Juniper网络防火墙设备快速安装手册
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Juniper网络防火墙设备快速安装手册

on

  • 2,948 views

 

Statistics

Views

Total Views
2,948
Views on SlideShare
2,936
Embed Views
12

Actions

Likes
1
Downloads
34
Comments
0

2 Embeds 12

http://uugg.org 11
http://www.uugg.org 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Juniper网络防火墙设备快速安装手册 Document Transcript

  • 1. JUNIPER 防火墙快速安装手册 第 1 页 共 74 页http://www.synnex.com.cn/juniper/index.asp
  • 2. JUNIPER 防火墙快速安装手册 目 录1、前言 ............................................................................................................................. 4 1.1、JUNIPER 防火墙配置概述 ....................................................................................... 4 1.2、JUNIPER 防火墙管理配置的基本信息 ..................................................................... 4 1.3、JUNIPER 防火墙的常用功能.................................................................................... 62、JUNIPER 防火墙三种部署模式及基本配置.................................................................. 6 2.1、NAT 模式 ............................................................................................................... 6 2.2、ROUTE 模式 ........................................................................................................... 7 2.3、透明模式................................................................................................................ 8 2.4、基于向导方式的 NAT/ROUTE 模式下的基本配置 .................................................... 9 2.5、基于非向导方式的 NAT/ROUTE 模式下的基本配置............................................... 18 2.5.1、NS-5GT NAT/Route 模式下的基本配置 ........................................................ 19 2.5.2、非 NS-5GT NAT/Route 模式下的基本配置 .................................................... 20 2.6、基于非向导方式的透明模式下的基本配置............................................................ 213、JUNIPER 防火墙几种常用功能的配置 ....................................................................... 22 3.1、MIP 的配置.......................................................................................................... 22 3.1.1、使用 Web 浏览器方式配置 MIP..................................................................... 23 3.1.2、使用命令行方式配置 MIP.............................................................................. 25 3.2、VIP 的配置 .......................................................................................................... 25 3.2.1、使用 Web 浏览器方式配置 VIP ..................................................................... 26 3.2.2、使用命令行方式配置 VIP .............................................................................. 27 3.3、DIP 的配置 .......................................................................................................... 28 3.3.1、使用 Web 浏览器方式配置 DIP ..................................................................... 28 3.3.2、使用命令行方式配置 DIP .............................................................................. 304、JUNIPER 防火墙 IPSEC VPN 的配置........................................................................ 30 4.1、站点间 IPSEC VPN 配置:STAIC IP-TO-STAIC IP ..................................................... 30 4.1.1、使用 Web 浏览器方式配置 ............................................................................ 31 4.1.2、使用命令行方式配置 ..................................................................................... 35 4.2、站点间 IPSEC VPN 配置:STAIC IP-TO-DYNAMIC IP................................................ 37 4.2.1、使用 Web 浏览器方式配置 ............................................................................ 38 4.2.1、使用命令行方式配置 ..................................................................................... 415、JUNIPER 中低端防火墙的 UTM 功能配置 ................................................................. 43 5.1、防病毒功能的设置 ............................................................................................... 44 5.1.1、Scan Manager 的设置 .................................................................................. 44 5.1.2、Profile 的设置................................................................................................ 45 5.1.3、防病毒 profile 在安全策略中的引用 ............................................................... 47 5.2、防垃圾邮件功能的设置 ........................................................................................ 49 5.2.1、Action 设置 .................................................................................................. 50 5.2.2、White List 与 Black List 的设置 ..................................................................... 50 第 2 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 3. JUNIPER 防火墙快速安装手册 5.2.3、防垃圾邮件功能的引用.................................................................................. 52 5.3、WEB/URL 过滤功能的设置.................................................................................. 52 5.3.1、转发 URL 过滤请求到外置 URL 过滤服务器 ................................................. 52 5.3.2、使用内置的 URL 过滤引擎进行 URL 过滤 ..................................................... 54 5.3.3、手动添加过滤项 ............................................................................................ 55 5.4、深层检测功能的设置............................................................................................ 59 5.4.1、设置 DI 攻击特征库自动更新......................................................................... 59 5.4.2、深层检测(DI)的引用.................................................................................. 606、JUNIPER 防火墙的 HA(高可用性)配置 ................................................................. 62 6.1、使用 WEB 浏览器方式配置................................................................................... 63 6.2、使用命令行方式配置............................................................................................ 657、JUNIPER 防火墙一些实用工具.................................................................................. 66 7.1、防火墙配置文件的导出和导入 ............................................................................. 66 7.1.1、配置文件的导出 ............................................................................................ 67 7.1.2、配置文件的导入 ............................................................................................ 67 7.2、防火墙软件(SCREENOS)更新 .......................................................................... 68 7.3、防火墙恢复密码及出厂配置的方法 ...................................................................... 698、JUNIPER 防火墙的一些概念 ..................................................................................... 69关于本手册的使用:① 本手册更多的从实际使用的角度去编写,如果涉及到的一些概念上的东西表述不够透 彻、清晰,请使用者自行去参考其它资料进行查证;② 本手册在编写的过程中对需要使用者特别注意的地方,都有“注”标识,请读者仔细 阅读相关内容;对于粗体、红、蓝色标注的地方也需要多注意;③ 本着技术共享的原则,我们编写了该手册,希望对销售以及使用 Juniper 防火墙的相应 技术人员有所帮助,在使用过程中有任何建议可反馈到:chuang_li@synnex.com.hk; jiajun_xiong@synnex.com.hk;④ 本手册版权归“联强国际(香港)有限公司”所有,严禁盗版。 第 3 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 4. JUNIPER 防火墙快速安装手册1、前言我们制作本安装手册的目的是使初次接触 Juniper 网络安全防火墙设备(在本安装手册中简称为“Juniper 防火墙”)的工程技术人员,可以通过此安装手册完成对 Juniper 防火墙基本功能的实现和应用。1.1、Juniper 防火墙配置概述Juniper 防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求;但是由于部署模式及功能的多样性使得 Juniper 防火墙在实际部署时具有一定的复杂性。在配置 Juniper 防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对 Juniper 防火墙进行配置和管理。基本配置:1. 确认防火墙的部署模式:NAT 模式、路由模式、或者透明模式;2. 为防火墙的端口配置 IP 地址(包括防火墙的管理 IP 地址) ,配置路由信息;3. 配置访问控制策略,完成基本配置。其它配置:1. 配置基于端口和基于地址的映射;2. 配置基于策略的 VPN;3. 修改防火墙默认的用户名、密码以及管理端口。1.2、Juniper 防火墙管理配置的基本信息Juniper 防火墙常用管理方式:① 通过 Web 浏览器方式管理。推荐使用 IE 浏览器进行登录管理,需要知道防火墙对应 端口的管理 IP 地址;② 命令行方式。支持通过 Console 端口超级终端连接和 Telnet 防火墙管理 IP 地址连接 两种命令行登录管理模式。 第 4 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 5. JUNIPER 防火墙快速安装手册Juniper 防火墙默认端口绑定说明: 型号 端口命名方式(从左往右计数) 配置界面端口形式 NS-5GT 1 口为 Untrust 接口;2-4 口为 Trust 接口; Interface:untrust,trust NS25 1 口为 Trust 接口;2 口为 DMZ 接口;3 口为 Untrust Interface:1 口为 ethernet1, 接口;4 口为 Null 2 口为 ethernet2,其他接口顺 序后推 NS50-204 1 口为 Trust 接口;2 口为 DMZ 接口;3 口为 Untrust Interface:1 口为 ethernet1, 接口;4 口为 HA 接口 2 口为 ethernet2,其他接口顺 序后推 NS208 1 口为 Trust 接口;2 口为 DMZ 接口;3 口为 Untrust Interface:1 口为 ethernet1, 接口;4-7 口为 Null 接口;8 口为 HA 接口; 2 口为 ethernet2,其他接口顺 序后推 SSG5 1 口为 Untrust 接口;2 口为 DMZ 接口;3-7 口为 Trust Interface: 口为 ethernet0/0, 1 接口; 2 口为 ethernet0/1,其他接口 顺序后推 SSG20 1 口为 Untrust 接口;2 口为 DMZ 接口;3-5 口为 Trust Interface: 口为 ethernet0/0, 1 接口; 2 口为 ethernet0/1,其他接口 顺序后推 SSG140 1 口为 Trust 接口;2 口为 DMZ 接口;3 口为 Untrust Interface: 口为 ethernet0/0, 1 接口;4-10 口为 Null 接口; 2 口为 ethernet0/1,其他接口 顺序后推SSG520-550 1 口为 Trust 接口;2 口为 DMZ 接口;3 口为 Untrust Interface: 口为 ethernet0/0, 1 接口;4 口为 Null 接口; 2 口为 ethernet0/1,其他接口 顺序后推Juniper 防火墙缺省管理端口和 IP 地址:① Juniper 防火墙出厂时可通过缺省设置的 IP 地址使用 Telnet 或者 Web 方式管理。缺省 IP 地址为:192.168.1.1/255.255.255.0;② 缺省 IP 地址通常设置在防火墙的 Trust 端口上(NS-5GT)、最小端口编号的物理端口 第 5 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 6. JUNIPER 防火墙快速安装手册 上 ( NS-25/50/204/208/SSG 系 列 )、 或 者 专 用 的 管 理 端 口 上 (ISG-1000/2000,NS-5200/5400)。Juniper 防火墙缺省登录管理账号:① 用户名:netscreen;② 密 码:netscreen。1.3、Juniper 防火墙的常用功能在一般情况下,防火墙设备的常用功能包括:透明模式的部署、NAT/路由模式的部署、NAT的应用、MIP 的应用、DIP 的应用、VIP 的应用、基于策略 VPN 的应用。本安装手册将分别对以上防火墙的配置及功能的实现加以说明。注:在对 MIP/DIP/VIP 等 Juniper 防火墙的一些基本概念不甚了解的情况下,请先到本手册最后一章节内容查看了解!2、Juniper 防火墙三种部署模式及基本配置Juniper 防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:① 基于 TCP/IP 协议三层的 NAT 模式;② 基于 TCP/IP 协议三层的路由模式;③ 基于二层协议的透明模式。2.1、NAT 模式当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往 Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源 IP 地址和源端口号。 第 6 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 7. JUNIPER 防火墙快速安装手册防火墙使用 Untrust 区(外网或者公网)接口的 IP 地址替换始发端主机的源 IP 地址;同时使用由防火墙生成的任意端口号替换源端口号。NAT 模式应用的环境特征:① 注册 IP 地址(公网 IP 地址)的数量不足;② 内部网络使用大量的非注册 IP 地址(私网 IP 地址)需要合法访问 Internet;③ 内部网络中有需要外显并对外提供服务的服务器。2.2、Route 模式当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变(除非明确采用了地址翻译策略)。① 与NAT模式下不同,防火墙接口都处于路由模式时,防火墙不会自动实施地址翻译; 第 7 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 8. JUNIPER 防火墙快速安装手册② 与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网 中。路由模式应用的环境特征:① 防火墙完全在内网中部署应用;② NAT 模式下的所有环境;③ 需要复杂的地址翻译。2.3、透明模式当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改 IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的。 第 8 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 9. JUNIPER 防火墙快速安装手册透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点:① 不需要修改现有网络规划及配置;② 不需要实施 地址翻译;③ 可以允许动态路由协议、Vlan trunking的数据包通过。2.4、基于向导方式的 NAT/Route 模式下的基本配置Juniper 防火墙 NAT 和路由模式的配置可以在防火墙保持出厂配置启动后通过 Web 浏览器配置向导完成。注:要启动配置向导,则必须保证防火墙设备处于出厂状态。例如:新的从未被调试过的设备,或者经过命令行恢复为出厂状态的防火墙设备。通过 Web 浏览器登录处于出厂状态的防火墙时,防火墙的缺省管理参数如下:① 缺省 IP:192.168.1.1/255.255.255.0; 第 9 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 10. JUNIPER 防火墙快速安装手册② 缺省用户名/密码:netscreen/ netscreen;注:缺省管理 IP 地址所在端口参见在前言部份讲述的“Juniper 防火墙缺省管理端口和 IP地址”中查找!!在配置向导实现防火墙应用的同时,我们先虚拟一个防火墙设备的部署环境,之后,根据这个环境对防火墙设备进行配置。防火墙配置规划:① 防 火 墙 部 署 在 网 络 的 Internet 出 口 位 置 , 内 部 网 络 使 用 的 IP 地 址 为 192.168.1.0/255.255.255.0 所在的网段,内部网络计算机的网关地址为防火墙内网端 口的 IP 地址:192.168.1.1;② 防火墙外网接口 IP 地址(通常情况下为公网 IP 地址,在这里我们使用私网 IP 地址模 拟公网 IP 地址)为:10.10.10.1/255.255.255.0,网关地址为:10.10.10.251要求:实现内部访问 Internet 的应用。注:在进行防火墙设备配置前,要求正确连接防火墙的物理链路;调试用的计算机连接到防火墙的内网端口上。1. 通过 IE 或与 IE 兼容的浏览器(推荐应用微软 IE 浏览器)使用防火墙缺省 IP 地址登录 防火墙(建议:保持登录防火墙的计算机与防火墙对应接口处于相同网段,直接相连)。2. 使用缺省 IP 登录之后,出现安装向导: 第 10 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 11. JUNIPER 防火墙快速安装手册注:对于熟悉 Juniper 防火墙配置的工程师,可以跳过该配置向导,直接点选:No,skip thewizard and go straight to the WebUI management session instead,之后选择 Next,直接登录防火墙设备的管理界面。3. 使用向导配置防火墙,请直接选择:Next,弹出下面的界面: 第 11 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 12. JUNIPER 防火墙快速安装手册4. “欢迎使用配置向导”,再选择 Next。 第 12 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 13. JUNIPER 防火墙快速安装手册注:进入登录用户名和密码的修改页面,Juniper 防火墙的登录用户名和密码是可以更改的,这个用户名和密码的界面修改的是防火墙设备上的根用户,这个用户对于防火墙设备来说具有最高的权限,需要认真考虑和仔细配置,保存好修改后的用户名和密码。5. 在完成防火墙的登录用户名和密码的设置之后,出现了一个比较关键的选择,这个选择 决定了防火墙设备是工作在路由模式还是工作在 NAT 模式: 选择 Enable NAT,则防火墙工作在 NAT 模式; 不选择 Enable NAT,则防火墙工作在路由模式。6. 防火墙设备工作模式选择,选择:Trust-Untrust Mode 模式。这种模式是应用最多的模 式,防火墙可以被看作是只有一进一出的部署模式。 第 13 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 14. JUNIPER 防火墙快速安装手册注:NS-5GT 防火墙作为低端设备,为了能够增加低端产品应用的多样性, Juniper 在 NS-5GT的 OS 中独立开发了几种不同的模式应用于不同的环境。目前,除 NS-5GT 以外,Juniper其他系列防火墙不存在另外两种模式的选择。7. 完成了模式选择,点击“Next”进行防火墙外网端口 IP 配置。外网端口 IP 配置有三个 选项分别是:DHCP 自动获取 IP 地址;通过 PPPoE 拨号获得 IP 地址;手工设置静态 IP 地址,并配置子网掩码和网关 IP 地址。 第 14 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 15. JUNIPER 防火墙快速安装手册在 这 里 , 我 们 选 择 的 是 使 用 静 态 IP 地 址 的 方 式 , 配 置 外 网 端 口 IP 地 址 为 :10.10.10.1/255.255.255.0,网关地址为:10.10.10.251。8. 完成外网端口的 IP 地址配置之后,点击“Next”进行防火墙内网端口 IP 配置: 第 15 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 16. JUNIPER 防火墙快速安装手册9. 在完成了上述的配置之后,防火墙的基本配置就完成了,点击“Next”进行 DHCP 服 务器配置。注:DHCP 服务器配置在需要防火墙在网络中充当 DHCP 服务器的时候才需要配置。否则请选择“NO”跳过。注:上面的页面信息显示的是在防火墙设备上配置实现一个 DHCP 服务器功能,由防火墙设备给内部计算机用户自动分配 IP 地址,分配的地址段为:192.168.1.100-192.168.1.150一共 51 个 IP 地址,在分配 IP 地址的同时,防火墙设备也给计算机用户分配了 DNS 服务器地址,DNS 用于对域名进行解析,如:将 WWW.SINA.COM.CN 解析为 IP 地址:202.108.33.32。如果计算机不能获得或设置 DNS 服务器地址,无法访问互联网。10. 完成 DHCP 服务器选项设置,点击“Next”会弹出之前设置的汇总信息: 第 16 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 17. JUNIPER 防火墙快速安装手册11. 确认配置没有问题,点击“Next”会弹出提示“Finish”配置对话框: 第 17 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 18. JUNIPER 防火墙快速安装手册在该界面中,点选:Finish 之后,该 Web 页面会被关闭,配置完成。此时防火墙对来自内网到外网的访问启用基于端口地址的 NAT,同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略: 策略:策略方向由 Trust 到 Untrust,源地址:ANY,目标地址:ANY,网络服务内容: ANY; 策略作用:允许来自内网的任意 IP 地址穿过防火墙访问外网的任意地址。重新开启一个 IE 页面,并在地址栏中输入防火墙的内网端口地址,确定后,出现下图中的登录界面。输入正确的用户名和密码,登录到防火墙之后,可以对防火墙的现有配置进行修改。总结:上述就是使用 Web 浏览器通过配置向导完成的防火墙 NAT 或路由模式的应用。通过配置向导,可以在不熟悉防火墙设备的情况下,配置简单环境的防火墙应用。2.5、基于非向导方式的 NAT/Route 模式下的基本配置基于非向导方式的 NAT 和 Route 模式的配置建议首先使用命令行开始,最好通过控制台的方式连接防火墙,这个管理方式不受接口 IP 地址的影响。 第 18 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 19. JUNIPER 防火墙快速安装手册注:在设备缺省的情况下,防火墙的信任区(Trust Zone)所在的端口是工作在 NAT 模式的,其它安全区所在的端口是工作在路由模式的。基于命令行方式的防火墙设备部署的配置如下(网络环境同上一章节所讲述的环境):2.5.1、NS-5GT NAT/Route 模式下的基本配置注:NS-5GT 设备的物理接口名称叫做 trust 和 untrust;缺省 Zone 包括:trust 和 untrust,请注意和接口区分开。① Unset interface trust ip (清除防火墙内网端口的 IP 地址);② Set interface trust zone trust(将内网端口分配到 trust zone);③ Set interface trust ip 192.168.1.1/24(设置内网端口的 IP 地址,必须先定义 zone,之 后再定义 IP 地址);④ Set interface untrust zone untrust(将外网口分配到 untrust zone);⑤ Set interface untrust ip 10.10.10.1/24(设置外网口的 IP 地址);⑥ Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251(设置防火墙对外的缺省路 由网关地址) ; 第 19 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 20. JUNIPER 防火墙快速安装手册⑦ Set policy from trust to untrust any any any permit log(定义一条由内网到外网的访问 策略。策略的方向是:由 zone trust 到 zone untrust, 源地址为:any,目标地址为: any,网络服务为:any,策略动作为:permit 允许,log:开启日志记录) ;⑧ Save (保存上述的配置文件)。2.5.2、非 NS-5GT NAT/Route 模式下的基本配置① Unset interface ethernet1 ip(清除防火墙内网口缺省 IP 地址) ;② Set interface ethernet1 zone trust(将 ethernet1 端口分配到 trust zone);③ Set interface ethernet1 ip 192.168.1.1/24(定义 ethernet1 端口的 IP 地址) ;④ Set interface ethernet3 zone untrust(将 ethernet3 端口分配到 untrust zone) ; 第 20 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 21. JUNIPER 防火墙快速安装手册⑤ Set interface ethernet3 ip 10.10.10.1/24(定义 ethernet3 端口的 IP 地址);⑥ (定义防火墙对外的缺省 Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251 路由网关);⑦ Set policy from trust to untrust any any any permit log(定义由内网到外网的访问控制 策略);⑧ Save (保存上述的配置文件)注:上述是在命令行的方式上实现的 NAT 模式的配置,因为防火墙出厂时在内网端口(trustzone 所属的端口)上启用了 NAT,所以一般不用特别设置,但是其它的端口则工作在路由模式下,例如:untrust 和 DMZ 区的端口。如果需要将端口从路由模式修改为 NAT 模式,则可以按照如下的命令行进行修改:① Set interface ethernet2 NAT (设置端口 2 为 NAT 模式)② Save总结:① NAT/Route 模式做防火墙部署的主要模式,通常是在一台防火墙上两种模式混合进行 (除非防火墙完全是在内网应用部署,不需要做 NAT-地址转换,这种情况下防火墙所 有端口都处于 Route 模式,防火墙首先作为一台路由器进行部署);② 关于配置举例,NS-5GT 由于设备设计上的特殊性,因此专门列举加以说明;Juniper 在 2006 年全新推出的 SSG 系列防火墙,除了端口命名不一样,和 NS 系列设备管理 配置方式一样。2.6、基于非向导方式的透明模式下的基本配置实现透明模式配置建议采用命令行的方式,因为采用 Web 的方式实现时相对命令行的方式麻烦。通过控制台连接防火墙的控制口,登录命令行管理界面,通过如下命令及步骤进行二层透明模式的配置:① Unset interface ethernet1 ip(将以太网 1 端口上的默认 IP 地址删除); 第 21 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 22. JUNIPER 防火墙快速安装手册② Set interface ethernet1 zone v1-trust(将以太网 1 端口分配到 v1-trust zone:基于二 层的安全区,端口设置为该安全区后,则端口工作在二层模式,并且不能在该端口上 配置 IP 地址);③ Set interface ethernet2 zone v1-dmz(将以太网 2 端口分配到 v1-dmz zone);④ Set interface ethernet3 zone v1-untrust(将以太网 3 端口分配到 v1-untrust zone);⑤ Set interface vlan1 ip 192.168.1.1/24 ( 设 置 VLAN1 的 IP 地 址 为 : 192.168.1.1/255.255.255.0,该地址作为防火墙管理 IP 地址使用);⑥ Set policy from v1-trust to v1-untrust any any any permit log(设置一条由内网到外网 的访问策略) ;⑦ ; Save(保存当前的配置)总结:① 带有 V1-字样的 zone 为基于透明模式的安全区,在进行透明模式的应用时,至少要保 证两个端口的安全区工作在二层模式;② 虽然 Juniper 防火墙可以在某些特殊版本工作在混合模式下(二层模式和三层模式的混 合应用),但是通常情况下,建议尽量使防火墙工作在一种模式下(三层模式可以混用: NAT 和路由) 。3、Juniper 防火墙几种常用功能的配置这里讲述的 Juniper 防火墙的几种常用功能主要是指基于策略的 NAT 的实现,包括:MIP、VIP 和 DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。3.1、MIP 的配置MIP 是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网 IP 地址,又存在若干的对外提供网络服务的服务器(服务器使用私有 IP 地址),为了实现互联网用户访问这些服务器,可在 Internet 出口的防火墙上建立公网 IP 地址与服务器私有 IP 地址 第 22 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 23. JUNIPER 防火墙快速安装手册之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。MIP 应用的网络拓扑图:注:MIP 配置在防火墙的外网端口(连接 Internet 的端口) 。3.1.1、使用 Web 浏览器方式配置 MIP① 登录防火墙,将防火墙部署为三层模式(NAT 或路由模式) ;② 定义 MIP:Network=>Interface=>ethernet2=>MIP,配置实现 MIP 的地址映射。 Mapped IP:公网 IP 地址,Host IP:内网服务器 IP 地址 第 23 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 24. JUNIPER 防火墙快速安装手册③ 定义策略:在 POLICY 中,配置由外到内的访问控制策略,以此允许来自外部网络对 内部网络服务器应用的访问。 第 24 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 25. JUNIPER 防火墙快速安装手册3.1.2、使用命令行方式配置 MIP① 配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet2 zone untrust set interface ethernet2 ip 1.1.1.1/24② 定义MIP set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr③ 定义策略 set policy from untrust to trust any mip(1.1.1.5) http permit save3.2、VIP 的配置MIP 是一个公网 IP 地址对应一个私有 IP 地址,是一对一的映射关系;而 VIP 是一个公网IP 地址的不同端口(协议端口如:21、25、110 等)与内部多个私有 IP 地址的不同服务端口的映射关系。通常应用在只有很少的公网 IP 地址,却拥有多个私有 IP 地址的服务器,并且,这些服务器是需要对外提供各种服务的。 第 25 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 26. JUNIPER 防火墙快速安装手册VIP 应用的拓扑图:注:VIP 配置在防火墙的外网连接端口上(连接 Internet 的端口)。3.2.1、使用 Web 浏览器方式配置 VIP① 登录防火墙,配置防火墙为三层部署模式。② 添加VIP:Network=>Interface=>ethernet8=>VIP③ 添加与该VIP公网地址相关的访问控制策 略。 第 26 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 27. JUNIPER 防火墙快速安装手册3.2.2、使用命令行方式配置 VIP① 配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24② 定义VIP set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10③ 定义策略 set policy from untrust to trust any vip(1.1.1.10) http permit save注:VIP 的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。 第 27 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 28. JUNIPER 防火墙快速安装手册3.3、DIP 的配置DIP 的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在 NAT 模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口 IP 地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是 DIP,在内部网络IP 地址外出访问时,动态转换为一个连续的公网 IP 地址池中的 IP 地址。DIP 应用的网络拓扑图:3.3.1、使用 Web 浏览器方式配置 DIP① 登录防火墙设备,配置防火墙为三层部署模式;② 定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口 定义IP地址池; 第 28 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 29. JUNIPER 防火墙快速安装手册③ 定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中, 启用源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置;策略配置完成之后拥有内部 IP 地址的网络设备在访问互联网时会自动从该地址池中选择一个公网 IP 地址进行 NAT。 第 29 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 30. JUNIPER 防火墙快速安装手册3.3.2、使用命令行方式配置 DIP① 配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24② 定义DIP set interface ethernet3 dip 5 1.1.1.30 1.1.1.30③ 定义策略 set policy from trust to untrust any any http nat src dip-id 5 permit save4、Juniper 防火墙 IPSec VPN 的配置Juniper 所有系列防火墙(除部分早期型号外)都支持 IPSec VPN,其配置方式有多种,包括:基于策略的 VPN、基于路由的 VPN、集中星形 VPN 和背靠背 VPN 等。在这里,我们主要介绍最常用的 VPN 模式:基于策略的 VPN。站点间(Site-to-Site)的 VPN 是 IPSec VPN 的典型应用,这里我们介绍两种站点间基于策略 VPN 的实现方式:站点两端都具备静态公网 IP 地址;站点两端其中一端具备静态公网IP 地址,另一端动态公网 IP 地址。4.1、站点间 IPSec VPN 配置:staic ip-to-staic ip当创建站点两端都具备静态 IP 的 VPN 应用中, 位于两端的防火墙上的 VPN 配置基本相同,不同之处是在 VPN gateway 部分的 VPN 网关指向 IP 不同,其它部分相同。 第 30 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 31. JUNIPER 防火墙快速安装手册VPN 组网拓扑图:staic ip-to-staic ip4.1.1、使用 Web 浏览器方式配置① 登录防火墙设备,配置防火墙为三层部署模式;② 定义 VPN 第一阶段的相关配置:VPNs=>Autokey Advanced=>Gateway 配置 VPN gateway 部分,定义 VPN 网关名称、定义“对端 VPN 设备的公网 IP 地址” 为本地 VPN 设备的网关地址、定义预共享密钥、选择发起 VPN 服务的物理端口; 第 31 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 32. JUNIPER 防火墙快速安装手册③ 在 VPN gateway 的高级(Advanced)部分,定义相关的 VPN 隧道协商的加密算法、 选择 VPN 的发起模式;④ 配置 VPN 第一阶段完成显示列表如下图; 第 32 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 33. JUNIPER 防火墙快速安装手册⑤ 定义 VPN 第二阶段的相关配置:VPNs=>Autokey IKE 在 Autokey IKE 部分,选择第一阶段的 VPN 配置;⑥ 在 VPN 第二阶段高级(Advances)部分,选择 VPN 的加密算法; 第 33 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 34. JUNIPER 防火墙快速安装手册⑦ 配置 VPN 第二阶段完成显示列表如下图;⑧ 定义 VPN 策略,选择地址和服务信息,策略动作选择为:隧道模式;VPN 隧道选择为: 刚刚定义的隧道,选择自动设置为双向策略; 第 34 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 35. JUNIPER 防火墙快速安装手册4.1.2、使用命令行方式配置CLI ( 东京)① 配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24② 定义路由 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250③ 定义地址 set address trust Trust_LAN 10.1.1.0/24 set address untrust paris_office 10.2.2.0/24④ 定义IPSec VPN set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha 第 35 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 36. JUNIPER 防火墙快速安装手册 set vpn tokyo_paris gateway to_paris sec-level compatible⑤ 定义策略 set policy top name "To/From Paris" from trust to untrust Trust_LAN paris_office any tunnel vpn tokyo_paris set policy top name "To/From Paris" from untrust to trust paris_office Trust_LAN any tunnel vpn tokyo_paris saveCLI ( 巴黎)① 定义接口参数 set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24② 定义路由 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250③ 定义地址 set address trust Trust_LAN 10.2.2.0/24 set address untrust tokyo_office 10.1.1.0/24④ 定义IPSec VPN set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn paris_tokyo gateway to_tokyo sec-level compatible⑤ 定义策略 set policy top name "To/From Tokyo" from trust to untrust Trust_LAN tokyo_office any tunnel vpn paris_tokyo set policy top name "To/From Tokyo" from untrust to trust tokyo_office Trust_LAN any tunnel vpn paris_tokyo save 第 36 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 37. JUNIPER 防火墙快速安装手册4.2、站点间 IPSec VPN 配置:staic ip-to-dynamic ip在站点间 IPSec VPN 应用中,有一种特殊的应用,即在站点两端的设备中,一端拥有静态的公网 IP 地址,而另外一端只有动态的公网 IP 地址,以下讲述的案例是在这种情况下,Juniper 防火墙如何建立 IPSec VPN 隧道。基本原则:在这种 IPSec VPN 组网应用中,拥有静态公网 IP 地址的一端作为被访问端出现,拥有动态公网 IP 地址的一端作为 VPN 隧道协商的发起端。和站点两端都具备静态 IP 地址的配置的不同之处在于 VPN 第一阶段的相关配置,在主动发起端(只有动态公网 IP 地址一端)需要指定 VPN 网关地址,需配置一个本地 ID,配置 VPN发起模式为:主动模式;在站点另外一端(拥有静态公网 IP 地址一端)需要指定 VPN 网关地址为对端设备的 ID 信息,不需要配置本地 ID,其它部分相同。IPSec VPN 组网拓扑图:staic ip-to-dynamic ip 第 37 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 38. JUNIPER 防火墙快速安装手册4.2.1、使用 Web 浏览器方式配置① VPN 第一阶段的配置:动态公网 IP 地址端。 VPN 的发起必须由本端开始,动态地址端可以确定对端防火墙的 IP 地址,因此在 VPN 阶段一的配置中,需指定对端 VPN 设备的静态 IP 地址。同时,在本端设置一个 Local ID,提供给对端作为识别信息使用。② VPN 第一阶段的高级配置:动态公网 IP 地址端。 在 VPN 阶段一的高级配置中动态公网 IP 一端的 VPN 的发起模式应该配置为:主动 模式(Aggressive) 第 38 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 39. JUNIPER 防火墙快速安装手册③ VPN 第一阶段的配置:静态公网 IP 地址端。 在拥有静态公网 IP 地址的防火墙一端,在 VPN 阶段一的配置中,需要按照如下图所 示的配置: “Remote Gateway Type”应该选择“Dynamic IP Address”,同时设置 Peer ID(和在动态 IP 地址一端设置的 Local ID 相同)。 第 39 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 40. JUNIPER 防火墙快速安装手册④ VPN 第二阶段配置,和在”static ip-to-static ip”模式下相同。⑤ VPN 的访问控制策略,和在”static ip-to-static ip”模式下相同。 第 40 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 41. JUNIPER 防火墙快速安装手册4.2.1、使用命令行方式配置CLI ( 设备-A)① 定义接口参数 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 dhcp client set interface ethernet3 dhcp client settings server 1.1.1.5② 定义路由 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3③ 定义用户 set user pmason password Nd4syst4④ 定义地址 set address trust "trusted network" 10.1.1.0/24 set address untrust "mail server" 3.3.3.5/32 第 41 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 42. JUNIPER 防火墙快速安装手册⑤ 定义服务 set service ident protocol tcp src-port 0-65535 dst-port 113-113 set group service remote_mail set group service remote_mail add http set group service remote_mail add ftp set group service remote_mail add telnet set group service remote_mail add ident set group service remote_mail add mail set group service remote_mail add pop3⑥ 定义VPN set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@abc.com outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn branch_corp gateway to_mail sec-level compatible⑦ 定义策略 set policy top from trust to untrust "trusted network" "mail server" remote_mail tunnel vpn branch_corp auth server Local user pmason set policy top from untrust to trust "mail server" "trusted network" remote_mail tunnel vpn branch_corp saveCLI ( 设备-B)① 定义接口参数 set interface ethernet2 zone dmz set interface ethernet2 ip 3.3.3.3/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24② 路由 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250③ 定义地址 set address dmz "mail server" 3.3.3.5/32 第 42 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 43. JUNIPER 防火墙快速安装手册 set address untrust "branch office" 10.1.1.0/24④ 定义服务 set service ident protocol tcp src-port 0-65535 dst-port 113-113 set group service remote_mail set group service remote_mail add ident set group service remote_mail add mail set group service remote_mail add pop3⑤ 定义VPN set ike gateway to_branch dynamic pmason@abc.com aggressive outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha set vpn corp_branch gateway to_branch tunnel sec-level compatible⑥ 定义策略 set policy top from dmz to untrust "mail server" "branch office" remote_mail tunnel vpn corp_branch set policy top from untrust to dmz "branch office" "mail server" remote_mail tunnel vpn corp_branch save5、Juniper 中低端防火墙的 UTM 功能配置Juniper 中低端防火墙(目前主要以 SSG 系列防火墙为参考)支持非常广泛的攻击防护及内容安全功能,主要包括:防病毒(Anti-Virus) 防垃圾邮件 、 (Anti-Spam) URL 过滤 、 (URLfiltering)以及深层检测/入侵防御(Deep Inspection/IPS)。注:上述的安全/防护功能集成在防火墙的 ScreenOS 操作系统中,但是必须通过 license(许可)激活后方可使用(并会在激活一段时间(通常是 1 年)后过期)。当然在使用这些功能的时候,我们还需要设定好防火墙的时钟以及 DNS 服务器地址。 第 43 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 44. JUNIPER 防火墙快速安装手册当防火墙激活了相应的安全/防护功能以后,通过 WebUI 可以发现,Screening 条目下会增加相应的功能条目,如下图:5.1、防病毒功能的设置Juniper 防火墙的防病毒引擎(从 ScreenOS5.3 开始内嵌 Kaspersky 的防病毒引擎)可以针对 HTTP、FTP、POP3、IMAP 以及 SMTP 等协议进行工作。5.1.1、Scan Manager 的设置 第 44 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 45. JUNIPER 防火墙快速安装手册 “Pattern Update Server”项中的 URL 地址为 Juniper 防火墙病毒特征库的官方下载 网址(当系统激活了防病毒功能后,该网址会自动出现) 。 “Auto Pattern Update”项允许防火墙自动更新病毒特征库;后面的“Interval”项 可以指定自动更新的频率。 “Update Now”项可以执行手动的病毒特征库升级。 “Drop/Bypass file if its size exceeds KB”项用来控制可扫表/传输的文件大 小。“Drop”项会在超过限额后,扔掉文件而不做扫描; “Bypass”项则会放行文件而 不做扫描。 “Drop//Bypass file if the number of concurrent files exceeds files”项用控 制同时扫描/传输的文件数量。 “Drop”项会在超过限额后,扔掉文件而不做扫描; “Bypass”项则会放行文件而不做扫描。5.1.2、Profile 的设置通过设置不同的 Profile,我们可以对不同的安全策略(Policy)采用不同的防病毒操作(Juniper 防火墙的防病毒引用是基于安全策略的;也就是说我们的防病毒设置是通过在特定的策略中引入特定的 Profile 来实现的。,进而实现高粒度化地防病毒控制,将防病毒对 )系统资源的消耗降到最低。 第 45 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 46. JUNIPER 防火墙快速安装手册ns-profile 是系统自带的 profile。用户不需要做任何设置,就可以在安全策略里直接引用它。除此之外,用户可以根据自己的需求来设置适合自身需求的 profile。Profile 方面的设置包括对 FTP、HTTP、IMAP、POP3 以及 SMTP 等 5 个协议的内容,见下图。 第 46 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 47. JUNIPER 防火墙快速安装手册Enable 选项每个特定的协议类型,都有一个 Enable 选项。选择之,则防病毒引擎会检查与这个协议相关的流量;反之,则不会检查。Scan Mode 的设置Scan Mode 有三个选择项:Scan All、Scan Intelligent、Scan By Extension。Scan All:对于流量,检查所有已知的特征码。Scan Intelligent:对于流量,检查比较常见的特征码。Scan By Extension:仅针对特定的文件扩展名类型进行检查。如果选择该类型,则需要事先设定好 Ext-List(设置文件扩展名的类型)与 Include/Exclude Extension List。Decompress Layer 的设置为了减少传输的时间,很多文件在传输过程中都会被压缩。Decompress Layer 就是用来设置防病毒引擎扫描压缩文件的层数。防病毒引擎最多可以支持对 4 层压缩文件的扫描。Skipmime Enable 的设置对于 HTTP 协议,可以进行 Skipmime Enable 的设置。打开该功能,则防病毒引擎不扫描Mime List 中 包 括 的 文 件 类 型 ( 系 统 默 认 打 开 该 功 能 , 并 匹 配 默 认 的 Mime List :ns-skip-mime-list)。Email Notify 的设置对于 IMAP、POP3、SMTP 等 email 协议,可以进行 Email Nortify 的设置。打开该功能,可以在发现病毒/异常后,发送 email 来通知用户(病毒发送者/邮件发送方/邮件接收方) 。5.1.3、防病毒 profile 在安全策略中的引用我们前面已经提到过,防病毒的实现是通过在特定安全策略中应用 profile 来实现的。比如,我们在名为 ftp-scan 的策略中引用 av1 的防病毒 profile。① 首先建立了名为av1的profile,并enable FTP协议的扫描;由于我仅希望检测的是FTP 应用,故关闭对其他协议的扫描。见下图: 第 47 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 48. JUNIPER 防火墙快速安装手册② 设置 ftp-scan 安全策略,并引用 profile av1。 第 48 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 49. JUNIPER 防火墙快速安装手册③ 引用了 profile 进行病毒扫描的策略,在 action 栏会有相应的图标出现。5.2、防垃圾邮件功能的设置Juniper 防火墙内嵌的防垃圾邮件引擎,可以帮助企业用户来减轻收到垃圾邮件的困扰。Juniper 的防垃圾邮件功能主要是通过公共防垃圾邮件服务器来实现的。公共的防垃圾邮件服 务 器 会 实时 地 更 新 防垃 圾 邮 件 的库 , 做 到 最大 范 围 、 最小 误 判 的 防垃 圾 功 能 。到ScreenOS5.4 为止,juniper 的防垃圾邮件引擎只支持 SMTP 协议。Juniper 防垃圾邮件通过两种方式来检测垃圾邮件:1.通过公共防垃圾邮件服务器的 whitelist(可信任名单)与 black list(不可信任名单)。 第 49 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 50. JUNIPER 防火墙快速安装手册5.2.1、Action 设置SBL Default Enable 项选中后,防火墙使用公共防垃圾服务器来判别垃圾邮件。默认为打开。Actions 项用来指定对垃圾邮件的处理方法:Tag on Subject(在邮件标题栏标注信息,指明该邮件为垃圾邮件;不丢弃邮件) ;Tag on Header(在邮件内容的头部标注信息,指明该邮件为垃圾邮件;不丢弃邮件) ;Drop(直接丢弃查找到的垃圾邮件)5.2.2、White List 与 Black List 的设置通过防火墙自定义 white list 和 black list。比如在 White List > White List Content 栏输入www.sina.com.cn,则防火墙在检查到与这个网址相关的邮件,都会认为是可信任邮件,直接放行。 第 50 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 51. JUNIPER 防火墙快速安装手册比如在 Black List >Black List Content 栏输入 www.baidu.com,则防火墙在检测到这个网址有关的邮件时,都会判定为垃圾邮件。 第 51 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 52. JUNIPER 防火墙快速安装手册5.2.3、防垃圾邮件功能的引用最后, 我们只要在安全策略里面引用防垃圾邮件功能, 就可以对邮件进行检测了。Antispamenable 项只要勾选,就开启了防垃圾邮件功能,如下图所示。5.3、WEB/URL 过滤功能的设置Juniper 可通过两种方式来提供 URL 过滤功能。一种是通过转发流量给外部的 URL 过滤服务器来实现 (支持 SurfControl 和 Websense 两个产品)一种是通过内置的 SurfControl URL ;过滤引擎来提供 URL 过滤。5.3.1、转发 URL 过滤请求到外置 URL 过滤服务器如果采用第一种方式的话,首先防火墙必须能够访问到本地的提供 URL 过滤的服务器(SurfControl 或者 Websense)。然后通过以下项的设置来完成该功能的启用。① 在 Web Filtering > Protocol Selection 条目下,选择需要 Redirect 按钮(SurfControl 或者 Websense) 。 第 52 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 53. JUNIPER 防火墙快速安装手册② 打开 Web Filtering 选项的 Websense/SurfControl 的条目: Enable Web Filtering 项设置为勾选,则 Web Filtering 功能打开。 第 53 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 54. JUNIPER 防火墙快速安装手册 Source Interface 项用来选择与 URL 过滤服务器相连的接口(如果不选,则采用 Default)。 Server Name 项填入 URL 过滤服务器的地址。 Server Port 项填入与服务器端口通讯的端口(默认为 15868) 。 If connectivity to the server is lost,Block/Permit all HTTP requests 项用来决定 如果与服务器连接丢失以后,防火墙采取什么措施。选择 Block 项,则与服务器失去 联系后,阻断所有 HTTP 请求;选择 Permit 项,则放行所有 HTTP 请求。5.3.2、使用内置的 URL 过滤引擎进行 URL 过滤如果使用 Juniper 防火墙自带的 SurfControl 引擎来过滤 URL,可以通过以下操作来完成。① 在 Web Filtering > Protocol Selection 条 目 下 , 选 择 需 要 Integrated 按 钮 (SurfControl 或者 Websense)。② 打开 Web Filtering 选项的 SC-CPA 的条目: 第 54 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 55. JUNIPER 防火墙快速安装手册 Enable Web Filtering via CPA Server 项勾选。 Server Name 项选择地区(比如我们处于亚洲,则选择 Asia Pacific) 。 Host 项会根据 Server Name 自动填充域名(比如前面选择了 Asia Pacific,则会出现 Asiai.SurfCPA.com) 。 Port 项与服务器端口通讯的端口(默认为 9020) 。 If connectivity to the server is lost,Block/Permit all HTTP requests 项用来决定 如果与服务器连接丢失以后,防火墙采取什么措施。选择 Block 项,则与服务器失去 联系后,阻断所有 HTTP 请求;选择 Permit 项,则放行所有 HTTP 请求。5.3.3、手动添加过滤项下面以实例的方式来讲解手动添加过滤项的操作过程。我们假设要禁止访问 www.sina.com的访问。① 首先,我们建立一个自己的过滤组(category) ,名字为 news。在 Screening > WEB Filtering > Categories > Custom > Edit 下: 第 55 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 56. JUNIPER 防火墙快速安装手册② 其次,我们建议一个新的 Profile,取名叫 justfortest:Screening > WEB Filtering > Profiles > Custom > Edit 第 56 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 57. JUNIPER 防火墙快速安装手册 Black List 项中可以选择预定义或者自定义的过滤组(category) 。进入 Black List 的 组的网址将无条件禁止访问。 White List 项中可以选择预定义或者自定义的过滤组(category) 。进入 White List 的 组的网址将无条件允许访问。 Default Action 项可以选择 Permit 或者 Deny。选择 Permit,则没有匹配 Black List/White List/手动设定过滤项的网址,将被允许访问;Deny 则反之。 Subscribers identified by 项 Category Name 可选择我们想要过滤的组别(在例子中,我们选取之前建立的 news) Action 可选择 permit 或者 block(在本例中,我们选取 block)③ 最后,我们在安全策略中引用 URL 过滤。注:我们建立一条策略, 然后在 WEB Filtering 项选择我们刚才建立的 profile justfortest” “ 。策略建立完以后,会在 Options 栏出现 WWW 的图标。 第 57 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 58. JUNIPER 防火墙快速安装手册安全策略生效后,我们就无法访问新浪网站了,我们将看到 Your page is blocked due to asecurity policy that prohibits access to category。如下图: 第 58 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 59. JUNIPER 防火墙快速安装手册5.4、深层检测功能的设置Juniper 防火墙可以通过 license 激活的方式来实现软件级别的入侵检测防御功能,即深层检测功能(DI) 。深层检测可以从 L3、L4 以及 L7 等多个层面进行恶意流量的检测及防护。当我们将订购的 DI 许可导入防火墙以后, 功能就开启了。 DI 然后我们通过一些简单的设置,就可以用 DI 来检测和防御网络恶意行为了。Juniper 深层检测模块目前支持的检测类型包括: (截止 OS5.4)■ AIM (AOL Instant Messenger)■ DHCP (Dynamic Host Configuration Protocol)■ DNS (Domain Name System)■ FTP (File Transfer Protocol)■ GNUTELLA (File Sharing Network Protocol)■ GOPHER (Gopher Protocol)■ HTTP (Hypertext Transfer Protocol)■ ICMP (Internet Control Message Protocol)■ IDENT (Identification Protocol)■ IKE (Internet Key Exchange)■ IMAP (Internet Message Access Protocol)■ IRC (Internet Relay Chat Protocol)■ LDAP (Lightweight Directory Access Protocol)■ LPR (Line Printer)■ MSN (Microsoft Messenger)■ MSRPC (Microsoft Remote Procedure Call)■ NBNAME (NetBIOS Name Service)■ NFS (Network File Service)■ NTP (Network Time Protocol)■ POP3 (Post Office Protocol)■ RADIUS (Remote Authentication Dial In User Service)■ SMB (Server Message Block)■ SMTP (Simple Mail Transfer Protocol)■ SYSLOG (System Log)■ TELNET (Terminal Emulation Protocol)■ TFTP (Trivial File Transfer Protocol)■ VNC (Virtual Network Computing, or Remote Frame Buffer Protocol)■ WHOIS (Remote Directory Access Protocol)■ YMSG (Yahoo Messenger)除此之外,我们还可以通过手动的方式来自定义攻击类型(使用 Juniper IDP 设备来编写的话,会相对简便) 。5.4.1、设置 DI 攻击特征库自动更新随着已知攻击的数目的日益增加,攻击特征库也在不断地扩大着。我们可以通过设置自动更 第 59 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 60. JUNIPER 防火墙快速安装手册新的办法来让防火墙自动下载最新的攻击特征库。我们可以通过 Update 的 Attack Signature 下设置攻击特征库的自动更新。Signature Pack 项可以选择 Base(一般情况下的攻击特征码集合) 、Client(主要针对降低客户端上网风险的攻击特征码集合) Server 、 (主要针对保护服务器端的攻击特征码集合) 、Worm Mitigation(主要针对蠕虫的攻击特征码集合)四种类型。Database Server URL 项填写着提供攻击特征库更新的服务器域名(系统会自动填充,一般不用自己填写) 。Update Mode 项可以选择 None(不自动更新) 、Automatic Notification(有新的更新则发出通知) 、Automatic Update(自动更新)。Schedule at 项可以选择 At (更新的时间) 、Daily(每日更新) 、Weekly On (星期几更新) 、Monthly On (几月份更新) 。Update Now 项可以手动更新攻击特征库。5.4.2、深层检测(DI)的引用跟前面所讲的其他功能一样,我们同样是在安全策略中引用 DI 功能。 第 60 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 61. JUNIPER 防火墙快速安装手册建立一条策略,然后点击在 Action 项旁边的 Deep Inspection 项,弹出配置框,如下图。Severity 项可以选择要防范的攻击的强度(从 Critical 到 Info);Group 项用来选择攻击的具体组别(按照攻击的具体对象、协议、严重程度来分) ;Action 项用来选择检测到攻击后的处理方法:None、Ignore、Drop Packet、Drop、CloseClient、Close Server、Close。选择完以上项后则可以按 ADD 按钮添加到下面的攻击防护表中去。 第 61 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 62. JUNIPER 防火墙快速安装手册完成了 DI 功能设置的安全策略的 Action 栏会变成一个放大镜的图标,如上图。6、Juniper 防火墙的 HA(高可用性)配置为了保证网络应用的高可用性,在部署 Juniper 防火墙过程中可以在需要保护的网络边缘同时部署两台相同型号的防火墙设备,实现 HA 的配置。Juniper 防火墙提供了三种高可用性的应用配置模式:主备方式、主主方式和双主冗余方式。在这里,我们只对主备方式的配置进行说明。防火墙 HA 网络拓扑图(主备模式) : 第 62 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 63. JUNIPER 防火墙快速安装手册6.1、使用 Web 浏览器方式配置WebUI ( 设备-A)① 接口 Network > Interfaces > Edit ( 对于 ethernet7): 输入以下内容,然后单击 OK: Zone Name: HA Network > Interfaces > Edit ( 对于 ethernet8): 输入以下内容,然后单击 OK: Zone Name: HA Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容,然后单击 OK: Zone Name: Untrust Static IP: ( 出现时选择此选项) IP Address/Netmask: 210.1.1.1/24 Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容,然后单击 Apply: Zone Name: Trust Static IP: ( 出现时选择此选项) IP Address/Netmask: 10.1.1.1/24 第 63 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 64. JUNIPER 防火墙快速安装手册 Manage IP: 10.1.1.20 输入以下内容,然后单击 OK: Interface Mode: NAT② NSRP Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 输入 以下内容,然后单击 Apply: ethernet1: ( 选择); Weight: 255 ethernet3: ( 选择); Weight: 255 Network > NSRP > Synchronization: 选择 NSRP RTO Synchronization,然后 单击 Apply。 Network > NSRP > Cluster: 在 Cluster ID 字段中,键入 1,然后单击 Apply。WebUI ( 设备-B)① 接口 Network > Interfaces > Edit ( 对于 ethernet7): 输入以下内容,然后单击 OK: Zone Name: HA Network > Interfaces > Edit ( 对于 ethernet8): 输入以下内容,然后单击 OK: Zone Name: HA Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容,然后单击 OK: Zone Name: Untrust Static IP: ( 出现时选择此选项) IP Address/Netmask: 210.1.1.1/24 Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容,然后单击 Apply: Zone Name: Trust Static IP: ( 出现时选择此选项) IP Address/Netmask: 10.1.1.1/24 Manage IP: 10.1.1.21 输入以下内容,然后单击 OK: 第 64 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 65. JUNIPER 防火墙快速安装手册 Interface Mode: NAT② NSRP Network > NSRP > Monitor > Interface > VSD ID: Device Edit Interface: 输入 以下内容,然后单击 Apply: ethernet1: ( 选择); Weight: 255 ethernet3: ( 选择); Weight: 255 Network > NSRP > Synchronization: 选择 NSRP RTO Synchronization,然后 单击 Apply。 Network > NSRP > Cluster: 在 Cluster ID 字段中,键入 1,然后单击 Apply。6.2、使用命令行方式配置CLI ( 设备-A)① 接口 set interface ethernet7 zone ha set interface ethernet8 zone ha set interface ethernet1 zone untrust set interface ethernet1 ip 210.1.1.1/24 set interface ethernet3 zone trust set interface ethernet3 ip 10.1.1.1/24 set interface ethernet3 manage-ip 10.1.1.20 set interface ethernet3 nat② NSRP set nsrp rto-mirror sync set nsrp monitor interface ethernet1 set nsrp monitor interface ethernet3 set nsrp cluster id 1 saveCLI ( 设备-B) 第 65 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 66. JUNIPER 防火墙快速安装手册① 接口 set interface ethernet7 zone ha set interface ethernet8 zone ha set interface ethernet1 zone untrust set interface ethernet1 ip 210.1.1.1/24 set interface ethernet3 zone trust set interface ethernet3 ip 10.1.1.1/24 set interface ethernet3 manage-ip 10.1.1.21 set interface ethernet3 nat② NSRP set nsrp rto-mirror sync set nsrp monitor interface ethernet1 set nsrp monitor interface ethernet3 set nsrp cluster id 1 save 注:基于主主方式的 HA 应用的说明:详见《概念与范例 screenOS 参考指南》可以在:www.juniper.net 免费获得。7、Juniper 防火墙一些实用工具7.1、防火墙配置文件的导出和导入Juniper 防火墙的配置文件的导入导出功能为用户提供了一个快速恢复当前配置的有效的手段。一旦用户不小心因为操作失误或设备损坏更换,都可以利用该功能,实现快速的防火墙配置的恢复,在最短的时间内恢复设备和网络正常工作。 第 66 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 67. JUNIPER 防火墙快速安装手册7.1.1、配置文件的导出配置文件的导出(WebUI):在 Configuration > Update > Config File 位置,点选:Save to file,将当前的防火墙设备的配置文件导出为一个无后缀名的可编辑文本文件。配置文件的导出(CLI) :ns208-> save config from flash to tftp 1.1.7.250 15Jun03.cfg7.1.2、配置文件的导入配置文件的导入(WebUI) 在 Configuration > Update > Config File 位置, 点选: : 1、 Merge to CurrentConfiguration,覆盖当前配置并保留不同之处;2、点选:Replace Current Configuration替换当前配置文件。导入完成之后,防火墙设备会自动重新启动,读取新的配置文件并运行。 第 67 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 68. JUNIPER 防火墙快速安装手册配置文件的导入(CLI) :ns208-> save config from tftp 1.1.7.250 15June03.cfg to flash 或者 ns208->save config from tftp 1.1.7.250 15June03.cfg merge7.2、防火墙软件(ScreenOS)更新关于 ScreenOS:Juniper 防火墙的 OS 软件是可以升级的,一般每一到两个月会有一个新的 OS 版本发布,OS 版本如:5.0.0R11.0,其中 R 前面的 5.0.0 是大版本号,这个版本号的变化代表着功能的变化;R 后面的 11.0 是小版本号,这个号码的变化代表着 BUG 的完善,因此一般建议,在大版本号确定的情况下,选择小版本号大的 OS 作为当前设备的 OS。关于 OS 升级注意事项:升级 OS 需要一定的时间,根据设备性能的不同略有差异,一般情况下大约需要 5 分钟的时间。在升级的过程中,一定要保持电源的供应、网线连接的稳定,最好是将防火墙从网络中暂时取出,待 OS 升级完成后再将防火墙设备接入网络。ScreenOS 升级(WebUI) Configuration > Update > ScreenOS/Keys。 : 第 68 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 69. JUNIPER 防火墙快速安装手册ScreenOS 升级(CLI): ns208-> save software from tftp 1.1.7.250 newimage to flash7.3、防火墙恢复密码及出厂配置的方法当防火墙密码遗失的情况下,我们只能将防火墙恢复到出厂配置,方法是:① 记录下防火墙的序列号(又称 Serial Number,在防火墙机身上面可找到) ;② 使用控制线连接防火墙的 Console 端口并重起防火墙;③ 防火墙正常启动到登录界面,是用记录下来的序列号作为登录的用户名/密码,根据防 火墙的提示恢复到出厂配置。8、Juniper 防火墙的一些概念安全区(Security Zone):Juniper 防火墙增加了全新的安全区域(Security Zone)的概念,安全区域是一个逻辑的结构,是多个处于相同属性区域的物理接口的集合。当不同安全区域之间相互通讯时,必须通过事先定义的策略检查才能通过; 当在同一个安全区域进行通讯时, 默认状态下允许不通过 第 69 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 70. JUNIPER 防火墙快速安装手册策略检查,经过配置后也可以强制进行策略检查以提高安全性。安全区域概念的出现,使防火墙的配置能更灵活同现有的网络结构相结合。以下图为例,通过实施安全区域的配置,内网的不同部门之间的通讯也必须通过策略的检查,进一步提高的系统的安全。接口(Interface):信息流可通过物理接口和子接口进出安全区(Security Zone)。为了使网络信息流能流入和流出安全区,必须将一个接口绑定到一个安全区,如果属于第3 层安全区,则需要给接口分配一个 IP地址。虚拟路由器(Virtual Router):Juniper 防火墙支持虚拟路由器技术,在一个防火墙设备里,将原来单一路由方式下的单一路由表, 进化为多个虚拟路由器以及相应的多张独立的路由表,提高了防火墙系统的安全性以及 IP 地址配置的灵活性。安全策略(Policy):Juniper防火墙在定义策略时,主要需要设定源IP地址、目的IP地址、网络服务以及防火墙 第 70 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 71. JUNIPER 防火墙快速安装手册的动作。在设定网络服务时,Juniper防火墙已经内置预设了大量常见的网络服务类型,同时,也可以由客户自行定义网络服务。在客户自行定义通过防火墙的服务时,需要选择网络服务的协议,是UDP、TCP还是其它,需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。因此,通过对网络服务的定义,以及IP地址的定义,使Juniper防火墙的策略细致程度大大加强,安全性也提高了。除了定义上述这些主要参数以外,在策略中还可以定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。通过这些主要的安全元素和附加元素的控制,可以让系统管理员对进出防火墙的数据流量进行严格的访问控制,达到保护内网系统资源安全的目的。映射IP(MIP):MIP是从一个 IP 地址到另一个 IP 地址双向的一对一映射。当防火墙收到一个目标地址为MIP 的内向数据流时,通过策略控制防火墙将数据转发至MIP 指向地址的主机;当MIP映射的主机发起出站数据流时,通过策略控制防火墙将该主机的源 IP 地址转换成 MIP 地址。虚拟IP(VIP):VIP是一个通过防火墙外网端口可用的公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且这些服务器是需要对外提供各种服务的。 第 71 页 共 74 页 http://www.synnex.com.cn/juniper/index.asp
  • 72. JUNIPER 防火墙快速安装手册 第 72 页 共 74 页http://www.synnex.com.cn/juniper/index.asp
  • 73. JUNIPER 防火墙快速安装手册 第 73 页 共 74 页http://www.synnex.com.cn/juniper/index.asp
  • 74. JUNIPER 防火墙快速安装手册 第 74 页 共 74 页http://www.synnex.com.cn/juniper/index.asp