juniper netscreen FW的常用配置
1.Juniper防火墙管理配置的基本信息
Juniper防火墙常用管理方式:
① 通过Web浏览器方式管理。推荐使用IE浏览器进行登录管理,需要知道防火墙对应端口的管理IP地址;
② 命令行方式。支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接两种命令行登录管理模式。
Juniper防火墙缺省管理端口和IP地址:
① Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理。缺省IP地址为:192.168.1.1/255.255.255.0;
② 缺省IP地址通常设置在防火墙的Trust端口上(NS-5GT)、最小端口编号的物理端口上(NS-25/50/204/208/SSG系列)、或者专用的管理端口上(ISG-1000/2000,NS-5200/5400)。
Juniper防火墙缺省登录管理账号:
① 用户名:netscreen;
② 密 码:netscreen。
2. 配置ns达到内网能访问internet的要求,我们经常使用的方式是nat/route的方式,主要的配置过程为:
NS-5GT NAT/Route模式下的基本配置
注:NS-5GT设备的物理接口名称叫做trust和untrust;缺省Zone包括:trust和untrust,请注意和接口区分开。
① Unset interface trust ip (清除防火墙内网端口的IP地址);
② Set interface trust zone trust(将内网端口trust分配到trust zone);
③ Set interface trust ip 192.168.1.1/24(设置内网端口trust的IP地址,必须先定义zone,之后再定义IP地址);
④ Set interface untrust zone untrust(将外网口untrust分配到untrust zone);
⑤ Set interface untrust ip 10.10.10.1/24(设置外网口untrust的IP地址);
⑥ Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251(设置防火墙对外的缺省路由网关地址);
⑦ Set policy from trust to untrust any any any permit log(定义一条由内网到外网的访问策略。策略的方向是:由zone trust 到 zone untrust, 源地址为:any,目标地址为:any,网络服务为:any,策略动作为:permit允许,log:开启日志记录);
⑧ Save (保存上述的配置文件)。
NS-25-208 NAT/Route模式下的基本配置
① Unset interface ethernet1 ip(清除防火墙内网口缺省IP地址);
② Set interface ethernet1 zone trust(将ethernet1端口分配到trust zone)(初始状态ethernet属于trust,如果以前用过最好用get interface命令查下)
我们在做nat地址转换的时候要注意当前内网接口和外网接口的模式,正常的应该是:内网为nat模式,外网为route模式,如果此例子中的ethernet1的接口为route模式,我们可用下面的命令进行修改:
Set interface ethernet1 nat
③ Set interface ethernet1 ip 192.168.1.1/24(定义ethernet1端口的IP地址);
这个也是初始默认的ip,而且可用于web管理,如果要重新配置其他的ip并且使之可管理,还得加上一条命令)
Set interface Ethernet ip-manage…….
④ Set interface ethernet3 zone untrust(将ethernet3端口分配到untrust zone);
⑤ Set interface ethernet3 ip 10.10.10.1/24(定义ethernet3端口的IP地址);
⑥ Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251(网关地址有isp提供)(定义防火墙对外的缺省路由网关);
⑦ Set policy from trust to untrust any any any permit log(定义由内网到外网的访问控制策略);
⑧ Save (保存上述的配置文件)
3.Juniper防火墙几种常用功能的配置
这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP(映射IP)、VIP(虚拟IP)和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。
3.1、MIP的配置
MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。
注:MIP配置在防火墙的外网端口(连接Internet的端口)。
3.1.1、使用Web浏览器方式配置MIP
① 登录防火墙,将防火墙部署为三层模式(NAT或路由模式);
② 定义MIP:Network=>Interface=>ethernet2=>MIP,配置实现MIP的地址映射。Mapped IP:公网IP地址,Host IP:内网服务器IP地址
③ 定义策略:在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。
3.1.2、使用命令行方式配置MIP
① 配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
② 定义MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr
③ 定义策略
set policy from untrust to trust any mip(1.1.1.5) http permit
save
3.2、VIP的配置
MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110.443等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。
注:VIP配置在防火墙的外网连接端口上(连接Internet的端口)。
3.2.1、使用Web浏览器方式配置VIP
① 登录防火墙,配置防火墙为三层部署模式。
② 添加VIP:Network=>Interface=>ethernet8=>VIP
③ 添加与该VIP公网地址相关的访问控制策略。
3.2.2、使用命令行方式配置VIP
<!--[if !supportLists]-->1. <!--[endif]-->① 配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
② 定义VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
③ 定义策略
set policy from untrust to trust any vip(1.1.1.10) http permit (此处不能把目标地址设为any)
save
注:VIP的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。
使用Web浏览器方式配置DIP
① 登录防火墙设备,配置防火墙为三层部署模式;
② 定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口定义IP地址池;
③ 定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中,启用源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置;
策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT。
使用命令行方式配置DIP
① 配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
② 定义DIP
set interface ethernet3 dip 5 1.1.1.30 1.1.1.30
③ 定义策略
set policy from trust to untrust any any http nat src dip-id 5 permit
save
4、Juniper防火墙一些实用工具
4.1、防火墙配置文件的导出和导入
Juniper防火墙的配置文件的导入导出功能为用户提供了一个快速恢复当前配置的有效的手段。一旦用户不小心因为操作失误或设备损坏更换,都可以利用该功能,实现快速的防火墙配置的恢复,在最短的时间内恢复设备和网络正常工作。
4.1.1、配置文件的导出
配置文件的导出(WebUI):在Configuration > Update > Config File位置,点选:Save to file,将当前的防火墙设备的配置文件导出为一个无后缀名的可编辑文本文件。
配置文件的导出(CLI):ns208-> save config from flash to tftp 1.1.7.250 15Jun03.cfg
4.1.2、配置文件的导入
配置文件的导入(WebUI):在Configuration > Update > Config File位置,1、点选:Merge to Current Configuration,覆盖当前配置并保留不同之处;2、点选:Replace Current Configuration 替换当前配置文件。导入完成之后,防火墙设备会自动重新启动,读取新的配置文件并运行。
配置文件的导入(CLI):ns208-> save config from tftp 1.1.7.250 15June03.cfg to flash
或者ns208-> save config from tftp 1.1.7.250 15June03.cfg merge
4.2、防火墙软件(ScreenOS)更新
关于ScreenOS:
Juniper防火墙的OS软件是可以升级的,一般每一到两个月会有一个新的OS版本发布,OS版本如:5.0.0R11.0,其中R前面的5.0.0是大版本号,这个版本号的变化代表着功能的变化;R后面的11.0是小版本号,这个号码的变化代表着BUG的完善,因此一般建议,在大版本号确定的情况下,选择小版本号大的OS作为当前设备的OS。
关于OS升级注意事项:
升级OS需要一定的时间,根据设备性能的不同略有差异,一般情况下大约需要5分钟的时间。在升级的过程中,一定要保持电源的供应、网线连接的稳定,最好是将防火墙从网络中暂时取出,待OS升级完成后再将防火墙设备接入网络。
ScreenOS升级(WebUI):Configuration > Update > ScreenOS/Keys。
ScreenOS升级(CLI): ns208-> save software from tftp 1.1.7.250 newimage to flash
4.3、防火墙恢复密码及出厂配置的方法
当防火墙密码遗失的情况下,我们只能将防火墙恢复到出厂配置,方法是:
① 记录下防火墙的序列号(又称Serial Number,在防火墙机身上面可找到);
② 使用控制线连接防火墙的Console端口并重起防火墙;
③ 防火墙正常启动到登录界面,是用记录下来的序列号作为登录的用户名/密码,根据防火墙的提示恢复到出厂配置。
5、Juniper防火墙的一些概念
安全区(Security Zone):
Juniper 防火墙增加了全新的安全区域(Security Zone)的概念,安全区域是一个逻辑的结构,是多个处于相同属性区域的物理接口的集合。当不同安全区域之间相互通讯时,必须通过事先定义的策略检查才能通过;当在同一个安全区域进行通讯时,默认状态下允许不通过策略检查,经过配置后也可以强制进行策略检查以提高安全性。
安全区域概念的出现,使防火墙的配置能更灵活同现有的网络结构相结合。以下图为例,通过实施安全区域的配置,内网的不同部门之间的通讯也必须通过策略的检查,进一步提高的系统的安全。
接口(Interface):
信息流可通过物理接口和子接口进出安全区(Security Zone)。为了使网络信息流能流入和流出安全区,必须将一个接口绑定到一个安全区,如果属于第3 层安全区,则需要给接口分配一个 IP地址。
虚拟路由器(Virtual Router):
Juniper防火墙支持虚拟路由器技术,在一个防火墙设备里,将原来单一路由方式下的单一路由表,进化为多个虚拟路由器以及相应的多张独立的路由表,提高了防火墙系统的安全性以及IP地址配置的灵活性。
安全策略(Policy):
Juniper防火墙在定义策略时,主要需要设定源IP地址、目的IP地址、网络服务以及防火墙的动作。在设定网络服务时,Juniper防火墙已经内置预设了大量常见的网络服务类型,同时,也可以由客户自行定义网络服务。
在客户自行定义通过防火墙的服务时,需要选择网络服务的协议,是UDP、TCP还是其它,需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。因此,通过对网络服务的定义,以及IP地址的定义,使Juniper防火墙的策略细致程度大大加强,安全性也提高了。
除了定义上述这些主要参数以外,在策略中还可以定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。通过这些主要的安全元素和附加元素的控制,可以让系统管理员对进出防火墙的数据流量进行严格的访问控制,达到保护内网系统资源安全的目的。
映射IP(MIP):
MIP是从一个 IP 地址到另一个 IP 地址双向的一对一映射。当防火墙收到一个目标地址为 MIP 的内向数据流时,通过策略控制防火墙将数据转发至MIP 指向地址的主机;当MIP映射的主机发起出站数据流时,通过策略控制防火墙将该主机的源 IP 地址转换成 MIP 地址。
虚拟IP(VIP):
VIP是一个通过防火墙外网端口可用的公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且这些服务器是需要对外提供各种服务的。
netscreen配置桥接模式
将要配置桥接模式的接口都不分配IP地址(或分配为0.0.0.0),然后
将它们的Zone都设置为:
v1-trust
v1-untrust
v1-dmz
的其中一个就可以了。当配置第二个接口时系统会提示你有超过一个
接口配置为该区域的桥接接口的。
当一个接口配置v1-trust另一个配置v1-untrust时,要使两者互通需
要在Policies中添加:“允许v1-untrust的Any访问v1-trust的Any”
与“允许v1-trust的Any访问v1-untrust的Any”就可以全通了(PS:
透明模式的策略安全等级划分与路由模式相当)。
配置管理IP需要选定一个名为Vlan1的接口,将其配置IP地址设置为
管理IP地址,并激活WEB UI管理、TELNET管理、PING功能,然后再v1
-trust口激活WEB UI管理、TELNET管理、PING功能就可以在v1-trust
的区域下通过Vlan1接口的管理IP管理防火墙了。需要注意的是,v1-
untrust区域的机器无论进行任何设置都是不能通过Vlan1接口的管理
IP管理防火墙的。
另外,桥接模式支持像传统路由模式下的包过滤策略,但不支持NAT/
PAT等映射策略。
白皮书上的例子:
==================================
管理设置与接口
1. set interface vlan1 ip 209.122.17.252
2. set interface vlan1 manage web
3. set interface vlan1 manage telnet
4. set interface vlan1 manage ping
5. set admin telnet port 5555
6. set interface ethernet1 ip 0.0.0.0/0
7. set interface ethernet1 zone v1-trust
8. set interface ethernet3 ip 0.0.0.0/0
9. set interface ethernet3 zone v1-untrust
10. set interface trust manage web
11. set interface trust manage telnet
12. set interface trust manage ping
路由
13. set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 209.122.17.253 metric 1
(set route 0.0.0.0/0 interface vlan1 gateway 109.122.17.253 mettric 1)
地址
14. set address v1-trust Mail_Server 209.122.17.249/24
15. set address v1-trust FTP_Server 209.122.17.250/24
策略
16. set policy from v1-trust to v1-untrust any any any permit
17. set policy from v1-untrust to v1-trust any Mail_Server mail permit
18. set policy from v1-untrust to v1-trust any FTP_Server ftp-get permit
19. save
