Juniper網(wǎng)絡安全防火墻設備安裝手冊

1、 Juniper 網(wǎng)絡安全防火墻設備快速安裝手冊目 錄 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 、前言 HYPERLINK l _bookmark0 4 HYPERLINK l _bookmark0 、JUNIPER防火墻配置概述4 HYPERLINK l _bookmark0 、JUNIPER防火墻管理配置的基本信息4 HYPERLINK l _bookmark1 、JUNIPER防火墻的常用功能5 HYPERLINK l _bookmark2 2 HYPERLINK l _bookmark2 、 HYPERLINK l _bookma

2、rk2 JUNIPER HYPERLINK l _bookmark2 防火墻三種部署模式及基本配置 HYPERLINK l _bookmark2 6 HYPERLINK l _bookmark2 、NAT模式6 HYPERLINK l _bookmark3 、ROUTE-路由模式7 HYPERLINK l _bookmark4 、透明模式8 HYPERLINK l _bookmark4 、基于向導方式的NAT/ROUTE模式下的基本配置8 HYPERLINK l _bookmark5 、基于非向導方式的NAT/ROUTE模式下的基本配置17 HYPERLINK l _bookmark6 、NS

3、-5GT NAT/Route模式下的基本配置18 HYPERLINK l _bookmark7 、NS-25-208 NAT/Route模式下的基本配置19 HYPERLINK l _bookmark8 、基于非向導方式的透明模式下的基本配置20 HYPERLINK l _bookmark9 3 HYPERLINK l _bookmark9 、 HYPERLINK l _bookmark9 JUNIPER HYPERLINK l _bookmark9 防火墻幾種常用功能的配置 HYPERLINK l _bookmark9 21 HYPERLINK l _bookmark9 、MIP的配置21

4、HYPERLINK l _bookmark10 、使用Web瀏覽器方式配置MIP22 HYPERLINK l _bookmark11 、使用命令行方式配置MIP24 HYPERLINK l _bookmark11 、VIP的配置24 HYPERLINK l _bookmark12 、使用Web瀏覽器方式配置VIP25 HYPERLINK l _bookmark13 、使用命令行方式配置VIP26 HYPERLINK l _bookmark14 、DIP的配置27 HYPERLINK l _bookmark14 、使用Web瀏覽器方式配置DIP27 HYPERLINK l _bookmark15

5、 、使用命令行方式配置DIP29 HYPERLINK l _bookmark15 4 HYPERLINK l _bookmark15 、 HYPERLINK l _bookmark15 JUNIPER HYPERLINK l _bookmark15 防火墻 HYPERLINK l _bookmark15 IPSEC VPN HYPERLINK l _bookmark15 的配置 HYPERLINK l _bookmark15 29 HYPERLINK l _bookmark15 、站點間IPSEC VPN配置：STAIC IP-TO-STAIC IP29 HYPERLINK l _bookma

6、rk16 、使用Web瀏覽器方式配置30 HYPERLINK l _bookmark17 、使用命令行方式配置34 HYPERLINK l _bookmark18 、站點間IPSEC VPN配置：STAIC IP-TO-DYNAMIC IP36 HYPERLINK l _bookmark19 、使用Web瀏覽器方式配置37 HYPERLINK l _bookmark20 4.2.1、使用命令行方式配置40 HYPERLINK l _bookmark21 5 HYPERLINK l _bookmark21 、 HYPERLINK l _bookmark21 JUNIPER HYPERLINK l

7、 _bookmark21 中低端防火墻的 HYPERLINK l _bookmark21 UTM HYPERLINK l _bookmark21 功能配置 HYPERLINK l _bookmark21 42 HYPERLINK l _bookmark22 、防病毒功能的設置43 HYPERLINK l _bookmark22 、Scan Manager的設置43 HYPERLINK l _bookmark23 、Profile的設置44 HYPERLINK l _bookmark24 、防病毒profile在安全策略中的引用46 HYPERLINK l _bookmark25 、防垃圾郵件功

8、能的設置48 HYPERLINK l _bookmark26 、Action 設置49 HYPERLINK l _bookmark26 、White List與Black List的設置49 HYPERLINK l _bookmark27 、防垃圾郵件功能的引用51 HYPERLINK l _bookmark27 、WEB/URL過濾功能的設置51 HYPERLINK l _bookmark27 、轉發(fā)URL過濾請求到外置URL過濾服務器51 HYPERLINK l _bookmark28 、使用內(nèi)置的URL過濾引擎進行URL過濾53 HYPERLINK l _bookmark29 、手動添加

9、過濾項54 HYPERLINK l _bookmark30 、深層檢測功能的設置58 HYPERLINK l _bookmark30 、設置DI攻擊特征庫自動更新58 HYPERLINK l _bookmark31 、深層檢測（DI）的引用59 HYPERLINK l _bookmark32 6 HYPERLINK l _bookmark32 、 HYPERLINK l _bookmark32 JUNIPER HYPERLINK l _bookmark32 防火墻的 HYPERLINK l _bookmark32 HA HYPERLINK l _bookmark32 （高可用性）配置 HYPE

10、RLINK l _bookmark32 61 HYPERLINK l _bookmark33 、使用WEB瀏覽器方式配置62 HYPERLINK l _bookmark34 、使用命令行方式配置64 HYPERLINK l _bookmark35 7 HYPERLINK l _bookmark35 、 HYPERLINK l _bookmark35 JUNIPER HYPERLINK l _bookmark35 防火墻一些實用工具 HYPERLINK l _bookmark35 65 HYPERLINK l _bookmark35 、防火墻配置文件的導出和導入65 HYPERLINK l _b

11、ookmark36 、配置文件的導出66 HYPERLINK l _bookmark36 、配置文件的導入66 HYPERLINK l _bookmark37 、防火墻軟件（SCREENOS）更新67 HYPERLINK l _bookmark38 、防火墻恢復密碼及出廠配置的方法68 HYPERLINK l _bookmark38 8 HYPERLINK l _bookmark38 、 HYPERLINK l _bookmark38 JUNIPER HYPERLINK l _bookmark38 防火墻的一些概念 HYPERLINK l _bookmark38 681、前言我們制作本安裝手冊

12、的目的是使初次接觸 Juniper 網(wǎng)絡安全防火墻設備（在本安裝手冊中簡稱為“Juniper 防火墻”）的工程技術人員，可以通過此安裝手冊完成對 Juniper 防火墻基本功能的實現(xiàn)和應用。、Juniper防火墻配置概述Juniper 防火墻作為專業(yè)的網(wǎng)絡安全設備，可以支持各種復雜網(wǎng)絡環(huán)境中的網(wǎng)絡安全應用需求；但是由于部署模式及功能的多樣性使得Juniper 防火墻在實際部署時具有一定的復雜性。在配置Juniper 防火墻之前我們通常需要先了解用戶現(xiàn)有網(wǎng)絡的規(guī)劃情況和用戶對防火墻配置及實現(xiàn)功能的諸多要求，建議參照以下思路和步驟對 Juniper 防火墻進行配置和管理。基本配置：確認防火墻的部署

13、模式：NAT 模式、路由模式、或者透明模式；為防火墻的端口配置 IP 地址（包括防火墻的管理 IP 地址），配置路由信息；配置訪問控制策略，完成基本配置。其它配置：配置基于端口和基于地址的映射；配置基于策略的 VPN；修改防火墻默認的用戶名、密碼以及管理端口。、Juniper防火墻管理配置的基本信息Juniper 防火墻常用管理方式：通過 Web 瀏覽器方式管理。推薦使用 IE 瀏覽器進行登錄管理，需要知道防火墻對應端口的管理 IP 地址；命令行方式。支持通過 Console 端口超級終端連接和 Telnet 防火墻管理 IP 地址連接兩種命令行登錄管理模式。Juniper 防火墻缺省管理端口

14、和 IP 地址：Juniper 防火墻出廠時可通過缺省設置的 IP 地址使用 Telnet 或者 Web 方式管理。缺省IP 地址為：/；缺省 IP 地址通常設置在防火墻的 Trust 端口上（NS-5GT）、最小端口編號的物理端口上 （ NS-25/50/204/208/SSG系 列 ） 、 或 者 專 用 的 管 理 端 口 上（ISG-1000/2000,NS-5200/5400）。Juniper 防火墻缺省登錄管理賬號：用戶名：netscreen；密碼：netscreen。、Juniper防火墻的常用功能在一般情況下，防火墻設備的常用功能包括：透明模式的部署、NAT/路由模式的部署、N

15、AT 的應用、MIP 的應用、DIP 的應用、VIP 的應用、基于策略 VPN 的應用。本安裝手冊將分別對以上防火墻的配置及功能的實現(xiàn)加以說明。注：在對 MIP/DIP/VIP 等 Juniper 防火墻的一些基本概念不甚了解的情況下，請先到本手冊最后一章節(jié)內(nèi)容查看了解！2、Juniper防火墻三種部署模式及基本配置Juniper 防火墻在實際的部署過程中主要有三種模式可供選擇，這三種模式分別是：基于 TCP/IP 協(xié)議三層的 NAT 模式；基于 TCP/IP 協(xié)議三層的路由模式；基于二層協(xié)議的透明模式。、NAT模式當Juniper防火墻入口接口（“內(nèi)網(wǎng)端口”）處于NAT模式時，防火墻將通往

16、Untrust 區(qū)（外網(wǎng)或者公網(wǎng)）的IP 數(shù)據(jù)包包頭中的兩個組件進行轉換：源 IP 地址和源端口號。防火墻使用 Untrust 區(qū)（外網(wǎng)或者公網(wǎng)）接口的 IP 地址替換始發(fā)端主機的源 IP 地址； 同時使用由防火墻生成的任意端口號替換源端口號。NAT 模式應用的環(huán)境特征：注冊 IP 地址（公網(wǎng) IP 地址）的數(shù)量不足；內(nèi)部網(wǎng)絡使用大量的非注冊 IP 地址（私網(wǎng) IP 地址）需要合法訪問 Internet；內(nèi)部網(wǎng)絡中有需要外顯并對外提供服務的服務器。、Route-路由模式當Juniper防火墻接口配置為路由模式時，防火墻在不同安全區(qū)間（例如：Trust/Utrust/DMZ）轉發(fā)信息流時IP 數(shù)

17、據(jù)包包頭中的源地址和端口號保持不變（除非明確采用了地址翻譯策略）。與NAT模式下不同，防火墻接口都處于路由模式時，防火墻不會自動實施地址翻譯；與透明模式下不同，當防火墻接口都處于路由模式時，其所有接口都處于不同的子網(wǎng)中。路由模式應用的環(huán)境特征：防火墻完全在內(nèi)網(wǎng)中部署應用；NAT 模式下的所有環(huán)境； 需要復雜的地址翻譯。、透明模式當Juniper防火墻接口處于“透明”模式時，防火墻將過濾通過的IP數(shù)據(jù)包，但不會修改 IP 數(shù)據(jù)包包頭中的任何信息。防火墻的作用更像是處于同一VLAN的2 層交換機或者橋接器， 防火墻對于用戶來說是透明的。透明模式是一種保護內(nèi)部網(wǎng)絡從不可信源接收信息流的方便手段。使用

18、透明模式有以下優(yōu)點：不需要修改現(xiàn)有網(wǎng)絡規(guī)劃及配置；不需要實施 地址翻譯；可以允許動態(tài)路由協(xié)議、Vlan trunking的數(shù)據(jù)包通過。、基于向導方式的NAT/Route模式下的基本配置Juniper 防火墻 NAT 和路由模式的配置可以在防火墻保持出廠配置啟動后通過 Web 瀏覽器配置向導完成。注：要啟動配置向導，則必須保證防火墻設備處于出廠狀態(tài)。例如：新的從未被調試過的設備，或者經(jīng)過命令行恢復為出廠狀態(tài)的防火墻設備。通過 Web 瀏覽器登錄處于出廠狀態(tài)的防火墻時，防火墻的缺省管理參數(shù)如下：缺省 IP：/；缺省用戶名/密碼：netscreen/ netscreen；注：缺省管理 IP 地址所在

19、端口參見在前言部份講述的“Juniper 防火墻缺省管理端口和 IP地址”中查找！在配置向導實現(xiàn)防火墻應用的同時，我們先虛擬一個防火墻設備的部署環(huán)境，之后，根據(jù)這個環(huán)境對防火墻設備進行配置。防火墻配置規(guī)劃： 防火墻部署在網(wǎng)絡的 Internet 出口位 置，內(nèi)部網(wǎng)絡使用的 IP 地址 為/ 所在的網(wǎng)段，內(nèi)部網(wǎng)絡計算機的網(wǎng)關地址為防火墻內(nèi)網(wǎng)端口的 IP 地址：； 防火墻外網(wǎng)接口 IP 地址（通常情況下為公網(wǎng) IP 地址，在這里我們使用私網(wǎng) IP 地址模擬公網(wǎng) IP 地址）為：/，網(wǎng)關地址為：51要求：實現(xiàn)內(nèi)部訪問 Internet 的應用。注：在進行防火墻設備配置前，要求正確連接防火墻的物理鏈路

20、；調試用的計算機連接到防火墻的內(nèi)網(wǎng)端口上。通過 IE 或與IE 兼容的瀏覽器（推薦應用微軟 IE 瀏覽器）使用防火墻缺省 IP 地址登錄防火墻（建議：保持登錄防火墻的計算機與防火墻對應接口處于相同網(wǎng)段，直接相連）。使用缺省 IP 登錄之后，出現(xiàn)安裝向導：注：對于熟悉 Juniper 防火墻配置的工程師，可以跳過該配置向導，直接點選：No，skip the wizard and go straight to the WebUI management session instead，之后選擇 Next，直接登錄防火墻設備的管理界面。使用向導配置防火墻，請直接選擇：Next，彈出下面的界面：“歡迎使

21、用配置向導”，再選擇 Next。注：進入登錄用戶名和密碼的修改頁面，Juniper 防火墻的登錄用戶名和密碼是可以更改的， 這個用戶名和密碼的界面修改的是防火墻設備上的根用戶，這個用戶對于防火墻設備來說具有最高的權限，需要認真考慮和仔細配置，保存好修改后的用戶名和密碼。在完成防火墻的登錄用戶名和密碼的設置之后，出現(xiàn)了一個比較關鍵的選擇，這個選擇決定了防火墻設備是工作在路由模式還是工作在 NAT 模式：選擇 Enable NAT，則防火墻工作在 NAT 模式；不選擇 Enable NAT，則防火墻工作在路由模式。防火墻設備工作模式選擇，選擇：Trust-Untrust Mode 模式。這種模式是

22、應用最多的模式，防火墻可以被看作是只有一進一出的部署模式。注：NS-5GT 防火墻作為低端設備，為了能夠增加低端產(chǎn)品應用的多樣性，Juniper 在NS-5GT的 OS 中獨立開發(fā)了幾種不同的模式應用于不同的環(huán)境。目前，除 NS-5GT 以外，Juniper 其他系列防火墻不存在另外兩種模式的選擇。完成了模式選擇，點擊“Next”進行防火墻外網(wǎng)端口 IP 配置。外網(wǎng)端口 IP 配置有三個選項分別是：DHCP 自動獲取 IP 地址；通過 PPPoE 撥號獲得 IP 地址；手工設置靜態(tài)IP 地址，并配置子網(wǎng)掩碼和網(wǎng)關 IP 地址。在這里，我們選擇的是使用靜態(tài) IP 地址的方式，配置外網(wǎng)端口 IP

23、地址為： /，網(wǎng)關地址為：51。完成外網(wǎng)端口的 IP 地址配置之后，點擊“Next”進行防火墻內(nèi)網(wǎng)端口 IP 配置：在完成了上述的配置之后，防火墻的基本配置就完成了，點擊“Next”進行 DHCP 服務器配置。注：DHCP 服務器配置在需要防火墻在網(wǎng)絡中充當 DHCP 服務器的時候才需要配置。否則請選擇“NO”跳過。注：上面的頁面信息顯示的是在防火墻設備上配置實現(xiàn)一個DHCP服務器功能，由防火墻設備給內(nèi)部計算機用戶自動分配IP地址，分配的地址段為：00-50 一共 51 個IP地址，在分配IP地址的同時，防火墻設備也給計算機用戶分配了DNS服務器地址， DNS用于對域名進行解析，如：將 HYP

24、ERLINK http:/WWW.SINA.COM.CN解析為IP地址/ h WWW.SINA.COM.CN解析為IP地址：2。如果計算機不能獲得或設置DNS服務器地址，無法訪問互聯(lián)網(wǎng)。完成 DHCP 服務器選項設置，點擊“Next”會彈出之前設置的匯總信息：確認配置沒有問題，點擊“Next”會彈出提示“Finish”配置對話框：在該界面中，點選：Finish 之后，該 Web 頁面會被關閉，配置完成。此時防火墻對來自內(nèi)網(wǎng)到外網(wǎng)的訪問啟用基于端口地址的 NAT，同時防火墻設備會自動在策略列表部分生成一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略：策略：策略方向由 Trust 到 Untrust，源地址：ANY，目

25、標地址：ANY，網(wǎng)絡服務內(nèi)容： ANY；策略作用：允許來自內(nèi)網(wǎng)的任意 IP 地址穿過防火墻訪問外網(wǎng)的任意地址。重新開啟一個 IE 頁面，并在地址欄中輸入防火墻的內(nèi)網(wǎng)端口地址，確定后，出現(xiàn)下圖中的登錄界面。輸入正確的用戶名和密碼，登錄到防火墻之后，可以對防火墻的現(xiàn)有配置進行修改?？偨Y：上述就是使用 Web 瀏覽器通過配置向導完成的防火墻 NAT 或路由模式的應用。通過配置向導，可以在不熟悉防火墻設備的情況下，配置簡單環(huán)境的防火墻應用。、基于非向導方式的NAT/Route模式下的基本配置基于非向導方式的 NAT 和 Route 模式的配置建議首先使用命令行開始，最好通過控制臺的方式連接防火墻，這個

26、管理方式不受接口 IP 地址的影響。注：在設備缺省的情況下，防火墻的信任區(qū)（Trust Zone）所在的端口是工作在 NAT 模式的，其它安全區(qū)所在的端口是工作在路由模式的?；诿钚蟹绞降姆阑饓υO備部署的配置如下（網(wǎng)絡環(huán)境同上一章節(jié)所講述的環(huán)境）：、NS-5GT NAT/Route模式下的基本配置注：NS-5GT 設備的物理接口名稱叫做 trust 和untrust；缺省 Zone 包括：trust 和 untrust，請注意和接口區(qū)分開。Unset interface trust ip （清除防火墻內(nèi)網(wǎng)端口的 IP 地址）；Set interface trust zone trust（將內(nèi)

27、網(wǎng)端口分配到 trust zone）；Set interface trust ip /24（設置內(nèi)網(wǎng)端口的 IP 地址，必須先定義 zone，之后再定義 IP 地址）；Set interface untrust zone untrust（將外網(wǎng)口分配到 untrust zone）；Set interface untrust ip /24（設置外網(wǎng)口的 IP 地址）；Set route /0 interface untrust gateway 51（設置防火墻對外的缺省路由網(wǎng)關地址）；Set policy from trust to untrust any any any permit log（

28、定義一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略。策略的方向是：由 zone trust 到 zone untrust， 源地址為：any，目標地址為： any，網(wǎng)絡服務為：any，策略動作為：permit 允許，log：開啟日志記錄）；Save （保存上述的配置文件）。、NS-25-208 NAT/Route模式下的基本配置Unset interface ethernet1 ip（清除防火墻內(nèi)網(wǎng)口缺省 IP 地址）；Set interface ethernet1 zone trust（將 ethernet1 端口分配到 trust zone）；Set interface ethernet1 ip /24（定義

29、 ethernet1 端口的 IP 地址）；Set interface ethernet3 zone untrust（將 ethernet3 端口分配到 untrust zone）；Set interface ethernet3 ip /24（定義 ethernet3 端口的 IP 地址）；Set route /0 interface ethernet3 gateway 51（定義防火墻對外的缺省路由網(wǎng)關）；Set policy from trust to untrust any any any permit log（定義由內(nèi)網(wǎng)到外網(wǎng)的訪問控制策略）；Save （保存上述的配置文件）注：上述是

30、在命令行的方式上實現(xiàn)的 NAT 模式的配置，因為防火墻出廠時在內(nèi)網(wǎng)端口（trust zone 所屬的端口）上啟用了 NAT，所以一般不用特別設置，但是其它的端口則工作在路由模式下，例如：untrust 和 DMZ 區(qū)的端口。如果需要將端口從路由模式修改為 NAT 模式，則可以按照如下的命令行進行修改：Set interface ethernet2 NAT （設置端口 2 為 NAT 模式）Save總結： NAT/Route 模式做防火墻部署的主要模式，通常是在一臺防火墻上兩種模式混合進行（除非防火墻完全是在內(nèi)網(wǎng)應用部署，不需要做 NAT-地址轉換，這種情況下防火墻所有端口都處于 Route 模

31、式，防火墻首先作為一臺路由器進行部署）； 關于配置舉例，NS-5GT 由于設備設計上的特殊性，因此專門列舉加以說明；Juniper 在 2006 年全新推出的 SSG 系列防火墻，除了端口命名不一樣，和 NS-25 等設備管理配置方式一樣。、基于非向導方式的透明模式下的基本配置實現(xiàn)透明模式配置建議采用命令行的方式，因為采用 Web 的方式實現(xiàn)時相對命令行的方式麻煩。通過控制臺連接防火墻的控制口，登錄命令行管理界面，通過如下命令及步驟進行二層透明模式的配置：Unset interface ethernet1 ip（將以太網(wǎng) 1 端口上的默認 IP 地址刪除）； Set interface eth

32、ernet1 zone v1-trust（將以太網(wǎng) 1 端口分配到 v1-trust zone：基于二層的安全區(qū)，端口設置為該安全區(qū)后，則端口工作在二層模式，并且不能在該端口上配置 IP 地址）；Set interface ethernet2 zone v1-dmz（將以太網(wǎng) 2 端口分配到 v1-dmz zone）；Set interface ethernet3 zone v1-untrust（將以太網(wǎng) 3 端口分配到 v1-untrust zone）；Set interface vlan1 ip /24 （設置 VLAN1 的 IP 地址為： /，該地址作為防火墻管理 IP 地址使用）；

33、Set policy from v1-trust to v1-untrust any any any permit log（設置一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略）；Save（保存當前的配置）；總結：帶有 V1-字樣的 zone 為基于透明模式的安全區(qū)，在進行透明模式的應用時，至少要保證兩個端口的安全區(qū)工作在二層模式；雖然 Juniper 防火墻可以在某些特殊版本工作在混合模式下（二層模式和三層模式的混合應用），但是通常情況下，建議盡量使防火墻工作在一種模式下（三層模式可以混用： NAT 和路由）。3、Juniper防火墻幾種常用功能的配置這里講述的 Juniper 防火墻的幾種常用功能主要是指基于策

34、略的 NAT 的實現(xiàn)，包括：MIP、VIP 和 DIP，這三種常用功能主要應用于防火墻所保護服務器提供對外服務。、MIP的配置MIP 是“一對一”的雙向地址翻譯（轉換）過程。通常的情況是：當你有若干個公網(wǎng) IP 地址，又存在若干的對外提供網(wǎng)絡服務的服務器（服務器使用私有 IP 地址），為了實現(xiàn)互聯(lián)網(wǎng)用戶訪問這些服務器，可在 Internet 出口的防火墻上建立公網(wǎng) IP 地址與服務器私有 IP 地址之間的一對一映射（MIP），并通過策略實現(xiàn)對服務器所提供服務進行訪問控制。MIP 應用的網(wǎng)絡拓撲圖：注：MIP 配置在防火墻的外網(wǎng)端口（連接 Internet 的端口）。、使用Web瀏覽器方式配置M

35、IP登錄防火墻，將防火墻部署為三層模式（NAT 或路由模式）；定義MIP：Network=Interface=ethernet2=MIP，配置實現(xiàn) MIP 的地址映射。Mapped IP：公網(wǎng) IP 地址，Host IP：內(nèi)網(wǎng)服務器 IP 地址定義策略：在 POLICY 中，配置由外到內(nèi)的訪問控制策略，以此允許來自外部網(wǎng)絡對內(nèi)部網(wǎng)絡服務器應用的訪問。、使用命令行方式配置MIP配置接口參數(shù)set interface ethernet1 zone trustset interface ethernet1 ip /24 set interface ethernet1 natset interface

36、 ethernet2 zone untrust set interface ethernet2 ip /24定義MIPset interface ethernet2 mip host netmask 55 vrouter trust-vr定義策略set policy from untrust to trust any mip() http permit save、VIP的配置MIP 是一個公網(wǎng) IP 地址對應一個私有 IP 地址，是一對一的映射關系；而 VIP 是一個公網(wǎng)IP 地址的不同端口（協(xié)議端口如：21、25、110 等）與內(nèi)部多個私有 IP 地址的不同服務端口的映射關系。通常應用在只有

37、很少的公網(wǎng) IP 地址，卻擁有多個私有 IP 地址的服務器，并且，這些服務器是需要對外提供各種服務的。 VIP 應用的拓撲圖：注：VIP 配置在防火墻的外網(wǎng)連接端口上（連接 Internet 的端口）。、使用Web瀏覽器方式配置VIP登錄防火墻，配置防火墻為三層部署模式。添加VIP：Network=Interface=ethernet8=VIP添加與該VIP公網(wǎng)地址相關的訪問控制策略。、使用命令行方式配置VIP配置接口參數(shù)set interface ethernet1 zone trustset interface ethernet1 ip /24 set interface ethernet

38、1 natset interface ethernet3 zone untrust set interface ethernet3 ip /24定義VIPset interface ethernet3 vip 0 80 http 0定義策略set policy from untrust to trust any vip(0) http permit save注：VIP 的地址可以利用防火墻設備的外網(wǎng)端口地址實現(xiàn)（限于低端設備）。、DIP的配置DIP 的應用一般是在內(nèi)網(wǎng)對外網(wǎng)的訪問方面。當防火墻內(nèi)網(wǎng)端口部署在 NAT 模式下，通過防火墻由內(nèi)網(wǎng)對外網(wǎng)的訪問會自動轉換為防火墻設備的外網(wǎng)端口 IP 地

39、址，并實現(xiàn)對外網(wǎng)（互聯(lián)網(wǎng)）的訪問，這種應用存在一定的局限性。解決這種局限性的辦法就是 DIP，在內(nèi)部網(wǎng)絡IP 地址外出訪問時，動態(tài)轉換為一個連續(xù)的公網(wǎng) IP 地址池中的 IP 地址。DIP 應用的網(wǎng)絡拓撲圖：、使用Web瀏覽器方式配置DIP登錄防火墻設備，配置防火墻為三層部署模式；定義DIP：Network=Interface=ethernet3=DIP，在定義了公網(wǎng)IP地址的untrust端口定義IP地址池；定義策略：定義由內(nèi)到外的訪問策略，在策略的高級（ADV）部分NAT的相關內(nèi)容中， 啟用源地址NAT，并在下拉菜單中選擇剛剛定義好的DIP地址池，保存策略，完成配置；策略配置完成之后擁有內(nèi)

40、部 IP 地址的網(wǎng)絡設備在訪問互聯(lián)網(wǎng)時會自動從該地址池中選擇一個公網(wǎng) IP 地址進行 NAT。、使用命令行方式配置DIP配置接口參數(shù)set interface ethernet1 zone trustset interface ethernet1 ip /24 set interface ethernet1 natset interface ethernet3 zone untrust set interface ethernet3 ip /24定義DIPset interface ethernet3 dip 5 0 0定義策略set policy from trust to untrust

41、any any http nat src dip-id 5 permit save4、Juniper防火墻IPSec VPN的配置Juniper 所有系列防火墻（除部分早期型號外）都支持 IPSec VPN，其配置方式有多種，包括：基于策略的 VPN、基于路由的 VPN、集中星形 VPN 和背靠背 VPN 等。在這里，我們主要介紹最常用的 VPN 模式：基于策略的 VPN。站點間（Site-to-Site）的 VPN 是 IPSec VPN 的典型應用，這里我們介紹兩種站點間基于策略 VPN 的實現(xiàn)方式：站點兩端都具備靜態(tài)公網(wǎng) IP 地址；站點兩端其中一端具備靜態(tài)公網(wǎng)IP 地址，另一端動態(tài)公網(wǎng)

42、 IP 地址。、站點間IPSec VPN配置：staic ip-to-staic ip當創(chuàng)建站點兩端都具備靜態(tài) IP 的 VPN 應用中，位于兩端的防火墻上的 VPN 配置基本相同， 不同之處是在 VPN gateway 部分的 VPN 網(wǎng)關指向 IP 不同，其它部分相同。VPN 組網(wǎng)拓撲圖：staic ip-to-staic ip、使用Web瀏覽器方式配置登錄防火墻設備，配置防火墻為三層部署模式；定義 VPN 第一階段的相關配置：VPNs=Autokey Adwanced=Gateway配置 VPN gateway 部分，定義 VPN 網(wǎng)關名稱、定義“對端 VPN 設備的公網(wǎng) IP 地址”

43、為本地 VPN 設備的網(wǎng)關地址、定義預共享密鑰、選擇發(fā)起 VPN 服務的物理端口；在 VPN gateway 的高級（Advanced）部分，定義相關的 VPN 隧道協(xié)商的加密算法、選擇 VPN 的發(fā)起模式；配置 VPN 第一階段完成顯示列表如下圖；定義 VPN 第二階段的相關配置：VPNs=Autokey IKE在 Autokey IKE 部分，選擇第一階段的 VPN 配置；在 VPN 第二階段高級（Advances）部分，選擇 VPN 的加密算法；配置 VPN 第二階段完成顯示列表如下圖；定義 VPN 策略，選擇地址和服務信息，策略動作選擇為：隧道模式；VPN 隧道選擇為： 剛剛定義的隧道

44、，選擇自動設置為雙向策略；、使用命令行方式配置CLI ( 東京)配置接口參數(shù)set interface ethernet1 zone trustset interface ethernet1 ip /24 set interface ethernet1 natset interface ethernet3 zone untrust set interface ethernet3 ip /24定義路由set vrouter trust-vr route /0 interface ethernet3 gateway 50定義地址set address trust Trust_LAN /24 set

45、 address untrust paris_office /24定義IPSec VPNset ike gateway to_paris address main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn tokyo_paris gateway to_paris sec-level compatible定義策略set policy top name To/From Paris from trust to untrust Trust_LAN paris_office any t

46、unnel vpn tokyo_parisset policy top name To/From Paris from untrust to trust paris_office Trust_LAN any tunnel vpn tokyo_parissaveCLI ( 巴黎)定義接口參數(shù)set interface ethernet1 zone trustset interface ethernet1 ip /24 set interface ethernet1 natset interface ethernet3 zone untrust set interface ethernet3 ip

47、 /24定義路由set vrouter trust-vr route /0 interface ethernet3 gateway 50定義地址set address trust Trust_LAN /24set address untrust tokyo_office /24定義IPSec VPNset ike gateway to_tokyo address main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn paris_tokyo gateway to_tokyo se

48、c-level compatible定義策略set policy top name To/From Tokyo from trust to untrust Trust_LAN tokyo_office any tunnel vpn paris_tokyoset policy top name To/From Tokyo from untrust to trust tokyo_office Trust_LAN any tunnel vpn paris_tokyosave、站點間IPSec VPN配置：staic ip-to-dynamic ip在站點間 IPSec VPN 應用中，有一種特殊的應

49、用，即在站點兩端的設備中，一端擁有靜態(tài)的公網(wǎng) IP 地址，而另外一端只有動態(tài)的公網(wǎng) IP 地址，以下講述的案例是在這種情況下， Juniper 防火墻如何建立 IPSec VPN 隧道。基本原則：在這種 IPSec VPN 組網(wǎng)應用中，擁有靜態(tài)公網(wǎng) IP 地址的一端作為被訪問端出現(xiàn)，擁有動態(tài)公網(wǎng) IP 地址的一端作為 VPN 隧道協(xié)商的發(fā)起端。和站點兩端都具備靜態(tài) IP 地址的配置的不同之處在于 VPN 第一階段的相關配置，在主動發(fā)起端（只有動態(tài)公網(wǎng) IP 地址一端）需要指定 VPN 網(wǎng)關地址，需配置一個本地 ID，配置 VPN 發(fā)起模式為：主動模式；在站點另外一端（擁有靜態(tài)公網(wǎng) IP 地址一

50、端）需要指定 VPN 網(wǎng)關地址為對端設備的 ID 信息，不需要配置本地 ID，其它部分相同。IPSec VPN 組網(wǎng)拓撲圖：staic ip-to-dynamic ip、使用Web瀏覽器方式配置 VPN 第一階段的配置：動態(tài)公網(wǎng) IP 地址端。VPN 的發(fā)起必須由本端開始，動態(tài)地址端可以確定對端防火墻的 IP 地址，因此在 VPN 階段一的配置中，需指定對端 VPN 設備的靜態(tài) IP 地址。同時，在本端設置一個 Local ID，提供給對端作為識別信息使用。VPN 第一階段的高級配置：動態(tài)公網(wǎng) IP 地址端。在 VPN 階段一的高級配置中動態(tài)公網(wǎng) IP 一端的 VPN 的發(fā)起模式應該配置為：主

51、動模式（Aggressive） VPN 第一階段的配置：靜態(tài)公網(wǎng) IP 地址端。在擁有靜態(tài)公網(wǎng) IP 地址的防火墻一端，在 VPN 階段一的配置中，需要按照如下圖所示的配置：“Remote Gateway Type”應該選擇“Dynamic IP Address”，同時設置 Peer ID（和在動態(tài) IP 地址一端設置的 Local ID 相同）。VPN 第二階段配置，和在”static ip-to-static ip”模式下相同。VPN 的訪問控制策略，和在”static ip-to-static ip”模式下相同。4.2.1、使用命令行方式配置CLI ( 設備-A)定義接口參數(shù)set in

52、terface ethernet1 zone trustset interface ethernet1 ip /24 set interface ethernet1 natset interface ethernet3 zone untrust set interface ethernet3 dhcp clientset interface ethernet3 dhcp client settings server 定義路由set vrouter trust-vr route /0 interface ethernet3定義用戶set user pmason password Nd4syst4

53、定義地址set address trust trusted network /24 set address untrust mail server /32定義服務set service ident protocol tcp src-port 0-65535 dst-port 113-113 set group service remote_mailset group service remote_mail add http set group service remote_mail add ftp set group service remote_mail add telnet set gro

54、up service remote_mail add ident set group service remote_mail add mail set group service remote_mail add pop3定義VPNset ike gateway to_mail address aggressive local-id HYPERLINK mailto:pmason pmason outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn branch_corp gateway

55、to_mail sec-level compatible定義策略set policy top from trust to untrust trusted network mail server remote_mail tunnel vpn branch_corp auth server Local user pmasonset policy top from untrust to trust mail server trusted network remote_mail tunnel vpn branch_corpsaveCLI ( 設備-B)定義接口參數(shù)set interface ether

56、net2 zone dmz set interface ethernet2 ip /24 set interface ethernet3 zone untrust set interface ethernet3 ip /24路由set vrouter trust-vr route /0 interface ethernet3 gateway 50定義地址set address dmz mail server /32set address untrust branch office /24定義服務set service ident protocol tcp src-port 0-65535 ds

57、t-port 113-113 set group service remote_mailset group service remote_mail add ident set group service remote_mail add mail set group service remote_mail add pop3定義VPNset ike gateway to_branch dynamic HYPERLINK mailto:pmason pmason aggressiveoutgoing-interface ethernet3 preshare h1p8A24nG5 proposal p

58、re-g2-3des-sha set vpn corp_branch gateway to_branch tunnel sec-level compatible定義策略set policy top from dmz to untrust mail server branch office remote_mail tunnel vpn corp_branchset policy top from untrust to dmz branch office mail server remote_mail tunnel vpn corp_branchsave5、Juniper中低端防火墻的UTM功能配

59、置Juniper 中低端防火墻（目前主要以 SSG 系列防火墻為參考）支持非常廣泛的攻擊防護及內(nèi)容安全功能，主要包括：防病毒（Anti-Virus）、防垃圾郵件（Anti-Spam）、URL 過濾（URL filtering）以及深層檢測/入侵防御（Deep Inspection/IPS）。注：上述的安全/防護功能集成在防火墻的 ScreenOS 操作系統(tǒng)中，但是必須通過 license（許可）激活后方可使用（并會在激活一段時間（通常是 1 年）后過期）。當然在使用這些功能的時候，我們還需要設定好防火墻的時鐘以及 DNS 服務器地址。當防火墻激活了相應的安全/防護功能以后，通過 WebUI 可

60、以發(fā)現(xiàn)，Screening 條目下會增加相應的功能條目，如下圖：、防病毒功能的設置Juniper 防火墻的防病毒引擎（從 ScreenOS5.3 開始內(nèi)嵌 Kaspersky 的防病毒引擎）可以針對 HTTP、FTP、POP3、IMAP 以及 SMTP 等協(xié)議進行工作。、Scan Manager的設置令 “Pattern Update Server”項中的 URL 地址為 Juniper 防火墻病毒特征庫的官方下載網(wǎng)址（當系統(tǒng)激活了防病毒功能后，該網(wǎng)址會自動出現(xiàn)）。令 “Auto Pattern Update”項允許防火墻自動更新病毒特征庫；后面的“Interval”項可以指定自動更新的頻率。