Juniper防火墙配置

Juniper防火墙基础目录•Juniper防火墙简介及作用•Juniper防火墙基本配置•Juniper防火墙的接口模式•Juniper防火墙的策略•Juniper防火墙端口映射防火墙应用场景1防火墙应用场景2DMZ区安全区2“供访客使用只能上网安全区1供员工使用Web,email,关键应用企业总部/数据中心性能容量Juniper防火墙型号对应远程办公室/中小企业/中小分支机构中大企业/大型分支机构30Gbps10GbpsNS5400NS52004Gbps1Gbps600Mbps300MbpsISG2000ISG1000SSG550SSG520SSG140SSG5SSG20总部/数据中心省级/地市核心分支机构SSG320/350SSG系列型号•SSG5&SSG20(ssg20有2个Mini插槽的）o160MbpsFW/40MbpsVPNo会话数：8000，加license可扩展到16000•SSG140o350+MbpsFW/100MbpsVPNo8FE+2GEInterfaces+4PIMslotso会话数：48000•SSG320M/350Mo450+MbpsFW/175MbpsVPN;550+MbpsFW/225MbpsVPN;o4GE+3or5PIMslotso会话数：48000;•SSG520M/550Mo2GbpsFW/300MbpsVPN；4GbpsFW/500MbpsVPNo4GE+6PIMslotso会话数：128000；256000SSG5SSG20SSG140SSG550MSSG520MSSG320MSSG350M规格对照之SSG5防火墙性能（大型数据包）160Mbps•防火墙性能(IMIX)90Mbps•每秒处理的防火墙数据包数量30,000PPS•3DES+SHA-1VPN性能40Mbps•并发VPN隧道数25/40，最大并发会话数8,000/16,000•新会话/秒2,800最大安全策略数200最大安全区数量8•最大虚拟路由器数量3/4最大虚拟局域网数量10/50•固定I/O7x10/100802.11a/b/g可选•需要购买扩展许可规格对照之SSG20防火墙性能（大型数据包）160Mbps•防火墙性能(IMIX)90Mbps•每秒处理的防火墙数据包数量30,000•PPS3DES+SHA-1VPN性能40Mbps•并发VPN隧道数25/40，最大并发会话数8,000/16,000•新会话/秒2,800最大安全策略数200最大安全区数量8•最大虚拟路由器数量3/4最大虚拟局域网数量10/50•固定I/O5x10/100•微型物理接口模块(Mini-PIM)扩展插槽（I/O）2•802.11a/b/g可选•需要购买扩展许可规格对照之SSG140防火墙性能（大型数据包）350+Mbps•防火墙性能(IMIX)300Mbps•每秒处理的防火墙数据包数量100,000PPS•3DES+SHA-1VPN性能100Mbps•并发VPN隧道数500，最大并发会话数48,000•新会话/秒8,000最大安全策略数1,000最大安全区数量40•最大虚拟路由器数量6最大虚拟局域网数量100•固定I/O8x10/100,2x10/100/1000•物理接口模块(PIM)扩展插槽（I/O）4•无802.11a/b/g规格对照之SSG350防火墙性能（大型数据包）550+Mbps•防火墙性能(IMIX)500Mbps•每秒处理的防火墙数据包数量225,000PPS•3DES+SHA-1VPN性能225Mbps•并发VPN隧道数500，最大并发会话数128,000•新会话/秒12,500最大安全策略数2,000最大安全区数量40•最大虚拟路由器数量8最大虚拟局域网数量125•固定I/O4x10/100/1000•物理接口模块(PIM)扩展插槽（I/O）5•无802.11a/b/g•可转换为junos软件产品特点与效益列表•特点一：提供完整的统一威胁管理(UTM)功能效益◎状态防火墙，可执行接入控制并阻止网络层攻击◎整合入侵检测解决方案(IPS)，有效阻止应用层的攻击◎提供Site-to-siteIPSecVPN，以确保各分支机构之间能够安全通信◎阻止拒绝服务(DoS)攻击◎支持H.323、SIP、SCCP和MGCP的应用层网关，以检测和保护VoIP流量◎整合卡巴斯基防病毒技术，防止病毒、间谍软件、广告软件和其它恶意软件的入侵◎整合SOPHOS防垃圾邮件技术，有效阻止不知名的垃圾邮件和钓鱼邮件◎整合Websense技术，有效控制和阻止对恶意网站的访问特点与效益•特点二：防火墙整合路由功能效益结合安全防御和LAN/WAN路由功能，并能够阻止内部网络与应用层中出现的攻击，以保护企业内部网络，降低IT的费用支出•特点三：提供各种不同的LAN和WAN接口选项效益包括T1/E1,Serial,DS3/E3,ADSL,Ethernet,SFP等特点与效益•特点四：提供稳定的路由协议效益提供最好的路由协议，包括OSPF、BGP和RIPv1/2，而且兼容于FrameRelay、MultilinkFrameRelay、PPP、MultilinkPPP和HDLC•特点五：支持自动联机VPN(ACVPN)效益可自动完成设置，并且以集中星型(hub-and-spoke)拓扑在远程分支机构之间自动建立VPN隧道，以提供高扩展性支持特点与效益•特点六：支持多种高可用性选项效益支持接口或设备之间的故障切换机制，使服务不中断•特点七：多种管理方式效益可通过图形化Web接口、CLI或NetworkandSecurityManager中央管理系统加以管理特点与效益•特点八：整合统一接入控制(UAC)效益可作为统一接入控制(UAC)的执行端，验证用户身份、设备安全状态等•特点九：支持基于路由/策略的VPN效益为企业在VPN环境里提供网络流量的负载平衡与备份功能特点与效益•特点十：网络分段效益SSG系列提供一组高级网络分段功能，如桥接群组、安全区、虚拟LAN和虚拟路由器，让网管人员能够针对不同用户群组、无线网络和区域服务器，部署不同等级的安全防护机制。强大的网络安全管理和控制能力，能防止未经授权就接入网络的内、外部和DMZ子群组。目录•Juniper防火墙简介及作用•Juniper防火墙基本配置•Juniper防火墙的接口模式•Juniper防火墙的策略•Juniper防火墙端口映射Juniper管理方式•WebUI默认的管理地址是默认用户名密码是netscreen•CLIconsole连接设置主机名•CLISSG5-Serial-sethostnameZ-Pai-FW•WebUINetwork-DNS-Host-HostName设置管理员账号、密码•CLISSG5-Serial-setadminuserzpaipassword***privilegeall•WebUIConfiguration-administratrs-NEWZone（区段）区段是由一个或者多个网段组成的集合，需要通过策略来对入站和出站数据流进行调整。区段是绑定了一个或者多个端口的逻辑实体。可以设置3层区段和2层区段。查看Zone•CLIGetzone•WebUINetwork-Zone创建Zone设置2层zone，名字前必须加上l2•CLIsetzonenamel2**[L2]•WebUINetwork-Zone-NEW配置端口zone•CLIsetinterfaceethernet0/0zoneuntrust•WebUInetwork-interfaces-list-选择端口EDIT在zonename中选取，点击OK配置端口管理方式及设置管理地址•CLIsetinterfaceeth0/0ip192.168.1.1255.255.255.0setinterfaceeth0/0manage-ip192.168.1.1setinterfaceeth0/0managewebsetinterfaceeth0/0managetelnet•WebUInetwork-interfaces-list-选择端口EDIT设置地址类型DHCP、PPPoE或者是静态地址可以设置此端口的管理功能web管理、telent、等功能设置DHCP及DHCP地址范围•CLIsetinterfacebgroup0dhcpserverenablesetinterfacebgroup0dhcpserveroptiongateway192.168.1.1setinterfacebgroup0dhcpserveroptionnetmask255.255.255.0setinterfacebgroup0dhcpserverip192.168.1.10to192.168.1.100•WebUInetwork-DHCP-选择端口Edit设置DHCP模式，DHCP网关、掩码，DHCP的DNSNetwor-DHCP-选择端口address设置DHCP地址范围目录•Juniper防火墙简介及作用•Juniper防火墙基本配置•Juniper防火墙的接口模式•Juniper防火墙的策略•Juniper防火墙端口映射防火墙的接口模式•接口的连接模式动态地址静态地址PPPoE•接口的传输模式路由模式NAT模式透明模式透明模式•路由模式VS透明模式路由模式，防火墙扮演一个三层设备，基于目的IP地址转发数据包。透明模式，防火墙扮演一个二层设备，如同桥或交换机，基于目的MAC地址转发以太帧•透明模式与交换机防火墙同交换机一样使用MAC地址表，智能地基于帧的目的MAC地址进行转发；但是，防火墙不会泛洪MAC地址表不存在的未知的目的单播MAC地址。防火墙不参与生成树（STP）。因此，必须保证在使用透明模式防火墙时，不能故意增加二层环路。如果有环路，你会很快的该设备和交换机的CPU利用率会增加到100％。交换机在第一层和第二层处理流量，透明模式防火墙可以在第一层到第七层处理流量。因为，透明模式防火墙既可以基于第二层信息转发流量，又可以基于ACLs、甚至应用层策略来转发流量。透明模式默认的策略是出站全部允许，进站全部禁止设置接口的连接模式•CLIsetinterfaceethernet0/6dhcpclientenablesetinterfaceethernet0/6ip192.168.1.10setpppoenamepppoesetpppoenamepppoeusername123password123setpppoenamepppoeinterfaceethernet0/6•WebUINetwork-Interfaces-选择端口-edit选择ObtainIPUsingDHCP、ObtainIPUsingPPPoE或者StaticIP设置接口的传输模式设置路由模式或NAT模式•CLIsetinterfacee0/0natsetinterfacee0/0route•WebUINetwork-Interfaces-选择端口-edit在interfacemode中选择NAT或者Route设置接口的传输模式设置透明模式•CLIsetinterfacevlan1ip192.168.10.1255.255.255.0setinterfaceeth0/5zonev1-trustsetinterfaceeth0/6zonev1-untrust•WebUINetwork-interface-vlan1edit设置管理地址Network-interface-eth0/5edit更改zonename为v1-trustNetwork-interface-eth0/6edit更改zonename为v1-untrust目录•Juniper防火墙简介及作用•Juniper防火墙基本配置•Juniper防火墙的接口模式•Juniper防火墙的策略•Juniper防火墙端口映射策略的组成（1）•ID是策略的序号，但不