JUNIPER防火墙配置维护-web方式.doc

内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 JUNIPER 防火墙配置维护防火墙配置维护 编者 周洪强 审核 谢 斌 中兴通讯固网深圳用服部中兴通讯固网深圳用服部 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 修改记录修改记录 文档编号版本号 拟制人 修改人 审核人 拟制 修改 日期 更改原因主要更改内容要点 无V1 00周洪强谢斌2008 8 20 2008 年专题文档光 盘编写 根据资料修改 无V1 01曹文彬潘玉宝2008 9 11 2008 年专题文档光 盘编写 修改格式 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 目目 录录 第第 1 章章 防火墙的基本知识及概念防火墙的基本知识及概念 1 第第 2 章章 安装步骤安装步骤 2 2 1 初始化配置 2 2 2 端口设置 4 2 2 1 设置 HA 端口 4 2 2 2 连接接口设置 5 2 2 3 Internet 接口设置 6 2 2 4 设置 redundant 冗余接口 7 2 2 5 建立 red1 冗余接口的成员 8 2 3 设置路由 9 2 3 1 路由表选择 9 2 3 2 增加默认路由 10 2 3 3 增加内部网络的路由 11 2 4 NAT 设置 11 2 4 1 设置 Internet 网端的 NAT 11 2 4 2 设置 10 0 0 0 网端的地址翻译 14 2 5 端口服务 15 2 6 定义策略 18 2 6 1 设置 10 0 0 0 网端访问防火墙内部业务处理机服务器的策略 18 2 6 2 内部网络访问外部网络的策略定义 21 2 7 双机冗余 NSRP 配置 22 2 7 1 激活 NSRP 22 2 7 2 设置 VSD Group 23 2 7 3 同步 23 2 7 4 监控端口 24 2 7 5 同步另一台配置 25 2 8 账号管理 26 2 9 配置文件备份 27 2 10 版本升级步骤 29 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 1 第第 1 章章 防火墙的基本知识及概念防火墙的基本知识及概念 摘要 摘要 本章内容介绍防火墙基本知识和概念 安全区是由一个或多个网段组成的集合 需要通过策略来对入站和出站信息流进行调整安全 区是绑定了一个或多个接口的逻辑实体 1 通过多种类型的 NetScreen 设备 用户可以定义多个安全区 确切数目可根据网络需要 来确定 除用户定义的区段外 用户还可以使用预定义的区段 Trust Untrust 和 DMZ 用于第 3 层操作 或者 V1 Trust V1 Untrust 和 V1 DMZ 用于第 2 层操作 2 如果愿意 可以继续使用这些预定义区段 也可以忽略预定义区段而只使用用户定义的 区段 3 另外 用户还可以同时使用这两种区段 预定义和用户定义 利用区段配置的这种灵活性 用户可以创建能够最好地满足用户的具体需要的网络设计 图 1 1 网络图 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 2 第第 2 章章 安装步骤安装步骤 摘要 摘要 本章内容介绍 juniper 防火墙的安装设置 2 1 初始化配置初始化配置 按以下连接防火墙 然后进行初始化设置 1 Console 方式 基于 Console 终端配置 ISG2000 的准备工作如下 安装 Windows 操作系统的 PC 一台 装有超级终端 ISG2000 设备自带的 Console 电缆一条 使用超级终端建立一个连接 通过 Console 电缆一端连接 ISG2000 一端连接 COM COM 的 参数设置如图 2 1 图 2 1 com 属性 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 3 2 基于 WEB 方式 在浏览器地址栏键入 http 10 147 66 65 ISG2000 设备初始 IP 地址 192 168 1 1 如下图 2 2 图 2 2 IE 初始化打开登陆界面 使用 Console 端口做初始化配置 Juniper 防火墙的初始账号和密码分别为 login netscreen password netscreen nsisg2000 setset hostnamehostname FW01FW01 设置主机名称 FW01 FW01 setset intint mgtmgt ipip 10 147 66 65 2710 147 66 65 27 设置管理端口的地址 将电脑网卡地址设置成和管理端口同一网段 3 图形登陆 打开 IE 浏览器 并在 URL 输入防火墙的管理地址 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 4 图 2 3 IE 打开登陆界面 2 2 端口设置端口设置 2 2 1 设置设置 HA 端口端口 选择 Network Interfaces Ethernet1 1 Edit 在 Zone Name HA 将 Ethernet 1 1 设置成 HA 心跳端口 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 5 图 2 4 HA 端口设置界面 选择 Network Interfaces Ethernet1 2 Edit 在 Zone Name HA 将 Ethernet 1 2 设置成 HA 心跳端口 图 2 5 HA 心跳端口设置界面 2 2 2 连接接口设置连接接口设置 选择 Network Interfaces Ethernet2 1 Edit 输入以下内容 单击 OK 在 Zone Name Untrust 将 Ethernet 2 1 设置成 Untrust 安全区域 IP Address Netwask 10 0 0 251 25 输入 IP 地址 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 6 图 2 6 连接接口设置界面 2 2 3 Internet 接口设置 接口设置 图 2 7 Internet 接口设置界面 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 7 2 2 4 设置设置 redundant 冗余接口冗余接口 选择 Network Interfaces Redundant IF 单击 New 图 2 8 redundant 冗余接口界面 输入以下内容 单击 OK Interface Name Redundant 1 建立 red1 接口 Zone Name Trust 将 Red1 接口 设置成 Trust 安全区域 IP Address Netwask 10 147 67 1 27 输入 IP 地址和掩码 图 2 9 Redundant JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 8 图 2 10 redundant 冗余接口界面 2 2 5 建立建立 red1 冗余接口的成员冗余接口的成员 选择 Network Interfaces Ethernet 3 2 输入以下内容 单击 OK As member of group redundant 1 图 2 11 建立 red1 冗余接口的成员界面 选择 Network Interfaces Ethernet 3 1 输入以下内容 单击 OK JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 9 As member of group redundant 1 图 2 12 建立 red1 冗余接口的成员界面 图 2 13 建立 red1 冗余接口的成员界面 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 10 2 3 设置路由设置路由 2 3 1 路由表选择路由表选择 Network Routing Routing Entries 图 2 14 路由表选择界面 2 3 2 增加默认路由增加默认路由 Network Routing Routing Entries trust vr New 输入以下内容 单击 OK Network Address Netmask 0 0 0 0 0 Gateway Interface ethernet2 2 Gateway IP Address 211 138 184 193 网关地址 CMNet6506 接口 地址 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 11 图 2 15 增加默认路由界面 2 3 3 增加内部网络的路由增加内部网络的路由 Network Routing Routing Entries trust vr New 输入以下内容 单击 OK Network Address Netmask 10 147 70 0 255 255 255 0 Gateway Interface redundant1 Gateway IP Address 10 147 70 2 网关地址 F5 VRRP 接口地址 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 12 图 2 16 增加内部网络的路由界面 2 4 NAT 设置设置 2 4 1 设置设置 Internet 网端的网端的 NAT Network Internet List 输入输入 10 147 70 30 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 13 图 2 17 设置 Internet 网端的 NAT 界面 选择正确的接口 Ethernet2 2 接口是连接 Internet 接口 因此选择在该端口上设置 NAT 图 2 18 设置 Internet 网端的 NAT 界面 选择 Network Interface Ethernet 2 2 Edit MIP List NEW JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 14 图 2 19 设置 Internet 网端的 NAT 界面 输入以下内容 单击 OK Mapped IP 211 138 184 198 公网 WWW 服务器地址 Network 255 255 255 255 Host IP Address 10 147 67 68 内网 WWW 服务器网卡地址 Host Virtual Router Name trust vr 图 2 20 设置 Internet 网端的 NAT 界面 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 15 图 2 21 设置 Internet 网端的 NAT 界面 2 4 2 设置设置 10 0 0 0 网端的地址翻译网端的地址翻译 Network Interface Ethernet 2 1 Edit 图 2 22 设置 10 0 0 0 网端的地址翻译界面 选择 MIP JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 16 图 2 23 设置 10 0 0 0 网端的地址翻译界面 输入以下内容 单击 OK Mapped IP 10 0 0 172 服务地址 Network 255 255 255 255 Host IP Address 10 147 67 5 F5 设备 VIP 地址 Host Virtual Router Name trust vr 图 2 24 设置 10 0 0 0 网端的地址翻译界面 2 5 端口服务端口服务 选择 Objects Services Custom 输入输入 10 147 70 5 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 17 图 2 25 设置端口服务界面 选择 输入以下内容 单击 OK 图 2 26 设置端口服务界面 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 18 选择 OK 图 2 27 设置端口服务界面 增加其他的服务 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 19 图 2 28 设置端口服务界面 2 6 定义策略定义策略 2 6 1 设置设置 10 0 0 0 网端访问防火墙内部业务处理机服务器的策略网端访问防火墙内部业务处理机服务器的策略 选择 Policy From Untrust To Global New JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 20 图 2 29 定义策略界面 输入以下内容 单击 OK Source Address Address Book Entry Any Destination Address Address book Entry MIP 10 0 0 172 Service 点击 Multiple 选择以下服务 Brower ud DNS ENUM DNS IN ENUM DNS OUT FTP HTTP HTTPS Push tcp Radius udp Smsc5016 tcp Snmp GET SET UDP SNMP Trap udp Action Permit Logging JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 21 图 2 30 定义策略界面 在选择 service 的选择框 图 2 31 定义策略界面 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 22 图 2 32 定义策略界面 2 6 2 内部网络访问外部网络的策略定义内部网络访问外部网络的策略定义 Policy From Trust To Untrust New 图 2 33 内部网络访问外部网络的策略定义界面 输入以下内容 单击 OK Source Address Address Book Entry Any Destination Address Address book Entry Any Service any Action Permit Logging JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 23 图 2 34 内部网络访问外部网络的策略定义界面 2 7 双机冗余双机冗余 NSRP 配置配置 2 7 1 激活激活 NSRP 选择 Network NSRP Cluster 输入以下内容 单击 Apply Cluster ID 1 0 是关闭 NSRP 功能 参数 1 7 是激活 NSRP NSRP Authentication Password Netscreen NSRP Encryption Password Netscreen JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 24 图 2 35 激活 NSRP 2 7 2 设置设置 VSD Group 选择 Network NSRP VSD Group Configuration 输入以下内容 单击 OK Group ID 0 Priority 50 图 2 36 设置 VSD Group NSRP 2 7 3 同步同步 选择 Network NSRP Synchronization JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 25 图 2 37 同步 2 7 4 监控端口监控端口 NSRP 监控的端口出现故障 两台做双机的设备将切换主 备关系 选择 Network NSRP Monitor Interface VSD ID 0 Edit Interface 图 2 38 监控端口 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 26 图 2 39 监控端口 2 7 5 同步另一台配置同步另一台配置 本操作必须在超级终端中设置 同步过程中关键的信息只有在超级终端中才能看到 该步骤将主防火墙的配置和备份防火墙的配置进行同步 设置前请先将主防火墙的配置备份 一次 使用超级终端登陆备份防火墙的 console 端口 使用一下命令 nsisg2000 set hostname FW02 设置主机名称 FW02 FW02 set int mgt ip 10 147 66 66 27 设置管理端口的地址 FW02 set int e1 1 zone ha 设置 HA 心跳端口 FW02 set int e1 2 zone ha 设置 HA 心跳端口 FW02 set nsrp cluster id 1 FW02 B set nsrp vsd group id 0 priority 100 设备状态切换到备份状态 FW02 B set nsrp rto mirror sync NSRP 的配置 FW02 B exec nsrp sync rto all from peer 将从主设备上向备份 主机同步会话状态信息 FW02 B exec nsrp sync file from peer 将从主设备上向备份主机 JUNIPER 防火墙配置维护 内部公开内部公开 本文中的所有信息归中兴通讯股份有限公司所有 未经允许 不得外传 27 同步配置信息 FW02 B exec nsrp sync global config check sum 将两台设备的 配置进行校检 如有不同 备份的设备将会在重启后把主设备上的配置导入备份主机中 FW02 B exec nsrp sync global config save 如有不同 备份的设备 将会在重启后把主设备上的配置导入备份主机中 以下信息只有在超级终端上才有显示 FW02 B exec nsrp sync global config save load peer system config to save Save global configuration successfully Continue to save local configurations Save local configuration successfully done Please reset your box to let cluster configuration take effect FW02 B reset System reset are you s