Juniper防火墙配置

.,Juniper防火墙基础,.,目录,Juniper防火墙简介及作用Juniper防火墙基本配置Juniper防火墙的接口模式Juniper防火墙的策略Juniper防火墙端口映射,.,防火墙应用场景1,.,防火墙应用场景2,DMZ区,安全区2“供访客使用只能上网,安全区1供员工使用Web,email,关键应用,.,企业总部/数据中心,性能容量,Juniper防火墙型号对应,远程办公室/中小企业/中小分支机构,中大企业/大型分支机构,30Gbps,10Gbps,NS5400,NS5200,4Gbps,1Gbps,600Mbps,300Mbps,ISG2000,ISG1000,SSG550,SSG520,SSG140,SSG5,SSG20,总部/数据中心,省级/地市核心,分支机构,SSG320/350,.,SSG系列型号,SSG5SSG520M/550M2GbpsFW/300MbpsVPN；4GbpsFW/500MbpsVPN4GE+6PIMslots会话数：128000；256000,SSG5,SSG20,SSG140,SSG550M,SSG520M,SSG320M,SSG350M,.,规格对照之SSG5,防火墙性能（大型数据包）160Mbps防火墙性能(IMIX)90Mbps每秒处理的防火墙数据包数量30,000PPS3DES+SHA-1VPN性能40Mbps并发VPN隧道数25/40，最大并发会话数8,000/16,000新会话/秒2,800最大安全策略数200最大安全区数量8最大虚拟路由器数量3/4最大虚拟局域网数量10/50固定I/O7x10/100802.11a/b/g可选需要购买扩展许可,.,规格对照之SSG20,防火墙性能（大型数据包）160Mbps防火墙性能(IMIX)90Mbps每秒处理的防火墙数据包数量30,000PPS3DES+SHA-1VPN性能40Mbps并发VPN隧道数25/40，最大并发会话数8,000/16,000新会话/秒2,800最大安全策略数200最大安全区数量8最大虚拟路由器数量3/4最大虚拟局域网数量10/50固定I/O5x10/100微型物理接口模块(Mini-PIM)扩展插槽（I/O）2802.11a/b/g可选需要购买扩展许可,.,规格对照之SSG140,防火墙性能（大型数据包）350+Mbps防火墙性能(IMIX)300Mbps每秒处理的防火墙数据包数量100,000PPS3DES+SHA-1VPN性能100Mbps并发VPN隧道数500，最大并发会话数48,000新会话/秒8,000最大安全策略数1,000最大安全区数量40最大虚拟路由器数量6最大虚拟局域网数量100固定I/O8x10/100,2x10/100/1000物理接口模块(PIM)扩展插槽（I/O）4无802.11a/b/g,.,规格对照之SSG350,防火墙性能（大型数据包）550+Mbps防火墙性能(IMIX)500Mbps每秒处理的防火墙数据包数量225,000PPS3DES+SHA-1VPN性能225Mbps并发VPN隧道数500，最大并发会话数128,000新会话/秒12,500最大安全策略数2,000最大安全区数量40最大虚拟路由器数量8最大虚拟局域网数量125固定I/O4x10/100/1000物理接口模块(PIM)扩展插槽（I/O）5无802.11a/b/g可转换为junos软件,.,产品特点与效益列表,特点一：提供完整的统一威胁管理(UTM)功能效益状态防火墙，可执行接入控制并阻止网络层攻击整合入侵检测解决方案(IPS)，有效阻止应用层的攻击提供Site-to-siteIPSecVPN，以确保各分支机构之间能够安全通信阻止拒绝服务(DoS)攻击支持H.323、SIP、SCCP和MGCP的应用层网关，以检测和保护VoIP流量整合卡巴斯基防病毒技术，防止病毒、间谍软件、广告软件和其它恶意软件的入侵整合SOPHOS防垃圾邮件技术，有效阻止不知名的垃圾邮件和钓鱼邮件整合Websense技术，有效控制和阻止对恶意网站的访问,.,特点与效益,特点二：防火墙整合路由功能效益结合安全防御和LAN/WAN路由功能，并能够阻止内部网络与应用层中出现的攻击，以保护企业内部网络，降低IT的费用支出特点三：提供各种不同的LAN和WAN接口选项效益包括T1/E1,Serial,DS3/E3,ADSL,Ethernet,SFP等,.,特点与效益,特点四：提供稳定的路由协议效益提供最好的路由协议，包括OSPF、BGP和RIPv1/2，而且兼容于FrameRelay、MultilinkFrameRelay、PPP、MultilinkPPP和HDLC特点五：支持自动联机VPN(ACVPN)效益可自动完成设置，并且以集中星型(hub-and-spoke)拓扑在远程分支机构之间自动建立VPN隧道，以提供高扩展性支持,.,特点与效益,特点六：支持多种高可用性选项效益支持接口或设备之间的故障切换机制，使服务不中断特点七：多种管理方式效益可通过图形化Web接口、CLI或NetworkandSecurityManager中央管理系统加以管理,.,特点与效益,特点八：整合统一接入控制(UAC)效益可作为统一接入控制(UAC)的执行端，验证用户身份、设备安全状态等特点九：支持基于路由/策略的VPN效益为企业在VPN环境里提供网络流量的负载平衡与备份功能,.,特点与效益,特点十：网络分段效益SSG系列提供一组高级网络分段功能，如桥接群组、安全区、虚拟LAN和虚拟路由器，让网管人员能够针对不同用户群组、无线网络和区域服务器，部署不同等级的安全防护机制。强大的网络安全管理和控制能力，能防止未经授权就接入网络的内、外部和DMZ子群组。,.,目录,Juniper防火墙简介及作用Juniper防火墙基本配置Juniper防火墙的接口模式Juniper防火墙的策略Juniper防火墙端口映射,.,Juniper管理方式,WebUI默认的管理地址是默认用户名密码是netscreenCLIconsole连接,.,设置主机名CLISSG5-Serial-sethostnameZ-Pai-FWWebUINetwork-DNS-Host-HostName,.,.,设置管理员账号、密码CLISSG5-Serial-setadminuserzpaipassword*privilegeallWebUIConfiguration-administratrs-NEW,.,.,Zone（区段）区段是由一个或者多个网段组成的集合，需要通过策略来对入站和出站数据流进行调整。区段是绑定了一个或者多个端口的逻辑实体。可以设置3层区段和2层区段。查看ZoneCLIGetzoneWebUINetwork-Zone,.,创建Zone设置2层zone，名字前必须加上l2CLIsetzonenamel2*L2WebUINetwork-Zone-NEW,.,.,配置端口zoneCLIsetinterfaceethernet0/0zoneuntrustWebUInetwork-interfaces-list-选择端口EDIT在zonename中选取，点击OK,.,.,配置端口管理方式及设置管理地址CLIsetinterfaceeth0/0ipsetinterfaceeth0/0manage-ipsetinterfaceeth0/0managewebsetinterfaceeth0/0managetelnetWebUInetwork-interfaces-list-选择端口EDIT设置地址类型DHCP、PPPoE或者是静态地址可以设置此端口的管理功能web管理、telent、等功能,.,.,设置DHCP及DHCP地址范围CLIsetinterfacebgroup0dhcpserverenablesetinterfacebgroup0dhcpserveroptiongatewaysetinterfacebgroup0dhcpserveroptionnetmasksetinterfacebgroup0dhcpserverip0to00WebUInetwork-DHCP-选择端口Edit设置DHCP模式，DHCP网关、掩码，DHCP的DNSNetwor-DHCP-选择端口address设置DHCP地址范围,.,.,.,目录,Juniper防火墙简介及作用Juniper防火墙基本配置Juniper防火墙的接口模式Juniper防火墙的策略Juniper防火墙端口映射,.,防火墙的接口模式,接口的连接模式动态地址静态地址PPPoE接口的传输模式路由模式NAT模式透明模式,.,透明模式,路由模式VS透明模式路由模式，防火墙扮演一个三层设备，基于目的IP地址转发数据包。透明模式，防火墙扮演一个二层设备，如同桥或交换机，基于目的MAC地址转发以太帧透明模式与交换机防火墙同交换机一样使用MAC地址表，智能地基于帧的目的MAC地址进行转发；但是，防火墙不会泛洪MAC地址表不存在的未知的目的单播MAC地址。防火墙不参与生成树（STP）。因此，必须保证在使用透明模式防火墙时，不能故意增加二层环路。如果有环路，你会很快的该设备和交换机的CPU利用率会增加到100。交换机在第一层和第二层处理流量，透明模式防火墙可以在第一层到第七层处理流量。因为，透明模式防火墙既可以基于第二层信息转发流量，又可以基于ACLs、甚至应用层策略来转发流量。透明模式默认的策略是出站全部允许，进站全部禁止,.,设置接口的连接模式CLIsetinterfaceethernet0/6dhcpclientenablesetinterfaceethernet0/6ip0setpppoenamepppoesetpppoenamepppoeusername123password123setpppoenamepppoeinterfaceethernet0/6WebUINetwork-Interfaces-选择端口-edit选择ObtainIPUsingDHCP、ObtainIPUsingPPPoE或者StaticIP,.,.,.,设置接口的传输模式设置路由模式或NAT模式CLIsetinterfacee0/0natsetinterfacee0/0routeWebUINetwork-Interfaces-选择端口-edit在interfacemode中选择NAT或者Route,.,.,设置接口的传输模式设置透明模式CLIsetinterfacevlan1ipsetinterfaceeth0/5zonev1-trustsetinterfaceeth0/6zonev1-untrustWebUINetwork-interface-vlan1edit设置管理地址Network-interface-eth0/5edit更改zonename为v1-trustNetwork-interface-eth0/6edit更改zonename为v1-untrust,.,.,.,.,目录,Juniper防火墙简介及作用Juniper防火墙基本配置Juniper防火墙的接口模式Juniper防火墙的策略Juniper防火墙端口映射,.,策略的组成（1）,ID是策略的序号，但不是策略匹配的顺序Name是策略的名称，可以通过名称来标识策略的作用Zone区段，在之前以及讲过Addressname/group设置策略的源地址和目的地址，一定要先创建地址名称或者地址组。在策略中只能引用地址名称/地址组。,.,策略的组成（2）,Servicename服务的名称，系统中有定义好的服务，可以通过getservice来查看服务的名称及使用的端口号。如果策略中要使用的服务不在列表中，需要自己来创建。同地址一样，在策略中只能引用策略名称。动作允许permit/禁止deny/拒绝reject,.,创建地址名称和地址组CLIsetaddresstrustaddress-name055setgroupaddresstrustgroup-nameaddaddress-nameWebUIPolicy-PolicyElements-address-list点击new新建地址Policy-PolicyElements-address-group点击new新建组,.,.,.,创建服务CLIsetserviceservice-nameprotocoltcpsrc-port11-11WebUIPolicy-PolicyElements-services-custom点击New来新建在transportprotocol中选择IP协议选择sourceprot或者destinationport，填写端口号,.,.,策略的结构IDNameFromzonetozonesource-address-namedestination-address-nameservice-namepermit/denyCLISetpolicyfromtrusttountrustaaanyhttpdeny添加多个服务Setpolicyid10SetservicednsSetserviceftpexitWebUIPolicy-policies选择From（zone）To（zone）点击New新建策略Name是可选项，在源地址和目的地址中可选取在addresslist中建立的地址池，也可在newaddress中直接添加。Service中也可以添加多个服务，点击multiple中选择,.,.,目录,