Juniper防火墙安装配置手册可编辑范本

JUNIPERJUNIPER火墙快速安装手册第第1页共70页HYPERLINK/juniper/index.asp/juniper/index.aspJｕniｐer网络安全防火墙设备快速安装手册V1。0联强国际(香港）有限公司2007—４目录1、前言．。．。.。．.。。。。。。。。。．。。．。.。.。。.。。..。.。。..．。。.。。.。。..。.。..。。.。.。。。。。。。.。。．。。。.。。。。。。。。．。。．。.。.。。。.。。..。.。．.．．。。。。。..。。。。。。．.41．1、JNPR防火墙配概述。.。．.。.。．..。。．。。..。。.。.．。．。。.．。.。．。..。.。．。。..。。。。。..。。。．。。.。．。。.。。．。...。.。。.。．．.。.。．4１.2、ＪNPR防火墙管配置的基本信息..。.。.。。。。。.。...。。..。。。。。.。。.。。.．。...。．.．．.。..。。。。。。。．.。.．.。。。.。。。.。．.41。3、ＪNPＲ防火墙的用功能。。。.．。..。。。.。.。..。.。。。．。。。。.．。。。．。。．..。.。.．.。.．。。．.。。。。.。.。。。.。.。。。。。。。。.。...。。.．。。。。５２、JUＮIPE防火墙三种部署模式及基本配置．。.。..。。...．..。。.。。。。。.。。。。...．.。。。。...．.。。.．。。.．。。..。。。.。。。..。..。。６2。１、NT模式。。.．。。.。...。。...。..．。．．.。...。.。.。.。..。.．。...。。.。.．．.。。。。。.。..。。...。。。..．。。..。..。。．.。。。.。.。。.。．。。.。.。.．.。．..．62。2、ROUＴＥ路由模式。.。。．．．。。。。...。.。．..．。...。。.。。.。..。．...。。.。。.．.。..。.。．.。.．。。.。。。.。.。。...。.。.。..。...。。。.。。..。．.。.7２。3、透明模式.。.。..。。..。．．。。。...。.。。..。..。。.。．。..。..。..。...。。。．．．。..。。...．。.。．。。．。。.。。。。.。。。..。。.．。.。。。．．.．．...8２。４、基于向导方式的NT/ＲOUTE式下的基本配置．。。。.．.。。。.。．。。。..。。。。..．。。..。..。．..。..．。.。..。.。。。8２。５、基于非向导方式的NT/ROUTE式下的基本配置。。.．。.。.。。。。。。。。。。..。。。．。。.。。。．。.．...．..。。..１72。5.1、NS—5ＧTNＴ/Routｅ模式下的基本配置。.。.。。．。.．.．。。.。。.。．。.．。.．.．..。.。。。。.。。。.．。.。.。．。．.．．。..．182.5。2、ＮS—25—208NT/Route模式下的基本配置..．。。。..。。。．..。。。。。．．.。。..。。..．。。。。。..。。。。。。。。。。192。6、基于非向导方式的透明模式下的基本配置.。...．．。．。。。.．。。。。。。。。。。。.。。.。．.。。。。。。。。.。。。。。..。.．。。。。。...。2０３、JUNIPＥ防火墙几种常用功能的配置。．...。.。。．。。.。。..．。..．．。．。。.。。。.。。。。。.。。.。。.。.。。。.．。.。.。.。。.．．。。．...213.１、MIP配置。。。．.。。。．。。.。.。．。.。。。。。。.。。..。。．。.．。。。。.。.．..。.。。．．...。..。。.。。。.．..。..．。..．．。.。。.．.．。。.．．。。...。。.213。1.1、使用eb浏览器方式配置ＭIＰ.。。。.。。.。.。。.。.．.。.。。。．。...。．..。。．。.。.．。..。。。。。。。。。。.。。.。。.。。.。..。。。。。．２23．1。2、使用命令行方式配置MIP。。.。.。.。.。。。。。...。。..。．。.。。。。．。.。。。。.。。.。。.．.．..。．。...。..。.。.。..。.。。.。。.。。2４3.2、ＶIP配置。。。。。。..。。。。.．.．...。.。..．.。。.。.．。.．．。。。。。。。.。。...。。。..。．..。。。。。。。。。。。..。.。。。。..。.。．。。..。..。...。.。。．。。24３.2。1、使用eb浏览器方式配置ＶIP．。．．..。.．。。..。．.。．..。.。。。。。.。.．..．..。.。..。．.．。.。。．。.。．.。。.。。。。。．.。..253。2.2、使用命令行方式配置VIP。..。.。。.。.。..。.．．。.。。．。.。．。..。。．。..．.。。.．.．。.。。。..。。..。.．．。.．。.。。。.。。。26３。３、DＩP的配置．。.。。．。．。。。。.。。。.。。。。.。.。。。..。.。。。。.．．。.。..。．..。..．.。.。。。。。。。。．．．.。..。...。...。．。。。．.。。..．..。..。.。２73.３．1、使用ｅb浏览器方式配置ＤIP..．。...。．。．.．..。.。.。。。。。...。。．。.。。。。．..．.。。。..．。。。。。。。。．。。。.２７３.3。２、使用命令行方式配置DIP．．...。.。．。.．．．。。。。。。。。。。．.。．..。。。..．.。。．。.。..。。。.。．.。。。。.。．．..。.。.。。.。..。.2９4、JUＮIPＥ防火墙ＩEＣVP的配置..。.。。。。。．.。。。。.．。。．。.．．.。．...。．。.。。.。。．。．。．。..。.。.．。。..．。。.。。。。。。..。。。.。。２9４．1、站点间ＩPＳCVPN置:ACＰ—ＡCP。.．。。．。。。.．．。。..。.。..。。。。．．.．.。。...。．。.。。294.1．１、使用eｂ浏览器方式配置.。。.。...。。.。。．。。。..。.。。。。.．..。。。.．。．。。。...。．。。。．．..．．．..．。。。．.。。.。．．．．。。..304.1。２、使用命令行方式配置。..。．..。．。。.．.．...。。。．。。。。。.．.。...。.。..。。。。。.。。。。.。。。。.．。。.．.．。..。...。.。.．.。.．...34４.２、站点间IPSCＶPN置:ACP-DAMICP。.。。.。。.。。。.．。。..．..。。。。．。.。..。。。．。。..。．。。。。。364。2。1、使用eb浏览器方式配置。.。..。.。.。。.。。..。。。．。。．。。.。。...。．。。。．。。.。。...。。。。.。.．..。。。。。。．..。。..．．。..。374.2。1、使用命令行方式配置.。..．。。。。。...。。...。。...。．。.。..．．。。。。。。。．.．。。。。。。...。。。。。。。。。。。..。。。。..。..。...405、JＵＮＩＰE中低端防火墙的ＵTＭ功能配置。。．.。。...。。．..。..。..。。。.。．。．。．..。。。。。。.。.。.．．。。。。。。...。.。。。.。。．。425.1、防病毒功能的设置.．。。。.。...．..。。。..。。...。。..．.。。。。..。。。。.。。..。．。。。..．.。。.。。。.．。。。。。.。。．。．。。．。。．。.．...。.。。。.。435.1。1、ScａnMaｎagｅｒ的设置.。。..．．.。。。。。..。。.．..。。.．..。．。.。.。。。。。。.．．。。。。．。。。。。。。。.。。.．。。.。。．。.。。。。。435.１.2、Ｐｒｏfile的设置.．。。.。。。。。。.。..。。。．。...。。..．.。。．。..。。。。..。.。．...。。．.。.。.。.。。。。。。。.。...．。。。.。.。.。。。..。。。。。..．。。。。44５.1。3、防病毒profile在安全策略中的引用.．。．。。。.。。.。..。．。.．..。。.。.。.。。..。．。．.。。.。.。．。。.。。．。。.。。．.４65。２、防垃圾邮件功能的设置.。。。。..。。。。。...。。。。。。．．。...。。.。。。...。.．.．.。．．..。。..。。..。...。。。..。。。。..。.。.。.．..。.。。．..。。4８５.2.1、Acｔin设置。..。．.。.。。。。.。．。。.。。。．.。。。.。．.。...．．．...。．。。.。。。。...．。.。。。．。。。.．.。.。。.。。。．。。。.。。..。。。49５。2.２、WhiteList与ＢlｃｋＬｉst的设置..。。.．。．。。。.。。。...。。.。。。．。.．．。.．。..。。。..。。。。。．。.。。.。。。。．．。。。.。..。。。.495．２。３、防垃圾邮件功能的引用．。。。..。．．。。..。．。.．。。．。．..。.．．。。.．．。.。.。。。。．．。。。．．.。。。。.。.。．．。。。..。.。。．...．.515。３、WEB/URL过滤功能的设置。。．..。。。。.。．.。。．。。.。。。..。.．。..。。.。...。。.。。．.。。．。。.。．．.。。。．。。。。.。。。。。.。。。.．.．.。.515.3。１、转发ＵRL过滤请求到外置UＲL过滤服务器。。.。。.。。．。.。.。。.。。.。。。.．．。。。.．．.。。。。。。。.。。．.。。。。。。。。。515。3.2、使用内置的UＲL过滤引擎进行URL过滤..。。．.。。。．。。。。.．。.．。．．．。。.。。．。.。。。。。。...。。。.。.。。．..。.５35。3。３、手动添加过滤项。．.．。。。．．。。。。。。。..。.。。．．.。.．。．。.．..。.。．。.。．.。。。.．.。。.．.。。。。.。。．...。..。..。。..。。。...。5４5。4、深层检测功能的设置。。.。．。.。。。。。。。。．.。。．.．。。.。。.。.。.。。.。。。。．.。...。...．。．...。。.。。。..。..。。.．。。。。。.．。。。。．。.。..。。。。．585.4。１、设置DI攻击特征库自动更新.。。.。。．。.。。..。。。...。。。。。.。..。。.。。。。。。.。．。..。。．.。。...。.。.．。。.。.。..。．。.。．．..５85。４.2、深层检测（DＩ)的引用。。。．..。.。.。.。。..。。..。．。..。.。..。．。.。。.。.。。。.。.。。.．.。．..。。.。．.。。。。。。。．。。。.。。．。。.。..．596、JUＮIＰE防火墙的A(高可用性)配置。..。.。...．。。。.。.。.。。.。..。。。。。。.。.。．．。...。。.。。。。..．.．.。．。．６16。1、使用WEＢ浏览器式配置。。。.。。.。。．。。...。。..。.。..。。。。。。。。。..．.．。。。．．..．..。。。...。。。．。..。。。。。．.．．．．..．。．。．。．.。。6２6。2、使用命令行方式配置．。。.。..。。。.．。．.．.。.。．。。。.．.。..。.。.．。．。。。。。。.。.。．.。。．.．。。.。。．..．.。。.。.。。。．．..。。.。。..。。.。。..。。647、ＪUＮIPE防火墙一些实用工具。。..。.。。。。。..．..。。。。。..．..。。.。.。。。。．．.。。.。。.。。..。．..。。。．。..。...。..。。..．。。．。。。.。６57。１、防火墙配置文件的导出和导入..。.。。..．。．．。.．..。.。.。..。..。。。.．...。。。．。。。。。。.。。。.。。.。。.．．。。．．。。．。。..6５７。1。1、配置文件的导出.。..。．。．。。。．。...。.。．.。。.．．。。。。.。。.。.。。..。。。。。.。..。．。。.。。..。。。。。。。。.。..。。。。。.。。。。.。.。。。。。６６７.1。2、配置文件的导入.。.．。．.。．...。。...。。。。.。．.。..。．。.。。。．。.。.。.。。。。。..．.．．。。。。。。。.。..．。.。.．．．。。..。.。。。...。。。。667。2、防火墙软件(SＲEＮＯS）更新。。。。。...。．。．.．.。．。。。.．。。..．.。.。..．..。.。．。。。．.．。..。。。。。。。。。。．。。..。.。。。。．.。．６７７.３、防火墙恢复密码及出厂配置的方法．。.。。.。.。。.。.。。．.。。。。。.。。。.。。。。。．．..。．。.。...．。.．.。。.．.。。.。.。。..。.．.．．．6８8、JUＮIPE防火墙的一些概念.．．..。。。.。。..．。．.。。。..。。.．.。.。。...。。。．.。．..。。。.。。。。.。。。．。..．..。．。。。.。．。．。。。.。.．。。。６8关于本手册的使用：①本手册更多的从实际使用的角度去编写,如果涉及到的一些概念上的东西表述不够透彻、清晰，请使用者自行去找一些资料查证;②本手册在编写的过程中对需要使用者特别注的地方，都有“注”标识,请大家仔细阅读相关内容;对于粗体、红、蓝色标注的地方也需要多注意;③本着技术共享的原则，我们编写了该手册，希望对在销售、使用Jｕnipeｒ防火墙的相应技术人员有所帮助,大家在使用过程中有任何建议可反馈到:chuａnｇ_li@synnｅx．com。hk；HＹPEＲLIＮKmａｉltｏ：jiａjｕn＿xionｇ＠sｙnnex．coｍ。hkjiａｊun_xiong＠syｎｎｅｘ。coｍ.hk；④本手册归“联强国际(香港）有限公司”所有,严禁盗版。1、前言我们制作本安装手册的目的是使初次接触Jｕnipeｒ网络安全防火墙设（在本安装手册中简称为“Junｉer防火墙）的工程技术人员,可以通过此安装手册完成对Junｉpｅr防火墙基本功能的实现和应用。1。１、Juniｐer防火墙配置概述Ｊｕniper防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求但是由部署模式及功能的多样性使得Juniｐｅr防火墙在实际部署时具有一定的复杂性。在配置Junｉper防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对Junipｅｒ防火墙进行配置和管理。基本配置：1．ﻩ确认防火墙的部署模式：NＴ模式、路由模式、或者透明模式；2。ﻩ为防火墙的端口配置IＰ地址（包括防火墙的管理ＩP地,配置路由信息；3.ﻩ配置访问控制策略，完成基本配置．其它配置:1.ﻩ配置基于端口和基于地址的映射;2。ﻩ配置基于策略的VＰN；3。 修改防火墙默认的用户名、密码以及管理端口。1.2、Junipeｒ防火墙管理配置的基本信息Jｕnｉper防火墙常用管理方式：①通过eｂ浏览器方式管理．推荐使用IＥ浏览进行登录管理,需要知道防火墙对应端口的管理Ｐ地址；②命令行方式.支持通过Consｏle端口超级终端连接和elｎｔ防火墙管理IP地址连接两种命令行登录管理模式。Ｊuniper防火墙缺省管理端口和IP地址:①Juniper防火墙出厂时可通过缺省设置的ＩＰ地使用elnet或者eｂ方式管理缺省IP地址为:92。168。1。1/255。255.255．0；②缺省IP地通常设置在防火墙的rusｔ端口（S—5ＧＴ最小端口编号的物理端口上(NS—2５/50/20４/2０8/SSG 系列）、或者专用的管理端口上（IＳG—10０0/２000，NS－５２０0／5400.Jｕniｐｅr防火墙缺省登录管理账号：①用户名：nesｃreeｎ；②密码:nｅｓcｒeeｎ。1。3、Jｕnipｅｒ防火墙的常用功能在一般情况下防火墙设备的常用功能包括透明模式的部署ＮT路由模式的部署NＴ的应用、MＩP的应用、DＩP的应用VIP的应、基于策略VPN的应用。本安装手册将分别对以上防火墙的配置及功能的实现加以说明。注:在对Ｐ/DIＰVＩP等Juniper防火墙的一些基本概念不甚了解的情况下,请先到本手册最后一章节内容查看了解!2、Ｊuniper防火墙三种部署模式及基本配置Jｕniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：①基于TCP/IP协议三层的NＴ模式;②基于TCP/IP协议三层的路由模式;③基于二层协议的透明模式。2。1、T模式当Ｊｕniper防火墙入口接“内网端口处于NＡT模式时防火墙将通往Untｒｕsｔ(外网或者公网)的IP数包包头中的两个组件进行转换:源Ｐ地址和端口号。防火墙使用Ｕnｔrust区(外网或者公网）接口的P地址替始发端主机的源IＰ址;同时使用由防火墙生成的任意端口号替换源端口号。NT模式应用的环境特征：①注册IＰ地（公网Ｐ地址）的数不足;②内部网络使用大量的非注册IＰ地（私网P地址)需要法访问Ｉnternｅt；③内部网络中有需要外显并对外提供服务的服务器。２.2、Rｏute-路由模式当Jｕniper防火墙接口配置为路由模式时防火墙在不同安全区（例如Trust/Ｕtruｓt／MＺ）转发信息流时IP数据包头中的源地址和端口号保持不变（除非明确采用了地址翻译策略)。①与NAT模式下不同，防火墙接口都处于路由模式时,防火墙不会自动实施地址翻译;②与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。路由模式应用的环境特征：①防火墙完全在内网中部署应用;②NT模式下的所有环境；第第页共70页HYPERLINK/juniper/index.asp/juniper/index.asp③需要复杂的地址翻译。２.3、透明模式当Junipｅr防火墙接口处“透明模式时防火墙将过滤通过的IP据包但不会修改IＰ数据包包头中的任何信息。防火墙的作用更像是处于同一VＬA的２层交换机或者桥接器，防火墙对于用户来说是透明的。透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点:①不需要修改现有网络规划及配置;②不需要实施地址翻译;③可以允许动态路由协议、Vlantrunｋｉｎg的数据包通过。2。4、基于向导方式的ＮＴ/Rｏute模式下的基本配置Junｉper防火墙NT和路由模式的配置可以在防火墙保持出厂配置启动后通过eb浏览器配置向导完成。注要启动配置向导则必须保证防火墙设备处于出厂状态例如新的从未被调试过的设备,或者经过命令行恢复为出厂状态的防火墙设备．通过eb浏览器登录处于出厂状态的防火墙时,防火墙的缺省管理参数如下:①缺省I：1９2．1６8.1.1/25５。255．2５5．0；②缺省用户名密码：nesｃreen/nesｃreｅn；注缺省管理IP地址所在端口参见在前言部份讲述“Ｊｕniｐer防火墙缺省管理端口和IP地址”中查找!在配置向导实现防火墙应用的同时我们先虚拟一个防火墙设备的部署环境之后根据这个环境对防火墙设备进行配置。防火墙配置规划：①防火墙部署在网络的Internｅt出口位置，内部网络使用的P地址为1９２。168。1．0/２55。255．25５．０所在的网段,内部网络计算机的网关地址为防火墙内网端口的IP地:192。１６8.１。1；②防火墙外网接口IP地（通常情况下为公网IP地址,在这里我们使用私网IP地模拟公网IP址)为：10.1０。1０．１/255.２55.255。０,网关地址为:1０.10.1０。２５1要求：实现内部访问Internet的应用。注在进行防火墙设备配置前要求正确连接防火墙的物理链路调试用的计算机连接到防火墙的内网端口上。1.ﻩ通过ＩＥ或与IE兼容的览(推荐应用微软IE浏览器使用防火墙缺省IP地址录防火（建议保持登录防火墙的计算机与防火墙对应接口处于相同网段直接相连。2。ﻩ使用缺省IP登录之后,出现安装向导：注对于熟悉Juｎiper防火墙配置的工程师可以跳过该配置向导直接点选NoskiptheｗｉｚardandgoｓｔraighｔtoｔhｅebUImanaｇemenｔsesｓionｉnsteａd，之后选择t,直接登录防火墙设备的管理界面。3。 使用向导配置防火墙,请直接选择:t,弹出下面的界面:４。ﻩ“欢迎使用配置向导再选择t。注进入登录用户名和密码的修改页面Juniper防火墙的登录用户名和密码是可以更改的,这个用户名和密码的界面修改的是防火墙设备上的根用户这个用户对于防火墙设备来说具有最高的权限,需要认真考虑和仔细配置，保存好修改后的用户名和密码。５。ﻩ在完成防火墙的登录用户名和密码的设置之后出现了一个比较关键的选择这个选择决定了防火墙设备是工作在路由模式还是工作在NＴ模:‹选择EnablｅNT,则防火墙工作在NT模式;‹不选择ＥｎableＮT，则防火墙工作在路由模式.6.ﻩ防火墙设备工作模式选择选择ust—UntrｕstＭｏｄe模式这种模式是应用最多的模式，防火墙可以被看作是只有一进一出的部署模式．注NS—５ＧT防火墙作为低端设备了能够增加低端产品应用的多样性Ｊuｎiper在NＳ－５GＴ的OS中立开发了几种不同的模式应用于不同的环境目前除ＮS-５GＴ以外Juｎiper其他系列防火墙不存在另外两种模式的选择。7。ﻩ完成了模式选择点“ｔ进行防火墙外网端口ＩP配外网端口P配置有个选项分别是ＤＨCP自动获取IP址通过PＰoE拨号得IＰ地手工设置静态IＰ地址，配置子网掩码和网关IP地址。在这里,我们选择的是使用静态IP地址的方式，配置外网端口ＩP地址为：10.10.10。1/25５.2５5.２55.０，网关地址为：10.10．10.２51.8. 完成外网端口的IＰ地配置之后,点击“t”进行防火墙内网端口P配置:9.ﻩ在完成了上述的配置之后，防火墙的基本配置就完成了，点击“t”进行DHCP服务器配置。注：DHＣＰ服务器配置在需要防火墙在网络中充当DHCP服务器的时候才需要配置。否则请选择“NＯ”跳过。注上面的页面信息显示的是在防火墙设备上配置实现一个ＤＨCP服务器功能由防火墙设备给内部计算机用户自动分配IP址，分配的地址段为：１92.16８.1．100—192。168.1．１50一共５1个IP址在分配I地址的同时防火墙设备也给计算机用户分配了DNS服务器地址,ＤＮＳ用于对域名进行解析,如:将HYPEＲLIＮＫhttp：//www.ｓiｎａ。com.ｃn％Ｅ8%Ａ7％A3％E6%９Ｅ%9０%E４%Ｂ8%ＢAip/WW.SINA。ＣOＭ.CN解析为IP地址:２02。1０8。33.３2。如果计算机不能获得或设置DＮS服务器地址,无法访问互联网。10。完成DHCP服务器选项设置,点击“t"会弹出之前设置的汇总信息:1１。确认配置没有问题，点击“t”会弹出提示“Fiｎis”配置对话框：在该界面中，点选:Fiｎｉsh之后，该eb页面会被关闭,配置完成。此时防火墙对来自内网到外网的访问启用基于端口地址的NT,同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略:‹策略策略方向由rust到Untrust源地址ＡNY目标地址AＮY网络服务内容：ANＹ；‹策略作用：允许来自内网的任意ＩP地址穿过防火墙访问外网的任意地址。重新开启一个IE页面,并在地址栏中输入防火墙的内网端口地址,确定后，出现下图中的登录界面输入正确的用户名和密码登录到防火墙之后可以对防火墙的现有配置进行修改。总结:上述就是使用eb浏览器通过配置向导完成的防火墙NT或路由模式的应用通过配置向导，可以在不熟悉防火墙设备的情况下,配置简单环境的防火墙应用。2.5、基于非向导方式的NT/Roｕte模式下的基本配置基于非向导方式的NT和Ｒｏuｔe模式的配置建议首先使用命令行开始最好通过控制台的方式连接防火墙，这个管理方式不受接口ＩP址的影响。注在设备缺省的情况下防火墙的信任(ｒuｓｔZone所在的端口是工作在NＴ模式的，其它安全区所在的端口是工作在路由模式的。基于命令行方式的防火墙设备部署的配置如下(网络环境同上一章节所讲述的环境：２。5．1、ＮS—５GＴNT／Ｒoute模式下的基本配置注:ＮS—5GT设备的物理接口名称叫做trusｔ和untrust；缺省Zoｎｅ包括:truｓt和untrust,请注意和接口区分开。①Ｕｎsetｉnterfａcｅｔrｕstiｐ清除防火墙内网端口的Ｐ地址;②Ｓｅtｉnteｒfacetrustzonetrusｔ(将内端口分配到trustｚoｎe；③Sｅtinｔｅｒfａcetrustｉp１92.1６8。１。1/２(设置内网端口的ＩP地必须先定义zｏne后再定义IP地址；④Sｅtｉnｔerｆａcｅuntrｕstｚｏneuｎtｒus（将外网口分配到uｎｔruｓｔｚn;⑤Setｉnterfaceｕntruｓtｉp１0.10．１０.1/24(设置外网口的IP地；⑥Ｓｅtｒoutｅ0。0.0.0/０interfａceuntｒustｇaｔeway10。10．10。２5（设置防火墙对外的缺省路由网关地址;④ ④ Setinterfaceethernet3zoneuntrus（将ethernet3端口分配到untrustzone；第19页共70页HYPERLINK/juniper/index.asp/juniper/index.asp⑦Setpｏｌiｃyfroｍｔrusｔtounｔrustanｙａnyanypｅｒmitｌo（定义一条由内网到外网的访问策略策略的方向是由zonetrusｔ到zoneuntrｕst,源址为aｎy目标地址为:any,网络服务为：an，策略动作为:permit允许,log:开启日志记录;⑧Saｖe(保存上述的配置文件。２。5。2、NＳ-25-20８ＮT/Route模式下的基本配置①Unｓetｉntｅrｆａcｅethernet1ip(清除防火墙内网口缺省IP地；②Setｉnｔerfａｃeethernet1zoneｔrｕsｔ（将eｔｈｅrnｅt1端口分配到trｕｓtzｏne；③Ｓetinｔｅrfaceethernｅｔ1ip192。168。1.1/24（定义eｔhernet1端口的IP地；第第20页共70页HYPERLINK/juniper/index.asp/juniper/index.asp⑤Setintｅrfaceetherｎet3ip10.10.1０。1／24(定义etheｒnet3端口的IP地址；⑥Seｔrｏuｔe0.0。0。0/０inteｒfaceｅtｈernet３ｇateway１0．10．10.２5(定义防火墙对外的缺省路由网关；⑦Setpolicyｆroｍtrusttｏuｎtrustａnyanyanyｐeｒmitlo（定义由内网到外网的访问控制策略；⑧Ｓave（保存上述的配置文件）注上述是在命令行的方式上实现的ＮＴ模式的配置因为防火墙出厂时在内网端（ｔrusｔｚone所属的端口上启用了NT所以一般不用特别设置但是其它的端口则工作在路由模式下，例如:untrusｔ和DMZ区的端口.如果需要将端口从路由模式修改为ＮT模式，则可以按照如下的命令行进行修改:①Ｓetinｔerｆaｃeeｔheｒｎet２ＮT(设置口２为NＴ模式)②Save总结:①ＮT/Rｏutｅ模式做防火墙部署的主要模式,通常是在一台防火墙上两种模式混合进行（除非防火墙完全是在内网应用部署不需要做N地址转换这种情况下防火墙所有端口都处于Roｕｔe模式,防火墙首先作为一台路由器进行部署;②关于配置举例NS—５GT由于设备设计上的特殊性因此专门列举加以说明Juniｐer在２006年全新推出的SＧ系列防火墙除了端口命名不一样和NＳ—25等设备管理配置方式一样。2。6、基于非向导方式的透明模式下的基本配置实现透明模式配置建议采用命令行的方式，因为采用ｅｂ的方式实现时相对命令行的方式麻烦通过控制台连接防火墙的控制口登录命令行管理界面通过如下命令及步骤进行二层透明模式的配置:①Unｓetｉnteｒfaｃeetｈｅｒneｔ1ip(将以太网1端口上的默认IP址删除；第第页共70页HYPERLINK/juniper/index.asp/juniper/index.asp②Setiｎｔerｆaceethernet1zｏnev１—ｔｒｓt（将以太网1端口分配到v１—trustzｏne:基于二层的安全区，端口设置为该安全区后,则端口工作在二层模式,并且不能在该端口上配置ＩP地；③Seｔinterfａceethernet２zoneｖ1—ｄmｚ(将以太网２端口分配到v１-ｄmｚzon；④Setinteｒfaｃeetherｎet3zｏｎev1—untｒust（将以太网3端口分配到v１-untruｓtzonｅ;⑤Ｓｅｔｉnterfaｃｅvｌaｎ1iｐ１9２。１68．1.1/2４(设置VＬＡN1的ＩP地址为：192。16８.1。1/２５５.255。255。0，该地址作为防火墙管理ＩP地址用;⑥Ｓetpolicyfｒoｍv1—trｕsｔtov１—ｕｎtrustａnyayayprｍitlog（设置一条由内网到外网的访问策略；⑦Save(保存当前的配置；总结：①带有Ｖ1—字样的ｚｏnｅ为基于透明模式的安全区,在进行透明模式的应用时,至少要保证两个端口的安全区工作在二层模式;②虽然Jｕniper防火墙可以在某些特殊版本工作在混合模式(二层模式和三层模式的混合应用是通常情况下建议尽量使防火墙工作在一种模式（三层模式可以混用:NT和路由.3、Jｕniｐer防火墙几种常用功能的配置这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的ＮT实现，包括:ＭIＰ、VＩP和Ｐ这三种常用功能主要应用于防火墙所保护服务器提供对外服务。3。1、MI的配置ＭIP是“对一"的双向地址翻译(转换）过程.通常的情况是:当你有若干个公网IP地址又存在若干的对外提供网络服务的服务(服务器使用私有IＰ址为了实现互联网用户访问这些服务器可在Iｎternｅt出口的防火墙上建立公网ＩP地址服务器私有Ｐ地址之间的一对一映射(MＩ，并通过略实现对服务器所提供服务进行访问控制。MＩP应用网络拓扑图：注:ＭＩＰ配置在防火墙的外网端口(连接Intｅrnet的端口。3.1。1、使用eb浏览器方式配置MＩP①登录防火墙,将防火墙部署为三层模式(NT或路由模式；②定义MIPNｅtwork=〉Inteｒfａce=>eｔheｒnｅt2＝>ＭIP置实现MIP的地址映射MaｐpeｄIＰ:公网Ｐ地址,ＨoｓtIP:内网服务器IP地址③定义策略：在POＬICＹ中，配置由外到内的访问控制策略，以此允许来自外部网络对内部网络服务器应用的访问。3。1。2、使用命令行方式配置ＩP①配置接口参数setｉntｅｒfaｃeeｔｈernｅt1zoｎeｔrｕstseｔinｔeｒfaｃeethernet1ip１0。１。1。１/２4seｔiｎtｅrｆacｅethernet１natsｅｔiｎterfaceeｔheｒnet2zoｎｅuntrｕstｓetiｎterfacｅetherｎｅt２iｐ1。1.1。１/24②定义MIＰsetｉnterfaｃeethｅrneｔ2mip1.1。1。5host10.１.１.5netmaｓk255.2５５。２55.２55vrｏuterｔrust-r③定义策略ｓetｐolｉcyfrｍuntrｕsｔtorustａnymip（１。1。1。５）hｔtｐｐermｉtｓａe3．2、ＶＩ的配置ＭIP是一公网IＰ地对应一个私有ＩP地址是一对一的映射关系；而ＶIＰ是个公网IP地址的同端(协议端口如２12510等与内部多个私有ＩP地址的不同服务端口的映射关系通常应用在只有很少的公网IP地址却拥有多个私有P地址的务器并且，这些服务器是需要对外提供各种服务的．VＩP应用拓扑图:注:VP配置在防火墙的外网连接端口上(连接Internｅｔ的端口。3.２。1、使用ｅb浏览器方式配置ＶIP①登录防火墙,配置防火墙为三层部署模式。②添加VIＰ:eｔｗｏrk＝〉Inｔｅrfａｃｅ＝〉etheｒnet8=〉VIP③添加与该VI公网地址相关的访问控制策略。３。2．2、使用命令行方式配置VＩP①配置接口参数setinterｆaceｅtｈernet１zoｎetrusｔｓetｉｎterfaceetｈeｒｎｅt1ｉｐ１0．1。１。1／24sｅtiｎterｆaceetｈerneｔ1naｔｓｅtinterfaceｅｔhernet３zoｎeuntｒｕstseｔｉnterｆaceeｔheｒｎet3ip1.1．1。1/2４②定义VＩPｓetiｎｔeｒfacｅethernet3ｖip1．1。１.10８0ｈttｐ10.１。１．10③定义策略setpｏlｉｃyfrmuntrusttｏtrustaｎyviｐ(1。1。1。１０）httppeｒmitsae注：VＰ的地址可以利用防火墙设备的外网端口地址实现（限于低端设备.3.３、DIＰ的配置ＤIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在ＮＴ模式下，通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP址并实现对外(互联网的访问这种应用存在一定的局限性解决这种局限性的办法就是DIP内部网络ＩＰ地址外访问时，动态转换为一个连续的公网IP地址中的IP地.ＤＩP应用网络拓扑图:3。３。1、使用ｅb浏览器方式配置ＤIＰ①登录防火墙设备,配置防火墙为三层部署模式；②定义DIPNetwork＝〉Intｅrfaｃe=〉ethｅrnｅt3=〉DIP在定义了公网ＩP地址的untrust端口定义ＩP地池;③定义策略：定义由内到外的访问策略，在策略的高级（ADV)部分NＴ的相关内容中,启用源地址NT并在下拉菜单中选择刚刚定义好的DIP地址池保存策略完成配置;策略配置完成之后拥有内部ＩP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP址进行NT。3.３。2、使用命令行方式配置DIP①配置接口参数setinterfacｅetｈerｎet1zｏneｔrustseｔintｅrｆａceethｅrneｔ1ip１0。1．1.1/２4seｔinterfacｅeｔｈernet1naｔｓeｔinｔerfaｃeethernet３zｏneuｎtｒuｓｔsｅｔｉnterfaceeｔhｅｒｎet3ip1。１.1。1/24②定义DIPsｅtinｔerfaｃeｅtherｎeｔ3ｄip51.１。1．301。1.1．３０③定义策略seｔpoｌｉcyfrmtrusｔｔoｕnruｓtａｎｙanyhtｔｐnatsｒcｄｉp-ｉd5ｐermｉｔsae４、Jｕnｉper防火墙ＩＰSecＶP的配置Ｊuniｐer所有系列防火(除部分早期型号外都支持IPSｃVP其置方式有多种包括基于策略的VＰＮ基于路由的VPN集中星形ＶPN背靠背VPN等在这里我们主要介绍最常用的VPN模式：基于策略的VPＮ。站点（Siｔe—to—Sit的VPN是ISecVPN的型应用这里我们介绍两种站点间基于策略ＶPＮ的实现方式：站点两端都具备静态公网Ｐ地址；站点两端其中一端具备静态公网ＩP地址,另一端动态公网IP地址。4.１、站点间IPＳｅｃVPN配置：sａiｃip—t-sａicip当创建站点两端都具备静态IP的ＰN应用中位于两端的防火墙上的VPN配置本相同，不同之处是在ＶPNgａtewaｙ部分的VPN网关指向IP不同其它部分相同。ＶＰN组网拓扑图:saicip—to—sａiciｐ4。1。１、使用eb浏览器方式配置①登录防火墙设备,配置防火墙为三层部署模式;②定义ＶＰN一阶段的相关配置：VＰＮｓ=>AutokeyＡdwａnｃｅd＝〉Gaｔeｗaｙ配置VＰNgateway部分定义VPN网关名称定“对端VPN设备的公网IＰ地”为本地VPＮ设备的网关地址、定义预共享密钥、选择发起ＶPN服务的物理端口;③在VPNgateｗaｙ的高级（Aｄｖanｃed）部分,定义相关的VN隧道协商的加密算法、选择VＰN发起模式;④配置VPN一阶段完成显示列表如下图;⑤定义VPN二阶段的相关配置：VPNｓ=>AｕｔokeyIKE在AutoｋeyKE部分,择第一阶段的ＶＰＮ配;⑥在ＶPN第阶段高级（Aｄvaｎｃｅs)部分,选择VN的加密算法；⑦配置VＰN二阶段完成显示列表如下图;⑧定义VＰN略选择地址和服务信息策略动作选择为隧道模式ＶPN隧道选择为：刚刚定义的隧道，选择自动设置为双向策略；４.1。2、使用命令行方式配置CLI(东京)①配置接口参数setinｔｅrfａcｅethｅrnet１zonetruｓｔsetintｅrｆacｅetｈernet1ip1０．1。１.1/24seｔinterfaceetherneｔ1natsetinterfaceｅｔｈernet3zoneunｔrｕstsetinterｆaceｅｔherｎｅt3ip１。１．1。1/２４②定义路由setvｒｏuｔertrust—vrｒoｕｔe０。0．0.０／0iｎterfacｅethernet３gａtｅwaｙ１.１．1。250③定义地址ｓetaddreｓstrusｔＴrｕst＿LAN10．1。1．０／24setadｄｒesｓuｎtruｓｔｐaris_oｆficｅ10。２.２。0/２4④定义ＩPＳecPNｓｅtikegaｔewayto＿pａriｓaｄdｒｅss2．2。２。2maｉnoutgoing-interｆaceethernｅt3preshａrｅｈ1p8Ａ24ｎＧ５proｐosalpｒe－g2—３des－shasetvpｎtokyo＿parisgatewａyto_pａrissｅc—lｅvelcompatiｂｌe⑤定义策略sｅｔpoliｃｙtｏpname”To/FroｍPａris"fｒmtrustｔounｔrusｔTｒusｔ_LANparｉs_ofｆｉｃeanytunnelvpntokyo＿parissetpoｌｉcｙtopｎａme"Tｏ/FroｍPａriｓ"frmuntｒustｔoｔrｕstｐａrｉｓ_officｅTｒuｓt＿LANanytｕｎnelvpｎｔokyo_ｐarｉssaeCLＩ（巴黎)①定义接口参数ｓetinｔerｆaceeｔhernet１zonｅtrustｓetinterfaｃｅetheｒneｔ1ip1０。2.2.１／24setiｎterｆａcｅetｈernet１nａｔｓｅtintｅｒfａceethernet3ｚoneｕntrustｓetiｎｔerfacｅetherneｔ３ip2。2.2.2／2４②定义路由setｖroｕtｅrｔrｕｓt－vrrｏutｅ0.０.0.0/0ｉｎterfａcｅｅtｈernｅt3gatewａy2.2。２.250③定义地址sｅtaddresstｒustTrｕst_LＡN1０.2。２。0／24ｓｅtａdｄressuntrusｔtoｋyo＿office１0。1.1．0/２4④定义IＰＳecPＮsｅtikｅgａｔewayto_tokyoaｄdrｅss1.1．1.１maｉnoutｇｏｉng-iｎterfaｃeｅtｈｅｒｎｅt３preshａreh1ｐ8Ａ２4ｎG5proｐoｓaｌpre-ｇ2—３deｓ—sｈaseｔｖpnparｉs_toｋyｏｇatewayo_toｋyｏsec-lｅvelｃompaｔible⑤定义策略setpolicｙtopnaｍe"To/FｒoｍTokyo＂ｆroｍｔrustｔountrusｔTrustLANｔoｋo_offiｃeaｎyｔuｎnelｖpnparｉs_tokｙosｅtpoｌiｃytopname"Ｔo／FrｏmTｏｋyｏ”ｆｒoｍuntrusｔtｏtrusttoko_ofｆｉｃeＴrut＿ＬANaｎytuｎnelvpnpａrｉs_toｋｙosae4。2、站点间IPSecVPN配置：sａiｃip—tｏ-dynaｍｉcｉｐ在站点间ISecＰN应用中，有一种特殊的应用，即在站点两端的设备中,一端拥有静态的公网ＩＰ址，而另外一端只有动态的公网IP地址，以下讲述的案例是在这种情况下,Ｊｕniｐeｒ防火墙如何建立PSecPN隧道。基本原则：在这种IＰScVPN组应用中拥有静态公网IＰ地址的一端作为被访问端出现拥有动态公网ＩP地的一端作为VPＮ隧道协商的发起端。和站点两端都具备静态P地址的置的不同之处在于VPN第一阶段的相关配置在主动发起(只有动态公网IＰ址一端需要指定VPN关地址需配置一个本地配置VPＮ发起模式为主动模式在站点另外一(拥有静态公网IP地址一端需要指定VN网关地址为对端设备的ID息，不需要配置本地ＩD，其它部分相同。ＩPSecVＰＮ组网拓扑图:saicｉp-to—ｄｙnａｍiciｐ４。2。1、使用eb浏览器方式配置①VＰＮ第一阶段的配置：动态公网IP地址端。VPN的发起必须由本端开始动态地址端可以确定对端防火墙的ＩP地址因此在VN阶段一的配置中需指定对端ＰN设备的静态P地址同时在本端设置一个LｏcｌID,提供给对端作为识别信息使用。②VＰN第一阶段的高级配置：动态公网IP地址。在VPＮ阶段一的高级配置中动态公网IP一端的VPN的发起模式应该配置为：主动模式(Ａggrssie）③VPN第一阶段的配置:静态公网IP地址端。在拥有静态公网IＰ地址的防火墙一端，在ＰN阶段一的配置中,需要按照如下图所示的配置“ＲemｏｔeGatwaｙpe”应该选择“ＤnａmｉcＩＰＡddrｅss，同时设置PeerI(和在动态Ｐ地址一端设置的LocaｌＩD相同。④VPN第二阶段配置，和在”saｔciｐ-to—satｉｃip模式下相同。⑤VＰN的访问控制策略,和在”satici-to—saｔicｉp模式下相同。４。2。1、使用命令行方式配置ＣLI(设备—A）①定义接口参数seｔｉnｔｅrｆacｅetｈerｎｅt1zｏnetrｕstｓetinterfaceeｔｈerｎet１ip1０。1．1.1/2４setｉnｔeｒｆaｃeethｅrｎeｔ１naｔｓｅｔｉnterfacｅethernet3zoneuｎtrｕｓｔsetｉnteｒfaｃeeｔhernｅt3dhｃｐcｌienｔsetinterfaceethernet３dhcpclientseｔtingｓserver1.１.１。5②定义路由sｅｔvroutertrｕst—vrroute00。0.0/0ｉnterfacｅethｅrnt３③定义用户setuserｐmasonpaｓswoｒｄＮd4ｓyst4④定义地址ｓetaddressｔrusｔ"truｓｅｄｎetｗorｋ”10．１.1.0／２４ｓｅtａddresｓuｎtｒｕｓt"ｍailservｅr”3.3.3．5/32⑤定义服务sｅtserｖiceientprotｏcoltcpsrc-ｐort-６55３5dｓt—pｏｒt113-113ｓetgrouｐserviｃeremote_mａilsｅtｇｒouｐｓeｒviｃerｅmｏｔe_mailaddhttpsetgrｏupservicerｅｍｏte_ｍａｉlａddftpsetgrｏupsｅｒviceremoｔｅ_mailａddteｌneｔsetgｒoupservｉcerｅmotｅ＿mailaddidｅntseｔgroｕｐsｅrviｃereｍoｔe＿mａilaｄdｍailsｅtｇroｕpsｅrviｃeremｏte_mａｉｌaddpop3⑥定义VＰNseｔｉkegａtｅｗayto_ｍailａddress２。2.22aggrｅｓsivelocａｌ—idHYPERLＩNKmailto:pｍason@ａpｍason＠abｃ．cmoutｇoing—interfａcｅｅtheｒneｔ３pｒesｈａｒeh１p8A24nG5pｒopｏsalpre—ｇ2-3des—sｈasetvｐnｂrａnch_corpｇateayｔo_mailｓec-ｌevelcｏmpａtible⑦定义策略sｅtpoｌiｃytopfrｏmtrｕstｔｏunｔrusｔ"ｒusteｄｎetwｏrk”"mａｉlｓｅrvｅr”rｅmotｅ_mailtunnelvｐｎbraｎch_corpauｔhｓerｖerＬocａlｕseｒpｍasｏnseｔpoｌicytopｆromuｎtｒusttotrusｔ"ailserver”"trustedｎetwork”reｍote_mailtｕnnelvpnbranｃh_cｏrpsaeCLI(设备－B)①定义接口参数setｉｎterfaceethｅrnet２zonedmzseｔｉnterfａcｅetｈernet2ip3.3。3。3/24setinteｒfaceeｔhernｅt３zoｎeuｎｔrustsetintｅrfaceetｈernet3iｐ２。２.2．２/2４②路由ｓｅtvｒouｔｅｒtrust-vrroｕte0．0.０．0/０iｎｔｅrfaceethｅrnet3gａtewaｙ2.２．2。２50③定义地址sｅtaddｒesｓdmz”mailseｒveｒ”３．3.３。5/3２seｔaddreｓｓuntrust＂brancｈｏffiｃe”10.1．1。0／２４④定义服务ｓeｔsｅｒｖiceieｎtprｏtocｏltcpsｒc-ｐort-6553５ｄst—porｔ１13－11３sｅｔgroupsｅｒviｃeremotｅ_ｍailｓetgroｕｐｓerviceｒemote_ｍaｉｌadｄiｄentsetgroupsｅｒvicereｍote_mailaddmａilｓeｔgｒoupｓerviｃｅremote＿maiｌaddpｏp3⑤定义VPNｓetikegatewａyｔo_bｒanｃｈdynamicHYPＥＲLINKmailtｏ:ｐmａsｏn＠abc.cｏmpmａson@abc。ｃomａｇgressiveoutgoing—inｔerfaceethｅｒｎｅt3ｐｒｅshaｒeｈ1p8A2４ｎＧ5ｐｒoｐosａlpre-ｇ2—3ｄｅs-shasｅｔｖpncｏrp_brancｈgａtｅayｔｏ_ｂrnchｔunnelsec—levｅlｃｏmpaｔiｂle⑥定义策略seｔpoliｃyｔoｐfrｏmdmzｔouｎtrｕst”milsｅrｖer"”bｒａnchofficｅ"remote_mａilｔunｎelvpｎcｏrp_branｃhsetpｏliｃyｔｏpｆromuｎtrｕsttodｍz”banｃｈｏｆficｅ＂”mａｉlserver”reｍote_ｍａiltuｎnelvpncorp＿branｃhsａｅ5、Juniper中低端防火墙的UTM功能配置Juniper中低端防火墙(目前主要以ＳSG系列火墙为参考）支持非常广泛的攻击防护及内容安全功能主要包括防病（Antｉ—irus垃圾邮(Ａnti-amURL过（UＬfiltｅriｎｇ)以及深层检测/入侵防御(DeepInｓｐecｔion/IPS.注:上述的安全／防护功能集成在防火墙的ScreenOＳ操作系统中，但是必须通过licｅnsｅ(许可激活后方可使（并会在激活一段时(通常是1年后过期当然在使用这些功能的时候，我们还需要设定好防火墙的时钟以及DNＳ服务器地址。当防火墙激活了相应的安全／防护功能以后通过ebＵＩ可以发现Ｓceeniｎg条目下会增加相应的功能条目，如下图:５.１、防病毒功能的设置Ｊuｎｉpｅr防火墙的防病毒引擎(从ＳcｅeｎOS５.3开始内嵌Ｋａspersky的防病毒引擎)可以针对HTＴP、FＴP、PP3、ＩMＡP以及SMTＰ等协议进行工作。5.１.1、ScaｎMaｎager的设置—“PatｔｅｒnUdａｔeSeｒver项中的URL地址为Junipｅｒ防火墙病毒特征库的官方下载网址(当系统激活了防病毒功能后，该网址会自动出现。—“ＡuｔｏPatteｒnUdate”项允许防火墙自动更新病毒特征库；后面的“Inｔerval”项可以指定自动更新的频率。—“UdaｔeNw”项可执行手动的病毒特征库升级。—“Drｏｐ/BassfileifissiｚeexcｅedsKＢ”项用来控制可扫表/传输的文件大小“Drop项会在超过限额后扔掉文件而不做扫描“Ｂａsｓ项则会放行文件而不做扫描。—“Ｄroｐ／/Basｓfileiftｈenｕmbｅrofcｏｎcurｒentfilesexｃeeｄsfｉleｓ”项用控制同时扫描/传输的文件数量“Drop”项会在超过限额后,扔掉文件而不做扫描；“Basｓ”项则会放行文件而不做扫描。５.1．2、Proｆｉｌ的设置通过设置不同的Prｏfile，我们可以对不同的安全策略（Pｏlicy）采用不同的防病毒操作(Ｊuｎipｅr防火墙的防病毒引用是基于安全策略的;也就是说我们的防病毒设置是通过在特定的策略中引入特定的Pｒoｆile来实现的，而实现高粒度化地防病毒控制,将防病毒对系统资源的消耗降到最低。ｎs—ｐroｆｉle是系统自带的pｒofile用户不需要做任何设置就可以在安全策略里直接引用它。除此之外,用户可以根据自己的需求来设置适合自身需求的prｏfile。Proｆile方面的设置包括对ＦTPHTTＰ、IMＰ、POP3及ＳMTP等5个协议的内容,见下图。Enaｂｌe选项每个特定的协议类型都有一个Enabｌｅ选项选择之则防病毒引擎会检查与这个协议相关的流量;反之，则不会检查.SｃａnMoｄe的设置ＳcａｎModｅ有三个选择项：ScaｎＡｌ、ScanIntｅｌｌｉgeｎt、ＳcanＢyExteｎsioｎ.ScaｎAll对于流量，检查所有已知的特征码。ScａnIｎtellgen:对于流量,检查比较常见的特征码。SｃanByExｔｅｎsｉon仅针对特定的文件扩展名类型进行检查如果选择该类型则须要事先设定好Exｔ—Lｉｓt（设置文件扩展名的类型）与Include／ＥxｃｌuｄｅEｘtensionＬｉｓｔ。ＤecomｐreｓsLａer的设置为了减少传输的时间很多文件在传输过程中都会被压缩DecｏmpressＬaer就是用来设置防病毒引擎扫描压缩文件的层数.防病毒引擎最多可以支持对4层压缩文件的扫描。Skipｍmenａｂle的设置对于HTTP协议，可以进行SｋipmimeEnａblｅ的设置。打开该功能，则防病毒引擎不扫描MimｅLiｓt中包括的文件类型(系统默认打开该功能,并匹配默认的ＭｉmeＬist:ns-ｓｋｉp-mime－ｌist。EｍailNotify的设置对于ＩMＡPPＯP3、ＳMＰ等email议,可以记性EmａｉｌNortifｙ的设置打开该功能,可以在发现病毒/异常后，发送ｅmａil来通知用户(病毒发送者/邮件发送方／邮件接收方.５。1。3、防病毒ｐｒofilｅ在安全策略中的引用我们前面已经提到过防病毒的实现是通过在特定安全策略中应用pｒoｆilｅ来实现比如,我们在名为ｐ—scａn的策略中引用av1的防病毒pｒofiｌｅ。①首先建立了名为1的proｆｉｌe，并enabｌeＦTP协议的扫描；由于我仅希望检测的是FTＰ应用,故关闭对其他协议的扫描。见下图:②设置tｐ—scn安全策略,并引用pｒofｉｌeav。③引用了ｐｒofiｌe进行病毒扫描的策略,在ａctiｏn会有相应的图标出现。5。2、防垃圾邮件功能的设置Juｎｉpｅr防火墙内嵌的防垃圾邮件引擎，可以帮助企业用户来减轻收到垃圾邮件的困扰。Ｊunipｅｒ的防垃圾邮件功能主要是通过公共防垃圾邮件服务器来实现的。公共的防垃圾邮件服务器会实时地更新防垃圾邮件的库,做到最大范围、最小误判的防垃圾功能.到ScreenOS5。4为止，ur的防垃圾邮件引擎只支持SMTP协议。Ｊunipeｒ防垃圾邮件通过两种方式来检测垃圾邮件:1.通过公共防垃圾邮件服务器的whｉｔｅlist(可信名单）与blaｃklｉst（不信任名单.5.2.1、Actiｏn设置SＢLＤefａulｔEnabｌe项选中后,防火墙使用公共防垃圾服务器来判别垃圾邮件.默认为打开。Ａｃｔioｎs项用来指定对垃圾邮件的处理方法agoｎSubjc（在邮件标题栏标注信息指明该邮件为垃圾邮件；不丢弃邮件；agonHeａder(在邮件内容的头部标注信息,指明该邮件为垃圾邮件;不丢弃邮件Droｐ(直接丢弃查找到的垃圾邮件)5。2.2、ＷhitｅLｉｓt与BlaｃkLiｓｔ的设置通过防火墙自定义whiteliｓt和ｂｌacklｉs。比如在ＷhiteLｉｓｔ＞ＷhitｅＬisｔCoｎtｅnt栏输入HYPＥRLINKｈttp:/／www．sina。coｍ.cn／ww．siｎａ。ｃｏm.ｃ则防火墙在检查到与这个网址相关的邮件都会认为是可信任邮件直接放行。JUNIPERJUNIPER火墙快速安装手册比如在BlackＬiｓｔ>BlａcｋListCｏnｔeｎｔ栏输入HYPERLＩNＫhttｐ://wｗw。baidu。coｍ/ww.bａidu。ｃom,则防火墙在检测到这个网址有关的邮件时,都会判定为垃圾邮件。JUNIPERJUNIPER火墙快速安装手册５.２。3、防垃圾邮件功能的引用最后我们只要在安全策略里面引用防垃圾邮件功能就可以对邮件进行检测了Antisａmｅnabｌe项只要勾选,就开启了防垃圾邮件功能，如下图所示。5．3、WEB/UＲL过滤功能的设置Juｎipeｒ可通过两种方式来提供URL过滤功能。一种是通过转发流量给外部的ＵRL过滤服务器来实支持SｕｒfCoｎtrol和ｅbsｅnse两个产品一是通过内置的SｕrfControlURL过滤引擎来提供URL过滤。5。３。1、转发L过滤请求到外置Ｌ过滤服务器如果采用第一种方式的话，首先防火墙必须能够访问到本地的提供URL过滤的服务器（ＳｕrｆContｒol或者ｅbｓｅnsｅ。然后通过以下项的设置来完成该功能的启用.①在ebFilｔｅriｎｇ>ProtocolSelecｔin条目下,选择需要Rｅｄirect按钮（SrfCｏntｒol或者ｅｂsense。②打开ebFiltering选项的ebsense／SｕrｆＣontrol的条目:—ＥｎablｅｅbFiltｅring设置为勾选,则ebFiltering功能打开。—SｏurceInterfａce项用来选择与UL过滤服务器相连的接口(如果不选,则采用Dｅfａult．—ＳerveｒName项填入URL过滤服务器的地址。—ServｅｒＰort项填入与服务器端口通讯的端口(默认为１58６8。—Iｆｃｏnnecｔivityｔoｔhｅseｒverislｏst,Bloｃｋ/PermitalｌHTTPｒequess项用来决定如果与服务器连接丢失以后,防火墙采取什么措施。选择Ｂlocｋ项,则与服务器失去联系后,阻断所有ＨTTP请求；择Permｉt，则放行所有ＨTＴP求．５.3。2、使用内置的L过滤引擎进行L过滤如果使用Juniper防火墙自带的SurfCｏnｔrｏl引擎来过滤URL，可以通过以下操作来完成。①在ebFilｔeｒing〉PｏｔoｃolSeｌｃtion条目下，选择需要Ｉnteｇｒａted按钮(SurfCoｎtrol或者ebseｎse．②打开ebFｉlｔeriｎg选项的SC-CＡ的条目:—EnabｌｅebFilteｒiｎgviaCAＳeｒｖer项勾选.—ServeｒNaｍe项选择地区(比如我们处于亚洲，则选择AｓiaPacｉfc。—Ｈｏst项会根据ＳervｅrNａme自动填充域名（比如前面选择了ＡsiaＰaciiｃ,则会出现Asiai。SｕrfＣA．coｍ.—Ｐoｒt项与服务器端口通讯的端口(默认为90２0。—Ｉfcoｎｎectiｖitytoｔｈeｓeｒverｉsｌｏst,Blｏck/PeｒｍitallHTTPrｅquess项用来决定如果与服务器连接丢失以后，防火墙采取什么措施。选择Ｂlock项，则与服务器失去联系后,阻断所有HTTＰ请求;择Ｐermit，则放行所有HTTP求。５．３.3、手动添加过滤项下面以实例的方式来讲解手动添加过滤项的操作过程．我们假设要禁止访问HYPERLINKhttｐ:／/www.siｎ/ｗｗ。siｎa。ｃｏm的访问。①首先,我们建立一个自己的过滤组（cａtegory，名字为newｓ。在Sｃreening>ＷEBFｉltering＞ａtegorieｓ〉Cuｓtom>Eｄｉt下:JUNIPERJUNIPER火墙快速安装手册②其次，我们建议一个新的Profile,取名叫jｕsfortest：Ｓｃreeniｎｇ〉WEBＦiｌterｉｎg>Prｏfiles〉Ｃuｓｔom＞EdiｔJUNIPERJUNIPER火墙快速安装手册—BlacｋList项中可以选择预定义或者自定义的过滤组(catｅgory.进入BlａcｋList的组的网址将无条件禁止访问。—WｈiteＬiｓt项中可以选择预定义或者自定义的过滤组(categｏｒy。进入ＷhｉteLisｔ的组的网址将无条件允许访问。—ＤefaultＡction项可以选择Permit或者Dｅny。选择Ｐｅｒmiｔ,则没有匹配BlaｃｋLｉst／WhｉtｅＬsｔ/手动设过滤项的网址，将被允许访问；Deny则反之．—Ｓuｂｓcribeｒｓideｎtifiedｂｙ项—CatｅgoryＮaｍe可选择我们想要过滤的组(在例子中我们选取之前建立的ｎeｗs）—Acｔｉon可选择ｐeｒmｉt或者bloｃk（本例中,我们选取bloc）③最后,我们在安全策略中引用URＬ过滤。注我们建立一条策略然后在WEBFｌteｒing项选择我们刚才建立的prｏfil“jusforteｓt．策略建立完以后，会在Ｏptｉｏns栏出现ＷWW的图标。安全策略生效后，我们就无法访问新浪网站了,我们将看到ouｒageisbｌoｃkｅdduetoasｅcｕｒitｙpolicythatｐrohibisaｃcｓstoｃategｏr。如下图:５.4、深层检测功能的设置Junｉper防火墙可以通过licｅnse激活的方式来实现软件级别的入侵检测防御功能,即深层检测功能(DＩ。深层检可以从L3、L4以及L7等多个层面进行恶意流量的检测及防护。当我们将订购的DＩ许导入防火墙以后DI功能就开启了然后我们通过一些简单的设置,就可以用ＤI来检测和防御网络恶意行为了。Ｊｕnｉper深层检测模块目前支持的检测类型包括（截止ＯＳ5。4)■AＩM(AOLInｓantＭssenger）■DHCＰ（DynamicＨｏｓtCｏｎfiｇurationProｔoｃol)■ＤNS（ＤomａinNameＳｙstem)■FTP(FiｌeraｎsｆerPｒｔoｃol）■GNUTEＬLA(ＦiｌｅSharingNeｔｗoｒkＰｒｏtoｃｏｌ）■GOPＨER（GophｅrPrｏtoｃｏl)■HＴTP(ｙｐerteｘtraｎsfｅｒProtocｏｌ)■ICMＰ(InternetControlMｅｓsａgePｏｔoｃｏｌ)■IＤENＴ(IdentifｉcationProｔoｃol）■ＩＫE(InｔernetＫeｙExｃhａngｅ)■IMAP(ＩnterｎeｔMessagｅＡccｅsｓPotocoｌ)■IRC(InternetＲｅlyChaｔProtoｃｏl)■LDＡP（LightweightDｉrctｏｒyAccessProtocol)■LＰＲ（LｉnｅPrｉnteｒ）■MSN（MiｃｒosｏtMesseｎｇer）■MSRPCＭicroｓoｔReｍotePｒocedureCａｌl)■NBNAME(ＮeｔBＩOSameSerｖicｅ)■NＦS（NetwoｒkＦilｅＳervicｅ)■NTP（ＮetｗorｋｉｍePotocoｌ)■PＯP3(PostOficePｒotoｃol)■RADIUS（RemoteAuｔhenｔicaｔioｎDｉaｌInUseｒServiｃe）■ＳMB（SeｒvｅｒＭeｓｓａgeＢlｏｃk)■SMTP（ＳimpｌeMａｉlａｎsｆerPｒotoｃoｌ)■SYSLOG(SｙstemLog)■TEＬＮET(eｒｍinalＥｍｕｌationPｒｏtoｃoｌ）■ＴFTＰ(rvialFｉｌeransferProtｏco)■VNC（irtuaｌＮetworkComputing，ｏrRｅmoteFrameBｕｆerProtocoｌ）■WHＯＩSRemｏｔeDirectoryAccessPrｏtoｃｏl）■YMSG（ａhooMessｅngeｒ）除此之外我们还可以通过手动的方式来自定义攻击类(使用ＪｕnipeｒIDP设备来编写的话，会相对简便。5.4。１、设置I攻击特征库自动更新随着已知攻击的数目的日益增加攻击特征库也在不断地扩大着我们可以通过设置自动更新的办法来让防火墙自动下载最新的攻击特征库。我们可以通过Udate的ＡtackSignatuｒe下设置攻击特征库的自动更新.SｉgnatureＰａｃk项可以选择Bas一般情况下的攻击特征码集合、Cliｅnｔ（主要针对降低客户端上网风险的攻击特征码集合Ｓｅrvr主要针对保护服务器端的攻击特征码集合、ormMitｉｇａtiｏ(主要针对蠕虫的攻击特征码集合)四种类型。DaａbａｓeServerURL项填写着提供攻击特征库更新的服务器域名（系统会自动填充，一般不用自己填写。UdateMode项可以选择Ｎｏne(不自动更新AuｔomaｔicNｏtifｉcａｔｉｏ有新的更新则发出通知、ＡutｏmａticUpdat(自动更新.Scheduleａt项可以选择At(更新时间、Dail（每日更新、eekｌyOn星期几更新、MonthlyOn（几月份更新。UdateNow项以动更新攻击特征库.5.4.2、深层检测(）的引用跟前面所讲的其他功能一样，我们同样是在安全策略中引用ＤI功能．建立一条策略,然后点击在Acion项旁边的ＤeeｐInsｐeｃtｉｏn项,弹出配置框，如下图。Sｅｖeritｙ项可以选择要防范的攻击的强度(从Ｃriｔical到Ｉno;Gｒoup项来选择攻击的具体组别（按照攻击的具体对象、协议、严重程度来分;Ａｃtioｎ项用来选择检测到攻击后的处理方法ＮoneIｇnoreDｒopＰaｃketＤropClosｅCｌｉｅnt、CloseServer、Closｅ。选择完以上项后则可以按ADD按钮添加到下面的攻击防护表中去。JUNIPERJUNIPER火墙快速安装手册完成了DI能设置的安全策略的Actiｏｎ栏会成一个放大镜的图标，如上图。6、Juｎiper防火墙的ＨA(高可用性)配置为了保证网络应用的高可用性在部署Jｕnipeｒ防火墙过程中可以在需要保护的网络边缘同时部署两台相同型号的防火墙设备,实现HA的配置。Juniｐer防火墙提供了三种高可用性的应用配置模式:主备方式、主主方式和双主冗余方式。在这里，我们只对主备方式的配置进行说明.防火墙HA网络拓扑图(主备模式：6.1、使用ｅｂ浏览器方式配置ＷebUI（设备—Ａ）①接口Netｗork>Ｉｎteｒfaｃｅs>dit（对于etｈｅrnet7)：输入以下内容,然后单击OK:ZｏｎｅName:HANetwoｒｋ>Interｆaceｓ>diｔ（对于ethernｅt8):输入以下内容，然后单击OK：ZonｅNaｍe:HANｅtwoｒk〉Interfａces〉diｔ(对于eｔhernｅt1)：输入以下内容，然后单击OK：ＺoneＮame：UnｔrｕｓｔSｔaticＩ:（出现时选择此选项)ＩPAddresｓ／Ｎeｔmasｋ：20。1.１.1／24Ｎetwork>Intｅｒfａces>diｔ（对于eｔｈernｅt３)：输入以下内容,然后单击Ａppl:ZonｅNamｅ：TrustStatｉcI:(出现时选择此选项)IPAddｒessNetmasｋ：1．1.1．1／2４JUNIPERJUNIPER火墙快速安装手册ManageIP：1０．1.1。20输入以下内容，然后单击OＫ:IｎterfaceModｅ：NAT②NＳＲPNｅｔwork＞NSRP〉Mｏnｉｔoｒ〉Ｉｎtｅrｆace>VSDＩD:ＤeｉceEdｉtntｅrｆace:以下内容,然后单击Appｌ:ｅtheｒnet1:（选择)；Ｗｅight：２55ｅtherｎet3:(选择）；Ｗeigｈt：2５５Netwoｒk〉NＳRP〉Synchroｎizatｉon:选择NＳRPＲＴＯSnｃｈronizaｔion,然后单击Appl。Netｗork>NSRP〉Ｃluｓter：在CｌusｔｅｒＩD字段中，键入１,然后单击Aｐｐl.WeｂUI(设备－B)①接口Neｔwork＞Interfaceｓ＞diｔ