juniper防火墙配置手册

juniper防火墙配置手册内容摘要：

列出。 而对于子接口和通道接口来说，只有在创建和配置后才列出。 要在 WebUI 中查看接口表，请单击 Network Interfaces。 可指定接口类型从 List Interfaces 下拉菜单显示。 要在 CLI 中查看接口表，请使用 get interface 命令。 接口表显示每个接口的下列信息 :  Name: 此字段确定接口的名称。  IP/Netmask: 此字段确定接口的 IP 地址和网络掩码地址。  Zone: 此字段确定将接口绑定到的区段。  Type: 此字段指出接口类型 : Layer 2 (第 2 层 )、 Layer 3 (第 3 层 )、 tunnel (通道 )、 redundant ( 冗余 )、 aggregate ( 聚合 )、 VSI。  Link: 此字段确定接口是否为活动 (up) 或非活动 (down)。  Configure: 此字段允许修改或移除接口。 将接口绑定到安全区段 可将任何物理接口绑定到 L2 ( 第 2 层 ) 或 L3 ( 第 3 层 ) 安全区段。 由于子接口需要 IP 地址，因此仅可将子接口绑定到 L3 ( 第 3 层 ) 安全区段。 将接口绑定到 L3 安全区段后，才能将 IP 地址指定给接口。 在本例中，将 ether5 绑定到 Trust 区段。 WebUI Network Interfaces Edit ( 对于 ether5): 从 Zone Name 下拉列表中选择 Trust，然后单击 OK。 CLI set interface ether5 zone trust save 从安全区段解除接口绑定 如果接口未编号，那么可解除其到一个安全区段的绑定，然后绑定到另一个安全区段。 如果接口已编号，则必须首先将其 IP 地址和网络掩码设置为。 然后，可解除其到一个安全区段的绑定，然后绑定到另一个安全区段，并 ( 可选 ) 给它分配 IP 地址 / 网络掩码。 在本例中， ether3 的 IP 地址为。 将其 IP 地址和网络掩码设置为。 WebUI Network Interfaces Edit ( 对于 ether3): 输入以下内容，然后单击 OK: Zone Name: Null IP Address/Netmask: CLI set interface ether3 ip set interface ether3 zone null save 编址接口 在本例中，将给 ether5 分配 IP 地址 ,“管理 IP”地址。 ( 请注意 ,“管理 IP”地址必须在与安全区段接口 IP 地址相同的子网中 )。 最后，将接口模式设置为 NAT，将所有内部 IP 地址转换至绑定到其它安全区段的缺省接口。 WebUI Network Interfaces Edit ( 对于 ether5): 输入以下内容，然后单击 OK: IP Address/Netmask: Manage IP: CLI set interface ether5 ip set interface ether5 manageip save 修改接口设置 配置物理接口、子接口、冗余接口、聚合接口或“虚拟安全接口” (VSI) 后，需要时可更改下列任何设置 :  IP 地址和网络掩码。  管理 IP 地址。  ( 第 3 层区段接口 ) 管理和网络服务。  ( 子接口 ) 子接口 ID 号和 VLAN 标记号。  (trustvr 中绑定到 L3 ( 第 3 层 ) 安全区段的接口 ) 接口模式 NAT 或“路由”。  ( 物理接口 ) 信息流带宽设置 ( 请参阅第 181 页上的“信息流整形” )。  ( 物理、冗余和聚合接口 ) 最大传输单位 (MTU) 大小。  ( 第 3 层接口 ) 阻止进出相同接口的信息流，包括主子网和辅助子网之间或两个 辅助子网之间的信息流 ( 通过含有 routedeny 选项的 CLI set interface 命令来完成 )。 对于某些安全设备上的物理接口，可以强迫物理链接状态处于不在工作中或工作中状态。 如果强迫物理链接状态处于不在工作中状态，则可模拟电缆与接口端口的断开。 ( 通过含有 phy linkdown 选项的 CLI set interface 命令来完成。 ) 在本例中，对 ether1 进行一些修改，它是一个绑定到 Trust 区段的接口。 将“管理 IP”地址从 更改为。 为了确保管理信息流的绝对安全，还更改了管理服务选项，启用 SCS 和 SSL 并禁用 Tel 和 WebUI。 WebUI Network Interfaces Edit ( 对于 ether1): 进行以下修改，然后单击 OK: Manage IP: Management Services: ( 选择 ) SSH, SSL。 ( 清除 ) Tel, WebUI CLI set interface ether1 manageip set interface ether1 manage ssh set interface ether1 manage ssl unset interface ether1 manage tel unset interface ether1 manage web save 在根系统中创建子接口 可在根系统或虚拟系统中的任何物理接口上创建子接口。 子接口使用 VLAN 标记区别绑定到该子接口的信息流与绑定到其它接口的信息流。 请注意虽然子接口源自物理接口，并借用其需要的带宽，但是可将子接口绑定到任何区段，不必绑定到其“父级”接口绑定到的区段。 此外，子接口的 IP 地址必须在不同于所有其它物理接口和子接口的 IP 地址的子网中。 在本例中，将在根系统中为 Trust 区段创建子接口。 配置绑定到 Trust 区段的 ether1 的子接口，将子接口绑定到用户定义的区段，名为 “ accounting” ( 在 trustvr 中 )。 为其分配子接口 ID IP 地址。 接口模式为 NAT。 WebUI Network Interfaces New SubIF: 输入以下内容，然后单击 OK: Interface Name: Zone Name: accounting IP Address/Netmask: VLAN Tag: 3 CLI set interface zone accounting set interface ip save 删除子接口 不能立即删除映射 IP 地址 (MIP)、虚拟 IP 地址 (VIP) 或“动态 IP” (DIP) 地址池的 宿主子接口。 删除任何这些地址的宿主子接口前，必须首先删除所有引用它们的策 略或 IKE 网关。 然后必须删除子接口上的 MIP、 VIP 和 DIP 池。 在本例中，将删除子接口 ether1:1。 WebUI Network Interfaces: 单击 Remove ( 对于 ether1:1)。 会出现一条系统消息，提示您确认移除。 单击 Yes 删除子接口。 CLI unset interface ether1:1 save 三 ,创建二级 IP 地址 每个 ScreenOS 接口都有一个唯一的 主 IP 地址，但是，某些情况要求一个接口有多个 IP 地址。 例如，机构可能分配额外的 IP 地址，但不希望添加路由器来适应其需要。 此外，机构拥有的网络设备可能比其子网所能处理的要多，如有多于 254台的主机连接到 LAN。 要解决这样的问题，可将 二级 IP 地址添加到 Trust、 DMZ或用户定义区段中的接口。 二级地址具有某些属性，这些属性会影响如何实施此类地址。 这些属性如下 :  任何两个二级 IP 地址之间不能有子网地址重迭。 此外，安全设备上二级 IP 和任何现有子网间不能有子网地址重迭。  通过二级 IP 地址管理安全设备时，该地址总是具有与主 IP 地址相同的管理属性。 因此，不能为二级 IP 地址指定独立的管理配置。  不能为二级 IP 地址配置网关。  创建新的二级 IP 地址时，安全设备 会自动创建相应的路由选择表条目。 删除二级 IP 地址时，设备会自动删除其路由选择表条目。 启用或禁用两个二级 IP 地址之间的路由选择不会使路由选择表发生改变。 例如，如果禁用两个此类地址之间的路由选择，安全设备会丢弃从一个接口到另一个接口的任何封包，但是路由选择表没有改变。 在本例中，为 ether1 设置一个二级 IP 地址 ，接口 ether1的 IP 地址为。 WebUI Network Interfaces Edit ( 对于 ether1) Secondary IP: 输入以下内 容，然后单击 Add: IP Address/Netmask: CLI set interface ether1 ip save 四 ,接口状态更改 接口可以处于以下几种状态 :  物理连接状态 适用于在“开放式系统互连” (OSI) 模式下运行在第 2 层 ( 透明模式 ) 或第3 层 ( 路由模式 ) 的物理以太 网接口。 当用电缆将接口连接到另一台网络设备且可建立一个到该设备的链接时，该接口即处于物理连接状态。  逻辑连接状态 适用于物理接口和逻辑接口 ( 子接口、冗余接口和聚合接口 )。 当通过接口的信息流能够到达网络上的指定设备 ( 在被跟踪的 IP 地址处 ) 时，该接口处于逻辑连接状态。  物理中断状态 当未使用电缆将接口连接到另一台网络设备或者虽然使用电缆将其连接到了另一台网络设备但却不能建立链接时，该接口处于物理中断状态。 也可以使用以下 CLI 命令迫使接口处于物理中断状态 : set interface interface phy linkdown。  逻辑中断状态 当通过接口的信息流不能到达网络上的指定设备 ( 在被跟踪的 IP 地址处 ) 时，该接口处于逻辑中断状态。 接口的物理状态优先于其逻辑状态。 接口可以处于物理连接状态，也可以处于逻辑连接或逻辑中断状态。 如果接口处于物理中断状态，则其逻辑状态如何将无关紧要。 当接口处于连接状态时，所有使用该接口的路由将保持活动和可用状态。 当接口处于中断状态时，安全设备将中断使用该接口的所有路由 虽然信息流仍可能流经处于中断状态的接口，这要因该接口是处于物理中断状态还是逻辑中断状态而定 ( 请参阅第 68 页上的“中断接口和信息” )。 要补偿因丢失接口而引起的路由丢失，可以使用备用接口来配置备用路由。 依据对观察到的接口状态更改所导致动作的设置情况，被监控接口的状态更改 ( 由连接状态变为中断状态 ) 可能会导致监控接口的状态发生更改 ( 由中断状态变为连接状态 )。 要配置这种行为，可以使用以下 CLI 命令 : set interface interface monitor threshold number action up { logically | physically } 输入上面的命令后，安全设备将自动迫使监控接口处于中断状态。 如果被监控对象 ( 被跟踪的 IP 地址、接口、区段 ) 失败，则监控接口的状态将变为连接状态 可能为逻辑连接状态，也可能是物理连接状态，这取决于您的具体配置。 接口可以监控对象的以下一个或多个事件。 请参阅第 57 页上的图 33。 这些事件中的每个事件或其组合均可导致监控接口由连接状态变为中断状态以及由中断状态变为连接状态 :  物理断开连接 / 重新连接  IP 跟踪失败 / 成功  被监控接口失败 / 成功  被监控安全区段失败 / 成功 物理连接监控 所有安全设备上的物理接口监控它们到其它网络设备的物理连接的状态。 当将接口连接到其它网络设备并建立了到该设备的链接时，该接口将处于物理连接状态，并且所有使用该接口的路由都将处于活动状态。 可以在 get interface 命令的输出中的 State 列以及在 WebUI 的 Network Interfaces 页面上的 Link 列中查看接口状态。 可能为连接或中断状态。 可以在 get route id number 命令的 Status 字段以及 WebUI 的 Network Routing Routing Entries 页面中查看路由的状态。 如果标有一个星号，则表明该路由处于活动状态。 如果没有星号，则表明该路由处于非活动状态。 跟踪 IP 地址 安全设备可以通过接口跟踪指定的 IP 地址，使得当一个或多个 IP 地址不可到达时，即使。