juniper防火墙详细配置手册

Juniper 防火墙简明实用手册 版本号 V1 0 第 1 页 目 录 1 juniper 中文参考手册重点章节导读 3 1 1 第二卷 基本原理 3 1 1 1 第一章 ScreenOS 体系结构 3 1 1 2 第二章 路由表和静态路由 3 1 1 3 第三章 区段 3 1 1 4 第四章 接口 3 1 1 5 第五章 接口模式 4 1 1 6 第六章 为策略构建块 4 1 1 7 第七章 策略 4 1 1 8 第八章 地址转换 4 1 1 9 第十一章 系统参数 5 1 2 第三卷 管理 5 1 2 1 第一章 管理 5 1 2 2 监控 NetScreen 设备 5 1 3 第八卷 高可用性 5 1 3 1 NSRP 5 1 3 2 故障切换 6 2 Juniper 防火墙初始化配置和操纵 7 3 查看系统概要信息 8 4 主菜单常用配置选项导航 9 5 Configration 配置菜单 10 5 1 Date Time 日期和时间 10 5 2 Update 更新系统镜像和配置文件 11 5 2 1 更新 ScreenOS 系统镜像 11 5 2 2 更新 config file 配置文件 12 5 3 Admin 管理 14 5 3 1 Administrators 管理员账户管理 14 5 3 2 Permitted IPs 允许哪些主机可以对防火墙进行管理 15 第 2 页 6 Networks 配置菜单 16 6 1 Zone 安全区 16 6 2 Interfaces 接口配置 18 6 2 1 查看接口状态的概要信息 18 6 2 2 设置 interface 接口的基本信息 18 6 2 3 设置地址转换 20 6 2 4 设置接口 Secondary IP 地址 24 6 3 Routing 路由设置 25 6 3 1 查看防火墙路由表设置 25 6 3 2 创建新的路由条目 26 7 Policy 策略设置 27 7 1 查看目前策略设置 27 7 2 创建策略 28 8 对象 Object 设置 30 9 策略 Policy 报告 Report 32 3 1 juniper 中文参考手册重点章节导读 版本 Juniper 防火墙 5 0 中文参考手册 内容非常庞大和繁杂 其中很 多介绍和功能实际应用的可能性不大 为了让大家尽快用最短的时间内掌握 Juniper 防火墙的实际操作 下面简单对参考手册中的重点章节进行一个总结 和概括 掌握了这些内容大家就可以基本能够完成安全部署和维护的工作 1 1 第二卷 基本原理 1 1 1 第一章 ScreenOS 体系结构 安全区 安全区接口 策略 1 1 2 第二章 路由表和静态路由 配置静态路由 1 1 3 第三章 区段 安全区 配置安全区 功能区段 HA 区段 1 1 4 第四章 接口 接口类型 安全区接口 物理 接口类型 安全区接口 功能区段接口 察看接口 配置安全区接口 将接口绑定到安全区 从安全区解除接口绑定 4 修改接口 跟踪 IP 地址 二级 IP 地址 1 1 5 第五章 接口模式 透明模式 NAT 模式 路由模式 1 1 6 第六章 为策略构建块 地址 地址条目 地址组 服务 预定义的服务 定制服务 DIP 池 端口地址转换 范例 创建带有 PAT 的 DIP 池 范例 修 改 DIP 池 扩展接口和 DIP 时间表 1 1 7 第七章 策略 三种类型的策略 策略定义 策略应用 1 1 8 第八章 地址转换 地址转换简介 源网络地址转换 目的网络地址转换 映射 IP 地址 虚拟 IP 地址 5 1 1 9 第十一章 系统参数 下载 上传设置和固件 系统时钟 1 2 第三卷 管理 1 2 1 第一章 管理 通过 WEB 用户界面进行管理 通过命令行界面进行管理 管理的级别 根管理员 可读 写管理员 只读管理员 定义 Admin 用户 保证管理信息流的安全 更改端口号 更改 Admin 登录名和密码 重置设备到出厂缺省设置 限制管理访问 1 2 2 监控 NetScreen 设备 储存日志信息 事件日志 信息流日志 系统日志 1 3 第八卷 高可用性 1 3 1 NSRP NSRP 概述 NSRP 和 NETSCREEN 的操作模式 NSRP 集群 VSD 组 6 同步 1 3 2 故障切换 设备故障切换 NSRP VSD 组故障切换 NSRP 为设备或 VSD 组故障切换配置对象监控 7 2 Juniper 防火墙初始化配置和操纵 对一台空配置的 Juniper 防火墙我们可以用两种方法去进行操纵 Console 控制台和 WEB 1 Console 控制台 使用 Console 线连接到 Juniper 的防火墙上的 Console 口 利用超级终端用 CLI 命令行界面进行配置 2 使用 WEB 界面 Juniper 防火墙上默认情况下在 E1 接口 trust 口有 一个初始管理 IP 地址 192 168 1 1 255 255 255 0 我们可以把自己 的笔记本和防火墙的 E1 口用一根交叉线连接起来 然后把本机的地址 配置为 192 168 1 X 255 255 255 0 之后我们就可以在本机上通过 IE 浏览器登陆 192 168 1 1 的地址通过 WEB 界面对设备进行配置了 注意 1 Juniper 防火墙接口的 WEB 管理特性默认只在 E1 接口 trust 口才启 用 也就是说我们有可能无法通过用 WEB 登陆其他接口进行操纵 除非我们提 前已经打开了相应接口的 WEB 管理选项 注意 2 如果 Juniper 防火墙上有配置 我们不知道目前 E1 接口的 IP 地址 我们可以先通过 Console 控制台用 get interface 的命令看一下目前 E1 口 的 IP 地址 注意 3 Juniper 防火墙 OS 5 0 以上的版本支持 MDI 和 MDIX 自适应 也就是说 我们的主机和 E1 口也可以用直通线进行互连 但这种方式有失效的时候 如果 出现用交叉线互连物理也无法 UP 的情况 可以在 Console 控制台用 NS208 delete file flash ns sys config 删除配置文件并重起防火墙的方式可以 解决 Juniper 的 BUG 注 系统默认登陆用户名和口令都是 netscreen 8 3 查看系统概要信息 使用 WEB 登陆防火墙的管理地址 进入 GUI 管理界面 如上图所示 左边是主配置菜单 右边最上方是系统启动以及时间信息 右上角显示主机名 Device information 设备信息 显示设备硬软件版本 序列号以及主机 名 Interface link status 接口链路状态 显示接口所属区和链路 UP DOWN 信息 Resources Status 资源状况 显示系统 CPU 和内存使用率以及目前的会 话和策略是系统满负荷的比例 其中注意内存使用率是不真实的 在系统 空负荷的情况下内存占用率也会很高 是系统本身设计的问题 9 The most recent alarms 系统最近的报警信息 The most recent events 系统最近的通告信息 4 主菜单常用配置选项导航 在主菜单中我们经常用到的配置菜单如下 后面将针对这些常用配置选项 进行详细的介绍 1 Configuration Date Time Update Admin Auth Report Settings 2 Network Zones Interfaces Routing NSRP 3 Polices 4 Objects Addresses Services 5 Reports Polices 只要能够熟练掌握以上设置选项 就足以应对外网改造和日常维护的工作 10 5 Configration 配置菜单 5 1 Date Time 日期和时间 准确设置 Juniper 防火墙的时钟主要是为了使 LOG 信息都带有正确的时间 以便于分析和排错 设置时钟主要有三种方法 1 用 CLI 命令行设置 set clock mm dd yyyy hh mm ss 2 用 WEB 界面使用和客户端本机的时钟同步 简单实用 3 用 WEB 界面配置 NTP 和 NTP 服务器的时钟同步 11 5 2 Update 更新系统镜像和配置文件 5 2 1 更新 ScreenOS 系统镜像 12 5 2 2 更新 config file 配置文件 在这个菜单中我们可以查看目前文本形式的配置文件 把目前的配置文件 导出进行备份 以及替换和更新目前的配置 注意单选框默认是点选在 Merge to Current Configration 即和目前配置融 合的位置 而我们一般是要完全替换目前的配置文件的 因此一定要注意 把单选框点击到 Replace Current Configration 当进行配置替换的之后系统会自动重起使新配置生效 TIP 进行配置的替换必须用 ROOT 用户进行登陆 用 Read Write 用户进 行登陆是无法进行配置的替换操纵的 只有融合配置的选项 替换目前配 置的选项将会隐藏不可见 如下图所示 13 14 5 3 Admin 管理 5 3 1 Administrators 管理员账户管理 只有用根 ROOT 用户才能够创建管理员账户 可以进行 ROOT 用户账户用户名和密码的更改 但此账户不能被删除 可以创建只读账户和读写账户 其中读写账户可以对设备的大部分配置进 行更改 15 5 3 2 Permitted IPs 允许哪些主机可以对防火墙进行管理 16 6 Networks 配置菜单 6 1 Zone 安全区 查看目前的安全区设置 安全区内必须有物理接口才会有实际意义 每一个安全区同时可以包含多 个物理接口 但每一个物理接口同时只能属于一个安全区 几个系统默认的安全区和接口 1 Trust 区包含 ETH1 口 2 Untrust 区包含 ETH4 口 3 DMZ 区包含 ETH3 口 其他区必须进行手工创建并把相应物理接口放入安全区内 虚拟路由我们统一选 Trust Vr 多个 VR 对我们没有太大意义 不建议使用 17 创建新的安全区 在输入安全区名称后其余选项均保持默认值即可 18 6 2 Interfaces 接口配置 6 2 1 查看接口状态的概要信息 接口概要显示接口的 IP 地址信息 所属安全区 接口类型和链路的状态 其中接口类型除非是防火墙使用透明模式 否则都会是 Layer3 三层的 6 2 2 设置 interface 接口的基本信息 接口基本配置包括接口的 IP 地址掩码 是否可以被管理 接口的模式以 及接口的管理特性选项 19 最上面的几个链接是配置 NAT 地址转换以及 IP 跟踪等高级特性的 下面那个其中需要大家配置的地方是设置此物理接口属于哪个安全区 从 下拉框中点选 其他选项保持不变即可 Staitc IP 选择框是设置接口的 IP 地址和掩码信息的 其中有一个 Mangeable 的选项 只有选中我们才可以通过 WEB 或 TELNET 登陆此地址进行管理 Manage IP 框保持为空的时候系统会自动把实际 IP 作为管理 IP 自动加上 接口模式有路由模式和 NAT 模式 NAT 模式 从此接口进入从其他口流出的流量源地址都会做转换 即使我 们在策略中不引用转换地址池 源地址都会转换为出站的接口地址 路由模式 除非我们在策略定义中明确引用了转换地址池 否则源地址都 不会做转换 由于路由模式比 NAT 模式更灵活 所以我们一般都会用路由模式 ETH1 口默认是 NAT 模式 一定要注意把其更改为 Route 路由模式 20 Service options 服务选项 设置此接口是否允许被 PING WEB 或 TELNET 等方式进行管理 默认情况下 ETH1 内网口 的都是打开的 而 ETH4 口 外网口 的 WEB 和 TELNET 管理选项是关闭的 也就是说如果我们想从外 网登陆 ETH4 口的 IP 进行管理 必须把相应的 WEB 或 TELNET 选项点中 最后的配置框可以保持默认值 6 2 3 设置地址转换 Juniper 防火墙的地址转换有三种方式 MIP 静态一对一地址转换 VIP 虚 拟一对多地址转换 DIP 动态多对多地址转换 由于 MIP 和 VIP 地址转换有一些规则限制 比如要转换外网发起流量的 源地址的时候 转换后的地址必须和 ETH1 内网口在同一个子网 否则无法配 置 而 DIP 不受此规则的影响 同时可以完成 MIP 和 VIP 的功能 应用和设置 比较灵活 因此我们建议地址转换统一采用 DIP 的方式 21 6 2 3 1配置 MIP 静态地址转换 配置 MIP 静态地址映射的时候要注意转换后的虚拟地址要在数据流的出站 接口上进行配置 例如流量从 E1 口入从 E4 口出 192 168 1 1 访问外网 我们把 192168 1 1 的地址转换为 1 1 1 1 那么这个 1 1 1 1 的地址的 MIP 是 做在出站接口 也就是 E4 口上的 新建 MIP 静态地址映射 22 当使用静态 MIP 地址映射时 对方发起的数据流的目的地地址要注意设置 为 MIP 后的地址 23 6 2 3 2设置 DIP 动态地址转换 DIP 动态地址转换可以实现一对一 一对多 多对一和多对多的访问 DIP 地址池和 MIP 一样要设置在出站接口上来实现源地址的翻译 DIP 地址池可以和出站接口不再一个网段 使用扩展 IP 技术 如果访问是多对一的 多个客户端访问一个服务器 必须使用 Port Xlate 端口转换特性 默认设置 建议都使用这种方式 如果 DIP 被策略引用则无法编辑和更改 必须先移除策略后才可以编辑 创建新的 DIP 地址池 24 如果 DIP 地址池和出站接口不在同一网段必须使用扩展 IP 特性 把选择框 选择到下方 In the same as the extended ip 并输入一个扩展 IP 的地址 例如出站接口是 9X 2 244 1 28 而源地址出站时我们想转换成 192 168 1 X 的地址 那么在扩展 IP 框中我们可以输入 192 168 1 0 24 扩展 IP 地址可以使用一个地址也可以用一个网段 推荐使用网段的方式 同一 DIP 地址网段可以同时分布在多个接口上 比如 9X 2 18 0 虚拟地址簿 可以同时设置在 E1 E2 和 E3 口上 但同一个 DIP 地址只能同时设置在一个接口上 比如 9X 2 18 1 地址只能设 置在 E1 或 E2 或 E3 口上 不能同时在多个接口上都设置 9X 2 18 1 25 6 2 4 设置接口 Secondary IP 地址 26 6 3 Routing 路由设置 Juniper 防火墙我们一般仅使用静态路由 静态路由的选路规则和路由器基 本相同 例如最长掩码匹配优先 接口如果 DOWN 相应静态条目会消失 6 3 1 查看防火墙路由表设置 路由我们统一都设在 trust vr 中 默认选项 只有带 号的才表示路由有效 等同于路由器 show ip route 的效果 添加的路由条目只能删除 无法编辑 27 6 3 2 创建新的路由条目 目标地址段可以写 IP 掩码也可以写 IP 前缀 如 100 1 1 0 255 255 255 0 或 者 100 1 1 0 24 下一跳默认都是点在 Next Hop Virtual Router Name 一定要注意改点到 Gateway 处 否则路由不生效 接口和下一跳网关地址都要选择和输入 28 7 Policy 策略设置 7 1 查看目前策略设置 可以选择查看从某个源安全区到某个目的安全区的策略 也可以选择从 ALL 到 ALL 来查看所有的策略 Service 是系统预定义或我们自定义的服务端口号 Action 动作是指策略是允许或拒绝 允许是一个对勾 拒绝是一个 X 另 外如果是绿色图表说明没有做源地址转换 蓝色图表说明做了源地址转换 在 Option 下如果有一个小记事本的图表 说明我们要记录此数据流 当数 据流通过时可以看到详细的地址转换情况 29 生效 可以通过取消对勾让本策略暂时失效 移动 可以调整策略查找的顺序 策略的查找和匹配默认是从上到下 我 们可以通过移动来控制策略生效的顺序 7 2 创建策略 源地址和目的地址如果以前曾经设置过 可以用下拉菜单进行选择 否则 需要在 New Address 新地址栏进行输入 如果地址曾经输入过 做策略时我们仍在 New Address 栏中进行输入 点 击确定的时候系统会出现重复 IP 地址条目的提示信息 但不影响策略的设 置 入侵检测的配置如果自己不是特别了解应用的特性建议不要做任何配置 30 保持原有默认配置不变 在进行调试时建议打开 LOG 记录 看是否有数据流通过及地址转换情况 如果要进行源或目的地址的转换需要点击高级选项进入二级配置菜单 源地址转换点击 DIP 下拉菜单后前面的选择框会自动选中 目的地址转换必须手工点击选中前面的目标地址转换的选择框 31 8 对象 Object 设置 对象 Object 的设置主要是为了简化和方便策略的引用和设置 比如地址组 和服务组等 下面我们重点介绍一下服务的设置 服务其实就是给对方提供的一些协议端口号 其中大部分的常见服务设备 已经提前设置好 比如 web telnet 等等 但是一些非常用的端口号 比如 TCP 8888 等就需要我们自己进行自定义设置了 查看自定义的服务 Objects Services Custom 技巧 我们可以给服务一个名称 可用中文描述一个中间业务的名称 然后在策略里进行引用 这样在进行排错的时候我们就可以很方便地找 到相应的策略 虽然我们也可以给策略一个名称 但在策略汇总表中是 不显示出来的 32 创建一个新的服务 目标协议和端口号我们可以设置多个组合 例如 TCP 8888 UDP ICMP 等 我们一般仅设置目标端口号 源端口号不做限制 例如我们要提供一个 WWW 的服务 类似设置就是 TCP 0 65535 80 80 如果设置允许 ICMP 的 PING 可以设置为 ICMP 8 0 33 9 策略 Policy 报告 Report 如果我们想看具体某一条策略是否有流量或流量的源地址 目的地址以及 源和目的转换的情况我们可以在策略中点击记事本直接进行观看 另外系统也提供一个汇总的方式让我们能够方便地观测所有策略的数据流 的概要信息 比如在一个时刻都有哪些业务在运行 每种业务的数据量等等 点击 Reports Polices 如上图所示 我们可以直观地看到某个时刻都有哪些业务流在进行 灰色 的记事本代表没有业务 蓝色的代表有业务数据流 点击蓝色记事本可以查看 业务数据流的详细信息