爱华网Juniper网络安全防火墙设备快速安装手册V1.0
联强国际(香港)有限公司
2007-4
目 录
1、前言...
目录
1、前言... 4
1.1、Juniper防火墙配置概述... 4
1.2、Juniper防火墙管理配置的基本信息... 4
1.3、Juniper防火墙的常用功能... 5
2、Juniper防火墙三种部署模式及基本配置... 6
2.1、NAT模式... 6
2.2、Route-路由模式... 7
2.3、透明模式... 8
2.4、基于向导方式的NAT/Route模式下的基本配置... 8
2.5、基于非向导方式的NAT/Route模式下的基本配置... 17
2.5.1、NS-5GT NAT/Route模式下的基本配置... 18
2.5.2、NS-25-208 NAT/Route模式下的基本配置... 19
2.6、基于非向导方式的透明模式下的基本配置... 20
3、Juniper防火墙几种常用功能的配置... 21
3.1、MIP的配置... 21
3.1.1、使用Web浏览器方式配置MIP. 22
3.1.2、使用命令行方式配置MIP. 24
3.2、VIP的配置... 24
3.2.1、使用Web浏览器方式配置VIP. 25
3.2.2、使用命令行方式配置VIP. 26
3.3、DIP的配置... 27
3.3.1、使用Web浏览器方式配置DIP. 27
3.3.2、使用命令行方式配置DIP. 29
4、Juniper防火墙IPSec VPN的配置... 29
4.1、站点间IPSec VPN配置:staic ip-to-staic ip. 29
4.1.1、使用Web浏览器方式配置... 30
4.1.2、使用命令行方式配置... 34
4.2、站点间IPSec VPN配置:staic ip-to-dynamic ip. 36
4.2.1、使用Web浏览器方式配置... 37
4.2.1、使用命令行方式配置... 40
5、Juniper中低端防火墙的UTM功能配置... 42
5.1、防病毒功能的设置... 43
5.1.1、Scan Manager的设置... 43
5.1.2、Profile的设置... 44
5.1.3、防病毒profile在安全策略中的引用... 46
5.2、防垃圾邮件功能的设置... 48
5.2.1、Action 设置... 49
5.2.2、White List与Black List的设置... 49
5.2.3、防垃圾邮件功能的引用... 51
5.3、WEB/URL过滤功能的设置... 51
5.3.1、转发URL过滤请求到外置URL过滤服务器... 51
5.3.2、使用内置的URL过滤引擎进行URL过滤... 53
5.3.3、手动添加过滤项... 54
5.4、深层检测功能的设置... 58
5.4.1、设置DI攻击特征库自动更新... 58
5.4.2、深层检测(DI)的引用... 59
6、Juniper防火墙的HA(高可用性)配置... 61
6.1、使用Web浏览器方式配置... 62
6.2、使用命令行方式配置... 64
7、Juniper防火墙一些实用工具... 65
7.1、防火墙配置文件的导出和导入... 65
7.1.1、配置文件的导出... 66
7.1.2、配置文件的导入... 66
7.2、防火墙软件(ScreenOS)更新... 67
7.3、防火墙恢复密码及出厂配置的方法... 68
8、Juniper防火墙的一些概念... 68
4
1.1、Juniper防火墙配置概述... 4
1.2、Juniper防火墙管理配置的基本信息... 5
1.3、Juniper防火墙的常用功能... 6
2、Juniper防火墙三种部署模式及基本配置... 6
2.1、NAT模式... 6
2.2、Route-路由模式... 7
2.3、透明模式... 8
2.4、基于向导方式的NAT/Route模式下的基本配置... 9
2.5、基于非向导方式的NAT/Route模式下的基本配置... 18
2.5.1、NS-5GT NAT/Route模式下的基本配置... 19
2.5.2、NS-25-208 NAT/Route模式下的基本配置... 20
2.6、基于非向导方式的透明模式下的基本配置... 21
3、Juniper防火墙几种常用功能的配置... 22
3.1、MIP的配置... 22
3.1.1、使用Web浏览器方式配置MIP. 23
3.1.2、使用命令行方式配置MIP. 25
3.2、VIP的配置... 25
3.2.1、使用Web浏览器方式配置VIP. 26
3.2.2、使用命令行方式配置VIP. 27
3.3、DIP的配置... 28
3.3.1、使用Web浏览器方式配置DIP. 28
3.3.2、使用命令行方式配置DIP. 30
4、Juniper防火墙IPSec VPN的配置... 30
4.1、站点间IPSec VPN配置:staic ip-to-staic ip. 30
4.1.1、使用Web浏览器方式配置... 31
4.1.2、使用命令行方式配置... 35
4.2、站点间IPSec VPN配置:staic ip-to-dynamic ip. 37
4.2.1、使用Web浏览器方式配置... 38
4.2.1、使用命令行方式配置... 41
5、Juniper中低端防火墙的UTM功能配置... 43
5.1、防病毒功能的设置... 44
5.1.1、Scan Manager的设置... 44
5.1.2、Profile的设置... 45
5.1.3、防病毒profile在安全策略中的引用... 47
5.2、防垃圾邮件功能的设置... 49
5.2.1、Action 设置... 50
5.2.2、White List与Black List的设置... 50
5.2.3、防垃圾邮件功能的引用... 52
5.3、WEB/URL过滤功能的设置... 52
5.3.1、转发URL过滤请求到外置URL过滤服务器... 52
5.3.2、使用内置的URL过滤引擎进行URL过滤... 54
5.3.3、手动添加过滤项... 55
5.4、深层检测功能的设置... 59
5.4.1、设置DI攻击特征库自动更新... 59
5.4.2、深层检测(DI)的引用... 60
6、Juniper防火墙的HA(高可用性)配置... 62
6.1、使用Web浏览器方式配置... 63
6.2、使用命令行方式配置... 65
7、Juniper防火墙一些实用工具... 66
7.1、防火墙配置文件的导出和导入... 66
7.1.1、配置文件的导出... 67
7.1.2、配置文件的导入... 67
7.2、防火墙软件(ScreenOS)更新... 68
7.3、防火墙恢复密码及出厂配置的方法... 69
8、Juniper防火墙的一些概念... 69
关于本手册的使用:
①本手册更多的从实际使用的角度去编写,如果涉及到的一些概念上的东西表述不够透彻、清晰,请使用者自行去找一些资料查证;
②本手册在编写的过程中对需要使用者特别注的地方,都有“注”标识,请大家仔细阅读相关内容;对于粗体、红、蓝色标注的地方也需要多注意;
③本着技术共享的原则,我们编写了该手册,希望对在销售、使用Juniper防火墙的相应技术人员有所帮助,大家在使用过程中有任何建议可反馈到:chuang_li@synnex.com.hk;jiajun_xiong@synnex.com.hk;
④本手册归“联强国际(香港)有限公司”所有,严禁盗版。
1、前言
我们制作本安装手册的目的是使初次接触Juniper网络安全防火墙设备(在本安装手册中简称为“Juniper防火墙”)的工程技术人员,可以通过此安装手册完成对Juniper防火墙基本功能的实现和应用。
1.1、Juniper防火墙配置概述
Juniper防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求;但是由于部署模式及功能的多样性使得Juniper防火墙在实际部署时具有一定的复杂性。
在配置Juniper防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对Juniper防火墙进行配置和管理。
基本配置:
1.确认防火墙的部署模式:NAT模式、路由模式、或者透明模式;
2.为防火墙的端口配置IP地址(包括防火墙的管理IP地址),配置路由信息;
3.配置访问控制策略,完成基本配置。
其它配置:
1.配置基于端口和基于地址的映射;
2.配置基于策略的VPN;
3.修改防火墙默认的用户名、密码以及管理端口。
1.2、Juniper防火墙管理配置的基本信息
Juniper防火墙常用管理方式:
①通过Web浏览器方式管理。推荐使用IE浏览器进行登录管理,需要知道防火墙对应端口的管理IP地址;
②命令行方式。支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接两种命令行登录管理模式。
Juniper防火墙缺省管理端口和IP地址:
①Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理。缺省IP地址为:192.168.1.1/255.255.255.0;
②缺省IP地址通常设置在防火墙的Trust端口上(NS-5GT)、最小端口编号的物理端口上(NS-25/50/204/208/SSG系列)、或者专用的管理端口上(ISG-1000/2000,NS-5200/5400)。
Juniper防火墙缺省登录管理账号:
①用户名:netscreen;
②密 码:netscreen。
1.3、Juniper防火墙的常用功能
在一般情况下,防火墙设备的常用功能包括:透明模式的部署、NAT/路由模式的部署、NAT的应用、MIP的应用、DIP的应用、VIP的应用、基于策略VPN的应用。
本安装手册将分别对以上防火墙的配置及功能的实现加以说明。
注:在对MIP/DIP/VIP等Juniper防火墙的一些基本概念不甚了解的情况下,请先到本手册最后一章节内容查看了解!
2、Juniper防火墙三种部署模式及基本配置
Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:
①基于TCP/IP协议三层的NAT模式;
②基于TCP/IP协议三层的路由模式;
③基于二层协议的透明模式。
2.1、NAT模式
当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源 IP 地址和源端口号。
防火墙使用 Untrust 区(外网或者公网)接口的 IP 地址替换始发端主机的源 IP地址;同时使用由防火墙生成的任意端口号替换源端口号。
NAT模式应用的环境特征:
①注册IP地址(公网IP地址)的数量不足;
②内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet;
③内部网络中有需要外显并对外提供服务的服务器。
2.2、Route-路由模式
当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP数据包包头中的源地址和端口号保持不变(除非明确采用了地址翻译策略)。
①与NAT模式下不同,防火墙接口都处于路由模式时,防火墙不会自动实施地址翻译;
②与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。
路由模式应用的环境特征:
①防火墙完全在内网中部署应用;
②NAT模式下的所有环境;
③需要复杂的地址翻译。
2.3、透明模式
当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的。
透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点:
①不需要修改现有网络规划及配置;
②不需要实施 地址翻译;
③可以允许动态路由协议、Vlan trunking的数据包通过。
2.4、基于向导方式的NAT/Route模式下的基本配置
Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web浏览器配置向导完成。
注:要启动配置向导,则必须保证防火墙设备处于出厂状态。例如:新的从未被调试过的设备,或者经过命令行恢复为出厂状态的防火墙设备。
通过Web浏览器登录处于出厂状态的防火墙时,防火墙的缺省管理参数如下:
①缺省IP:192.168.1.1/255.255.255.0;
②缺省用户名/密码:netscreen/netscreen;
注:缺省管理IP地址所在端口参见在前言部份讲述的“Juniper防火墙缺省管理端口和IP地址”中查找!!
在配置向导实现防火墙应用的同时,我们先虚拟一个防火墙设备的部署环境,之后,根据这个环境对防火墙设备进行配置。
防火墙配置规划:
①防火墙部署在网络的Internet出口位置,内部网络使用的IP地址为192.168.1.0/255.255.255.0所在的网段,内部网络计算机的网关地址为防火墙内网端口的IP地址:192.168.1.1;
②防火墙外网接口IP地址(通常情况下为公网IP地址,在这里我们使用私网IP地址模拟公网IP地址)为:10.10.10.1/255.255.255.0,网关地址为:10.10.10.251
要求:
实现内部访问Internet的应用。
注:在进行防火墙设备配置前,要求正确连接防火墙的物理链路;调试用的计算机连接到防火墙的内网端口上。
1.通过IE或与IE兼容的浏览器(推荐应用微软IE浏览器)使用防火墙缺省IP地址登录防火墙(建议:保持登录防火墙的计算机与防火墙对应接口处于相同网段,直接相连)。
2.使用缺省IP登录之后,出现安装向导:
注:对于熟悉Juniper防火墙配置的工程师,可以跳过该配置向导,直接点选:No,skip the wizard and gostraight to the WebUI management sessioninstead,之后选择Next,直接登录防火墙设备的管理界面。
3.使用向导配置防火墙,请直接选择:Next,弹出下面的界面:
4.“欢迎使用配置向导”,再选择Next。
注:进入登录用户名和密码的修改页面,Juniper防火墙的登录用户名和密码是可以更改的,这个用户名和密码的界面修改的是防火墙设备上的根用户,这个用户对于防火墙设备来说具有最高的权限,需要认真考虑和仔细配置,保存好修改后的用户名和密码。
5.在完成防火墙的登录用户名和密码的设置之后,出现了一个比较关键的选择,这个选择决定了防火墙设备是工作在路由模式还是工作在NAT模式:
u 选择Enable NAT,则防火墙工作在NAT模式;
u 不选择Enable NAT,则防火墙工作在路由模式。
6.防火墙设备工作模式选择,选择:Trust-UntrustMode模式。这种模式是应用最多的模式,防火墙可以被看作是只有一进一出的部署模式。
注:NS-5GT防火墙作为低端设备,为了能够增加低端产品应用的多样性,Juniper在NS-5GT的OS中独立开发了几种不同的模式应用于不同的环境。目前,除NS-5GT以外,Juniper其他系列防火墙不存在另外两种模式的选择。
7.完成了模式选择,点击“Next”进行防火墙外网端口IP配置。外网端口IP配置有三个选项分别是:DHCP自动获取IP地址;通过PPPoE拨号获得IP地址;手工设置静态IP地址,并配置子网掩码和网关IP地址。
在这里,我们选择的是使用静态IP地址的方式,配置外网端口IP地址为:10.10.10.1/255.255.255.0,网关地址为:10.10.10.251。
8.完成外网端口的IP地址配置之后,点击“Next”进行防火墙内网端口IP配置:
9.在完成了上述的配置之后,防火墙的基本配置就完成了,点击“Next”进行DHCP服务器配置。
注:DHCP服务器配置在需要防火墙在网络中充当DHCP服务器的时候才需要配置。否则请选择“NO”跳过。
注:上面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能,由防火墙设备给内部计算机用户自动分配IP地址,分配的地址段为:192.168.1.100-192.168.1.150一共51个IP地址,在分配IP地址的同时,防火墙设备也给计算机用户分配了DNS服务器地址,DNS用于对域名进行解析,如:将WWW.SINA.COM.CN解析为IP地址:202.108.33.32。如果计算机不能获得或设置DNS服务器地址,无法访问互联网。
10.完成DHCP服务器选项设置,点击“Next”会弹出之前设置的汇总信息:
11.确认配置没有问题,点击“Next”会弹出提示“Finish”配置对话框:
在该界面中,点选:Finish之后,该Web页面会被关闭,配置完成。
此时防火墙对来自内网到外网的访问启用基于端口地址的NAT,同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略:
u策略:策略方向由Trust到Untrust,源地址:ANY,目标地址:ANY,网络服务内容:ANY;
u 策略作用:允许来自内网的任意IP地址穿过防火墙访问外网的任意地址。
重新开启一个IE页面,并在地址栏中输入防火墙的内网端口地址,确定后,出现下图中的登录界面。输入正确的用户名和密码,登录到防火墙之后,可以对防火墙的现有配置进行修改。
总结:
上述就是使用Web浏览器通过配置向导完成的防火墙NAT或路由模式的应用。通过配置向导,可以在不熟悉防火墙设备的情况下,配置简单环境的防火墙应用。
2.5、基于非向导方式的NAT/Route模式下的基本配置
基于非向导方式的NAT和Route模式的配置建议首先使用命令行开始,最好通过控制台的方式连接防火墙,这个管理方式不受接口IP地址的影响。
注:在设备缺省的情况下,防火墙的信任区(TrustZone)所在的端口是工作在NAT模式的,其它安全区所在的端口是工作在路由模式的。
基于命令行方式的防火墙设备部署的配置如下(网络环境同上一章节所讲述的环境):
2.5.1、NS-5GTNAT/Route模式下的基本配置
注:NS-5GT设备的物理接口名称叫做trust和untrust;缺省Zone包括:trust和untrust,请注意和接口区分开。
①Unset interface trust ip (清除防火墙内网端口的IP地址);
②Set interface trust zone trust(将内网端口分配到trust zone);
③Set interface trust ip192.168.1.1/24(设置内网端口的IP地址,必须先定义zone,之后再定义IP地址);
④Set interface untrust zone untrust(将外网口分配到untrust zone);
⑤Set interface untrust ip 10.10.10.1/24(设置外网口的IP地址);
⑥Set route 0.0.0.0/0 interface untrust gateway10.10.10.251(设置防火墙对外的缺省路由网关地址);
⑦Set policy from trust to untrust any any any permitlog(定义一条由内网到外网的访问策略。策略的方向是:由zone trust 到 zone untrust,源地址为:any,目标地址为:any,网络服务为:any,策略动作为:permit允许,log:开启日志记录);
⑧Save (保存上述的配置文件)。
2.5.2、NS-25-208NAT/Route模式下的基本配置
①Unset interface ethernet1 ip(清除防火墙内网口缺省IP地址);
②Set interface ethernet1 zone trust(将ethernet1端口分配到trust zone);
③Set interface ethernet1 ip 192.168.1.1/24(定义ethernet1端口的IP地址);
④Set interface ethernet3 zone untrust(将ethernet3端口分配到untrustzone);
⑤Set interface ethernet3 ip 10.10.10.1/24(定义ethernet3端口的IP地址);
⑥Set route 0.0.0.0/0 interface ethernet3 gateway10.10.10.251(定义防火墙对外的缺省路由网关);
⑦Set policy from trust to untrust any any any permitlog(定义由内网到外网的访问控制策略);
⑧Save (保存上述的配置文件)
注:上述是在命令行的方式上实现的NAT模式的配置,因为防火墙出厂时在内网端口(trustzone所属的端口)上启用了NAT,所以一般不用特别设置,但是其它的端口则工作在路由模式下,例如:untrust和DMZ区的端口。
如果需要将端口从路由模式修改为NAT模式,则可以按照如下的命令行进行修改:
①Set interface ethernet2 NAT (设置端口2为NAT模式)
②Save
总结:
①NAT/Route模式做防火墙部署的主要模式,通常是在一台防火墙上两种模式混合进行(除非防火墙完全是在内网应用部署,不需要做NAT-地址转换,这种情况下防火墙所有端口都处于Route模式,防火墙首先作为一台路由器进行部署);
②关于配置举例,NS-5GT由于设备设计上的特殊性,因此专门列举加以说明;Juniper在2006年全新推出的SSG系列防火墙,除了端口命名不一样,和NS-25等设备管理配置方式一样。
2.6、基于非向导方式的透明模式下的基本配置
实现透明模式配置建议采用命令行的方式,因为采用Web的方式实现时相对命令行的方式麻烦。通过控制台连接防火墙的控制口,登录命令行管理界面,通过如下命令及步骤进行二层透明模式的配置:
①Unset interface ethernet1 ip(将以太网1端口上的默认IP地址删除);
②Set interface ethernet1 zone v1-trust(将以太网1端口分配到v1-trustzone:基于二层的安全区,端口设置为该安全区后,则端口工作在二层模式,并且不能在该端口上配置IP地址);
③Set interface ethernet2 zone v1-dmz(将以太网2端口分配到v1-dmz zone);
④Set interface ethernet3 zone v1-untrust(将以太网3端口分配到v1-untrustzone);
⑤Set interface vlan1 ip192.168.1.1/24(设置VLAN1的IP地址为:192.168.1.1/255.255.255.0,该地址作为防火墙管理IP地址使用);
⑥Set policy from v1-trust to v1-untrust any any any permitlog(设置一条由内网到外网的访问策略);
⑦Save(保存当前的配置);
总结:
①带有V1-字样的zone为基于透明模式的安全区,在进行透明模式的应用时,至少要保证两个端口的安全区工作在二层模式;
②虽然Juniper防火墙可以在某些特殊版本工作在混合模式下(二层模式和三层模式的混合应用),但是通常情况下,建议尽量使防火墙工作在一种模式下(三层模式可以混用:NAT和路由)。
3、Juniper防火墙几种常用功能的配置
这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。
3.1、MIP的配置
MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。
MIP应用的网络拓扑图:
注:MIP配置在防火墙的外网端口(连接Internet的端口)。
3.1.1、使用Web浏览器方式配置MIP
①登录防火墙,将防火墙部署为三层模式(NAT或路由模式);
②定义MIP:Network=>Interface=>ethernet2=>MIP,配置实现MIP的地址映射。MappedIP:公网IP地址,Host IP:内网服务器IP地址
③定义策略:在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。
3.1.2、使用命令行方式配置MIP
①配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
②定义MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5netmask 255.255.255.255 vrouter trust-vr
③定义策略
set policy from untrust to trust any mip(1.1.1.5)http permit
save
3.2、VIP的配置
MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。
VIP应用的拓扑图:
注:VIP配置在防火墙的外网连接端口上(连接Internet的端口)。
3.2.1、使用Web浏览器方式配置VIP
①登录防火墙,配置防火墙为三层部署模式。
②添加VIP:Network=>Interface=>ethernet8=>VIP
③添加与该VIP公网地址相关的访问控制策略。
3.2.2、使用命令行方式配置VIP
①配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
②定义VIP
set interface ethernet3 vip 1.1.1.10 80 http10.1.1.10
③定义策略
set policy from untrust to trust any vip(1.1.1.10)http permit
save
注:VIP的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。
3.3、DIP的配置
DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址。
DIP应用的网络拓扑图:
3.3.1、使用Web浏览器方式配置DIP
①登录防火墙设备,配置防火墙为三层部署模式;
②定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口定义IP地址池;
③定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中,启用源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置;
策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT。
3.3.2、使用命令行方式配置DIP
①配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
②定义DIP
set interface ethernet3 dip 5 1.1.1.30 1.1.1.30
③定义策略
set policy from trust to untrust any any http natsrc dip-id 5 permit
save
4、Juniper防火墙IPSecVPN的配置
Juniper所有系列防火墙(除部分早期型号外)都支持IPSecVPN,其配置方式有多种,包括:基于策略的VPN、基于路由的VPN、集中星形VPN和背靠背VPN等。在这里,我们主要介绍最常用的VPN模式:基于策略的VPN。
站点间(Site-to-Site)的VPN是IPSecVPN的典型应用,这里我们介绍两种站点间基于策略VPN的实现方式:站点两端都具备静态公网IP地址;站点两端其中一端具备静态公网IP地址,另一端动态公网IP地址。
4.1、站点间IPSec VPN配置:staic ip-to-staic ip
当创建站点两端都具备静态IP的VPN应用中,位于两端的防火墙上的VPN配置基本相同,不同之处是在VPNgateway部分的VPN网关指向IP不同,其它部分相同。
VPN组网拓扑图:staic ip-to-staic ip
4.1.1、使用Web浏览器方式配置
①登录防火墙设备,配置防火墙为三层部署模式;
②定义VPN第一阶段的相关配置:VPNs=>Autokey Adwanced=>Gateway
配置VPN gateway部分,定义VPN网关名称、定义“对端VPN设备的公网IP地址”
为本地VPN设备的网关地址、定义预共享密钥、选择发起VPN服务的物理端口;
③在VPN gateway的高级(Advanced)部分,定义相关的VPN隧道协商的加密算法、选择VPN的发起模式;
④配置VPN第一阶段完成显示列表如下图;
⑤定义VPN第二阶段的相关配置:VPNs=>Autokey IKE
在Autokey IKE部分,选择第一阶段的VPN配置;
⑥在VPN第二阶段高级(Advances)部分,选择VPN的加密算法;
⑦配置VPN第二阶段完成显示列表如下图;
⑧定义VPN策略,选择地址和服务信息,策略动作选择为:隧道模式;VPN隧道选择为:刚刚定义的隧道,选择自动设置为双向策略;
4.1.2、使用命令行方式配置
CLI ( 东京)
①配置接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
②定义路由
set vrouter trust-vr route 0.0.0.0/0 interfaceethernet3 gateway 1.1.1.250
③定义地址
set address trust Trust_LAN 10.1.1.0/24
set address untrust paris_office 10.2.2.0/24
④定义IPSec VPN
set ike gateway to_paris address 2.2.2.2 mainoutgoing-interface ethernet3 preshare
h1p8A24nG5 proposal pre-g2-3des-sha
set vpn tokyo_paris gateway to_paris sec-levelcompatible
⑤定义策略
set policy top name "To/From Paris" from trust tountrust Trust_LAN paris_office
any tunnel vpn tokyo_paris
set policy top name "To/From Paris" from untrust totrust paris_office Trust_LAN
any tunnel vpn tokyo_paris
save
CLI ( 巴黎)
①定义接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
②定义路由
set vrouter trust-vr route 0.0.0.0/0 interfaceethernet3 gateway 2.2.2.250
③定义地址
set address trust Trust_LAN 10.2.2.0/24
set address untrust tokyo_office 10.1.1.0/24
④定义IPSec VPN
set ike gateway to_tokyo address 1.1.1.1 mainoutgoing-interface ethernet3 preshare
h1p8A24nG5 proposal pre-g2-3des-sha
set vpn paris_tokyo gateway to_tokyo sec-levelcompatible
⑤定义策略
set policy top name "To/From Tokyo" from trust tountrust Trust_LAN tokyo_office
any tunnel vpn paris_tokyo
set policy top name "To/From Tokyo" from untrust totrust tokyo_office Trust_LAN
any tunnel vpn paris_tokyo
save
4.2、站点间IPSecVPN配置:staic ip-to-dynamic ip
在站点间IPSecVPN应用中,有一种特殊的应用,即在站点两端的设备中,一端拥有静态的公网IP地址,而另外一端只有动态的公网IP地址,以下讲述的案例是在这种情况下,Juniper防火墙如何建立IPSecVPN隧道。
基本原则:
在这种IPSecVPN组网应用中,拥有静态公网IP地址的一端作为被访问端出现,拥有动态公网IP地址的一端作为VPN隧道协商的发起端。
和站点两端都具备静态IP地址的配置的不同之处在于VPN第一阶段的相关配置,在主动发起端(只有动态公网IP地址一端)需要指定VPN网关地址,需配置一个本地ID,配置VPN发起模式为:主动模式;在站点另外一端(拥有静态公网IP地址一端)需要指定VPN网关地址为对端设备的ID信息,不需要配置本地ID,其它部分相同。
IPSec VPN组网拓扑图:staic ip-to-dynamic ip
4.2.1、使用Web浏览器方式配置
①VPN第一阶段的配置:动态公网IP地址端。
VPN的发起必须由本端开始,动态地址端可以确定对端防火墙的IP地址,因此在VPN
阶段一的配置中,需指定对端VPN设备的静态IP地址。同时,在本端设置一个Local
ID,提供给对端作为识别信息使用。
②VPN第一阶段的高级配置:动态公网IP地址端。
在VPN阶段一的高级配置中动态公网IP一端的VPN的发起模式应该配置为:主动
模式(Aggressive)
③VPN第一阶段的配置:静态公网IP地址端。
在拥有静态公网IP地址的防火墙一端,在VPN阶段一的配置中,需要按照如下图所
示的配置:“Remote Gateway Type”应该选择“DynamicIP Address”,同时设置
Peer ID(和在动态IP地址一端设置的LocalID相同)。
④VPN第二阶段配置,和在”static ip-to-static ip”模式下相同。
⑤VPN的访问控制策略,和在”static ip-to-static ip”模式下相同。
4.2.1、使用命令行方式配置
CLI ( 设备-A)
①定义接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 dhcp client
set interface ethernet3 dhcp client settings server1.1.1.5
②定义路由
set vrouter trust-vr route 0.0.0.0/0 interfaceethernet3
③定义用户
set user pmason password Nd4syst4
④定义地址
set address trust "trusted network" 10.1.1.0/24
set address untrust "mail server" 3.3.3.5/32
⑤定义服务
set service ident protocol tcp src-port 0-65535dst-port 113-113
set group service remote_mail
set group service remote_mail add http
set group service remote_mail add ftp
set group service remote_mail add telnet
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
⑥定义VPN
set ike gateway to_mail address 2.2.2.2 aggressivelocal-id pmason@abc.com
outgoing-interface ethernet3 preshare h1p8A24nG5proposal pre-g2-3des-sha
set vpn branch_corp gateway to_mail sec-levelcompatible
⑦定义策略
set policy top from trust to untrust "trustednetwork" "mail server" remote_mail
tunnel vpn branch_corp auth server Local userpmason
set policy top from untrust to trust "mail server""trusted network" remote_mail
tunnel vpn branch_corp
save
CLI ( 设备-B)
①定义接口参数
set interface ethernet2 zone dmz
set interface ethernet2 ip 3.3.3.3/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
②路由
set vrouter trust-vr route 0.0.0.0/0 interfaceethernet3 gateway 2.2.2.250
③定义地址
set address dmz "mail server" 3.3.3.5/32
set address untrust "branch office" 10.1.1.0/24
④定义服务
set service ident protocol tcp src-port 0-65535dst-port 113-113
set group service remote_mail
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
⑤定义VPN
set ike gateway to_branch dynamic pmason@abc.comaggressive
outgoing-interface ethernet3 preshare h1p8A24nG5proposal pre-g2-3des-sha
set vpn corp_branch gateway to_branch tunnelsec-level compatible
⑥定义策略
set policy top from dmz to untrust "mail server""branch office" remote_mail
tunnel vpn corp_branch
set policy top from untrust to dmz "branch office""mail server" remote_mail
tunnel vpn corp_branch
save
5、Juniper中低端防火墙的UTM功能配置
Juniper中低端防火墙(目前主要以SSG系列防火墙为参考)支持非常广泛的攻击防护及内容安全功能,主要包括:防病毒(Anti-Virus)、防垃圾邮件(Anti-Spam)、URL过滤(URLfiltering)以及深层检测/入侵防御(Deep Inspection/IPS)。
注:上述的安全/防护功能集成在防火墙的ScreenOS操作系统中,但是必须通过license(许可)激活后方可使用(并会在激活一段时间(通常是1年)后过期)。当然在使用这些功能的时候,我们还需要设定好防火墙的时钟以及DNS服务器地址。
当防火墙激活了相应的安全/防护功能以后,通过WebUI可以发现,Screening条目下会增加相应的功能条目,如下图:
5.1、防病毒功能的设置
Juniper防火墙的防病毒引擎(从ScreenOS5.3开始内嵌Kaspersky的防病毒引擎)可以针对HTTP、FTP、POP3、IMAP以及SMTP等协议进行工作。
5.1.1、Scan Manager的设置
² “Pattern UpdateServer”项中的URL地址为Juniper防火墙病毒特征库的官方下载网址(当系统激活了防病毒功能后,该网址会自动出现)。
² “Auto PatternUpdate”项允许防火墙自动更新病毒特征库;后面的“Interval”项可以指定自动更新的频率。
² “UpdateNow”项可以执行手动的病毒特征库升级。
² “Drop/Bypass file if its sizeexceedsKB”项用来控制可扫表/传输的文件大小。“Drop”项会在超过限额后,扔掉文件而不做扫描;“Bypass”项则会放行文件而不做扫描。
² “Drop//Bypass file if the numberof concurrent files exceedsfiles”项用控制同时扫描/传输的文件数量。“Drop”项会在超过限额后,扔掉文件而不做扫描;“Bypass”项则会放行文件而不做扫描。
5.1.2、Profile的设置
通过设置不同的Profile,我们可以对不同的安全策略(Policy)采用不同的防病毒操作(Juniper防火墙的防病毒引用是基于安全策略的;也就是说我们的防病毒设置是通过在特定的策略中引入特定的Profile来实现的。),进而实现高粒度化地防病毒控制,将防病毒对系统资源的消耗降到最低。
ns-profile是系统自带的profile。用户不需要做任何设置,就可以在安全策略里直接引用它。
除此之外,用户可以根据自己的需求来设置适合自身需求的profile。Profile方面的设置包括对FTP、HTTP、IMAP、POP3以及SMTP等5个协议的内容,见下图。
Enable选项
每个特定的协议类型,都有一个Enable选项。选择之,则防病毒引擎会检查与这个协议相关的流量;反之,则不会检查。
Scan Mode的设置
Scan Mode有三个选择项:Scan All、Scan Intelligent、Scan By Extension。
Scan All:对于流量,检查所有已知的特征码。
Scan Intelligent:对于流量,检查比较常见的特征码。
Scan ByExtension:仅针对特定的文件扩展名类型进行检查。如果选择该类型,则须要事先设定好Ext-List(设置文件扩展名的类型)与Include/ExcludeExtension List。
Decompress Layer的设置
为了减少传输的时间,很多文件在传输过程中都会被压缩。DecompressLayer就是用来设置防病毒引擎扫描压缩文件的层数。防病毒引擎最多可以支持对4层压缩文件的扫描。
Skipmime Enable的设置
对于HTTP协议,可以进行Skipmime Enable的设置。打开该功能,则防病毒引擎不扫描MimeList中包括的文件类型(系统默认打开该功能,并匹配默认的Mime List:ns-skip-mime-list)。
Email Notify的设置
对于IMAP、POP3、SMTP等email协议,可以记性EmailNortify的设置。打开该功能,可以在发现病毒/异常后,发送email来通知用户(病毒发送者/邮件发送方/邮件接收方)。
5.1.3、防病毒profile在安全策略中的引用
我们前面已经提到过,防病毒的实现是通过在特定安全策略中应用profile来实现的。比如,我们在名为ftp-scan的策略中引用av1的防病毒profile。
①首先建立了名为av1的profile,并enableFTP协议的扫描;由于我仅希望检测的是FTP应用,故关闭对其他协议的扫描。见下图:
②设置ftp-scan安全策略,并引用profile av1。
③引用了profile进行病毒扫描的策略,在action栏会有相应的图标出现。
5.2、防垃圾邮件功能的设置
Juniper防火墙内嵌的防垃圾邮件引擎,可以帮助企业用户来减轻收到垃圾邮件的困扰。
Juniper的防垃圾邮件功能主要是通过公共防垃圾邮件服务器来实现的。公共的防垃圾邮件
服务器会实时地更新防垃圾邮件的库,做到最大范围、最小误判的防垃圾功能。到ScreenOS5.4为止,juniper的防垃圾邮件引擎只支持SMTP协议。
Juniper防垃圾邮件通过两种方式来检测垃圾邮件:1.通过公共防垃圾邮件服务器的white list(可信任名单)与blacklist(不可信任名单)。
5.2.1、Action 设置
SBL Default Enable项选中后,防火墙使用公共防垃圾服务器来判别垃圾邮件。默认为打开。
Actions项用来指定对垃圾邮件的处理方法:Tag onSubject(在邮件标题栏标注信息,指
明该邮件为垃圾邮件;不丢弃邮件);Tag on Header(在邮件内容的头部标注信息,指明
该邮件为垃圾邮件;不丢弃邮件);Drop(直接丢弃查找到的垃圾邮件)
5.2.2、White List与Black List的设置
通过防火墙自定义white list和black list。比如在White List > WhiteList Content栏输入www.sina.com.cn,则防火墙在检查到与这个网址相关的邮件,都会认为是可信任邮件,直接放行。
比如在Black List >Black List Content栏输入www.baidu.com,则防火墙在检测到这个网址有关的邮件时,都会判定为垃圾邮件。
5.2.3、防垃圾邮件功能的引用
最后,我们只要在安全策略里面引用防垃圾邮件功能,就可以对邮件进行检测了。Antispamenable项只要勾选,就开启了防垃圾邮件功能,如下图所示。
5.3、WEB/URL过滤功能的设置
Juniper可通过两种方式来提供URL过滤功能。一种是通过转发流量给外部的URL过滤服务器来实现(支持SurfControl和Websense两个产品);一种是通过内置的SurfControlURL过滤引擎来提供URL过滤。
5.3.1、转发URL过滤请求到外置URL过滤服务器
如果采用第一种方式的话,首先防火墙必须能够访问到本地的提供URL过滤的服务器(SurfControl或者Websense)。然后通过以下项的设置来完成该功能的启用。
①在Web Filtering > ProtocolSelection条目下,选择需要Redirect按钮(SurfControl或者Websense)。
②打开Web Filtering选项的Websense/SurfControl的条目:
² Enable Web Filtering项设置为勾选,则WebFiltering功能打开。
² SourceInterface项用来选择与URL过滤服务器相连的接口(如果不选,则采用Default)。
² Server Name项填入URL过滤服务器的地址。
² ServerPort项填入与服务器端口通讯的端口(默认为15868)。
² If connectivity to the server islost,Block/Permit all HTTPrequests项用来决定如果与服务器连接丢失以后,防火墙采取什么措施。选择Block项,则与服务器失去联系后,阻断所有HTTP请求;选择Permit项,则放行所有HTTP请求。
5.3.2、使用内置的URL过滤引擎进行URL过滤
如果使用Juniper防火墙自带的SurfControl引擎来过滤URL,可以通过以下操作来完成。
①在Web Filtering > ProtocolSelection条目下,选择需要Integrated按钮(SurfControl或者Websense)。
②打开Web Filtering选项的SC-CPA的条目:
² Enable Web Filtering via CPAServer项勾选。
² ServerName项选择地区(比如我们处于亚洲,则选择Asia Pacific)。
² Host项会根据ServerName自动填充域名(比如前面选择了Asia Pacific,则会出现Asiai.SurfCPA.com)。
² Port项与服务器端口通讯的端口(默认为9020)。
² If connectivity to the server islost,Block/Permit all HTTPrequests项用来决定如果与服务器连接丢失以后,防火墙采取什么措施。选择Block项,则与服务器失去联系后,阻断所有HTTP请求;选择Permit项,则放行所有HTTP请求。
5.3.3、手动添加过滤项
下面以实例的方式来讲解手动添加过滤项的操作过程。我们假设要禁止访问www.sina.com的访问。
①首先,我们建立一个自己的过滤组(category),名字为news。在Screening > WEB Filtering> Categories > Custom > Edit下:
②其次,我们建议一个新的Profile,取名叫justfortest:Screening > WEB Filtering> Profiles > Custom > Edit
² BlackList项中可以选择预定义或者自定义的过滤组(category)。进入Black List的组的网址将无条件禁止访问。
² WhiteList项中可以选择预定义或者自定义的过滤组(category)。进入White List的组的网址将无条件允许访问。
² DefaultAction项可以选择Permit或者Deny。选择Permit,则没有匹配Black List/WhiteList/手动设定过滤项的网址,将被允许访问;Deny则反之。
² Subscribers identified by项
² CategoryName可选择我们想要过滤的组别(在例子中,我们选取之前建立的news)
²Action可选择permit或者block(在本例中,我们选取block)
③最后,我们在安全策略中引用URL过滤。
注:我们建立一条策略,然后在WEBFiltering项选择我们刚才建立的profile“justfortest”。
策略建立完以后,会在Options栏出现WWW的图标。
安全策略生效后,我们就无法访问新浪网站了,我们将看到Your page is blocked due to a securitypolicy that prohibits access to category。如下图:
5.4、深层检测功能的设置
Juniper防火墙可以通过license激活的方式来实现软件级别的入侵检测防御功能,即深层检测功能(DI)。深层检测可以从L3、L4以及L7等多个层面进行恶意流量的检测及防护。
当我们将订购的DI许可导入防火墙以后,DI功能就开启了。然后我们通过一些简单的设置,就可以用DI来检测和防御网络恶意行为了。
Juniper深层检测模块目前支持的检测类型包括:(截止OS5.4)
■ AIM (AOL Instant Messenger)
■ DHCP (Dynamic Host Configuration Protocol)
■ DNS (Domain Name System)
■ FTP (File Transfer Protocol)
■ GNUTELLA (File Sharing Network Protocol)
■ GOPHER (Gopher Protocol)
■ HTTP (Hypertext Transfer Protocol)
■ ICMP (Internet Control Message Protocol)
■ IDENT (Identification Protocol)
■ IKE (Internet Key Ex————change)
■ IMAP (Internet Message Access Protocol)
■ IRC (Internet Relay Chat Protocol)
■ LDAP (Lightweight Directory Access Protocol)
■ LPR (Line Printer)
■ MSN (Microsoft Messenger)
■ MSRPC (Microsoft Remote Procedure Call)
■ NBNAME (NetBIOS Name Service)
■ NFS (Network File Service)
■ NTP (Network Time Protocol)
■ POP3 (Post Office Protocol)
■ RADIUS (Remote Authentication Dial In User Service)
■ SMB (Server Message Block)
■ SMTP (Simple Mail Transfer Protocol)
■ SYSLOG (System Log)
■ TELNET (Terminal Emulation Protocol)
■ TFTP (Trivial File Transfer Protocol)
■ VNC (Virtual Network Computing, or Remote Frame BufferProtocol)
■ WHOIS (Remote Directory Access Protocol)
■ YMSG (Yahoo Messenger)
除此之外,我们还可以通过手动的方式来自定义攻击类型(使用Juniper IDP设备来编写的话,会相对简便)。
5.4.1、设置DI攻击特征库自动更新
随着已知攻击的数目的日益增加,攻击特征库也在不断地扩大着。我们可以通过设置自动更新的办法来让防火墙自动下载最新的攻击特征库。
我们可以通过Update的Attack Signature 下设置攻击特征库的自动更新。
SignaturePack项可以选择Base(一般情况下的攻击特征码集合)、Client(主要针对降低客户端上网风险的攻击特征码集合)、Server(主要针对保护服务器端的攻击特征码集合)、WormMitigation(主要针对蠕虫的攻击特征码集合)四种类型。
Database ServerURL项填写着提供攻击特征库更新的服务器域名(系统会自动填充,一般不用自己填写)。
Update Mode项可以选择None(不自动更新)、AutomaticNotification(有新的更新则发出通知)、Automatic Update(自动更新)。
Schedule at项可以选择At(更新的时间)、Daily(每日更新)、WeeklyOn(星期几更新)、Monthly On (几月份更新)。
Update Now项可以手动更新攻击特征库。
5.4.2、深层检测(DI)的引用
跟前面所讲的其他功能一样,我们同样是在安全策略中引用DI功能。
建立一条策略,然后点击在Action项旁边的Deep Inspection项,弹出配置框,如下图。
Severity项可以选择要防范的攻击的强度(从Critical到Info);
Group项用来选择攻击的具体组别(按照攻击的具体对象、协议、严重程度来分);
Action项用来选择检测到攻击后的处理方法:None、Ignore、DropPacket、Drop、Close Client、Close Server、Close。
选择完以上项后则可以按ADD按钮添加到下面的攻击防护表中去。
完成了DI功能设置的安全策略的Action栏会变成一个放大镜的图标,如上图。
6、Juniper防火墙的HA(高可用性)配置
为了保证网络应用的高可用性,在部署Juniper防火墙过程中可以在需要保护的网络边缘同时部署两台相同型号的防火墙设备,实现HA的配置。Juniper防火墙提供了三种高可用性的应用配置模式:主备方式、主主方式和双主冗余方式。在这里,我们只对主备方式的配置进行
