juniper防火墙常用配置

l.Juniper防火墙管理配置的基本信息Juniper防火墙常用管理方式：通过Web浏览器方式管理。推荐使用IE浏览器进行登录管理，需要知道防火墙对应端口的管理IP地址；Juniper防火墙缺省管理端口和IP地址：Juniper防火墙缺省登录管理账号：用户名：密码：NS-5GTNAT/Route模式下的基本配置注：NS-5GT设备的物理接口名称叫做trust和untrust；缺省Zone包括：trust和untrust，请注意和接口区分开。Unsetinterfacetrustip（清除防火墙内网端口的IP地址）；Setinterfacetrustzonetrust（将内网端口trust分配到trustzone）；③（设置内网端口trust的IP地址，必须先定义zone，之后再定义IP地址）；④Setinterfaceuntrustzoneuntrust（将外网口untrust分配到untrustzone）；⑤（设置外网口untrust的IP地址）；⑥（设置防火墙对外的缺省路由网关地址）；⑦Setpolicyfromtrusttountrustanyanyanypermitlog（定义一条由内网至U外网的访问策略。策略的方向是：由zonetrust到zoneuntrust，源地址为：any,目标地址为：any,网络服务为：any,策略动作为：permit允许，log：开启日志记录）；⑧Save（保存上述的配置文件）。NS-25-208NAT/Route模式下的基本配置我们在做nat地址转换的时候要注意当前内网接口和外网接口的模式，正常的应该是：⑦Setpolicyfromtrusttountrustanyanyanypermitlog（定义由内网到夕卜网的访问控制策略）；⑧Save（保存上述的配置文件）3.Juniper防火墙几种常用功能的配置这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现，包括：MIP（映射IP）、VIP（虚拟IP）和DIP，这三种常用功能主要应用于防火墙所保护服务器提供对外服务。3.1、MIP的配置MIP是“一对一〃的双向地址翻译（转换）过程。通常的情况是：注：3.1.1、使用Web浏览器方式配置MIP登录防火墙，将防火墙部署为三层模式（NAT或路由模式）；定义MIP：公网IP地址，HostIP：内网服务器IP地址定义策略：在POLICY中，配置由外到内的访问控制策略，以此允许来自外部网络对内部网络服务器应用的访问。3.1.2、使用命令行方式配置MIP配置接口参数定义MIP定义策略setpolicyfromuntrusttotrustanymip()httppermitsave3.2、VIP的配置MIP是一个公网IP地址对应一个私有IP地址，是一对一的映射关系；而VIP是一个公网IP地址的不同端口(协议端口如：21、25、110.443等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址，却拥有多个私有IP地址的服务器，并且，这些服务器是需要对外提供各种服务的。注：3.2.1、使用Web浏览器方式配置VIP登录防火墙，配置防火墙为三层部署模式。添加VIP：③添加与该VIP公网地址相关的访问控制策略。3.2.2、使用命令行方式配置VIP<!--[if!supportLists]-->1.<!--[endif]-->①配置接口参数定义VIP定义策略setpolicyfromuntrusttotrustanyvip（0）httppermit（此处不能把目标地址设为any）save注：VIP的地址可以利用防火墙设备的外网端口地址实现（限于低端设备）。使用Web浏览器方式配置DIP登录防火墙设备，配置防火墙为三层部署模式；定义DIP：定义策略：定义由内到外的访问策略，在策略的高级（ADV）部分NAT的相关内容中，启用源地址NAT，并在下拉菜单中选择刚刚定义好的DIP地址池，保存策略，完成配置；策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT。使用命令行方式配置DIP①配置接口参数定义DIP定义策略setpolicyfromtrusttountrustanyanyhttpnatsrcdip-id5permitsave4、Juniper防火墙一些实用工具4.1、防火墙配置文件的导出和导入Juniper防火墙的配置文件的导入导出功能为用户提供了一个快速恢复当前配置的有效的手段。一旦用户不小心因为操作失误或设备损坏更换，都可以利用该功能，实现快速的防火墙配置的恢复，在最短的时间内恢复设备和网络正常工作。4.1.1、配置文件的导出配置文件的导出（WebUI）：在Configuration>Update>ConfigFile位置，点选：Savetofile，将当前的防火墙设备的配置文件导出为一个无后缀名的可编辑文本文件。配置文件的导出（CLI）：ns208->saveconfigfromflashtotftp5015Jun03.cfg4.1.2、配置文件的导入配置文件的导入（WebUI）：在Configuration>Update>ConfigFile位置，1、点选：MergetoCurrentConfiguration，覆盖当前配置并保留不同之处；2、点选：ReplaceCurrentConfiguration替换当前配置文件。导入完成之后，防火墙设备会自动重新启动，读取新的配置文件并运行。配置文件的导入（CLI）：ns208->saveconfigfromtftp5015June03.cfgtoflash或者ns208->saveconfigfromtftp5015June03.cfgmerge4.2、防火墙软件（ScreenOS）更新关于ScreenOS：Juniper防火墙的OS软件是可以升级的，一般每一到两个月会有一个新的OS版本发布，OS版本如：5.0.0R11.0，其中R前面的5.0.0是大版本号，这个版本号的变化代表着功能的变化；R后面的11.0是小版本号，这个号码的变化代表着BUG的完善，因此一般建议，在大版本号确定的情况下，选择小版本号大的OS作为当前设备的OS。关于OS升级注意事项：升级OS需要一定的时间，根据设备性能的不同略有差异，一般情况下大约需要5分钟的时间。在升级的过程中，一定要保持电源的供应、网线连接的稳定，最好是将防火墙从网络中暂时取出，待OS升级完成后再将防火墙设备接入网络。ScreenOS升级（WebUI）：Configuration>Update>ScreenOS/Keys。ScreenOS升级（CLI）:ns208->savesoftwarefromtftp50newimagetoflash4.3、防火墙恢复密码及出厂配置的方法当防火墙密码遗失的情况下，我们只能将防火墙恢复到出厂配置，方法是：①记录下防火墙的序列号(又称SerialNumber,在防火墙机身上面可找到)；②使用控制线连接防火墙的Console端口并重起防火墙；③防火墙正常启动到登录界面，是用记录下来的序列号作为登录的用户名/密码，根据防火墙的提示恢复到出厂配置。5、Juniper防火墙的一些概念安全区(SecurityZone)：Juniper防火墙增加了全新的安全区域(SecurityZone)的概念，安全区域是一个逻辑的结构，是多个处于相同属性区域的物理接口的集合。当不同安全区域之间相互通讯时，必须通过事先定义的策略检查才能通过；当在同一个安全区域进行通讯时，默认状态下允许不通过策略检查，经过配置后也可以强制进行策略检查以提高安全性。安全区域概念的出现，使防火墙的配置能更灵活同现有的网络结构相结合。以下图为例，通过实施安全区域的配置，内网的不同部门之间的通讯也必须通过策略的检查，进一步提高的系统的安全。接口(Interface)：信息流可通过物理接口和子接口进出安全区(SecurityZone)。为了使网络信息流能流入和流出安全区，必须将一个接口绑定到一个安全区，如果属于第3层安全区，则需要给接口分配一个IP地址。虚拟路由器(VirtualRouter)：Juniper防火墙支持虚拟路由器技术，在一个防火墙设备里，将原来单一路由方式下的单一路由表，进化为多个虚拟路由器以及相应的多张独立的路由表，提高了防火墙系统的安全性以及IP地址配置的灵活性。安全策略(Policy)：Juniper防火墙在定义策略时，主要需要设定源IP地址、目的IP地址、网络服务以及防火墙的动作。在设定网络服务时，Juniper防火墙已经内置预设了大量常见的网络服务类型，同时，也可以由客户自行定义网络服务。在客户自行定义通过防火墙的服务时，需要选择网络服务的协议，是UDP、TCP还是其它，需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。因此，通过对网络服务的定义，以及IP地址的定义，使Juniper防火墙的策略细致程度大大加强，安全性也提高了。除了定义上述这些主要参数以外，在策略中还可以定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。通过这些主要的安全元素和附加元素的控制，可以让系统管理员对进出防火墙的数据流量进行严格的访问控制，达到保护内网系统资源安全的目的。映射IP（MIP）：MIP是从一个IP地址到另一个IP地址双向的一对一映射。当防火墙收到一个目标地址为MIP的内向数据流时，通过策略控制防火墙将数据转发至MIP指向地址的主机；当MIP映射的主机发起出站数据流时，通过策略控制防火墙将该主机的源IP地址转换成MIP地址。虚拟IP（VIP）：VIP是一个通过防火墙外网端口可用的公网IP地址的不同端口（协议端口如：21、25、110等）与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址，却拥有多个私有IP地址的服务器，并且这些服务器是需要对外提供各种服务的。将要配置桥接模式的接口都不分配IP地址（或分配为），然后将它们的Zone都设置为：v1-trustv1-untrustv1-dmz的其中一个就可以了。当配置第二个接口时系统会提示你有超过一个接口配置为该区域的桥接接口的。当一个接口配置v1-trust另一个配置v1-untrust时，要使两者互通需要在Policies中添加：“允许v1-untrust的Any访问v1-trust的Any”与“允许v1-trust的Any访问v1-untrust的Any”就可以全通了（PS：透明模式的策略安全等级划分与路由模式相当）。配置管理IP需要选定一个名为Vlan1的接口，将其配置IP地址设置为管理IP地址，并激活WEBUI管理、TELNET管理、PING功能，然后再v1-trust口激活WEBUI管理、TELNET管理、PING功能就可以在v1-trust的区域下通过Vlan1接口的管理IP管理防火墙了。需要注意的是，v1-untrust区域的机器无论进行任何设置都是不能通过Vlan1接口的管理IP管理防火墙的。另外，桥接模式支持像传统路由模式下的包过滤策略，但不支持NAT/PAT等映射策略。白皮书上的例子：管理设置与接口setinterfacevlan1ip52setinterfacevlan1managewebsetinterfacevlanlmanageping10.setinterfacetrustmanageweb12.setinterfacetrustmanageping路由metric1地址策略setpolicyfromv1-trusttov1-untrustanyanyanypermitsetpolicyfromv1-untrusttov1-trustanyMail_Servermailpermitsetpolicyfromv1-untrusttov1-trustanyFTP_Serverftp-getpermitsave