Juniper网络安全防火墙设备快速安装手册

1、 Page * MERGEFORMAT 89Juniper网络安全防火墙设备快速安装手册目 录 TOC o 1-3 h z HYPERLINK l _Toc504681821 1、前言 PAGEREF _Toc504681821 h 5 HYPERLINK l _Toc504681822 1.1、Juniper防火墙配置概述 PAGEREF _Toc504681822 h 5 HYPERLINK l _Toc504681823 1.2、Juniper防火墙管理配置的基本信息 PAGEREF _Toc504681823 h 6 HYPERLINK l _Toc504681824 1.3、Juni

2、per防火墙的常用功能 PAGEREF _Toc504681824 h 7 HYPERLINK l _Toc504681825 2、Juniper防火墙三种部署模式及基本配置 PAGEREF _Toc504681825 h 7 HYPERLINK l _Toc504681826 2.1、NAT模式 PAGEREF _Toc504681826 h 8 HYPERLINK l _Toc504681827 2.2、Route-路由模式 PAGEREF _Toc504681827 h 9 HYPERLINK l _Toc504681828 2.3、透明模式 PAGEREF _Toc504681828

3、h 10 HYPERLINK l _Toc504681829 2.4、基于向导方式的NAT/Route模式下的基本配置 PAGEREF _Toc504681829 h 11 HYPERLINK l _Toc504681830 2.5、基于非向导方式的NAT/Route模式下的基本配置 PAGEREF _Toc504681830 h 22 HYPERLINK l _Toc504681831 2.5.1、NS-5GT NAT/Route模式下的基本配置 PAGEREF _Toc504681831 h 22 HYPERLINK l _Toc504681832 2.5.2、NS-25-208 NAT/

4、Route模式下的基本配置 PAGEREF _Toc504681832 h 24 HYPERLINK l _Toc504681833 2.6、基于非向导方式的透明模式下的基本配置 PAGEREF _Toc504681833 h 25 HYPERLINK l _Toc504681834 3、Juniper防火墙几种常用功能的配置 PAGEREF _Toc504681834 h 26 HYPERLINK l _Toc504681835 3.1、MIP的配置 PAGEREF _Toc504681835 h 27 HYPERLINK l _Toc504681836 3.1.1、使用Web浏览器方式配置

5、MIP PAGEREF _Toc504681836 h 27 HYPERLINK l _Toc504681837 3.1.2、使用命令行方式配置MIP PAGEREF _Toc504681837 h 29 HYPERLINK l _Toc504681838 3.2、VIP的配置 PAGEREF _Toc504681838 h 30 HYPERLINK l _Toc504681839 3.2.1、使用Web浏览器方式配置VIP PAGEREF _Toc504681839 h 30 HYPERLINK l _Toc504681840 3.2.2、使用命令行方式配置VIP PAGEREF _Toc5

6、04681840 h 31 HYPERLINK l _Toc504681841 3.3、DIP的配置 PAGEREF _Toc504681841 h 32 HYPERLINK l _Toc504681842 3.3.1、使用Web浏览器方式配置DIP PAGEREF _Toc504681842 h 32 HYPERLINK l _Toc504681843 3.3.2、使用命令行方式配置DIP PAGEREF _Toc504681843 h 34 HYPERLINK l _Toc504681844 4、Juniper防火墙IPSec VPN的配置 PAGEREF _Toc504681844 h

7、35 HYPERLINK l _Toc504681845 4.1、站点间IPSec VPN配置：staic ip-to-staic ip PAGEREF _Toc504681845 h 35 HYPERLINK l _Toc504681846 4.1.1、使用Web浏览器方式配置 PAGEREF _Toc504681846 h 36 HYPERLINK l _Toc504681847 4.1.2、使用命令行方式配置 PAGEREF _Toc504681847 h 41 HYPERLINK l _Toc504681848 4.2、站点间IPSec VPN配置：staic ip-to-dynami

8、c ip PAGEREF _Toc504681848 h 43 HYPERLINK l _Toc504681849 4.2.1、使用Web浏览器方式配置 PAGEREF _Toc504681849 h 44 HYPERLINK l _Toc504681850 4.2.1、使用命令行方式配置 PAGEREF _Toc504681850 h 48 HYPERLINK l _Toc504681851 5、Juniper中低端防火墙的UTM功能配置 PAGEREF _Toc504681851 h 51 HYPERLINK l _Toc504681852 5.1、防病毒功能的设置 PAGEREF _To

9、c504681852 h 52 HYPERLINK l _Toc504681853 5.1.1、Scan Manager的设置 PAGEREF _Toc504681853 h 53 HYPERLINK l _Toc504681854 5.1.2、Profile的设置 PAGEREF _Toc504681854 h 54 HYPERLINK l _Toc504681855 5.1.3、防病毒profile在安全策略中的引用 PAGEREF _Toc504681855 h 57 HYPERLINK l _Toc504681856 5.2、防垃圾邮件功能的设置 PAGEREF _Toc5046818

10、56 h 59 HYPERLINK l _Toc504681857 5.2.1、Action 设置 PAGEREF _Toc504681857 h 60 HYPERLINK l _Toc504681858 5.2.2、White List与Black List的设置 PAGEREF _Toc504681858 h 61 HYPERLINK l _Toc504681859 5.2.3、防垃圾邮件功能的引用 PAGEREF _Toc504681859 h 62 HYPERLINK l _Toc504681860 5.3、WEB/URL过滤功能的设置 PAGEREF _Toc504681860 h

11、63 HYPERLINK l _Toc504681861 5.3.1、转发URL过滤请求到外置URL过滤服务器 PAGEREF _Toc504681861 h 63 HYPERLINK l _Toc504681862 5.3.2、使用内置的URL过滤引擎进行URL过滤 PAGEREF _Toc504681862 h 65 HYPERLINK l _Toc504681863 5.3.3、手动添加过滤项 PAGEREF _Toc504681863 h 68 HYPERLINK l _Toc504681864 5.4、深层检测功能的设置 PAGEREF _Toc504681864 h 72 HYPE

12、RLINK l _Toc504681865 5.4.1、设置DI攻击特征库自动更新 PAGEREF _Toc504681865 h 74 HYPERLINK l _Toc504681866 5.4.2、深层检测（DI）的引用 PAGEREF _Toc504681866 h 75 HYPERLINK l _Toc504681867 6、Juniper防火墙的HA（高可用性）配置 PAGEREF _Toc504681867 h 77 HYPERLINK l _Toc504681868 6.1、使用Web浏览器方式配置 PAGEREF _Toc504681868 h 78 HYPERLINK l _

13、Toc504681869 6.2、使用命令行方式配置 PAGEREF _Toc504681869 h 81 HYPERLINK l _Toc504681870 7、Juniper防火墙一些实用工具 PAGEREF _Toc504681870 h 83 HYPERLINK l _Toc504681871 7.1、防火墙配置文件的导出和导入 PAGEREF _Toc504681871 h 83 HYPERLINK l _Toc504681872 7.1.1、配置文件的导出 PAGEREF _Toc504681872 h 83 HYPERLINK l _Toc504681873 7.1.2、配置文件

14、的导入 PAGEREF _Toc504681873 h 84 HYPERLINK l _Toc504681874 7.2、防火墙软件（ScreenOS）更新 PAGEREF _Toc504681874 h 85 HYPERLINK l _Toc504681875 7.3、防火墙恢复密码及出厂配置的方法 PAGEREF _Toc504681875 h 86 HYPERLINK l _Toc504681876 8、Juniper防火墙的一些概念 PAGEREF _Toc504681876 h 861、前言我们制作本安装手册的目的是使初次接触Juniper网络安全防火墙设备（在本安装手册中简称为“J

15、uniper防火墙”）的工程技术人员，可以通过此安装手册完成对Juniper防火墙基本功能的实现和应用。1.1、Juniper防火墙配置概述Juniper防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求；但是由于部署模式及功能的多样性使得Juniper防火墙在实际部署时具有一定的复杂性。在配置Juniper防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对Juniper防火墙进行配置和管理。基本配置：确认防火墙的部署模式：NAT模式、路由模式、或者透明模式；为防火墙的端口配置IP地址（包括防火墙的管理IP

16、地址），配置路由信息；配置访问控制策略，完成基本配置。其它配置：配置基于端口和基于地址的映射；配置基于策略的VPN；修改防火墙默认的用户名、密码以及管理端口。1.2、Juniper防火墙管理配置的基本信息Juniper防火墙常用管理方式：通过Web浏览器方式管理。推荐使用IE浏览器进行登录管理，需要知道防火墙对应端口的管理IP地址；命令行方式。支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接两种命令行登录管理模式。Juniper防火墙缺省管理端口和IP地址：Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理。缺省IP地址为：/；缺省I

17、P地址通常设置在防火墙的Trust端口上（NS-5GT）、最小端口编号的物理端口上（NS-25/50/204/208/SSG系列）、或者专用的管理端口上（ISG-1000/2000,NS-5200/5400）。Juniper防火墙缺省登录管理账号：用户名：netscreen；密 码：netscreen。1.3、Juniper防火墙的常用功能在一般情况下，防火墙设备的常用功能包括：透明模式的部署、NAT/路由模式的部署、NAT的应用、MIP的应用、DIP的应用、VIP的应用、基于策略VPN的应用。本安装手册将分别对以上防火墙的配置及功能的实现加以说明。注：在对MIP/DIP/VIP等Junipe

18、r防火墙的一些基本概念不甚了解的情况下，请先到本手册最后一章节内容查看了解！2、Juniper防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：基于TCP/IP协议三层的NAT模式；基于TCP/IP协议三层的路由模式；基于二层协议的透明模式。2.1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往 Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源 IP 地址和源端口号。防火墙使用 Untrust 区（外网或者公网）接口的 IP 地址替换始发端主机的源 IP 地址；同时使用

19、由防火墙生成的任意端口号替换源端口号。NAT模式应用的环境特征：注册IP地址（公网IP地址）的数量不足；内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet；内部网络中有需要外显并对外提供服务的服务器。2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变（除非明确采用了地址翻译策略）。与NAT模式下不同，防火墙接口都处于路由模式时，防火墙不会自动实施地址翻译；与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

20、路由模式应用的环境特征：防火墙完全在内网中部署应用；NAT模式下的所有环境；需要复杂的地址翻译。2.3、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改 IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器，防火墙对于用户来说是透明的。透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点：不需要修改现有网络规划及配置；不需要实施 地址翻译；可以允许动态路由协议、Vlan trunking的数据包通过。2.4、基于向导方式的NAT/Route模式下的基本配置Juniper防火墙NAT和路由

21、模式的配置可以在防火墙保持出厂配置启动后通过Web浏览器配置向导完成。注：要启动配置向导，则必须保证防火墙设备处于出厂状态。例如：新的从未被调试过的设备，或者经过命令行恢复为出厂状态的防火墙设备。通过Web浏览器登录处于出厂状态的防火墙时，防火墙的缺省管理参数如下：缺省IP：/；缺省用户名/密码：netscreen/ netscreen；注：缺省管理IP地址所在端口参见在前言部份讲述的“Juniper防火墙缺省管理端口和IP地址”中查找！在配置向导实现防火墙应用的同时，我们先虚拟一个防火墙设备的部署环境，之后，根据这个环境对防火墙设备进行配置。防火墙配置规划：防火墙部署在网络的Internet

22、出口位置，内部网络使用的IP地址为/所在的网段，内部网络计算机的网关地址为防火墙内网端口的IP地址：；防火墙外网接口IP地址（通常情况下为公网IP地址，在这里我们使用私网IP地址模拟公网IP地址）为：/，网关地址为：51要求：实现内部访问Internet的应用。注：在进行防火墙设备配置前，要求正确连接防火墙的物理链路；调试用的计算机连接到防火墙的内网端口上。通过IE或与IE兼容的浏览器（推荐应用微软IE浏览器）使用防火墙缺省IP地址登录防火墙（建议：保持登录防火墙的计算机与防火墙对应接口处于相同网段，直接相连）。使用缺省IP登录之后，出现安装向导：注：对于熟悉Juniper防火墙配置的工程师，

23、可以跳过该配置向导，直接点选：No，skip the wizard and go straight to the WebUI management session instead，之后选择Next，直接登录防火墙设备的管理界面。使用向导配置防火墙，请直接选择：Next，弹出下面的界面：“欢迎使用配置向导”，再选择Next。注：进入登录用户名和密码的修改页面，Juniper防火墙的登录用户名和密码是可以更改的，这个用户名和密码的界面修改的是防火墙设备上的根用户，这个用户对于防火墙设备来说具有最高的权限，需要认真考虑和仔细配置，保存好修改后的用户名和密码。在完成防火墙的登录用户名和密码的设置之后，

24、出现了一个比较关键的选择，这个选择决定了防火墙设备是工作在路由模式还是工作在NAT模式：选择Enable NAT，则防火墙工作在NAT模式；不选择Enable NAT，则防火墙工作在路由模式。防火墙设备工作模式选择，选择：Trust-Untrust Mode模式。这种模式是应用最多的模式，防火墙可以被看作是只有一进一出的部署模式。注：NS-5GT防火墙作为低端设备，为了能够增加低端产品应用的多样性，Juniper在NS-5GT的OS中独立开发了几种不同的模式应用于不同的环境。目前，除NS-5GT以外，Juniper其他系列防火墙不存在另外两种模式的选择。完成了模式选择，点击“Next”进行防火

25、墙外网端口IP配置。外网端口IP配置有三个选项分别是：DHCP自动获取IP地址；通过PPPoE拨号获得IP地址；手工设置静态IP地址，并配置子网掩码和网关IP地址。在这里，我们选择的是使用静态IP地址的方式，配置外网端口IP地址为：/，网关地址为：51。完成外网端口的IP地址配置之后，点击“Next”进行防火墙内网端口IP配置：在完成了上述的配置之后，防火墙的基本配置就完成了，点击“Next”进行DHCP服务器配置。注：DHCP服务器配置在需要防火墙在网络中充当DHCP服务器的时候才需要配置。否则请选择“NO”跳过。注：上面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能，由防火

26、墙设备给内部计算机用户自动分配IP地址，分配的地址段为：00-50一共51个IP地址，在分配IP地址的同时，防火墙设备也给计算机用户分配了DNS服务器地址，DNS用于对域名进行解析，如：将 HYPERLINK http:/WWW.SINA.COM.CN解析为IP WWW.SINA.COM.CN解析为IP地址：2。如果计算机不能获得或设置DNS服务器地址，无法访问互联网。完成DHCP服务器选项设置，点击“Next”会弹出之前设置的汇总信息：确认配置没有问题，点击“Next”会弹出提示“Finish”配置对话框：在该界面中，点选：Finish之后，该Web页面会被关闭，配置完成。此时防火墙对来自内

27、网到外网的访问启用基于端口地址的NAT，同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略：策略：策略方向由Trust到Untrust，源地址：ANY，目标地址：ANY，网络服务内容：ANY；策略作用：允许来自内网的任意IP地址穿过防火墙访问外网的任意地址。重新开启一个IE页面，并在地址栏中输入防火墙的内网端口地址，确定后，出现下图中的登录界面。输入正确的用户名和密码，登录到防火墙之后，可以对防火墙的现有配置进行修改。总结：上述就是使用Web浏览器通过配置向导完成的防火墙NAT或路由模式的应用。通过配置向导，可以在不熟悉防火墙设备的情况下，配置简单环境的防火墙应用。2.5、基于非

28、向导方式的NAT/Route模式下的基本配置基于非向导方式的NAT和Route模式的配置建议首先使用命令行开始，最好通过控制台的方式连接防火墙，这个管理方式不受接口IP地址的影响。注：在设备缺省的情况下，防火墙的信任区（Trust Zone）所在的端口是工作在NAT模式的，其它安全区所在的端口是工作在路由模式的。 基于命令行方式的防火墙设备部署的配置如下（网络环境同上一章节所讲述的环境）： 2.5.1、NS-5GT NAT/Route模式下的基本配置注：NS-5GT设备的物理接口名称叫做trust和untrust；缺省Zone包括：trust和untrust，请注意和接口区分开。Unset i

29、nterface trust ip （清除防火墙内网端口的IP地址）；Set interface trust zone trust（将内网端口分配到trust zone）；Set interface trust ip /24（设置内网端口的IP地址，必须先定义zone，之后再定义IP地址）；Set interface untrust zone untrust（将外网口分配到untrust zone）；Set interface untrust ip /24（设置外网口的IP地址）；Set route /0 interface untrust gateway 51（设置防火墙对外的缺省路由网关地

30、址）；Set policy from trust to untrust any any any permit log（定义一条由内网到外网的访问策略。策略的方向是：由zone trust 到 zone untrust， 源地址为：any，目标地址为：any，网络服务为：any，策略动作为：permit允许，log：开启日志记录）；Save （保存上述的配置文件）。2.5.2、NS-25-208 NAT/Route模式下的基本配置Unset interface ethernet1 ip（清除防火墙内网口缺省IP地址）；Set interface ethernet1 zone trust（将eth

31、ernet1端口分配到trust zone）； Set interface ethernet1 ip /24（定义ethernet1端口的IP地址）；Set interface ethernet3 zone untrust（将ethernet3端口分配到untrust zone）；Set interface ethernet3 ip /24（定义ethernet3端口的IP地址）； Set route /0 interface ethernet3 gateway 51（定义防火墙对外的缺省路由网关）；Set policy from trust to untrust any any any pe

32、rmit log（定义由内网到外网的访问控制策略）；Save （保存上述的配置文件）注：上述是在命令行的方式上实现的NAT模式的配置，因为防火墙出厂时在内网端口（trust zone所属的端口）上启用了NAT，所以一般不用特别设置，但是其它的端口则工作在路由模式下，例如：untrust和DMZ区的端口。 如果需要将端口从路由模式修改为NAT模式，则可以按照如下的命令行进行修改：Set interface ethernet2 NAT （设置端口2为NAT模式）Save总结：NAT/Route模式做防火墙部署的主要模式，通常是在一台防火墙上两种模式混合进行（除非防火墙完全是在内网应用部署，不需要做

33、NAT-地址转换，这种情况下防火墙所有端口都处于Route模式，防火墙首先作为一台路由器进行部署）；关于配置举例，NS-5GT由于设备设计上的特殊性，因此专门列举加以说明；Juniper在2006年全新推出的SSG系列防火墙，除了端口命名不一样，和NS-25等设备管理配置方式一样。2.6、基于非向导方式的透明模式下的基本配置实现透明模式配置建议采用命令行的方式，因为采用Web的方式实现时相对命令行的方式麻烦。通过控制台连接防火墙的控制口，登录命令行管理界面，通过如下命令及步骤进行二层透明模式的配置：Unset interface ethernet1 ip（将以太网1端口上的默认IP地址删除）；

34、Set interface ethernet1 zone v1-trust（将以太网1端口分配到v1-trust zone：基于二层的安全区，端口设置为该安全区后，则端口工作在二层模式，并且不能在该端口上配置IP地址）；Set interface ethernet2 zone v1-dmz（将以太网2端口分配到v1-dmz zone）；Set interface ethernet3 zone v1-untrust（将以太网3端口分配到v1-untrust zone）；Set interface vlan1 ip /24（设置VLAN1的IP地址为：/，该地址作为防火墙管理IP地址使用）；Set

35、 policy from v1-trust to v1-untrust any any any permit log（设置一条由内网到外网的访问策略）；Save（保存当前的配置）；总结：带有V1-字样的zone为基于透明模式的安全区，在进行透明模式的应用时，至少要保证两个端口的安全区工作在二层模式；虽然Juniper防火墙可以在某些特殊版本工作在混合模式下（二层模式和三层模式的混合应用），但是通常情况下，建议尽量使防火墙工作在一种模式下（三层模式可以混用：NAT和路由）。3、Juniper防火墙几种常用功能的配置这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现，包括：

36、MIP、VIP和DIP，这三种常用功能主要应用于防火墙所保护服务器提供对外服务。3.1、MIP的配置MIP是“一对一”的双向地址翻译（转换）过程。通常的情况是：当你有若干个公网IP地址，又存在若干的对外提供网络服务的服务器（服务器使用私有IP地址），为了实现互联网用户访问这些服务器，可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射（MIP），并通过策略实现对服务器所提供服务进行访问控制。MIP应用的网络拓扑图：注：MIP配置在防火墙的外网端口（连接Internet的端口）。3.1.1、使用Web浏览器方式配置MIP登录防火墙，将防火墙部署为三层模式（NAT

37、或路由模式）；定义MIP：Network=Interface=ethernet2=MIP，配置实现MIP的地址映射。Mapped IP：公网IP地址，Host IP：内网服务器IP地址定义策略：在POLICY中，配置由外到内的访问控制策略，以此允许来自外部网络对内部网络服务器应用的访问。3.1.2、使用命令行方式配置MIP配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet2 zone untrustset i

38、nterface ethernet2 ip /24定义MIPset interface ethernet2 mip host netmask 55 vrouter trust-vr定义策略set policy from untrust to trust any mip() http permitsave3.2、VIP的配置MIP是一个公网IP地址对应一个私有IP地址，是一对一的映射关系；而VIP是一个公网IP地址的不同端口（协议端口如：21、25、110等）与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址，却拥有多个私有IP地址的服务器，并且，这些服务器是需要对

39、外提供各种服务的。VIP应用的拓扑图：注：VIP配置在防火墙的外网连接端口上（连接Internet的端口）。3.2.1、使用Web浏览器方式配置VIP登录防火墙，配置防火墙为三层部署模式。添加VIP：Network=Interface=ethernet8=VIP添加与该VIP公网地址相关的访问控制策略。3.2.2、使用命令行方式配置VIP配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet3 zone untr

40、ustset interface ethernet3 ip /24定义VIPset interface ethernet3 vip 0 80 http 0定义策略set policy from untrust to trust any vip(0) http permitsave注：VIP的地址可以利用防火墙设备的外网端口地址实现（限于低端设备）。3.3、DIP的配置DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下，通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址，并实现对外网（互联网）的访问，这种应用存在一定的局限性。解决这种局限性的办法就是D

41、IP，在内部网络IP地址外出访问时，动态转换为一个连续的公网IP地址池中的IP地址。DIP应用的网络拓扑图：3.3.1、使用Web浏览器方式配置DIP登录防火墙设备，配置防火墙为三层部署模式；定义DIP：Network=Interface=ethernet3=DIP，在定义了公网IP地址的untrust端口定义IP地址池；定义策略：定义由内到外的访问策略，在策略的高级（ADV）部分NAT的相关内容中，启用源地址NAT，并在下拉菜单中选择刚刚定义好的DIP地址池，保存策略，完成配置；策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT。3.3.

42、2、使用命令行方式配置DIP配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip /24定义DIPset interface ethernet3 dip 5 0 0定义策略set policy from trust to untrust any any http nat src dip-id 5 permitsave4、Junipe

43、r防火墙IPSec VPN的配置Juniper所有系列防火墙（除部分早期型号外）都支持IPSec VPN，其配置方式有多种，包括：基于策略的VPN、基于路由的VPN、集中星形VPN和背靠背VPN等。在这里，我们主要介绍最常用的VPN模式：基于策略的VPN。站点间（Site-to-Site）的VPN是IPSec VPN的典型应用，这里我们介绍两种站点间基于策略VPN的实现方式：站点两端都具备静态公网IP地址；站点两端其中一端具备静态公网IP地址，另一端动态公网IP地址。4.1、站点间IPSec VPN配置：staic ip-to-staic ip当创建站点两端都具备静态IP的VPN应用中，位于两

44、端的防火墙上的VPN配置基本相同，不同之处是在VPN gateway部分的VPN网关指向IP不同，其它部分相同。VPN组网拓扑图：staic ip-to-staic ip4.1.1、使用Web浏览器方式配置登录防火墙设备，配置防火墙为三层部署模式；定义VPN第一阶段的相关配置：VPNs=Autokey Adwanced=Gateway配置VPN gateway部分，定义VPN网关名称、定义“对端VPN设备的公网IP地址”为本地VPN设备的网关地址、定义预共享密钥、选择发起VPN服务的物理端口；在VPN gateway的高级（Advanced）部分，定义相关的VPN隧道协商的加密算法、选择VPN

45、的发起模式；配置VPN第一阶段完成显示列表如下图；定义VPN第二阶段的相关配置：VPNs=Autokey IKE在Autokey IKE部分，选择第一阶段的VPN配置；在VPN第二阶段高级（Advances）部分，选择VPN的加密算法；配置VPN第二阶段完成显示列表如下图；定义VPN策略，选择地址和服务信息，策略动作选择为：隧道模式；VPN隧道选择为：刚刚定义的隧道，选择自动设置为双向策略；4.1.2、使用命令行方式配置CLI ( 东京)配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip /24set inter

46、face ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip /24定义路由set vrouter trust-vr route /0 interface ethernet3 gateway 50定义地址set address trust Trust_LAN /24set address untrust paris_office /24定义IPSec VPNset ike gateway to_paris address main outgoing-interface ethernet3 pre

47、share h1p8A24nG5 proposal pre-g2-3des-shaset vpn tokyo_paris gateway to_paris sec-level compatible定义策略set policy top name To/From Paris from trust to untrust Trust_LAN paris_officeany tunnel vpn tokyo_parisset policy top name To/From Paris from untrust to trust paris_office Trust_LANany tunnel vpn t

48、okyo_parissaveCLI ( 巴黎)定义接口参数set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip /24定义路由set vrouter trust-vr route /0 interface ethernet3 gateway 50定义地址set address trust Trust_LAN /24set address unt

49、rust tokyo_office /24定义IPSec VPNset ike gateway to_tokyo address main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn paris_tokyo gateway to_tokyo sec-level compatible定义策略set policy top name To/From Tokyo from trust to untrust Trust_LAN tokyo_officeany tunnel vpn par

50、is_tokyoset policy top name To/From Tokyo from untrust to trust tokyo_office Trust_LANany tunnel vpn paris_tokyosave4.2、站点间IPSec VPN配置：staic ip-to-dynamic ip在站点间IPSec VPN应用中，有一种特殊的应用，即在站点两端的设备中，一端拥有静态的公网IP地址，而另外一端只有动态的公网IP地址，以下讲述的案例是在这种情况下，Juniper防火墙如何建立IPSec VPN隧道。基本原则：在这种IPSec VPN组网应用中，拥有静态公网IP地址的

51、一端作为被访问端出现，拥有动态公网IP地址的一端作为VPN隧道协商的发起端。和站点两端都具备静态IP地址的配置的不同之处在于VPN第一阶段的相关配置，在主动发起端（只有动态公网IP地址一端）需要指定VPN网关地址，需配置一个本地ID，配置VPN发起模式为：主动模式；在站点另外一端（拥有静态公网IP地址一端）需要指定VPN网关地址为对端设备的ID信息，不需要配置本地ID，其它部分相同。IPSec VPN组网拓扑图：staic ip-to-dynamic ip4.2.1、使用Web浏览器方式配置VPN第一阶段的配置：动态公网IP地址端。VPN的发起必须由本端开始，动态地址端可以确定对端防火墙的IP

52、地址，因此在VPN阶段一的配置中，需指定对端VPN设备的静态IP地址。同时，在本端设置一个Local ID，提供给对端作为识别信息使用。VPN第一阶段的高级配置：动态公网IP地址端。在VPN阶段一的高级配置中动态公网IP一端的VPN的发起模式应该配置为：主动模式（Aggressive）VPN第一阶段的配置：静态公网IP地址端。在拥有静态公网IP地址的防火墙一端，在VPN阶段一的配置中，需要按照如下图所示的配置：“Remote Gateway Type”应该选择“Dynamic IP Address”，同时设置Peer ID（和在动态IP地址一端设置的Local ID相同）。VPN第二阶段配置，

53、和在”static ip-to-static ip”模式下相同。VPN的访问控制策略，和在”static ip-to-static ip”模式下相同。4.2.1、使用命令行方式配置CLI ( 设备-A)定义接口参数set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 dhcp clientset interface ethernet3 dhcp cl

54、ient settings server 定义路由set vrouter trust-vr route /0 interface ethernet3定义用户set user pmason password Nd4syst4定义地址set address trust trusted network /24set address untrust mail server /32定义服务set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group servic

55、e remote_mail add httpset group service remote_mail add ftpset group service remote_mail add telnetset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3定义VPNset ike gateway to_mail address aggressive local-id pmasonoutgoing-interface ethe

56、rnet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn branch_corp gateway to_mail sec-level compatible定义策略set policy top from trust to untrust trusted network mail server remote_mailtunnel vpn branch_corp auth server Local user pmasonset policy top from untrust to trust mail server trusted netwo

57、rk remote_mailtunnel vpn branch_corpsaveCLI ( 设备-B)定义接口参数set interface ethernet2 zone dmzset interface ethernet2 ip /24set interface ethernet3 zone untrustset interface ethernet3 ip /24路由set vrouter trust-vr route /0 interface ethernet3 gateway 50定义地址set address dmz mail server /32set address untrus

58、t branch office /24定义服务set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3定义VPNset ike gateway to_branch dynamic pmason aggressiveoutgoing-inte

59、rface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn corp_branch gateway to_branch tunnel sec-level compatible定义策略set policy top from dmz to untrust mail server branch office remote_mailtunnel vpn corp_branchset policy top from untrust to dmz branch office mail server remote_mailtunne

60、l vpn corp_branchsave5、Juniper中低端防火墙的UTM功能配置Juniper中低端防火墙（目前主要以SSG系列防火墙为参考）支持非常广泛的攻击防护及内容安全功能，主要包括：防病毒（Anti-Virus）、防垃圾邮件（Anti-Spam）、URL过滤（URL filtering）以及深层检测/入侵防御（Deep Inspection/IPS）。注：上述的安全/防护功能集成在防火墙的ScreenOS操作系统中，但是必须通过license（许可）激活后方可使用（并会在激活一段时间（通常是1年）后过期）。当然在使用这些功能的时候，我们还需要设定好防火墙的时钟以及DNS服务器地