juniper防火墙基础应用学习笔记

2015/10/09 juniper 共 2213 字,约 7 分钟

基于tpc/ip 2-4层

防火墙设备的设置步骤:
1、确定部署模式(透明、路由、NAT模式)
2、设置设备的IP地址(接口地址、管理地址)
3、设置路由信息
4、确定ip地址信息止(基于策略的源、目标地址)
5、确定网络应用
6、配置防问控制策略

默认帐号密码:netscreen

防火墙三个接口的安全区域:
ethernet1:trust
ethernet2:dmz
ethernet3:untrust
ethernet4:null

防火墙三种应用模式:
透明模式
NAT模式
路由模式
特殊模式:二层模式与三层模式混合部署(需要一些条件支持)

透明模式:
只有管理ip地址没有接口ip地址
独有透明模式下ipsec vpn

透明模式的实现:
unset interface ethernet1 ip
set interface ethernet1 zone v1-trust
set interface ethernet2 zone v1-dmz
set interface ethernet3 zone v1-untrust
set interface vlan1 ip 192.168.1.1/24
save

NAT模式的实现:
set interface ethernet1 zone trust
set interface ethernet2 zone dmz
set interface ethernet3 zone untrust
set interface ethernet1 ip 192.168.1.1/24
set interface ethernet2 ip 172.16.1.1/24
set interface ethernet3 ip 10.10.1.1/24
set interface ethernet3 gateway 10.10.0.251
set interface ethernet1 nat
save

路由模式的实现
set interface ethernet1 zone trust
set interface ethernet2 zone dmz
set interface ethernet3 zone untrust
set interface ethernet1 ip 192.168.1.1/24
set interface ethernet2 ip 172.16.1.1/24
set interface ethernet3 ip 10.10.1.1/24
set interface ethernet3 gateway 10.10.0.251
set interface ethernet1 route
save

web登陆
防火墙默认IP:192.168.1.1 透明模式下ip为vlan1的ip地址;NAT模式下为trust的ip,默认在eth1接口上

vlan1 ip地址可作为透明模式下远程vpn的网关

juniper防火墙必须配置策略才能转发数据包

访问控制策略包含六个最基本的必要信息:
策略的方向
源地址信息
目标地址信息
网络服务信息
策略动作信息
策略的排列位置

非必要信息:
日志、流量控制、认证、实时流量记录

合理安排策略顺序:
具体策略在上,非具体策略在下;
拒绝策略在上,允许策略在下;
VPN策略在上,,非VPN策略在下

优化策略内容:
合理利用地址组、服务组功能

自定义服务:
object-service-custom
自定义服务组:
objects-services-groups-configuartiong

安全域的设置
最常用的安全域:三层的安全域trust、dmz、untrust;二层的安全域:v1-trust、v1-dmz、v1-untrust
trust、dmz、untrust、v1-trust、v1-dmz、v1-untrust以上名称都是防火墙的保留字

一些特殊的应用MIP(ip地址映射)
MIP映射
network>interface>ethernet3>edit>MIP>NEW
一般应用:主要的应用是公网IP与内部IP的一对一映射
策略方向:由untrust到trust或DMZ
源地址为:ANY
目标地址:MIP
服务类型:按需可选

MIP策略设置:

DIP应用(地址池映射)
DIP动态地址池,与CISCO的IP POOL功能类似
主要提供对内部地址外出访问的地址翻译
通常利用在拥有大量的注册IP地址,同时又拥有大量非注册地址的网络用户
理论上,一个注册ip地址可以代理600000多台主机外出
位置NETWORK>Interface>Edit>DIP

VIP 端口地址映射
一个注册ip地址,对内部多个服务器或计算贡提供的基于协议端口方式的地址映射
Network>Interface>Edit>VIP/Vip Services
1.先添加一个注册的ip地址
2.增加内部私有地址与注册ip地址的对应,并提供对应的协议端口
3.设置访问控制策略

配置文件的保存
配置文件的导出:
Configuration>Update>Config File>save to file>保存到具体位置
配置文件的导入
Configuration>Update>Config File>浏览》找到配置文件>Apply

恢复出厂状态:
在知道防火墙root用户名密码的前提下:输入unset all 回车确认,断电重启后将恢复出厂状态
在不知道防火墙root用户名密码,通过超级终端连接防火墙控制台,用防火墙SN序列号作为用户名密码登陆 ,根据提示一路YES,待
防火墙重启后可恢复出厂状态。

Search

    Table of Contents