《juniper防火墙详细配置手册簿》由会员分享,可在线阅读,更多相关《juniper防火墙详细配置手册簿(31页珍藏版)》请在金锄头文库上搜索。
1、wordJuniper防火墙简明实用手册版本号:V1.0 / 目录1juniper中文参考手册重点章节导读3第二卷:根本原理3第一章:ScreenOS 体系结构3第二章:路由表和静态路由3第三章:区段3第四章:接口3第五章:接口模式4第六章:为策略构建块4第七章:策略4第八章:地址转换4第十一章:系统参数5第三卷:管理5第一章:管理5监控NetScreen 设备5第八卷:高可用性55故障切换62Juniper防火墙初始化配置和操纵73查看系统概要信息84主菜单常用配置选项导航95Configration配置菜单105.1Date/Time:日期和时间10更新系统镜像和配置文件11更新Scree
2、nOS系统镜像11更新config file配置文件12管理14管理员账户管理145.3.2Permitted IPs:允许哪些主机可以对防火墙进展管理156Networks配置菜单16安全区16接口配置18查看接口状态的概要信息18设置interface接口的根本信息18设置地址转换20设置接口Secondary IP地址24路由设置25查看防火墙路由表设置25创建新的路由条目267Policy策略设置27查看目前策略设置27创建策略288对象Object设置309策略Policy报告Report321 juniper中文参考手册重点章节导读版本:Juniper防火墙5.0中文参考手册,内容
3、非常庞大和繁杂,其中很多介绍和功能实际应用的可能性不大,为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作,下面简单对参考手册中的重点章节进展一个总结和概括,掌握了这些内容大家就可以根本能够完成安全部署和维护的工作。1.1 第二卷:根本原理1.1.1 第一章:ScreenOS 体系结构l 安全区l 安全区接口l 策略1.1.2 第二章:路由表和静态路由l 配置静态路由1.1.3 第三章:区段l 安全区l 配置安全区l 功能区段:HA区段1.1.4 第四章:接口l 接口类型:安全区接口:物理l 接口类型:安全区接口:功能区段接口l 观察接口l 配置安全区接口:将接口绑定到安全区、从安
4、全区解除接口绑定、修改接口、跟踪IP地址l 二级IP地址1.1.5 第五章:接口模式l 透明模式l NAT模式l 路由模式1.1.6 第六章:为策略构建块l 地址:地址条目、地址组l 服务:预定义的服务、定制服务l DIP池:端口地址转换、X例:创建带有PAT的DIP池、X例:修改DIP池、扩展接口和DIPl 时间表1.1.7 第七章:策略l 三种类型的策略l 策略定义l 策略应用1.1.8 第八章:地址转换l 地址转换简介l 源网络地址转换l 目的网络地址转换l 映射IP 地址l 虚拟IP地址1.1.9 第十一章:系统参数l 下载/上传设置和固件l 系统时钟1.2 第三卷:管理1.2.1 第
5、一章:管理l 通过WEB 用户界面进展管理l 通过命令行界面进展管理l 管理的级别:根管理员、可读/ 写管理员、只读管理员、定义Admin用户l 保证管理信息流的安全:更改端口号、更改Admin 登录名和密码、重置设备到出厂缺省设置、限制管理访问1.2.2 监控NetScreen 设备l 储存日志信息l 事件日志l 信息流日志l 系统日志1.3 第八卷:高可用性1.3.1 NSRPl NSRP 概述l NSRP 和NETSCREEN 的操作模式l NSRP集群l VSD组l 同步1.3.2 故障切换l 设备故障切换(NSRP)l VSD 组故障切换(NSRP)l 为设备或VSD 组故障切换配置
6、对象监控2 Juniper防火墙初始化配置和操纵对一台空配置的Juniper防火墙我们可以用两种方法去进展操纵:Console控制台和WEB。1. Console控制台:使用Console线连接到Juniper的防火墙上的Console口,利用超级终端用CLI命令行界面进展配置。2. 使用WEB界面:Juniper防火墙上默认情况下在E1接口trust口有一个初始管理IP地址192.168.1.1 255.255.255.0;我们可以把自己的笔记本和防火墙的E1口用一根交叉线连接起来,然后把本机的地址配置为192.168.1.X 255.255.255.0,之后我们就可以在本机上通过IE浏览器
7、登陆192.168.1.1的地址通过WEB界面对设备进展配置了。注意1:Juniper防火墙接口的WEB管理特性默认只在E1接口trust口才启用,也就是说我们有可能无法通过用WEB登陆其他接口进展操纵,除非我们提前已经打开了相应接口的WEB管理选项。注意2:如果Juniper防火墙上有配置,我们不知道目前E1接口的IP地址,我们可以先通过Console控制台用“get interface的命令看一下目前E1口的IP地址。注意3:Juniper防火墙OS 5.0以上的版本支持MDI和MDIX自适应,也就是说我们的主机和E1口也可以用直通线进展互连,但这种方式有失效的时候,如果出现用交叉线互连物
8、理也无法UP的情况,可以在Console控制台用“ NS208- delete file flash:/ns_sys_config删除配置文件并重起防火墙的方式可以解决(Juniper的BUG)。注:系统默认登陆用户名和口令都是:“netscreen。3 查看系统概要信息使用WEB登陆防火墙的管理地址,进入GUI管理界面,如上图所示。l 左边是主配置菜单。l 右边最上方是系统启动以与时间信息,右上角显示主机名。l Device information:设备信息,显示设备硬软件版本、序列号以与主机名。l Interface link status:接口链路状态,显示接口所属区和链路UP/DOWN
9、信息。l Resources Status:资源状况,显示系统CPU和内存使用率以与目前的会话和策略是系统满负荷的比例。其中注意内存使用率是不真实的,在系统空负荷的情况下内存占用率也会很高,是系统本身设计的问题。l The most recent alarms:系统最近的报警信息l The most recent events:系统最近的通告信息4 主菜单常用配置选项导航在主菜单中我们经常用到的配置菜单如下,后面将针对这些常用配置选项进展详细的介绍。1. Configuration:Date/Time;Update;Admin;Auth;Report Settings2. Network:Zo
10、nes;Interfaces;Routing;NSRP3. Polices4. Objects:Addresses;Services5. Reports:Polices只要能够熟练掌握以上设置选项,就足以应对外网改造和日常维护的工作。5 Configration配置菜单5.1 Date/Time:日期和时间准确设置Juniper防火墙的时钟主要是为了使LOG信息都带有正确的时间以便于分析和排错,设置时钟主要有三种方法。1. 用CLI命令行设置:set clock mm/dd/yyyy hh:mm:ss 。2. 用WEB界面使用和客户端本机的时钟同步:简单实用。3. 用WEB界面配置NTP和NT
11、P服务器的时钟同步。5.2 Update更新系统镜像和配置文件5.2.1 更新ScreenOS系统镜像5.2.2 更新config file配置文件l 在这个菜单中我们可以查看目前文本形式的配置文件,把目前的配置文件导出进展备份,以与替换和更新目前的配置。l 注意单项选择框默认是点选在“Merge to Current Configration即和目前配置融合的位置,而我们一般是要完全替换目前的配置文件的,因此一定要注意把单项选择框点击到“Replace Current Configration。l 当进展配置替换的之后系统会自动重起使新配置生效。l TIP:进展配置的替换必须用ROOT用户进
12、展登陆,用ReadWrite用户进展登陆是无法进展配置的替换操纵的,只有融合配置的选项,替换目前配置的选项将会隐藏不可见,如如下图所示:l5.3 Admin管理5.3.1 Administrators管理员账户管理l 只有用根ROOT用户才能够创建管理员账户。l 可以进展ROOT用户账户用户名和密码的更改,但此账户不能被删除。l 可以创建只读账户和读写账户,其中读写账户可以对设备的大局部配置进展更改。5.3.2 Permitted IPs:允许哪些主机可以对防火墙进展管理6 Networks配置菜单6.1 Zone安全区l 查看目前的安全区设置l 安全区内必须有物理接口才会有实际意义,每一个安
13、全区同时可以包含多个物理接口,但每一个物理接口同时只能属于一个安全区。l 几个系统默认的安全区和接口:1:Trust区包含ETH1口2:Untrust区包含ETH4口3:DMZ区包含ETH3口其他区必须进展手工创建并把相应物理接口放入安全区内。l 虚拟路由我们统一选Trust-Vr,多个VR对我们没有太大意义,不建议使用。l 创建新的安全区:l 在输入安全区名称后其余选项均保持默认值即可。6.2 Interfaces接口配置6.2.1 查看接口状态的概要信息l 接口概要显示接口的IP地址信息,所属安全区,接口类型和链路的状态。其中接口类型除非是防火墙使用透明模式,否如此都会是Layer3三层的
14、。6.2.2 设置interface接口的根本信息接口根本配置包括接口的IP地址掩码,是否可以被管理,接口的模式以与接口的管理特性选项。l 最上面的几个是配置NAT地址转换以与IP跟踪等高级特性的。l 下面那个其中需要大家配置的地方是设置此物理接口属于哪个安全区,从下拉框中点选,其他选项保持不变即可。l Staitc IP选择框是设置接口的IP地址和掩码信息的,其中有一个Mangeable的选项,只有选中我们才可以通过WEB或TELNET登陆此地址进展管理。Manage IP框保持为空的时候系统会自动把实际IP作为管理IP自动加上。l 接口模式有路由模式和NAT模式:NAT模式:从此接口进入从
15、其他口流出的流量源地址都会做转换,即使我们在策略中不引用转换地址池,源地址都会转换为出站的接口地址。路由模式:除非我们在策略定义中明确引用了转换地址池,否如此源地址都不会做转换。由于路由模式比NAT模式更灵活,所以我们一般都会用路由模式。l ETH1口默认是NAT模式,一定要注意把其更改为Route路由模式。l Service options服务选项:设置此接口是否允许被PING,WEB或TELNET等方式进展管理,默认情况下ETH1内网口的都是打开的,而ETH4口(外网口)的WEB和TELNET管理选项是关闭的,也就是说如果我们想从外网登陆ETH4口的IP进展管理,必须把相应的WEB或TELNET选项点中。l 最后的配置框可以保持默认值。6.2.3 设置地址转换
