Juniper網(wǎng)絡(luò)安全防火墻設(shè)備迅速安裝手冊V1.0

餐券

Juniper網(wǎng)絡(luò)安全防火墻設(shè)備迅速安

裝手冊V1.0

目錄

1、序言錯(cuò)誤!未定義書簽。

1.1、JUNIPER防火墻配置概述錯(cuò)誤味定義書簽。

1.2、JUNIPER防火墻管理配置的基本信息錯(cuò)誤味定義書簽。

1.3、JUNIPER防火墻的常用功能錯(cuò)誤味定義書簽。

2、JUNIPER防火墻三種布署模式及基本配置錯(cuò)誤味定義書簽。

2.2NAT模式錯(cuò)誤!未定義書簽。

2.2、ROUTE-路由模式錯(cuò)誤味定義書簽。

2.3、透明模式錯(cuò)誤味定義書簽。

2.4、基于向?qū)Х绞饺丈譔AT/ROUTE模式下口勺基本配置錯(cuò)誤!未定義書簽。

2.5、基于非向?qū)Х绞降腘AT/ROUTE模式下口勺基本配置錯(cuò)誤!未定義書簽。

、NS-5GTNAT/Roule模式下口勺基本配置錯(cuò)誤味定義書簽。

、NS-25-208NAT/Route模式下的基本配置錯(cuò)誤!未定義書簽。

2.6、基于非向?qū)Х绞降耐该髂Ｊ较翲勺基本配置錯(cuò)誤!未定義書簽。

3、JUNIPER防火墻幾種常用功能的配置錯(cuò)誤味定義書簽。

3.1、MIP的配置錯(cuò)誤味定義書簽。

、使用Web瀏覽器方式配置MIP錯(cuò)誤味定義書簽。

、使用命令行方式配置MIP錯(cuò)誤味定義書簽。

3.2、VIP的配置錯(cuò)誤味定義書簽。

、使用Web瀏覽器方式配置VIP錯(cuò)誤味定義書簽。

、使用命令行方式配置VIP錯(cuò)誤味定義書簽。

3.3、DIP的配置錯(cuò)誤味定義書簽。

、使用Web瀏覽器方式配置DIP錯(cuò)誤味定義書簽。

、使用命令行方式配置DIP錯(cuò)誤味定義書簽。

4、JUNIPER防火墻IPSECVPN的配置錯(cuò)誤味定義書簽。

4.1、站點(diǎn)間IPSECVPN配置：STAIGIP-TO-STAICIP錯(cuò)誤!未定義書簽。

、使用Web瀏覽器方式配置錯(cuò)誤味定義書簽。

、使用命令行方式配置錯(cuò)誤味定義書簽。

4.2、站點(diǎn)間IPSECVPN配置：STAICIP-TO-DYNAMICP錯(cuò)誤!未定義書簽。

、使用Web瀏覽器方式配置錯(cuò)誤味定義書簽。

、使用命令行方式配置錯(cuò)誤味定義書簽。

5、JUNIPER中低端防火墻的UTM功能配置錯(cuò)誤!未定義書簽。

5.1、防病毒功能H勺設(shè)置錯(cuò)誤味定義書簽。

、ScanManager的設(shè)置錯(cuò)誤!未定義書簽。

、Profile的設(shè)置錯(cuò)誤味定義書簽。

、防病毒profile在安全方略中的引用錯(cuò)誤味定義書簽。

5.2、防垃圾郵件功能的設(shè)置錯(cuò)誤味定義書簽。

、Action設(shè)置錯(cuò)誤味定義書簽。

、WhiteList與BlackList日勺設(shè)置錯(cuò)誤味定義書簽。

、防垃圾郵件功能的引用錯(cuò)誤味定義書簽。

5.3>WEB/URL過濾功能口勺設(shè)置錯(cuò)誤!未定義書簽。

、轉(zhuǎn)發(fā)URL過濾祈求到外置URL過濾服務(wù)器錯(cuò)誤!未定義書簽。

、使用內(nèi)置的URL過濾引擎進(jìn)行URL過濾錯(cuò)誤!未定義書簽。

、手動(dòng)添加過濾項(xiàng)錯(cuò)誤味定義書簽。

5.4、深層檢測功能的設(shè)置錯(cuò)誤保定義書簽。

、設(shè)置DI襲擊特性庫自動(dòng)更新錯(cuò)誤!未定義書簽。

、深層檢測（DI）的引用錯(cuò)誤味定義書簽。

6、JUNIPER防火墻的HA（高可用性）配置錯(cuò)誤味定義書簽。

6.1、使用WEB瀏覽器方式配置錯(cuò)誤味定義書簽。

6.2、使用命令行方式配置錯(cuò)誤味定義書簽。

7、JUNIPER防火墻某些實(shí)用工具錯(cuò)誤味定義書簽。

7.1、防火墻配置文獻(xiàn)H勺導(dǎo)出和導(dǎo)入錯(cuò)誤味定義書簽。

、配置文獻(xiàn)的導(dǎo)出錯(cuò)誤味定義書簽。

、配置文獻(xiàn)的導(dǎo)入錯(cuò)誤保定義書簽。

7.2、防火墻軟件（SCREENOS）更新錯(cuò)誤味定義書簽。

7.3、防火墻恢復(fù)密碼及出廠配置的措施錯(cuò)誤味定義書簽。

8、JUNIPER防火墻的某些概念錯(cuò)誤味定義書簽。

1、序言

我們制作本安裝手冊的目的是使初次接觸Juniper網(wǎng)絡(luò)安全防火墻設(shè)備（在本安裝手冊中簡

稱為“Juniper防火墻”）的工程技術(shù)人員，可以通過此安裝手冊完畢對Juniper防火墻基

本功能的實(shí)現(xiàn)和應(yīng)用。

1.1、Juniper防火墻配置概述

Juniper防火墻作為專業(yè)的網(wǎng)絡(luò)安全設(shè)備，可以支持多種復(fù)雜網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)安全應(yīng)用需

求;不過由于布署模式及功能的多樣性使得Junipe「防火墻在實(shí)際布署時(shí)具有一定U勺復(fù)雜性。

在配置Juniper防火墻之前我們一般需要先理解顧客既有網(wǎng)絡(luò)的規(guī)劃狀況和顧客對防火墻配

置及實(shí)現(xiàn)功能H勺諸多規(guī)定，提議參照如下思緒和環(huán)節(jié)對Juniper防火墻進(jìn)行配置和管理。

基本配置：

1.確認(rèn)防火墻口勺布署模式：NAT模式、路由模式、或者透明模式；

2.為防火堵口勺端口配置IP地址（包括防火墻口勺管理IP地址），配置路由信息；

3.配置訪問控制方略，完畢基本配置。

其他配置：

1.配置基于端口和基于地址"勺映射：

2.配置基于方略的VPN；

3.修改防火墻默認(rèn)的顧客名、密碼以及管理端口。

1.2.Juniper防火墻管理配置的基本信息

Juniper防火墻常用管理方式：

①通過Web瀏覽器方式管理。推薦使用IE瀏覽器進(jìn)行登錄管理，需要懂得防火墻對應(yīng)

端口的管理IP地址；

②命令行方式。支持通過Console端口超級終端連接和Telnet防火墻管理IP地址連接

兩種命令行登錄管理模式。

Juniper防火墻缺省管理端口和IP地址：

①Juniper防火堵出廠時(shí)可通過缺省設(shè)置的IP地址使用Telnet或者Web方式管理。缺省

IP地址為:/；

②缺省IP地址一般設(shè)置在防火墻的Trust端口上（NS?5GT）、最小端口編號的物理端口

上（NS-25/50/204/208/SSG系列）、或者專用的管理端口上

（ISG-1000/2023,NS-5200/5400）。

Juniper防火墻缺省登錄管理賬號：

①顧客名：netscreen：

②密碼：netscreen(.

1.3、Juniper防火墻常用功能

在一般狀況下，防火墻設(shè)等口勺常用功能包括：透明模式口勺布署、NAT/路由模式的布署、NAT

的應(yīng)用、MIP的應(yīng)用、DIP的應(yīng)用、VIP口勺應(yīng)用、基于方略VPN的應(yīng)用。

本安裝手冊將分別對以上防火墻的配置及功能的實(shí)現(xiàn)加以闡明。

注：在對MIP/DIP/VIP等Juniper防火墻的某些基本概念不甚理解的狀況下，請先到本手

冊最終一章節(jié)內(nèi)容查看理解！

2、Juniper防火墻三種布署模式及基本配置

Juniper防火墻在實(shí)際的布署過程中重要有三種模式可供選擇，這三種模式分別是:

①基于TCP/IP協(xié)議三層日勺NAT模式：

②基于TCP/IP協(xié)議三層日勺路由模式；

③基于二層協(xié)議的透明模式。

2.1、NAT模式

當(dāng)Juniper防火墻入口接口（“內(nèi)網(wǎng)端口”）處在NAT模式時(shí)，防火墻將通往Untrust區(qū)（外

網(wǎng)或者公網(wǎng)）日勺IP數(shù)據(jù)包包頭中的兩個(gè)組件進(jìn)行轉(zhuǎn)換：源IP地址和源端口號。

防火墻使用Untrust區(qū)（外網(wǎng)或者公網(wǎng)）接口U勺IP地址替代始發(fā)端主機(jī)的源IP地址;

同步使用由防火墻生成的任意端口號替代源端口號。

10.1.115

0

10.1.15

Trust區(qū)段

fflmisi

私有地址空間Trust區(qū)段

如

/24

RJunfpei

UntrustI，段

公共地址空向1.酉

'?.???■

50

Untiust區(qū)段

NAT模式應(yīng)用的環(huán)境特性：

①注冊IP地址（公網(wǎng)IP地址）H勺數(shù)量局限性；

②內(nèi)部網(wǎng)絡(luò)使用大量的非注冊IP地址（私網(wǎng)IP地址）需要合法訪問Internet；

③內(nèi)部網(wǎng)絡(luò)中有需要外顯并對外提供服務(wù)的服務(wù)器。

2.2、Route?路由模式

當(dāng)Juniper防火墻接口配置為路由模式時(shí)，防火墻在不一樣安全區(qū)間（例如：

Trust/Utrust/DMZ）轉(zhuǎn)發(fā)信息流時(shí)IP數(shù)據(jù)包包頭中U勺源地址和端口號保持不變（除非明確

采用了地址翻譯方略）。

①與NAT模式卜.不一樣，防火墻接「I都處在路由模式時(shí)，防火墻不會(huì)自動(dòng)實(shí)行地址翻譯;

②與透明模式下不一樣，當(dāng)防火墻接口都處在路由模式時(shí)，其所有接口都處在不一樣H勺

子網(wǎng)中。

5

00

101.1.25

Trust《段

私仃地址空間

Trust!<R

接口

1011.1/24

^JuniperC—M

nn

Untrus!I*收

公共地址空間1.fi.V24

外部路由器

1.11250

Untrust區(qū)段

互聯(lián)網(wǎng)

路由模式應(yīng)用的環(huán)境特性:

①防火墻完全在內(nèi)網(wǎng)中布署應(yīng)用;

②NAT模式下的所有環(huán)境;

③需要復(fù)雜日勺地址翻譯。

2.3、透明模式

當(dāng)Juniper防火墻接口處在“透明”模式時(shí)，防火墻將過濾通過網(wǎng)P數(shù)據(jù)包，但不會(huì)修改IP

數(shù)據(jù)包包頭中的任何信息，防火墻的作用更像是處在同一VLANH勺2層互換機(jī)或者橋接器，

防火墻對于顧客來說是透明的。

透明模式是一種保護(hù)內(nèi)部網(wǎng)絡(luò)從不可信源接受信息流的以便手段。使用透明模式有如下長

處：

①不需要修改既有網(wǎng)絡(luò)規(guī)劃及配置；

②不需要實(shí)行地址翻譯；

③可以容許動(dòng)態(tài)路由協(xié)議、ViantrunkinglJ勺數(shù)據(jù)包通過。

2.4、基于向?qū)Х绞降腎NAT/Route模式下的1基本配置

Juniper防火墻NAT和路由模式"勺配置可以在防火墻保持出廠配置啟動(dòng)后通過Web瀏覽器

配置向?qū)戤叀?/p>

注：要啟動(dòng)配置向?qū)В瑒t必須保證防火墻設(shè)備處在出廠狀態(tài)。例如：新的從未被調(diào)試過的設(shè)

備，或者通過命令行恢復(fù)為出廠狀態(tài)口勺防火墻設(shè)備。

通過Web瀏覽器登錄處在出廠狀態(tài)日勺防火墻時(shí)，防火墻日勺缺省管理參數(shù)如下：

①缺省IP：192,168.1.1/；

②缺省顧客名/密碼：netscreen/netscreen；

注：缺省管理IP地址所在端口參見在序言部份講述的"Juniper防火墻缺省管理端口和IP

地址”中查找??！

在配置向?qū)?shí)現(xiàn)防火墻應(yīng)用的同步，我們先虛擬一種防火墻設(shè)備的布署環(huán)境，之后，根據(jù)這

個(gè)環(huán)境對防火墻設(shè)備進(jìn)行配置。

防火墻配置規(guī)劃：

①防火墻布署在網(wǎng)絡(luò)出JInternet出口位置，內(nèi)部網(wǎng)絡(luò)使用的IP地址為

/所在口勺網(wǎng)段，內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)的網(wǎng)關(guān)地址為防火墻內(nèi)網(wǎng)端

口的IP地址：；

規(guī)定:

實(shí)現(xiàn)內(nèi)部訪問Internet的應(yīng)用。

注：在進(jìn)行防火墻設(shè)備配置前，規(guī)定對H勺連接防火墻的物理鏈路；調(diào)試用的計(jì)算機(jī)連接到防

火墻的內(nèi)網(wǎng)端口上。

1.通過IE或與IE兼容的瀏覽器（推薦應(yīng)用微軟IE瀏覽器）使用防火墻缺省IP地址登錄

防火墻（提議：保持登錄防火墻的計(jì)算機(jī)與防火墻對應(yīng)接口處在相似網(wǎng)段，直接相連）。

皆Login_licrosoftInternetExplorer

文件?編輯?查看笆收藏?工具9幫助Qi）

。后退…J回0；，搜索收藏夾◎

地址@）圖/

2.使用缺省IP登錄之后，出現(xiàn)安裝向?qū)?

RapidDeploymentWizard

WelcometotheRapidDeploymentWizard.

DoyouhaveaRapidDeploymentConfigletfile?

<j>No,usetheInitialConfigurationWizardinstead.

OYes,usethefollowingRapidDeploymentConfigletfile:

OChangethePortMode:Trust-Untrust(WorkingMode)v

OLoadConfigletfrom:|________|[瀏覽???]

ONo,skiptheWizardandgostraighttotheWebUImanagementsessioninstead.

Note:TochangethePortMode,selectthenewmodeandclickApplyto

saveyourchanges.YoumustchangetheportmodeBEFOREloadingthe

Configletfile.

Next?[Cancel

注：對于熟悉Juniper防火墻配置口勺工程師，可以跳過該配置向?qū)В苯狱c(diǎn)選：No,skipthe

wizardandgostraighttotheWebUImanagementsessioninstead,之后選擇Next,直接

登錄防火墻設(shè)備II勺管理界面。

3.使用向?qū)渲梅阑饓Γ堉苯舆x擇：Next,彈出下面的界面:

InitialConfigurationWizard

WelcometotheInitialConfigurationWizard.

ThiswizardpromptsyouforinformationnecessarytocetyourNetScreendeviceupand

running.SuchinformationincludesbasicitemssuchasinterfaceIPaddresses,a

username,apassword,andotherfeatures.

Aftercompletingthewizard,youshouldbeabletoaccessandmanagethedeviceusng

aTelnetorSSHsession,theNetScreenWebUIapplication,ortheNetScreen-Security

Managementapplication.

ClickNexttocontinue.

Next?Cancel

4.“歡迎使用配置向?qū)А?，再選擇Next。

InitialConfigurationWizard

Entertheadministrator'sloginnameandpassword:

AdministratorLoginName:netscreen

Password:

ConfirmPassword:

Note:Youcannotretrievetheloginnameandpasswordifyou

loseit.Pleasemakesureyouhaveacopyofthisinformationin

asecurelocation.

?PreviousNext?Cancel

注：進(jìn)入登錄顧客名和密碼W、J修改頁面，Juniper防火墻口勺登錄顧客名和密碼是可以更改的J,

這個(gè)顧客名和密碼口勺界面修改口勺是防火墻設(shè)備上的根顧客，這個(gè)顧客對「防火墻設(shè)備來說具

有最高的權(quán)限，需要認(rèn)真考慮和仔細(xì)配置，保留好修改后H勺顧客名和密碼.

5.在完畢防火墻R勺登錄顧客名和密碼的設(shè)置之后，出現(xiàn)了一種比較關(guān)鍵R勺選擇，這個(gè)選擇

決定了防火墻設(shè)備是工作在路由模式還是工作在NAT模式：

?選擇EnableNAT,則防火墻工作在NAT模式；

?不選擇EnableNAT,則防火墻工作在路由模式。

InitialConfigurationWizard

0EnableNAT

WithNAT,externaldevices(intheUntrustzone)useasinglepublicdestinationIP

addresstoaccessyourlocalhosts(intheTrustzone；,Eachlocalhosthasaunique

privateIPaddress,whichyoucanspecifyyourselforobtainfromanISP.NAT

translatesaddresses,allowingthedevicetoexchangepacketsbetweenyourlocal

hostsandtheexternaldevices.

WithoutNAT,eachofyourlocalhostsusesauniquepublicIPaddress,assignedby

yourISP.ExternaldevicescannotaccessthemthroughasinglepublicdestinationIP

address.

?PreviousNext?Cancel

6.防火墻設(shè)備工作模式選擇，選擇：Trust-UntrustMode模式。這種模式是應(yīng)用最多日勺模

式，防火墻可以被看作是只有一進(jìn)一出的布署模式。

InitialConfigurationWizard

WhichpnrtmnriprinynuwantthpriAvirptn”GR?

?Trust-UntrustMode

OHome-WorkMode

ODual-UntrustMode

?Previous]Next?[Cancel

注:NS-5GT防火墻作為低端設(shè)備，為了可以增長低端產(chǎn)品應(yīng)用W、J多樣性,Juniper在NS-5GT

的OS中獨(dú)立開發(fā)了幾種不一樣口勺模式應(yīng)用于不一樣的環(huán)境。目前，除NS-5GT以外，

Juniper其他系列防火墻不存在此外兩種模式的選擇。

7.完畢了模式選擇，點(diǎn)擊“Next”進(jìn)行防火墻外網(wǎng)端口IP配置。外網(wǎng)端口IP配置有三個(gè)

選項(xiàng)分別是：DHCP自動(dòng)獲取IP地址；通過PPPoE撥號獲得IP地址；手工設(shè)置靜態(tài)

IP地址，并配置子網(wǎng)掩碼和網(wǎng)關(guān)IP地址。

InitialConfigurationWizard

HowdoestheNetscreendeviceconnecttotheuntrustzone(Internet)?

ODynamicIPviaDHCP

QDynamicIPviaPPPoE

Username:

Password:

?Previous[Next>>Cancel

在這里，我們選擇日勺是使用靜態(tài)IP地址的方式，配置外網(wǎng)端口IP地址為:

/,網(wǎng)關(guān)地址為：51。

8.完畢外網(wǎng)端口R勺IP地址配置之后，點(diǎn)擊“Next”進(jìn)行防火墻內(nèi)網(wǎng)端口IP配置:

InitialConfigurationWizard

EntertheIPaddressandsubnetmaskfortheinterfaceconnectedtoyoulocalhosts

(intheTrustzone).

TrustZoneInterfaceIPAddress:192,160.1.1

Netmask：(2557255.255.0

Azonesectionspartofanetworkintoadefinedsegmentorarea.Ineffect,azone

protectsoneareafromotherareas.Youcanapplyvarioussecurityoptionstoazone,

accordingtothespecificneedsofyourorganization.TheTrustzoneistheareawhere

yourlocal(protected)hostsreside.SpecifytheIPaddressandsubnetmaskthat

encompassestheportionofyournetworkthatcontainsyourhosts.

?PreviousNext?Cancel

9.在完畢了上述的J配置之后，防火墻的I基本配置就完畢了，點(diǎn)擊“Next”進(jìn)行DHCP服

務(wù)器配置。

注：DHCP服務(wù)淵配置在需耍防火墻在網(wǎng)絡(luò)中充當(dāng)DHCP服務(wù)器口勺時(shí)候才需要配置。否則

請選擇“NO”跳過。

InitialConfigurationWizard

DoyouwanttheNetScreendevicetodynamicallyassignIPaddressestoyourlocal

hostsusingDHCP?Ifso,selectYesandenteranIPacdressrangefromwhichtoassign

theaddresses.

?Yes

IPAddressRangeStart192.168.1.100

End192.168.1.150

DNSServer1(optional)202.99.8.1

DNSServer2(optional)202.106.0.20|

ONO

?PreviousNext?Cancel

注：上面的頁面信息顯示的是在防火墻設(shè)備上配置實(shí)現(xiàn)一種DHCP服務(wù)器功能，由防火墻

設(shè)備給內(nèi)部計(jì)算機(jī)顧客自動(dòng)分派IP地址,分派的地址段為：00-50

一共51個(gè)IP地址，在分派IP地址R勺同步，防火墻設(shè)備也給計(jì)算機(jī)顧客分派了DNS服務(wù)

器地址，DNS用于對域名進(jìn)行解析，如：將.SINA解析為IP地址：2o

假如計(jì)算機(jī)不能獲得或設(shè)置DNS服務(wù)器地址，無法訪問互聯(lián)網(wǎng)。

10.完畢DHCP服務(wù)器選項(xiàng)設(shè)置，點(diǎn)擊“Next”會(huì)彈出之前設(shè)置的匯總信息:

InitialConfigurationWizard

Beforeproceedingfurther,reviewthefollowingsettings.

DeviceisinNATmode

InterfaceunzrustIP

Interfaceun:rustNetmask

Interfaceun:rustDefaultGatewayS1

InterfacetrustIP

InterfacetrustNetmask

setadminpassword"netscreen'

setinterfacejntrustip

setinterfacejntrustgatewayS1

setinterfacetrustip

setinterfacetrustmanage

setinterfacetrustnat

unsetdhcpserveripall

setinterfacetrustdhcpserveroptiongateway

setinterfacetrustdhcpserveroptionnetmask

setinterfacetrustdhcpserverip00to50

setinterfacetrustdhcpserveroptiondnsl

setinterfacetrustdhcpserveroptiondns20

ClickNexttoentertheconfiguration

?Previous|Next>>][Cancel

11.確認(rèn)配置沒有問題，點(diǎn)擊“Next”會(huì)彈出提醒“Finish”配置對話框:

Beforeproceedingfurther,reviewthefollowingsettings.

DeviceisinHATmode

Interfaceun:rustIP

interfaceun:rustNetmask

Interfaceun:rustDefaultGateway51

interfacetrustIP

InterfacetrustNetmask2SS.2SS.2SS.0

setadminpassword'netscreen'

setinterfacejntrustip255.255.2S5,0

setinterfacejntrustgateway51

setinterfacetrustip2SS.2S5.2SS.0

setinterfacetrustmanage

setinterfacetrustnat

unsetdhcpserveripall

setinterfacetrustdhcpserveroptiongateway

setinterfacetrustdhcpserveroptionnetmask2SS.2SS.255.0

setinterfacetrustdhcpserverip00to192.168.1,150

setinterfacetrustdhcpserveroptiondnsl

setinterfacetrustdhcpserveroptiondns20

Warning

Deviceisgoingtorestart,whenthisisdone,youmustdothefollowingto

continuemanagingtheNetscreendevicewiththeWebUI:

1.Closethisinstanceofyourbrowser.

2.Openanewinstance,andentermanagementipofthedeviceintheURL

field.

3.Whenpromptedtologin,enteryournewloginnameandpassword.

CloseWindow

Cimch

在該界面中，點(diǎn)選：Finish之后，該Web頁面會(huì)被關(guān)用，配置完畢。

此時(shí)防火墻對來自內(nèi)網(wǎng)到外網(wǎng)的訪問啟用基于端口地址的NAT,同步防火墻設(shè)備會(huì)自動(dòng)在

方略列表部分生成一條由內(nèi)網(wǎng)到外網(wǎng)H勺訪問方略：

?方略：方略方向由Trust到Untrust,源地址：ANY,目Fl勺地址：ANY,網(wǎng)絡(luò)服務(wù)內(nèi)容:

ANY；

?方略作用：容許來自內(nèi)網(wǎng)11勺任意IP地址穿過防火墻訪問外網(wǎng)II勺任意地址。

重新啟動(dòng)一種舊頁面，并在地址欄中輸入防火墻的內(nèi)網(wǎng)端口地址，確定后，出現(xiàn)下圖中的

登錄界面。輸入對時(shí)的顧客名和密碼，登錄到防火墻之后，可以對防火墻時(shí)既有配置進(jìn)行修

改。

AdminName:|netscreen

Passwdrxi'[z：Q工:QZO口口匚匚口二口二工CX

Rememmynameandpassword

Login

■■■■■■

總結(jié):

上述就是使用Web瀏覽器通過配置向?qū)戤叺姆阑饓AT或路由模式的應(yīng)用。通過配置向

導(dǎo)，可以在不熟悉防火墻設(shè)備的狀況下，配置簡樸環(huán)境的防火墻應(yīng)用。

2.5、基于非向?qū)Х绞降腘AT/Route模式下的基本配置

基于非向?qū)Х绞経勺NAT和Route模式的配置提議首先使用命令行開始，最佳通過控制臺11勺

方式連接防火墻，這個(gè)管理方式不受接口IP地址的影響。

注：在設(shè)備缺省的狀況下，防火墻的信任區(qū)（TrustZone）所在的端口是工作在NAT模式

的，其他安全區(qū)所在的端口是工作在路由模式的。

基于命令行方式日勺防火墻設(shè)備布署日勺配置如下（網(wǎng)絡(luò)環(huán)境同上一章節(jié)所講述的環(huán)境）：

2.5.1、NS-5GTNAT/Route模式下的基本配置

注：NS-5GT設(shè)備的物理裝口名稱叫做trust和untrust：缺省Zone包括：trust和untrust.

請注意和接口辨別開。

①Unsetinterfacetrustip（清除防火墻內(nèi)網(wǎng)端口口勺IP地址）；

②Setinterfacetrustzcnetrust（將內(nèi)網(wǎng)端口分派到trustzone）；

③Setinterfacetrustip/24（設(shè)置內(nèi)網(wǎng)端口口勺IP地址，必須先定義zone,之

后再定義定地址）:

④Setinterfaceuntrustzoneuntrust（將外網(wǎng)口分派到untrustzone）；

⑤Setinterfaceuntrustip/24（設(shè)置外網(wǎng)口l向IP地址）;

⑥Setroute/0interfaceuntrustgateway51（設(shè)置防火墻對外的缺省路

由網(wǎng)關(guān)地址）;

"??I

⑦Setpolicyfromtrusttountrustanyanyanypermitlog（定義一條由內(nèi)網(wǎng)到外網(wǎng)的訪問

方略。方略的方向是：由zonetrust到zoneuntrust,源地址為：any,目H勺地址為:

any,網(wǎng)絡(luò)服務(wù)為：any,方略動(dòng)作為：permit容許，log：啟動(dòng)日志記錄）;

IUQ：I，'??一《，

⑧Save（保留上述的配置文獻(xiàn)）。

2.5.2、NS-25-208NAT/Route模式下的基本配置

①Unsetinterfaceethernetlip（清除防火墻內(nèi)網(wǎng)口缺省IP地址）；

②Setinterfaceethernetlzonetrust（將ethernetl端口分派到trustzone）；

③Setinterfaceethernetlip/24（定義ethernetl端口的IIP地址）；

④Setinterfaceethernet3zoneuntrust（將ethemet3端口分派至ijuntrustzone）；

⑤Setinterfaceethernet3ip/24（定義ethernet3端口日勺IP地址）；

?Setroute/0interfaceethernet3gateway51（定義防火墻對外的缺省

路由網(wǎng)關(guān)）;

⑦Setpolicyfromtrusttountrustanyanyanypermitlog（定義由內(nèi)網(wǎng)到外網(wǎng)的訪問控制

方略）;

⑧Save（保留上述II勺配置文獻(xiàn)）

注：上述是在命令行的方式上實(shí)現(xiàn)『、JNAT模式的配置，由于防火墻出廠時(shí)在內(nèi)網(wǎng)端口（trust

zone所屬的端口）上啟用了NAT,因此一般不用尤其設(shè)置.，不過其他日勺端口則工作在路由

模式下，例如：untrust和DMZ區(qū)的端口。

假如需要將端口從路由模式修改為NAT模式，則可以按照如下的命令行進(jìn)行修改：

①Setinterfaceethernet2NAT（設(shè)置端口2為NAT模式）

②Save

總結(jié)：

①NAT/Route模式做防火墻布署的重要模式，一般是在一臺防火墻上兩種模式混合進(jìn)行

（除非防火墻完全是在內(nèi)網(wǎng)應(yīng)用布署，不需要做NAT?地址轉(zhuǎn)換，這種狀況下防火墻所

有端口都處在Route模式，防火墻首先作為一臺路由器進(jìn)行布署）；

②有關(guān)配置舉例，NS-5GT由于設(shè)備設(shè)計(jì)上的）特殊性，因此專門列舉加以闡明；Juniper

在2023年全新推出的SSG系列防火墻，除了端口命名不一樣樣，和NS?25等設(shè)備管

理配置方式同樣。

2.6、基于非向?qū)Х绞降耐该髂Ｊ较碌幕九渲?/p>

實(shí)現(xiàn)透明模式配置提議采用命令行的方式，由于采用Web的方式實(shí)現(xiàn)時(shí)相對命令行的方式

麻煩。通過控制臺連接防火墻H勺控制口，登錄命令行管理界面，通過如下命令及環(huán)節(jié)進(jìn)行二

層透明模式H勺配置：

①Unsetinterfaceethemetlip（將以太網(wǎng)1端口上II勺默認(rèn)IP地址刪除）;

②Setinterfaceethernetlzonev1-trust（將以太網(wǎng)1端口分派到v1-trustzone：基于二

層口勺安全區(qū)，端口設(shè)置為該安全區(qū)后，則端口工作在二層模式，并且不能在該端口上

配置IP地址）:

③Setinterfaceethernet2zonev1-dmz（將以太網(wǎng)2端口分派至Uv1-dmzzone）；

④Setinterfaceethernet3zonev1-untrust（將以太網(wǎng)3端口分派到v1-untrustzone）；

⑤Setinterfacevlanlip/24（設(shè)置VLAN1的IP地址為：

192.168.1.1/,該地址作為防火墻管理IP地址使用）；

@Setpolicyfromv1-trusttov1-untrustanyanyanypermitlog（設(shè)置一條由內(nèi)網(wǎng)到外網(wǎng)

的I訪問方略）；

⑦Save（保留目前的配置）；

總結(jié)：

①帶有V1-字樣口勺zone為基于透明模式H勺安全區(qū)，在進(jìn)行透明模式的應(yīng)用時(shí)，至少要保

證兩個(gè)端口的安全區(qū)工作在二層模式；

②雖然Juniper防火墻可以在某些特殊版本工作在混合模式下（二層模式和三層模式的混

合應(yīng)用），不過一般狀況下，提議盡量使防火墻工作在一種模式下（三層模式可以混用：

NAT和路由工

3、Juniper防火墻幾種常用功能的配置

這里講述的Juniper防火墻的幾種常用功能重要是指基于方略的NATI向?qū)崿F(xiàn)，包括：MIP、

VIP和DIP,這三種常用功能重要應(yīng)用于防火墻所保護(hù)服務(wù)器提供對外服務(wù)。

31、MIP的J配置

MIP是“一對一”口勺雙向地址翻譯（轉(zhuǎn)換）過程。一般的狀況是；當(dāng)你有若干個(gè)公網(wǎng)IP地

址，又存在若干U勺對外提供網(wǎng)絡(luò)服務(wù)U勺服務(wù)器（服務(wù)器使用私有IP地址），為了實(shí)現(xiàn)互聯(lián)網(wǎng)

顧客訪問這些服務(wù)器，可在Internet出口的防火墻上建立公網(wǎng)IP地址與服務(wù)器私有IP地址

之間的一對一映射（MIP）,并通過方略實(shí)現(xiàn)對服務(wù)器所提供服務(wù)進(jìn)行訪問控制。

MIP應(yīng)用時(shí)網(wǎng)絡(luò)拓?fù)鋱D:

Untest區(qū)|殳

MIP

（etherret2卜歸程）

Urrtru8tM.段按「I

ethemet2,/24

Global1<15

Tnwt區(qū)段接「I

ethemetl,1C.1.11/24

安全設(shè)備查詢指向10115的路由,然后

?將信息流轉(zhuǎn)發(fā)eihemeiL

T，詡區(qū)段

注：MIP配置在防火墻的外網(wǎng)端口（連接Internet的端口）。

3.1.1,使用Web瀏覽器方式配置MIP

①登錄防火墻，將防火墻布署為三層模式（NAT或路由模式）;

②定義MIP：Network=>lnterface=>ethernet2=>MIP,配置實(shí)現(xiàn)MIP的地址映射，Maoped

IP：公網(wǎng)IP地址，HostIP：內(nèi)網(wǎng)服務(wù)器IP地址

③定義方略：在POLICY中，配置由外到內(nèi)口勺訪問控制方略，以此容許來自外部網(wǎng)絡(luò)對

內(nèi)部網(wǎng)絡(luò)服務(wù)器應(yīng)用的訪問。

3.1.2、使用命令行方式配置MIP

①配置接口參數(shù)

setinterfaceethernetlzonetrust

setinterfaceethernetlnat

setinterfaceethernet2zoneuntrust

②定義MIP

vroutertrust-vr

③定義方略

setpolicyfromuntrusttotrustanymip()permit

save

3.2、VIP的配置

MIP是一種公網(wǎng)IP地址對應(yīng)一種私有IP地址，是一對一日勺映射關(guān)系；而VIP是一種公網(wǎng)

IP地址口勺不一樣端口（協(xié)議端口如：21、25、110等）與內(nèi)部多種私有IP地址的不一樣服

務(wù)端口的映射關(guān)系.一般應(yīng)用在只有很少的公網(wǎng)IP地處，卻擁有多種私有IP地計(jì)的服務(wù)器.

并且，這些服務(wù)器是需要對外提供多種服務(wù)的。

VIP應(yīng)用的拓?fù)鋱D：

Web服務(wù)器

0

HTTP(80)一FTP(21)

FTP眼務(wù)器

/10.1120

（《互聯(lián)網(wǎng)/bf|

———Jr/、(||l|J

SMTP(25)

郵件服務(wù)器

.30

Untrust區(qū)段按IJTrust區(qū)段接1」

ethemed.11.1.124ethemetl,10.1.11/24

③添加與該VIP公網(wǎng)地址有關(guān)的訪問控制方略。

3.2.2.使用命令行方式配置VIP

①配置接口參數(shù)

setinterfaceethernetlzonetrust

setinterfaceethernetlnat

setinterfaceethernet3zoneuntrust

②定義VIP

③定義方略

setpolicyfromuntrusttotrustanyvip(0)permit

save

注：VIP的地址可以運(yùn)用防火墻設(shè)備的外網(wǎng)端口地址實(shí)現(xiàn)（限于低端設(shè)備）。

33、DIP的配置

DIP的J應(yīng)用一般是在內(nèi)網(wǎng)對外網(wǎng)日勺訪問方面。當(dāng)防火墻內(nèi)網(wǎng)端口布署在NAT模式下，通過

防火墻由內(nèi)網(wǎng)對外網(wǎng)的訪問會(huì)自動(dòng)轉(zhuǎn)換為防火墻設(shè)備H勺外網(wǎng)端口IP地址，并實(shí)現(xiàn)對外網(wǎng)（互

聯(lián)網(wǎng)）H勺訪問，這種應(yīng)用存在一定日勺局限性。處理這種局限性的措施就是DIP,在內(nèi)部網(wǎng)絡(luò)

IP地址外出訪問時(shí)，動(dòng)態(tài)轉(zhuǎn)換為一種持續(xù)的公網(wǎng)IP地址池中的IP地址。

DIP應(yīng)用的網(wǎng)絡(luò)拓?fù)鋱D:

.整圣鸛器楮鴕措DIP池ID5

11.1.30-1.11.30

啟用1PAT?）

3.3.1、使用Web瀏覽器方式配置DIP

①登錄防火墻設(shè)備，配置防火墻為三層布署模式;

②定義DIP：Network=>lnterface=>ethernet3=>DIP,在定義了公網(wǎng)IP地址的untrust端口

定義IP地址池;

③定義方略：定義由內(nèi)到外日勺訪問方略，在方略時(shí)高級（ADV）部分NAT/J有關(guān)內(nèi)容中,

啟用源地址NAT,并在下拉菜單中選擇剛剛定義好時(shí)DIP地址池，保留方略，完畢配置;

方略配置完畢之后擁有內(nèi)部IP地址的網(wǎng)絡(luò)設(shè)備在訪問互聯(lián)網(wǎng)時(shí)會(huì)自動(dòng)從該地址池中選擇一

種公網(wǎng)IP地址進(jìn)行NATo

/???f6-?er*al:JuniperSctcrnOSVindovvInternettsplvrei

//>?1“II/E?JA3

M<IIS?(DUM3TAQ)WttQJ>

j6，《L—”nB，4Ori0?虔?

a?gS-s?rial

IHtR*P*rp??9e

ggJunlper,