Juniper网络防火墙配置手册 图文 全
Juniper 防火墙配置手册2007-11 ,目 录目 录 ...................................................
Juniper 防火墙配置手册
2007-11
目 录
目 录 ........................................................................................................................... 2
第一章:Juniper 防火墙基本原理........................................................................................ 4
一, 安全区段: ............................................................................................................. 4
二, 安全区段接口 ....................................................................................................... 5
三, 创建二级 IP 地址............................................................................................... 12
四, 接口状态更改 ..................................................................................................... 13
五, 接口透明模式 ..................................................................................................... 15
六, 接口NAT 模式 .................................................................................................. 20
七, 接口路由模式 ..................................................................................................... 25
八, 地址组................................................................................................................ 30
九, 服务 ................................................................................................................... 32
十, 动态 IP 池 ......................................................................................................... 32
十一, 策略................................................................................................................ 43
十二, 系统参数......................................................................................................... 64
1,域名系统支持 ............................................................................................. 64
2,DNS 查找................................................................................................... 64
3,动态主机配置协议 ...................................................................................... 70
4,以太网点对点协议 ...................................................................................... 82
5,现有设备或新设备添加防病毒、Web 过滤、反垃圾邮件和深入检查 ........... 87
6,系统时钟 .................................................................................................... 87
第二章:Juniper 防火墙管理............................................................................................. 91
一, 通过 Web 用户界面进行管理 ............................................................................. 91
二, 通过命令行界面进行管理.................................................................................... 95
三, 通过 NetScreen-Security Manager 进行管理 . ........................................................ 96 四, 设置管理接口选项 .............................................................................................100 五, 管理的级别........................................................................................................103 六, 日志信息 ........................................................................................................... 110
第三章:Juniper 防火墙路由............................................................................................138 1, 静态路由 . ............................................................................................................138 2,OSPF...................................................................................................................144
第四章:Juniper 防火墙NAT...........................................................................................150 一, 基于策略的转换选项..........................................................................................150 二,NAT-Dst — 一对一映射 .....................................................................................161 三, NAT-Dst— 一对多映射 ....................................................................................163 四,NAT-Dst — 多对一映射 .....................................................................................166 五,NAT-Dst — 多对多映射 .....................................................................................168 六, 带有端口映射的 NAT-Dst ..................................................................................170 七, 同一策略中的 NA T-Src 和 NA T-Dst...................................................................173 八,Untrust 区段上的MIP . .......................................................................................183 九, 虚拟 IP 地址 ....................................................................................................190
第五章:Juniper 防火墙VPN...........................................................................................197
,一, 站点到站点的虚拟专用网...................................................................................197
1, 站点到站点 VPN 配置 . ................................................................................197 2, 基于路由的站点到站点 VPN ,自动密钥 IKE ...............................................202 3, 基于路由的站点到站点 VPN ,动态对等方 ...................................................209 4, 基于策略的站点到站点 VPN ,动态对等方 ...................................................217 5, 基于路由的站点到站点 VPN ,手动密钥.......................................................224 6, 基于策略的站点到站点 VPN ,手动密钥.......................................................230 二, 拨号虚拟专用网.................................................................................................235
1, 基于策略的拨号 VPN ,自动密钥 IKE..........................................................235 2, 基于路由的拨号 VPN ,动态对等方..............................................................240 基于策略的拨号 VPN ,动态对等方 ................................................................246 用于拨号 VPN 用户的双向策略......................................................................251
第六章:Juniper 防火墙攻击检测与防御 ..........................................................................256
一,Juniper 中低端防火墙的UTM 功能配置 ..............................................................256
1,Profile 的设置 ...............................................................................................257 2, 防病毒profile 在安全策略中的引用...............................................................259 二, 防垃圾邮件功能的设置 ......................................................................................261
1,Action 设置 .................................................................................................262 2,White List与Black List的设置.....................................................................262 3, 防垃圾邮件功能的引用 . ................................................................................264 三,WEB/URL过滤功能的设置 ................................................................................264
1转发URL 过滤请求到外置URL 过滤服务器 .................................................264 2, 使用内置的URL 过滤引擎进行URL 过滤 . ....................................................266 3, 手动添加过滤项 ...........................................................................................267 四, 深层检测功能的设置..........................................................................................269
1, 设置DI 攻击特征库自动更新 ........................................................................270 2, 深层检测(DI )的引用 . ................................................................................271
,第一章:Juniper 防火墙基本原理
一, 安全区段:
概念:
安全区段是由一个或多个网段组成的集合,需要通过策略来对入站和出站信息流进行调整。安全区段是绑定了一个或多个接口的逻辑实体。通过多种类型的 Juniper Networks 安全设备,您可以定义多个安全区段,确切数目可根据网络需要来确定。除用户定义的区段外,您还可以使用预定义的区段:
Trust 、Untrust 和 DMZ (用于第3 层操作) ,或者 V1-Trust、V1-Untrust 和 V1-DMZ ( 用于第2 层操作) 。
如果愿意,可以继续使用这些预定义区段。也可以忽略预定义区段而只使用用户定义的区段。另外,您还可以同时使用这两种区段- 预定义和用户定义。利用区段配置的这种灵活性,您可以创建能够最好地满足您的具体需要的网络设计。
功能区段
共有五个功能区段,分别是 Null 、MGT 、HA 、Self 和 VLA N 。每个区段的存在都有其专门的目的,如以下小节所述。
Null 区段
此区段用于临时存储没有绑定到任何其它区段的接口。
MGT 区段
此区段是带外管理接口 MGT 的宿主区段。可以在此区段上设置防火墙选项以保护管理接口,使其免受不同类型的攻击。
HA 区段
此区段是高可用性接口 HA1 和 HA 2 的宿主区段。尽管可以为 HA 区段设置接口,但是此区段本身是不可配置的。
Self 区段
此区段是远程管理连接接口的宿主区段。当您通过 HTTP 、SCS 或 Telnet 连接到安全设备时,就会连接到 Self 区段。
VLAN 区段
此区段是 VLA N1 接口的宿主区段,可用于管理设备,并在设备处于“透明”模式时终止 VPN 信息流,也可在此区段上设置防火墙选项以保护 VLA N1 接口,使其免受各种攻击。
设置端口模式
通过 WebUI 或 CLI 更改安全设备上的端口模式设置。
设置端口模式之前,请注意以下方面:
更改端口模式会删除设备上任何现有的配置,并要求系统重置。
发布 unset all CLI 命令不影响设备上的端口模式设置。
例如,如果要将端口模式设置从 Combined 模式更改回缺省 Trust-Untrust 模式,发布 unset all 命令会删除现有配置,但不会将设备设置为 Trust-Untrust 模式。
二, 安全区段接口
物理接口和子接口的目的是提供一个开口,网络信息流可通过它在区段之间流动。
物理接口
安全设备上的每个端口表示一个物理接口,且该接口的名称是预先定义的。物理接口的名称由媒体类型、插槽号 ( 对于某些设备) 及端口号组成,例如,ethernet3/2或 ethernet2。可将物理接口绑定到充当入口的任何安全区段,信息流通过该入口进出区段。没有接口,信息流就无法进入或退出区段。
在支持对“接口至区段绑定”进行修改的安全设备上,三个物理以太网接口被预先绑定到各特定第2 层安全区段 - V1-Trust、V1-Untrust 和 V1-DMZ 。哪个接口绑定到哪个区段根据每个平台而定。
子接口
子接口,与物理接口相似,充当信息流进出安全区段的开口。逻辑上,可将物理接口分成几个虚拟子接口。每个虚拟子接口都从自己来源的物理接口借用所需的带宽,因此其名称是物理接口名称的扩展,例如,ethernet3/2.1 或 ethernet2.1。可以将子接口绑定到任何区段。还可将子接口绑定到其物理接口的相同区段,或将其绑定到不同区段。
,通道接口
通道接口充当 VPN 通道的入口。信息流通过通道接口进出 VPN 通道。
将通道接口绑定到 VPN 通道时,即可在到达特定目标的路由中引用该通道接口,然后在一个或多个策略中引用该目标。利用这种方法,可以精确控制通过该通道的信息流的流量。它还提供 VPN 信息流的动态路由支持。如果没有通道接口绑定到VPN 通道,则必须在策略中指定通道并选择 tunnel 作为操作。因为操作 tunnel 意味着允许,所以不能明确拒绝来自 VPN 通道的信息流。
可使用在通道接口的相同子网中的动态 IP (DIP) 地址池对外向或内向信息流上执行基于策略的 NAT 。对通道接口使用基于策略的 NAT 的主要原因是为了避免 IP 地址在 VPN 通道端两个站点间发生冲突。
必须将基于路由的 VPN 通道绑定到通道接口,以便安全设备可以路由信息流出和流入设备。可将基于路由的 VPN 通道绑定到一个有编号 ( 具有 IP 地址/ 网络掩码) 或没有编号 ( 没有 IP 地址/ 网络掩码) 的通道接口。如果通道接口没有编号,则必须指定它借用 IP 地址的接口。安全设备自行启动通过通道的信息流- 如 OSPF 消息时,安全设备仅使用借用的 IP 地址作为源地址。通道接口可以从相同或不同安全区段的接口借用 IP 地址,只要这两个区段位于同一个路由选择域中。
可以对 VPN 信息流路由进行非常安全的控制,方法是将所有没有编号的通道接口绑定到一个区段 ( 该区段位于其自身的虚拟路由选择域中) ,并且从绑定到同一区段的回传接口借用 IP 地址。例如,可以将所有没有编号的通道接口绑定到一个名为“VPN ”的用户定义的区段,并且对这些接口进行配置,以便从 loopback.1 接口借用 IP 地址,也可绑定到 VPN 区段。VPN 区段位于名为“vpn-vr ”的用户定义的路由选择域中。将通道通向的所有目标地址放置在 VPN 区段中。对这些地址的路由指向通道接口,策略则控制其他区段和 VPN 区段之间的 VPN 信息流。
,将所有通道接口放置在这样的区段中非常安全,因为 VPN 不会由于出现故障 ( 这样会使通往相关通道接口的路由变成非活动状态) 而重新定向原本让通道使用非通道路由 ( 如缺省路由) 的信息流。
还可将一个通道接口绑定到 Tunnel 区段。这时,必须有一个 IP 地址。将通道接口绑定到 Tunnel 区段的目的是让基于策略的 VPN 通道能够使用 NAT 服务。
通道接口到区段的绑定
从概念上讲,可将 VPN 通道当作铺设的管道。它们从本地设备延伸到远程网关,而通道接口就是这些管道的开口。管道始终存在,只要路由引擎将流量引导到接口之一就可随时使用。
通常,如果希望接口支持源地址转换 (NAT-src) 的一个或多个动态 IP (DIP) 池和目标地址转换 (NAT-dst) 的映射 IP (MIP) 地址,请为该通道接口分配一个 IP 地址。可以在安全区段或通道区段创建具有 IP 地址和网络掩码的通道接口。
如果通道接口不需要支持地址转换,并且配置不要求将通道接口绑定到一个Tunnel 区段,则可以将该接口指定为无编号。必须将一个没有编号的通道接口绑定到安全区段;同时不能将其绑定到 Tunnel 区段。还必须指定一个具有 IP 地址的接口,该接口位于与绑定没有编号接口的安全区段相同的虚拟路由选择域中。无编号的通道接口借用该接口的 IP 地址。
如果正在通过 VPN 通道传送组播数据包,可以在通道接口上启用“通用路由封装”(GRE) 以在单播数据包中封装组播数据包。Juniper Networks 安全设备支持可在 IPv4 单播数据包中封装 IP 数据包的 GREv1。
删除通道接口
不能立即删除拥有映射 IP 地址 (MIP) 或“动态 IP (DIP)”地址池的通道接口。删除拥有这些特征的通道接口前,必须首先删除引用它们的所有策略。然后必须删除通道接口上的 MIP 和 DIP 池。如果基于路由的 VPN 配置引用一个通道接口,则必须首先删除 VPN 配置,然后删除通道接口。
在本范例中,通道接口 tunnel.2 被链接到 DIP 池 8。通过名为 vpn1 的 VPN 通道,从 Trust 区段到 Untrust 区段的 VPN 信息流的策略 (ID 10) 引用 DIP 池 8。要删除该通道接口,必须首先删除该策略 ( 或从该策略中删除引用的 DIP 池 8) ,然后删除 DIP 池。然后,必须解除 tunnel.2 到 vpn 1 的绑定。删除依赖通道接口的所有配置后,即可删除该通道接口。
WebUI
1. 删除引用 DIP 池 8 的 策略 10
Policies (From: Trust, To: Untrust): 单击策略 ID 10 的 Remove 。
2. 删除链接到 tunnel.2 的 DIP 池 8
Network > Interfaces > Edit ( 对于 tunnel.2) > DIP: 单击 DIP ID 8 的
Remove 。
3. 解除来自 vpn1 的 tunnel.2 绑定
VPNs > AutoKey IKE > Edit ( 对于 vpn1) > Advanced: 在 Bind to: Tunnel
Interface 下拉列表中选择 None ,单击 Return ,然后单击 OK 。
4. 删除 tunnel.2
Network > Interfaces: 单击 tunnel.2 的 Remove 。
CLI
1. 删除引用 DIP 池 8 的 策略 10
unset policy 10
2. 删除链接到 tunnel.2 的 DIP 池 8
unset interface tunnel.2 dip 8
3. 解除来自 vpn1 的 tunnel.2 绑定
unset vpn vpn1 bind interface
,4. 删除 tunnel.2
unset interface tunnel.2
save
查看接口
可查看列出安全设备上所有接口的表。因为物理接口是预定义的,所以不管是否配置,它们都会列出。而对于子接口和通道接口来说,只有在创建和配置后才列出。
要在 WebUI 中查看接口表,请单击 Network > Interfaces。可指定接口类型从List Interfaces 下拉菜单显示。
要在 CLI 中查看接口表,请使用 get interface 命令。
接口表显示每个接口的下列信息:
Name: 此字段确定接口的名称。
IP/Netmask: 此字段确定接口的 IP 地址和网络掩码地址。
Zone: 此字段确定将接口绑定到的区段。
Type: 此字段指出接口类型: Layer 2 (第 2 层) 、Layer 3 (第 3 层) 、tunnel (通道) 、redundant ( 冗余) 、aggregate ( 聚合) 、VSI 。
Link: 此字段确定接口是否为活动 (up) 或非活动 (down)。
Configure: 此字段允许修改或移除接口。
将接口绑定到安全区段
可将任何物理接口绑定到 L2 ( 第 2 层) 或 L3 ( 第 3 层) 安全区段。由于子接口需要IP 地址,因此仅可将子接口绑定到 L3 ( 第 3 层) 安全区段。将接口绑定到 L3 安全区段后,才能将 IP 地址指定给接口。
在本例中,将 ethernet5 绑定到 Trust 区段。
WebUI
Network > Interfaces > Edit ( 对于 ethernet5): 从 Zone Name 下拉列表中选择
Trust ,然后单击 OK 。
CLI
set interface ethernet5 zone trust
save
从安全区段解除接口绑定
如果接口未编号,那么可解除其到一个安全区段的绑定,然后绑定到另一个安全区段。如果接口已编号,则必须首先将其 IP 地址和网络掩码设置为 0.0.0.0。然后,可解除其到一个安全区段的绑定,然后绑定到另一个安全区段,并 ( 可选) 给它分配 IP 地址/ 网络掩码。
在本例中,ethernet3 的 IP 地址为 210.1.1.1/24 并且被绑定到 Untrust 区段。将其IP 地址和网络掩码设置为 0.0.0.0/0 并将其绑定到 Null 区段。
WebUI
Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容,然后单击 OK :
Zone Name: Null
IP Address/Netmask: 0.0.0.0/0
CLI
set interface ethernet3 ip 0.0.0.0/0
set interface ethernet3 zone null
save
编址接口
在本例中,将给 ethernet5 分配 IP 地址 210.1.1.1/24,“管理 IP ”地址 210.1.1.5。( 请注意, “管理 IP ”地址必须在与安全区段接口 IP 地址相同的子网中) 。最后,将接口模式设置为 NAT ,将所有内部 IP 地址转换至绑定到其它安全区段的缺省接口。
WebUI
Network > Interfaces > Edit ( 对于 ethernet5): 输入以下内容,然后单击 OK :
IP Address/Netmask: 210.1.1.1/24
Manage IP: 210.1.1.5
CLI
set interface ethernet5 ip 210.1.1.1/24
set interface ethernet5 manage-ip 210.1.1.5
save
修改接口设置
配置物理接口、子接口、冗余接口、聚合接口或“虚拟安全接口”(VSI) 后,需要时可更改下列