Juniper网络安全防火墙设备快速安装手册-v1

Juniper防火墙快速安装手册网络安全防火墙设备（中、低端设备）快速安装手册联强国际中国（贸易）有限公司2007-MayJuniper防火墙快速安装手册一、防火墙部署模式说明..............................................................51.1、NAT模式..................................................................61.2、route模式..................................................................61.3、透明模式...................................................................61.4、基于向导方式的NAT/ROUTE模式的配置......................................61.5、基于非向导的NAT和路由方式的配置..........................................61.6、基于非向导的透明模式的实现.................................................6二、几种常用的功能的应用说明....................................................52.1、MIP的应用.................................................................62.2、VIP的应用.................................................................62.3、DIP的应用.................................................................6三、VPN的应用说明...............................................................53.1、基于策略的静态对静态对等端的VPN应用......................................63.2、基于策略的动态对静态对等端的VPN应用......................................6四、Juniper防火墙设备的HA应用的实现.....................................64.1、基于主备方式的HA应用的说明...............................................64.2、基于主主方式的HA应用的说明...............................................6第五部分、设备选型................................................................155.1、防火墙配置文件的备份......................................................155.2、防火墙配置文件的恢复......................................................15Juniper防火墙快速安装手册网络安全防火墙设备是一款专业的网络安全设备，可以支持各种复杂的网络环境的网络安全的应用需求。但是，因为部署模式的多样性，以及功能的多样性导致这款网络安全防火墙设备在实际部署的过程中的复杂性。我们制作本安装手册的目的就是使一些初次接触网络安全防火墙的工程技术人员，也可以通过此安装手册，完成一些基本的防火墙功能的实现和应用。防火墙设备的配置思路：（了解了客户的应用需求之后）1、确认防火墙的部署模式；三种模式：NAT/ROUTE/透明模式。2、设置防火墙的端口地址或管理地址，配置默认路由。3、配置访问控制策略，完成基本配置。其它配置：1、基于端口和基于地址的映射2、基于策略的VPN配置3、修改防火墙设备默认的用户名密码以及管理端口Juniper防火墙设备的基本信息：Juniper防火墙设备的管理方式可以通过命令行的方式，也可以通过WEB的方式，通过WEB方式的管理需要浏览器的支持，推荐使用IE的浏览器进行登录管理。Juniper防火墙设备的默认端口IP地址为：192.168.1.1，子网掩码为：24位，即：255.255.255.0。这个IP地址通常在防火墙设备的内网端口上，或者在防火墙设备的eth1Juniper防火墙设备的默认的超级用户的用户名：netscreen（小写），密码为：netscreen（小写）。Juniper防火墙设备的常用功能：在一般情况下，防火墙设备的常用功能包括：透明模式的部署、NAT/路由模式的部署、NAT的应用、MIP的应用、DIP的应用、VIP的应用、一般VPN的应用（策略VPN）。本文对以上的功能实现进行说明。Juniper防火墙快速安装手册一、防火墙部署模式的说明：Juniper防火墙设备在实际的部署过程中主要有三种模式可以选择，这三种模式分别是：基于TCP/IP协议三层的NAT模式和路由模式，以及基于二层协议的透明模式。1.1、NAT模式：入口接口处于“网络地址转换(NAT)”模式下时，安全设备的作用与第3层交换机(或路由器)相似，将通往Untrust区段的外向IP封包包头中的两个组件进行转换:其源IP地址和源端口号。安全设备用Untrust区段接口的IP地址替换始发端主机的源IP地址。另外，它用另一个由安全设备生成的任意端口号替换源端口号。NAT模式应用的环境特征：1、注册IP地址（公网IP地址）的数量不足。2、内网有多个网段，有大量的非注册IP地址（私网IP地址）。3、内部网络中有需要外显并对外提供服务的服务器。1.2、ROUTE模式：接口为路由模式时，安全设备在不同区段间转发信息流时不执行源NAT(NAT-src)；即，当信息流穿过安全设备时，IP封包包头中的源地址和端口号保持不变。与NAT-src不同，目的地区段接口为路由模式时，不需要为了允许入站信息流到达主机而建立映射IP(MIP)和虚拟IP(VIP)地址。与透明模式不同，每个区段内的接口都在不同的子网中。Juniper防火墙快速安装手册、注册IP（公网的IP地址）的数量较多2、非注册IP地址（内网IP地址）的机数量与注册IP地址（公网IP地址）的数量相当或略少（或者完全是内网应用）1.3、透明模式：接口处于“透明”模式时，安全设备将过滤通过防火墙的封包，而不会修改IP封包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分，而安全设备的作用更像是第2层交换机或桥接器。在“透明”模式下，接口的IP地址被设置为0.0.0.0，使得安全设备对于用户来说是透明(不可见)的。Juniper防火墙快速安装手册服务器，或者主要从不可信源接收信息流的其它任意类型服务器的方便手段。使用透明模式有以下优点:不需要重新配置路由器或受保护服务器的IP地址设置不需要为到达受保护服务器的内向信息流创建映射或虚拟IP地址要求在防火墙的部署过程中，保证防火墙设备的系统资源的消耗昀低。1.4、基于向导方式的NAT/ROUTE模式的配置从上述概念上来分析，NAT和路由模式的区别仅仅是在通过防火墙之后的数据包的包头地址是否发生变化；如果发生了，就是NAT模式；如果没有发生，就是路由模式。NAT和路由模式可以在防火墙设备的出厂启动后的配置向导中完成。要启动配置向导，则必须保证防火墙设备处于出厂状态，如新的从未被调试过的设备或经过命令行恢复为出厂状态的网络安全防火墙设备。在登陆处于出厂状态的防火墙设备时，防火墙设备的默认管理IP地址在网络的内口（Trust口，NS5GT）或ETH1（NS-25－NS-208）上，默认IP为：192.168.1.1，默认用户名和密码相同，都是：netscreen。在配置向导实现防火墙应用的同时，我们先虚拟一个防火墙设备的部署环境，之后，根据这个环境对防火墙设备进行配置。网络拓扑图如下：Juniper防火墙快速安装手册防火墙设备部署在网络的网关位置，内网IP地址为192.168.1.0所在的网段，子网掩码为：255.255.255.0，内网计算机的网关地址为：192.168.1.1（刚好与防火墙的内网端口地址相同）；外网互联IP地址即公网地址为：10.10.10.1子网掩码为：255.255.255.0，网关地址为：10.10.10.251（假设10.10.10.0所在的网段为公网地址）。要求：实现内部访问互联网的应用。在进行防火墙设备配置前，要正确连接防火墙设备的物理链路，调试用的计算机连接防火墙的内网端口，NS-5GT是连接Trust端口，NS-25以上的设备是连接eth1或eth1/1。通过IE或与IE兼容的浏览器（推荐应用微软IE浏览器）登陆防火墙的默认IP地址（建议：保持登陆防火墙的计算机与防火墙设备在相同网段，并直接连接）。登录该IP之后，出现安装向导：对于已经了解了Juniper网络安全防火墙设备的工程师，可以跳过该配置向导，直接点选：No，skipthewizardandgostraighttotheWebUImanagementsessioninstead，之后选择Next，直接登录防火墙设备的管理界面。对于初次部署Juniper防火墙设备的工程师，则建议保持上述页面不动，直接选择：Juniper防火墙快速安装手册，弹出下面的界面：“欢迎使用配置向导”，再选择Next。进入登录用户名和密码的修改页面，Juniper防火墙设备的用户名和密码的名称是可以更改的，这个用户名和密码的界面修改的是防火墙设备上的根用户，这个用户对于防火墙设备来说具有昀高的权限，需要认真考虑和仔细配置。一旦设置错误，导致登录密码不正确，则恢复密码的方式比较复杂。在完成密码的设置之后，出现了一个比较关键的选择，这个选择决定了防火墙设备是工作在路由模式还是工作在NAT模式；选择：EnableNAT则防火墙设备工作在NAT模式（参考NAT解释说明），不选择：EnableNAT则防火墙工作在路由模式（参考路由模式的解释说明）。Juniper防火墙快速安装手册防火墙设备来所，因为其作为低端设备，端口的实际配置不可能那么多，因此，它的端口数量虽然有五个，但是，仅仅是一个广域网接口和四个局域网接口（四个局域网接口属于交换关系，所以，逻辑上可以看作是一个局域网端口）。为了能够提高低端产品的应用性，因此，在NS-5GT的OS中，独立开发了几种不同的模式，用于不同的环境。通常情况下，选择第一个选项：Trust-UntrustMode模式。NS-5GT的设备也可以通过追加采购的授权获得更多的性能提升或模式选择，在这里不做主要考虑。这种模式是应用昀多的模式，防火墙设备可以被看作是只有一进一出的部署模式。NS-5GT在该页面下的几种部署模式均是基于TCP/IP