Juniper-高级防火墙的知识(命令).ppt

Juniper防火墙的MIP/VIP/DIP,Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现，包括：MIP、VIP和DIP，这三种常用功能主要应用于防火墙所保护服务器提供对外服务。MIPMIP是“一对一”的双向地址翻译（转换）过程。通常的情况是：当你有若干个公网IP地址，又存在若干的对外提供网络服务的服务器（服务器使用私有IP地址），为了实现互联网用户访问这些服务器，可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射（MIP），并通过策略实现对服务器所提供服务进行访问控制。VIPMIP是一个公网IP地址对应一个私有IP地址，是一对一的映射关系；而VIP是一个公网IP地址的不同端口（协议端口如：21、25、110等）与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址，却拥有多个私有IP地址的服务器，并且，这些服务器是需要对外提供各种服务的。DIPDIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下，通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址，并实现对外网（互联网）的访问，这种应用存在一定的局限性。解决这种局限性的办法就是DIP，在内部网络IP地址外出访问时，动态转换为一个连续的公网IP地址池中的IP地址。特别是在当你的网络出现双链路的时候，DIP的配置更是出色。,Juniper防火墙的策略配置,在Juniper设备中策略是一个重点，因为安全设备基本上都是基于策略的管理和运行，下面就Juniper的如何配置进行简单的说明.在Juniper防火墙中，区域是一个比较重要的感念，一般的Juniper设备都设置了Untrust,Trust和DMZ三个区域，也可以根据实际的需要自行定义区域，比如电信行业经常的BOSS,OA区域。具体的使用命令：netscreenisg1000-setzoneid1000bossnetscreenisg1000-setzoneid1001oa然后使用命令讲相关的防火墙接口加入Zone中，具体的命令：netscreenisg1000-setinterfaceethernet2/4zonebossnetscreenisg1000-setinterfaceethernet2/5zoneoa并且在接口上配置相关的IP地址:netscreeenisg1000-setinterfaceethernet2/4ip4/25setinterfaceethernet2/4routesetinterfaceethernet2/5ip26/28setinterfaceethernet2/5nat然后就是需要建立MIP/VIP.比如需要建立一个MIP，私网地址4，公网地址4，图形界面使用比较简单，比如ethernet1/1是一个untrust区域的接口地址。netscreeenisg1000-setpolicyid22fromUntrusttoTrustAnyMIP(1)ANYpermitlognetscreeenisg1000-setpolicyid19fromUntrusttoTrustAnyMIP(05)HTTPpermitlog关于policy就写这么多，关于MIP的是使用后面会继续手写。,Juniper防火墙的管理,在实际的网络工程中，Juniper的防火墙产品被大量的应用在网络环境中。但是Juniper防火墙产品的配置也是大家比较陌生的，下面就通过Juniper防火墙的使用来说明如何配置。本次介绍的Juniper防火墙产品全部是在Junipernetscreen-ISG1000和Junipernetscreen-ISG2000中实现的.其中Junipernetscreen-ISG1000的版本SoftwareVersion:5.0.0r10a.4,Type:Firewall+VPN.Junipernetscreen-ISG2000的版本SoftwareVersion:6.0.0r4.0,Type:Firewall+VPN1Juniper防火墙产品的管理对于防火墙产品的管理和配置主要有以下几个方法：（1）console方式Juniper防火墙和Cisco的路由器和防火墙之类的一样，初次配置需要使用console线缆进行配置，具体的参数设置和Cisco的路由器和防火墙一致。在这里就具体的不说了。（2）telnet或者ssh对于使用telnet或者ssh进行管理Juniper防火墙,首先必须配置管理地址并且启用telnet或者ssh服务。在Junipernetscreen-ISG1000中默认的管理地址，就可以使用telnet或者ssh工具进行远程管理。具体的使用命令setinterfaceethernet1/1managetelnetsetinterfaceethernet1/1managessh比如；telnet在Junipernetscreen-ISG2000中的默认地址为/24，建议使用命令行进行修改。setinterfacemgtip/24setinterfacemgtmanagetelnet,setinterfacemgtmanagessh,setinterfacemgtmanageweb（3）web方式管理web方式管理和使用telnet或者ssh一样，首先要配置管理地址和启用web服务。具体的命令为：setinterfaceethernet1/1ip3/28setinterfaceethernet1/1manageweb然后使用3来进行管理。,Juniper防火墙常见命令,常见的命令（1）getsystemnetscreenisg2000-getsystemProductName:NetScreen-2000SerialNumber:XXXXXXXX,ControlNumber:00000000HardwareVersion:3010(0)-(04),FPGAchecksum:00000000,VLAN1IP()SoftwareVersion:6.0.0r4.0,Type:Firewall+VPNOSLoaderVersion:1.1.5Compiledbybuild_masterat:FriJan1114:27:42PST2008BaseMac:001b.c06a.1080FileName:default(nsISG200r4.0),Checksum:1e5d880f,TotalMemory:2048MBDate06/04/200908:28:24,DaylightSavingTimedisabledTheNetworkTimeProtocolisDisabledUp805hours29minutes18secondsSince01May2009:18:59:06TotalDeviceResets:0(2)getinterfacenetscreenisg2000-getinterfaceA-Active,I-Inactive,U-Up,D-Down,R-Ready,Juniper防火墙常见命令,InterfacesinvsysRoot:NameIPAddressZoneMACVLANStateVSDmgt/24MGT001b.c06a.1080-D-eth1/13/28Trust0010.dbff.c070-U0eth1/25/28Trust0010.dbff.c080-U0eth1/39/28Trust0010.dbff.c090-(3)getarpnetscreenisg2000-getarpusage:9/8192miss:0always-on-dest:disabled-IPMacVR/InterfaceStateAgeRetryPakQueSess_cnt-61002255e5c490trust-vr/eth1/4VLD7620013736000fe265a846trust-vr/eth1/1VLD11670056200127fa7e351trust-vr/eth1/3VLD76100395000000c07ac02trust-vr/red1VLD96400(4)getmipnetscreenisg2000-getmipTotalMIPsunderRootconfigured:78Max:20000.-MapIPHostIPInterfaceVRouter-/32ethernet1/5trust-vr/320ethernet1/5trust-vr1/323ethernet1/5trust-vr2/3201ethernet1/5trust-vr(5)getvipnetscreeisg2000-getvipVirtualIPInterfacePortServiceServer/Port0ethernet3/390809080/9080(OK)0ethernet3/322SSH45/22(OK),Juniper防火墙常见命令,(6)getmemorynetscreenisg2000-getmemMemory:allocated600969616,left1164828224,frag108,fail0(7)getperformancecpu|detailnetscreenisg2000-getperformancecpuAverageSystemUtilization:1%Last1minute:2%,Last5minutes:2%,Last15minutes:2%netscreenisg2000-getperformancecpudetailAverageSystemUtilization:1%Last60seconds:59:258:257:256:255:254:253:252:251:250:249:248:247:246:245:244:243:242:241:240:239:238:237:236:235:234:233:232:231:230:229:228:227:326:225:224:223:222:221:220:219:218:217:216:215:214:213:212:211:210:29:28:27:26:25:24:23:22:21:20:2(8)getsessionnetscreenisg2000-getsessionalloc9005/max524288,allocfailed0,mcastalloc0,diallocfailed0totalreserved0,freesessionsinsharedpool515283slot2:hw0alloc8630/max1048575id476549/s0*,vsys0,flag08200400/0000/0003,policy64,time180,dip2module0if10(nspflag800801):/1730-57/80,6,002255e5c490,sesstoken4,vlan0,tun0,vsd0,route56,wsf0(9)geteventnetscreenisg2000-geteventTotalevententries=39771DateTimeModuleLevelTypeDescription2009-06-0408:31:22systemcrit00436LargeICMPpacket!From1to,proto1(zoneUntrust,intethernet3/3).Occurred1times.2009-06-0408:30:56systemcrit00436LargeICMPpacket!From1to,proto1(zoneUntrust,intethernet3/3).Occurred1times.,Juniper防火墙部署方式,Juniper防火墙的部署方式的是：透明模式和路由模式和NAT模式下面将详细的介绍各个部署方式，其中重点介绍路由部署模式和NAT模式1透明模式当Juniper防火墙的接口为透明模式时，netscreen设备过滤通过防火墙的数据包，但是不会修改IP数据包包头中的任何信息，所有的netscreen接口用起来就是像是同一网络中的一部分，而netscreen设备更像是3层交换机的功能，在透明模式下，所有接口的Ip地址全部为透明模式是一种保护web服务器的方便手段，使用透明模式有以下的几个优点：（1）不需要重新配置策略路由器或者受保护的Ip设备（2）不需要进行VIP和MIP2配置说明(1)创建2层zonenetscreenisg2000-setzonenameL2-cncaL21（2）指派接口道2层zonenetscreenisg2000-setinterfaceethernet1/1zonev1-trustnetscreenisg2000-setinterfaceethernet1/2zonev1-DMZ(3)设置VLAN1端口netscreenisg2000-setinterfacevlan1ip0/24netscreenisg2000-setinterfacevlan1managewebnetscreenisg2000-setinterfacevlan1managetelnetnetscreenisg2000-setinterfacevlan1manageping对于使用图形界面的配置简单的说明如下:1创建2层zoneNetworkZonesNew2委派端口到2层zone在Zonename中选择“V1-Trust”3VLAN1端口的配置就是在端口下配置相关的services选项。,Juniper防火墙部署NAT和路由方式,Juniper防火墙的NAT部署模式也是常见的部署方式，下面就简单的说明如下：1为什么会使用NAT？目前IPv4是互联网中的主要IP地址，IP地址的耗尽也是一个问题。NAT技术使得一个私有网络可以通过internet注册IP连接到外部世界，位于inside网络和outside网络中的NAT路由器在发送数据包之前，负责把内部IP翻译成外部合法地址。内部网络的主机不可能同时于外部网络通信，所以只有一部分内部地址需要翻译。NAT的翻译可以采取静态翻译（statictranslation）和动态翻译（dynamictranslation）两种。静态翻译将内部地址和外部地址一对一对应。当NAT需要确认哪个地址需要翻译，翻译时采用哪个地址pool时，就使用了动态翻译。采用portmultiplexing技术，或改变外出数据的源port技术可以将多个内部IP地址影射到同一个外部地址，这就是PAT（portaddresstranslator）。当影射一个外部IP到内部地址时，可以利用TCP的loaddistribution技术。使用这个特征时，内部主机基于round-robin机制，将外部进来的新连接定向到不同的主机上去。注意：loaddistributiong只有在影射外部地址到内部的时候才有效。NAT使用的几种情况：a，连接到internet，但却没有足够的合法地址分配给内部主机。b，更改到一个需要重新分配地址的ISP。c，有相同的IP地址的两个internat合并。d，想支持负载均衡（主机）。采用NAT后，一个最主要的改变就是你失去了端对端IP的traceability，也就是说，从此你不能再经过NAT使用ping和traceroute，其次就是曾经的一些IP对IP的程序不再可以正常运行，潜在的不易被观察到的缺点就是增加了网络延时。NAT可以支持大部分IP协议，但有几个协议需要注意，首先tftp，rlogin,rsh,rcp和ipmulticast都被NAT支持，其次就是bootp，snmp和路由表更新全部给拒绝了。NAT的几个相关概念：InsideLocalIPaddress:指定于内部网络的主机地址，全局唯一，但为私有地址。InsideGlobalIPaddress:代表一个或更多内部IP到外部世界的合法IP。OutsideGlobalIPaddress:外部网络主机的合法IP。OutsideLocalIPaddress:外部网络的主机地址，看起来是内部网络的，私有地址。SimpleTranslationEntry:影射IP到另一个地址的Entry。ExtendedTranslationEntry:影射IP地址和端口到另一个pair的Entry。采用NAT，可以实现以下几个功能：a，Translationinsidelocaladdressesb，Overloadinginsideglobaladdressesc，TCPloaddistributiond，Handingoverlappingnetworksa，内部地址翻译（Translationinsidelocaladdresses)：这是比较通用的一种方法，将内部IP一对一的翻译成外部地址。在内部主机连接到外部网络时，当第一个数据包到达NAT路由器时，router检查它的NAT表，因为是NAT是静态配置的，故可以查询出来（simplyentry），然后router将数据包的内部局部IP（源地址）更换成内部全局地址，再转发出去。外部主机接受到数据包用接受到的内部全局地址来响应，NAT接受到外部回来的数据包，再根据NAT表把地址翻译成内部局部IP，转发过去。b，内部全局地址复用（overloadinginsideglogaladdresses）使用地址和端口pair将多个内部地址影射到比较少的外部地址。这也是所谓的PAT。和内部地址翻译一样，NATrouter同样也负责查表和翻译内部IP地址，唯一的区别就是由于使用了overloading，router将复用同样的内部全局IP地址，并存储足够的信息以区分它和其他地址，这样查询出来的是extendedentry。NATrouter和外部主机的通讯采用翻译过的内部全局地址，故同一般的通信没有差别，router到内部主机通讯时，同样要查NAT表。其他的方式不在进行一一的讲解。Juniper防护墙上的NAT方式也是基于这种功能来实现的，下面具体的模拟一个环境进行相关的说明：设备名称IP地址说明ISGethernet1/2接口26/28连接路由器ISG2000ethernet1/1接口4/25连接Untrust区域具体的配置如下:netscreenisg1000-setinterfaceethernet1/1ip4/25,Juniper防火墙部署NAT和路由方式,netscreenisg1000-setinterfaceethernet1/1routenetscreenisg1000-setinerfaceethernet1/2ip26/28netscreenisg1000-setinterfaceethernet1/2nat以下的配置可以简单的配置netscreenisg1000-unsetinterfaceethernet1/1managetelnetnetscreenisg1000-setinterfaceethernet1/1managepingnetscreenisg1000-unsetinterfaceethernet1/1managewebnetscreenisg1000-setinterfaceethernet1/2managetelnetnetscreenisg1000-setinterfaceethernet1/1managepingnetscreenisg1000-setinterfaceethernet1/1manageweb,Juniper防火墙部署NAT和路由方式实际例子,martin人生就是一连串的问题,成功更需要打磨和塑造夫君子之行，静以修身，俭以养德；非澹泊无以明志，非宁静无以致远。夫学须静也，才须学也；非学无以广才，非志无以成学。怠慢则不能励精，险躁则不能冶性。年与时驰，意与岁去，遂成枯落，多不接世。悲守穷庐，将复何及！首页|文章|相册|收藏夹|留言Juniper防火墙部署NAT和路由方式实际例子设备接口IP地址MIP地址VIP地址ethernet1/0/24000web025ftpethernet1/20/250020