[it计算机]juniper网络安全防火墙设备快速安装手册_v10-revised

[it计算机]juniper网络安全防火墙设备快速安装手册_v10-revised内容摘要：

trust 到 zone untrust， 源地址为： any，目标地址为：any，网络服务为： any，策略动作为： permit 允许， log：开启日志记录）； ⑧ Save （保存上述的配置文件）。 、 NS25208 NAT/Route 模式下的基本配置 ① Unset interface ether1 ip（清除防火墙内网口缺省 IP 地址）； ② Set interface ether1 zone trust（将 ether1 端口分配到 trust zone）； ③ Set interface ether1 ip （定义 ether1 端口的 IP 地址）； ④ Set interface ether3 zone untrust（将 ether3 端口分配到 untrust zone）； JUNIPER 防火墙快速安装手册 第 20 页 共 51 页 ⑤ Set interface ether3 ip （定义 ether3 端口的 IP 地址）； ⑥ Set route （定义防火墙对外的缺省路由网关）； ⑦ Set policy from trust to untrust any any any permit log（定义由内网到外网的访问控制策略）； ⑧ Save （保存上述的配置文件） 注：上述是在命令行的方式上实现的 NAT 模式的配置，因为防火墙出厂时在内网端口（ trust zone 所属的端口）上启用了 NAT，所以一般不用特别设置，但是其它的端口则工作在路由模式下，例如： untrust 和 DMZ 区的端口。 如果需要将端口从路由模式修改为 NAT 模式，则可以按照如下的命令行进行修改： ① Set interface ether2 NAT （设置端口 2 为 NAT 模式） ② Save 总结 ： ① NAT/Route 模式做防火墙部署的主要模式，通常是在一台防火墙上两种模式混合进行（除非防火墙完全是在内网应用部署，不需要做 NAT地址转换，这种情况下防火墙所有端口都处于 Route 模式，防火墙首先作为一台路由器进行部署）； ② 关于配置举例， NS5GT 由于设备设计上的特殊性，因此专门列举加以说明； Juniper在 2020 年全新推出的 SSG 系列防火墙，除了端口命名不一样，和 NS25等设备管理配置方式一样。 、基于非向导方式的透明模式下的基本配置 实现透明模式配置建议采用命令行的方式，因为采用 Web 的方式实现时相对命令行的方式麻烦。 通过控制台连接防火墙的控制口，登录命令行管理界面，通过如下命令及步骤进行二层透明模式的配置： ① Unset interface ether1 ip（将以太网 1 端口上的默认 IP 地址删除）； JUNIPER 防火墙快速安装手册 第 21 页 共 51 页 ② Set interface ether1 zone v1trust（将以太网 1 端口分配到 v1trust zone：基于二层的安全区，端口设置为该安全区后，则端口工作在二层模式，并且不能在该端口上配置 IP 地址）； ③ Set interface ether2 zone v1dmz（将以太网 2 端口分配到 v1dmz zone）； ④ Set interface ether3 zone v1untrust（将以太网 3 端口分配到 v1untrust zone）； ⑤ Set interface vlan1 ip （设置 VLAN1 的 IP 地址为：，该地址作为防火墙管理 IP 地址使用）； ⑥ Set policy from v1trust to v1untrust any any any permit log（ 设置一条由内网到外网的访问策略）； ⑦ Save（保存当前的配置）； 总结： ① 带有 V1字样的 zone 为基于透明模式的安全区，在进行透明模式的应用时，至少要保证两个端口的安全区工作在二层模式； ② 虽然 Juniper 防火墙可以 在某些特殊版本 工作在混合模式下（二层模式和三层模式的混合应用），但是通常情况下，建议尽量使防火墙工作在一种模式下（三层模式可以混用：NAT 和路由）。 Juniper 防火墙几种常用功能的配置 这里讲述的 Juniper 防火墙的几种常用功能主要是指基于策略的 NAT 的实现，包括： MIP、VIP 和 DIP，这三种常用功能主要应用于防火墙所保护服务器提供对外服务。 、 MIP 的配置 MIP 是“一对一”的双向地址翻译（转换）过程。 通常的情况是：当你有若干个公网 IP 地址，又存在若干的对外提供网络服务的服务器（服务器使用私有 IP 地址），为了实现互联网用户访问这些服务器，可在 Inter 出口的防火墙上建立公网 IP 地址与服务器私有 IP 地址 JUNIPER 防火墙快速安装手册 第 22 页 共 51 页 之间的一对一映射（ MIP），并通过策略实现对服务器所提供服务进行访问控制。 MIP 应用的网络拓扑图： 注： MIP 配置在防火墙的外网端口（连接 Inter 的端 口）。 、使用 Web 浏览器方式配置 MIP ① 登录防火墙，将防火墙部署为三层模式（ NAT 或路由模式）； ② 定义 MIP： Network=Interface=ether2=MIP，配置实现 MIP的地址映射。 Mapped IP：公网 IP 地址， Host IP：内网服务器 IP 地址 JUNIPER 防火墙快速安装手册 第 23 页 共 51 页 ③ 定义策略：在 POLICY 中，配置由外到内的访问控制策略，以此允许来自外部网络对内部网络服务器应用的访问。 JUNIPER 防火墙快速安装手册 第 24 页 共 51 页 、使用命令行方式配置 MIP ① 配置接口参数 set interface ether1 zone trust set interface ether1 ip set interface ether1 nat set interface ether2 zone untrust set interface ether2 ip ② 定义 MIP set interface ether2 mip host mask vrouter trustvr ③ 定义策略 set policy from untrust to trust any mip() permit save 、 VIP 的配置 MIP 是一个公网 IP 地址对应一个私有 IP 地址，是一对一的映射关系；而 VIP 是一个公网IP 地址的不同端口（协议端口如： 2 2 110 等）与内部多个私有 IP 地址的不同服务端口的映射关系。 通常应用在只有很少的公网 IP 地址，却拥有多个私有 IP 地址的服务器，并且，这些服务器是需要对外提供各种服务的。 JUNIPER 防火墙快速安装手册 第 25 页 共 51 页 VIP 应用的拓扑图： 注： VIP 配置在防火墙的外网连接端口上（ 连接 Inter 的端口）。 、使用 Web 浏览器方式配置 VIP ① 登录防火墙，配置防火墙为三层部署模式。 ② 添加 VIP： Network=Interface=ether8=VIP ③ 添加与该 VIP公网地址相关的访问控制策略。 JUNIPER 防火墙快速安装手册 第 26 页 共 51 页 、使用命令行方式配置 VIP ① 配置接口参数 set interface ether1 zone trust set interface ether1 ip set interface ether1 nat set interface ether3 zone untrust set interface ether3 ip ② 定义 VIP set interface ether3 vip 80 ③ 定义策略 set policy from untrust to trust any vip() permit save 注： VIP 的地址可以利用防火墙设备的外网端口地址实现（限于低端设备）。 JUNIPER 防火墙快速安装手册 第 27 页 共 51 页 、 DIP 的 配置 DIP 的应用一般是在内网对外网的访问方面。 当防火墙内网端口部署在 NAT 模式下，通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口 IP 地址，并实现对外网（互联网）的访问，这种应用存在一定的局限性。 解决这种局限性的办法就是 DIP，在内部网络IP 地址外出访问时，动态转换为一个连续的公网 IP 地址池中的 IP 地址。 DIP 应用的网络拓扑图： 、使用 Web 浏览器方式配置 DIP ① 登录防火墙设备，配置防火墙为三层部署模式； ② 定义 DIP： Network=Interface=ether3=DIP，在定义了公网 IP地址的 untrust端口定义 IP地址池； JUNIPER 防火墙快速安装手册 第 28 页 共 51 页 ③ 定义策略：定义由内到外的访问策略，在策略的高级（ ADV）部分 NAT的相关内容中，启用源地址 NAT，并在下拉菜单中选择刚刚定义好的 DIP地址池，保存策略，完成配置； 策略配置完成之后拥有内部 IP 地址的网络设备在访问互联网时会自动从该地址池中选择一个公网 IP 地址进行 NAT。 JUNIPER 防火墙快速安装手册 第 29 页 共 51 页 、使用命令行方式配置 DIP ① 配置接口参数 set interface ether1 zone trust set interface ether1 ip set interface ether1 nat set interface ether3 zone untrust set interface ether3 ip ② 定义 DIP set interface ether3 dip 5 ③ 定义策略 set policy from trust to untrust any any nat src dipid 5 permit save Juniper 防火墙 IPSec VPN 的配置 Juniper 所有系列防火墙 （除部分早期型号外） 都支持 IPSec VPN，其配置方式有多种，包括：基于策略的 VPN、基于路由的 VPN、集中星形 VPN 和背靠背 VPN等。 在这里，我们主要介绍最常用的 VPN 模式：基于策略的 VPN。 站点间（ SitetoSite）的 VPN 是 IPSec VPN的典型应用，这里我们介绍两种站点间基于策略 VPN 的实现方式： 站点两端都具备静态公网 IP 地址；站点两端其中一端具备静态公网IP 地址，另一端动态公网 IP 地址。 、站点间 IPSec VPN 配置： staic iptostaic ip 当创建站点两端都具备静态 IP 的 VPN应用中，位于两端的防火墙上的 VPN配置基本相同，不同之处是在 VPN gateway 部分的 VPN 网关指向 IP 不同，其它部分相同。 JUNIPER 防火墙快速安装手册 第 30 页 共 51 页 VPN 组网拓扑图： staic iptostaic ip 、使用 Web 浏览器方式配置 ① 登录防火墙设备，配置防火墙为三层部署模式； ② 定义 VPN 第一阶段的相关配置： VPNs=Autokey Adwanced=Gateway 配置 VPN gateway 部 分，定义 VPN 网关名称、定义“对端 VPN设备的公网 IP 地址” 为本地 VPN 设备的网关地址、定义预共享密钥、选择发起 VPN 服务的物理端口； JUNIPER 防火墙快速安装手册 第 31 页 共 51 页 ③ 在 VPN gateway 的高级（ Advanced）部分，定义相关的 VPN 隧道协商的加密算法、选择 VPN 的发起模式；。