斑竹网络专注为中小企业客户提供以管理服务为核心的IT全方位服务 https://www.sysadm.cn
分类: 网络与安全
2013-11-20 12:34:30
一、 Juniper 防火墙常用管理方式:
1、 通过Web 浏览器方式管理。推荐使用IE 浏览器进行登录管理,需要知道防火墙对应端口的管理IP 地址;
2、 命令行方式。支持通过Console 端口超级终端连接和Telnet 防火墙管理IP 地址连接两种命令行登录管理模式;
3、 除了上述的管理方式,还支持SSH SSL 等管理方式;
二、Juniper 防火墙默认设置
1、Juniper 防火墙出厂时可通过缺省设置的IP 地址使用Telnet 或者Web 方式管理。
缺省IP 地址为:192.168.1.1/255.255.255.0;
2、缺省IP 地址通常设置在防火墙的Trust 端口上(NS-5GT)、最小端口编号的物理
端口上( NS-25/50/204/208/SSG 系列)、或者专用的管理端口上
(ISG-1000/2000,NS-5200/5400)
3、Juniper 防火墙缺省登录管理账号:用户名:netscreen;密 码:netscreen。
三、Juniper 防火墙的一些概念
1、安全区(Security Zone):
Juniper 防火墙增加了全新的安全区域(Security Zone)的概念,安全区域是一个逻辑的结构,是多个处于相同属性区域的物理接口的集合。当不同安全区域之间相互通讯时,必须通过事先定义的策略检查才能通过;当在同一个安全区域进行通讯时,默认状态下允许不通过策略检查,经过配置后也可以强制进行策略检查以提高安全性。安全区域概念的出现,使防火墙的配置能更灵活同现有的网络结构相结合。以下图为例,通过实施安全区域的配置,内网的不同部门之间的通讯也必须通过策略的检查,进一步提高的系统的安全。
2、虚拟路由器(Virtual Router):
Juniper 防火墙支持虚拟路由器技术,在一个防火墙设备里,将原来单一路由方式下单一路由表,进化为多个虚拟路由器以及相应的多张独立的路由表,提高了防火墙系统的安全性以及IP 地址配置的灵活性。
3、映射IP(MIP)
MIP是从一个 IP 地址到另一个 IP 地址双向的一对一映射。当防火墙收到一个
目标地址为MIP 的内向数据流时,通过策略控制防火墙将数据转发至MIP 指向地址的主机;当MIP映射的主机发起出站数据流时,通过策略控制防火墙将该主机的源 IP 地址转换成 MIP 地址。
4、虚拟IP(VIP)
VIP是一个通过防火墙外网端口可用的公网IP地址的不同端口(协议端口如:21、
25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且这些服务器是需要对外提供各种服务的。
5、动态IP(DIP)
DIP 的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT 模
式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP 地址,并实现对外网(互
联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP 地址外出访问时,动态转换为一个连续的公网IP 地址池中的IP 地址
四、Juniper 防火墙三种部署模式及基本配置
Juniper 防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:
1、基于TCP/IP 协议三层的NAT 模式;
2、基于TCP/IP 协议三层的路由模式;
3、基于二层协议的透明模式。
4.1 NAT 模式
当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往 Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源 IP 地址和源端口号。防火墙使用 Untrust 区(外网或者公网)接口的 IP 地址替换始发端主机的源 IP 地址;同时使用由防火墙生成的任意端口号替换源端口号。
NAT 模式应用的环境特征:
4.1.1 注册IP 地址(公网IP 地址)的数量不足;
4.1.2 内部网络使用大量的非注册IP 地址(私网IP 地址)需要合法访问Internet;
4.1.3 内部网络中有需要外显并对外提供服务的服务器。
4.2 Route 模式
当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变(除非明确采用了地址翻译策略)。
4.2.1 与NAT模式下不同,防火墙接口都处于路由模式时,防火墙不会自动实施地
址翻译;
4.2.2 与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于
不同的子网中。
4.2.3 路由模式应用的环境特征:
4.2.3.1 防火墙完全在内网中部署应用;
4.2.3.2 NAT 模式下的所有环境;
4.2.3.3 需要复杂的地址翻译
4.3透明模式
当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改 IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的。
透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点:
4.3.1不需要修改现有网络规划及配置;
4.3.2不需要实施 地址翻译
4.3.3可以允许动态路由协议、Vlan trunking的数据包通过。
整理:王余应
QQ:150694131