Juniper网络安全设备应用文档

研发服务中心

研发服务中心

网络文档

Juniper网络安全设备应用文档

（防火墙）

2011-4-25发布

研发服务中心

目录

一、学习内容 ................................................................................................................................... 5

1.概念部分 ................................................................................................................................ 5 2.应用部分 ................................................................................................................................ 5 二、基础部分的学习 ....................................................................................................................... 5 三、防火墙的作用 ........................................................................................................................... 6 四、防火墙设备的特点 ................................................................................................................... 6 五、无安全设备的网络拓扑 ........................................................................................................... 6 六、部署防火墙的网络拓扑 ........................................................................................................... 7 七、防火墙的分类 ........................................................................................................................... 7 八、SSG系列安全业务网关 ............................................................................................................ 7 九、基础应用 ................................................................................................................................... 8 十、设备调试思路 ........................................................................................................................... 9 十一、防火墙设备的设置步骤 ....................................................................................................... 9 十二、对防火墙进行调试的准备工作 ......................................................................................... 10 十三、防火墙的默认状态 ............................................................................................................. 10 十四、部署模式的选择 ................................................................................................................. 11

1. Juniper netscreen 防火墙有三种的应用模式 ......................................................... 11 2.特殊模式： ....................................................................................................................... 11 十五、透明模式 ............................................................................................................................. 11

1.透明模式： ....................................................................................................................... 11 2.适用用的环境： ............................................................................................................... 11 3.优点： ............................................................................................................................... 11 4基于透明模式的拓扑图 .................................................................................................... 11 5.透明模式的实现（命令行） ............................................................................................ 12 十六、NAT模式 .............................................................................................................................. 12

1.适用的网络环境： ........................................................................................................... 12 2.优点： ............................................................................................................................... 12 3.网络拓扑图（NAT/ROUTE） ............................................................................................. 12 4.NAT模式的实现（命令行） ............................................................................................ 13 十七、路由模式 ............................................................................................................................. 13

1.适用的网络环境 ............................................................................................................... 13 2.优点： ............................................................................................................................... 13 3.网络拓扑图（NAT/ROUTE） ............................................................................................. 13 4.路由模式的实现（命令行） ........................................................................................... 14 十八、登录防火墙WEB界面 ......................................................................................................... 14 十九、NS防火墙的WEB界面 ........................................................................................................ 15 二十、WEB下的基本设置 .............................................................................................................. 15

1.设置路由网关 ................................................................................................................... 15 二十一、访问控制的实现 ............................................................................................................. 16

1.访问控制策略包括六个最基本的必要信息 ................................................................... 16 2.其它非必要信息 ............................................................................................................... 16

研发服务中心

二十二、策略设置 ......................................................................................................................... 16 二十三、自定义服务 ..................................................................................................................... 17 二十四、安全域的设置和自定义 ................................................................................................. 18 二十五、特殊应用的实现MIP ...................................................................................................... 20

1.特殊的应用MIP(图) ...................................................................................................... 20 2.特殊的应用MIP .............................................................................................................. 20 3.MIP定义 .......................................................................................................................... 20 4.MIP列表 .......................................................................................................................... 21 5.基于MIP应用的访问策略 ............................................................................................. 21 6.MIP的策略设置 .............................................................................................................. 21 二十六、特殊应用的实现DIP ...................................................................................................... 22

1.特殊的应用DIP（图） .................................................................................................. 22 2.DIP的设置 ...................................................................................................................... 22 3.DIP的地址池设置 .......................................................................................................... 23 4.DIP在策略中的应用 ...................................................................................................... 23 5.应用了DIP的策略现象 ................................................................................................. 24 二十七、特殊应用的实现VIP ...................................................................................................... 24

1.特殊的应用VIP(图) ...................................................................................................... 24 2.特殊应用的实现VIP ...................................................................................................... 25 3.VIP的地址定义 .............................................................................................................. 25 4.VIP的端口映射关系 ...................................................................................................... 25 5.VIP的映射列表 .............................................................................................................. 25 6.VIP的策略 ...................................................................................................................... 26 二十八、配置文件的保存 ............................................................................................................. 26

1.配置文件的导入、导出 ................................................................................................. 27 二十九、防火墙设备恢复出厂状态 ............................................................................................. 27

研发服务中心

文档修改记录

序号 1 C 操作 文档版本 V 1.0 文档更新日期 2011-4-25 文档撰写人 卜红素 文档审核人 说明：创建:C 修改:M 删除D 重命名:R

研发服务中心

一、 学习内容

1. 概念部分

1. 防火墙的概念

2. 具有代表性的Juniper产品（SSG系列） 2. 应用部分

1. 部署模式的选择和实现 2. 访问控制的实现（策略的设置） 3. 安全域的自定义

4. 一些特殊应用的实现（MIP\\DIP\\VIP） 5. 配置文件的保存

二、 基础部分的学习

1. 概念部分

1. 防火墙的概念、特点

2. 具有代表性的Juniper产品（SSG） 2. 防火墙的基本概念

1. 是一个用以阻止网络中的非法用户或非授权用户访问某个机构网络的屏障，也可称

之为控制进/出两个方向通信的阀门。

2. 部署在网络边界位置，通过防火墙设备的检测、过滤、拦截手段，隔离内部信任网

络和外部非信任网络，以阻挡非信任网络对可信任网络的入侵，窃取和破坏，由此实现保护网络的安全。

研发服务中心

三、 防火墙的作用

1. 是基于TCP/IP七层协议中的2~4层协议开发的。

2. 可以防止和缓解基于TCP/IP协议2~4层的攻击行为所造成的安全方面的影响。 3. 部分防火墙设备可以提供有限的应用层防护功能。

四、 防火墙设备的特点

1. 部署位置：

当前的防火墙是边界类网络安全设备。

2. 作用：

隔离信任网络（内部网络）和非信任网络（外部网络，Intcrnct）。

3. 唯一性：

作为进出网络的唯一节点，对进出网络的数据流进行检测、过滤和控制。

五、 无安全设备的网络拓扑

研发服务中心

六、 部署防火墙的网络拓扑

七、 防火墙的分类

1. 防火的分类：

1. 软件防火墙的产品（Check point） 2. PC架构的防火墙产品（诺基亚）

3. 一体化软件设计及纯硬件体系的防火墙产品（Juniper）

八、 SSG系列安全业务网关

如：

? Juniper网络公司SSG550

- 1Gbps的FW IMIX@660K pps - 500Mbps 的VPN/500Mbps IPS - 6个I/O插槽 -4个可插LAN口模块 - 双电源，DC为可选，NEBS为选项

Juniper网络公司SSG140

-300Mbps的FW IMIX@ 100K pps -100Mbps的VPN

-8个10/100以太网或2个 10/100/1000 LAN口模块

研发服务中心

- 12.8万个会话，1000条VPN隧道 -单一电源

-3.2万个会话，175条VPN隧道

九、 基础应用

1. 防火墙的应用部分

1. 应用模式的选择和实现 2. 访问控制的实现（策略的设置） 3. 安全域的应用和自定义 4. 一些基础应用（MIP\\DIP\\VIP） 5. 配置文件的保存

研发服务中心

十、 设备调试思路

1. 了解网络状况。 2. 确定防火墙的部署位置。

3. 选择防火墙的部署模式，规划网络路由信息。 4. 确定策略方向、地址、服务信息。 5. 合理设定访问策略。

十一、 防火墙设备的设置步骤

1. 确定设置防火墙的部署模式

2. 设置防火墙设备的IP地址信息（接口地址或管理地址） 3. 设置防火墙设备的路由信息

4. 确定经过防火墙设备的IP地址信息（基于策略的源、目标地址） 5. 确定网络应用 6. 配置访问控制策略

研发服务中心

十二、 对防火墙进行调试的准备工作

1. 计算机需要有超级终端程序，提供串口。

2. 利用设备提供的控制线连接防火墙的控制口和计算机的串口。

3. 利用网线，连接防火墙的第一个网络接口和计算机的网卡；配置计算机的IP地址，使

该地址与防火墙将要设置的地址保持在相同的网段。 4. 观察防火墙的物理端口灯的状态，确认网络连接是否正常。

5. 建立控制台

在计算机中的开始=》程序=》附件=》超级终端

6. 选择连接的串口

设置端口参数：

每秒位数：9600 数据位：8 奇偶校验：无 停止位：1

数据流控制：无

十三、 防火墙的默认状态

1. 当前出厂的防火墙的默认配置基础如下：

在5.0系列以上的OS中，中低端防火墙设备默认工作在NAT/路由混合模式下；高端设备通常提供独立的管理端口并设置默认IP地址，防火墙所有的基于网络流量转发的端口配置为空。

防火墙的默认IP地址为：192.168.1.1/24，该IP地址在防火墙的Ethernet1或MGT上。

防火墙的默认用户名、密码：

Netscreen（用户名、密码相同）

防火墙的三个接口的安全区域是（指NS-25~NS-208防火墙的配置） Ethernet1 :trunst Ethernet2 :dmz Ethernet3 :untrust Ethernet4 :null

研发服务中心

十四、 部署模式的选择

1. Juniper netscreen 防火墙有三种的应用模式：

1. 透明模式 2. NAT模式 3. 路由模式 2. 特殊模式：

二层模式与三层模式混合部署 （需要一些条件的支持）

十五、 透明模式

1. 透明模式：

看上去于基于TCP/ip协议二层的设备类似，防火墙的端口上没有IP地址，只有一个用于管理的全局IP。 2. 适用用的环境：

一般用于处于相同网段的不同网络之间的安全隔离。

3. 优点：

不需要重新配置路由器或受保护服务器的IP设置。

不需要为到达受保护服务器的内向信息流创建地址映射或端口映射。 4. 基于透明模式的拓扑图

研发服务中心

5. 透明模式的实现（命令行）

因为防火墙在默认情况下，不是透明模式的，因此需要进行调试，更改防火墙的应用模式为透明模式。

命令实现：

Unset interface ethernet1 ip

Set interface ethernet1 zone v1-trust Set interface ethernet2 zone v1-dmz Set interface ethernet3 zone v1-untrust Set interface vlan1 ip 192.168.1.1/24 Save

在命令行下进行调试，需要进行手动保存。

十六、 NAT模式

类似于基于TCP/IP第三层协议的设备，通过协议端口或IP头替换的方式实现地址转发和共享访问互联网的应用。（源自Juniper OS手册） 1. 适用的网络环境：

客户拥有的公网地址数量，不能满足网络中的每个设备都拥有一个公网IP地址的情况。 2. 优点：

针对内网对互联网的访问，可以大量节省公网IP地址，路由结构清晰。

3. 网络拓扑图（NAT/ROUTE）

研发服务中心

4. NAT模式的实现（命令行）

命令实现：

Set interface ethernet1 zone trust Set interface ethernet2 zone dmz Set interface ethernet3 zone untrust

Set interface ethernet1 ip 192.168.1.1/24 Set interface ethernet2 ip 172.16.1.1/24 Set interface ethernet3 ip 10.10.1.1 /24

Set interface Ethernet3 ip gateway 10.10.0.251 Set interface ethernet1 nat Save

十七、 路由模式

与NAT模式类似，也是基于TCP/IP第三层协议的设备，数据流在通过防火墙设备时，IP地址信息部发生替换，以源地址的方式访问互联网或进入网络访问。（源自Juniper OS手册）

1. 适用的网络环境：

拥有足够多的公网IP地址，可以满足网络中的所有设备全部适用和拥有公网IP地址的情况。

2. 优点：

路由关系清晰，系统资源损耗较小。

3. 网络拓扑图（NAT/ROUTE）

研发服务中心

4. 路由模式的实现（命令行）

命令实现：

Set interface ethernet1 zone trust Set interface ethernet2 zone dmz Set interface ethernet3 zone untrust

Set interface ethernet1 ip 192.168.1.1/24 Set interface ethernet2 ip 172.16.1.1/24 Set interface ethernet3 ip 10.10.1.1/24 Set interface ethernet3 gateway 10.10.0.251 Set interface Ethernet1 route Save

十八、 登录防火墙WEB界面

1. 通过微软IE浏览器，在地址栏中输入防火墙的IP地址，登录防火墙的WEB管理页

面，获得管理权限。

2. 防火墙拥有一个默认的IP地址：192.168.1.1，在透明模式下，该IP为：VLAN1

的ip地址，在NAT的模式下，该地址为trust的ip地址，默认在eth1接口上。

研发服务中心

十九、 NS防火墙的WEB界面

二十、 WEB下的基本设置

1. 设置路由网关：

Network > Routing > Routing Entries

研发服务中心

二十一、 访问控制的实现

防火墙的访问控制是依靠防火墙的访问控制策略（Policy）实现的；所有的访问控制由防火墙的访问列表中的策略实现。

1. 访问控制策略包括六个最基本的必要信息：

1. 2. 3. 4. 5. 6.

2. 其它非必要信息：

日志、流量控制、认证、实时流量记录、 策略的方向 源地址信息 目标地址信息 网络服务信息 策略动作信息 策略的排列位置

二十二、 策略设置

研发服务中心

关于策略设置的建议

1. 关于防火墙策略设置的建议；

1. 合理安排策略顺序：

具体策略在上，非具体策略在下； 拒绝策略在上，允许策略在下； VPN策略在上，非VPN策略在下；

2. 优化策略内容：

合理利用地址组、服务组功能

二十三、 自定义服务

在访问策略的定制过程中，个别的用户会使用到非标准的自定义服务，对于这些特殊的服务，就需要进行自定义服务的设置。 设置的位置为：

Objects > Services > Custom

1. 自定义服务的设置

2. 自定义服务组

研发服务中心

1) 在通过防火墙的访问中，通常会出现，内部对外的访问不止一种的情况，如：普通的上

网应用，除了需要打开HTTP应用之外，还要开放DNS服务，否则，对于网络域名的解析就无法实现。

2) 在上面的情况中，我们可以通过两种方法解决问题：第一种是，针对每种具体的应用，

设置单独的策略。第二种是，针对几个应用同时使用的情况，定制一组应用，再针对这一组应用设置一条策略。

服务组的定义位置：

Objects > services > groups >configuration

3. 服务组的设置

二十四、 安全域的设置和自定义

1. 安全域的概念，由NetScreen首先提出

1) NetScreen认为：对于接入防火墙设备的每个网络，它们全部都是非信任的，针对

每个安全域，全部可以自定义它的安全检测项目，即：安全级别。

2) 最常用的安全域为：trust、dmz、untrust三层的安全域；V1-trust、V1-dmz、

V1-untrust二层的安全域；以上的名称都是防火墙的保留字。

2. 安全域的自定义

为什么需要新定义安全域？

1) 防火墙的多端口特征，如：NS-208有8个物理端口，默认的保留域不足以保证每

个端口都是一个安全域。 2) 管理员需要个性化的安全域。

设置的位置：Network > zones > New

研发服务中心

3. 基于二层协议的安全域

1) 在Network > Zones > New 2) 设置名称：L2-任意 3) 选择协议层为第二层

4. 基于三层的安全域

1) 在Network > Zones > New 2) 设置名称：任意 3) 选择协议层为第三层

4) 选择该安全域所在的虚拟路由

5. 防火墙的安全区域

研发服务中心

二十五、 特殊应用的实现MIP

1. 一对一的地址映射，是在防火墙三层的工作模式下实现的。 2. 通常这种设置的需求是：

防火墙内部有一台或几台服务器对inernet的计算机网络用户提供网络服务。同时，网络内部又拥有大量的一般用户；注册地址的数量超过不能满足内部用户的要求。

1. 特殊的应用MIP(图)

2. 特殊的应用MIP

设置位置：

Network =>interface =>ethernet3 =>edit =>MIP =>new

3. MIP定义

研发服务中心

4. MIP列表

5. 基于MIP应用的访问策略

1) 一般应用：

主要的应用是公网IP与内部IP的一对一映射

2) 策略方向：由Untrust到Trust或DMZ 3) 源地址为：ANY 4) 目标地址：MIP(IP) 5) 服务类型：按需可选

6. MIP的策略设置

研发服务中心

二十六、 特殊应用的实现DIP

1. 2. 3. 4.

DIP,动态地址池，与Cisco的IP pool功能类似。 主要是提供对内部地址外出访问时的地址翻译。

通常利用在，拥有大量的注册IP地址，同时，拥有大量非注册地址的网络用户。 理论上，一个注册IP地址可以代理60000多台主机外出。

1. 特殊的应用DIP（图）

2. DIP的设置

设置位置：Network > interface > Edit >DIP

研发服务中心

将一段连续的IP地址输入的对应的位置中，保存为一段地址池；通过访问控制策略调用IP地址池，使内部外出的用户可以动态的获得一个注册的IP。

3. DIP的地址池设置

4. DIP在策略中的应用

研发服务中心

5. 应用了DIP的策略现象

二十七、 特殊应用的实现VIP

1. VIP，端口地址映射

2. 作用是提供一个注册IP地址，对内部多个服务器或计算机提供的基于协议端口方式的

地址映射。

3. 通常使用的情况是，网内有多个服务器对internet提供网络服务，每个服务器调用的

服务端口都不同。

4. 客户拥有的注册IP地址的数量不足以满足每个服务器一个IP地址的需要。

1. 一些特殊的应用VIP(图)

研发服务中心

2. 一些特殊应用的实现VIP

1) VIP的实现方式：

设置位置：Network >interface >Edit >VIP/VIP Services

2) 首先，添加一个注册的IP地址。

3) 然后，增加一个内部的私有地址与该地址对应，并提供对应的协议端口。 4) 最后，设置访问控制策略。

3. VIP的地址定义

4. VIP的端口映射关系

5. VIP的映射列表

研发服务中心

6. VIP的策略

二十八、 配置文件的保存

1. 防火墙的配置文件支持导入、导出功能。

通过导入、导出功能对于因调试原因导致的问题，可以实现快速的恢复。

2. 配置文件的导出：

Configuration > Update > Config File >save to file > 保存到具体的位置

研发服务中心

3. 配置文件的导入：

Configuration > Update > Config File > 浏览 > 找到配置文件 >Apply

1. 配置文件的导入、导出

二十九、 防火墙设备恢复出厂状态

1. 在知道防火墙的根用户名和密码的前提下：

可以通过命令行的方式对防火墙进行初始化的操作，不论是通过何种方式的命令行登陆都可以实现初始化。

在登陆命令行之后，输入：Unset all回车确认，并断电重启动设备，完成启动后，则此时防火墙处于出厂状态。

2. 在忘记防火墙的根用户名和密码饿前提下：

可以通过超级终端连接防火墙的控制台，并利用防火墙设备的SN作为用户名和密码使用登陆防火墙，根据提示，一路YES,即可完成防火墙的初始化操作，待防火墙重新启动之后，即可利用防火墙的默认配置登陆防火墙的管理界面了。

本文来源：https://www.bwwdw.com/article/c9yo.html