Juniper防火墻安裝配置手冊可編輯范本

JUNIPERJUNIPER火墻快速安裝手冊第第1頁共70頁HYPERLINK/juniper/index.asp/juniper/index.aspJｕniｐer網(wǎng)絡安全防火墻設備快速安裝手冊V1。0聯(lián)強國際(香港）有限公司2007—４目錄1、前言．。．。.。．.。。。。。。。。。．。。．。.。.。。.。。..。.。。..．。。.。。.。。..。.。..。。.。.。。。。。。。.。。．。。。.。。。。。。。。．。。．。.。.。。。.。。..。.。．.．．。。。。。..。。。。。。．.41．1、JNPR防火墻配概述。.。．.。.。．..。。．。。..。。.。.．。．。。.．。.。．。..。.。．。。..。。。。。..。。。．。。.。．。。.。。．。...。.。。.。．．.。.。．4１.2、ＪNPR防火墻管配置的基本信息..。.。.。。。。。.。...。。..。。。。。.。。.。。.．。...。．.．．.。..。。。。。。。．.。.．.。。。.。。。.。．.41。3、ＪNPＲ防火墻的用功能。。。.．。..。。。.。.。..。.。。。．。。。。.．。。。．。。．..。.。.．.。.．。。．.。。。。.。.。。。.。.。。。。。。。。.。...。。.．。。。。５２、JUＮIPE防火墻三種部署模式及基本配置．。.。..。。...．..。。.。。。。。.。。。。...．.。。。。...．.。。.．。。.．。。..。。。.。。。..。..。。６2。１、NT模式。。.．。。.。...。。...。..．。．．.。...。.。.。.。..。.．。...。。.。.．．.。。。。。.。..。。...。。。..．。。..。..。。．.。。。.。.。。.。．。。.。.。.．.。．..．62。2、ROUＴＥ路由模式。.。。．．．。。。。...。.。．..．。...。。.。。.。..。．...。。.。。.．.。..。.。．.。.．。。.。。。.。.。。...。.。.。..。...。。。.。。..。．.。.7２。3、透明模式.。.。..。。..。．．。。。...。.。。..。..。。.。．。..。..。..。...。。。．．．。..。。...．。.。．。。．。。.。。。。.。。。..。。.．。.。。。．．.．．...8２。４、基于向?qū)Х绞降腘T/ＲOUTE式下的基本配置．。。。.．.。。。.。．。。。..。。。。..．。。..。..。．..。..．。.。..。.。。。8２。５、基于非向?qū)Х绞降腘T/ROUTE式下的基本配置。。.．。.。.。。。。。。。。。。..。。。．。。.。。。．。.．...．..。。..１72。5.1、NS—5ＧTNＴ/Routｅ模式下的基本配置。.。.。。．。.．.．。。.。。.。．。.．。.．.．..。.。。。。.。。。.．。.。.。．。．.．．。..．182.5。2、ＮS—25—208NT/Route模式下的基本配置..．。。。..。。。．..。。。。。．．.。。..。。..．。。。。。..。。。。。。。。。。192。6、基于非向?qū)Х绞降耐该髂Ｊ较碌幕九渲?。...．．。．。。。.．。。。。。。。。。。。.。。.。．.。。。。。。。。.。。。。。..。.．。。。。。...。2０３、JUNIPＥ防火墻幾種常用功能的配置。．...。.。。．。。.。。..．。..．．。．。。.。。。.。。。。。.。。.。。.。.。。。.．。.。.。.。。.．．。。．...213.１、MIP配置。。。．.。。。．。。.。.。．。.。。。。。。.。。..。。．。.．。。。。.。.．..。.。。．．...。..。。.。。。.．..。..．。..．．。.。。.．.．。。.．．。。...。。.213。1.1、使用eb瀏覽器方式配置ＭIＰ.。。。.。。.。.。。.。.．.。.。。。．。...。．..。。．。.。.．。..。。。。。。。。。。.。。.。。.。。.。..。。。。。．２23．1。2、使用命令行方式配置MIP。。.。.。.。.。。。。。...。。..。．。.。。。。．。.。。。。.。。.。。.．.．..。．。...。..。.。.。..。.。。.。。.。。2４3.2、ＶIP配置。。。。。。..。。。。.．.．...。.。..．.。。.。.．。.．．。。。。。。。.。。...。。。..。．..。。。。。。。。。。。..。.。。。。..。.。．。。..。..。...。.。。．。。24３.2。1、使用eb瀏覽器方式配置ＶIP．。．．..。.．。。..。．.。．..。.。。。。。.。.．..．..。.。..。．.．。.。。．。.。．.。。.。。。。。．.。..253。2.2、使用命令行方式配置VIP。..。.。。.。.。..。.．．。.。。．。.。．。..。。．。..．.。。.．.．。.。。。..。。..。.．．。.．。.。。。.。。。26３。３、DＩP的配置．。.。。．。．。。。。.。。。.。。。。.。.。。。..。.。。。。.．．。.。..。．..。..．.。.。。。。。。。。．．．.。..。...。...。．。。。．.。。..．..。..。.。２73.３．1、使用ｅb瀏覽器方式配置ＤIP..．。...。．。．.．..。.。.。。。。。...。。．。.。。。。．..．.。。。..．。。。。。。。。．。。。.２７３.3。２、使用命令行方式配置DIP．．...。.。．。.．．．。。。。。。。。。。．.。．..。。。..．.。。．。.。..。。。.。．.。。。。.。．．..。.。.。。.。..。.2９4、JUＮIPＥ防火墻ＩEＣVP的配置..。.。。。。。．.。。。。.．。。．。.．．.。．...。．。.。。.。。．。．。．。..。.。.．。。..．。。.。。。。。。..。。。.。。２9４．1、站點間ＩPＳCVPN置:ACＰ—ＡCP。.．。。．。。。.．．。。..。.。..。。。。．．.．.。。...。．。.。。294.1．１、使用eｂ瀏覽器方式配置.。。.。...。。.。。．。。。..。.。。。。.．..。。。.．。．。。。...。．。。。．．..．．．..．。。。．.。。.。．．．．。。..304.1。２、使用命令行方式配置。..。．..。．。。.．.．...。。。．。。。。。.．.。...。.。..。。。。。.。。。。.。。。。.．。。.．.．。..。...。.。.．.。.．...34４.２、站點間IPSCＶPN置:ACP-DAMICP。.。。.。。.。。。.．。。..．..。。。。．。.。..。。。．。。..。．。。。。。364。2。1、使用eb瀏覽器方式配置。.。..。.。.。。.。。..。。。．。。．。。.。。...。．。。。．。。.。。...。。。。.。.．..。。。。。。．..。。..．．。..。374.2。1、使用命令行方式配置.。..．。。。。。...。。...。。...。．。.。..．．。。。。。。。．.．。。。。。。...。。。。。。。。。。。..。。。。..。..。...405、JＵＮＩＰE中低端防火墻的ＵTＭ功能配置。。．.。。...。。．..。..。..。。。.。．。．。．..。。。。。。.。.。.．．。。。。。。...。.。。。.。。．。425.1、防病毒功能的設置.．。。。.。...．..。。。..。。...。。..．.。。。。..。。。。.。。..。．。。。..．.。。.。。。.．。。。。。.。。．。．。。．。。．。.．...。.。。。.。435.1。1、ScａnMaｎagｅｒ的設置.。。..．．.。。。。。..。。.．..。。.．..。．。.。.。。。。。。.．．。。。。．。。。。。。。。.。。.．。。.。。．。.。。。。。435.１.2、Ｐｒｏfile的設置.．。。.。。。。。。.。..。。。．。...。。..．.。。．。..。。。。..。.。．...。。．.。.。.。.。。。。。。。.。...．。。。.。.。.。。。..。。。。。..．。。。。44５.1。3、防病毒profile在安全策略中的引用.．。．。。。.。。.。..。．。.．..。。.。.。.。。..。．。．.。。.。.。．。。.。。．。。.。。．.４65。２、防垃圾郵件功能的設置.。。。。..。。。。。...。。。。。。．．。...。。.。。。...。.．.．.。．．..。。..。。..。...。。。..。。。。..。.。.。.．..。.。。．..。。4８５.2.1、Acｔin設置。..。．.。.。。。。.。．。。.。。。．.。。。.。．.。...．．．...。．。。.。。。。...．。.。。。．。。。.．.。.。。.。。。．。。。.。。..。。。49５。2.２、WhiteList與ＢlｃｋＬｉst的設置..。。.．。．。。。.。。。...。。.。。。．。.．．。.．。..。。。..。。。。。．。.。。.。。。。．．。。。.。..。。。.495．２。３、防垃圾郵件功能的引用．。。。..。．．。。..。．。.．。。．。．..。.．．。。.．．。.。.。。。。．．。。。．．.。。。。.。.。．．。。。..。.。。．...．.515。３、WEB/URL過濾功能的設置。。．..。。。。.。．.。。．。。.。。。..。.．。..。。.。...。。.。。．.。。．。。.。．．.。。。．。。。。.。。。。。.。。。.．.．.。.515.3。１、轉(zhuǎn)發(fā)ＵRL過濾請求到外置UＲL過濾服務器。。.。。.。。．。.。.。。.。。.。。。.．．。。。.．．.。。。。。。。.。。．.。。。。。。。。。515。3.2、使用內(nèi)置的UＲL過濾引擎進行URL過濾..。。．.。。。．。。。。.．。.．。．．．。。.。。．。.。。。。。。...。。。.。.。。．..。.５35。3。３、手動添加過濾項。．.．。。。．．。。。。。。。..。.。。．．.。.．。．。.．..。.。．。.。．.。。。.．.。。.．.。。。。.。。．...。..。..。。..。。。...。5４5。4、深層檢測功能的設置。。.。．。.。。。。。。。。．.。。．.．。。.。。.。.。.。。.。。。。．.。...。...．。．...。。.。。。..。..。。.．。。。。。.．。。。。．。.。..。。。。．585.4。１、設置DI攻擊特征庫自動更新.。。.。。．。.。。..。。。...。。。。。.。..。。.。。。。。。.。．。..。。．.。。...。.。.．。。.。.。..。．。.。．．..５85。４.2、深層檢測（DＩ)的引用。。。．..。.。.。.。。..。。..。．。..。.。..。．。.。。.。.。。。.。.。。.．.。．..。。.。．.。。。。。。。．。。。.。。．。。.。..．596、JUＮIＰE防火墻的A(高可用性)配置。..。.。...．。。。.。.。.。。.。..。。。。。。.。.。．．。...。。.。。。。..．.．.。．。．６16。1、使用WEＢ瀏覽器式配置。。。.。。.。。．。。...。。..。.。..。。。。。。。。。..．.．。。。．．..．..。。。...。。。．。..。。。。。．.．．．．..．。．。．。．.。。6２6。2、使用命令行方式配置．。。.。..。。。.．。．.．.。.。．。。。.．.。..。.。.．。．。。。。。。.。.。．.。。．.．。。.。。．..．.。。.。.。。。．．..。。.。。..。。.。。..。。647、ＪUＮIPE防火墻一些實用工具。。..。.。。。。。..．..。。。。。..．..。。.。.。。。。．．.。。.。。.。。..。．..。。。．。..。...。..。。..．。。．。。。.。６57。１、防火墻配置文件的導出和導入..。.。。..．。．．。.．..。.。.。..。..。。。.．...。。。．。。。。。。.。。。.。。.。。.．．。。．．。。．。。..6５７。1。1、配置文件的導出.。..。．。．。。。．。...。.。．.。。.．．。。。。.。。.。.。。..。。。。。.。..。．。。.。。..。。。。。。。。.。..。。。。。.。。。。.。.。。。。。６６７.1。2、配置文件的導入.。.．。．.。．...。。...。。。。.。．.。..。．。.。。。．。.。.。.。。。。。..．.．．。。。。。。。.。..．。.。.．．．。。..。.。。。...。。。。667。2、防火墻軟件(SＲEＮＯS）更新。。。。。...。．。．.．.。．。。。.．。。..．.。.。..．..。.。．。。。．.．。..。。。。。。。。。。．。。..。.。。。。．.。．６７７.３、防火墻恢復密碼及出廠配置的方法．。.。。.。.。。.。.。。．.。。。。。.。。。.。。。。。．．..。．。.。...．。.．.。。.．.。。.。.。。..。.．.．．．6８8、JUＮIPE防火墻的一些概念.．．..。。。.。。..．。．.。。。..。。.．.。.。。...。。。．.。．..。。。.。。。。.。。。．。..．..。．。。。.。．。．。。。.。.．。。。６8關于本手冊的使用：①本手冊更多的從實際使用的角度去編寫,如果涉及到的一些概念上的東西表述不夠透徹、清晰，請使用者自行去找一些資料查證;②本手冊在編寫的過程中對需要使用者特別注的地方，都有“注”標識,請大家仔細閱讀相關內(nèi)容;對于粗體、紅、藍色標注的地方也需要多注意;③本著技術共享的原則，我們編寫了該手冊，希望對在銷售、使用Jｕnipeｒ防火墻的相應技術人員有所幫助,大家在使用過程中有任何建議可反饋到:chuａnｇ_li@synnｅx．com。hk；HＹPEＲLIＮKmａｉltｏ：jiａjｕn＿xionｇ＠sｙnnex．coｍ。hkjiａｊun_xiong＠syｎｎｅｘ。coｍ.hk；④本手冊歸“聯(lián)強國際(香港）有限公司”所有,嚴禁盜版。1、前言我們制作本安裝手冊的目的是使初次接觸Jｕnipeｒ網(wǎng)絡安全防火墻設（在本安裝手冊中簡稱為“Junｉer防火墻）的工程技術人員,可以通過此安裝手冊完成對Junｉpｅr防火墻基本功能的實現(xiàn)和應用。1。１、Juniｐer防火墻配置概述Ｊｕniper防火墻作為專業(yè)的網(wǎng)絡安全設備,可以支持各種復雜網(wǎng)絡環(huán)境中的網(wǎng)絡安全應用需求但是由部署模式及功能的多樣性使得Juniｐｅr防火墻在實際部署時具有一定的復雜性。在配置Junｉper防火墻之前我們通常需要先了解用戶現(xiàn)有網(wǎng)絡的規(guī)劃情況和用戶對防火墻配置及實現(xiàn)功能的諸多要求,建議參照以下思路和步驟對Junipｅｒ防火墻進行配置和管理?；九渲茫?．?確認防火墻的部署模式：NＴ模式、路由模式、或者透明模式；2。?為防火墻的端口配置IＰ地址（包括防火墻的管理ＩP地,配置路由信息；3.?配置訪問控制策略，完成基本配置．其它配置:1.?配置基于端口和基于地址的映射;2。?配置基于策略的VＰN；3。 修改防火墻默認的用戶名、密碼以及管理端口。1.2、Junipeｒ防火墻管理配置的基本信息Jｕnｉper防火墻常用管理方式：①通過eｂ瀏覽器方式管理．推薦使用IＥ瀏覽進行登錄管理,需要知道防火墻對應端口的管理Ｐ地址；②命令行方式.支持通過Consｏle端口超級終端連接和elｎｔ防火墻管理IP地址連接兩種命令行登錄管理模式。Ｊuniper防火墻缺省管理端口和IP地址:①Juniper防火墻出廠時可通過缺省設置的ＩＰ地使用elnet或者eｂ方式管理缺省IP地址為:92。168。1。1/255。255.255．0；②缺省IP地通常設置在防火墻的rusｔ端口（S—5ＧＴ最小端口編號的物理端口上(NS—2５/50/20４/2０8/SSG 系列）、或者專用的管理端口上（IＳG—10０0/２000，NS－５２０0／5400.Jｕniｐｅr防火墻缺省登錄管理賬號：①用戶名：nesｃreeｎ；②密碼:nｅｓcｒeeｎ。1。3、Jｕnipｅｒ防火墻的常用功能在一般情況下防火墻設備的常用功能包括透明模式的部署ＮT路由模式的部署NＴ的應用、MＩP的應用、DＩP的應用VIP的應、基于策略VPN的應用。本安裝手冊將分別對以上防火墻的配置及功能的實現(xiàn)加以說明。注:在對Ｐ/DIＰVＩP等Juniper防火墻的一些基本概念不甚了解的情況下,請先到本手冊最后一章節(jié)內(nèi)容查看了解!2、Ｊuniper防火墻三種部署模式及基本配置Jｕniper防火墻在實際的部署過程中主要有三種模式可供選擇，這三種模式分別是：①基于TCP/IP協(xié)議三層的NＴ模式;②基于TCP/IP協(xié)議三層的路由模式;③基于二層協(xié)議的透明模式。2。1、T模式當Ｊｕniper防火墻入口接“內(nèi)網(wǎng)端口處于NＡT模式時防火墻將通往Untｒｕsｔ(外網(wǎng)或者公網(wǎng))的IP數(shù)包包頭中的兩個組件進行轉(zhuǎn)換:源Ｐ地址和端口號。防火墻使用Ｕnｔrust區(qū)(外網(wǎng)或者公網(wǎng)）接口的P地址替始發(fā)端主機的源IＰ址;同時使用由防火墻生成的任意端口號替換源端口號。NT模式應用的環(huán)境特征：①注冊IＰ地（公網(wǎng)Ｐ地址）的數(shù)不足;②內(nèi)部網(wǎng)絡使用大量的非注冊IＰ地（私網(wǎng)P地址)需要法訪問Ｉnternｅt；③內(nèi)部網(wǎng)絡中有需要外顯并對外提供服務的服務器。２.2、Rｏute-路由模式當Jｕniper防火墻接口配置為路由模式時防火墻在不同安全區(qū)（例如Trust/Ｕtruｓt／MＺ）轉(zhuǎn)發(fā)信息流時IP數(shù)據(jù)包頭中的源地址和端口號保持不變（除非明確采用了地址翻譯策略)。①與NAT模式下不同，防火墻接口都處于路由模式時,防火墻不會自動實施地址翻譯;②與透明模式下不同,當防火墻接口都處于路由模式時,其所有接口都處于不同的子網(wǎng)中。路由模式應用的環(huán)境特征：①防火墻完全在內(nèi)網(wǎng)中部署應用;②NT模式下的所有環(huán)境；第第頁共70頁HYPERLINK/juniper/index.asp/juniper/index.asp③需要復雜的地址翻譯。２.3、透明模式當Junipｅr防火墻接口處“透明模式時防火墻將過濾通過的IP據(jù)包但不會修改IＰ數(shù)據(jù)包包頭中的任何信息。防火墻的作用更像是處于同一VＬA的２層交換機或者橋接器，防火墻對于用戶來說是透明的。透明模式是一種保護內(nèi)部網(wǎng)絡從不可信源接收信息流的方便手段。使用透明模式有以下優(yōu)點:①不需要修改現(xiàn)有網(wǎng)絡規(guī)劃及配置;②不需要實施地址翻譯;③可以允許動態(tài)路由協(xié)議、Vlantrunｋｉｎg的數(shù)據(jù)包通過。2。4、基于向?qū)Х绞降模危?Rｏute模式下的基本配置Junｉper防火墻NT和路由模式的配置可以在防火墻保持出廠配置啟動后通過eb瀏覽器配置向?qū)瓿?。注要啟動配置向?qū)t必須保證防火墻設備處于出廠狀態(tài)例如新的從未被調(diào)試過的設備,或者經(jīng)過命令行恢復為出廠狀態(tài)的防火墻設備．通過eb瀏覽器登錄處于出廠狀態(tài)的防火墻時,防火墻的缺省管理參數(shù)如下:①缺省I：1９2．1６8.1.1/25５。255．2５5．0；②缺省用戶名密碼：nesｃreen/nesｃreｅn；注缺省管理IP地址所在端口參見在前言部份講述“Ｊｕniｐer防火墻缺省管理端口和IP地址”中查找!在配置向?qū)崿F(xiàn)防火墻應用的同時我們先虛擬一個防火墻設備的部署環(huán)境之后根據(jù)這個環(huán)境對防火墻設備進行配置。防火墻配置規(guī)劃：①防火墻部署在網(wǎng)絡的Internｅt出口位置，內(nèi)部網(wǎng)絡使用的P地址為1９２。168。1．0/２55。255．25５．０所在的網(wǎng)段,內(nèi)部網(wǎng)絡計算機的網(wǎng)關地址為防火墻內(nèi)網(wǎng)端口的IP地:192。１６8.１。1；②防火墻外網(wǎng)接口IP地（通常情況下為公網(wǎng)IP地址,在這里我們使用私網(wǎng)IP地模擬公網(wǎng)IP址)為：10.1０。1０．１/255.２55.255。０,網(wǎng)關地址為:1０.10.1０。２５1要求：實現(xiàn)內(nèi)部訪問Internet的應用。注在進行防火墻設備配置前要求正確連接防火墻的物理鏈路調(diào)試用的計算機連接到防火墻的內(nèi)網(wǎng)端口上。1.?通過ＩＥ或與IE兼容的覽(推薦應用微軟IE瀏覽器使用防火墻缺省IP地址錄防火（建議保持登錄防火墻的計算機與防火墻對應接口處于相同網(wǎng)段直接相連。2。?使用缺省IP登錄之后,出現(xiàn)安裝向?qū)В鹤τ谑煜uｎiper防火墻配置的工程師可以跳過該配置向?qū)е苯狱c選NoskiptheｗｉｚardandgoｓｔraighｔtoｔhｅebUImanaｇemenｔsesｓionｉnsteａd，之后選擇t,直接登錄防火墻設備的管理界面。3。 使用向?qū)渲梅阑饓?請直接選擇:t,彈出下面的界面:４。?“歡迎使用配置向?qū)г龠x擇t。注進入登錄用戶名和密碼的修改頁面Juniper防火墻的登錄用戶名和密碼是可以更改的,這個用戶名和密碼的界面修改的是防火墻設備上的根用戶這個用戶對于防火墻設備來說具有最高的權限,需要認真考慮和仔細配置，保存好修改后的用戶名和密碼。５。?在完成防火墻的登錄用戶名和密碼的設置之后出現(xiàn)了一個比較關鍵的選擇這個選擇決定了防火墻設備是工作在路由模式還是工作在NＴ模:?選擇EnablｅNT,則防火墻工作在NT模式;?不選擇ＥｎableＮT，則防火墻工作在路由模式.6.?防火墻設備工作模式選擇選擇ust—UntrｕstＭｏｄe模式這種模式是應用最多的模式，防火墻可以被看作是只有一進一出的部署模式．注NS—５ＧT防火墻作為低端設備了能夠增加低端產(chǎn)品應用的多樣性Ｊuｎiper在NＳ－５GＴ的OS中立開發(fā)了幾種不同的模式應用于不同的環(huán)境目前除ＮS-５GＴ以外Juｎiper其他系列防火墻不存在另外兩種模式的選擇。7。?完成了模式選擇點“ｔ進行防火墻外網(wǎng)端口ＩP配外網(wǎng)端口P配置有個選項分別是ＤＨCP自動獲取IP址通過PＰoE撥號得IＰ地手工設置靜態(tài)IＰ地址，配置子網(wǎng)掩碼和網(wǎng)關IP地址。在這里,我們選擇的是使用靜態(tài)IP地址的方式，配置外網(wǎng)端口ＩP地址為：10.10.10。1/25５.2５5.２55.０，網(wǎng)關地址為：10.10．10.２51.8. 完成外網(wǎng)端口的IＰ地配置之后,點擊“t”進行防火墻內(nèi)網(wǎng)端口P配置:9.?在完成了上述的配置之后，防火墻的基本配置就完成了，點擊“t”進行DHCP服務器配置。注：DHＣＰ服務器配置在需要防火墻在網(wǎng)絡中充當DHCP服務器的時候才需要配置。否則請選擇“NＯ”跳過。注上面的頁面信息顯示的是在防火墻設備上配置實現(xiàn)一個ＤＨCP服務器功能由防火墻設備給內(nèi)部計算機用戶自動分配IP址，分配的地址段為：１92.16８.1．100—192。168.1．１50一共５1個IP址在分配I地址的同時防火墻設備也給計算機用戶分配了DNS服務器地址,ＤＮＳ用于對域名進行解析,如:將HYPEＲLIＮＫhttp：//www.ｓiｎａ。com.ｃn％Ｅ8%Ａ7％A3％E6%９Ｅ%9０%E４%Ｂ8%ＢAip/WW.SINA。ＣOＭ.CN解析為IP地址:２02。1０8。33.３2。如果計算機不能獲得或設置DＮS服務器地址,無法訪問互聯(lián)網(wǎng)。10。完成DHCP服務器選項設置,點擊“t"會彈出之前設置的匯總信息:1１。確認配置沒有問題，點擊“t”會彈出提示“Fiｎis”配置對話框：在該界面中，點選:Fiｎｉsh之后，該eb頁面會被關閉,配置完成。此時防火墻對來自內(nèi)網(wǎng)到外網(wǎng)的訪問啟用基于端口地址的NT,同時防火墻設備會自動在策略列表部分生成一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略:?策略策略方向由rust到Untrust源地址ＡNY目標地址AＮY網(wǎng)絡服務內(nèi)容：ANＹ；?策略作用：允許來自內(nèi)網(wǎng)的任意ＩP地址穿過防火墻訪問外網(wǎng)的任意地址。重新開啟一個IE頁面,并在地址欄中輸入防火墻的內(nèi)網(wǎng)端口地址,確定后，出現(xiàn)下圖中的登錄界面輸入正確的用戶名和密碼登錄到防火墻之后可以對防火墻的現(xiàn)有配置進行修改?？偨Y:上述就是使用eb瀏覽器通過配置向?qū)瓿傻姆阑饓T或路由模式的應用通過配置向?qū)?，可以在不熟悉防火墻設備的情況下,配置簡單環(huán)境的防火墻應用。2.5、基于非向?qū)Х绞降腘T/Roｕte模式下的基本配置基于非向?qū)Х绞降腘T和Ｒｏuｔe模式的配置建議首先使用命令行開始最好通過控制臺的方式連接防火墻，這個管理方式不受接口ＩP址的影響。注在設備缺省的情況下防火墻的信任(ｒuｓｔZone所在的端口是工作在NＴ模式的，其它安全區(qū)所在的端口是工作在路由模式的?；诿钚蟹绞降姆阑饓υO備部署的配置如下(網(wǎng)絡環(huán)境同上一章節(jié)所講述的環(huán)境：２。5．1、ＮS—５GＴNT／Ｒoute模式下的基本配置注:ＮS—5GT設備的物理接口名稱叫做trusｔ和untrust；缺省Zoｎｅ包括:truｓt和untrust,請注意和接口區(qū)分開。①Ｕｎsetｉnterfａcｅｔrｕstiｐ清除防火墻內(nèi)網(wǎng)端口的Ｐ地址;②Ｓｅtｉnteｒfacetrustzonetrusｔ(將內(nèi)端口分配到trustｚoｎe；③Sｅtinｔｅｒfａcetrustｉp１92.1６8。１。1/２(設置內(nèi)網(wǎng)端口的ＩP地必須先定義zｏne后再定義IP地址；④Sｅtｉnｔerｆａcｅuntrｕstｚｏneuｎtｒus（將外網(wǎng)口分配到uｎｔruｓｔｚn;⑤Setｉnterfaceｕntruｓtｉp１0.10．１０.1/24(設置外網(wǎng)口的IP地；⑥Ｓｅtｒoutｅ0。0.0.0/０interfａceuntｒustｇaｔeway10。10．10。２5（設置防火墻對外的缺省路由網(wǎng)關地址;④ ④ Setinterfaceethernet3zoneuntrus（將ethernet3端口分配到untrustzone；第19頁共70頁HYPERLINK/juniper/index.asp/juniper/index.asp⑦Setpｏｌiｃyfroｍｔrusｔtounｔrustanｙａnyanypｅｒmitｌo（定義一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略策略的方向是由zonetrusｔ到zoneuntrｕst,源址為aｎy目標地址為:any,網(wǎng)絡服務為：an，策略動作為:permit允許,log:開啟日志記錄;⑧Saｖe(保存上述的配置文件。２。5。2、NＳ-25-20８ＮT/Route模式下的基本配置①Unｓetｉntｅrｆａcｅethernet1ip(清除防火墻內(nèi)網(wǎng)口缺省IP地；②Setｉnｔerfａｃeethernet1zoneｔrｕsｔ（將eｔｈｅrnｅt1端口分配到trｕｓtzｏne；③Ｓetinｔｅrfaceethernｅｔ1ip192。168。1.1/24（定義eｔhernet1端口的IP地；第第20頁共70頁HYPERLINK/juniper/index.asp/juniper/index.asp⑤Setintｅrfaceetherｎet3ip10.10.1０。1／24(定義etheｒnet3端口的IP地址；⑥Seｔrｏuｔe0.0。0。0/０inteｒfaceｅtｈernet３ｇateway１0．10．10.２5(定義防火墻對外的缺省路由網(wǎng)關；⑦Setpolicyｆroｍtrusttｏuｎtrustａnyanyanyｐeｒmitlo（定義由內(nèi)網(wǎng)到外網(wǎng)的訪問控制策略；⑧Ｓave（保存上述的配置文件）注上述是在命令行的方式上實現(xiàn)的ＮＴ模式的配置因為防火墻出廠時在內(nèi)網(wǎng)端（ｔrusｔｚone所屬的端口上啟用了NT所以一般不用特別設置但是其它的端口則工作在路由模式下，例如:untrusｔ和DMZ區(qū)的端口.如果需要將端口從路由模式修改為ＮT模式，則可以按照如下的命令行進行修改:①Ｓetinｔerｆaｃeeｔheｒｎet２ＮT(設置口２為NＴ模式)②Save總結:①ＮT/Rｏutｅ模式做防火墻部署的主要模式,通常是在一臺防火墻上兩種模式混合進行（除非防火墻完全是在內(nèi)網(wǎng)應用部署不需要做N地址轉(zhuǎn)換這種情況下防火墻所有端口都處于Roｕｔe模式,防火墻首先作為一臺路由器進行部署;②關于配置舉例NS—５GT由于設備設計上的特殊性因此專門列舉加以說明Juniｐer在２006年全新推出的SＧ系列防火墻除了端口命名不一樣和NＳ—25等設備管理配置方式一樣。2。6、基于非向?qū)Х绞降耐该髂Ｊ较碌幕九渲脤崿F(xiàn)透明模式配置建議采用命令行的方式，因為采用ｅｂ的方式實現(xiàn)時相對命令行的方式麻煩通過控制臺連接防火墻的控制口登錄命令行管理界面通過如下命令及步驟進行二層透明模式的配置:①Unｓetｉnteｒfaｃeetｈｅｒneｔ1ip(將以太網(wǎng)1端口上的默認IP址刪除；第第頁共70頁HYPERLINK/juniper/index.asp/juniper/index.asp②Setiｎｔerｆaceethernet1zｏnev１—ｔｒｓt（將以太網(wǎng)1端口分配到v１—trustzｏne:基于二層的安全區(qū)，端口設置為該安全區(qū)后,則端口工作在二層模式,并且不能在該端口上配置ＩP地；③Seｔinterfａceethernet２zoneｖ1—ｄmｚ(將以太網(wǎng)２端口分配到v１-ｄmｚzon；④Setinteｒfaｃeetherｎet3zｏｎev1—untｒust（將以太網(wǎng)3端口分配到v１-untruｓtzonｅ;⑤Ｓｅｔｉnterfaｃｅvｌaｎ1iｐ１9２。１68．1.1/2４(設置VＬＡN1的ＩP地址為：192。16８.1。1/２５５.255。255。0，該地址作為防火墻管理ＩP地址用;⑥Ｓetpolicyfｒoｍv1—trｕsｔtov１—ｕｎtrustａnyayayprｍitlog（設置一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略；⑦Save(保存當前的配置；總結：①帶有Ｖ1—字樣的ｚｏnｅ為基于透明模式的安全區(qū),在進行透明模式的應用時,至少要保證兩個端口的安全區(qū)工作在二層模式;②雖然Jｕniper防火墻可以在某些特殊版本工作在混合模式(二層模式和三層模式的混合應用是通常情況下建議盡量使防火墻工作在一種模式（三層模式可以混用:NT和路由.3、Jｕniｐer防火墻幾種常用功能的配置這里講述的Juniper防火墻的幾種常用功能主要是指基于策略的ＮT實現(xiàn)，包括:ＭIＰ、VＩP和Ｐ這三種常用功能主要應用于防火墻所保護服務器提供對外服務。3。1、MI的配置ＭIP是“對一"的雙向地址翻譯(轉(zhuǎn)換）過程.通常的情況是:當你有若干個公網(wǎng)IP地址又存在若干的對外提供網(wǎng)絡服務的服務(服務器使用私有IＰ址為了實現(xiàn)互聯(lián)網(wǎng)用戶訪問這些服務器可在Iｎternｅt出口的防火墻上建立公網(wǎng)ＩP地址服務器私有Ｐ地址之間的一對一映射(MＩ，并通過略實現(xiàn)對服務器所提供服務進行訪問控制。MＩP應用網(wǎng)絡拓撲圖：注:ＭＩＰ配置在防火墻的外網(wǎng)端口(連接Intｅrnet的端口。3.1。1、使用eb瀏覽器方式配置MＩP①登錄防火墻,將防火墻部署為三層模式(NT或路由模式；②定義MIPNｅtwork=〉Inteｒfａce=>eｔheｒnｅt2＝>ＭIP置實現(xiàn)MIP的地址映射MaｐpeｄIＰ:公網(wǎng)Ｐ地址,ＨoｓtIP:內(nèi)網(wǎng)服務器IP地址③定義策略：在POＬICＹ中，配置由外到內(nèi)的訪問控制策略，以此允許來自外部網(wǎng)絡對內(nèi)部網(wǎng)絡服務器應用的訪問。3。1。2、使用命令行方式配置ＩP①配置接口參數(shù)setｉntｅｒfaｃeeｔｈernｅt1zoｎeｔrｕstseｔinｔeｒfaｃeethernet1ip１0。１。1。１/２4seｔiｎtｅrｆacｅethernet１natsｅｔiｎterfaceeｔheｒnet2zoｎｅuntrｕstｓetiｎterfacｅetherｎｅt２iｐ1。1.1。１/24②定義MIＰsetｉnterfaｃeethｅrneｔ2mip1.1。1。5host10.１.１.5netmaｓk255.2５５。２55.２55vrｏuterｔrust-r③定義策略ｓetｐolｉcyfrｍuntrｕsｔtorustａnymip（１。1。1。５）hｔtｐｐermｉtｓａe3．2、ＶＩ的配置ＭIP是一公網(wǎng)IＰ地對應一個私有ＩP地址是一對一的映射關系；而ＶIＰ是個公網(wǎng)IP地址的同端(協(xié)議端口如２12510等與內(nèi)部多個私有ＩP地址的不同服務端口的映射關系通常應用在只有很少的公網(wǎng)IP地址卻擁有多個私有P地址的務器并且，這些服務器是需要對外提供各種服務的．VＩP應用拓撲圖:注:VP配置在防火墻的外網(wǎng)連接端口上(連接Internｅｔ的端口。3.２。1、使用ｅb瀏覽器方式配置ＶIP①登錄防火墻,配置防火墻為三層部署模式。②添加VIＰ:eｔｗｏrk＝〉Inｔｅrfａｃｅ＝〉etheｒnet8=〉VIP③添加與該VI公網(wǎng)地址相關的訪問控制策略。３。2．2、使用命令行方式配置VＩP①配置接口參數(shù)setinterｆaceｅtｈernet１zoｎetrusｔｓetｉｎterfaceetｈeｒｎｅt1ｉｐ１0．1。１。1／24sｅtiｎterｆaceetｈerneｔ1naｔｓｅtinterfaceｅｔhernet３zoｎeuntｒｕstseｔｉnterｆaceeｔheｒｎet3ip1.1．1。1/2４②定義VＩPｓetiｎｔeｒfacｅethernet3ｖip1．1。１.10８0ｈttｐ10.１。１．10③定義策略setpｏlｉｃyfrmuntrusttｏtrustaｎyviｐ(1。1。1。１０）httppeｒmitsae注：VＰ的地址可以利用防火墻設備的外網(wǎng)端口地址實現(xiàn)（限于低端設備.3.３、DIＰ的配置ＤIP的應用一般是在內(nèi)網(wǎng)對外網(wǎng)的訪問方面。當防火墻內(nèi)網(wǎng)端口部署在ＮＴ模式下，通過防火墻由內(nèi)網(wǎng)對外網(wǎng)的訪問會自動轉(zhuǎn)換為防火墻設備的外網(wǎng)端口IP址并實現(xiàn)對外(互聯(lián)網(wǎng)的訪問這種應用存在一定的局限性解決這種局限性的辦法就是DIP內(nèi)部網(wǎng)絡ＩＰ地址外訪問時，動態(tài)轉(zhuǎn)換為一個連續(xù)的公網(wǎng)IP地址中的IP地.ＤＩP應用網(wǎng)絡拓撲圖:3。３。1、使用ｅb瀏覽器方式配置ＤIＰ①登錄防火墻設備,配置防火墻為三層部署模式；②定義DIPNetwork＝〉Intｅrfaｃe=〉ethｅrnｅt3=〉DIP在定義了公網(wǎng)ＩP地址的untrust端口定義ＩP地池;③定義策略：定義由內(nèi)到外的訪問策略，在策略的高級（ADV)部分NＴ的相關內(nèi)容中,啟用源地址NT并在下拉菜單中選擇剛剛定義好的DIP地址池保存策略完成配置;策略配置完成之后擁有內(nèi)部ＩP地址的網(wǎng)絡設備在訪問互聯(lián)網(wǎng)時會自動從該地址池中選擇一個公網(wǎng)IP址進行NT。3.３。2、使用命令行方式配置DIP①配置接口參數(shù)setinterfacｅetｈerｎet1zｏneｔrustseｔintｅrｆａceethｅrneｔ1ip１0。1．1.1/２4seｔinterfacｅeｔｈernet1naｔｓeｔinｔerfaｃeethernet３zｏneuｎtｒuｓｔsｅｔｉnterfaceeｔhｅｒｎet3ip1。１.1。1/24②定義DIPsｅtinｔerfaｃeｅtherｎeｔ3ｄip51.１。1．301。1.1．３０③定義策略seｔpoｌｉcyfrmtrusｔｔoｕnruｓtａｎｙanyhtｔｐnatsｒcｄｉp-ｉd5ｐermｉｔsae４、Jｕnｉper防火墻ＩＰSecＶP的配置Ｊuniｐer所有系列防火(除部分早期型號外都支持IPSｃVP其置方式有多種包括基于策略的VＰＮ基于路由的VPN集中星形ＶPN背靠背VPN等在這里我們主要介紹最常用的VPN模式：基于策略的VPＮ。站點（Siｔe—to—Sit的VPN是ISecVPN的型應用這里我們介紹兩種站點間基于策略ＶPＮ的實現(xiàn)方式：站點兩端都具備靜態(tài)公網(wǎng)Ｐ地址；站點兩端其中一端具備靜態(tài)公網(wǎng)ＩP地址,另一端動態(tài)公網(wǎng)IP地址。4.１、站點間IPＳｅｃVPN配置：sａiｃip—t-sａicip當創(chuàng)建站點兩端都具備靜態(tài)IP的ＰN應用中位于兩端的防火墻上的VPN配置本相同，不同之處是在ＶPNgａt(yī)ewaｙ部分的VPN網(wǎng)關指向IP不同其它部分相同。ＶＰN組網(wǎng)拓撲圖:saicip—to—sａiciｐ4。1。１、使用eb瀏覽器方式配置①登錄防火墻設備,配置防火墻為三層部署模式;②定義ＶＰN一階段的相關配置：VＰＮｓ=>AutokeyＡdwａnｃｅd＝〉Gaｔeｗaｙ配置VＰNgateway部分定義VPN網(wǎng)關名稱定“對端VPN設備的公網(wǎng)IＰ地”為本地VPＮ設備的網(wǎng)關地址、定義預共享密鑰、選擇發(fā)起ＶPN服務的物理端口;③在VPNgateｗaｙ的高級（Aｄｖanｃed）部分,定義相關的VN隧道協(xié)商的加密算法、選擇VＰN發(fā)起模式;④配置VPN一階段完成顯示列表如下圖;⑤定義VPN二階段的相關配置：VPNｓ=>AｕｔokeyIKE在AutoｋeyKE部分,擇第一階段的ＶＰＮ配;⑥在ＶPN第階段高級（Aｄvaｎｃｅs)部分,選擇VN的加密算法；⑦配置VＰN二階段完成顯示列表如下圖;⑧定義VＰN略選擇地址和服務信息策略動作選擇為隧道模式ＶPN隧道選擇為：剛剛定義的隧道，選擇自動設置為雙向策略；４.1。2、使用命令行方式配置CLI(東京)①配置接口參數(shù)setinｔｅrfａcｅethｅrnet１zonetruｓｔsetintｅrｆacｅetｈernet1ip1０．1。１.1/24seｔinterfaceetherneｔ1natsetinterfaceｅｔｈernet3zoneunｔrｕstsetinterｆaceｅｔherｎｅt3ip１。１．1。1/２４②定義路由setvｒｏuｔertrust—vrｒoｕｔe０。0．0.０／0iｎterfacｅethernet３gａt(yī)ｅwaｙ１.１．1。250③定義地址ｓetaddreｓstrusｔＴrｕst＿LAN10．1。1．０／24setadｄｒesｓuｎtruｓｔｐaris_oｆficｅ10。２.２。0/２4④定義ＩPＳecPNｓｅtikegaｔewayto＿pａriｓaｄdｒｅss2．2。２。2maｉnoutgoing-interｆaceethernｅt3preshａrｅｈ1p8Ａ24ｎＧ５proｐosalpｒe－g2—３des－shasetvpｎtokyo＿parisgatewａyto_pａrissｅc—lｅvelcompatiｂｌe⑤定義策略sｅｔpoliｃｙtｏpname”To/FroｍPａris"fｒmtrustｔounｔrusｔTｒusｔ_LANparｉs_ofｆｉｃeanytunnelvpntokyo＿parissetpoｌｉcｙtopｎａme"Tｏ/FroｍPａriｓ"frmuntｒustｔoｔrｕstｐａrｉｓ_officｅTｒuｓt＿LANanytｕｎnelvpｎｔokyo_ｐarｉssaeCLＩ（巴黎)①定義接口參數(shù)ｓetinｔerｆaceeｔhernet１zonｅtrustｓetinterfaｃｅetheｒneｔ1ip1０。2.2.１／24setiｎterｆａcｅetｈernet１nａｔｓｅtintｅｒfａceethernet3ｚoneｕntrustｓetiｎｔerfacｅetherneｔ３ip2。2.2.2／2４②定義路由setｖroｕtｅrｔrｕｓt－vrrｏutｅ0.０.0.0/0ｉｎterfａcｅｅtｈernｅt3gatewａy2.2。２.250③定義地址sｅtaddresstｒustTrｕst_LＡN1０.2。２。0／24ｓｅtａdｄressuntrusｔtoｋyo＿office１0。1.1．0/２4④定義IＰＳecPＮsｅtikｅgａｔewayto_tokyoaｄdrｅss1.1．1.１maｉnoutｇｏｉng-iｎterfaｃeｅtｈｅｒｎｅt３preshａreh1ｐ8Ａ２4ｎG5proｐoｓaｌpre-ｇ2—３deｓ—sｈaseｔｖpnparｉs_toｋyｏｇatewayo_toｋyｏsec-lｅvelｃompaｔible⑤定義策略setpolicｙtopnaｍe"To/FｒoｍTokyo＂ｆroｍｔrustｔountrusｔTrustLANｔoｋo_offiｃeaｎyｔuｎnelｖpnparｉs_tokｙosｅtpoｌiｃytopname"Ｔo／FrｏmTｏｋyｏ”ｆｒoｍuntrusｔtｏtrusttoko_ofｆｉｃeＴrut＿ＬANaｎytuｎnelvpnpａrｉs_toｋｙosae4。2、站點間IPSecVPN配置：sａiｃip—tｏ-dynaｍｉcｉｐ在站點間ISecＰN應用中，有一種特殊的應用，即在站點兩端的設備中,一端擁有靜態(tài)的公網(wǎng)ＩＰ址，而另外一端只有動態(tài)的公網(wǎng)IP地址，以下講述的案例是在這種情況下,Ｊｕniｐeｒ防火墻如何建立PSecPN隧道?；驹瓌t：在這種IＰScVPN組應用中擁有靜態(tài)公網(wǎng)IＰ地址的一端作為被訪問端出現(xiàn)擁有動態(tài)公網(wǎng)ＩP地的一端作為VPＮ隧道協(xié)商的發(fā)起端。和站點兩端都具備靜態(tài)P地址的置的不同之處在于VPN第一階段的相關配置在主動發(fā)起(只有動態(tài)公網(wǎng)IＰ址一端需要指定VPN關地址需配置一個本地配置VPＮ發(fā)起模式為主動模式在站點另外一(擁有靜態(tài)公網(wǎng)IP地址一端需要指定VN網(wǎng)關地址為對端設備的ID息，不需要配置本地ＩD，其它部分相同。ＩPSecVＰＮ組網(wǎng)拓撲圖:saicｉp-to—ｄｙnａｍiciｐ４。2。1、使用eb瀏覽器方式配置①VＰＮ第一階段的配置：動態(tài)公網(wǎng)IP地址端。VPN的發(fā)起必須由本端開始動態(tài)地址端可以確定對端防火墻的ＩP地址因此在VN階段一的配置中需指定對端ＰN設備的靜態(tài)P地址同時在本端設置一個LｏcｌID,提供給對端作為識別信息使用。②VＰN第一階段的高級配置：動態(tài)公網(wǎng)IP地址。在VPＮ階段一的高級配置中動態(tài)公網(wǎng)IP一端的VPN的發(fā)起模式應該配置為：主動模式(Ａggrssie）③VPN第一階段的配置:靜態(tài)公網(wǎng)IP地址端。在擁有靜態(tài)公網(wǎng)IＰ地址的防火墻一端，在ＰN階段一的配置中,需要按照如下圖所示的配置“ＲemｏｔeGatwaｙpe”應該選擇“ＤnａmｉcＩＰＡddrｅss，同時設置PeerI(和在動態(tài)Ｐ地址一端設置的LocaｌＩD相同。④VPN第二階段配置，和在”saｔciｐ-to—satｉｃip模式下相同。⑤VＰN的訪問控制策略,和在”satici-to—saｔicｉp模式下相同。４。2。1、使用命令行方式配置ＣLI(設備—A）①定義接口參數(shù)seｔｉnｔｅrｆacｅetｈerｎｅt1zｏnetrｕstｓetinterfaceeｔｈerｎet１ip1０。1．1.1/2４setｉnｔeｒｆaｃeethｅrｎeｔ１naｔｓｅｔｉnterfacｅethernet3zoneuｎtrｕｓｔsetｉnteｒfaｃeeｔhernｅt3dhｃｐcｌienｔsetinterfaceethernet３dhcpclientseｔtingｓserver1.１.１。5②定義路由sｅｔvroutertrｕst—vrroute00。0.0/0ｉnterfacｅethｅrnt３③定義用戶setuserｐmasonpaｓswoｒｄＮd4ｓyst4④定義地址ｓetaddressｔrusｔ"truｓｅｄｎetｗorｋ”10．１.1.0／２４ｓｅtａddresｓuｎtｒｕｓt"ｍailservｅr”3.3.3．5/32⑤定義服務sｅtserｖiceientprotｏcoltcpsrc-ｐort-６55３5dｓt—pｏｒt113-113ｓetgrouｐserviｃeremote_mａilsｅtｇｒouｐｓeｒviｃerｅmｏｔe_mailaddhttpsetgrｏupservicerｅｍｏte_ｍａｉlａddftpsetgrｏupsｅｒviceremoｔｅ_mailａddteｌneｔsetgｒoupservｉcerｅmotｅ＿mailaddidｅntseｔgroｕｐsｅrviｃereｍoｔe＿mａilaｄdｍailsｅtｇroｕpsｅrviｃeremｏte_mａｉｌaddpop3⑥定義VＰNseｔｉkegａt(yī)ｅｗayto_ｍailａddress２。2.22aggrｅｓsivelocａｌ—idHYPERLＩNKmailto:pｍason@ａpｍason＠abｃ．cmoutｇoing—interfａcｅｅtheｒneｔ３pｒesｈａｒeh１p8A24nG5pｒopｏsalpre—ｇ2-3des—sｈasetvｐnｂrａnch_corpｇateayｔo_mailｓec-ｌevelcｏmpａt(yī)ible⑦定義策略sｅtpoｌiｃytopfrｏmtrｕstｔｏunｔrusｔ"ｒusteｄｎetwｏrk”"mａｉlｓｅrvｅr”rｅmotｅ_mailtunnelvｐｎbraｎch_corpauｔhｓerｖerＬocａlｕseｒpｍasｏnseｔpoｌicytopｆromuｎtｒusttotrusｔ"ailserver”"trustedｎetwork”reｍote_mailtｕnnelvpnbranｃh_cｏrpsaeCLI(設備－B)①定義接口參數(shù)setｉｎterfaceethｅrnet２zonedmzseｔｉnterfａcｅetｈernet2ip3.3。3。3/24setinteｒfaceeｔhernｅt３zoｎeuｎｔrustsetintｅrfaceetｈernet3iｐ２。２.2．２/2４②路由ｓｅtvｒouｔｅｒtrust-vrroｕte0．0.０．0/０iｎｔｅrfaceethｅrnet3gａt(yī)ewaｙ2.２．2。２50③定義地址sｅtaddｒesｓdmz”mailseｒveｒ”３．3.３。5/3２seｔaddreｓｓuntrust＂brancｈｏffiｃe”10.1．1。0／２４④定義服務ｓeｔsｅｒｖiceieｎtprｏtocｏltcpsｒc-ｐort-6553５ｄst—porｔ１13－11３sｅｔgroupsｅｒviｃeremotｅ_ｍailｓetgroｕｐｓerviceｒemote_ｍaｉｌadｄiｄentsetgroupsｅｒvicereｍote_mailaddmａilｓeｔgｒoupｓerviｃｅremote＿maiｌaddpｏp3⑤定義VPNｓetikegatewａyｔo_bｒanｃｈdynamicHYPＥＲLINKmailtｏ:ｐmａsｏn＠abc.cｏmpmａson@abc。ｃomａｇgressiveoutgoing—inｔerfaceethｅｒｎｅt3ｐｒｅshaｒeｈ1p8A2４ｎＧ5ｐｒoｐosａlpre-ｇ2—3ｄｅs-shasｅｔｖpncｏrp_brancｈgａt(yī)ｅayｔｏ_ｂrnchｔunnelsec—levｅlｃｏmpaｔiｂle⑥定義策略seｔpoliｃyｔoｐfrｏmdmzｔouｎtrｕst”milsｅrｖer"”bｒａnchofficｅ"remote_mａilｔunｎelvpｎcｏrp_branｃhsetpｏliｃyｔｏpｆromuｎtrｕsttodｍz”banｃｈｏｆficｅ＂”mａｉlserver”reｍote_ｍａiltuｎnelvpncorp＿branｃhsａｅ5、Juniper中低端防火墻的UTM功能配置Juniper中低端防火墻(目前主要以ＳSG系列火墻為參考）支持非常廣泛的攻擊防護及內(nèi)容安全功能主要包括防病（Antｉ—irus垃圾郵(Ａnti-amURL過（UＬfiltｅriｎｇ)以及深層檢測/入侵防御(DeepInｓｐecｔion/IPS.注:上述的安全／防護功能集成在防火墻的ScreenOＳ操作系統(tǒng)中，但是必須通過licｅnsｅ(許可激活后方可使（并會在激活一段時(通常是1年后過期當然在使用這些功能的時候，我們還需要設定好防火墻的時鐘以及DNＳ服務器地址。當防火墻激活了相應的安全／防護功能以后通過ebＵＩ可以發(fā)現(xiàn)Ｓceeniｎg條目下會增加相應的功能條目，如下圖:５.１、防病毒功能的設置Ｊuｎｉpｅr防火墻的防病毒引擎(從ＳcｅeｎOS５.3開始內(nèi)嵌Ｋａspersky的防病毒引擎)可以針對HTＴP、FＴP、PP3、ＩMＡP以及SMTＰ等協(xié)議進行工作。5.１.1、ScaｎMaｎager的設置?“PatｔｅｒnUdａｔeSeｒver項中的URL地址為Junipｅｒ防火墻病毒特征庫的官方下載網(wǎng)址(當系統(tǒng)激活了防病毒功能后，該網(wǎng)址會自動出現(xiàn)。?“ＡuｔｏPatteｒnUdate”項允許防火墻自動更新病毒特征庫；后面的“Inｔerval”項可以指定自動更新的頻率。?“UdaｔeNw”項可執(zhí)行手動的病毒特征庫升級。?“Drｏｐ/BassfileifissiｚeexcｅedsKＢ”項用來控制可掃表/傳輸?shù)奈募笮　癉rop項會在超過限額后扔掉文件而不做掃描“Ｂａsｓ項則會放行文件而不做掃描。?“Ｄroｐ／/Basｓfileiftｈenｕmbｅrofcｏｎcurｒentfilesexｃeeｄsfｉleｓ”項用控制同時掃描/傳輸?shù)奈募?shù)量“Drop”項會在超過限額后,扔掉文件而不做掃描；“Basｓ”項則會放行文件而不做掃描。５.1．2、Proｆｉｌ的設置通過設置不同的Prｏfile，我們可以對不同的安全策略（Pｏlicy）采用不同的防病毒操作(Ｊuｎipｅr防火墻的防病毒引用是基于安全策略的;也就是說我們的防病毒設置是通過在特定的策略中引入特定的Pｒoｆile來實現(xiàn)的，而實現(xiàn)高粒度化地防病毒控制,將防病毒對系統(tǒng)資源的消耗降到最低。ｎs—ｐroｆｉle是系統(tǒng)自帶的pｒofile用戶不需要做任何設置就可以在安全策略里直接引用它。除此之外,用戶可以根據(jù)自己的需求來設置適合自身需求的prｏfile。Proｆile方面的設置包括對ＦTPHTTＰ、IMＰ、POP3及ＳMTP等5個協(xié)議的內(nèi)容,見下圖。Enaｂｌe選項每個特定的協(xié)議類型都有一個Enabｌｅ選項選擇之則防病毒引擎會檢查與這個協(xié)議相關的流量;反之，則不會檢查.SｃａnMoｄe的設置ＳcａｎModｅ有三個選擇項：ScaｎＡｌ、ScanIntｅｌｌｉgeｎt、ＳcanＢyExteｎsioｎ.ScaｎAll對于流量，檢查所有已知的特征碼。ScａnIｎtellgen:對于流量,檢查比較常見的特征碼。SｃanByExｔｅｎsｉon僅針對特定的文件擴展名類型進行檢查如果選擇該類型則須要事先設定好Exｔ—Lｉｓt（設置文件擴展名的類型）與Include／ＥxｃｌuｄｅEｘtensionＬｉｓｔ。ＤecomｐreｓsLａer的設置為了減少傳輸?shù)臅r間很多文件在傳輸過程中都會被壓縮DecｏmpressＬaer就是用來設置防病毒引擎掃描壓縮文件的層數(shù).防病毒引擎最多可以支持對4層壓縮文件的掃描。Skipｍmenａｂle的設置對于HTTP協(xié)議，可以進行SｋipmimeEnａblｅ的設置。打開該功能，則防病毒引擎不掃描MimｅLiｓt中包括的文件類型(系統(tǒng)默認打開該功能,并匹配默認的ＭｉmeＬist:ns-ｓｋｉp-mime－ｌist。EｍailNotify的設置對于ＩMＡPPＯP3、ＳMＰ等email議,可以記性EmａｉｌNortifｙ的設置打開該功能,可以在發(fā)現(xiàn)病毒/異常后，發(fā)送ｅmａil來通知用戶(病毒發(fā)送者/郵件發(fā)送方／郵件接收方.５。1。3、防病毒ｐｒofilｅ在安全策略中的引用我們前面已經(jīng)提到過防病毒的實現(xiàn)是通過在特定安全策略中應用pｒoｆilｅ來實現(xiàn)比如,我們在名為ｐ—scａn的策略中引用av1的防病毒pｒofiｌｅ。①首先建立了名為1的proｆｉｌe，并enabｌeＦTP協(xié)議的掃描；由于我僅希望檢測的是FTＰ應用,故關閉對其他協(xié)議的掃描。見下圖:②設置tｐ—scn安全策略,并引用pｒofｉｌeav。③引用了ｐｒofiｌe進行病毒掃描的策略,在ａctiｏn會有相應的圖標出現(xiàn)。5。2、防垃圾郵件功能的設置Juｎｉpｅr防火墻內(nèi)嵌的防垃圾郵件引擎，可以幫助企業(yè)用戶來減輕收到垃圾郵件的困擾。Ｊunipｅｒ的防垃圾郵件功能主要是通過公共防垃圾郵件服務器來實現(xiàn)的。公共的防垃圾郵件服務器會實時地更新防垃圾郵件的庫,做到最大范圍、最小誤判的防垃圾功能.到ScreenOS5。4為止，ur的防垃圾郵件引擎只支持SMTP協(xié)議。Ｊunipeｒ防垃圾郵件通過兩種方式來檢測垃圾郵件:1.通過公共防垃圾郵件服務器的whｉｔｅlist(可信名單）與blaｃklｉst（不信任名單.5.2.1、Actiｏn設置SＢLＤefａulｔEnabｌe項選中后,防火墻使用公共防垃圾服務器來判別垃圾郵件.默認為打開。Ａｃｔioｎs項用來指定對垃圾郵件的處理方法agoｎSubjc（在郵件標題欄標注信息指明該郵件為垃圾郵件；不丟棄郵件；agonHeａder(在郵件內(nèi)容的頭部標注信息,指明該郵件為垃圾郵件;不丟棄郵件Droｐ(直接丟棄查找到的垃圾郵件)5。2.2、ＷhitｅLｉｓt與BlaｃkLiｓｔ的設置通過防火墻自定義whiteliｓt和ｂｌacklｉs。比如在ＷhiteLｉｓｔ＞ＷhitｅＬisｔCoｎtｅnt欄輸入HYPＥRLINKｈttp:/／www．sina。coｍ.cn／ww．siｎａ。ｃｏm.ｃ則防火墻在檢查到與這個網(wǎng)址相關的郵件都會認為是可信任郵件直接放行。JUNIPERJUNIPER火墻快速安裝手冊比如在BlackＬiｓｔ>BlａcｋListCｏnｔeｎｔ欄輸入HYPERLＩNＫhttｐ://wｗw。baidu。coｍ/ww.bａidu。ｃom,則防火墻在檢測到這個網(wǎng)址有關的郵件時,都會判定為垃圾郵件。JUNIPERJUNIPER火墻快速安裝手冊５.２。3、防垃圾郵件功能的引用最后我們只要在安全策略里面引用防垃圾郵件功能就可以對郵件進行檢測了Antisａmｅnabｌe項只要勾選,就開啟了防垃圾郵件功能，如下圖所示。5．3、WEB/UＲL過濾功能的設置Juｎipeｒ可通過兩種方式來提供URL過濾功能。一種是通過轉(zhuǎn)發(fā)流量給外部的ＵRL過濾服務器來實支持SｕｒfCoｎtrol和ｅbsｅnse兩個產(chǎn)品一是通過內(nèi)置的SｕrfControlURL過濾引擎來提供URL過濾。5。３。1、轉(zhuǎn)發(fā)L過濾請求到外置Ｌ過濾服務器如果采用第一種方式的話，首先防火墻必須能夠訪問到本地的提供URL過濾的服務器（ＳｕrｆContｒol或者ｅbｓｅnsｅ。然后通過以下項的設置來完成該功能的啟用.①在ebFilｔｅriｎｇ>ProtocolSelecｔin條目下,選擇需要Rｅｄirect按鈕（SrfCｏntｒol或者ｅｂsense。②打開ebFiltering選項的ebsense／SｕrｆＣontrol的條目:?ＥｎablｅｅbFiltｅring設置為勾選,則ebFiltering功能打開。?SｏurceInterfａce項用來選擇與UL過濾服務器相連的接口(如果不選,則采用Dｅfａult．?ＳerveｒName項填入URL過濾服務器的地址。?ServｅｒＰort項填入與服務器端口通訊的端口(默認為１58６8。?Iｆｃｏnnecｔivityｔoｔhｅseｒverislｏst,Bloｃｋ/PermitalｌHTTPｒequess項用來決定如果與服務器連接丟失以后,防火墻采取什么措施。選擇Ｂlocｋ項,則與服務器失去聯(lián)系后,阻斷所有ＨTTP請求；擇Permｉt，則放行所有ＨTＴP求．５.3。2、使用內(nèi)置的L過濾引擎進行L過濾如果使用Juniper防火墻自帶的SurfCｏnｔrｏl引擎來過濾URL，可以通過以下操作來完成。①在ebFilｔeｒing〉PｏｔoｃolSeｌｃtion條目下，選擇需要Ｉnteｇｒａt(yī)ed按鈕(SurfCoｎtrol或者ebseｎse．②打開ebFｉlｔeriｎg選項的SC-CＡ的條目:?EnabｌｅebFilteｒiｎgviaCAＳeｒｖer項勾選.?ServeｒNaｍe項選擇地區(qū)(比如我們處于亞洲，則選擇AｓiaPacｉfc。?Ｈｏst項會根據(jù)ＳervｅrNａme自動填充域名（比如前面選擇了ＡsiaＰaciiｃ,則會出現(xiàn)Asiai。SｕrfＣA．coｍ.?Ｐoｒt項與服務器端口通訊的端口(默認為90２0。?Ｉfcoｎｎectiｖitytoｔｈeｓeｒverｉsｌｏst,Blｏck/PeｒｍitallHTTPrｅquess項用來決定如果與服務器連接丟失以后，防火墻采取什么措施。選擇Ｂlock項，則與服務器失去聯(lián)系后,阻斷所有HTTＰ請求;擇Ｐermit，則放行所有HTTP求。５．３.3、手動添加過濾項下面以實例的方式來講解手動添加過濾項的操作過程．我們假設要禁止訪問HYPERLINKhttｐ:／/www.siｎ/ｗｗ。siｎa。ｃｏm的訪問。①首先,我們建立一個自己的過濾組（cａt(yī)egory，名字為newｓ。在Sｃreening>ＷEBFｉltering＞ａt(yī)egorieｓ〉Cuｓtom>Eｄｉt下:JUNIPERJUNIPER火墻快速安裝手冊②其次，我們建議一個新的Profile,取名叫jｕsfortest：Ｓｃreeniｎｇ〉WEBＦiｌterｉｎg>Prｏfiles〉Ｃuｓｔom＞EdiｔJUNIPERJUNIPER火墻快速安裝手冊?BlacｋList項中可以選擇預定義或者自定義的過濾組(catｅgory.進入BlａcｋList的組的網(wǎng)址將無條件禁止訪問。?WｈiteＬiｓt項中可以選擇預定義或者自定義的過濾組(categｏｒy。進入ＷhｉteLisｔ的組的網(wǎng)址將無條件允許訪問。?ＤefaultＡction項可以選擇Permit或者Dｅny。選擇Ｐｅｒmiｔ,則沒有匹配BlaｃｋLｉst／WhｉtｅＬsｔ/手動設過濾項的網(wǎng)址，將被允許訪問；Deny則反之．?Ｓuｂｓcribeｒｓideｎtifiedｂｙ項?CatｅgoryＮaｍe可選擇我們想要過濾的組(在例子中我們選取之前建立的ｎeｗs）?Acｔｉon可選擇ｐeｒmｉt或者bloｃk（本例中,我們選取bloc）③最后,我們在安全策略中引用URＬ過濾。注我們建立一條策略然后在WEBFｌteｒing項選擇我們剛才建立的prｏfil“jusforteｓt．策略建立完以后，會在Ｏptｉｏns欄出現(xiàn)ＷWW的圖標。安全策略生效后，我們就無法訪問新浪網(wǎng)站了,我們將看到ouｒageisbｌoｃkｅdduetoasｅcｕｒitｙpolicythatｐrohibisaｃcｓstoｃategｏr。如下圖:５.4、深層檢測功能的設置Junｉper防火墻可以通過licｅnse激活的方式來實現(xiàn)軟件級別的入侵檢測防御功能,即深層檢測功能(DＩ。深層檢可以從L3、L4以及L7等多個層面進行惡意流量的檢測及防護。當我們將訂購的DＩ許導入防火墻以后DI功能就開啟了然后我們通過一些簡單的設置,就可以用ＤI來檢測和防御網(wǎng)絡惡意行為了。Ｊｕnｉper深層檢測模塊目前支持的檢測類型包括（截止ＯＳ5。4)■AＩM(AOLInｓantＭssenger）■DHCＰ（DynamicＨｏｓtCｏｎfiｇurationProｔoｃol)■ＤNS（ＤomａinNameＳｙstem)■FTP(FiｌeraｎsｆerPｒｔoｃol）■GNUTEＬLA(ＦiｌｅSharingNeｔｗoｒkＰｒｏtoｃｏｌ）■GOPＨER（GophｅrPrｏtoｃｏl)■HＴTP(ｙｐerteｘtraｎsfｅｒProtocｏｌ)■ICMＰ(InternetControlMｅｓsａgePｏｔoｃｏｌ)■IＤENＴ(IdentifｉcationProｔoｃol）■ＩＫE(InｔernetＫeｙExｃhａngｅ)■IMAP(ＩnterｎeｔMessagｅＡccｅsｓPotocoｌ)■IRC(InternetＲｅlyChaｔProtoｃｏl)■LDＡP（LightweightDｉrctｏｒyAccessProtocol)■LＰＲ（LｉnｅPrｉnteｒ）■MSN（MiｃｒosｏtMesseｎｇer）■MSRPCＭicroｓoｔReｍotePｒocedureCａｌl)■NBNAME(ＮeｔBＩOSameSerｖicｅ)■NＦS（NetwoｒkＦilｅＳervicｅ)■NTP（ＮetｗorｋｉｍePotocoｌ)■PＯP3(PostOficePｒotoｃol)■RADIUS（RemoteAuｔhenｔicaｔioｎDｉaｌInUseｒServiｃe）■ＳMB（SeｒvｅｒＭeｓｓａgeＢlｏｃk)■SMTP（ＳimpｌeMａｉlａｎsｆerPｒotoｃoｌ)■SYSLOG(SｙstemLog)■TEＬＮET(eｒｍinalＥｍｕｌationPｒｏtoｃoｌ）■ＴFTＰ(rvialFｉｌeransferProtｏco)■VNC（irtuaｌＮetworkComputing，ｏrRｅmoteFrameBｕｆerProtocoｌ）■WHＯＩSRemｏｔeDirectoryAccessPrｏtoｃｏl）■YMSG（ａhooMessｅngeｒ）除此之外我們還可以通過手動的方式來自定義攻擊類(使用ＪｕnipeｒIDP設備來編寫的話，會相對簡便。5.4。１、設置I攻擊特征庫自動更新隨著已知攻擊的數(shù)目的日益增加攻擊特征庫也在不斷地擴大著我們可以通過設置自動更新的辦法來讓防火墻自動下載最新的攻擊特征庫。我們可以通過Udate的ＡtackSignatuｒe下設置攻擊特征庫的自動更新.SｉgnatureＰａｃk項可以選擇Bas一般情況下的攻擊特征碼集合、Cliｅnｔ（主要針對降低客戶端上網(wǎng)風險的攻擊特征碼集合Ｓｅrvr主要針對保護服務器端的攻擊特征碼集合、ormMitｉｇａt(yī)iｏ(主要針對蠕蟲的攻擊特征碼集合)四種類型。DaａbａｓeServerURL項填寫著提供攻擊特征庫更新的服務器域名（系統(tǒng)會自動填充，一般不用自己填寫。UdateMode項可以選擇Ｎｏne(不自動更新AuｔomaｔicNｏtifｉcａｔｉｏ有新的更新則發(fā)出通知、Ａutｏmａt(yī)icUpdat(自動更新.Scheduleａt(yī)項可以選擇At(更新時間、Dail（每日更新、eekｌyOn星期幾更新、MonthlyOn（幾月份更新。UdateNow項以動更新攻擊特征庫.5.4.2、深層檢測(）的引用跟前面所講的其他功能一樣，我們同樣是在安全策略中引用ＤI功能．建立一條策略,然后點擊在Acion項旁邊的ＤeeｐInsｐeｃtｉｏn項,彈出配置框，如下圖。Sｅｖeritｙ項可以選擇要防范的攻擊的強度(從Ｃriｔical到Ｉno;Gｒoup項來選擇攻擊的具體組別（按照攻擊的具體對象、協(xié)議、嚴重程度來分;Ａｃtioｎ項用來選擇檢測到攻擊后的處理方法ＮoneIｇnoreDｒopＰaｃketＤropClosｅCｌｉｅnt、CloseServer、Closｅ。選擇完以上項后則可以按ADD按鈕添加到下面的攻擊防護表中去。JUNIPERJUNIPER火墻快速安裝手冊完成了DI能設置的安全策略的Actiｏｎ欄會成一個放大鏡的圖標，如上圖。6、Juｎiper防火墻的ＨA(高可用性)配置為了保證網(wǎng)絡應用的高可用性在部署Jｕnipeｒ防火墻過程中可以在需要保護的網(wǎng)絡邊緣同時部署兩臺相同型號的防火墻設備,實現(xiàn)HA的配置。Juniｐer防火墻提供了三種高可用性的應用配置模式:主備方式、主主方式和雙主冗余方式。在這里，我們只對主備方式的配置進行說明.防火墻HA網(wǎng)絡拓撲圖(主備模式：6.1、使用ｅｂ瀏覽器方式配置ＷebUI（設備—Ａ）①接口Netｗork>Ｉｎteｒfaｃｅs>dit（對于etｈｅrnet7)：輸入以下內(nèi)容,然后單擊OK:ZｏｎｅName:HANetwoｒｋ>Interｆaceｓ>diｔ（對于ethernｅt8):輸入以下內(nèi)容，然后單擊OK：ZonｅNaｍe:HANｅtwoｒk〉Interfａces〉diｔ(對于eｔhernｅt1)：輸入以下內(nèi)容，然后單擊OK：ＺoneＮame：UnｔrｕｓｔSｔaticＩ:（出現(xiàn)時選擇此選項)ＩPAddresｓ／Ｎeｔmasｋ：20。1.１.1／24Ｎetwork>Intｅｒfａces>diｔ（對于eｔｈernｅt３)：輸入以下內(nèi)容,然后單擊Ａppl:ZonｅNamｅ：TrustStatｉcI:(出現(xiàn)時選擇此選項)IPAddｒessNetmasｋ：1．1.1．1／2４JUNIPERJUNIPER火墻快速安裝手冊ManageIP：1０．1.1。20輸入以下內(nèi)容，然后單擊OＫ:IｎterfaceModｅ：NAT②NＳＲPNｅｔwork＞NSRP〉Mｏnｉｔoｒ〉Ｉｎtｅrｆace>VSDＩD:ＤeｉceEdｉtntｅrｆace:以下內(nèi)容,然后單擊Appｌ:ｅtheｒnet1:（選擇)；Ｗｅight：２55ｅtherｎet3:(選擇）；Ｗeigｈt：2５５Netwoｒk〉NＳRP〉Synchroｎizatｉon:選擇NＳRPＲＴＯSnｃｈronizaｔion,然后單擊Appl。Netｗork>NSRP〉Ｃluｓter：在CｌusｔｅｒＩD字段中，鍵入１,然后單擊Aｐｐl.WeｂUI(設備－B)①接口Neｔwork＞Interfaceｓ＞diｔ