Juniper網(wǎng)絡(luò)安全防火墻設(shè)備快速安裝手冊(cè)

1、 Page * MERGEFORMAT 89Juniper網(wǎng)絡(luò)安全防火墻設(shè)備快速安裝手冊(cè)目 錄 TOC o 1-3 h z HYPERLINK l _Toc504681821 1、前言 PAGEREF _Toc504681821 h 5 HYPERLINK l _Toc504681822 1.1、Juniper防火墻配置概述 PAGEREF _Toc504681822 h 5 HYPERLINK l _Toc504681823 1.2、Juniper防火墻管理配置的基本信息 PAGEREF _Toc504681823 h 6 HYPERLINK l _Toc504681824 1.3、Juni

2、per防火墻的常用功能 PAGEREF _Toc504681824 h 7 HYPERLINK l _Toc504681825 2、Juniper防火墻三種部署模式及基本配置 PAGEREF _Toc504681825 h 7 HYPERLINK l _Toc504681826 2.1、NAT模式 PAGEREF _Toc504681826 h 8 HYPERLINK l _Toc504681827 2.2、Route-路由模式 PAGEREF _Toc504681827 h 9 HYPERLINK l _Toc504681828 2.3、透明模式 PAGEREF _Toc504681828

3、h 10 HYPERLINK l _Toc504681829 2.4、基于向?qū)Х绞降腘AT/Route模式下的基本配置 PAGEREF _Toc504681829 h 11 HYPERLINK l _Toc504681830 2.5、基于非向?qū)Х绞降腘AT/Route模式下的基本配置 PAGEREF _Toc504681830 h 22 HYPERLINK l _Toc504681831 2.5.1、NS-5GT NAT/Route模式下的基本配置 PAGEREF _Toc504681831 h 22 HYPERLINK l _Toc504681832 2.5.2、NS-25-208 NAT/

4、Route模式下的基本配置 PAGEREF _Toc504681832 h 24 HYPERLINK l _Toc504681833 2.6、基于非向?qū)Х绞降耐该髂Ｊ较碌幕九渲?PAGEREF _Toc504681833 h 25 HYPERLINK l _Toc504681834 3、Juniper防火墻幾種常用功能的配置 PAGEREF _Toc504681834 h 26 HYPERLINK l _Toc504681835 3.1、MIP的配置 PAGEREF _Toc504681835 h 27 HYPERLINK l _Toc504681836 3.1.1、使用Web瀏覽器方式配置

5、MIP PAGEREF _Toc504681836 h 27 HYPERLINK l _Toc504681837 3.1.2、使用命令行方式配置MIP PAGEREF _Toc504681837 h 29 HYPERLINK l _Toc504681838 3.2、VIP的配置 PAGEREF _Toc504681838 h 30 HYPERLINK l _Toc504681839 3.2.1、使用Web瀏覽器方式配置VIP PAGEREF _Toc504681839 h 30 HYPERLINK l _Toc504681840 3.2.2、使用命令行方式配置VIP PAGEREF _Toc5

6、04681840 h 31 HYPERLINK l _Toc504681841 3.3、DIP的配置 PAGEREF _Toc504681841 h 32 HYPERLINK l _Toc504681842 3.3.1、使用Web瀏覽器方式配置DIP PAGEREF _Toc504681842 h 32 HYPERLINK l _Toc504681843 3.3.2、使用命令行方式配置DIP PAGEREF _Toc504681843 h 34 HYPERLINK l _Toc504681844 4、Juniper防火墻IPSec VPN的配置 PAGEREF _Toc504681844 h

7、35 HYPERLINK l _Toc504681845 4.1、站點(diǎn)間IPSec VPN配置：staic ip-to-staic ip PAGEREF _Toc504681845 h 35 HYPERLINK l _Toc504681846 4.1.1、使用Web瀏覽器方式配置 PAGEREF _Toc504681846 h 36 HYPERLINK l _Toc504681847 4.1.2、使用命令行方式配置 PAGEREF _Toc504681847 h 41 HYPERLINK l _Toc504681848 4.2、站點(diǎn)間IPSec VPN配置：staic ip-to-dynami

8、c ip PAGEREF _Toc504681848 h 43 HYPERLINK l _Toc504681849 4.2.1、使用Web瀏覽器方式配置 PAGEREF _Toc504681849 h 44 HYPERLINK l _Toc504681850 4.2.1、使用命令行方式配置 PAGEREF _Toc504681850 h 48 HYPERLINK l _Toc504681851 5、Juniper中低端防火墻的UTM功能配置 PAGEREF _Toc504681851 h 51 HYPERLINK l _Toc504681852 5.1、防病毒功能的設(shè)置 PAGEREF _To

9、c504681852 h 52 HYPERLINK l _Toc504681853 5.1.1、Scan Manager的設(shè)置 PAGEREF _Toc504681853 h 53 HYPERLINK l _Toc504681854 5.1.2、Profile的設(shè)置 PAGEREF _Toc504681854 h 54 HYPERLINK l _Toc504681855 5.1.3、防病毒profile在安全策略中的引用 PAGEREF _Toc504681855 h 57 HYPERLINK l _Toc504681856 5.2、防垃圾郵件功能的設(shè)置 PAGEREF _Toc5046818

10、56 h 59 HYPERLINK l _Toc504681857 5.2.1、Action 設(shè)置 PAGEREF _Toc504681857 h 60 HYPERLINK l _Toc504681858 5.2.2、White List與Black List的設(shè)置 PAGEREF _Toc504681858 h 61 HYPERLINK l _Toc504681859 5.2.3、防垃圾郵件功能的引用 PAGEREF _Toc504681859 h 62 HYPERLINK l _Toc504681860 5.3、WEB/URL過濾功能的設(shè)置 PAGEREF _Toc504681860 h

11、63 HYPERLINK l _Toc504681861 5.3.1、轉(zhuǎn)發(fā)URL過濾請(qǐng)求到外置URL過濾服務(wù)器 PAGEREF _Toc504681861 h 63 HYPERLINK l _Toc504681862 5.3.2、使用內(nèi)置的URL過濾引擎進(jìn)行URL過濾 PAGEREF _Toc504681862 h 65 HYPERLINK l _Toc504681863 5.3.3、手動(dòng)添加過濾項(xiàng) PAGEREF _Toc504681863 h 68 HYPERLINK l _Toc504681864 5.4、深層檢測(cè)功能的設(shè)置 PAGEREF _Toc504681864 h 72 HYPE

12、RLINK l _Toc504681865 5.4.1、設(shè)置DI攻擊特征庫(kù)自動(dòng)更新 PAGEREF _Toc504681865 h 74 HYPERLINK l _Toc504681866 5.4.2、深層檢測(cè)（DI）的引用 PAGEREF _Toc504681866 h 75 HYPERLINK l _Toc504681867 6、Juniper防火墻的HA（高可用性）配置 PAGEREF _Toc504681867 h 77 HYPERLINK l _Toc504681868 6.1、使用Web瀏覽器方式配置 PAGEREF _Toc504681868 h 78 HYPERLINK l _

13、Toc504681869 6.2、使用命令行方式配置 PAGEREF _Toc504681869 h 81 HYPERLINK l _Toc504681870 7、Juniper防火墻一些實(shí)用工具 PAGEREF _Toc504681870 h 83 HYPERLINK l _Toc504681871 7.1、防火墻配置文件的導(dǎo)出和導(dǎo)入 PAGEREF _Toc504681871 h 83 HYPERLINK l _Toc504681872 7.1.1、配置文件的導(dǎo)出 PAGEREF _Toc504681872 h 83 HYPERLINK l _Toc504681873 7.1.2、配置文件

14、的導(dǎo)入 PAGEREF _Toc504681873 h 84 HYPERLINK l _Toc504681874 7.2、防火墻軟件（ScreenOS）更新 PAGEREF _Toc504681874 h 85 HYPERLINK l _Toc504681875 7.3、防火墻恢復(fù)密碼及出廠配置的方法 PAGEREF _Toc504681875 h 86 HYPERLINK l _Toc504681876 8、Juniper防火墻的一些概念 PAGEREF _Toc504681876 h 861、前言我們制作本安裝手冊(cè)的目的是使初次接觸Juniper網(wǎng)絡(luò)安全防火墻設(shè)備（在本安裝手冊(cè)中簡(jiǎn)稱為“J

15、uniper防火墻”）的工程技術(shù)人員，可以通過此安裝手冊(cè)完成對(duì)Juniper防火墻基本功能的實(shí)現(xiàn)和應(yīng)用。1.1、Juniper防火墻配置概述Juniper防火墻作為專業(yè)的網(wǎng)絡(luò)安全設(shè)備，可以支持各種復(fù)雜網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)安全應(yīng)用需求；但是由于部署模式及功能的多樣性使得Juniper防火墻在實(shí)際部署時(shí)具有一定的復(fù)雜性。在配置Juniper防火墻之前我們通常需要先了解用戶現(xiàn)有網(wǎng)絡(luò)的規(guī)劃情況和用戶對(duì)防火墻配置及實(shí)現(xiàn)功能的諸多要求，建議參照以下思路和步驟對(duì)Juniper防火墻進(jìn)行配置和管理?；九渲茫捍_認(rèn)防火墻的部署模式：NAT模式、路由模式、或者透明模式；為防火墻的端口配置IP地址（包括防火墻的管理IP

16、地址），配置路由信息；配置訪問控制策略，完成基本配置。其它配置：配置基于端口和基于地址的映射；配置基于策略的VPN；修改防火墻默認(rèn)的用戶名、密碼以及管理端口。1.2、Juniper防火墻管理配置的基本信息Juniper防火墻常用管理方式：通過Web瀏覽器方式管理。推薦使用IE瀏覽器進(jìn)行登錄管理，需要知道防火墻對(duì)應(yīng)端口的管理IP地址；命令行方式。支持通過Console端口超級(jí)終端連接和Telnet防火墻管理IP地址連接兩種命令行登錄管理模式。Juniper防火墻缺省管理端口和IP地址：Juniper防火墻出廠時(shí)可通過缺省設(shè)置的IP地址使用Telnet或者Web方式管理。缺省IP地址為：/；缺省I

17、P地址通常設(shè)置在防火墻的Trust端口上（NS-5GT）、最小端口編號(hào)的物理端口上（NS-25/50/204/208/SSG系列）、或者專用的管理端口上（ISG-1000/2000,NS-5200/5400）。Juniper防火墻缺省登錄管理賬號(hào)：用戶名：netscreen；密 碼：netscreen。1.3、Juniper防火墻的常用功能在一般情況下，防火墻設(shè)備的常用功能包括：透明模式的部署、NAT/路由模式的部署、NAT的應(yīng)用、MIP的應(yīng)用、DIP的應(yīng)用、VIP的應(yīng)用、基于策略VPN的應(yīng)用。本安裝手冊(cè)將分別對(duì)以上防火墻的配置及功能的實(shí)現(xiàn)加以說明。注：在對(duì)MIP/DIP/VIP等Junipe

18、r防火墻的一些基本概念不甚了解的情況下，請(qǐng)先到本手冊(cè)最后一章節(jié)內(nèi)容查看了解！2、Juniper防火墻三種部署模式及基本配置Juniper防火墻在實(shí)際的部署過程中主要有三種模式可供選擇，這三種模式分別是：基于TCP/IP協(xié)議三層的NAT模式；基于TCP/IP協(xié)議三層的路由模式；基于二層協(xié)議的透明模式。2.1、NAT模式當(dāng)Juniper防火墻入口接口（“內(nèi)網(wǎng)端口”）處于NAT模式時(shí)，防火墻將通往 Untrust 區(qū)（外網(wǎng)或者公網(wǎng)）的IP 數(shù)據(jù)包包頭中的兩個(gè)組件進(jìn)行轉(zhuǎn)換：源 IP 地址和源端口號(hào)。防火墻使用 Untrust 區(qū)（外網(wǎng)或者公網(wǎng)）接口的 IP 地址替換始發(fā)端主機(jī)的源 IP 地址；同時(shí)使用

19、由防火墻生成的任意端口號(hào)替換源端口號(hào)。NAT模式應(yīng)用的環(huán)境特征：注冊(cè)IP地址（公網(wǎng)IP地址）的數(shù)量不足；內(nèi)部網(wǎng)絡(luò)使用大量的非注冊(cè)IP地址（私網(wǎng)IP地址）需要合法訪問Internet；內(nèi)部網(wǎng)絡(luò)中有需要外顯并對(duì)外提供服務(wù)的服務(wù)器。2.2、Route-路由模式當(dāng)Juniper防火墻接口配置為路由模式時(shí)，防火墻在不同安全區(qū)間（例如：Trust/Utrust/DMZ）轉(zhuǎn)發(fā)信息流時(shí)IP 數(shù)據(jù)包包頭中的源地址和端口號(hào)保持不變（除非明確采用了地址翻譯策略）。與NAT模式下不同，防火墻接口都處于路由模式時(shí)，防火墻不會(huì)自動(dòng)實(shí)施地址翻譯；與透明模式下不同，當(dāng)防火墻接口都處于路由模式時(shí)，其所有接口都處于不同的子網(wǎng)中。

20、路由模式應(yīng)用的環(huán)境特征：防火墻完全在內(nèi)網(wǎng)中部署應(yīng)用；NAT模式下的所有環(huán)境；需要復(fù)雜的地址翻譯。2.3、透明模式當(dāng)Juniper防火墻接口處于“透明”模式時(shí)，防火墻將過濾通過的IP數(shù)據(jù)包，但不會(huì)修改 IP數(shù)據(jù)包包頭中的任何信息。防火墻的作用更像是處于同一VLAN的2 層交換機(jī)或者橋接器，防火墻對(duì)于用戶來說是透明的。透明模式是一種保護(hù)內(nèi)部網(wǎng)絡(luò)從不可信源接收信息流的方便手段。使用透明模式有以下優(yōu)點(diǎn)：不需要修改現(xiàn)有網(wǎng)絡(luò)規(guī)劃及配置；不需要實(shí)施 地址翻譯；可以允許動(dòng)態(tài)路由協(xié)議、Vlan trunking的數(shù)據(jù)包通過。2.4、基于向?qū)Х绞降腘AT/Route模式下的基本配置Juniper防火墻NAT和路由

21、模式的配置可以在防火墻保持出廠配置啟動(dòng)后通過Web瀏覽器配置向?qū)瓿?。注：要啟?dòng)配置向?qū)?，則必須保證防火墻設(shè)備處于出廠狀態(tài)。例如：新的從未被調(diào)試過的設(shè)備，或者經(jīng)過命令行恢復(fù)為出廠狀態(tài)的防火墻設(shè)備。通過Web瀏覽器登錄處于出廠狀態(tài)的防火墻時(shí)，防火墻的缺省管理參數(shù)如下：缺省IP：/；缺省用戶名/密碼：netscreen/ netscreen；注：缺省管理IP地址所在端口參見在前言部份講述的“Juniper防火墻缺省管理端口和IP地址”中查找！在配置向?qū)?shí)現(xiàn)防火墻應(yīng)用的同時(shí)，我們先虛擬一個(gè)防火墻設(shè)備的部署環(huán)境，之后，根據(jù)這個(gè)環(huán)境對(duì)防火墻設(shè)備進(jìn)行配置。防火墻配置規(guī)劃：防火墻部署在網(wǎng)絡(luò)的Internet

22、出口位置，內(nèi)部網(wǎng)絡(luò)使用的IP地址為/所在的網(wǎng)段，內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)的網(wǎng)關(guān)地址為防火墻內(nèi)網(wǎng)端口的IP地址：；防火墻外網(wǎng)接口IP地址（通常情況下為公網(wǎng)IP地址，在這里我們使用私網(wǎng)IP地址模擬公網(wǎng)IP地址）為：/，網(wǎng)關(guān)地址為：51要求：實(shí)現(xiàn)內(nèi)部訪問Internet的應(yīng)用。注：在進(jìn)行防火墻設(shè)備配置前，要求正確連接防火墻的物理鏈路；調(diào)試用的計(jì)算機(jī)連接到防火墻的內(nèi)網(wǎng)端口上。通過IE或與IE兼容的瀏覽器（推薦應(yīng)用微軟IE瀏覽器）使用防火墻缺省IP地址登錄防火墻（建議：保持登錄防火墻的計(jì)算機(jī)與防火墻對(duì)應(yīng)接口處于相同網(wǎng)段，直接相連）。使用缺省IP登錄之后，出現(xiàn)安裝向?qū)В鹤ⅲ簩?duì)于熟悉Juniper防火墻配置的工程師，

23、可以跳過該配置向?qū)?，直接點(diǎn)選：No，skip the wizard and go straight to the WebUI management session instead，之后選擇Next，直接登錄防火墻設(shè)備的管理界面。使用向?qū)渲梅阑饓?，?qǐng)直接選擇：Next，彈出下面的界面：“歡迎使用配置向?qū)А?，再選擇Next。注：進(jìn)入登錄用戶名和密碼的修改頁(yè)面，Juniper防火墻的登錄用戶名和密碼是可以更改的，這個(gè)用戶名和密碼的界面修改的是防火墻設(shè)備上的根用戶，這個(gè)用戶對(duì)于防火墻設(shè)備來說具有最高的權(quán)限，需要認(rèn)真考慮和仔細(xì)配置，保存好修改后的用戶名和密碼。在完成防火墻的登錄用戶名和密碼的設(shè)置之后，

24、出現(xiàn)了一個(gè)比較關(guān)鍵的選擇，這個(gè)選擇決定了防火墻設(shè)備是工作在路由模式還是工作在NAT模式：選擇Enable NAT，則防火墻工作在NAT模式；不選擇Enable NAT，則防火墻工作在路由模式。防火墻設(shè)備工作模式選擇，選擇：Trust-Untrust Mode模式。這種模式是應(yīng)用最多的模式，防火墻可以被看作是只有一進(jìn)一出的部署模式。注：NS-5GT防火墻作為低端設(shè)備，為了能夠增加低端產(chǎn)品應(yīng)用的多樣性，Juniper在NS-5GT的OS中獨(dú)立開發(fā)了幾種不同的模式應(yīng)用于不同的環(huán)境。目前，除NS-5GT以外，Juniper其他系列防火墻不存在另外兩種模式的選擇。完成了模式選擇，點(diǎn)擊“Next”進(jìn)行防火

25、墻外網(wǎng)端口IP配置。外網(wǎng)端口IP配置有三個(gè)選項(xiàng)分別是：DHCP自動(dòng)獲取IP地址；通過PPPoE撥號(hào)獲得IP地址；手工設(shè)置靜態(tài)IP地址，并配置子網(wǎng)掩碼和網(wǎng)關(guān)IP地址。在這里，我們選擇的是使用靜態(tài)IP地址的方式，配置外網(wǎng)端口IP地址為：/，網(wǎng)關(guān)地址為：51。完成外網(wǎng)端口的IP地址配置之后，點(diǎn)擊“Next”進(jìn)行防火墻內(nèi)網(wǎng)端口IP配置：在完成了上述的配置之后，防火墻的基本配置就完成了，點(diǎn)擊“Next”進(jìn)行DHCP服務(wù)器配置。注：DHCP服務(wù)器配置在需要防火墻在網(wǎng)絡(luò)中充當(dāng)DHCP服務(wù)器的時(shí)候才需要配置。否則請(qǐng)選擇“NO”跳過。注：上面的頁(yè)面信息顯示的是在防火墻設(shè)備上配置實(shí)現(xiàn)一個(gè)DHCP服務(wù)器功能，由防火

26、墻設(shè)備給內(nèi)部計(jì)算機(jī)用戶自動(dòng)分配IP地址，分配的地址段為：00-50一共51個(gè)IP地址，在分配IP地址的同時(shí)，防火墻設(shè)備也給計(jì)算機(jī)用戶分配了DNS服務(wù)器地址，DNS用于對(duì)域名進(jìn)行解析，如：將 HYPERLINK http:/WWW.SINA.COM.CN解析為IP WWW.SINA.COM.CN解析為IP地址：2。如果計(jì)算機(jī)不能獲得或設(shè)置DNS服務(wù)器地址，無(wú)法訪問互聯(lián)網(wǎng)。完成DHCP服務(wù)器選項(xiàng)設(shè)置，點(diǎn)擊“Next”會(huì)彈出之前設(shè)置的匯總信息：確認(rèn)配置沒有問題，點(diǎn)擊“Next”會(huì)彈出提示“Finish”配置對(duì)話框：在該界面中，點(diǎn)選：Finish之后，該Web頁(yè)面會(huì)被關(guān)閉，配置完成。此時(shí)防火墻對(duì)來自內(nèi)

27、網(wǎng)到外網(wǎng)的訪問啟用基于端口地址的NAT，同時(shí)防火墻設(shè)備會(huì)自動(dòng)在策略列表部分生成一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略：策略：策略方向由Trust到Untrust，源地址：ANY，目標(biāo)地址：ANY，網(wǎng)絡(luò)服務(wù)內(nèi)容：ANY；策略作用：允許來自內(nèi)網(wǎng)的任意IP地址穿過防火墻訪問外網(wǎng)的任意地址。重新開啟一個(gè)IE頁(yè)面，并在地址欄中輸入防火墻的內(nèi)網(wǎng)端口地址，確定后，出現(xiàn)下圖中的登錄界面。輸入正確的用戶名和密碼，登錄到防火墻之后，可以對(duì)防火墻的現(xiàn)有配置進(jìn)行修改。總結(jié)：上述就是使用Web瀏覽器通過配置向?qū)瓿傻姆阑饓AT或路由模式的應(yīng)用。通過配置向?qū)?，可以在不熟悉防火墻設(shè)備的情況下，配置簡(jiǎn)單環(huán)境的防火墻應(yīng)用。2.5、基于非

28、向?qū)Х绞降腘AT/Route模式下的基本配置基于非向?qū)Х绞降腘AT和Route模式的配置建議首先使用命令行開始，最好通過控制臺(tái)的方式連接防火墻，這個(gè)管理方式不受接口IP地址的影響。注：在設(shè)備缺省的情況下，防火墻的信任區(qū)（Trust Zone）所在的端口是工作在NAT模式的，其它安全區(qū)所在的端口是工作在路由模式的。 基于命令行方式的防火墻設(shè)備部署的配置如下（網(wǎng)絡(luò)環(huán)境同上一章節(jié)所講述的環(huán)境）： 2.5.1、NS-5GT NAT/Route模式下的基本配置注：NS-5GT設(shè)備的物理接口名稱叫做trust和untrust；缺省Zone包括：trust和untrust，請(qǐng)注意和接口區(qū)分開。Unset i

29、nterface trust ip （清除防火墻內(nèi)網(wǎng)端口的IP地址）；Set interface trust zone trust（將內(nèi)網(wǎng)端口分配到trust zone）；Set interface trust ip /24（設(shè)置內(nèi)網(wǎng)端口的IP地址，必須先定義zone，之后再定義IP地址）；Set interface untrust zone untrust（將外網(wǎng)口分配到untrust zone）；Set interface untrust ip /24（設(shè)置外網(wǎng)口的IP地址）；Set route /0 interface untrust gateway 51（設(shè)置防火墻對(duì)外的缺省路由網(wǎng)關(guān)地

30、址）；Set policy from trust to untrust any any any permit log（定義一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略。策略的方向是：由zone trust 到 zone untrust， 源地址為：any，目標(biāo)地址為：any，網(wǎng)絡(luò)服務(wù)為：any，策略動(dòng)作為：permit允許，log：開啟日志記錄）；Save （保存上述的配置文件）。2.5.2、NS-25-208 NAT/Route模式下的基本配置Unset interface ethernet1 ip（清除防火墻內(nèi)網(wǎng)口缺省IP地址）；Set interface ethernet1 zone trust（將eth

31、ernet1端口分配到trust zone）； Set interface ethernet1 ip /24（定義ethernet1端口的IP地址）；Set interface ethernet3 zone untrust（將ethernet3端口分配到untrust zone）；Set interface ethernet3 ip /24（定義ethernet3端口的IP地址）； Set route /0 interface ethernet3 gateway 51（定義防火墻對(duì)外的缺省路由網(wǎng)關(guān)）；Set policy from trust to untrust any any any pe

32、rmit log（定義由內(nèi)網(wǎng)到外網(wǎng)的訪問控制策略）；Save （保存上述的配置文件）注：上述是在命令行的方式上實(shí)現(xiàn)的NAT模式的配置，因?yàn)榉阑饓Τ鰪S時(shí)在內(nèi)網(wǎng)端口（trust zone所屬的端口）上啟用了NAT，所以一般不用特別設(shè)置，但是其它的端口則工作在路由模式下，例如：untrust和DMZ區(qū)的端口。 如果需要將端口從路由模式修改為NAT模式，則可以按照如下的命令行進(jìn)行修改：Set interface ethernet2 NAT （設(shè)置端口2為NAT模式）Save總結(jié)：NAT/Route模式做防火墻部署的主要模式，通常是在一臺(tái)防火墻上兩種模式混合進(jìn)行（除非防火墻完全是在內(nèi)網(wǎng)應(yīng)用部署，不需要做

33、NAT-地址轉(zhuǎn)換，這種情況下防火墻所有端口都處于Route模式，防火墻首先作為一臺(tái)路由器進(jìn)行部署）；關(guān)于配置舉例，NS-5GT由于設(shè)備設(shè)計(jì)上的特殊性，因此專門列舉加以說明；Juniper在2006年全新推出的SSG系列防火墻，除了端口命名不一樣，和NS-25等設(shè)備管理配置方式一樣。2.6、基于非向?qū)Х绞降耐该髂Ｊ较碌幕九渲脤?shí)現(xiàn)透明模式配置建議采用命令行的方式，因?yàn)椴捎肳eb的方式實(shí)現(xiàn)時(shí)相對(duì)命令行的方式麻煩。通過控制臺(tái)連接防火墻的控制口，登錄命令行管理界面，通過如下命令及步驟進(jìn)行二層透明模式的配置：Unset interface ethernet1 ip（將以太網(wǎng)1端口上的默認(rèn)IP地址刪除）；

34、Set interface ethernet1 zone v1-trust（將以太網(wǎng)1端口分配到v1-trust zone：基于二層的安全區(qū)，端口設(shè)置為該安全區(qū)后，則端口工作在二層模式，并且不能在該端口上配置IP地址）；Set interface ethernet2 zone v1-dmz（將以太網(wǎng)2端口分配到v1-dmz zone）；Set interface ethernet3 zone v1-untrust（將以太網(wǎng)3端口分配到v1-untrust zone）；Set interface vlan1 ip /24（設(shè)置VLAN1的IP地址為：/，該地址作為防火墻管理IP地址使用）；Set

35、 policy from v1-trust to v1-untrust any any any permit log（設(shè)置一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略）；Save（保存當(dāng)前的配置）；總結(jié)：帶有V1-字樣的zone為基于透明模式的安全區(qū)，在進(jìn)行透明模式的應(yīng)用時(shí)，至少要保證兩個(gè)端口的安全區(qū)工作在二層模式；雖然Juniper防火墻可以在某些特殊版本工作在混合模式下（二層模式和三層模式的混合應(yīng)用），但是通常情況下，建議盡量使防火墻工作在一種模式下（三層模式可以混用：NAT和路由）。3、Juniper防火墻幾種常用功能的配置這里講述的Juniper防火墻的幾種常用功能主要是指基于策略的NAT的實(shí)現(xiàn)，包括：

36、MIP、VIP和DIP，這三種常用功能主要應(yīng)用于防火墻所保護(hù)服務(wù)器提供對(duì)外服務(wù)。3.1、MIP的配置MIP是“一對(duì)一”的雙向地址翻譯（轉(zhuǎn)換）過程。通常的情況是：當(dāng)你有若干個(gè)公網(wǎng)IP地址，又存在若干的對(duì)外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器（服務(wù)器使用私有IP地址），為了實(shí)現(xiàn)互聯(lián)網(wǎng)用戶訪問這些服務(wù)器，可在Internet出口的防火墻上建立公網(wǎng)IP地址與服務(wù)器私有IP地址之間的一對(duì)一映射（MIP），并通過策略實(shí)現(xiàn)對(duì)服務(wù)器所提供服務(wù)進(jìn)行訪問控制。MIP應(yīng)用的網(wǎng)絡(luò)拓?fù)鋱D：注：MIP配置在防火墻的外網(wǎng)端口（連接Internet的端口）。3.1.1、使用Web瀏覽器方式配置MIP登錄防火墻，將防火墻部署為三層模式（NAT

37、或路由模式）；定義MIP：Network=Interface=ethernet2=MIP，配置實(shí)現(xiàn)MIP的地址映射。Mapped IP：公網(wǎng)IP地址，Host IP：內(nèi)網(wǎng)服務(wù)器IP地址定義策略：在POLICY中，配置由外到內(nèi)的訪問控制策略，以此允許來自外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)服務(wù)器應(yīng)用的訪問。3.1.2、使用命令行方式配置MIP配置接口參數(shù)set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet2 zone untrustset i

38、nterface ethernet2 ip /24定義MIPset interface ethernet2 mip host netmask 55 vrouter trust-vr定義策略set policy from untrust to trust any mip() http permitsave3.2、VIP的配置MIP是一個(gè)公網(wǎng)IP地址對(duì)應(yīng)一個(gè)私有IP地址，是一對(duì)一的映射關(guān)系；而VIP是一個(gè)公網(wǎng)IP地址的不同端口（協(xié)議端口如：21、25、110等）與內(nèi)部多個(gè)私有IP地址的不同服務(wù)端口的映射關(guān)系。通常應(yīng)用在只有很少的公網(wǎng)IP地址，卻擁有多個(gè)私有IP地址的服務(wù)器，并且，這些服務(wù)器是需要對(duì)

39、外提供各種服務(wù)的。VIP應(yīng)用的拓?fù)鋱D：注：VIP配置在防火墻的外網(wǎng)連接端口上（連接Internet的端口）。3.2.1、使用Web瀏覽器方式配置VIP登錄防火墻，配置防火墻為三層部署模式。添加VIP：Network=Interface=ethernet8=VIP添加與該VIP公網(wǎng)地址相關(guān)的訪問控制策略。3.2.2、使用命令行方式配置VIP配置接口參數(shù)set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet3 zone untr

40、ustset interface ethernet3 ip /24定義VIPset interface ethernet3 vip 0 80 http 0定義策略set policy from untrust to trust any vip(0) http permitsave注：VIP的地址可以利用防火墻設(shè)備的外網(wǎng)端口地址實(shí)現(xiàn)（限于低端設(shè)備）。3.3、DIP的配置DIP的應(yīng)用一般是在內(nèi)網(wǎng)對(duì)外網(wǎng)的訪問方面。當(dāng)防火墻內(nèi)網(wǎng)端口部署在NAT模式下，通過防火墻由內(nèi)網(wǎng)對(duì)外網(wǎng)的訪問會(huì)自動(dòng)轉(zhuǎn)換為防火墻設(shè)備的外網(wǎng)端口IP地址，并實(shí)現(xiàn)對(duì)外網(wǎng)（互聯(lián)網(wǎng)）的訪問，這種應(yīng)用存在一定的局限性。解決這種局限性的辦法就是D

41、IP，在內(nèi)部網(wǎng)絡(luò)IP地址外出訪問時(shí)，動(dòng)態(tài)轉(zhuǎn)換為一個(gè)連續(xù)的公網(wǎng)IP地址池中的IP地址。DIP應(yīng)用的網(wǎng)絡(luò)拓?fù)鋱D：3.3.1、使用Web瀏覽器方式配置DIP登錄防火墻設(shè)備，配置防火墻為三層部署模式；定義DIP：Network=Interface=ethernet3=DIP，在定義了公網(wǎng)IP地址的untrust端口定義IP地址池；定義策略：定義由內(nèi)到外的訪問策略，在策略的高級(jí)（ADV）部分NAT的相關(guān)內(nèi)容中，啟用源地址NAT，并在下拉菜單中選擇剛剛定義好的DIP地址池，保存策略，完成配置；策略配置完成之后擁有內(nèi)部IP地址的網(wǎng)絡(luò)設(shè)備在訪問互聯(lián)網(wǎng)時(shí)會(huì)自動(dòng)從該地址池中選擇一個(gè)公網(wǎng)IP地址進(jìn)行NAT。3.3.

42、2、使用命令行方式配置DIP配置接口參數(shù)set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip /24定義DIPset interface ethernet3 dip 5 0 0定義策略set policy from trust to untrust any any http nat src dip-id 5 permitsave4、Junipe

43、r防火墻IPSec VPN的配置Juniper所有系列防火墻（除部分早期型號(hào)外）都支持IPSec VPN，其配置方式有多種，包括：基于策略的VPN、基于路由的VPN、集中星形VPN和背靠背VPN等。在這里，我們主要介紹最常用的VPN模式：基于策略的VPN。站點(diǎn)間（Site-to-Site）的VPN是IPSec VPN的典型應(yīng)用，這里我們介紹兩種站點(diǎn)間基于策略VPN的實(shí)現(xiàn)方式：站點(diǎn)兩端都具備靜態(tài)公網(wǎng)IP地址；站點(diǎn)兩端其中一端具備靜態(tài)公網(wǎng)IP地址，另一端動(dòng)態(tài)公網(wǎng)IP地址。4.1、站點(diǎn)間IPSec VPN配置：staic ip-to-staic ip當(dāng)創(chuàng)建站點(diǎn)兩端都具備靜態(tài)IP的VPN應(yīng)用中，位于兩

44、端的防火墻上的VPN配置基本相同，不同之處是在VPN gateway部分的VPN網(wǎng)關(guān)指向IP不同，其它部分相同。VPN組網(wǎng)拓?fù)鋱D：staic ip-to-staic ip4.1.1、使用Web瀏覽器方式配置登錄防火墻設(shè)備，配置防火墻為三層部署模式；定義VPN第一階段的相關(guān)配置：VPNs=Autokey Adwanced=Gateway配置VPN gateway部分，定義VPN網(wǎng)關(guān)名稱、定義“對(duì)端VPN設(shè)備的公網(wǎng)IP地址”為本地VPN設(shè)備的網(wǎng)關(guān)地址、定義預(yù)共享密鑰、選擇發(fā)起VPN服務(wù)的物理端口；在VPN gateway的高級(jí)（Advanced）部分，定義相關(guān)的VPN隧道協(xié)商的加密算法、選擇VPN

45、的發(fā)起模式；配置VPN第一階段完成顯示列表如下圖；定義VPN第二階段的相關(guān)配置：VPNs=Autokey IKE在Autokey IKE部分，選擇第一階段的VPN配置；在VPN第二階段高級(jí)（Advances）部分，選擇VPN的加密算法；配置VPN第二階段完成顯示列表如下圖；定義VPN策略，選擇地址和服務(wù)信息，策略動(dòng)作選擇為：隧道模式；VPN隧道選擇為：剛剛定義的隧道，選擇自動(dòng)設(shè)置為雙向策略；4.1.2、使用命令行方式配置CLI ( 東京)配置接口參數(shù)set interface ethernet1 zone trustset interface ethernet1 ip /24set inter

46、face ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip /24定義路由set vrouter trust-vr route /0 interface ethernet3 gateway 50定義地址set address trust Trust_LAN /24set address untrust paris_office /24定義IPSec VPNset ike gateway to_paris address main outgoing-interface ethernet3 pre

47、share h1p8A24nG5 proposal pre-g2-3des-shaset vpn tokyo_paris gateway to_paris sec-level compatible定義策略set policy top name To/From Paris from trust to untrust Trust_LAN paris_officeany tunnel vpn tokyo_parisset policy top name To/From Paris from untrust to trust paris_office Trust_LANany tunnel vpn t

48、okyo_parissaveCLI ( 巴黎)定義接口參數(shù)set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip /24定義路由set vrouter trust-vr route /0 interface ethernet3 gateway 50定義地址set address trust Trust_LAN /24set address unt

49、rust tokyo_office /24定義IPSec VPNset ike gateway to_tokyo address main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn paris_tokyo gateway to_tokyo sec-level compatible定義策略set policy top name To/From Tokyo from trust to untrust Trust_LAN tokyo_officeany tunnel vpn par

50、is_tokyoset policy top name To/From Tokyo from untrust to trust tokyo_office Trust_LANany tunnel vpn paris_tokyosave4.2、站點(diǎn)間IPSec VPN配置：staic ip-to-dynamic ip在站點(diǎn)間IPSec VPN應(yīng)用中，有一種特殊的應(yīng)用，即在站點(diǎn)兩端的設(shè)備中，一端擁有靜態(tài)的公網(wǎng)IP地址，而另外一端只有動(dòng)態(tài)的公網(wǎng)IP地址，以下講述的案例是在這種情況下，Juniper防火墻如何建立IPSec VPN隧道?；驹瓌t：在這種IPSec VPN組網(wǎng)應(yīng)用中，擁有靜態(tài)公網(wǎng)IP地址的

51、一端作為被訪問端出現(xiàn)，擁有動(dòng)態(tài)公網(wǎng)IP地址的一端作為VPN隧道協(xié)商的發(fā)起端。和站點(diǎn)兩端都具備靜態(tài)IP地址的配置的不同之處在于VPN第一階段的相關(guān)配置，在主動(dòng)發(fā)起端（只有動(dòng)態(tài)公網(wǎng)IP地址一端）需要指定VPN網(wǎng)關(guān)地址，需配置一個(gè)本地ID，配置VPN發(fā)起模式為：主動(dòng)模式；在站點(diǎn)另外一端（擁有靜態(tài)公網(wǎng)IP地址一端）需要指定VPN網(wǎng)關(guān)地址為對(duì)端設(shè)備的ID信息，不需要配置本地ID，其它部分相同。IPSec VPN組網(wǎng)拓?fù)鋱D：staic ip-to-dynamic ip4.2.1、使用Web瀏覽器方式配置VPN第一階段的配置：動(dòng)態(tài)公網(wǎng)IP地址端。VPN的發(fā)起必須由本端開始，動(dòng)態(tài)地址端可以確定對(duì)端防火墻的IP

52、地址，因此在VPN階段一的配置中，需指定對(duì)端VPN設(shè)備的靜態(tài)IP地址。同時(shí)，在本端設(shè)置一個(gè)Local ID，提供給對(duì)端作為識(shí)別信息使用。VPN第一階段的高級(jí)配置：動(dòng)態(tài)公網(wǎng)IP地址端。在VPN階段一的高級(jí)配置中動(dòng)態(tài)公網(wǎng)IP一端的VPN的發(fā)起模式應(yīng)該配置為：主動(dòng)模式（Aggressive）VPN第一階段的配置：靜態(tài)公網(wǎng)IP地址端。在擁有靜態(tài)公網(wǎng)IP地址的防火墻一端，在VPN階段一的配置中，需要按照如下圖所示的配置：“Remote Gateway Type”應(yīng)該選擇“Dynamic IP Address”，同時(shí)設(shè)置Peer ID（和在動(dòng)態(tài)IP地址一端設(shè)置的Local ID相同）。VPN第二階段配置，

53、和在”static ip-to-static ip”模式下相同。VPN的訪問控制策略，和在”static ip-to-static ip”模式下相同。4.2.1、使用命令行方式配置CLI ( 設(shè)備-A)定義接口參數(shù)set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 dhcp clientset interface ethernet3 dhcp cl

54、ient settings server 定義路由set vrouter trust-vr route /0 interface ethernet3定義用戶set user pmason password Nd4syst4定義地址set address trust trusted network /24set address untrust mail server /32定義服務(wù)set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group servic

55、e remote_mail add httpset group service remote_mail add ftpset group service remote_mail add telnetset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3定義VPNset ike gateway to_mail address aggressive local-id pmasonoutgoing-interface ethe

56、rnet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn branch_corp gateway to_mail sec-level compatible定義策略set policy top from trust to untrust trusted network mail server remote_mailtunnel vpn branch_corp auth server Local user pmasonset policy top from untrust to trust mail server trusted netwo

57、rk remote_mailtunnel vpn branch_corpsaveCLI ( 設(shè)備-B)定義接口參數(shù)set interface ethernet2 zone dmzset interface ethernet2 ip /24set interface ethernet3 zone untrustset interface ethernet3 ip /24路由set vrouter trust-vr route /0 interface ethernet3 gateway 50定義地址set address dmz mail server /32set address untrus

58、t branch office /24定義服務(wù)set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3定義VPNset ike gateway to_branch dynamic pmason aggressiveoutgoing-inte

59、rface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn corp_branch gateway to_branch tunnel sec-level compatible定義策略set policy top from dmz to untrust mail server branch office remote_mailtunnel vpn corp_branchset policy top from untrust to dmz branch office mail server remote_mailtunne

60、l vpn corp_branchsave5、Juniper中低端防火墻的UTM功能配置Juniper中低端防火墻（目前主要以SSG系列防火墻為參考）支持非常廣泛的攻擊防護(hù)及內(nèi)容安全功能，主要包括：防病毒（Anti-Virus）、防垃圾郵件（Anti-Spam）、URL過濾（URL filtering）以及深層檢測(cè)/入侵防御（Deep Inspection/IPS）。注：上述的安全/防護(hù)功能集成在防火墻的ScreenOS操作系統(tǒng)中，但是必須通過license（許可）激活后方可使用（并會(huì)在激活一段時(shí)間（通常是1年）后過期）。當(dāng)然在使用這些功能的時(shí)候，我們還需要設(shè)定好防火墻的時(shí)鐘以及DNS服務(wù)器地