[计算机硬件及网络]JUNIPER防火墙配置维护-web方式.doc

内部文件 JUNIPER 防火墙配置维护防火墙配置维护 内部文件 目目 录录 第第 1 章章 防火墙的基本知识及概念防火墙的基本知识及概念1 第第 2 章章 安装步骤安装步骤2 2.1 初始化配置.2 2.2 端口设置.4 2.2.1 设置 HA 端口.4 2.2.2 连接接口设置.5 2.2.3 Internet 接口设置。6 2.2.4 设置 redundant 冗余接口7 2.2.5 建立 red1 冗余接口的成员.8 2.3 设置路由.9 2.3.1 路由表选择9 2.3.2 增加默认路由.10 2.3.3 增加内部网络的路由11 2.4 NAT 设置.11 2.4.1 设置 Internet 网端的 NAT11 2.4.2 设置 网端的地址翻译.14 2.5 端口服务.15 2.6 定义策略.18 2.6.1 设置 网端访问防火墙内部业务处理机服务器的策略18 2.6.2 内部网络访问外部网络的策略定义21 2.7 双机冗余 NSRP 配置.22 2.7.1 激活 NSRP22 2.7.2 设置 VSD Group23 2.7.3 同步.23 2.7.4 监控端口24 2.7.5 同步另一台配置.25 2.8 账号管理.26 2.9 配置文件备份.27 2.10 版本升级步骤.29 内部文件 第第 1 章章 防火墙的基本知识及概念防火墙的基本知识及概念 摘要：摘要： 本章内容介绍防火墙基本知识和概念。 安全区是由一个或多个网段组成的集合，需要通过策略来对入站和出站信息流进行调整安全 区是绑定了一个或多个接口的逻辑实体。 1 通过多种类型的 NetScreen 设备，用户可以定义多个安全区，确切数目可根据网络需要 来确定。除用户定义的区段外，用户还可以使用预定义的区段：Trust、Untrust 和 DMZ（用于第 3 层操作） ，或者 V1-Trust、V1-Untrust 和 V1-DMZ（用于第 2 层操作） 。 2 如果愿意，可以继续使用这些预定义区段。也可以忽略预定义区段而只使用用户定义的 区段。 3 另外，用户还可以同时使用这两种区段:预定义和用户定义。利用区段配置的这种灵活性， 用户可以创建能够最好地满足用户的具体需要的网络设计。 图 1-1 网络图 内部文件 第第 2 章章 安装步骤安装步骤 摘要：摘要： 本章内容介绍 juniper 防火墙的安装设置。 2.1 初始化配置初始化配置 按以下连接防火墙，然后进行初始化设置。 1 Console 方式 基于 Console 终端配置 ISG2000 的准备工作如下： 安装 Windows 操作系统的 PC 一台（装有超级终端） ISG2000 设备自带的 Console 电缆一条 使用超级终端建立一个连接，通过 Console 电缆一端连接 ISG2000，一端连接 COM，COM 的 参数设置如图 2-1： 图 2-1 com 属性 JUNIPER 防火墙配置维护 内部资料内部资料 2 基于 WEB 方式 在浏览器地址栏键入 5（ISG2000 设备初始 IP 地址 ） ，如下图 2-2： 图 2-2 IE 初始化打开登陆界面 使用 Console 端口做初始化配置。Juniper 防火墙的初始账号和密码分别为： login: netscreen password:netscreen nsisg2000- setset hostnamehostname FW01FW01 -设置主机名称 FW01- FW01- setset intint mgtmgt ipip 5/275/27 -设置管理端口的地址 将电脑网卡地址设置成和管理端口同一网段。 3 图形登陆 打开 IE 浏览器，并在 URL：输入防火墙的管理地址。 JUNIPER 防火墙配置维护 内部资料内部资料 图 2-3 IE 打开登陆界面 2.2 端口设置端口设置 2.2.1 设置设置 HA 端口端口 选择 Network Interfaces Ethernet1/1 Edit 在 Zone Name ：HA -将 Ethernet 1/1 设置成 HA 心跳端口 图 2-4 HA 端口设置界面 JUNIPER 防火墙配置维护 内部资料内部资料 选择 Network Interfaces Ethernet1/2 Edit 在 Zone Name ：HA -将 Ethernet 1/2 设置成 HA 心跳端口 图 2-5 HA 心跳端口设置界面 2.2.2 连接接口设置连接接口设置 选择 Network Interfaces Ethernet2/1 Edit ：输入以下内容，单击 OK 在 Zone Name ：Untrust -将 Ethernet 2/1 设置成 Untrust 安全区域 IP Address / Netwask : 51 /25 -输入 IP 地址 JUNIPER 防火墙配置维护 内部资料内部资料 图 2-6 连接接口设置界面 2.2.3 Internet 接口设置。接口设置。 图 2-7 Internet 接口设置界面 JUNIPER 防火墙配置维护 内部资料内部资料 2.2.4 设置设置 redundant 冗余接口冗余接口 选择 Network Interfaces Redundant IF：单击 New 图 2-8 redundant 冗余接口界面 输入以下内容，单击 OK Interface Name : Redundant 1 -建立 red1 接口 Zone Name ：Trust -将 Red1 接口 设置成 Trust 安全区域 IP Address / Netwask : /27 -输入 IP 地址和掩码 图 2-9 Redundant JUNIPER 防火墙配置维护 内部资料内部资料 图 2-10 redundant 冗余接口界面 2.2.5 建立建立 red1 冗余接口的成员冗余接口的成员 选择 Network Interfaces Ethernet 3/2：输入以下内容，单击 OK As member of group : redundant 1 图 2-11 建立 red1 冗余接口的成员界面 选择 Network Interfaces Ethernet 3/1：输入以下内容，单击 OK As member of group : redundant 1 JUNIPER 防火墙配置维护 内部资料内部资料 图 2-12 建立 red1 冗余接口的成员界面 图 2-13 建立 red1 冗余接口的成员界面 2.3 设置路由设置路由 2.3.1 路由表选择路由表选择 Network Routing Routing Entries JUNIPER 防火墙配置维护 内部资料内部资料 图 2-14 路由表选择界面 2.3.2 增加默认路由增加默认路由 Network Routing Routing Entries trust-vr New，输入以下内容，单击 OK。 Network Address / Netmask : / 0 Gateway： Interface: ethernet2/2 Gateway IP Address : 93 -网关地址，CMNet6506 接口 地址 图 2-15 增加默认路由界面 JUNIPER 防火墙配置维护 内部资料内部资料 2.3.3 增加内部网络的路由增加内部网络的路由 Network Routing Routing Entries trust-vr New，输入以下内容，单击 OK。 Network Address / Netmask : / Gateway： Interface: redundant1 Gateway IP Address : -网关地址，F5 VRRP 接口地址 图 2-16 增加内部网络的路由界面 2.4 NAT 设置设置 2.4.1 设置设置 Internet 网端的网端的 NAT Network Internet（List） 输入输入 0 JUNIPER 防火墙配置维护 内部资料内部资料 图 2-17 设置 Internet 网端的 NAT 界面 选择正确的接口。Ethernet2/2 接口是连接 Internet 接口，因此选择在该端口上设置 NAT。 图 2-18 设置 Internet 网端的 NAT 界面 选择 Network Interface Ethernet 2/2 Edit MIP （List） NEW JUNIPER 防火墙配置维护 内部资料内部资料 图 2-19 设置 Internet 网端的 NAT 界面 输入以下内容，单击 OK。 Mapped IP : 98 -公网 WWW 服务器地址 Network : 55 Host IP Address : 8 -内网 WWW 服务器网卡地址 Host Virtual Router Name :trust-vr 图 2-20 设置 Internet 网端的 NAT 界面 JUNIPER 防火墙配置维护 内部资料内部资料 图 2-21 设置 Internet 网端的 NAT 界面 2.4.2 设置设置 网端的地址翻译网端的地址翻译 Network Interface Ethernet 2/1 Edit 图 2-22 设置 网端的地址翻译界面 选择 MIP。 JUNIPER 防火墙配置维护 内部资料内部资料 图 2-23 设置 网端的地址翻译界面 输入以下内容，单击 OK。 Mapped IP : 72 -服务地址 Network : 55 Host IP Address : -F5 设备 VIP 地址 Host Virtual Router Name :trust-vr 图 2-24 设置 网端的地址翻译界面 2.5 端口服务端口服务 选择 Objects Services Custom： 输入输入: JUNIPER 防火墙配置维护 内部资料内部资料 图 2-25 设置端口服务界面 选择，输入以下内容，单击 OK。 图 2-26 设置端口服务界面 JUNIPER 防火墙配置维护 内部资料内部资料 选择 OK。 图 2-27 设置端口服务界面 增加其他的服务： JUNIPER 防火墙配置维护 内部资料内部资料 图 2-28 设置端口服务界面 2.6 定义策略定义策略 2.6.1 设置设置 网端访问防火墙内部业务处理机服务器的策略网端访问防火墙内部业务处理机服务器的策略 选择 Policy From Untrust To Global New JUNIPER 防火墙配置维护 内部资料内部资料 图 2-29 定义策略界面 输入以下内容，单击 OK。 Source Address : Address Book Entry :Any Destination Address: Address book Entry : MIP（72） Service : 点击 Multiple ，选择以下服务 Brower_ud DNS ENUM_DNS_IN ENUM_DNS_OUT FTP HTTP HTTPS Push_tcp Radius_udp Smsc5016_tcp Snmp_GET_SET-UDP SNMP_Trap_udp Action : Permit Logging : JUNIPER 防火墙配置维护 内部资料内部资料 图 2-30 定义策略界面 在选择 service 的选择框。 图 2-31 定义策略界面 JUNIPER 防火墙配置维护 内部资料内部资料 图 2-32 定义策略界面 2.6.2 内部网络访问外部网络的策略定义内部网络访问外部网络的策略定义 Policy From Trust To Untrust New 图 2-33 内部网络访问外部网络的策略定义界面 输入以下内容，单击 OK Source Address : Address Book Entry :Any Destination Address: Address book Entry : Any Service : any Action : Permit Logging : JUNIPER 防火墙配置维护 内部资料内部资料 图 2-34 内部网络访问外部网络的策略定义界面 2.7 双机冗余双机冗余 NSRP 配置配置 2.7.1 激活激活 NSRP 选择 Network NSRP Cluster ，输入以下内容，单击 Apply Cluster ID :1-0 是关闭 NSRP 功能，参数 1-7 是激活 NSRP NSRP Authentication Password: Netscreen NSRP Encryption Password: Netscreen JUNIPER 防火墙配置维护 内部资料内部资料 图 2-35 激活 NSRP 2.7.2 设置设置 VSD Group 选择 Network NSRP VSD Group Configuration，输入以下内容，单击 OK。 Group ID :0 Priority :50 图 2-36 设置 VSD Group NSRP 2.7.3 同步同步 选择 Network NSRP Synchronization。 JUNIPER 防火墙配置维护 内部资料内部资料 图 2-37 同步 2.7.4 监控端口监控端口 NSRP 监控的端口出现故障，两台做双机的设备将切换主/备关系。 选择 Network NSRP Monitor Interface VSD ID : 0 Edit Interface。 图 2-38 监控端口 JUNIPER 防火墙配置维护 内部资料内部资料 图 2-39 监控端口 2.7.5 同步另一台配置同步另一台配置 本操作必须在超级终端中设置。同步过程中关键的信息只有在超级终端中才能看到。 该步骤将主防火墙的配置和备份防火墙的配置进行同步，设置前请先将主防火墙的配置备份 一次。 使用超级终端登陆备份防火墙的 console 端口。 使用一下命令： nsisg2000- set hostname FW02 -设置主机名称 FW02- FW02- set int mgt ip 6/27 -设置管理端口的地址 FW02- set int e1/1 zone ha -设置 HA 心跳端口 FW02- set int e1/2 zone ha -设置 HA 心跳端口 FW02-set nsrp cluster id 1 FW02（B）-set nsrp vsd-group id 0 priority 100 -设备状态切换到备份状态 FW02（B）-set nsrp rto-mirror sync -NSRP 的配置 FW02（B）- exec nsrp sync rto all from peer -将从主设备上向备份 主机同步会话状态信息 FW02（B）- exec nsrp sync file from peer -将从主设备上向备份主机 同步配置信息 JUNIPER 防火墙配置维护 内部资料内部资料 FW02（B）- exec nsrp sync global-config check-sum -将两台设备的 配置进行校检，如有不同，备份的设备将会在重启后把主设备上的配置导入备份主机中 FW02（B）- exec nsrp sync global-config save -如有不同，备份的设备 将会在重启后把主设备上的配置导入备份主机中 以下信息只有在超级终端上才有显示： FW02 （B）- exec nsrp sync global-config save load peer system config to save Save global configuration successfully. Continue to save local configurations . Save local configuration successfully. done. Please reset your box to let cluster configuration take effect! FW02 （B）- reset System reset, are you sure?