juniper netscreen FW的常用配置
1.Juniper防火牆管理配置的基本信息
Juniper防火牆常用管理方式:
① 通過Web瀏覽器方式管理。推薦使用IE瀏覽器進行登錄管理,需要知道防火牆對應端口的管理IP地址;
② 命令行方式。支持通過Console端口超級終端連接和Telnet防火牆管理IP地址連接兩種命令行登錄管理模式。
Juniper防火牆缺省管理端口和IP地址:
① Juniper防火牆出廠時可通過缺省設置的IP地址使用Telnet或者Web方式管理。缺省IP地址爲:192.168.1.1/255.255.255.0;
② 缺省IP地址通常設置在防火牆的Trust端口上(NS-5GT)、最小端口編號的物理端口上(NS-25/50/204/208/SSG系列)、或者專用的管理端口上(ISG-1000/2000,NS-5200/5400)。
Juniper防火牆缺省登錄管理賬號:
① 用戶名:netscreen;
② 密 碼:netscreen。
2. 配置ns達到內網能訪問internet的要求,我們經常使用的方式是nat/route的方式,主要的配置過程爲:
NS-5GT NAT/Route模式下的基本配置
注:NS-5GT設備的物理接口名稱叫做trust和untrust;缺省Zone包括:trust和untrust,請注意和接口區分開。
① Unset interface trust ip (清除防火牆內網端口的IP地址);
② Set interface trust zone trust(將內網端口trust分配到trust zone);
③ Set interface trust ip 192.168.1.1/24(設置內網端口trust的IP地址,必須先定義zone,之後再定義IP地址);
④ Set interface untrust zone untrust(將外網口untrust分配到untrust zone);
⑤ Set interface untrust ip 10.10.10.1/24(設置外網口untrust的IP地址);
⑥ Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251(設置防火牆對外的缺省路由網關地址);
⑦ Set policy from trust to untrust any any any permit log(定義一條由內網到外網的訪問策略。策略的方向是:由zone trust 到 zone untrust, 源地址爲:any,目標地址爲:any,網絡服務爲:any,策略動作爲:permit允許,log:開啓日誌記錄);
⑧ Save (保存上述的配置文件)。
NS-25-208 NAT/Route模式下的基本配置
① Unset interface ethernet1 ip(清除防火牆內網口缺省IP地址);
② Set interface ethernet1 zone trust(將ethernet1端口分配到trust zone)(初始狀態ethernet屬於trust,如果以前用過最好用get interface命令查下)
我們在做nat地址轉換的時候要注意當前內網接口和外網接口的模式,正常的應該是:內網爲nat模式,外網爲route模式,如果此例子中的ethernet1的接口爲route模式,我們可用下面的命令進行修改:
Set interface ethernet1 nat
③ Set interface ethernet1 ip 192.168.1.1/24(定義ethernet1端口的IP地址);
這個也是初始默認的ip,而且可用於web管理,如果要重新配置其他的ip並且使之可管理,還得加上一條命令)
Set interface Ethernet ip-manage…….
④ Set interface ethernet3 zone untrust(將ethernet3端口分配到untrust zone);
⑤ Set interface ethernet3 ip 10.10.10.1/24(定義ethernet3端口的IP地址);
⑥ Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251(網關地址有isp提供)(定義防火牆對外的缺省路由網關);
⑦ Set policy from trust to untrust any any any permit log(定義由內網到外網的訪問控制策略);
⑧ Save (保存上述的配置文件)
3.Juniper防火牆幾種常用功能的配置
這裏講述的Juniper防火牆的幾種常用功能主要是指基於策略的NAT的實現,包括:MIP(映射IP)、VIP(虛擬IP)和DIP,這三種常用功能主要應用於防火牆所保護服務器提供對外服務。
3.1、MIP的配置
MIP是“一對一”的雙向地址翻譯(轉換)過程。通常的情況是:當你有若干個公網IP地址,又存在若干的對外提供網絡服務的服務器(服務器使用私有IP地址),爲了實現互聯網用戶訪問這些服務器,可在Internet出口的防火牆上建立公網IP地址與服務器私有IP地址之間的一對一映射(MIP),並通過策略實現對服務器所提供服務進行訪問控制。
注:MIP配置在防火牆的外網端口(連接Internet的端口)。
3.1.1、使用Web瀏覽器方式配置MIP
① 登錄防火牆,將防火牆部署爲三層模式(NAT或路由模式);
② 定義MIP:Network=>Interface=>ethernet2=>MIP,配置實現MIP的地址映射。Mapped IP:公網IP地址,Host IP:內網服務器IP地址
③ 定義策略:在POLICY中,配置由外到內的訪問控制策略,以此允許來自外部網絡對內部網絡服務器應用的訪問。
3.1.2、使用命令行方式配置MIP
① 配置接口參數
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
② 定義MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr
③ 定義策略
set policy from untrust to trust any mip(1.1.1.5) http permit
save
3.2、VIP的配置
MIP是一個公網IP地址對應一個私有IP地址,是一對一的映射關係;而VIP是一個公網IP地址的不同端口(協議端口如:21、25、110.443等)與內部多個私有IP地址的不同服務端口的映射關係。通常應用在只有很少的公網IP地址,卻擁有多個私有IP地址的服務器,並且,這些服務器是需要對外提供各種服務的。
注:VIP配置在防火牆的外網連接端口上(連接Internet的端口)。
3.2.1、使用Web瀏覽器方式配置VIP
① 登錄防火牆,配置防火牆爲三層部署模式。
② 添加VIP:Network=>Interface=>ethernet8=>VIP
③ 添加與該VIP公網地址相關的訪問控制策略。
3.2.2、使用命令行方式配置VIP
<!--[if !supportLists]-->1. <!--[endif]-->① 配置接口參數
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
② 定義VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
③ 定義策略
set policy from untrust to trust any vip(1.1.1.10) http permit (此處不能把目標地址設爲any)
save
注:VIP的地址可以利用防火牆設備的外網端口地址實現(限於低端設備)。
使用Web瀏覽器方式配置DIP
① 登錄防火牆設備,配置防火牆爲三層部署模式;
② 定義DIP:Network=>Interface=>ethernet3=>DIP,在定義了公網IP地址的untrust端口定義IP地址池;
③ 定義策略:定義由內到外的訪問策略,在策略的高級(ADV)部分NAT的相關內容中,啓用源地址NAT,並在下拉菜單中選擇剛剛定義好的DIP地址池,保存策略,完成配置;
策略配置完成之後擁有內部IP地址的網絡設備在訪問互聯網時會自動從該地址池中選擇一個公網IP地址進行NAT。
使用命令行方式配置DIP
① 配置接口參數
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
② 定義DIP
set interface ethernet3 dip 5 1.1.1.30 1.1.1.30
③ 定義策略
set policy from trust to untrust any any http nat src dip-id 5 permit
save
4、Juniper防火牆一些實用工具
4.1、防火牆配置文件的導出和導入
Juniper防火牆的配置文件的導入導出功能爲用戶提供了一個快速恢復當前配置的有效的手段。一旦用戶不小心因爲操作失誤或設備損壞更換,都可以利用該功能,實現快速的防火牆配置的恢復,在最短的時間內恢復設備和網絡正常工作。
4.1.1、配置文件的導出
配置文件的導出(WebUI):在Configuration > Update > Config File位置,點選:Save to file,將當前的防火牆設備的配置文件導出爲一個無後綴名的可編輯文本文件。
配置文件的導出(CLI):ns208-> save config from flash to tftp 1.1.7.250 15Jun03.cfg
4.1.2、配置文件的導入
配置文件的導入(WebUI):在Configuration > Update > Config File位置,1、點選:Merge to Current Configuration,覆蓋當前配置並保留不同之處;2、點選:Replace Current Configuration 替換當前配置文件。導入完成之後,防火牆設備會自動重新啓動,讀取新的配置文件並運行。
配置文件的導入(CLI):ns208-> save config from tftp 1.1.7.250 15June03.cfg to flash
或者ns208-> save config from tftp 1.1.7.250 15June03.cfg merge
4.2、防火牆軟件(ScreenOS)更新
關於ScreenOS:
Juniper防火牆的OS軟件是可以升級的,一般每一到兩個月會有一個新的OS版本發佈,OS版本如:5.0.0R11.0,其中R前面的5.0.0是大版本號,這個版本號的變化代表着功能的變化;R後面的11.0是小版本號,這個號碼的變化代表着BUG的完善,因此一般建議,在大版本號確定的情況下,選擇小版本號大的OS作爲當前設備的OS。
關於OS升級注意事項:
升級OS需要一定的時間,根據設備性能的不同略有差異,一般情況下大約需要5分鐘的時間。在升級的過程中,一定要保持電源的供應、網線連接的穩定,最好是將防火牆從網絡中暫時取出,待OS升級完成後再將防火牆設備接入網絡。
ScreenOS升級(WebUI):Configuration > Update > ScreenOS/Keys。
ScreenOS升級(CLI): ns208-> save software from tftp 1.1.7.250 newp_w_picpath to flash
4.3、防火牆恢復密碼及出廠配置的方法
當防火牆密碼遺失的情況下,我們只能將防火牆恢復到出廠配置,方法是:
① 記錄下防火牆的序列號(又稱Serial Number,在防火牆機身上面可找到);
② 使用控制線連接防火牆的Console端口並重起防火牆;
③ 防火牆正常啓動到登錄界面,是用記錄下來的序列號作爲登錄的用戶名/密碼,根據防火牆的提示恢復到出廠配置。
5、Juniper防火牆的一些概念
安全區(Security Zone):
Juniper 防火牆增加了全新的安全區域(Security Zone)的概念,安全區域是一個邏輯的結構,是多個處於相同屬性區域的物理接口的集合。當不同安全區域之間相互通訊時,必須通過事先定義的策略檢查才能通過;當在同一個安全區域進行通訊時,默認狀態下允許不通過策略檢查,經過配置後也可以強制進行策略檢查以提高安全性。
安全區域概念的出現,使防火牆的配置能更靈活同現有的網絡結構相結合。以下圖爲例,通過實施安全區域的配置,內網的不同部門之間的通訊也必須通過策略的檢查,進一步提高的系統的安全。
接口(Interface):
信息流可通過物理接口和子接口進出安全區(Security Zone)。爲了使網絡信息流能流入和流出安全區,必須將一個接口綁定到一個安全區,如果屬於第3 層安全區,則需要給接口分配一個 IP地址。
虛擬路由器(Virtual Router):
Juniper防火牆支持虛擬路由器技術,在一個防火牆設備裏,將原來單一路由方式下的單一路由表,進化爲多個虛擬路由器以及相應的多張獨立的路由表,提高了防火牆系統的安全性以及IP地址配置的靈活性。
安全策略(Policy):
Juniper防火牆在定義策略時,主要需要設定源IP地址、目的IP地址、網絡服務以及防火牆的動作。在設定網絡服務時,Juniper防火牆已經內置預設了大量常見的網絡服務類型,同時,也可以由客戶自行定義網絡服務。
在客戶自行定義通過防火牆的服務時,需要選擇網絡服務的協議,是UDP、TCP還是其它,需要定義源端口或端口範圍、目的端口或端口範圍、網絡服務在無流量情況下的超時定義等。因此,通過對網絡服務的定義,以及IP地址的定義,使Juniper防火牆的策略細緻程度大大加強,安全性也提高了。
除了定義上述這些主要參數以外,在策略中還可以定義用戶的認證、在策略裏定義是否要做地址翻譯、帶寬管理等功能。通過這些主要的安全元素和附加元素的控制,可以讓系統管理員對進出防火牆的數據流量進行嚴格的訪問控制,達到保護內網系統資源安全的目的。
映射IP(MIP):
MIP是從一個 IP 地址到另一個 IP 地址雙向的一對一映射。當防火牆收到一個目標地址爲 MIP 的內向數據流時,通過策略控制防火牆將數據轉發至MIP 指向地址的主機;當MIP映射的主機發起出站數據流時,通過策略控制防火牆將該主機的源 IP 地址轉換成 MIP 地址。
虛擬IP(VIP):
VIP是一個通過防火牆外網端口可用的公網IP地址的不同端口(協議端口如:21、25、110等)與內部多個私有IP地址的不同服務端口的映射關係。通常應用在只有很少的公網IP地址,卻擁有多個私有IP地址的服務器,並且這些服務器是需要對外提供各種服務的。
netscreen配置橋接模式
將要配置橋接模式的接口都不分配IP地址(或分配爲0.0.0.0),然後
將它們的Zone都設置爲:
v1-trust
v1-untrust
v1-dmz
的其中一個就可以了。當配置第二個接口時系統會提示你有超過一個
接口配置爲該區域的橋接接口的。
當一個接口配置v1-trust另一個配置v1-untrust時,要使兩者互通需
要在Policies中添加:“允許v1-untrust的Any訪問v1-trust的Any”
與“允許v1-trust的Any訪問v1-untrust的Any”就可以全通了(PS:
透明模式的策略安全等級劃分與路由模式相當)。
配置管理IP需要選定一個名爲Vlan1的接口,將其配置IP地址設置爲
管理IP地址,並激活WEB UI管理、TELNET管理、PING功能,然後再v1
-trust口激活WEB UI管理、TELNET管理、PING功能就可以在v1-trust
的區域下通過Vlan1接口的管理IP管理防火牆了。需要注意的是,v1-
untrust區域的機器無論進行任何設置都是不能通過Vlan1接口的管理
IP管理防火牆的。
另外,橋接模式支持像傳統路由模式下的包過濾策略,但不支持NAT/
PAT等映射策略。
白皮書上的例子:
==================================
管理設置與接口
1. set interface vlan1 ip 209.122.17.252
2. set interface vlan1 manage web
3. set interface vlan1 manage telnet
4. set interface vlan1 manage ping
5. set admin telnet port 5555
6. set interface ethernet1 ip 0.0.0.0/0
7. set interface ethernet1 zone v1-trust
8. set interface ethernet3 ip 0.0.0.0/0
9. set interface ethernet3 zone v1-untrust
10. set interface trust manage web
11. set interface trust manage telnet
12. set interface trust manage ping
路由
13. set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 209.122.17.253 metric 1
(set route 0.0.0.0/0 interface vlan1 gateway 109.122.17.253 mettric 1)
地址
14. set address v1-trust Mail_Server 209.122.17.249/24
15. set address v1-trust FTP_Server 209.122.17.250/24
策略
16. set policy from v1-trust to v1-untrust any any any permit
17. set policy from v1-untrust to v1-trust any Mail_Server mail permit
18. set policy from v1-untrust to v1-trust any FTP_Server ftp-get permit
19. save