/IPS).
注:上述的安全/防护功能集成在防火墙的ScreenOS操作系统中,但是必须通过license
(许可)激活后方可使用(并会在激活一段时间(通常是1年)后过期).当然在使用这些
功能的时候,我们还需要设定好防火墙的时钟以及DNS服务器地址. 当防火墙激活了相应的安全/防护功能以后,通过WebUI可以发现,Screening条目下会增加相应的功能条目,如下图:
5.1,防病毒功能的设置
Juniper防火墙的防病毒引擎(从ScreenOS5.3开始内嵌Kaspersky的防病毒引擎)可以
针对HTTP,FTP,POP3,IMAP以及SMTP等协议进行工作.
5.1.1,Scan Manager的设置
"Pattern Update Server"项中的URL地址为Juniper防火墙病毒特征库的官方下载 网址(当系统激活了防病毒功能后,该网址会自动出现). "Auto Pattern Update"项允许防火墙自动更新病毒特征库;后面的"Interval"项可以指定自动更新的频率.
"Update Now"项可以执行手动的病毒特征库升级.
"Drop/Bypass file if its size exceeds KB"项用来控制可扫表/传输的文件大小."Drop"项会在超过限额后,扔掉文件而不做扫描;"Bypass"项则会放行文件而
不做扫描.
"Drop//Bypass file if the number of concurrent files exceeds files"项用控制同时扫描/传输的文件数量."Drop"项会在超过限额后,扔掉文件而不做扫描;
"Bypass"项则会放行文件而不做扫描.
5.1.2,Profile的设置
通过设置不同的Profile,我们可以对不同的安全策略(Policy)采用不同的防病毒操作
(Juniper防火墙的防病毒引用是基于安全策略的;也就是说我们的防病毒设置是通过在特定的策略中引入特定的Profile来实现的.),进而实现高粒度化地防病毒控制,将防病毒对系统资源的消耗降到最低.
ns-profile是系统自带的profile.用户不需要做任何设置,就可以在安全策略里直接引用它. 除此之外,用户可以根据自己的需求来设置适合自身需求的e方面的设置包括对FTP,HTTP,IMAP,POP3以及SMTP等5个协议的内容,见下图.
Enable选项 每个特定的协议类型,都有一个Enable选项.选择之,则防病毒引擎会检查与这个协议相关的流量;反之,则不会检查.
Scan Mode的设置
Scan Mode有三个选择项:Scan All,Scan Intelligent,Scan By Extension.
Scan All:对于流量,检查所有已知的特征码.
Scan Intelligent:对于流量,检查比较常见的特征码.
Scan By Extension:仅针对特定的文件扩展名类型进行检查.如果选择该类型,则需要事先设定好Ext-List(设置文件扩展名的类型)与Include/Exclude Extension List.
Decompress Layer的设置
为了减少传输的时间,很多文件在传输过程中都会被压缩.Decompress Layer就是用来设置防病毒引擎扫描压缩文件的层数.防病毒引擎最多可以支持对4层压缩文件的扫描.
Skipmime Enable的设置
对于HTTP协议,可以进行Skipmime Enable的设置.打开该功能,则防病毒引擎不扫描
Mime List中包括的文件类型(系统默认打开该功能,并匹配默认的Mime List:
ns-skip-mime-list).
Email Notify的设置
对于IMAP,POP3,SMTP等email协议,可以进行Email Nortify的设置.打开该功能,
可以在发现病毒/异常后,发送email来通知用户(病毒发送者/邮件发送方/邮件接收方).
5.1.3,防病毒profile在安全策略中的引用
我们前面已经提到过,防病毒的实现是通过在特定安全策略中应用profile来实现的.比如,我们在名为ftp-scan的策略中引用av1的防病毒profile.
① 首先建立了名为av1的profile,并enable FTP协议的扫描;由于我仅希望检测的是FTP
应用,故关闭对其他协议的扫描.见下图:
② 设置ftp-scan安全策略,并引用profile av1. ③ 引用了profile进行病毒扫描的策略,在action栏会有相应的图标出现.
5.2,防垃圾邮件功能的设置
Juniper防火墙内嵌的防垃圾邮件引擎,可以帮助企业用户来减轻收到垃圾邮件的困扰. Juniper的防垃圾邮件功能主要是通过公共防垃圾邮件服务器来实现的.公共的防垃圾邮件 服务器会实时地更新防垃圾邮件的库,做到最大范围,最小误判的防垃圾功能.到ScreenOS5.4为止,juniper的防垃圾邮件引擎只支持SMTP协议. Juniper防垃圾邮件通过两种方式来检测垃圾邮件:1.通过公共防垃圾邮件服务器的white
list(可信任名单)与black list(不可信任名单).
5.2.1,Action 设置
SBL Default Enable项选中后,防火墙使用公共防垃圾服务器来判别垃圾邮件.默认为打开.
Actions项用来指定对垃圾邮件的处理方法:Tag on Subject(在邮件标题栏标注信息,指
明该邮件为垃圾邮件;不丢弃邮件);Tag on Header(在邮件内容的头部标注信息,指明
该邮件为垃圾邮件;不丢弃邮件);Drop(直接丢弃查到的垃圾邮件)
5.2.2,White List与Black List的设置
通过防火墙自定义white list和black list.比如在White List > White List Content栏输入,则防火墙在检查到与这个网址相关的邮件,都会认为是可信任邮件,直接放行. 比如在Black List >Black List Content栏输入,则防火墙在检测到这个网址有关的邮件时,都会判定为垃圾邮件.
5.2.3,防垃圾邮件功能的引用
最后,我们只要在安全策略里面引用防垃圾邮件功能,就可以对邮件进行检测了.Antispam enable项只要勾选,就开启了防垃圾邮件功能,如下图所示.
5.3,WEB/URL过滤功能的设置
Juniper可通过两种方式来提供URL过滤功能.一种是通过转发流量给外部的URL过滤服务器来实现(支持SurfControl和Websense两个产品);一种是通过内置的SurfControl URL过滤引擎来提供URL过滤.
5.3.1,转发URL过滤请求到外置URL过滤服务器
如果采用第一种方式的话,首先防火墙必须能够访问到本地的提供URL过滤的服务器(SurfControl或者Websense).然后通过以下项的设置来完成该功能的启用.
① 在Web Filtering > Protocol Selection条目下,选择需要Redirect按钮(SurfControl
或者Websense).
② 打开Web Filtering选项的Websense/SurfControl的条目:
Enable Web Filtering项设置为勾选,则Web Filtering功能打开.
Source Interface项用来选择与URL过滤服务器相连的接口(如果不选,则采用
Default).
Server Name项填入URL过滤服务器的地址.
Server Port项填入与服务器端口通讯的端口(默认为15868).
If connectivity to the server is lost,Block/Permit all HTTP requests项用来决定
如果与服务器连接丢失以后,防火墙采取什么措施.选择Block项,则与服务器失去
联系后,阻断所有HTTP请求;选择Permit项,则放行所有HTTP请求.
5.3.2,使用内置的URL过滤引擎进行URL过滤
如果使用Juniper防火墙自带的SurfControl引擎来过滤URL,可以通过以下操作来完成.
① 在Web Filtering > Protocol Selection条目下,选择需要Integrated按钮 (SurfControl或者Websense).
② 打开Web Filtering选项的SC-CPA的条目:
Enable Web Filtering via CPA Server项勾选.
Server Name项选择地区(比如我们处于亚洲,则选择Asia Pacific).
Host项会根据Server Name自动填充域名(比如前面选择了Asia Pacific,则会出现
).
Port项与服务器端口通讯的端口(默认为9020).
If connectivity to the server is lost,Block/Permit all HTTP requests项用来决定
如果与服务器连接丢失以后,防火墙采取什么措施.选择Block项,则与服务器失去
联系后,阻断所有HTTP请求;选择Permit项,则放行所有HTTP请求.
5.3.3,手动添加过滤项
下面以实例的方式来讲解手动添加过滤项的操作过程.我们假设要禁止访问
的访问.
① 首先,我们建立一个自己的过滤组(category),名字为news.在Screening > WEB
Filtering > Categories > Custom > Edit下:
② 其次,我们建议一个新的Profile,取名叫justfortest:Screening > WEB Filtering >
Profiles > Custom > Edit
Black List项中可以选择预定义或者自定义的过滤组(category).进入Black List的
组的网址将无条件禁止访问.
White List项中可以选择预定义或者自定义的过滤组(category).进入White List的
组的网址将无条件允许访问.
Default Action项可以选择Permit或者Deny.选择Permit,则没有匹配Black
List/White List/手动设定过滤项的网址,将被允许访问;Deny则反之.
Subscribers identified by项
Category Name可选择我们想要过滤的组别(在例子中,我们选取之前建立的news)
Action可选择permit或者block(在本例中,我们选取block)
③ 最后,我们在安全策略中引用URL过滤.
注:我们建立一条策略,然后在WEB Filtering项选择我们刚才建立的profile"justfortest".
策略建立完以后,会在Options栏出现WWW的图标.
安全策略生效后,我们就无法访问新浪网站了,我们将看到Your page is blocked due to
Juniper防火墙的基本设置
JUNIPER防火墙可以通过WEB图形化界面和命令行两种管理方式。
1、WEB图形化界面管理 PC通过网络可达防火墙接口,注意PC所在的区域。
打开IE输入防火墙接口ip地址,例:192.168.0.1登入防火墙。用户名:netscreen 密码:
进入WebUI 的主界面。对防火墙的设置都在左侧的各项菜单里完成。主要的子菜单有:configuration、network、policy。
1.1 Configuration菜单
Configuration是系统升级、帐户等管理配置。
进入Configuration—〉admin—〉administrators。更改管理员密码,在页面下方点击Edit。
1.2 Network网络相关设置
进入Network—〉interfaces对防火墙接口进行网络相关的设置。
点击Edit设置对应接口。可以设置接口IP地址、区域等。页面还显示接口的MAC地址等信息。
进入Network—〉Routing—〉Destination设置防火墙IP路由表。 点击NEW添加静态路由。输入目标地址段、GATAWAY、接口等。
Network其它的主要设置子菜单:
Network—〉DNS设置DNS服务器地址。
Network—〉Zones设置区域。
1.3 Policy策略相关设置:
自定义地址表:
进入Policy —〉Policy Elements—〉Address—〉List 设置自定义地址表。先选择相应的区域,再点击New添加IP地址表,用于策略调用。
输入自定义名字、IP、区域。
自定义地址组:
进入Policy —〉Policy Elements—〉Address—〉Group 设置自定义地址组。先选择相应的区域,再点击New添加
将用户地址加入自定义组中:
自定义协议:
Policy —〉Policy Elements—〉Services—〉Custom 设置自定义协议。点击New添加自定义协议,输入TCP或UDP端口范围。
时间表:
Policy —〉Policy Elements—〉Services—〉Schedules设置时间表,用于策略调用。
安全策略设置:
Policy —〉Policies设置安全策略。选择From / To访问控制的区域,点击New添加新策略。输入源(Source)和目的(Destination)IP地址段,也可以调用自定义地址和组。选择服务(Service),可调用自定义协议。选择动作(Action)为允许或禁止。点击确定完成。
点击Advanced可以附加流量控制和时间表控制等高级设置。
查看日志,在主页上点击more可以看到全部的告警信息。
2、命令行管理方式
防火墙的初始配置和部分功能设置只能通过命令行方式完成。PC通过网络可达防火墙接口,通过MS-DOS下TELNET登入。telnet 192.168.0.1
login: netscreen password:
防火墙的指令主要以set 、unset、get开头的指令集。如看配置:get config