-
Netscreen
简单的上网和端口映射设置
1
、进入字符
配置
界面:
用随机带的
CONSOLE
p>
线,一头接计算机串口,一头接
E1
端口,
在计算机上打开超级终端进行配置,用
户名,密码都是
NETS
CREEN
。
2
、进入
WEB
配置界面:
用交叉网线连接
E1
和计算机的网卡,将计算机
IP
改成
< br>192.168.1.2
(与
E1
端口在同一网段)
。打开
IE
浏览器
输入
http: /192.168.1.11
(
192.168.1.11
为
E1
< br>端口管理
IP
)
,
用户名,
密码都是
NETSCREEN
。
3
、配置端口
IP
和管理
IP
:
E1
:内部网端口
端口
IP192.168.1.20
和管理
IP192.168.1.11
更改为当地内部网的
IP
地址
,E1
的端口
IP<
/p>
设为当地内部网网关,
管理
IP
用于在内部网管理
NETSCREEN
防火墙。
E3:
外网端口
端口
IP192.168.42.66
和管理
< br>IP192.168.42.68
更改为当地电信所
分配的
IP
地址,
E3
的管理
IP
用于外网管理者在
INTERNET
上配置和管理
NETSCREEN
防火墙。
4
、配置由内网到外网的
NAT
:
在
E3
端口上配置
NAT
,用于将内
部网地址转换成当地电信所分配的公网
IP
地址,以便访问
p>
INTERNET
信息。
1. Network > Interfaces > Edit
(对于
ethernet1
)
:输
入以下内容,然后单击
OK
:
Zone Name: Trust
IP Address/Netmask: 172.16.
40.11/24
(当地内部网网关
IP
)
2. Network > Interfaces >
Edit
(对于
ethernet3
)
:输入以下内容,然后单击
OK
:
p>
Zone Name:
Untrust
IP Address/Netmask:
215.3.4.11/24(
当地电信所分配的
IP
地址
)
。
3. Network > Interfaces > Edit
(对于
ethernet3
)
>
DIP > New
:输入以下内容,然后单击
OK
:
ID: 6
IP Address Range
Start: 215.3.4.12
(当地电信所分配的
IP
地址)
End: 215.3.4.210
(当地电信所分配的
IP
地址,这是一个地址池,可大可小)<
/p>
Port
Translation: Enable
4. Policies >
(From: Untrust, To: Trust) >
New
:输入以下内容,
然后单击
OK
:
Source Address:
Address Book:
(选择)
, Any
Destination Address:
Address Book:
(选择)
, Any
Service: Any
Action: Permit
>
Advanced:
输入以下内容,然后单击
Return<
/p>
,
设置
高级选项并返回基本配置页:
p>
NAT: On
DIP
On:
(选择)
, 6 (215.
3.4.12
–
215.3.4.210)
:上一步设的地址池。
5
、配置
由外网到内网的
VIP
:
在
E3
端口
上配置
VIP
,
可将一个外网
IP
和端口号对应到一个内网
IP
。
通过这种方法可以将
WEB
服务器,
邮件服务器或其他服务放到内网,而从外网只看到一个公网
< br>IP
,增加安全性。
1.
Network > Interfaces > Edit
(对于
ethernet1
)
:输入以下内容,然后单击
Apply
:
Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24
< br>(当地内部网网关
IP
)
2. Network > Interfaces > Edit
(对于
ethernet3
)
:输
入以下内容,然后单击
OK
:
Zone Name: Untrust
IP Address/Netmask: 210.1.1
.1/24
(当地电信所分配的
IP
地
址)
VIP
3. Network > Interfaces > Edit
(对于
ethernet3
)
>
VIP
:输入以下地址,然后单击
Add
:
Virtual IP
Address:
210.1.1.10
(对外的服务器地址)
4. Network > Interfaces > Edit
(对于
ethernet3
)
>
VIP > New VIP Service
:输入以下内容,然
后单击
OK
:
Virtual Port: 80
Map to Service: HTTP (80)
p>
:
(此例为
WEB
服务器的配置,如果是其他的服务器,就加入其服务与对
应的端口号)
< br>
Map to IP: 10.1.1.10
(此为服务器本身
IP
,内网
IP
)
策略
5.
Policies > (From: Untrust, To: Global) > New
:输入以下内容,然后单击
OK
:
< br>
Source Address:
Address
Book:
(选择)
, ANY
Destination Address:
Address
Book:
(选择)
,
VIP(210.1.1.10)
:对外服务器地址
Service: HTTP
(
p>
WEB
服务器选项)
Action: Permit
恢复
Netscreen
到出厂设置<
/p>
一、使用序列号
恢复
< br>出厂
设置
如果你忘记了
admin
的口令,
你可以通过下列方法步骤
恢复
Netscreen
设备
到出厂设
置。
这个过程将摧毁所
有存在的配置,但是可以使用
netscreen/netscreen
来访问设备。
< br>
警告!重启设备将会删除所有配置,防火墙和
VPN<
/p>
设备将失效。
这个步骤必须在
console
连接下操作。
1
.在登录用户名提示时,输入设备序列号(
seri
al number
)
。
2
.在口令提示时,再次输入序列号。
将显示如下信息
:
!!!
Lost
Password
Reset
!!!
Y
ou
have
initiated
a
command
to
reset
the
device
to
factory
defaults,
clearing
all
current configuration,
keys and settings. Would you like to continue?
y/[n]
3.
按
< br>y
键
.
将显示如下信息
:
!!
Reconfirm
Lost
Password
Reset
!!
If you
continue,
the
entire
configuration
of
the
device
will
be
erased.
In
addition,
a
permanent
counter
will
be
incremented
to
signify
that this
device
has
been
reset.
This
is
your
last
chance to cancel
this command. If you proceed, the device will
return to factory default configuration,which is:
System IP: 192.168.1.1; username:
netscreen; password: netscreen.
Would you like to continue?
y/[n]
4.
按
< br>y
键,重启设备
.
现在你能用
netscreen
作用户名和口令登
录设备了。
注意:在重置设备后,应该及时备份新的配置。这
将使你在恢复系统口令的时候能迅速恢复以前的配置。
注意:
设备恢复出厂设置功能是开放的。你可以在命令行下输入:
unset admin
device-reset
关闭这个功能。
二、使用恢复针孔恢复出厂设置
对于
5
、
25
、<
/p>
50
、
200
系
列防火墙可以使用恢复针孔恢复设备到出厂设置。使用这个操作,必须在
console
连接
状态
下。
1
.恢复针孔位于设备的前面板。用
一个细的坚硬的金属丝(如回形针)
,插入针孔按住
4
到
6
秒然后放开。
在控
制台上可以出现一段连续的控制信息
““
Configurat
ion Erasure Process has been initiated
”
。并且系统会发
送一个
SNMP/SY
SLOG
警告。面板上的状态灯每秒闪烁一次。
2
.
等待
1.5
到
2
秒钟。
第一次重置完
成,
电源灯闪烁绿色;
现在设备等待第二次启动。
控制台信息
“
Waiting for
2nd
confirmation.
”
3<
/p>
.再次按住针孔
4
到
6
秒。状态灯变成琥珀色长亮
1.5
秒,然后回到绿色闪烁状态。
4
.设备被重置到出厂设置。
当设备被重置后,状态灯变成琥珀色
1.5
秒
,然后变回绿色闪烁状态。控制台信息
“
Configurat
ion
Erase
sequence accepted,
unit reset.
”
系统生成
S
NMP
和
SYSLOG
警告,配置
p>
SYSLOG
或者
SNMP
陷阱主机。
注意:在恢复
期间,不能保证在恢复前应该收到的
SNMP
警告还能被收到。
5
.现在设备被重启。
如果你没有完成上述步骤,
重置过程将被取消,
任何
配置不会被改变。
并且控制台信息
“
C
onfiguration Erasure
Process aborted.
p>
”
状态灯变成绿色闪烁。如果设备没有被重置,会发出一个
SNMP
警报,确认失败信息。
Netscreen ipsec
vpn
配置案例
ssg5-
serial-> get config
Total Config size 5061:
set
clock timezone 0
set vrouter trust-vr
sharable
set vrouter
exit
set vrouter
unset auto-
route-export
exit
set
service
set service
自定义断口
set auth-
server
set auth-server
set
auth default auth server
set auth
radius accounting port 1646
set admin
nam
e
set admin password
set admin user
set admin
auth timeout 10
set admin auth server
set admin format dos
set
zone
set zone
set zone
set zone
set zone
Tun
set zone
set
zone
unset zone
set zone
set zone
unset zone
set zone
set zone
set zone
set zone
set zone
set zone
set zone
death
set zone
set zone
set zone
set zone
set zone
起用外部区域的安全策略
)
set zone
set zone
set zone
set zone
set zone
set
interface
set
interface
set interface
set
interface bgroup0 port ethernet0/2
set
interface bgroup0 port ethernet0/3
set
interface bgroup0 port ethernet0/4
set
interface bgroup0 port ethernet0/5
set
interface bgroup0 port ethernet0/6(
设置接口
到对应的区域
)
unset
interface vlan1 ip
set interface
ethernet0/0 ip x.x.x.1/24
set interface
ethernet0/0 route
set interface bgroup0
ip 1.1.1.1/24(
接口
ip)
set interface bgroup0 nat
set interface ethernet0/0 gateway
x.x.x.2
外部默认路由到网关
unset interface vlan1 bypass-others-
ipsec
unset interface vlan1 bypass-non-
ip
set interface ethernet0/0 ip
manageable
set interface bgroup0 ip
manageable
set interface ethernet0/0
manage ping
set interface ethernet0/0
manage telnet
set interface ethernet0/0
manage ssl
set interface ethernet0/0
manage web(
允许外部接口的
管理
)
unset
interface ethernet0/1 manage ping
set
interface bgroup0 manage mtrace
set
interface ethernet0/0 vip interface-ip
set interface
5.255 vr
隐射
set interface
set interface
set interface
set interface
set interface
set interface
set flow tcp-mss
unset flow
tcp-syn-check
unset flow tcp-syn-bit-
check
set flow reverse-route clear-text
prefer
set flow reverse-route tunnel
always
set pki authority default scep
mode
set pki x509 default cert-path
partial
set dns host dns1 10.86.0.4
set dns host dns2 202.96.209.6
set dns host dns3 10.31.1.122
set ike respond-bad-spi 1
unset ike ikeid-enumeration
unset ike dos-protection
unset ipsec access-
session
enable
set ipsec access-session maximum
5000
set ipsec access-session upper-
threshold 0
set ipsec access-session
lower-threshold 0
set ipsec access-
session dead-p2-sa-timeout 0
unset
ipsec access-
session log-error
unset ipsec access-
session
info-
exch-connected
unset
ipsec access-
session use-error-log
set vrouter
exit
set vrouter
exit
set url protocol websense
exit
set policy id 1 from
set policy id 1
exit
set policy id 2 disable
set
policy id 2
set log session-init
exit
set policy id 3 name
52.161.189)
set policy id 3
exit
set policy id 4 name
161.189)
set policy id 4
set service
set service
set service
set service
exit
set nsmgmt bulkcli
reboot-timeout 60
set ssh version v2
set config lock timeout 5
unset license-key auto-update
set snmp port listen 161
set
snmp port trap 162
set vrouter
exit
set vrouter
unset add-default-route
set
route 10.86.2.0/24 interface bgroup0 gateway
10.86.0.3 prefe
rence 0
set
route 10.85.0.0/16 interface bgroup0 gateway
10.86.0.3 preference 0
set route
10.31.0.0/16 interface bgroup0 gateway 10.86.0.3
preference 0
exit
set
vrouter
exit
set vrouter
exit
ssg5-
serial->
修改<
/p>
JUNIPER
的防火墙的远程登陆端口
如
何修改
J
UN
IP
ER
的
防火墙
的
远程
登陆端口
修改的意义在于:当只有一公网
IP
的时候
你开不开
远程
WEB TELNET
或者
SSl
默认这
23 80 443
的
3
个端口系统系统都不让你隐射出去
系统抱错说是远程
管
理
使用。
如果有多个
IP
可以用别的
IP
来隐射
如果没有呢
那就只好修改系统本身的
远程
管理
的端口了
如图
找到对应的位置
自己漫漫修改
NETSCREEN<
/p>
防火墙的抗攻击机制
随着信息技术的不
断发展,网络通信已成为日常办公不可缺少的组成部分。在此前提下,现在的网络
攻击<
/p>
行为也层出不穷。以下将主要介绍几种常见的
攻击
方式以及
NETSCREEN
防火墙
所采用的防御机制来检
测并避免这些网络攻击行为。<
/p>
1
、
SYN
Attack (SYN
攻击
)
:每
一个
TCP
连接的建立都要经过三次握手的过程:
A
向
B
发送
SYN
封包:
B
用
SYN/ACK
封包进行响应;然后
A
又用
ACK
封包进行响应。攻击者用伪造的
IP
地址(不存在
或不可到达的地址)
发送大量的
SYN
封包至防火墙的某一接口,
防火墙用
SYN/ACK
封包对这些地
址进行
响应,然后等待响应的
ACK
封
包。因为
SYN/ACK
封包被发送到不存在或不可到达的
p>
IP
地址,所以他们
不会得到响应并最终超
时。
当网络中充满了无法完成的连接请求
SYN
封包,
以至于网络无法再处理合法的
连接请求,从而导
致拒绝服务(
DOS
)时,就发生了
S
YN
泛滥攻击。
NETSCREEN
设
备可以对每秒种允
许通过防火墙的
SYN
封包数加以限制。
当达到该临界值时,
NETSCREEN<
/p>
设备开始代理进入的
SYN
封包,
为主机发送
SYN/ACK
响应并将未完成的
连接存储在连接队列中,未完成的连接保留在队列中,直到连接
完成或请求超时。
2
、
ICMP Flood
(UDP
泛滥
)
:当
ICMP PING
产生的大量回
应请求超出了系统最大限度,以至于
系统耗费所有资源来进行响应直至再也无法处理有效
的网络信息流时,
就发生了
ICMP
泛
滥。
当启用
ICMP
泛滥保护功能时,
可以设置一个临界值,
一旦超过了此
值就会调用
ICMP
泛滥攻击保护功能。
(缺省的临界
值为每秒
1000
个封
包。
)如果超过了该临界值。
NETSCREEN
设备在该秒余下的时间和下一秒内会忽略其
他的
IC
MP
回应要求。
3
、
UDP
Flood (UDP
泛滥
)
:与<
/p>
ICMP
泛滥相似,当以减慢系统速度为目的向该点发送
UDP
封包,
以至于系统再也无法处理有效的连
接时,就发生了
UDP
泛滥,当启用了
UDP
泛滥保护功能时,可以设置
一个临界值,一旦超过此临界
值就回调用
UDP
泛滥攻击保护功能。
(缺省的临界值为每秒
1000
个封包。
)
如果从一个或多个源向单个目标发送的
UDP
泛滥攻击超过了此临界值,
NETSCREEN
设备
在该秒余下的
时间和下一秒内会忽略其他到该目标的
UDP
p>
封包。
4
、
Port Scan Attack
(
端口扫描攻击
)
:当一个源
IP
地址在定义的时间间隔内(缺省值为
50
00
微
秒)向位于相同目标
IP
地址
10
个不同的端口发送
< br>IP
封包时,就会发生端口扫描攻击。这个方案的目的是
扫描可用的服务,希望会有一个端口响应,因此识别出作为目标的服务。
NETSCRE
EN
设备在内部记录从
某一远程源地点扫描不同端口的数目。使
用缺省设置,如果远程主机在
0.005
秒内扫描了
10
个端口。
NETSCREEN
ICMP
数据包
重定向出错
当
I
P
数据
报
应
该被发送到另一个
路由
器时,
收到
p>
数据
报
的路由器
就要发送
ICMP
重定向差错报文给
I
P
数据
报
的发送端。这在概念上是很简单的,正如图
9 - 3
所示的那样。只有当
主机
可以选择路由器发送分
组的情况下,我们才可能看到
ICMP
重定向报文(回忆我们在图
7 -
6
中看过的例子)
1)
我们假定主机发送一份
I
P
数据
报
给
R
1
。这种选路决策经常发生,因为
R
1
是该主机的默认路
由。
2) R1
收到
数据
报并且检查
它的路由表,发现
R 2
是发送该
p>
数据
报的
下一站
。当它把
数据
报发送给
R
2
时,
R 1
检测到它正在发送的接口
与
数据
报到达
接口是相同的(即主机和两个路由器所在的
L A N
)
。
这样就给路由器发送重定向报文给原始发送
端提供了线索。
3)
R1
发送一份
ICMP
重定向报文给
主机,告诉它以后把
数
据
报发送给
R
2
而不是
R
1
。
重定向
一般用来让具有很少选路信息的主机逐渐建立更完善的路由表。
主机启动时路由表中可以
只有
一个默认表项(在图
9
-3
所示的例子中,为
R 1
或
R2
)
。一旦默认路由发生差错,默认路由器
将通知它进
行重定向,并允许主机对路由表作相应的改动。
IC
MP
重定向允许
TCP/IP
主机在进
行选路时不
需要具备
智能特性,而把
所有的智能特性放在路由器端。显然,在我们的例子中,
R
1
和
R2
必
须知道有关相连
网
络
的更多拓扑结构的
信息,但是连在
LAN
上的所有主机在启动时只需一个默认路由
,通过
接收重定向报
文来逐步学习。
9.5.1
一个例子
可以在我们的
网络
< br>上观察到
ICMP
重定向的操
作过程(见封二的图)
。尽管在拓扑图中只画出了三台
主机
p>
(
aix,solaris
和
gemini
和两台路由器
(
gateway
和
netb
)
,
但是整个
网络<
/p>
有超过
150
台
主机和
10
台另外的路由器。大多数的
主机都把
gateway
指定为默认路由器,因为它提供了
p>
Internet
的入口。
p>
子网
140.252.1
上的主机是如何访
问作者所在子网
(图中底下的四台主机)
的呢?首先,
如果在
SLIP
链路的一
端只
有一台
主机,
那么就
要使
用代理
ARP
p>
(
4.6
节)
。<
/p>
这意味
着位于
拓扑
图顶部
的子网
(
140.252.1
)
中的主机不需要其他特殊条件就可以访问主机
sun
(
140.252.
1.29
)
。
位于
netb
上的代
理
A R
P
软件处理这些事情。
但是,当
网络
位于
SLIP
链路
的另一端时,就要涉及到选路了。一个办法是让所有的主机和路由器
都知道路由
器
netb
是
网络
140.252.13
的网关。
这可以在每个主机的路由表
中设置静态路由,
或者在每个
主
p>
机上运行守护程序来实现。
另一个更简单的办法
(也是实际采用的方法)
是利用
ICMP
< br>重定向报文来实
现。
以
下
内
容
需
要
回
复
才
能
看
到
在
位
于
网
络
顶
部
的
主
机<
/p>
solaris
上
运
行
ping
程
< br>序
到
主
机
bsdi(140.252.13.35)
。由于子网号不相同,代理
ARP
不能使用。假定没有安装静态路由,发送的第一
个分组将采用到
路由器
gatewa
y
的默认路由。下面是我们运行
ping
程序之前的路由表:
(
224.0
.0.0
所在的表项是
IP
广播地址。
我们将在第
12
章讨论)
。如果为
p>
ping
程序指定
-v
选项,可以
看到主机接收到的任何
ICMP
报
文。我们需要指定该选项以观察发送的重定向报文。
在收到
ping
程序的第一个响应之前,主机先收到一份来自默认路由器
gateway
发来的
ICMP
重定
向报
文。如果这时查看路由表,就会发现已经插
入了一个到主机<
/p>
bsdi
的新路由(该表项如以下黑体字所
示)
。
这是我们第一次看到
D
标志,表示该路由是被
ICMP
重定向报文创建的。
G
标志说明这是一份到达
gatewa
y(netb
)的间接路由,
H
标志则
说明
这是一个主机路由(正如我们期望的那样)
,而不是一个
网
络
路由。<
/p>
由于这是一个被主机重定向报文增加的主机路由,
因此它只处理到达主机
bsdi
的报文。
如果我们接着
访问主机
svr4
,那么就要产生另一个
ICMP
重定向报
文,创建另一个主机路由。类似地,访问主机
sl
ip
也创建另一个主机路由。位于子网上的三台主机(
bsdi
,svr4
和
slip
)还可以由一个
指向路由器
sun
的
网
络
路由来进行处理。但是
ICMP
重定向报文创建的是主机路由,而不是
网络
路由,这是因为在本例中,产
生
ICMP
重定向报文的路由器并不知道位于
140.252.13
网络
上的子网信息。
9.5.2
更多的细节
ICMP
重定向报文的格式如图
9 -
4
所示。
有四种不同类型的重定向报文,有不同的代码值,如图
9 -
5
所示。
ICM
P
重定向报文的接收者必须查看三个
I
P
地址:
( 1
)
导致重定向的
I P
地址(即
ICMP
重定向报
文的
数据
位于
I P
数据
报的首部)
;
( 2
)
发送重定向报文的路由器的
I
P
地址(包含重定向信息的
I
P
数据
报中的源地址;
( 3
)
应该采用的
路由器
I P
地址(在
ICMP
报文中的
4 ~ 7
字节)
。
p>
关于
ICMP
重定向报文有很多规则。首先
,重定向报文只能由路由器生成,而不能由主机生成。另外,
重定向报文是为主机而不是
为路由器使用的。
假定路由器和
其他
一些路由器共同参与某一种选路协议,
则
该协议就能消除重定向
的需要(这意味着在图
9 -1
中的路由表应该消除或者能被选
路守护程序修改,或者
能被重定向报文修改,但不能同时被二者修改)
< br>。
在
4 .
4
BSD
系统中,当主机作为路由器使用时,要进行下列检查。在生成
< br>ICMP
重定向报文之前
这些条件都要满足。
1)
出接口必须等于入接口。
2)
用于向外传送
数据
报的路由不能被
ICMP
重定向报文创建或修改过,
而且不能是路由器的默认路
由。
p>
3)
数据
报不能用源站选路来
转发。
4)
内核必须配置成可以发送重定向报文。
内核变量取名为
< br>ip_sendredirects
或其他类似的名字
(
参见附录
E
)
。
大多数当前的系统
(例如
BSD
、<
/p>
SunOS4.1.x
、
Solaris 2.x
及
AIX3
.2.2
)在默认条件下都设置该变量,使系统可以发送重定向报文。
< br>其他系统如
SVR4
则关闭了该项功能。
另外,一台
4 .
4
BSD
主机收到
ICMP
重
定向报文后,在修改路由表之前要作一些检查。这是为了
防止路由器或主机的误操作,以
及恶意用户的破坏,导致错误地修改系统路由
表。
1)
新的路由器必须直接与
网络
相连接。<
/p>
2)
重定向报文必须来自当前到目的地所选择的路由器。
3)
重定向报文不能让主机本身作为路由器。
4)
被修改的路由必须是一个间接路由。
p>
关于重定向最后要指出的是,路由器应该发送的只是对主机的重定向(代码
< br>1
或
3
,如图
< br>9 - 5
所示)
,
而不是对<
/p>
网络
的重定向。
子网的存在使得难于准确
指明何时应发送对
网络
的重定向而不是对主机的重定向。
只当路由器发送了错误的类型时,一些主机才把收到的对
网络
的重定向当作对主机的重定向来处
理。
Juniper netscreen
防火墙三种部署模式及基本配置
<
/p>
Juniper
防火墙
在实际的部署过程
中主要有三种
模式
可供选择,这三种
模
式
分别是:
①
基于
TC
P/IP
协议三层的
NAT
模式;
p>
②
基于
TCP/IP
协议三层的路由模式;
③
基于二层协议的透明模式。
2.1<
/p>
、
NAT
模式
当
Juniper
防火墙入口接口
p>
(
“
内网端口
”<
/p>
)
处于
NAT
模
式时,
防火墙将通往
Untrust
区
(外网或者公网)
的
IP
数据包包头中的两个组件进行转换:源
IP
地址
和源端口号。
防火墙使用
Untrust
区(外网或者公网)接口的
IP
地址替换始发端主机的源
IP
p>
地址;同时使用由防
火墙生成的任意端口号替换源端口号。
NAT
模式应用的环境特征:
①
注册<
/p>
IP
地址(公网
IP
地址)的数量不足;
②
内部网络使用大量的非注册
IP
地址(私网<
/p>
IP
地址)需要合法访问
Interne
t
;
③
内部网络中有需要外显并对外提供服务的服务器。
2.2
、
Route-
路
由模式
当
Juniper
防火墙接口
配置
为路由模式时,防火墙在不同安全
区间(例如:
Trust/Utrust/DMZ
)转发信
p>
息流时
IP
数据包包头中的源地址和端口号保持不变。
①
与
NAT
模式下不同,防火墙接口都处于路由模式时,不需要为了允许入站数据流到达某个主机而
建立
映射
IP (MIP)
和虚拟
IP (VIP)
地址;
②
与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。
路由模式应用的环境特征:
①
注册
IP
(公网
IP
地址)的数量较多;
②
非注册
IP
地址(私网
I
P
地址)的数量与注册
IP
地址(公网
IP
地址)的数量相当;
③
防火墙完全在内网中部署应用。
2.3
、透明模式
< br>当
Juniper
防火墙接口处于
“
透明
”
模式时,防火墙将过滤通过
的
IP
数据包,但不会修改
IP
数据包包头中
的任何信息。防火墙的作用更
像是处于同一
VLAN
的
2
层交换机或者桥接器,防火墙对于用户来说是透明
的。
< br>
透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式
有以下优点:
①
不需要修改现有网络规划及配置;
②
不需要为到达受保护服务器创建映射或虚拟
IP
地址;
③
在防火墙的部署过程中,对防火墙的系统资源消耗最低。
p>
2.4
、基于向导方式的
NAT/Rout
e
模式下的
基本
配置
< br>
Juniper
防火墙
NAT
和路由模式的配置可以在防火墙保持出厂配置启动后通过
Web
浏览器配置向导完成。
注:要启动配
置向导,则必须保证防火墙设备处于出厂状态。例如:新的从未被调试过的设备,或者经过
命令行恢复为出厂状态的防火墙设备。
通过
Web
浏览器登录处于出厂状态的防火墙时,防火墙的缺省管理参数如下:
①
缺省
IP
:
192.168.1.1/255.255.255.0
p>
;
②
缺省用户名
/
密码:
n
etscreen/ netscreen
;
注:缺省管理
IP
地址所在端口参见在前言部份讲述的
“
Juniper
防火墙缺省管理端口
和
IP
地址
”
中查找!
!
在配置向导实现防火墙应
用的同时,我们先虚拟一个防火墙设备的部署环境,之后,根据这个环境对防火
墙设备进
行配置。
防火墙配置规划:
①
防火墙部署在网络的
Internet
出口位置,内部网络使用的
IP<
/p>
地址为
192.168.1.0/255.255.255.0<
/p>
所在的网段,内部网络计算机
的网关地
址为防火墙内网端口的
IP
地址:
19
2.168.1.1
;
②
防火墙外网接口
< br>IP
地址(通常情况下为公网
IP
地址,在这里我们使用私网
IP
地址模拟公网
IP
地址)
为:
10.10.10.1/255.255.255.0
,网关地址为:
p>
10.10.10.251
要求:
p>
实现内部访问
Internet
的应用。<
/p>
注:在进行防火墙设备配置前,要求正确连接防火墙的物理链路
;调试用的计算机连接到防火墙的内网端
口上。
1.
通
过
IE
或与
IE
兼容的浏览器(推荐应用微软
IE
浏览器)使用防火墙缺省<
/p>
IP
地址登录防火墙(建议:
保持登录防
火墙的计算机与防火墙对应接口处于相同网
段,直接相连)
。
2.
使用缺省
IP
< br>登录之后,出现安装向导:
注:
对于熟悉
Juniper
防火墙配置的工程师,
可以跳过该配置向导,
直接点选:
No
,
skip the
wizard
and
go straight to the WebUI
management session instead
,之后选择
< br>Next
,直接登录防火墙设备的
管理界面。
3.
使用向导配置防火墙,请直接选择:
p>
Next
,弹出下面的界面:
4.
“
欢迎使用配置向导
”
,再选择
Next
。<
/p>
注:进入登录用户名和密码的修改页
面,
Juniper
防火墙的登录用户名和密码是可以更改的,
这个用户名
和密码的界面修改的是防火墙设备上的根用户,
这个
用户对于防火墙设备来说具有最高的权限,
< br>需要认真
考虑和仔细配置,保存好修改后的用户名和密码。
5.
在完成防火墙的登录用户名和密码的设置之后,
p>
出现了一个比较关键的选择,
这个选择决定了防火墙设
备是工作在路由模式还是工作在
NAT
模式:
选择
Enable NAT
,则防火墙工作在
NAT
模式;
不选择
Enable
NAT
,则防火墙工作在路由模式。
6.
防火墙设备工作模式选择,选择:
Trust-Untrust
Mode
模式。这种模式是应用最多的模式,防火墙可
以被看作
是只有一进一出的部署模式。
注:
N
S-5GT
防火墙作为低端设备,为了能够增加低端产品应用的多样性,
Juniper
在
NS-5GT
的
OS
中
独立开发了几种不同的模式
应用于不
同的环境。目前,除
NS-
5GT
以外,
Juniper
其他系列
防火墙不存
在另外两种模式的选择。
7.
完成了模式选择,
点击
“
Next
”
进行防火
墙外网端口
IP
配置。
外网端口
IP
配置有三个选项分别是:
DHCP
自动获取
IP
地址;通过
PPPoE
拨号获得
IP
地址;手工设置静态
IP
地址,并配置子网掩
码和网关
IP
地
址。
< br>
在这里,
我们选择的是使用静态
IP
地址的方式,
配置外网端口
IP
地址为:
10.10.10.1/255.255.255.0
,
网关地址
为:
10.10.10.251
。
<
/p>
8.
完成外网端口的
IP
地址配置之后,点击
“
Next
”
进行防火墙内网端口
IP
配置:<
/p>
9.
在完成了上述的配置之后,防火
墙的基本配置就完成了,点击
“
Next
”
进行
DHCP
服务器配置。
注:
DHCP
服务
器配置在需要防火墙在网络中充当
DHCP
服务器的时候才需要
配置。否则请选择
“
NO
”
跳
过。
注:上面的页面
信息显示的是在防火墙设备上配置实现一个
DHCP
服务器功能
,由防火墙设备给内部计算
机用户自动分配
IP
地址,分配的地址段
为:
1
92.168.1.100-192.168.1.150
一共
51
个
IP
地址,在分
配
IP
地址的同时,
防火墙设
备也给计算机用户分配了
DNS
服务器地
址,
DNS
用于对域名进行解析,
如:
将错误!超链接引用无效。地址:
202.108.33.32
。如果计算机不能获得或设置
DN
S
服务器地址,无法
访问互
联网。
10.
完成
DHCP
服务器选项设置,点击
“
Next
”
会弹出之前设置的汇总
信息:
11.
确认配置没有问题,
点击
“
Next
”
会弹出提示
“
Finish
”
p>
配置对话框:
在该界面中,点选:
Finish
之后,该
Web
页面会被关闭,配置完成。
此时防火墙对来自内网到
外网的访问启用基于端口地址的
NAT
,同时防火墙设备会自动
在策略列表部分生
成一条由内网到外网的访问策略:
策略:策略方向由
Trust
到
Untrust
,源地址:
ANY
,目标地址:
ANY
,网络服务内容:
ANY
;
策略作用:允许来自内
网的任意
IP
地址穿过防火墙访问外网的任意地址。
重新开启一个
IE
页面
,并在地址栏中输入防火墙的内网端口地址,确定后,出现下图中的登录界面。输入
正确
的用户名和密码,登录到防火墙之后,可以对
防火墙的现有配置进行修改。
总结:
上述就是使用
Web
浏览器通过配置向导完成的防火墙
NAT
或路由模式的应用。通过配置向导,可以在不
熟悉防火墙设备的情况下
,配置简单环境的防火墙
应用。
<
/p>
2.5
、基于非向导方式的
NAT/Ro
ute
模式下的基本配置
基于非向导
方式的
NAT
和
Route
模式的配置建议首先使用命令行开始,最好通过控制台的方式连接防火
墙,
这个管理方式不受接口
IP
地址的影响。
注:在设备缺省的情况下,防火墙的信任区(
Trust
Zone
)所在的端口是工作在
NAT
模式的,其它安全
区所在的端口是工作在路由模式的。
基于命令行方式的防火墙设备部署的配置如下(网络环境同上一章节所
讲述的环境)
:
2.5.1
、
NS-5GT
NAT/Route
模式下的基本配置
注:
NS-5GT
设备的物理接口名称叫做
< br>trust
和
untrust
;
缺省
Zone
包括:
trust
和
untrust
,请注意和
接口区分开。
①
Unset interface trust ip
(清除防火墙内网端口的
IP
地址)
;
②
Set interface trust zone
trust
(将内网端口分配到
trust
zone
)
;
③
Set interface trust ip 192
.168.1.1/24
(设置内网端口的
IP
地址,必须先定义
zone
,之后再定义
IP
地址)
;
④
Set interface untrust zone
untrust
(将外网口分配到
untrust
zone
)
;
⑤
Set interface untrust ip 1
0.10.10.1/24
(设置外网口的
IP
地址)
;
⑥
Set route 0.0.0.0/0
interface untrust gateway 10.10.10.251
(
设置防火墙对外的缺省路由网关
地址)
;
⑦
Set policy from trust to
untrust any any any permit log
(定义一条由内网到
外网的访问策略。
策略的方向是:由
zone
trust
到
zone untrust
,
源地址为:
any
,目标地址为:
any
,网络服务为:
any
,策略动作为:
permit
允许,
log
:开启日志记录)
;
⑧
Save
(保存上述的配置文件)
。
2.5.2
、
NS-25-208
NAT/Route
模式下的基本配置
①
Unset interface ethernet1
ip
(清除防火墙内网口缺省
IP
地址
)
;
②
Set interface ethernet1 zone trust
(将
ethernet1
端口分配到
trust
zone
)
;
③
Set interface ethernet1 ip
192.168.1.1/24
(定义
ethernet1
p>
端口的
IP
地址)
;
④
Set interface
ethernet3 zone untrust
(将
ethe
rnet3
端口分配到
untrust
zone
)
;
⑤
Set interface ethernet3 ip
10.10.10.1/24
(定义
ethernet3
端口的
IP
地址)
;
⑥
Set route
0.0.0.0/0 interface ethernet3 gateway 10.10.10.251
(定义防火墙对外的缺省路由网
关)
;
⑦
Set policy
from trust to untrust any any any permit log
(定义由内网到外网的访问控制策略)
;
⑧
Save
(保存上述的配置文件)
注:上述是
在命令行的方式上实现的
NAT
模式的配置,因为防火墙出厂时
在内网端口(
trust zone
所属
的端口)上启用了
NAT
,所以一般不用特别设置,但是其它
的端口则工作在路由模式下,例如:
untrust
和
DMZ
区的端口。
如
果需要将端口从路由模式修改为
NAT
模式,则可以按照如下的
命令行进行修改:
①
Set
interface ethernet2 NAT
(设置端口
2
为
NAT
模式)
< br>
②
Save
总结:
①
NAT/Route
模式做防火墙部署的主要模式,通常是在一
台防火墙上两种模式混合进行(除非防火墙完
全是在内网应用部署,
不需要做
NAT-
地址转换,
这<
/p>
种情况下防火墙所有端口都处于
Rou
te
模式,
防火墙
首先作为一台路由器
进行部署)
;
②
关于配置举例,
< br>NS-5GT
由于设备设计上的特殊性,因此专门列举加以说明;
Juniper
在
2006
年
全新
推出的
SSG
系列防火墙,除了端
口命名不一
样,和
NS-25
等设备管理配置方式一样。
2.6
、基于非向导方式的透明模式下的基本配置
实
现透明模式配置建议采用命令行的方式,因为采用
Web
的方式
实现时相对命令行的方式麻烦。通过控
制台连接防火墙的控制口,登录命令行管理界面,
通
过如下命令及步骤进行二层透明模式的配置:
①
Unset interface ethernet1
ip
(将以太网
1
端口上的默认
IP
地址删除)
;
②
Set interface
ethernet1
zone v1-trust
(将以太网
1
端口分配到
v1-trust zone
:
基于二层的安全区,
端口设置为该安全区后,则端口工作在二层模式,并且不能在该端口上配置
IP
地址)
;
③
Set interface ethernet2
zone v1-dmz
(将以太网
2
端口分配到
v1-dmz
zone
)
;
④
Set interface ethernet3
zone v1-untrust
(将以太网
3
端口分配到
v1-untrust
zone
)
;
⑤
Set interface vlan1 ip
192.168.1.1/24
(设置
VLA
N1
的
IP
地址为:
< br>192.168.1.1/255.255.255.0
,
该地址作为防火墙管理
IP
地址使
用)
;
⑥
Set policy from v1-trust
to v1-untrust any any any permit log
(设置
一条由内网到外网的访问
策略)
;
⑦
Save
(保存当前的配置)
;
总结:
①
带有
V1-
字样的
zone
为基于透明模式的安全区,在进行透明模式的应用时,至少要保证两个端口
的安
全区工作在二层模式;
②
虽然
Ju
niper
防火墙可以工作在混合模式下(二层模式和三层模式的混合应用)
,但是通常情况下,建
议尽量使防火墙工作在一种模式下(三层模式可以混
用:
NAT
和路由)
。
netscreen
防火墙
Active-
Active
典型配置
昨天做了一个
netscreen
防火墙
Active-Active
典
型
配置
(包括交换机
配置
)拿出来给大家一起分享。
以下是详细配置:
nsacfg
set clock timezone 0
set vrouter trust-vr sharable
set vrouter
exit
set vrouter
unset auto-
route-export
exit
set alg
appleichat enable
unset alg appleichat
re-assembly enable
set alg sctp enable
set auth-server
set auth-
server
set auth default auth server
set auth radius accounting port 1646
set admin nam
e
set admin password
set admin
auth web timeout 10
set admin auth
server
set admin format dos
set zone
set zone
set zone
set zone
set zone
Tun
set
zone
set zone
unset zone
set zone
set zone
set zone
unset zone
set zone
set zone
set zone
death
set zone
set zone
set zone
set zone
set zone
set zone
set zone
set
interface
id 80
set interface id 81
set
interface
set interface
set
interface
set interface ethernet0/1
group redundant1
set interface
ethernet0/2 group redundant1
set
interface ethernet0/3 group redundant2
set interface ethernet0/4 group
redundant2
unset interface vlan1 ip
set interface redundant1 ip
100.1.1.4/24
set interface redundant1
route
set interface redundant2 ip
192.168.1.4/24
set interface redundant2
nat
set interface redundant1:1 ip
100.1.1.5/24
set interface redundant1:1
route
set interface redundant2:1 ip
192.168.1.5/24
set interface
redundant2:1 nat
unset interface vlan1
bypass-others-ipsec
unset interface
vlan1 bypass-non-ip
set interface
redundant1 manage-ip 100.1.1.1
set
interface redundant2 manage-ip 192.168.1.1
set interface redundant1 ip manageable
unset interface redundant2 ip
manageable
set interface redundant1:1
ip manageable
set interface
redundant2:1 ip manageable
unset flow
no-tcp-seq-check
set flow
tcp-
syn-check
unset flow
tcp-syn-bit-check
set flow reverse-
route clear-text always
set flow
reverse-route tunnel always
set
hostname NS-A
set pki authority default
scep mode
set pki x509 default cert-
path partial
set nsrp cluster id 1
set nsrp cluster name test
set nsrp rto-mirror sync
set
nsrp vsd-group id 0 priority 50
set
nsrp vsd-group id 0 preempt
set nsrp
vsd-group id 1 priority 100
set nsrp
vsd-group id 1 preempt
set nsrp
secondary-path ethernet0/3
set nsrp
monitor interface redundant1
set nsrp
monitor interface redundant2
set dns
host dns1 0.0.0.0
set dns host dns2
0.0.0.0
set dns host dns3 0.0.0.0
set ike respond-bad-spi 1
set ike ikev2 ike-sa-
soft-
lifetime 60
unset ike ikeid-enumeration
unset ike dos-protection
unset ipsec access-
session
enable
set ipsec access-session maximum
5000
set ipsec access-session upper-
threshold 0
set ipsec access-session
lower-threshold 0
set ipsec access-
session dead-p2-sa-timeout 0
unset
ipsec access-
session log-error
unset ipsec access-
session
info-
exch-connected
unset
ipsec access-
session use-error-log
set vrouter
exit
set vrouter
exit
set url protocol websense
exit
set policy id 2 from
set policy id 2
exit
set policy id 1 from
set
policy id 1
exit
set nsmgmt
bulkcli reboot-timeout 60
set ssh
version v2
set config lock timeout 5
unset license-key auto-update
set snmp port listen 161
set
snmp port trap 162
set vrouter
exit
set vrouter
unset add-default-route
set
route 0.0.0.0/0 interface redundant1 gateway
100.1.1.254
set route 0.0.0.0/0
interface redundant1:1 gateway 100.1.1.253
exit
set vrouter
exit
set vrouter
exit
nsbcfg
set clock
timezone 0
set vrouter trust-vr
sharable
set vrouter
exit
set vrouter
unset auto-
route-export
exit
set alg
appleichat enable
unset alg appleichat
re-assembly enable
set alg sctp enable
set auth-server
set auth-
server
set auth default auth server
set auth radius accounting port 1646
set admin nam
e
set admin password
set admin
auth web timeout 10
set admin auth
server
set admin format dos
set zone
set zone
set zone
set zone
set zone
Tun
set
zone
set zone
unset zone
set zone
set zone
set zone
unset zone
set zone
set zone
set zone
death
set zone
set zone
set zone
set zone
set zone
set zone
set zone
set interface id 80
set interface id 81
set
interface
set interface
set
interface
set interface ethernet0/1
group redundant1
set interface
ethernet0/2 group redundant1
set
interface ethernet0/3 group redundant2
set interface ethernet0/4 group
redundant2
unset interface vlan1 ip
set interface redundant1 ip
100.1.1.4/24
set interface redundant1
route
set interface redundant2 ip
192.168.1.4/24
set interface redundant2
nat
set interface redundant1:1 ip
100.1.1.5/24
set interface redundant1:1
route
set interface redundant2:1 ip
192.168.1.5/24
set interface
redundant2:1 nat
unset interface vlan1
bypass-others-ipsec
unset interface
vlan1 bypass-non-ip
set interface
redundant1 manage-ip 100.1.1.2
set
interface redundant2 manage-ip 192.168.1.2
set interface redundant1 ip manageable
unset interface redundant2 ip
manageable
set interface redundant1:1
ip manageable
set interface
redundant2:1 ip manageable
unset flow
no-tcp-seq-check
set flow
tcp-
syn-check
unset flow
tcp-syn-bit-check
set flow reverse-
route clear-text always
set flow
reverse-route tunnel always
set
hostname NS-B
set pki authority default
scep mode
set pki x509 default cert-
path partial
set nsrp cluster id 1
set nsrp cluster name test
set nsrp rto-mirror sync
set
nsrp vsd-group id 0 priority 100
set
nsrp vsd-group id 0 preempt
set nsrp
vsd-group id 1 priority 50
-
-
-
-
-
-
-
-
-
上一篇:UPS并机四种方式的优缺点
下一篇:安防系统中英文对照词句