Juniper防火墙的基本设置v.1

2023年11月28日发(作者：)

Juniper防⽕墙的基本设置v.1

①通过Web浏览器⽅式管理.推荐使⽤IE浏览器进⾏登录管理,需要知道防⽕墙对应端⼝的管理IP地址;

②命令⾏⽅式.⽀持通过Console端⼝超级终端连接和Telnet防⽕墙管理IP地址连接两种命令⾏登录管理模式.

Juniper防⽕墙默认端⼝绑定说明:

型号端⼝命名⽅式(从左往右计数) 配置界⾯端⼝形式

NS-5GT 1⼝为Untrust接⼝;2-4⼝为Trust接⼝; Interface:untrust,trust

NS25 1⼝为Trust接⼝;2⼝为DMZ接⼝;3⼝为Untrust

接⼝;4⼝为Null

Interface:1⼝为ethernet1,

2⼝为ethernet2,其他接⼝顺

序后推

NS50-204 1⼝为Trust接⼝;2⼝为DMZ接⼝;3⼝为Untrust

接⼝;4⼝为HA接⼝

Interface:1⼝为ethernet1,

2⼝为ethernet2,其他接⼝顺

序后推

NS208 1⼝为Trust接⼝;2⼝为DMZ接⼝;3⼝为Untrust

接⼝;4-7⼝为Null接⼝;8⼝为HA接⼝;

Interface:1⼝为ethernet1,

2⼝为ethernet2,其他接⼝顺

序后推

SSG5 1⼝为Untrust接⼝;2⼝为DMZ接⼝;3-7⼝为Trust

接⼝;

Interface:1⼝为ethernet0/0,

2⼝为ethernet0/1,其他接⼝

顺序后推

SSG20 1⼝为Untrust接⼝;2⼝为DMZ接⼝;3-5⼝为Trust

接⼝;

Interface:1⼝为ethernet0/0,

2⼝为ethernet0/1,其他接⼝

顺序后推

SSG140 1⼝为Trust接⼝;2⼝为DMZ接⼝;3⼝为Untrust

接⼝;4-10⼝为Null接⼝;

Interface:1⼝为ethernet0/0,

2⼝为ethernet0/1,其他接⼝

顺序后推

SSG520-550 1⼝为Trust接⼝;2⼝为DMZ接⼝;3⼝为Untrust

接⼝;4⼝为Null接⼝;

Interface:1⼝为ethernet0/0,

2⼝为ethernet0/1,其他接⼝

顺序后推

Juniper防⽕墙缺省管理端⼝和IP地址:

①Juniper防⽕墙出⼚时可通过缺省设置的IP地址使⽤Telnet或者Web⽅式管理.

缺省

IP地址为:192.168.1.1/255.255.255.0;

②缺省IP地址通常设置在防⽕墙的Trust端⼝上(NS-5GT),最⼩端⼝编号的物理端⼝上(NS-25/50/204/208/SSG系列),或者专⽤的

管理端⼝上

(ISG-1000/2000,NS-5200/5400).

Juniper防⽕墙缺省登录管理账号:

①⽤户名:netscreen;

②密码:netscreen.

1.3,Juniper防⽕墙的常⽤功能

在⼀般情况下,防⽕墙设备的常⽤功能包括:透明模式的部署,NAT/路由模式的部署,NAT的应⽤,MIP的应⽤,DIP的应⽤,VIP的应

⽤,基于策略VPN的应⽤.

本安装⼿册将分别对以上防⽕墙的配置及功能的实现加以说明.

注:在对MIP/DIP/VIP等Juniper防⽕墙的⼀些基本概念不甚了解的情况下,请先到本⼿册最后⼀章节内容查看了解!

2,Juniper防⽕墙三种部署模式及基本配置

Juniper防⽕墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:

①基于TCP/IP协议三层的NAT模式;

②基于TCP/IP协议三层的路由模式;

③基于⼆层协议的透明模式.

2.1,NAT模式

当Juniper防⽕墙⼊⼝接⼝("内⽹端⼝")处于NAT模式时,防⽕墙将通往Untrust 区(外⽹或者公⽹)的IP 数据包包头中的两个组件

进⾏转换:源IP 地址和源端⼝号. 防⽕墙使⽤Untrust 区(外⽹或者公⽹)接⼝的IP 地址替换始发端主机的源IP 地址; 同时使⽤由防

⽕墙⽣成的任意端⼝号替换源端⼝号.

NAT模式应⽤的环境特征:

①注册IP地址(公⽹IP地址)的数量不⾜;

②内部⽹络使⽤⼤量的⾮注册IP地址(私⽹IP地址)需要合法访问Internet;

③内部⽹络中有需要外显并对外提供服务的服务器.

2.2,Route模式

当Juniper防⽕墙接⼝配置为路由模式时,防⽕墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地

址和端⼝号保持不变(除⾮明确采⽤了地址翻译策略).

①与NAT模式下不同,防⽕墙接⼝都处于路由模式时,防⽕墙不会⾃动实施地址翻译;②与透明模式下不同,当防⽕墙接⼝都处于路

由模式时,其所有接⼝都处于不同的⼦⽹中.

路由模式应⽤的环境特征:

①防⽕墙完全在内⽹中部署应⽤;

②NAT模式下的所有环境;

③需要复杂的地址翻译.

2.3,透明模式

当Juniper防⽕墙接⼝处于"透明"模式时,防⽕墙将过滤通过的IP数据包,但不会修改IP数据包包头中的任何信息.防⽕墙的作⽤更

像是处于同⼀VLAN的2 层交换机或者桥接器,防⽕墙对于⽤户来说是透明的. 透明模式是⼀种保护内部⽹络从不可信源接收信

息流的⽅便⼿段.使⽤透明模式有以下优点:

①不需要修改现有⽹络规划及配置;

②不需要实施地址翻译;

③可以允许动态路由协议,Vlan trunking的数据包通过.

2.4,基于向导⽅式的NA T/Route模式下的基本配置

Juniper防⽕墙NAT和路由模式的配置可以在防⽕墙保持出⼚配置启动后通过Web 浏览器配置向导完成.

注:要启动配置向导,则必须保证防⽕墙设备处于出⼚状态.例如:新的从未被调试过的设备,或者经过命令⾏恢复为出⼚状态的防

⽕墙设备.

通过Web浏览器登录处于出⼚状态的防⽕墙时,防⽕墙的缺省管理参数如下:

①缺省IP:192.168.1.1/255.255.255.0;

②缺省⽤户名/密码:netscreen/ netscreen;

注:缺省管理IP地址所在端⼝参见在前⾔部份讲述的"Juniper防⽕墙缺省管理端⼝和IP地址"中查找!! 在配置向导实现防⽕墙应⽤

的同时,我们先虚拟⼀个防⽕墙设备的部署环境,之后,根据这个环境对防⽕墙设备进⾏配置.

防⽕墙配置规划:

①防⽕墙部署在⽹络的Internet出⼝位置,内部⽹络使⽤的IP地址为

192.168.1.0/255.255.255.0所在的⽹段,内部⽹络计算机的⽹关地址为防⽕墙内⽹端⼝的IP地址:192.168.1.1;

②防⽕墙外⽹接⼝IP地址(通常情况下为公⽹IP地址,在这⾥我们使⽤私⽹IP地址模拟公⽹IP地址)为:10.10.10.1/255.255.255.0,

⽹关地址为:10.10.10.251

要求: 实现内部访问Internet的应⽤.

注:在进⾏防⽕墙设备配置前,要求正确连接防⽕墙的物理链路;调试⽤的计算机连接到防⽕墙的内⽹端⼝上.

1. 通过IE或与IE兼容的浏览器(推荐应⽤微软IE浏览器)使⽤防⽕墙缺省IP地址登录防⽕墙(建议:保持登录防⽕墙的计算机与防⽕

墙对应接⼝处于相同⽹段,直接相连).

2. 使⽤缺省IP登录之后,出现安装向导:

注:对于熟悉Juniper防⽕墙配置的⼯程师,可以跳过该配置向导,直接点选:No,skip the wizard and go straight to the WebUI

management session instead,之后选择Next,直接

登录防⽕墙设备的管理界⾯.

3. 使⽤向导配置防⽕墙,请直接选择:Next,弹出下⾯的界⾯:

4. "欢迎使⽤配置向导",再选择Next.

注:进⼊登录⽤户名和密码的修改页⾯,Juniper防⽕墙的登录⽤户名和密码是可以更改的,这个⽤户名和密码的界⾯修改的是防

⽕墙设备上的根⽤户,这个⽤户对于防⽕墙设备来说具有最⾼的权限,需要认真考虑和仔细配置,保存好修改后的⽤户名和密码.

5. 在完成防⽕墙的登录⽤户名和密码的设置之后,出现了⼀个⽐较关键的选择,这个选择决定了防⽕墙设备是⼯作在路由模式还

是⼯作在NAT模式:

选择Enable NAT,则防⽕墙⼯作在NAT模式;

不选择Enable NAT,则防⽕墙⼯作在路由模式.

6. 防⽕墙设备⼯作模式选择,选择:Trust-Untrust Mode模式.这种模式是应⽤最多的模式,防⽕墙可以被看作是只有⼀进⼀出的部

署模式.

注:NS-5GT防⽕墙作为低端设备,为了能够增加低端产品应⽤的多样性,Juniper在NS-5GT的OS中独⽴开发了⼏种不同的模式应

⽤于不同的环境.⽬前,除NS-5GT以

外,Juniper其他系列防⽕墙不存在另外两种模式的选择.

7. 完成了模式选择,点击"Next"进⾏防⽕墙外⽹端⼝IP配置.外⽹端⼝IP配置有三个选项分别是:DHCP⾃动获取IP地址;通过

PPPoE拨号获得IP地址;⼿⼯设置静态IP 地址,并配置⼦⽹掩码和⽹关IP地址.

在这⾥,我们选择的是使⽤静态IP地址的⽅式,配置外⽹端⼝IP地址为:

10.10.10.1/255.255.255.0,⽹关地址为:10.10.10.251.

8. 完成外⽹端⼝的IP地址配置之后,点击"Next"进⾏防⽕墙内⽹端⼝IP配置:

9. 在完成了上述的配置之后,防⽕墙的基本配置就完成了,点击"Next"进⾏DHCP服务器配置.

注:DHCP服务器配置在需要防⽕墙在⽹络中充当DHCP服务器的时候才需要配置.否则请选择"NO"跳过.

注:上⾯的页⾯信息显⽰的是在防⽕墙设备上配置实现⼀个DHCP服务器功能,由防⽕墙设备给内部计算机⽤户⾃动分配IP地址,

分配的地址段为:192.168.1.100-192.168.1.150⼀共51个IP地址,在分配IP地址的同时,防⽕墙设备也给计算机⽤户分配了DNS服

务器地址,DNS⽤于对域名进⾏解析,如:将/doc/ 解析为IP地

址:202.108.33.32.如果计算机不能获得或设置DNS服务器地址,⽆法访问互联⽹.

10. 完成DHCP服务器选项设置,点击"Next"会弹出之前设置的汇总信息:

11. 确认配置没有问题,点击"Next"会弹出提⽰"Finish"配置对话框: 在该界⾯中,点选:Finish之后,该Web页⾯会被关闭,配置完成.

此时防⽕墙对来⾃内⽹到外⽹的访问启⽤基于端⼝地址的NAT,同时防⽕墙设备会⾃动在策略列表部分⽣成⼀条由内⽹到外⽹

的访问策略:

策略:策略⽅向由Trust到Untrust,源地址:ANY,⽬标地址:ANY,⽹络服务内容:ANY; 策略作⽤:允许来⾃内⽹的任意IP地址穿过防

⽕墙访问外⽹的任意地址.

重新开启⼀个IE页⾯,并在地址栏中输⼊防⽕墙的内⽹端⼝地址,确定后,出现下图中的登录界⾯.输⼊正确的⽤户名和密码,登录

到防⽕墙之后,可以对防⽕墙的现有配置进⾏修改.

总结:

上述就是使⽤Web浏览器通过配置向导完成的防⽕墙NAT或路由模式的应⽤.通过配置向导,可以在不熟悉防⽕墙设备的情况下,

配置简单环境的防⽕墙应⽤.

2.5,基于⾮向导⽅式的NAT/Route模式下的基本配置

基于⾮向导⽅式的NAT和Route模式的配置建议⾸先使⽤命令⾏开始,最好通过控制台的⽅式连接防⽕墙,这个管理⽅式不受接

⼝IP地址的影响.

注:在设备缺省的情况下,防⽕墙的信任区(Trust Zone)所在的端⼝是⼯作在NAT模式的,其它安全区所在的端⼝是⼯作在路由模

式的. 基于命令⾏⽅式的防⽕墙设备部署的配置如下(⽹络环境同上⼀章节所讲述的环境):

2.5.1,NS-5GT NAT/Route模式下的基本配置

注:NS-5GT设备的物理接⼝名称叫做trust和untrust;缺省Zone包括:trust和untrust, 请注意和接⼝区分开.

①Unset interface trust ip (清除防⽕墙内⽹端⼝的IP地址);

②Set interface trust zone trust(将内⽹端⼝分配到trust zone);

③Set interface trust ip 192.168.1.1/24(设置内⽹端⼝的IP地址,必须先定义zone,之

后再定义IP地址);

④Set interface untrust zone untrust(将外⽹⼝分配到untrust zone);

⑤Set interface untrust ip 10.10.10.1/24(设置外⽹⼝的IP地址);

⑥Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251(设置防⽕墙对外的缺省路由⽹关地址);

⑦Set policy from trust to untrust any any any permit log(定义⼀条由内⽹到外⽹的访问

策略.策略的⽅向是:由zone trust 到zone untrust, 源地址为:any,⽬标地址为:

any,⽹络服务为:any,策略动作为:permit允许,log:开启⽇志记录);

⑧Save (保存上述的配置⽂件).

2.5.2,⾮NS-5GT NAT/Route模式下的基本配置

①Unset interface ethernet1 ip(清除防⽕墙内⽹⼝缺省IP地址);

②Set interface ethernet1 zone trust(将ethernet1端⼝分配到trust zone);

③Set interface ethernet1 ip 192.168.1.1/24(定义ethernet1端⼝的IP地址);

④Set interface ethernet3 zone untrust(将ethernet3端⼝分配到untrust zone);

⑤Set interface ethernet3 ip 10.10.10.1/24(定义ethernet3端⼝的IP地址);

⑥Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251(定义防⽕墙对外的缺省路由⽹关);

⑦Set policy from trust to untrust any any any permit log(定义由内⽹到外⽹的访问控制

策略);

⑧Save (保存上述的配置⽂件)

注:上述是在命令⾏的⽅式上实现的NAT模式的配置,因为防⽕墙出⼚时在内⽹端⼝(trust zone所属的端⼝)上启⽤了NAT,所以⼀

般不⽤特别设置,但是其它的端⼝则⼯作在路由模式下,例如:untrust和DMZ区的端⼝. 如果需要将端⼝从路由模式修改为NAT模

式,则可以按照如下的命令⾏进⾏修改:

①Set interface ethernet2 NAT (设置端⼝2为NAT模式)

②Save

总结:

①NAT/Route模式做防⽕墙部署的主要模式,通常是在⼀台防⽕墙上两种模式混合进⾏(除⾮防⽕墙完全是在内⽹应⽤部署,不需

要做NAT-地址转换,这种情况下防⽕墙所有端⼝都处于Route模式,防⽕墙⾸先作为⼀台路由器进⾏部署);

②关于配置举例,NS-5GT由于设备设计上的特殊性,因此专门列举加以说明;Juniper 在2006年全新推出的SSG系列防⽕墙,除了

端⼝命名不⼀样,和NS系列设备管理配置⽅式⼀样.

2.6,基于⾮向导⽅式的透明模式下的基本配置

实现透明模式配置建议采⽤命令⾏的⽅式,因为采⽤Web的⽅式实现时相对命令⾏的⽅式⿇烦.通过控制台连接防⽕墙的控制⼝,

登录命令⾏管理界⾯,通过如下命令及步骤进⾏⼆层透明模式的配置:

①Unset interface ethernet1 ip(将以太⽹1端⼝上的默认IP地址删除);

②Set interface ethernet1 zone v1-trust(将以太⽹1端⼝分配到v1-trust zone:基于⼆层的安全区,端⼝设置为该安全区后,则端⼝

⼯作在⼆层模式,并且不能在该端⼝上

配置IP地址);

③Set interface ethernet2 zone v1-dmz(将以太⽹2端⼝分配到v1-dmz zone);

④Set interface ethernet3 zone v1-untrust(将以太⽹3端⼝分配到v1-untrust zone);

⑤Set interface vlan1 ip 192.168.1.1/24(设置VLAN1的IP地址为:

192.168.1.1/255.255.255.0,该地址作为防⽕墙管理IP地址使⽤);

⑥Set policy from v1-trust to v1-untrust any any any permit log(设置⼀条由内⽹到外⽹的访问策略);

⑦Save(保存当前的配置);

总结:

①带有V1-字样的zone为基于透明模式的安全区,在进⾏透明模式的应⽤时,⾄少要保证两个端⼝的安全区⼯作在⼆层模式;

②虽然Juniper防⽕墙可以在某些特殊版本⼯作在混合模式下(⼆层模式和三层模式的混合应⽤),但是通常情况下,建议尽量使防

⽕墙⼯作在⼀种模式下(三层模式可以混⽤:NAT和路由).

3,Juniper防⽕墙⼏种常⽤功能的配置

这⾥讲述的Juniper防⽕墙的⼏种常⽤功能主要是指基于策略的NAT的实现,包括:MIP,VIP和DIP,这三种常⽤功能主要应⽤于防

⽕墙所保护服务器提供对外服务.

3.1,MIP的配置

MIP是"⼀对⼀"的双向地址翻译(转换)过程.通常的情况是:当你有若⼲个公⽹IP地址,⼜存在若⼲的对外提供⽹络服务的服务器

(服务器使⽤私有IP地址),为了实现互联⽹⽤户访问这些服务器,可在Internet出⼝的防⽕墙上建⽴公⽹IP地址与服务器私有IP地

址之间的⼀对⼀映射(MIP),并通过策略实现对服务器所提供服务进⾏访问控制.

MIP应⽤的⽹络拓扑图:

注:MIP配置在防⽕墙的外⽹端⼝(连接Internet的端⼝).

3.1.1,使⽤Web浏览器⽅式配置MIP

①登录防⽕墙,将防⽕墙部署为三层模式(NA T或路由模式);

②定义MIP:Network=>Interface=>ethernet2=>MIP,配置实现MIP的地址映射.Mapped

IP:公⽹IP地址,Host IP:内⽹服务器IP地址

③定义策略:在POLICY中,配置由外到内的访问控制策略,以此允许来⾃外部⽹络对内部⽹络服务器应⽤的访问.

3.1.2,使⽤命令⾏⽅式配置MIP

①配置接⼝参数

set interface ethernet1 zone trust

set interface ethernet1 ip 10.1.1.1/24

set interface ethernet1 nat

set interface ethernet2 zone untrust

set interface ethernet2 ip 1.1.1.1/24

②定义MIP

set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter

trust-vr

③定义策略

set policy from untrust to trust any mip(1.1.1.5) http permit

save

3.2,VIP的配置

MIP是⼀个公⽹IP地址对应⼀个私有IP地址,是⼀对⼀的映射关系;⽽VIP是⼀个公

⽹IP地址的不同端⼝(协议端⼝如:21,25,110等)与内部多个私有IP地址的不同服务端⼝的映射关系.通常应⽤在只有很少的公⽹

IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的.

VIP应⽤的拓扑图:

注:VIP配置在防⽕墙的外⽹连接端⼝上(连接Internet的端⼝).

3.2.1,使⽤Web浏览器⽅式配置VIP

①登录防⽕墙,配置防⽕墙为三层部署模式.

②添加VIP:Network=>Interface=>ethernet8=>VIP

③添加与该VIP公⽹地址相关的访问控制策略.

3.2.2,使⽤命令⾏⽅式配置VIP

①配置接⼝参数

set interface ethernet1 zone trust

set interface ethernet1 ip 10.1.1.1/24

set interface ethernet1 nat

set interface ethernet3 zone untrust

set interface ethernet3 ip 1.1.1.1/24

②定义VIP

set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10

③定义策略

set policy from untrust to trust any vip(1.1.1.10) http permit

save

注:VIP的地址可以利⽤防⽕墙设备的外⽹端⼝地址实现(限于低端设备).

3.3,DIP的配置

DIP的应⽤⼀般是在内⽹对外⽹的访问⽅⾯.当防⽕墙内⽹端⼝部署在NAT模式下,通过防⽕墙由内⽹对外⽹的访问会⾃动转换

为防⽕墙设备的外⽹端⼝IP地址,并实现对外⽹(互联⽹)的访问,这种应⽤存在⼀定的局限性.解决这种局限性的办法就是DIP,在

内部⽹络IP地址外出访问时,动态转换为⼀个连续的公⽹IP地址池中的IP地址.

DIP应⽤的⽹络拓扑图:

3.3.1,使⽤Web浏览器⽅式配置DIP

①登录防⽕墙设备,配置防⽕墙为三层部署模式;

②定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公⽹IP地址的untrust端⼝定义IP地址池;

③定义策略:定义由内到外的访问策略,在策略的⾼级(ADV)部分NAT的相关内容中, 启⽤源地址NAT,并在下拉菜单中选择刚刚定

义好的DIP地址池,保存策略,完成配置; 策略配置完成之后拥有内部IP地址的⽹络设备在访问互联⽹时会⾃动从该地址池中选择

⼀个公⽹IP地址进⾏NAT.

3.3.2,使⽤命令⾏⽅式配置DIP

①配置接⼝参数

set interface ethernet1 zone trust

set interface ethernet1 ip 10.1.1.1/24

set interface ethernet1 nat

set interface ethernet3 zone untrust

set interface ethernet3 ip 1.1.1.1/24

②定义DIP

set interface ethernet3 dip 5 1.1.1.30 1.1.1.30

③定义策略

set policy from trust to untrust any any http nat src dip-id 5 permit

save

4,Juniper防⽕墙IPSec VPN的配置

Juniper所有系列防⽕墙(除部分早期型号外)都⽀持IPSec VPN,其配置⽅式有多种,包括:基于策略的VPN,基于路由的VPN,集中

星形VPN和背靠背VPN等.在这⾥,我们主要介绍最常⽤的VPN模式:基于策略的VPN. 站点间(Site-to-Site)的VPN是IPSec VPN

的典型应⽤,这⾥我们介绍两种站点间基于策略VPN的实现⽅式:站点两端都具备静态公⽹IP地址;站点两端其中⼀端具备静态公

⽹IP地址,另⼀端动态公⽹IP地址.

4.1,站点间IPSec VPN配置:staic ip-to-staic ip

当创建站点两端都具备静态IP的VPN应⽤中,位于两端的防⽕墙上的VPN配置基本相同,不同之处是在VPN gateway部分的VPN

⽹关指向IP不同,其它部分相同. VPN组⽹拓扑图:staic ip-to-staic ip

4.1.1,使⽤Web浏览器⽅式配置

①登录防⽕墙设备,配置防⽕墙为三层部署模式;

②定义VPN第⼀阶段的相关配置:VPNs=>Autokey Advanced=>Gateway 配置VPN gateway部分,定义VPN⽹关名称,定义"对端

VPN设备的公⽹IP地址" 为本地VPN 设备的⽹关地址,定义预共享密钥,选择发起VPN服务的物理端⼝;

③在VPN gateway的⾼级(Advanced)部分,定义相关的VPN隧道协商的加密算法, 选择VPN的发起模式;

④配置VPN第⼀阶段完成显⽰列表如下图;

⑤定义VPN第⼆阶段的相关配置:VPNs=>Autokey IKE

在Autokey IKE部分,选择第⼀阶段的VPN配置;

⑥在VPN第⼆阶段⾼级(Advances)部分,选择VPN的加密算法;

⑦配置VPN第⼆阶段完成显⽰列表如下图;

⑧定义VPN策略,选择地址和服务信息,策略动作选择为:隧道模式;VPN隧道选择为: 刚刚定义的隧道,选择⾃动设置为双向策略;

4.1.2,使⽤命令⾏⽅式配置

CLI ( 东京)

①配置接⼝参数

set interface ethernet1 zone trust

set interface ethernet1 ip 10.1.1.1/24

set interface ethernet1 nat

set interface ethernet3 zone untrust

set interface ethernet3 ip 1.1.1.1/24

②定义路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250

③定义地址

set address trust Trust_LAN 10.1.1.0/24

set address untrust paris_office 10.2.2.0/24

④定义IPSec VPN

set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshare

h1p8A24nG5 proposal pre-g2-3des-sha

set vpn tokyo_paris gateway to_paris sec-level compatible

⑤定义策略

set policy top name "To/From Paris" from trust to untrust Trust_LAN paris_office

any tunnel vpn tokyo_paris

set policy top name "To/From Paris" from untrust to trust paris_office Trust_LAN

any tunnel vpn tokyo_paris

save

CLI ( 巴黎)

①定义接⼝参数

set interface ethernet1 zone trust

set interface ethernet1 ip 10.2.2.1/24

set interface ethernet1 nat

set interface ethernet3 zone untrust

set interface ethernet3 ip 2.2.2.2/24

②定义路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250

③定义地址

set address trust Trust_LAN 10.2.2.0/24

set address untrust tokyo_office 10.1.1.0/24

④定义IPSec VPN

set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshare

h1p8A24nG5 proposal pre-g2-3des-sha

set vpn paris_tokyo gateway to_tokyo sec-level compatible

⑤定义策略

set policy top name "To/From Tokyo" from trust to untrust Trust_LAN tokyo_office

基本原则: 在这种IPSec VPN组⽹应⽤中,拥有静态公⽹IP地址的⼀端作为被访问端出现,拥有动态公⽹IP地址的⼀端作为VPN

隧道协商的发起端. 和站点两端都具备静态IP地址的配置的不同之处在于VPN第⼀阶段的相关配置,在主动发起端(只有动态公

⽹IP地址⼀端)需要指定VPN⽹关地址,需配置⼀个本地ID,配置VPN发起模式为:主动模式;在站点另外⼀端(拥有静态公⽹IP地址

⼀端)需要指定VPN⽹关

地址为对端设备的ID信息,不需要配置本地ID,其它部分相同.

IPSec VPN组⽹拓扑图:staic ip-to-dynamic ip

4.2.1,使⽤Web浏览器⽅式配置

①VPN第⼀阶段的配置:动态公⽹IP地址端.

VPN的发起必须由本端开始,动态地址端可以确定对端防⽕墙的IP地址,因此在VPN 阶段⼀的配置中,需指定对端VPN设备的静

态IP地址.同时,在本端设置⼀个Local ID,提供给对端作为识别信息使⽤.

②VPN第⼀阶段的⾼级配置:动态公⽹IP地址端.

在VPN阶段⼀的⾼级配置中动态公⽹IP⼀端的VPN的发起模式应该配置为:主动模式(Aggressive)

③VPN第⼀阶段的配置:静态公⽹IP地址端.

在拥有静态公⽹IP地址的防⽕墙⼀端,在VPN阶段⼀的配置中,需要按照如下图所⽰的配置:"Remote Gateway Type"应该选

择"Dynamic IP Address",同时设置Peer ID(和在动态IP地址⼀端设置的Local ID相同).

④VPN第⼆阶段配置,和在"static ip-to-static ip"模式下相同.

⑤VPN的访问控制策略,和在"static ip-to-static ip"模式下相同.

4.2.1,使⽤命令⾏⽅式配置

CLI ( 设备-A)

①定义接⼝参数

set interface ethernet1 zone trust

set interface ethernet1 ip 10.1.1.1/24

set interface ethernet1 nat

set interface ethernet3 zone untrust

set interface ethernet3 dhcp client

set interface ethernet3 dhcp client settings server 1.1.1.5

②定义路由

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3

③定义⽤户

set user pmason password Nd4syst4

④定义地址

set address trust "trusted network" 10.1.1.0/24

set address untrust "mail server" 3.3.3.5/32

⑤定义服务

set service ident protocol tcp src-port 0-65535 dst-port 113-113

set group service remote_mail

set group service remote_mail add http

set group service remote_mail add ftp

set group service remote_mail add telnet

set group service remote_mail add ident

set group service remote_mail add mail

set group service remote_mail add pop3

set vpn corp_branch gateway to_branch tunnel sec-level compatible

⑥定义策略

set policy top from dmz to untrust "mail server" "branch office" remote_mail

tunnel vpn corp_branch

set policy top from untrust to dmz "branch office" "mail server" remote_mail

tunnel vpn corp_branch

save

5,Juniper中低端防⽕墙的UTM功能配置

Juniper中低端防⽕墙(⽬前主要以SSG系列防⽕墙为参考)⽀持⾮常⼴泛的攻击防护及内容安全功能,主要包括:防病毒(Anti-

Virus),防垃圾邮件(Anti-Spam),URL过滤(URL filtering)以及深层检测/⼊侵防御(Deep Inspection/IPS).

注:上述的安全/防护功能集成在防⽕墙的ScreenOS操作系统中,但是必须通过license (许可)激活后⽅可使⽤(并会在激活⼀段时

间(通常是1年)后过期).当然在使⽤这些

功能的时候,我们还需要设定好防⽕墙的时钟以及DNS服务器地址. 当防⽕墙激活了相应的安全/防护功能以后,通过WebUI可以

发现,Screening条⽬下会增加相应的功能条⽬,如下图:

5.1,防病毒功能的设置

Juniper防⽕墙的防病毒引擎(从ScreenOS5.3开始内嵌Kaspersky的防病毒引擎)可以针对HTTP,FTP,POP3,IMAP以及SMTP等

协议进⾏⼯作.

5.1.1,Scan Manager的设置

"Pattern Update Server"项中的URL地址为Juniper防⽕墙病毒特征库的官⽅下载

⽹址(当系统激活了防病毒功能后,该⽹址会⾃动出现). "Auto Pattern Update"项允许防⽕墙⾃动更新病毒特征库;后⾯

的"Interval"项可以指定⾃动更新的频率. "Update Now"项可以执⾏⼿动的病毒特征库升级.

"Drop/Bypass file if its size exceeds KB"项⽤来控制可扫表/传输的⽂件⼤⼩."Drop"项会在超过限额后,扔掉⽂件⽽不做扫

描;"Bypass"项则会放⾏⽂件⽽

不做扫描.

"Drop//Bypass file if the number of concurrent files exceeds files"项⽤控制同时扫描/传输的⽂件数量."Drop"项会在超过限额

后,扔掉⽂件⽽不做扫描;

"Bypass"项则会放⾏⽂件⽽不做扫描.

5.1.2,Profile的设置

通过设置不同的Profile,我们可以对不同的安全策略(Policy)采⽤不同的防病毒操作(Juniper防⽕墙的防病毒引⽤是基于安全策

略的;也就是说我们的防病毒设置是通过在特定的策略中引⼊特定的Profile来实现的.),进⽽实现⾼粒度化地防病毒控制,将防病

毒对系统资源的消耗降到最低.

ns-profile是系统⾃带的profile.⽤户不需要做任何设置,就可以在安全策略⾥直接引⽤它. 除此之外,⽤户可以根据⾃⼰的需求来

设置适合⾃⾝需求的e⽅⾯的设置包括对FTP,HTTP,IMAP,POP3以及SMTP等5个协议的内容,见下图. Enable选项

每个特定的协议类型,都有⼀个Enable选项.选择之,则防病毒引擎会检查与这个协议相关的流量;反之,则不会检查.

Scan Mode的设置

Scan Mode有三个选择项:Scan All,Scan Intelligent,Scan By Extension.

Scan All:对于流量,检查所有已知的特征码.

Scan Intelligent:对于流量,检查⽐较常见的特征码.

Scan By Extension:仅针对特定的⽂件扩展名类型进⾏检查.如果选择该类型,则需要事先设定好Ext-List(设置⽂件扩展名的类

型)与Include/Exclude Extension List. Decompress Layer的设置

为了减少传输的时间,很多⽂件在传输过程中都会被压缩.Decompress Layer就是⽤来设置防病毒引擎扫描压缩⽂件的层数.防

病毒引擎最多可以⽀持对4层压缩⽂件的扫描.

Skipmime Enable的设置

对于HTTP协议,可以进⾏Skipmime Enable的设置.打开该功能,则防病毒引擎不扫描Mime List中包括的⽂件类型(系统默认打开

该功能,并匹配默认的Mime List:

ns-skip-mime-list).

Email Notify的设置

对于IMAP,POP3,SMTP等email协议,可以进⾏Email Nortify的设置.打开该功能, 可以在发现病毒/异常后,发送email来通知⽤户

(病毒发送者/邮件发送⽅/邮件接收⽅).

5.1.3,防病毒profile在安全策略中的引⽤

我们前⾯已经提到过,防病毒的实现是通过在特定安全策略中应⽤profile来实现的.⽐如,我们在名为ftp-scan的策略中引⽤av1的

防病毒profile.

①⾸先建⽴了名为av1的profile,并enable FTP协议的扫描;由于我仅希望检测的是FTP

应⽤,故关闭对其他协议的扫描.见下图:

②设置ftp-scan安全策略,并引⽤profile av1.

③引⽤了profile进⾏病毒扫描的策略,在action栏会有相应的图标出现.

5.2,防垃圾邮件功能的设置

Juniper防⽕墙内嵌的防垃圾邮件引擎,可以帮助企业⽤户来减轻收到垃圾邮件的困扰. Juniper的防垃圾邮件功能主要是通过公

共防垃圾邮件服务器来实现的.公共的防垃圾邮件服务器会实时地更新防垃圾邮件的库,做到最⼤范围,最⼩误判的防垃圾功能.到

ScreenOS5.4为⽌,juniper的防垃圾邮件引擎只⽀持SMTP协议. Juniper防垃圾邮件通过两种⽅式来检测垃圾邮件:1.通过公共防

垃圾邮件服务器的white

list(可信任名单)与black list(不可信任名单).

5.2.1,Action 设置

SBL Default Enable项选中后,防⽕墙使⽤公共防垃圾服务器来判别垃圾邮件.默认为打开.

Actions项⽤来指定对垃圾邮件的处理⽅法:Tag on Subject(在邮件标题栏标注信息,指明该邮件为垃圾邮件;不丢弃邮件);Tag on

Header(在邮件内容的头部标注信息,指明该邮件为垃圾邮件;不丢弃邮件);Drop(直接丢弃查找到的垃圾邮件)

5.2.2,White List与Black List的设置

通过防⽕墙⾃定义white list和black list.⽐如在White List > White List Content栏输⼊

/doc/ ,则防⽕墙在检查到与这个⽹址相关的邮件,都会认为是可信任邮

件,直接放⾏. ⽐如在Black List >Black List Content栏输⼊/doc/ ,则防

⽕墙在检测到这个⽹址有关的邮件时,都会判定为垃圾邮件.

5.2.3,防垃圾邮件功能的引⽤

最后,我们只要在安全策略⾥⾯引⽤防垃圾邮件功能,就可以对邮件进⾏检测了.Antispam enable项只要勾选,就开启了防垃圾邮

件功能,如下图所⽰.

5.3,WEB/URL过滤功能的设置

Juniper可通过两种⽅式来提供URL过滤功能.⼀种是通过转发流量给外部的URL过滤服务器来实现(⽀持SurfControl和

Websense两个产品);⼀种是通过内置的SurfControl URL过滤引擎来提供URL过滤.

5.3.1,转发URL过滤请求到外置URL过滤服务器

如果采⽤第⼀种⽅式的话,⾸先防⽕墙必须能够访问到本地的提供URL过滤的服务器(SurfControl或者Websense).然后通过以下

项的设置来完成该功能的启⽤.

①在Web Filtering > Protocol Selection条⽬下,选择需要Redirect按钮(SurfControl 或者Websense).

②打开Web Filtering选项的Websense/SurfControl的条⽬:

Enable Web Filtering项设置为勾选,则Web Filtering功能打开.

Source Interface项⽤来选择与URL过滤服务器相连的接⼝(如果不选,则采⽤Default).

Server Name项填⼊URL过滤服务器的地址.

Server Port项填⼊与服务器端⼝通讯的端⼝(默认为15868).

If connectivity to the server is lost,Block/Permit all HTTP requests项⽤来决定

如果与服务器连接丢失以后,防⽕墙采取什么措施.选择Block项,则与服务器失去

联系后,阻断所有HTTP请求;选择Permit项,则放⾏所有HTTP请求.

5.3.2,使⽤内置的URL过滤引擎进⾏URL过滤

如果使⽤Juniper防⽕墙⾃带的SurfControl引擎来过滤URL,可以通过以下操作来完成.

①在Web Filtering > Protocol Selection条⽬下,选择需要Integrated按钮

(SurfControl或者Websense).

②打开Web Filtering选项的SC-CPA的条⽬:

Enable Web Filtering via CPA Server项勾选.

Server Name项选择地区(⽐如我们处于亚洲,则选择Asia Pacific).

Host项会根据Server Name⾃动填充域名(⽐如前⾯选择了Asia Pacific,则会出现

/doc/ ).

Port项与服务器端⼝通讯的端⼝(默认为9020).

If connectivity to the server is lost,Block/Permit all HTTP requests项⽤来决定

如果与服务器连接丢失以后,防⽕墙采取什么措施.选择Block项,则与服务器失去

联系后,阻断所有HTTP请求;选择Permit项,则放⾏所有HTTP请求.

5.3.3,⼿动添加过滤项

下⾯以实例的⽅式来讲解⼿动添加过滤项的操作过程.我们假设要禁⽌访问

/doc/

的访问.

①⾸先,我们建⽴⼀个⾃⼰的过滤组(category),名字为news.在Screening > WEB Filtering > Categories > Custom > Edit下:

②其次,我们建议⼀个新的Profile,取名叫justfortest:Screening > WEB Filtering > Profiles > Custom > Edit

Black List项中可以选择预定义或者⾃定义的过滤组(category).进⼊Black List的

组的⽹址将⽆条件禁⽌访问.

White List项中可以选择预定义或者⾃定义的过滤组(category).进⼊White List的

组的⽹址将⽆条件允许访问.

Default Action项可以选择Permit或者Deny.选择Permit,则没有匹配Black

List/White List/⼿动设定过滤项的⽹址,将被允许访问;Deny则反之.

Subscribers identified by项

Category Name可选择我们想要过滤的组别(在例⼦中,我们选取之前建⽴的news) Action可选择permit或者block(在本例中,我们

选取block)

③最后,我们在安全策略中引⽤URL过滤.

注:我们建⽴⼀条策略,然后在WEB Filtering项选择我们刚才建⽴的profile"justfortest".

策略建⽴完以后,会在Options栏出现WWW的图标.

安全策略⽣效后,我们就⽆法访问新浪⽹站了,我们将看到Your page is blocked due to

Juniper防⽕墙的基本设置

JUNIPER防⽕墙可以通过WEB图形化界⾯和命令⾏两种管理⽅式。

1、WEB图形化界⾯管理

PC通过⽹络可达防⽕墙接⼝，注意PC所在的区域。

打开IE输⼊防⽕墙接⼝ip地址，例：192.168.0.1登⼊防⽕墙。⽤户名：netscreen 密码：

进⼊WebUI 的主界⾯。对防⽕墙的设置都在左侧的各项菜单⾥完成。主要的⼦菜单有：configuration、network、policy。

1.1 Configuration菜单

Configuration是系统升级、帐户等管理配置。

进⼊Configuration—〉admin—〉administrators。更改管理员密码，在页⾯下⽅点击Edit。

1.2 Network⽹络相关设置

进⼊Network—〉interfaces对防⽕墙接⼝进⾏⽹络相关的设置。

点击Edit设置对应接⼝。可以设置接⼝IP地址、区域等。页⾯还显⽰接⼝的MAC地址等信息。

进⼊Network—〉Routing—〉Destination设置防⽕墙IP路由表。

点击NEW添加静态路由。输⼊⽬标地址段、GATAWAY、接⼝等。

Network其它的主要设置⼦菜单：

Network—〉DNS设置DNS服务器地址。

Network—〉Zones设置区域。

1.3 Policy策略相关设置：

⾃定义地址表：

进⼊Policy —〉Policy Elements—〉Address—〉List 设置⾃定义地址表。先选择相应的区域，再点击New添加IP地址表，⽤

于策略调⽤。

输⼊⾃定义名字、IP、区域。

⾃定义地址组：

进⼊Policy —〉Policy Elements—〉Address—〉Group 设置⾃定义地址组。先选择相应的区域，再点击New添加

将⽤户地址加⼊⾃定义组中：

⾃定义协议：

Policy —〉Policy Elements—〉Services—〉Custom 设置⾃定义协议。点击New添加⾃定义协议，输⼊TCP或UDP端⼝范

围。

时间表：

Policy —〉Policy Elements—〉Services—〉Schedules设置时间表，⽤于策略调⽤。