分类: WINDOWS
2009-07-24 12:00:49
Juniper防火墙简明实用手册
版本:Juniper防火墙5.0中文参考手册,内容非常庞大和繁杂,其中很多介绍和功能实际应用的可能性不大,为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作,下面简单对参考手册中的重点章节进行一个总结和概括,掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。
l 安全区
l 安全区接口
l 策略
l 配置静态路由
l 安全区
l 配置安全区
l 功能区段:HA区段
l 接口类型:安全区接口:物理
l 接口类型:安全区接口:功能区段接口
l 察看接口
l 配置安全区接口:将接口绑定到安全区、从安全区解除接口绑定、修改接口、跟踪IP地址
l 二级IP地址
l 透明模式
l NAT模式
l 路由模式
l 地址:地址条目、地址组
l 服务:预定义的服务、定制服务
l DIP池:端口地址转换、范例:创建带有PAT的DIP池、范例:修改DIP池、扩展接口和DIP
l 时间表
l 三种类型的策略
l 策略定义
l 策略应用
l 地址转换简介
l 源网络地址转换
l 目的网络地址转换
l 映射IP 地址
l 虚拟IP地址
l 下载/上传设置和固件
l 系统时钟
l 通过WEB 用户界面进行管理
l 通过命令行界面进行管理
l 管理的级别:根管理员、可读/ 写管理员、只读管理员、定义Admin用户
l 保证管理信息流的安全:更改端口号、更改Admin 登录名和密码、重置设备到出厂缺省设置、限制管理访问
l 储存日志信息
l 事件日志
l 信息流日志
l 系统日志
l NSRP 概述
l NSRP 和NETSCREEN 的操作模式
l NSRP集群
l VSD组
l 同步
l 设备故障切换(NSRP)
l VSD 组故障切换(NSRP)
l 为设备或VSD 组故障切换配置对象监控
对一台空配置的Juniper防火墙我们可以用两种方法去进行操纵:Console控制台和WEB。
1. Console控制台:使用Console线连接到Juniper的防火墙上的Console口,利用超级终端用CLI命令行界面进行配置。
2. 使用WEB界面:Juniper防火墙上默认情况下在E1接口(trust)口有一个初始管理IP地址192.168.1.1 255.255.255.0;我们可以把自己的笔记本和防火墙的E1口用一根交叉线连接起来,然后把本机的地址配置为192.168.1.X 255.255.255.0,之后我们就可以在本机上通过IE浏览器登陆192.168.1.1的地址通过WEB界面对设备进行配置了。
注意1:Juniper防火墙接口的WEB管理特性默认只在E1接口(trust)口才启用,也就是说我们有可能无法通过用WEB登陆其他接口进行操纵,除非我们提前已经打开了相应接口的WEB管理选项。
注意2:如果Juniper防火墙上有配置,我们不知道目前E1接口的IP地址,我们可以先通过Console控制台用“get interface”的命令看一下目前E1口的IP地址。
注意3:Juniper防火墙OS 5.0以上的版本支持MDI和MDIX自适应,也就是说我们的主机和E1口也可以用直通线进行互连,但这种方式有失效的时候,如果出现用交叉线互连物理也无法UP的情况,可以在Console控制台用 “ NS208-> delete file flash:/ns_sys_config”删除配置文件并重起防火墙的方式可以解决(Juniper的BUG)。
注:系统默认登陆用户名和口令都是:“netscreen”。
使用WEB登陆防火墙的管理地址,进入GUI管理界面,如上图所示。
l 左边是主配置菜单。
l 右边最上方是系统启动以及时间信息,右上角显示主机名。
l Device information:设备信息,显示设备硬软件版本、序列号以及主机名。
l Interface link status:接口链路状态,显示接口所属区和链路UP/DOWN信息。
l Resources Status:资源状况,显示系统CPU和内存使用率以及目前的会话和策略是系统满负荷的比例。(其中注意内存使用率是不真实的,在系统空负荷的情况下内存占用率也会很高,是系统本身设计的问题)。
l The most recent alarms:系统最近的报警信息
l The most recent events:系统最近的通告信息
在主菜单中我们经常用到的配置菜单如下,后面将针对这些常用配置选项进行详细的介绍。
1. Configuration:Date/Time;Update;Admin;Auth;Report Settings
2. Network:Zones;Interfaces;Routing;NSRP
3. Polices
4. Objects:Addresses;Services
5. Reports:Polices
只要能够熟练掌握以上设置选项,就足以应对外网改造和日常维护的工作。
准确设置Juniper防火墙的时钟主要是为了使LOG信息都带有正确的时间以便于分析和排错,设置时钟主要有三种方法。
1. 用CLI命令行设置:set clock mm/dd/yyyy hh:mm:ss 。
2. 用WEB界面使用和客户端本机的时钟同步:简单实用。
3. 用WEB界面配置NTP和NTP服务器的时钟同步。
l 在这个菜单中我们可以查看目前文本形式的配置文件,把目前的配置文件导出进行备份,以及替换和更新目前的配置。
l 注意单选框默认是点选在“Merge to Current Configration”即和目前配置融合的位置,而我们一般是要完全替换目前的配置文件的,因此一定要注意把单选框点击到“Replace Current Configration”。
l 当进行配置替换的之后系统会自动重起使新配置生效。
l TIP:进行配置的替换必须用ROOT用户进行登陆,用Read-Write用户进行登陆是无法进行配置的替换操纵的,只有融合配置的选项,替换目前配置的选项将会隐藏不可见,如下图所示:
l
l 只有用根ROOT用户才能够创建管理员账户。
l 可以进行ROOT用户账户用户名和密码的更改,但此账户不能被删除。
l 可以创建只读账户和读写账户,其中读写账户可以对设备的大部分配置进行更改。
l 查看目前的安全区设置
l 安全区内必须有物理接口才会有实际意义,每一个安全区同时可以包含多个物理接口,但每一个物理接口同时只能属于一个安全区。
l 几个系统默认的安全区和接口:
1:Trust区包含ETH1口
2:Untrust区包含ETH4口
3:DMZ区包含ETH3口
其他区必须进行手工创建并把相应物理接口放入安全区内。
l 虚拟路由我们统一选Trust-Vr,多个VR对我们没有太大意义,不建议使用。
l 创建新的安全区:
l 在输入安全区名称后其余选项均保持默认值即可。
l 接口概要显示接口的IP地址信息,所属安全区,接口类型和链路的状态。其中接口类型除非是防火墙使用透明模式,否则都会是Layer3三层的。
接口基本配置包括接口的IP地址掩码,是否可以被管理,接口的模式以及接口的管理特性选项。
l 最上面的几个链接是配置NAT地址转换以及IP跟踪等高级特性的。
l 下面那个其中需要大家配置的地方是设置此物理接口属于哪个安全区,从下拉框中点选,其他选项保持不变即可。
l Staitc IP选择框是设置接口的IP地址和掩码信息的,其中有一个Mangeable的选项,只有选中我们才可以通过WEB或TELNET登陆此地址进行管理。Manage IP框保持为空的时候系统会自动把实际IP作为管理IP自动加上。
l 接口模式有路由模式和NAT模式:
NAT模式:从此接口进入从其他口流出的流量源地址都会做转换,即使我们在策略中不引用转换地址池,源地址都会转换为出站的接口地址。
路由模式:除非我们在策略定义中明确引用了转换地址池,否则源地址都不会做转换。
由于路由模式比NAT模式更灵活,所以我们一般都会用路由模式。
l ETH1口默认是NAT模式,一定要注意把其更改为Route路由模式。
l Service options服务选项:设置此接口是否允许被PING,WEB或TELNET等方式进行管理,默认情况下ETH1(内网口)的都是打开的,而ETH4口(外网口)的WEB和TELNET管理选项是关闭的,也就是说如果我们想从外网登陆ETH4口的IP进行管理,必须把相应的WEB或TELNET选项点中。
l 最后的配置框可以保持默认值。
Juniper防火墙的地址转换有三种方式:MIP-静态一对一地址转换;VIP-虚拟一对多地址转换;DIP-动态多对多地址转换。
由于MIP和VIP地址转换有一些规则限制,比如要转换外网发起流量的源地址的时候,转换后的地址必须和ETH1内网口在同一个子网,否则无法配置。而DIP不受此规则的影响,同时可以完成MIP和VIP的功能,应用和设置比较灵活,因此我们建议地址转换统一采用DIP的方式。
l 配置MIP静态地址映射的时候要注意转换后的虚拟地址要在数据流的出站接口上进行配置:例如流量从E1口入从E4口出,192.168.1.1访问外网,我们把192168.1.1的地址转换为1.1.1.1,那么这个1.1.1.1的地址的MIP是做在出站接口,也就是E4口上的。
l 新建MIP静态地址映射
l 当使用静态MIP地址映射时,对方发起的数据流的目的地地址要注意设置为MIP后的地址。
l DIP动态地址转换可以实现一对一,一对多,多对一和多对多的访问。
l DIP地址池和MIP一样要设置在出站接口上来实现源地址的翻译。
l DIP地址池可以和出站接口不再一个网段(使用扩展IP技术)。
l 如果访问是多对一的(多个客户端访问一个服务器),必须使用Port-Xlate端口转换特性(默认设置,建议都使用这种方式)。
l 如果DIP被策略引用则无法编辑和更改,必须先移除策略后才可以编辑。
l 创建新的DIP地址池:
l 如果DIP地址池和出站接口不在同一网段必须使用扩展IP特性,把选择框选择到下方“In the same as the extended ip”,并输入一个扩展IP的地址。
l 例如出站接口是9X.2.244.1/28,而源地址出站时我们想转换成192.168.1.X的地址,那么在扩展IP框中我们可以输入192.168.1.0/24。
l 扩展IP地址可以使用一个地址也可以用一个网段,推荐使用网段的方式。
l 同一DIP地址网段可以同时分布在多个接口上,比如9X.2.18.0虚拟地址簿可以同时设置在E1、E2和E3口上。
l 但同一个DIP地址只能同时设置在一个接口上,比如9X.2.18.1地址只能设置在E1或E2或E3口上,不能同时在多个接口上都设置9X.2.18.1。
Juniper防火墙我们一般仅使用静态路由,静态路由的选路规则和路由器基本相同,例如最长掩码匹配优先,接口如果DOWN,相应静态条目会消失。
l 路由我们统一都设在trust-vr中(默认选项)。
l 只有带“*”号的才表示路由有效,等同于路由器show ip route的效果。
l 添加的路由条目只能删除,无法编辑。
l 目标地址段可以写IP/掩码也可以写IP/前缀;如100.1.1.0 255.255.255.0或者100.1.1.0/24。
l 下一跳默认都是点在Next Hop Virtual Router Name;一定要注意改点到Gateway处,否则路由不生效。
l 接口和下一跳网关地址都要选择和输入。
l 可以选择查看从某个源安全区到某个目的安全区的策略,也可以选择从ALL到ALL来查看所有的策略。
l Service是系统预定义或我们自定义的服务端口号。
l Action动作是指策略是允许或拒绝,允许是一个对勾,拒绝是一个X,另外如果是绿色图表说明没有做源地址转换,蓝色图表说明做了源地址转换。
l 在Option下如果有一个小记事本的图表,说明我们要记录此数据流,当数据流通过时可以看到详细的地址转换情况。
l 生效:可以通过取消对勾让本策略暂时失效。
l 移动:可以调整策略查找的顺序,策略的查找和匹配默认是从上到下,我们可以通过移动来控制策略生效的顺序。
l 源地址和目的地址如果以前曾经设置过,可以用下拉菜单进行选择,否则需要在New Address新地址栏进行输入。
l 如果地址曾经输入过,做策略时我们仍在New Address栏中进行输入,点击确定的时候系统会出现重复IP地址条目的提示信息,但不影响策略的设置。
l 入侵检测的配置如果自己不是特别了解应用的特性建议不要做任何配置,保持原有默认配置不变。
l 在进行调试时建议打开LOG记录,看是否有数据流通过及地址转换情况。
l 如果要进行源或目的地址的转换需要点击高级选项进入二级配置菜单。
l 源地址转换点击DIP下拉菜单后前面的选择框会自动选中。
l 目的地址转换必须手工点击选中前面的目标地址转换的选择框。
对象Object的设置主要是为了简化和方便策略的引用和设置,比如地址组和服务组等,下面我们重点介绍一下服务的设置。
服务其实就是给对方提供的一些协议端口号,其中大部分的常见服务设备已经提前设置好,比如web,telnet等等,但是一些非常用的端口号,比如TCP 8888等就需要我们自己进行自定义设置了。
l 查看自定义的服务:Objects-Services-Custom
l 技巧:我们可以给服务一个名称,可用中文描述一个中间业务的名称,然后在策略里进行引用,这样在进行排错的时候我们就可以很方便地找到相应的策略,虽然我们也可以给策略一个名称,但在策略汇总表中是不显示出来的。
l 创建一个新的服务
l 目标协议和端口号我们可以设置多个组合,例如TCP 8888+UDP+ICMP等
l 我们一般仅设置目标端口号,源端口号不做限制,例如我们要提供一个WWW的服务,类似设置就是:
TCP 0 65535 80 80
l 如果设置允许ICMP的PING,可以设置为:ICMP 8 0
如果我们想看具体某一条策略是否有流量或流量的源地址、目的地址以及源和目的转换的情况我们可以在策略中点击记事本直接进行观看。
另外系统也提供一个汇总的方式让我们能够方便地观测所有策略的数据流的概要信息,比如在一个时刻都有哪些业务在运行,每种业务的数据量等等。
点击Reports-Polices:
如上图所示,我们可以直观地看到某个时刻都有哪些业务流在进行,灰色的记事本代表没有业务,蓝色的代表有业务数据流,点击蓝色记事本可以查看业务数据流的详细信息。
