Juniper-高级防火墙的知识(命令).ppt

《Juniper-高级防火墙的知识(命令).ppt》由会员分享，可在线阅读，更多相关《Juniper-高级防火墙的知识(命令).ppt（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Juniper 防火墙的策略配置防火墙的策略配置 在Juniper设备中策略是一个重点，因为安全设备基本上都是基于策略的管理和运行，下面就Juniper的如何配置进行简单的说明.在Juniper防火墙中，区域是一个比较重要的感念，一般的Juniper设备都设置了Untrust,Trust和DMZ三个区域，也可以根据实际的需要自行定义区域，比如电信行业经常的BOSS,OA区域。具体的使用命令：netscreenisg1000-set zone id 1000 bossnetscreenisg1000-set zone id 1001 oa然后使用命令讲相关的防火墙接口加入Zone中，具体的命令：

2、netscreenisg1000-set interface ethernet2/4 zone bossnetscreenisg1000-set interface ethernet2/5 zone oa并且在接口上配置相关的IP地址:netscreeenisg1000-set interface ethernet2/4 ip 10.10.161.14/25set interface ethernet2/4 routeset interface ethernet2/5 ip 192.168.19.126/28set interface ethernet2/5 nat然后就是需要建立MIP/VI

3、P.比如需要建立一个MIP，私网地址10.10.81.54，公网地址10.10.161.54， 图形界面使用比较简单，比如ethernet1/1是一个untrust区域的接口地址。netscreeenisg1000-set policy id 22 from Untrust to Trust Any MIP(10.10.161.31) ANY permit log netscreeenisg1000-set policy id 19 from Untrust to Trust Any MIP(10.10.161.105) HTTP permit log关于policy就写这么多，关于MIP的是

4、使用后面会继续手写。Juniper 防火墙的管理防火墙的管理 在实际的网络工程中，Juniper的防火墙产品被大量的应用在网络环境中。但是Juniper防火墙产品的配置也是大家比较陌生的，下面就通过Juniper防火墙的使用来说明如何配置。 本次介绍的Juniper防火墙产品全部是在Juniper netscreen-ISG1000和Juniper netscreen-ISG2000中实现的.其中Juniper netscreen-ISG1000的版本Software Version: 5.0.0r10a.4, Type: Firewall+VPN.Juniper netscreen-ISG2

5、000的版本Software Version: 6.0.0r4.0, Type: Firewall+VPN1 Juniper防火墙产品的管理对于防火墙产品的管理和配置主要有以下几个方法：（1）console 方式Juniper防火墙和Cisco的路由器和防火墙之类的一样，初次配置需要使用console线缆进行配置，具体的参数设置和Cisco的路由器和防火墙一致。在这里就具体的不说了。（2）telnet或者ssh 对于使用telnet或者ssh进行管理Juniper防火墙,首先必须配置管理地址并且启用telnet或者ssh服务。在Juniper netscreen-ISG1000中默认的管理地址

6、192.168.1.1，就可以使用telnet或者ssh工具进行远程管理。具体的使用命令set interface ethernet1/1 manage telnetset interface ethernet1/1 manage ssh 比如；telnet 192.168.1.1在Juniper netscreen-ISG2000中的默认地址为172.16.70.1/24 ，建议使用命令行进行修改。set interface mgt ip 192.168.1.1/24 set interface mgt manage telnet,set interface mgt manage ssh,s

7、et interface mgt manage web（3）web方式管理web方式管理和使用telnet或者ssh一样，首先要配置管理地址和启用web服务。具体的命令为：set interface ethernet1/1 ip 192.168.193.33/28set interface ethernet1/1 manage web 然后使用http:/192.168.193.33来进行管理。Juniper 防火墙常见命令防火墙常见命令 常见的命令（1）get systemnetscreenisg2000- get systemProduct Name: NetScreen-2000Seri

8、al Number: XXXXXXXX, Control Number: 00000000Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)Software Version: 6.0.0r4.0, Type: Firewall+VPNOS Loader Version: 1.1.5Compiled by build_master at: Fri Jan 11 14:27:42 PST 2008Base Mac: 001b.c06a.1080File Name: default (nsISG200

9、0.6.0.0r4.0), Checksum: 1e5d880f, Total Memory: 2048MBDate 06/04/2009 08:28:24, Daylight Saving Time disabledThe Network Time Protocol is DisabledUp 805 hours 29 minutes 18 seconds Since 01May2009:18:59:06Total Device Resets: 0 (2) get interface netscreenisg2000- get interface A - Active, I - Inacti

10、ve, U - Up, D - Down, R - Ready Juniper 防火墙常见命令防火墙常见命令 Interfaces in vsys Root: Name IP Address Zone MAC VLAN State VSD mgt 172.16.70.1/24 MGT 001b.c06a.1080 - D - eth1/1 192.168.19.33/28 Trust 0010.dbff.c070 - U 0 eth1/2 192.168.19.65/28 Trust 0010.dbff.c080 - U 0 eth1/3 192.168.19.49/28 Trust 0010

11、.dbff.c090 - (3) get arpnetscreenisg2000- get arpusage: 9/8192 miss: 0always-on-dest: disabled- IP Mac VR/Interface State Age Retry PakQue Sess_cnt-192.168.19.161 002255e5c490 trust-vr/eth1/4 VLD 762 0 0 1373 192.168.19.46 000fe265a846 trust-vr/eth1/1 VLD 1167 0 0 56 192.168.19.62 00127fa7e351 trust

12、-vr/eth1/3 VLD 761 0 0 395 192.168.19.30 00000c07ac02 trust-vr/red1 VLD 964 0 0 (4)get mipnetscreenisg2000- get mipTotal MIPs under Root configured:78 Max:20000.-Map IP Host IP Interface VRouter -219.14.172.6/32 192.168.4.3 ethernet1/5 trust-vr 219.14.172.7/32 192.168.2.80 ethernet1/5 trust-vr 219.1

13、4.172.71/32 192.168.12.23 ethernet1/5 trust-vr 219.14.172.72/32 192.168.2.101 ethernet1/5 trust-vr (5)get vipnetscreeisg2000- get vipVirtual IP Interface Port Service Server/Port219.23.178.10 ethernet3/3 9080 9080 192.168.4.5/9080(OK)219.23.17.10 ethernet3/3 22 SSH 192.168.4.145/22(OK)Juniper 防火墙常见命

14、令防火墙常见命令 (6)get memorynetscreenisg2000- get memMemory: allocated 600969616, left 1164828224, frag 108, fail 0 (7)get performance cpu |detailnetscreenisg2000- get performance cpuAverage System Utilization: 1%Last 1 minute: 2%, Last 5 minutes: 2%, Last 15 minutes: 2% netscreenisg2000- get performance

15、cpu detail Average System Utilization: 1%Last 60 seconds:59: 2 58: 2 57: 2 56: 2 55: 2 54: 2 53: 2 52: 2 51: 2 50: 2 49: 2 48: 2 47: 2 46: 2 45: 2 44: 2 43: 2 42: 2 41: 2 40: 2 39: 2 38: 2 37: 2 36: 2 35: 2 34: 2 33: 2 32: 2 31: 2 30: 2 29: 2 28: 2 27: 3 26: 2 25: 2 24: 2 23: 2 22: 2 21: 2 20: 2 19:

16、 2 18: 2 17: 2 16: 2 15: 2 14: 2 13: 2 12: 2 11: 2 10: 2 9: 2 8: 2 7: 2 6: 2 5: 2 4: 2 3: 2 2: 2 1: 2 0: 2 (8)get sessionnetscreenisg2000- get sessionalloc 9005/max 524288, alloc failed 0, mcast alloc 0, di alloc failed 0total reserved 0, free sessions in shared pool 515283slot 2: hw0 alloc 8630/max

17、 1048575 id 476549/s0*,vsys 0,flag 08200400/0000/0003,policy 64,time 180, dip 2 module 0 if 10(nspflag 800801):192.168.37.8/1730-60.2.237.157/80,6,002255e5c490,sess token 4,vlan 0,tun 0,vsd 0,route 56,wsf 0 (9)get eventnetscreenisg2000- get eventTotal event entries = 39771Date Time Module Level Type

18、 Description2009-06-04 08:31:22 system crit 00436 Large ICMP packet! From 210.51.16.51 to 219.23.17.9, proto 1 (zone Untrust, int ethernet3/3). Occurred 1 times.2009-06-04 08:30:56 system crit 00436 Large ICMP packet! From 210.51.16.51 to 219.23.17.9, proto 1 (zone Untrust, int ethernet3/3). Occurre

19、d 1 times.Juniper 防火墙部署方式防火墙部署方式 Juniper防火墙的部署方式的是：透明模式和路由模式和NAT模式下面将详细的介绍各个部署方式，其中重点介绍路由部署模式和NAT模式1 透明模式当Juniper防火墙的接口为透明模式时，netscreen设备过滤通过防火墙的数据包，但是不会修改IP数据包包头中的任何信息，所有的netscreen接口用起来就是像是同一网络中的一部分，而netscreen设备更像是3层交换机的功能，在透明模式下，所有接口的Ip地址全部为0.0.0.0 透明模式是一种保护web服务器的方便手段，使用透明模式有以下的几个优点：（1） 不需要重新配置策略

20、路由器或者受保护的Ip设备（2）不需要进行VIP和MIP2 配置说明(1)创建2层zonenetscreenisg2000-set zone name L2-cnca L2 1（2）指派接口道2层zonenetscreenisg2000-set interface ethernet1/1 zone v1-trustnetscreenisg2000-set interface ethernet1/2 zone v1-DMZ(3) 设置VLAN1端口netscreenisg2000-set interface vlan1 ip 10.10.10.10/24netscreenisg2000-set

21、interface vlan1 manage webnetscreenisg2000-set interface vlan1 manage telnetnetscreenisg2000-set interface vlan1 manage ping 对于使用图形界面的配置简单的说明如下:1 创建2层zoneNetworkZonesNew2 委派端口到2层zone在Zone name中选择“V1-Trust”3 VLAN1端口的配置就是在端口下配置相关的services选项。Juniper 防火墙部署防火墙部署NAT 和路由方式和路由方式 Juniper防火墙的NAT部署模式也是常见的部署方式，

22、下面就简单的说明如下：1 为什么会使用NAT？目前IPv4是互联网中的主要IP地址，IP地址的耗尽也是一个问题。NAT技术使得一个私有网络可以通过internet注册IP连接到外部世界，位于inside网络和outside网络中的NAT路由器在发送数据包之前，负责把内部IP翻译成外部合法地址。内部网络的主机不可能同时于外部网络通信，所以只有一部分内部地址需要翻译。NAT的翻译可以采取静态翻译（static translation）和动态翻译（dynamic translation）两种。静态翻译将内部地址和外部地址一对一对应。当NAT需要确认哪个地址需要翻译，翻译时采用哪个地址pool时，就使

23、用了动态翻译。采用portmultiplexing技术，或改变外出数据的源port技术可以将多个内部IP地址影射到同一个外部地址，这就是PAT（port address translator）。 当影射一个外部IP到内部地址时，可以利用TCP的load distribution技术。使用这个特征时，内部主机基于round-robin机制，将外部进来的新连接定向到不同的主机上去。注意：load distributiong只有在影射外部地址到内部的时候才有效。NAT使用的几种情况： a，连接到internet，但却没有足够的合法地址分配给内部主机。 b，更改到一个需要重新分配地址的ISP。 c，有

24、相同的IP地址的两个internat合并。 d，想支持负载均衡（主机）。 采用NAT后，一个最主要的改变就是你失去了端对端IP的traceability，也就是说，从此你不能再经过NAT使用ping和traceroute，其次就是曾经的一些IP对IP的程序不再可以正常运行，潜在的不易被观察到的缺点就是增加了网络延时。 NAT可以支持大部分IP协议，但有几个协议需要注意，首先tftp，rlogin,rsh,rcp和ipmulticast都被NAT支持，其次就是bootp，snmp和路由表更新全部给拒绝了。 NAT的几个相关概念： Inside Local IP address: 指定于内部网络的

25、主机地址，全局唯一，但为私有地址。 Inside Global IP address: 代表一个或更多内部IP到外部世界的合法IP。 Outside Global IP address: 外部网络主机的合法IP。 Outside Local IP address: 外部网络的主机地址，看起来是内部网络的，私有地址。 Simple Translation Entry: 影射IP到另一个地址的Entry。 Extended Translation Entry:影射IP地址和端口到另一个pair的Entry。采用NAT，可以实现以下几个功能： a，Translation inside local a

26、ddresses b，Overloading inside global addresses c，TCP load distribution d，Handing overlapping networksa，内部地址翻译（Translation inside local addresses)： 这是比较通用的一种方法，将内部IP一对一的翻译成外部地址。 在内部主机连接到外部网络时，当第一个数据包到达NAT路由器时，router检查它的NAT表，因为是NAT是静态配置的，故可以查询出来（simply entry），然后router将数据包的内部局部IP（源地址）更换成内部全局地址，再转发出去。外部

27、主机接受到数据包用接受到的内部全局地址来响应，NAT接受到外部回来的数据包，再根据NAT表把地址翻译成内部局部IP，转发过去。 b，内部全局地址复用（overloading inside glogal addresses） 使用地址和端口pair将多个内部地址影射到比较少的外部地址。这也是所谓的PAT。和内部地址翻译一样，NAT router同样也负责查表和翻译内部IP地址，唯一的区别就是由于使用了overloading，router将复用同样的内部全局IP地址，并存储足够的信息以区分它和其他地址，这样查询出来的是extended entry。NAT router和外部主机的通讯采用翻译过的内

28、部全局地址，故同一般的通信没有差别，router到内部主机通讯时，同样要查NAT表。其他的方式不在进行一一的讲解。Juniper 防护墙上的NAT方式也是基于这种功能来实现的，下面具体的模拟一个环境进行相关的说明： 设备名称 IP地址说明 ISG ethernet1/2接口 192.168.193.126/28连接路由器 ISG2000ethernet1/1接口 10.10.161.14/25连接Untrust区域 具体的配置如下:netscreenisg1000- set interface ethernet1/1 ip 10.10.161.14/25Juniper 防火墙部署防火墙部署NA

29、T 和路由方式和路由方式 netscreenisg1000- set interface ethernet1/1 routenetscreenisg1000- set inerface ethernet1/2 ip 192.168.193.126/28netscreenisg1000- set interface ethernet1/2 nat以下的配置可以简单的配置netscreenisg1000- unset interface ethernet1/1 manage telnetnetscreenisg1000- set interface ethernet1/1 manage ping

30、netscreenisg1000- unset interface ethernet1/1 manage webnetscreenisg1000- set interface ethernet1/2 manage telnetnetscreenisg1000- set interface ethernet1/1 manage ping netscreenisg1000- set interface ethernet1/1 manage web Juniper 防火墙部署防火墙部署NAT 和路由方式实际例子和路由方式实际例子 martin人生就是一连串的问题,成功更需要打磨和塑造 夫君子之行，静

31、以修身，俭以养德；非澹泊无以明志，非宁静无以致远。夫学须静也，才须学也；非学无以广才，非志无以成学。怠慢则不能励精，险躁则不能冶性。年与时驰，意与岁去，遂成枯落，多不接世。悲守穷庐，将复何及！ 首页 | 文章 | 相册 | 收藏夹 | 留言 Juniper 防火墙部署防火墙部署NAT 和路由方式实际例子和路由方式实际例子 设备接口 IP地址 MIP地址 VIP地址 ethernet1/1 10.10.10.10/2410.10.10.100 10.10.10.80 web10.10.10.90 2210.10.10.95ftpethernet1/2 202.106.0.20/25 202.10

32、6.0.100 202.106.0.80 下面使用实际的例子来说明如何配置Juniper防火墙的NAT和路由模式 本文主要使用命令行的方式进行配置，具体的图形界面参考Juniper防火墙图形配置手册其中用户的需求是：（1）内部用户能通过防火墙访问Internet，防火墙做NAT（2）Internet用户能访问内部的web，ftp等应用（3） Internet用户通过不同的端口访问内部的webservergroup 简单的图形如下： Internet-路由器-Netscreen-内网 具体的IP地址分配如下：参考上表 netscreen-set hostname netscreenisg2000

33、 netscreenisg2000-set interface mgt ip 192.168.1.1/24 netscreenisg2000-set interface ethernet1/1 zone trustnetscreenisg2000-set interface ethernet1/2 zone untrustnetscreenisg2000-set interface ethernet1/1 ip 10.10.10.10/24netscreenisg2000-set interface ethernet1/2 ip 202.106.0.20/25netscreenisg2000-

34、set interface ethernet1/1 natnetscreenisg2000-set interface ethernet1/2 routenetscreenisg2000-set interface ethernet1/2 mip 202.106.0.100 host 10.10.10.100 netmask 255.255.255.255 vrouter trust-screenisg2000-set interface ethernet1/2 vip 202.106.0.80 80 HTTP10.10.10.80netscreenisg2000-set interface ethernet1/2 vip 202.106.0.80 +8080 HTTP10.10.10.90netscreenisg2000-set interface ethernet1/2 vip 202.106.0.80 +8900 HTTP10.10.10.85 具体的policy 就不在详细的说明了，后面的文章中专门介绍如何配置policy。 结束结束