juniper防火墻詳細配置手冊

Juniper防火墻簡明實用手冊

（版本號：VI.0）

目.錄

1juniper中文參考手冊重點章節導讀...............................4

1.1第二卷：基本原理

4

LL1第一章*?ScreenOS體系結構

4

LL2第二章*■路由表和靜態路由

4

1?1?3第章?區段

4

LL4第四章*?接口

4

LL5第五章*接口模式

5

1.1?6第六章*為策略構建塊

5

LL7第七章?策略

5

LL8第八章?*地址轉換

5

1.1?9第十-章*■系統參數

6

1.2第卷*?管理

6

121第章*?管理

6

122監控NetScrcen設備

6

1.3第八卷?高可用性

第1頁

1.3.1...............................................................................................NSRP

6

L3.2故障切換

2Juniper防火墻初始化配置和操縱.........8

3查看系統概要信息..................................................9

4主菜單常用配置選項導航...........................................10

5Confixration配置菜單...................11

5?]Date/Time:日期和時間

11

5.21Jpdate更新系統鏡像和配置文件

12

5.2.1更新ScreenOS系統鏡像

12

5?2?2更新configfile配置文件

13

5.3Admin管理

15

5.3.1Administrators管理員賬戶管理

15

5.3.2PermittedIPs：允許哪些主機可以對防火墻進行管理

16

6Nclworks配置菜單...............................................17

61Zone安全區

17

6?2[nterfaces接口配置

19

621查看接口狀態的概要信息

19

第2頁

6?2?2設置interface接口的基本信息

19

623設置地址轉換

21

6.2.4設置接口SecondaryIP地址

25

6?3Routing路由設置

26

631查看防火墻路由表設置

26

632倉I建新的路由條目

27

7Policy策略設置..........................28

7.1查看目前策略設置

28

7?2創建策略

29

8對象Object設置.................................................31

9策略Policy報告Report....................................33

第3頁

-???

1juniper中文參考手冊重點章節導讀

版本：Juniper防火墻5.0中文參考手冊，內容非常龐大和繁雜，其中很多

介紹和功能實際應用的可能性不大，為了讓大家盡快用最短的時間內掌握

Juniper防火墻的實際操作，下面簡單對參考手冊中的重點章節進行一個總結和

概括，掌握了這些內容大家就可以基本能夠完成安全部署和維護的工作。

1.1第二卷：基本原理

L1.1第一章：ScreenOS體系結構

?安全區

?安全區接口

?策略

1.1.2第二章：路由表和靜態路由

?配置靜態路由

1.1?3第三章：區段

?安全區

?配置安全區

?功能區段：HA區段

LL4第四章：接口

?接口類型：安全區接口：物理

?接口類型：安全區接口：功能區段接口

?察看接口

?配置安全區接口，將接口綁定到安全區、從安全區解除接口綁定、修

4

改接口、跟蹤IP地址

?二級IP地址

1.1.5第五章：接口模式

?透明模式

?NAT模式

?路由模式

1.1.6第六章：為策略構建塊

?地址：地址條目、地址組

?服務：預定義的服務、定制服務

?DIP池：端口地址轉換、范例：創建帶有PAT的DIP池、范例：修

改DIP池、擴展接口和DIP

?時間表

1.1.7第七章：策略

?三種類型的策略

?策略定義

?策略應用

1.1.8第八章：地址轉換

?地址轉換簡介

?源網絡地址轉換

?目的網絡地址轉換

?映射IP地址

?虛擬IP地址

5

-???

1.1.9第十一章：系統參數

?下載/上傳設置和固件

?系統時鐘

1.2第三卷：管理

1.2.1第一章：管理

?通過WEB用戶界面進行管理

?通過命令行界面進行管理

?管理的級別：根管理員、可讀/寫管理員、只讀管理員、定義Admin

用戶

?保證管理信息流的安全：更改端口號、更改Admin登錄名和密碼、

重置設備到出廠缺省設置、限制管理訪問

1.2.2監控NetScreen設備

?儲存日志信息

?事件日志

?信息流日志

?系統日志

1.3第八卷：高可用性

1.3.1NSRP

?NSRP概述

?NSRP和NETSCREEN的操作模式

?NSRP集群

?VSD組

6

????

?同步

1.3.2故障切換

?設備故障切換(NSRP)

?VSD組故障切換(NSRP)

?為設備或VSD組故障切換配置對象監控

7

-???

2Juniper防火墻初始化配置和操縱

對一臺空配置的Juniper防火墻我們可以用兩種方法去進行操縱：Console

控制臺和WEB。

1.Console控制臺：使用Console線連接到Juniper的防火墻上的Console

口，利用超級終端用CLI命令行界面進行配置。

2.使用WEB界面：Juniper防火墻上默認情況下在E1接口（trust）口有

一個初始管理IP地址192.168.1.1255.255.255.0；我們可以把自己

的筆記本和防火墻的E1口用一根交叉線連接起來，然后把本機的地址

配置為192.168.1.X255.255.255.0,之后我們就可以在本機上通過IE

瀏覽器登陸192,168.1.1的地址通過WEB界面對設備進行配置了。

注意1：Juniper防火墻接口的WEB管理特性默認只在E1接口（trust）口才啟

用，也就是說我們有可能無法通過用WEB登陸其他接口進行操縱，除非我們提

前已經打開了相應接口的WEB管理選項。

注意2：如果Juniper防火墻上有配置，我們不知道目前E1接口的IP地址，我

們可以先通過Console控制臺用“getinterfacew的命令看一下目前El口的

IP地址。

注意3：Juniper防火墻0S5.0以上的版本支持MDI和MDIX自適應，也就是說

我們的主機和E1口也可以用直通線進行互連，但這種方式有失效的時候，如果

出現用交叉線互連物理也無法UP的情況，可以在Console控制臺用

"NS208->deletefileflash:/ns_sys_configw刪除配置文件并重起防

火墻的方式可以解決（Juniper的BUG）。

注：系統默認登陸用戶名和口令都是："ne&reen”。

8

-???

3查看系統概要信息

使用WEB登陸防火墻的管理地址，進入GUI管理界面，如上圖所示。

?左邊是主配置菜單。

?右邊最上方是系統啟動以及時間信息，右上角顯示主機名。

?Deviceinformation：設備信息，顯示設備硬軟件版本、序列號以及主機名。

?Interfacelinkstatus：接口鏈路狀態，顯示接口所屬區和鏈路UP/DOWN

信息。

?ResourcesStatus：資源狀況，顯示系統CPU和內存使用率以及目前的會話

和策略是系統滿負荷的比例。（其中注意內存使用率是不真實的，在系統空

負荷的情況下內存占用率也會很高，是系統本身設計的問題）。

?Themostrecentalarms：系統最近的報警信息

9

-???

?Themostrecentevents：系統最近的通告信息

4主菜單常用配置選項導航

在主菜單中我們經常用到的配置菜單如下，后面將針對這些常用配置選項

進行詳細的介紹。

1.Configuration：Date/Time；Update；Admin；Auth；ReportSettings

2.Network：Zones；Interfaces；Routing；NSRP

3.Polices

4.Objects：Addresses；Services

5.Reports：Polices

只要能夠熟練掌握以上設置選項，就足以應對外網改造和日常維護的工作。

10

????

5Configration配置菜單

5.1Date/Time:日期和時間

準確設置Juniper防火墻的時鐘主要是為了使LOG信息都帶有正確的時間

以便于分析和排錯，設置時鐘主要有三種方法。

1.用CLI命令行設置：setclockmm/dd/yyyyhh:mm:ss。

2.用WEB界面使用和客戶端本機的時鐘同步：簡單實用。

3.用WEB界面配置NTP和NTP服務器的時鐘同步。

11

????

5.2Update更新系統鏡像和配置文件

5.2.1更新ScreenOS系統鏡像

12

-???

5.2.2更新configfile配置文件

?在這個菜單中我們可以查看目前文本形式的配置文件，把目前的配置文件導

出進行備份，以及替換和更新目前的配置。

?注意單選框默認是點選在“MergetoCurrentConfigrationw即和目前配置

融合的位置，而我們一般是要完全替換目前的配置文件的，因此一定要注意

把單選框點擊到"ReplaceCurrentContigration

?當進行配置替換的之后系統會自動重起使新配置生效。

?TIP：進行配置的替換必須用ROOT用戶進行登陸，用Read-Write用戶

進行登陸是無法進行配置的替換操縱的，只有融合配置的選項，替換目前配

置的選項將會隱藏不可見，如下圖所示：

13

????

UploadConfigurationtoDevice

GMergetoCurrentConfiguration

NewConfigurationFile|瀏覽..，|

ApplyCancel1

14

-???

5.3Admin管理

5.3.1Administrators管理員賬戶管理

?只有用根ROOT用戶才能夠創建管理員賬戶。

?可以進行ROOT用戶賬戶用戶名和密碼的更改，但此賬戶不能被刪除。

?可以創建只讀賬戶和讀寫賬戶，其中讀寫賬戶可以對設備的大部分配置進行

更改。

15

????

5.3.2PermittedIPs：允許哪些主機可以對防火墻進行管理

16

-???

6Networks配置菜單

6.1Zone安全區

?查看目前的安全區設置

?安全區內必須有物理接口才會有實際意義，每一個安全區同時可以包含多個

物理接口，但每一個物理接口同時只能屬于一個安全區。

?幾個系統默認的安全區和接口：

1:Trust區包含ETH1口

2：Untrust區包含ETH4口

3：DMZ區包含ETH3口

其他區必須進行手工創建并把相應物理接口放入安全區內。

?虛擬路由我們統一選Trust-Vr,多個VR對我們沒有太大意義，不建議使用。

17

????

?創建新的安全區:

?在輸入安全區名稱后其余選項均保持默認值即可。

18

-???

6.2Interfaces接口配置

6.2.1查看接口狀態的概要信息

?接口概要顯示接口的IP地址信息，所屬安全區，接口類型和鏈路的狀態。

其中接口類型除非是防火墻使用透明模式，否則都會是Layer3三層的c

6.2.2設置interface接口的基本信息

接口基本配置包括接口的IP地址掩碼，是否可以被管理，接口的模式以及

接口的管理特性選項。

19

-???

?最上面的幾個鏈接是配置NAT地址轉換以及IP跟蹤等高級特性的。

?下面那個其中需要大家配置的地方是設置此物理接口屬于哪個安全區，從下

拉框中點選，其他選項保持不變即可。

?StaitcIP選擇框是設置接口的IP地址和掩碼信息的，其中有一個Mangeable

的選項，只有選中我們才可以通過WEB或TELNET登陸此地址進行管理。

ManageIP框保持為空的時候系統會自動把實際IP作為管理IP自動加上。

?接口模式有路由模式和NAT模式：

NAT模式：從此接口進入從其他口流出的流量源地址都會做轉換，即使我

們在策略中不引用轉換地址池，源地址都會轉換為出站的接口地址。

路由模式：除非我們在策略定義中明確引用了轉換地址池，否則源地址都不

會做轉換。

由于路由模式比NAT模式更靈活，所以我們一般都會用路由模式。

?ETH1口默認是NAT模式，一定要注意把其更改為Route路由模式。

20

-???

?Serviceoptions服務選項：設置此接口是否允許被PING,WEB或TELNET

等方式進行管理，默認情況下ETH1（內網口）的都是打開的，而ETH4口

（外網口）的WEB和TELNET管理選項是關閉的，也就是說如果我們想從外

網登陸ETH4口的IP進行管理,必須把相應的WEB或TELNET選項點中。

?最后的配置框可以保持默認值。

6.2.3設置地址轉換

Juniper防火墻的地址轉換有三種方式：MIP.靜態一對一地址轉換；VIP-

虛擬一對多地址轉換；DIP-動態多對多地址轉換。

由于MIP和VIP地址轉換有一些規則限制，比如要轉換外網發起流量的源

地址的時候，轉換后的地址必須和ETH1內網口在同一個子網，否則無法配置。

而DIP不受此規則的影響，同時可以完成MIP和VIP的功能，應用和設置比較

靈活，因此我們建議地址轉換統一采用DIP的方式。

6?2.3.1配置MIP靜態地址轉換

21

????

?配置MIP靜態地址映射的時候要注意轉換后的虛擬地址要在數據流的出站

接口上進行配置：例如流量從E1口入從E4口出，192.168.L1訪問外網，

我們把192168.1.1的地址轉換為那么這個1.1.1.1的地址的MIP是

做在出站接口，也就是E4口上的。

?新建MIP靜態地址映射

?當使用靜態MIP地址映射時，對方發起的數據流的目的地地址要注意設置

為MIP后的地址。

22

-???

6?2.3.2設置DIP動態地址轉換

?DIP動態地址轉換可以實現一對一，一對多，多對一和多對多的訪問。

?DIP地址池和MIP一樣要設置在出站接口上來實現源地址的翻譯。

?DIP地址池可以和出站接口不再一個網段（使用擴展IP技術）。

?如果訪問是多對一的（多個客戶端訪問一個服務器），必須使用Port-Xlate

端口轉換特性（默認設置，建議都使用這種方式）。

?如果DIP被策略引用則無法編輯和更改，必須先移除策略后才可以編輯。

?創建新的DIP地址池：

23

-???

?如果DIP地址池和出站接口不在同一網段必須使用擴展IP特性，把選擇框

選擇到下方"Inthesameastheextendedip”,并輸入一個擴展IP的地址。

?例如出站接口是9X.2.244.1/28,而源地址出站時我們想轉換成192.168.1.X

的地址，那么在擴展IP框中我們可以輸入192.168.1.0/24o

?擴展IP地址可以使用一個地址也可以用一個網段，推薦使用網段的方式。

?同一DIP地址網段可以同時分布在多個接口上，比如9X.2.18.0虛擬地址簿

可以同時設置在El、E2和E3口上。

?但同一個DIP地址只能同時設置在一個接口上，比如9X.2.18.1地址只能設

置在E1或E2或E3口上，不能同時在多個接口上都設置9X.2.18.1o

24

????

6.2.4設置接口SecondaryIP地址

25

-???

6.3Routing路由設置

Juniper防火墻我們一般僅使用靜態路由，靜態路由的選路規則和路由器基

本相同，例如最長掩碼匹配優先，接口如果DOWN,相應靜態條目會消失，

6.3.1查看防火墻路由表設置

?路由我們統一都設在trust-vi?中（默認選項）。

?只有帶號的才表示路由有效，等同于路由器showiproute的效果。

?添加的路由條目只能刪除，無法編輯。

26

,

6.3.2創建新的路由條目

文件(Z)M(X)查看9XAtX)?*>QP

]??刖e??a.,

02?htalK?*

Network>Routing>RoutingEntries>ConfigurationYN02FW0

VirtualRouterNametru$t-vr

NetworkAddress/Netmask「/|255.255.2SS.O目標地址段

Heine

?ConflgiHalion

]Network「NextHopVirtualRouterName|untru*t-vrjJ?不用,默認值，一審要點選一卜向

Binding

DNS廿Gateway?—要點中GateWiy

Zones

interface3?.―漸送tl撮口

IrrtMixes

DHCPGatewayIPAddress(00.0.0?下一跳網關地址

PPPoE

Metric11

Rosing

RoUmgEnines

Tag(u-

SourceRovtvig

VirtualRoutes

NSRP

Satening

PoliciM

?目標地址段可以寫IP/it碼也可以寫IP/前綴；如100.1.1.0255.255.255.0或

者100.1.1.0/24。

?下一跳默認都是點在NextHopVirtualRouterName；一定要注意改點到

Gateway處，否則路由不生效。

?接口和下一跳網關地址都要選擇和輸入。

27

-???

7Policy策略設置

7.1查看目前策略設置

?可以選擇查看從某個源安全區到某個目的安全區的策略，也可以選擇從ALL

到ALL來查看所有的策略。

?Service是系統預定義或我們自定義的服務端口號。

?Action動作是指策略是允許或拒絕，允許是一個對勾，拒絕是一個X,另外

如果是綠色圖表說明沒有做源地址轉換，藍色圖表說明做了源地址轉換。

?在Option下如果有一個小記事本的圖表，說明我們要記錄此數據流，當數

據流通過時可以看到詳細的地址轉換情況。

?生效：可以通過取消對勾讓本策略暫時失效。