版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
JUNIPERJUNIPER火墻快速安裝手冊第第1頁共70頁HYPERLINK/juniper/index.asp/juniper/index.aspJuniper網(wǎng)絡安全防火墻設備快速安裝手冊V1。0聯(lián)強國際(香港)有限公司2007—4目錄1、前言.。.。.。..。。。。。。。。。.。。.。.。.。。.。。..。.。。...。。.。。.。。..。.。..。。.。.。。。。。。。.。。.。。。.。。。。。。。。.。。.。.。.。。。.。。..。.。....。。。。。..。。。。。。..41.1、JNPR防火墻配概述。.。..。.。...。。.。。..。。.。..。.。。..。.。.。..。.。.。。..。。。。。..。。。.。。.。.。。.。。.。...。.。。.。...。.。.41.2、JNPR防火墻管配置的基本信息..。.。.。。。。。.。...。。..。。。。。.。。.。。..。...。.....。..。。。。。。。..。...。。。.。。。.。..41。3、JNPR防火墻的用功能。。。..。..。。。.。.。..。.。。。.。。。。..。。。.。。...。.。...。..。。..。。。。.。.。。。.。.。。。。。。。。.。...。。..。。。。52、JUNIPE防火墻三種部署模式及基本配置.。.。..。。......。。.。。。。。.。。。。.....。。。。.....。。..。。..。。..。。。.。。。..。..。。62。1、NT模式。。..。。.。...。。...。...。...。...。.。.。.。..。..。...。。.。....。。。。。.。..。。...。。。...。。..。..。。..。。。.。.。。.。.。。.。.。...。....62。2、ROUTE路由模式。.。。...。。。。...。.。....。...。。.。。.。..。....。。.。。...。..。.。..。..。。.。。。.。.。。...。.。.。..。...。。。.。。..。..。.72。3、透明模式.。.。..。。..。..。。。...。.。。..。..。。.。.。..。..。..。...。。。...。..。。....。.。.。。.。。.。。。。.。。。..。。..。.。。。........82。4、基于向?qū)Х绞降腘T/ROUTE式下的基本配置.。。。...。。。.。.。。。..。。。。...。。..。..。...。...。.。..。.。。。82。5、基于非向?qū)Х绞降腘T/ROUTE式下的基本配置。。..。.。.。。。。。。。。。。..。。。.。。.。。。.。........。。..172。5.1、NS—5GTNT/Route模式下的基本配置。.。.。。.。....。。.。。.。.。..。......。.。。。。.。。。..。.。.。.。....。...182.5。2、NS—25—208NT/Route模式下的基本配置...。。。..。。。...。。。。。...。。..。。...。。。。。..。。。。。。。。。。192。6、基于非向?qū)Х绞降耐该髂J较碌幕九渲?。.....。.。。。..。。。。。。。。。。。.。。.。..。。。。。。。。.。。。。。..。..。。。。。...。203、JUNIPE防火墻幾種常用功能的配置。....。.。。.。。.。。...。....。.。。.。。。.。。。。。.。。.。。.。.。。。..。.。.。.。。...。。....213.1、MIP配置。。。..。。。.。。.。.。.。.。。。。。。.。。..。。.。..。。。。.。....。.。。.....。..。。.。。。....。...。....。.。。....。。...。。...。。.213。1.1、使用eb瀏覽器方式配置MIP.。。。.。。.。.。。.。...。.。。。.。...。...。。.。.。..。..。。。。。。。。。。.。。.。。.。。.。..。。。。。.223.1。2、使用命令行方式配置MIP。。.。.。.。.。。。。。...。。..。.。.。。。。.。.。。。。.。。.。。......。.。...。..。.。.。..。.。。.。。.。。243.2、VIP配置。。。。。。..。。。。.......。.。....。。.。..。...。。。。。。。.。。...。。。..。...。。。。。。。。。。。..。.。。。。..。.。.。。..。..。...。.。。.。。243.2。1、使用eb瀏覽器方式配置VIP.。....。..。。..。..。...。.。。。。。.。.......。.。..。...。.。。.。.。..。。.。。。。。..。..253。2.2、使用命令行方式配置VIP。..。.。。.。.。..。...。.。。.。.。.。..。。.。....。。....。.。。。..。。..。...。..。.。。。.。。。263。3、DIP的配置.。.。。.。.。。。。.。。。.。。。。.。.。。。..。.。。。。...。.。..。...。....。.。。。。。。。。....。..。...。...。.。。。..。。.....。..。.。273.3.1、使用eb瀏覽器方式配置DIP...。...。.。.....。.。.。。。。。...。。.。.。。。。.....。。。...。。。。。。。。.。。。.273.3。2、使用命令行方式配置DIP.....。.。.。....。。。。。。。。。。..。...。。。....。。.。.。..。。。.。..。。。。.。....。.。.。。.。..。.294、JUNIPE防火墻IECVP的配置..。.。。。。。..。。。。..。。.。....。....。.。.。。.。。.。.。.。..。.。..。。...。。.。。。。。。..。。。.。。294.1、站點間IPSCVPN置:ACP—ACP。..。。.。。。...。。..。.。..。。。。.....。。...。.。.。。294.1.1、使用eb瀏覽器方式配置.。。.。...。。.。。.。。。..。.。。。。....。。。..。.。。。...。.。。。..........。。。..。。.。....。。..304.1。2、使用命令行方式配置。..。...。.。。.......。。。.。。。。。...。...。.。..。。。。。.。。。。.。。。。..。。....。..。...。.。...。.....344.2、站點間IPSCVPN置:ACP-DAMICP。.。。.。。.。。。..。。.....。。。。.。.。..。。。.。。..。.。。。。。364。2。1、使用eb瀏覽器方式配置。.。..。.。.。。.。。..。。。.。。.。。.。。...。.。。。.。。.。。...。。。。.。....。。。。。。...。。....。..。374.2。1、使用命令行方式配置.。...。。。。。...。。...。。...。.。.。....。。。。。。。...。。。。。。...。。。。。。。。。。。..。。。。..。..。...405、JUNIPE中低端防火墻的UTM功能配置。。..。。...。。...。..。..。。。.。.。.。...。。。。。。.。.。...。。。。。。...。.。。。.。。.。425.1、防病毒功能的設置..。。。.。......。。。..。。...。。....。。。。..。。。。.。。..。.。。。....。。.。。。..。。。。。.。。.。.。。.。。.。.....。.。。。.。435.1。1、ScanManager的設置.。。.....。。。。。..。。....。。....。.。.。.。。。。。。...。。。。.。。。。。。。。.。。..。。.。。.。.。。。。。435.1.2、Profile的設置..。。.。。。。。。.。..。。。.。...。。....。。.。..。。。。..。.。....。。..。.。.。.。。。。。。。.。....。。。.。.。.。。。..。。。。。...。。。。445.1。3、防病毒profile在安全策略中的引用..。.。。。.。。.。..。.。....。。.。.。.。。..。.。..。。.。.。.。。.。。.。。.。。..465。2、防垃圾郵件功能的設置.。。。。..。。。。。...。。。。。。..。...。。.。。。...。.....。....。。..。。..。...。。。..。。。。..。.。.。....。.。。...。。485.2.1、Actin設置。..。..。.。。。。.。.。。.。。。..。。。.。..。.........。.。。.。。。。....。.。。。.。。。...。.。。.。。。.。。。.。。..。。。495。2.2、WhiteList與BlckList的設置..。。..。.。。。.。。。...。。.。。。.。...。..。..。。。..。。。。。.。.。。.。。。。..。。。.。..。。。.495.2。3、防垃圾郵件功能的引用.。。。..。..。。..。.。..。。.。...。...。。...。.。.。。。。..。。。...。。。。.。.。..。。。..。.。。......515。3、WEB/URL過濾功能的設置。。...。。。。.。..。。.。。.。。。..。..。..。。.。...。。.。。..。。.。。.。...。。。.。。。。.。。。。。.。。。.....。.515.3。1、轉(zhuǎn)發(fā)URL過濾請求到外置URL過濾服務器。。.。。.。。.。.。.。。.。。.。。。...。。。....。。。。。。。.。。..。。。。。。。。。515。3.2、使用內(nèi)置的URL過濾引擎進行URL過濾..。。..。。。.。。。。..。..。...。。.。。.。.。。。。。。...。。。.。.。。...。.535。3。3、手動添加過濾項。...。。。..。。。。。。。..。.。。...。..。.。....。.。.。.。..。。。...。。...。。。。.。。....。..。..。。..。。。...。545。4、深層檢測功能的設置。。.。.。.。。。。。。。。..。。...。。.。。.。.。.。。.。。。。..。...。....。....。。.。。。..。..。。..。。。。。..。。。。.。.。..。。。。.585.4。1、設置DI攻擊特征庫自動更新.。。.。。.。.。。..。。。...。。。。。.。..。。.。。。。。。.。.。..。。..。。...。.。..。。.。.。..。.。.。....585。4.2、深層檢測(DI)的引用。。。...。.。.。.。。..。。..。.。..。.。..。.。.。。.。.。。。.。.。。...。...。。.。..。。。。。。。.。。。.。。.。。.。...596、JUNIPE防火墻的A(高可用性)配置。..。.。....。。。.。.。.。。.。..。。。。。。.。.。..。...。。.。。。。......。.。.616。1、使用WEB瀏覽器式配置。。。.。。.。。.。。...。。..。.。..。。。。。。。。。.....。。。.......。。。...。。。.。..。。。。。.........。.。.。..。。626。2、使用命令行方式配置.。。.。..。。。..。....。.。.。。。...。..。.。..。.。。。。。。.。.。..。。...。。.。。.....。。.。.。。。....。。.。。..。。.。。..。。647、JUNIPE防火墻一些實用工具。。..。.。。。。。.....。。。。。.....。。.。.。。。。...。。.。。.。。..。...。。。.。..。...。..。。...。。.。。。.。657。1、防火墻配置文件的導出和導入..。.。。...。..。....。.。.。..。..。。。.....。。。.。。。。。。.。。。.。。.。。...。。..。。.。。..657。1。1、配置文件的導出.。..。.。.。。。.。...。.。..。。...。。。。.。。.。.。。..。。。。。.。..。.。。.。。..。。。。。。。。.。..。。。。。.。。。。.。.。。。。。667.1。2、配置文件的導入.。..。..。....。。...。。。。.。..。..。.。.。。。.。.。.。.。。。。。......。。。。。。。.。...。.。....。。..。.。。。...。。。。667。2、防火墻軟件(SRENOS)更新。。。。。...。.。....。.。。。..。。....。.。.....。.。.。。。...。..。。。。。。。。。。.。。..。.。。。。..。.677.3、防火墻恢復密碼及出廠配置的方法.。.。。.。.。。.。.。。..。。。。。.。。。.。。。。。....。.。.。....。...。。...。。.。.。。..。......688、JUNIPE防火墻的一些概念.....。。。.。。...。..。。。..。。...。.。。...。。。..。...。。。.。。。。.。。。.。.....。.。。。.。.。.。。。.。..。。。68關于本手冊的使用:①本手冊更多的從實際使用的角度去編寫,如果涉及到的一些概念上的東西表述不夠透徹、清晰,請使用者自行去找一些資料查證;②本手冊在編寫的過程中對需要使用者特別注的地方,都有“注”標識,請大家仔細閱讀相關內(nèi)容;對于粗體、紅、藍色標注的地方也需要多注意;③本著技術共享的原則,我們編寫了該手冊,希望對在銷售、使用Juniper防火墻的相應技術人員有所幫助,大家在使用過程中有任何建議可反饋到:chuang_li@synnex.com。hk;HYPERLINKmailto:jiajun_xiong@synnex.com。hkjiajun_xiong@synnex。com.hk;④本手冊歸“聯(lián)強國際(香港)有限公司”所有,嚴禁盜版。1、前言我們制作本安裝手冊的目的是使初次接觸Juniper網(wǎng)絡安全防火墻設(在本安裝手冊中簡稱為“Junier防火墻)的工程技術人員,可以通過此安裝手冊完成對Juniper防火墻基本功能的實現(xiàn)和應用。1。1、Juniper防火墻配置概述Juniper防火墻作為專業(yè)的網(wǎng)絡安全設備,可以支持各種復雜網(wǎng)絡環(huán)境中的網(wǎng)絡安全應用需求但是由部署模式及功能的多樣性使得Juniper防火墻在實際部署時具有一定的復雜性。在配置Juniper防火墻之前我們通常需要先了解用戶現(xiàn)有網(wǎng)絡的規(guī)劃情況和用戶對防火墻配置及實現(xiàn)功能的諸多要求,建議參照以下思路和步驟對Juniper防火墻進行配置和管理?;九渲茫?.?確認防火墻的部署模式:NT模式、路由模式、或者透明模式;2。?為防火墻的端口配置IP地址(包括防火墻的管理IP地,配置路由信息;3.?配置訪問控制策略,完成基本配置.其它配置:1.?配置基于端口和基于地址的映射;2。?配置基于策略的VPN;3。 修改防火墻默認的用戶名、密碼以及管理端口。1.2、Juniper防火墻管理配置的基本信息Juniper防火墻常用管理方式:①通過eb瀏覽器方式管理.推薦使用IE瀏覽進行登錄管理,需要知道防火墻對應端口的管理P地址;②命令行方式.支持通過Console端口超級終端連接和elnt防火墻管理IP地址連接兩種命令行登錄管理模式。Juniper防火墻缺省管理端口和IP地址:①Juniper防火墻出廠時可通過缺省設置的IP地使用elnet或者eb方式管理缺省IP地址為:92。168。1。1/255。255.255.0;②缺省IP地通常設置在防火墻的rust端口(S—5GT最小端口編號的物理端口上(NS—25/50/204/208/SSG 系列)、或者專用的管理端口上(ISG—1000/2000,NS-5200/5400.Juniper防火墻缺省登錄管理賬號:①用戶名:nescreen;②密碼:nescreen。1。3、Juniper防火墻的常用功能在一般情況下防火墻設備的常用功能包括透明模式的部署NT路由模式的部署NT的應用、MIP的應用、DIP的應用VIP的應、基于策略VPN的應用。本安裝手冊將分別對以上防火墻的配置及功能的實現(xiàn)加以說明。注:在對P/DIPVIP等Juniper防火墻的一些基本概念不甚了解的情況下,請先到本手冊最后一章節(jié)內(nèi)容查看了解!2、Juniper防火墻三種部署模式及基本配置Juniper防火墻在實際的部署過程中主要有三種模式可供選擇,這三種模式分別是:①基于TCP/IP協(xié)議三層的NT模式;②基于TCP/IP協(xié)議三層的路由模式;③基于二層協(xié)議的透明模式。2。1、T模式當Juniper防火墻入口接“內(nèi)網(wǎng)端口處于NAT模式時防火墻將通往Untrust(外網(wǎng)或者公網(wǎng))的IP數(shù)包包頭中的兩個組件進行轉(zhuǎn)換:源P地址和端口號。防火墻使用Untrust區(qū)(外網(wǎng)或者公網(wǎng))接口的P地址替始發(fā)端主機的源IP址;同時使用由防火墻生成的任意端口號替換源端口號。NT模式應用的環(huán)境特征:①注冊IP地(公網(wǎng)P地址)的數(shù)不足;②內(nèi)部網(wǎng)絡使用大量的非注冊IP地(私網(wǎng)P地址)需要法訪問Internet;③內(nèi)部網(wǎng)絡中有需要外顯并對外提供服務的服務器。2.2、Route-路由模式當Juniper防火墻接口配置為路由模式時防火墻在不同安全區(qū)(例如Trust/Utrust/MZ)轉(zhuǎn)發(fā)信息流時IP數(shù)據(jù)包頭中的源地址和端口號保持不變(除非明確采用了地址翻譯策略)。①與NAT模式下不同,防火墻接口都處于路由模式時,防火墻不會自動實施地址翻譯;②與透明模式下不同,當防火墻接口都處于路由模式時,其所有接口都處于不同的子網(wǎng)中。路由模式應用的環(huán)境特征:①防火墻完全在內(nèi)網(wǎng)中部署應用;②NT模式下的所有環(huán)境;第第頁共70頁HYPERLINK/juniper/index.asp/juniper/index.asp③需要復雜的地址翻譯。2.3、透明模式當Juniper防火墻接口處“透明模式時防火墻將過濾通過的IP據(jù)包但不會修改IP數(shù)據(jù)包包頭中的任何信息。防火墻的作用更像是處于同一VLA的2層交換機或者橋接器,防火墻對于用戶來說是透明的。透明模式是一種保護內(nèi)部網(wǎng)絡從不可信源接收信息流的方便手段。使用透明模式有以下優(yōu)點:①不需要修改現(xiàn)有網(wǎng)絡規(guī)劃及配置;②不需要實施地址翻譯;③可以允許動態(tài)路由協(xié)議、Vlantrunking的數(shù)據(jù)包通過。2。4、基于向?qū)Х绞降模危?Route模式下的基本配置Juniper防火墻NT和路由模式的配置可以在防火墻保持出廠配置啟動后通過eb瀏覽器配置向?qū)瓿?。注要啟動配置向?qū)t必須保證防火墻設備處于出廠狀態(tài)例如新的從未被調(diào)試過的設備,或者經(jīng)過命令行恢復為出廠狀態(tài)的防火墻設備.通過eb瀏覽器登錄處于出廠狀態(tài)的防火墻時,防火墻的缺省管理參數(shù)如下:①缺省I:192.168.1.1/255。255.255.0;②缺省用戶名密碼:nescreen/nescreen;注缺省管理IP地址所在端口參見在前言部份講述“Juniper防火墻缺省管理端口和IP地址”中查找!在配置向?qū)崿F(xiàn)防火墻應用的同時我們先虛擬一個防火墻設備的部署環(huán)境之后根據(jù)這個環(huán)境對防火墻設備進行配置。防火墻配置規(guī)劃:①防火墻部署在網(wǎng)絡的Internet出口位置,內(nèi)部網(wǎng)絡使用的P地址為192。168。1.0/255。255.255.0所在的網(wǎng)段,內(nèi)部網(wǎng)絡計算機的網(wǎng)關地址為防火墻內(nèi)網(wǎng)端口的IP地:192。168.1。1;②防火墻外網(wǎng)接口IP地(通常情況下為公網(wǎng)IP地址,在這里我們使用私網(wǎng)IP地模擬公網(wǎng)IP址)為:10.10。10.1/255.255.255。0,網(wǎng)關地址為:10.10.10。251要求:實現(xiàn)內(nèi)部訪問Internet的應用。注在進行防火墻設備配置前要求正確連接防火墻的物理鏈路調(diào)試用的計算機連接到防火墻的內(nèi)網(wǎng)端口上。1.?通過IE或與IE兼容的覽(推薦應用微軟IE瀏覽器使用防火墻缺省IP地址錄防火(建議保持登錄防火墻的計算機與防火墻對應接口處于相同網(wǎng)段直接相連。2。?使用缺省IP登錄之后,出現(xiàn)安裝向?qū)В鹤τ谑煜uniper防火墻配置的工程師可以跳過該配置向?qū)е苯狱c選NoskipthewizardandgostraighttotheebUImanagementsessioninstead,之后選擇t,直接登錄防火墻設備的管理界面。3。 使用向?qū)渲梅阑饓?請直接選擇:t,彈出下面的界面:4。?“歡迎使用配置向?qū)г龠x擇t。注進入登錄用戶名和密碼的修改頁面Juniper防火墻的登錄用戶名和密碼是可以更改的,這個用戶名和密碼的界面修改的是防火墻設備上的根用戶這個用戶對于防火墻設備來說具有最高的權限,需要認真考慮和仔細配置,保存好修改后的用戶名和密碼。5。?在完成防火墻的登錄用戶名和密碼的設置之后出現(xiàn)了一個比較關鍵的選擇這個選擇決定了防火墻設備是工作在路由模式還是工作在NT模:?選擇EnableNT,則防火墻工作在NT模式;?不選擇EnableNT,則防火墻工作在路由模式.6.?防火墻設備工作模式選擇選擇ust—UntrustMode模式這種模式是應用最多的模式,防火墻可以被看作是只有一進一出的部署模式.注NS—5GT防火墻作為低端設備了能夠增加低端產(chǎn)品應用的多樣性Juniper在NS-5GT的OS中立開發(fā)了幾種不同的模式應用于不同的環(huán)境目前除NS-5GT以外Juniper其他系列防火墻不存在另外兩種模式的選擇。7。?完成了模式選擇點“t進行防火墻外網(wǎng)端口IP配外網(wǎng)端口P配置有個選項分別是DHCP自動獲取IP址通過PPoE撥號得IP地手工設置靜態(tài)IP地址,配置子網(wǎng)掩碼和網(wǎng)關IP地址。在這里,我們選擇的是使用靜態(tài)IP地址的方式,配置外網(wǎng)端口IP地址為:10.10.10。1/255.255.255.0,網(wǎng)關地址為:10.10.10.251.8. 完成外網(wǎng)端口的IP地配置之后,點擊“t”進行防火墻內(nèi)網(wǎng)端口P配置:9.?在完成了上述的配置之后,防火墻的基本配置就完成了,點擊“t”進行DHCP服務器配置。注:DHCP服務器配置在需要防火墻在網(wǎng)絡中充當DHCP服務器的時候才需要配置。否則請選擇“NO”跳過。注上面的頁面信息顯示的是在防火墻設備上配置實現(xiàn)一個DHCP服務器功能由防火墻設備給內(nèi)部計算機用戶自動分配IP址,分配的地址段為:192.168.1.100—192。168.1.150一共51個IP址在分配I地址的同時防火墻設備也給計算機用戶分配了DNS服務器地址,DNS用于對域名進行解析,如:將HYPERLINKhttp://www.sina。com.cn%E8%A7%A3%E6%9E%90%E4%B8%BAip/WW.SINA。COM.CN解析為IP地址:202。108。33.32。如果計算機不能獲得或設置DNS服務器地址,無法訪問互聯(lián)網(wǎng)。10。完成DHCP服務器選項設置,點擊“t"會彈出之前設置的匯總信息:11。確認配置沒有問題,點擊“t”會彈出提示“Finis”配置對話框:在該界面中,點選:Finish之后,該eb頁面會被關閉,配置完成。此時防火墻對來自內(nèi)網(wǎng)到外網(wǎng)的訪問啟用基于端口地址的NT,同時防火墻設備會自動在策略列表部分生成一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略:?策略策略方向由rust到Untrust源地址ANY目標地址ANY網(wǎng)絡服務內(nèi)容:ANY;?策略作用:允許來自內(nèi)網(wǎng)的任意IP地址穿過防火墻訪問外網(wǎng)的任意地址。重新開啟一個IE頁面,并在地址欄中輸入防火墻的內(nèi)網(wǎng)端口地址,確定后,出現(xiàn)下圖中的登錄界面輸入正確的用戶名和密碼登錄到防火墻之后可以對防火墻的現(xiàn)有配置進行修改??偨Y:上述就是使用eb瀏覽器通過配置向?qū)瓿傻姆阑饓T或路由模式的應用通過配置向?qū)?,可以在不熟悉防火墻設備的情況下,配置簡單環(huán)境的防火墻應用。2.5、基于非向?qū)Х绞降腘T/Route模式下的基本配置基于非向?qū)Х绞降腘T和Route模式的配置建議首先使用命令行開始最好通過控制臺的方式連接防火墻,這個管理方式不受接口IP址的影響。注在設備缺省的情況下防火墻的信任(rustZone所在的端口是工作在NT模式的,其它安全區(qū)所在的端口是工作在路由模式的?;诿钚蟹绞降姆阑饓υO備部署的配置如下(網(wǎng)絡環(huán)境同上一章節(jié)所講述的環(huán)境:2。5.1、NS—5GTNT/Route模式下的基本配置注:NS—5GT設備的物理接口名稱叫做trust和untrust;缺省Zone包括:trust和untrust,請注意和接口區(qū)分開。①Unsetinterfacetrustip清除防火墻內(nèi)網(wǎng)端口的P地址;②Setinterfacetrustzonetrust(將內(nèi)端口分配到trustzone;③Setinterfacetrustip192.168。1。1/2(設置內(nèi)網(wǎng)端口的IP地必須先定義zone后再定義IP地址;④Setinterfaceuntrustzoneuntrus(將外網(wǎng)口分配到untrustzn;⑤Setinterfaceuntrustip10.10.10.1/24(設置外網(wǎng)口的IP地;⑥Setroute0。0.0.0/0interfaceuntrustgateway10。10.10。25(設置防火墻對外的缺省路由網(wǎng)關地址;④ ④ Setinterfaceethernet3zoneuntrus(將ethernet3端口分配到untrustzone;第19頁共70頁HYPERLINK/juniper/index.asp/juniper/index.asp⑦Setpolicyfromtrusttountrustanyanyanypermitlo(定義一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略策略的方向是由zonetrust到zoneuntrust,源址為any目標地址為:any,網(wǎng)絡服務為:an,策略動作為:permit允許,log:開啟日志記錄;⑧Save(保存上述的配置文件。2。5。2、NS-25-208NT/Route模式下的基本配置①Unsetinterfaceethernet1ip(清除防火墻內(nèi)網(wǎng)口缺省IP地;②Setinterfaceethernet1zonetrust(將ethernet1端口分配到trustzone;③Setinterfaceethernet1ip192。168。1.1/24(定義ethernet1端口的IP地;第第20頁共70頁HYPERLINK/juniper/index.asp/juniper/index.asp⑤Setinterfaceethernet3ip10.10.10。1/24(定義ethernet3端口的IP地址;⑥Setroute0.0。0。0/0interfaceethernet3gateway10.10.10.25(定義防火墻對外的缺省路由網(wǎng)關;⑦Setpolicyfromtrusttountrustanyanyanypermitlo(定義由內(nèi)網(wǎng)到外網(wǎng)的訪問控制策略;⑧Save(保存上述的配置文件)注上述是在命令行的方式上實現(xiàn)的NT模式的配置因為防火墻出廠時在內(nèi)網(wǎng)端(trustzone所屬的端口上啟用了NT所以一般不用特別設置但是其它的端口則工作在路由模式下,例如:untrust和DMZ區(qū)的端口.如果需要將端口從路由模式修改為NT模式,則可以按照如下的命令行進行修改:①Setinterfaceethernet2NT(設置口2為NT模式)②Save總結:①NT/Route模式做防火墻部署的主要模式,通常是在一臺防火墻上兩種模式混合進行(除非防火墻完全是在內(nèi)網(wǎng)應用部署不需要做N地址轉(zhuǎn)換這種情況下防火墻所有端口都處于Route模式,防火墻首先作為一臺路由器進行部署;②關于配置舉例NS—5GT由于設備設計上的特殊性因此專門列舉加以說明Juniper在2006年全新推出的SG系列防火墻除了端口命名不一樣和NS—25等設備管理配置方式一樣。2。6、基于非向?qū)Х绞降耐该髂J较碌幕九渲脤崿F(xiàn)透明模式配置建議采用命令行的方式,因為采用eb的方式實現(xiàn)時相對命令行的方式麻煩通過控制臺連接防火墻的控制口登錄命令行管理界面通過如下命令及步驟進行二層透明模式的配置:①Unsetinterfaceethernet1ip(將以太網(wǎng)1端口上的默認IP址刪除;第第頁共70頁HYPERLINK/juniper/index.asp/juniper/index.asp②Setinterfaceethernet1zonev1—trst(將以太網(wǎng)1端口分配到v1—trustzone:基于二層的安全區(qū),端口設置為該安全區(qū)后,則端口工作在二層模式,并且不能在該端口上配置IP地;③Setinterfaceethernet2zonev1—dmz(將以太網(wǎng)2端口分配到v1-dmzzon;④Setinterfaceethernet3zonev1—untrust(將以太網(wǎng)3端口分配到v1-untrustzone;⑤Setinterfacevlan1ip192。168.1.1/24(設置VLAN1的IP地址為:192。168.1。1/255.255。255。0,該地址作為防火墻管理IP地址用;⑥Setpolicyfromv1—trusttov1—untrustanyayayprmitlog(設置一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略;⑦Save(保存當前的配置;總結:①帶有V1—字樣的zone為基于透明模式的安全區(qū),在進行透明模式的應用時,至少要保證兩個端口的安全區(qū)工作在二層模式;②雖然Juniper防火墻可以在某些特殊版本工作在混合模式(二層模式和三層模式的混合應用是通常情況下建議盡量使防火墻工作在一種模式(三層模式可以混用:NT和路由.3、Juniper防火墻幾種常用功能的配置這里講述的Juniper防火墻的幾種常用功能主要是指基于策略的NT實現(xiàn),包括:MIP、VIP和P這三種常用功能主要應用于防火墻所保護服務器提供對外服務。3。1、MI的配置MIP是“對一"的雙向地址翻譯(轉(zhuǎn)換)過程.通常的情況是:當你有若干個公網(wǎng)IP地址又存在若干的對外提供網(wǎng)絡服務的服務(服務器使用私有IP址為了實現(xiàn)互聯(lián)網(wǎng)用戶訪問這些服務器可在Internet出口的防火墻上建立公網(wǎng)IP地址服務器私有P地址之間的一對一映射(MI,并通過略實現(xiàn)對服務器所提供服務進行訪問控制。MIP應用網(wǎng)絡拓撲圖:注:MIP配置在防火墻的外網(wǎng)端口(連接Internet的端口。3.1。1、使用eb瀏覽器方式配置MIP①登錄防火墻,將防火墻部署為三層模式(NT或路由模式;②定義MIPNetwork=〉Interface=>ethernet2=>MIP置實現(xiàn)MIP的地址映射MappedIP:公網(wǎng)P地址,HostIP:內(nèi)網(wǎng)服務器IP地址③定義策略:在POLICY中,配置由外到內(nèi)的訪問控制策略,以此允許來自外部網(wǎng)絡對內(nèi)部網(wǎng)絡服務器應用的訪問。3。1。2、使用命令行方式配置IP①配置接口參數(shù)setinterfaceethernet1zonetrustsetinterfaceethernet1ip10。1。1。1/24setinterfaceethernet1natsetinterfaceethernet2zoneuntrustsetinterfaceethernet2ip1。1.1。1/24②定義MIPsetinterfaceethernet2mip1.1。1。5host10.1.1.5netmask255.255。255.255vroutertrust-r③定義策略setpolicyfrmuntrusttorustanymip(1。1。1。5)httppermitsae3.2、VI的配置MIP是一公網(wǎng)IP地對應一個私有IP地址是一對一的映射關系;而VIP是個公網(wǎng)IP地址的同端(協(xié)議端口如212510等與內(nèi)部多個私有IP地址的不同服務端口的映射關系通常應用在只有很少的公網(wǎng)IP地址卻擁有多個私有P地址的務器并且,這些服務器是需要對外提供各種服務的.VIP應用拓撲圖:注:VP配置在防火墻的外網(wǎng)連接端口上(連接Internet的端口。3.2。1、使用eb瀏覽器方式配置VIP①登錄防火墻,配置防火墻為三層部署模式。②添加VIP:etwork=〉Interface=〉ethernet8=〉VIP③添加與該VI公網(wǎng)地址相關的訪問控制策略。3。2.2、使用命令行方式配置VIP①配置接口參數(shù)setinterfaceethernet1zonetrustsetinterfaceethernet1ip10.1。1。1/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip1.1.1。1/24②定義VIPsetinterfaceethernet3vip1.1。1.1080http10.1。1.10③定義策略setpolicyfrmuntrusttotrustanyvip(1。1。1。10)httppermitsae注:VP的地址可以利用防火墻設備的外網(wǎng)端口地址實現(xiàn)(限于低端設備.3.3、DIP的配置DIP的應用一般是在內(nèi)網(wǎng)對外網(wǎng)的訪問方面。當防火墻內(nèi)網(wǎng)端口部署在NT模式下,通過防火墻由內(nèi)網(wǎng)對外網(wǎng)的訪問會自動轉(zhuǎn)換為防火墻設備的外網(wǎng)端口IP址并實現(xiàn)對外(互聯(lián)網(wǎng)的訪問這種應用存在一定的局限性解決這種局限性的辦法就是DIP內(nèi)部網(wǎng)絡IP地址外訪問時,動態(tài)轉(zhuǎn)換為一個連續(xù)的公網(wǎng)IP地址中的IP地.DIP應用網(wǎng)絡拓撲圖:3。3。1、使用eb瀏覽器方式配置DIP①登錄防火墻設備,配置防火墻為三層部署模式;②定義DIPNetwork=〉Interface=〉ethernet3=〉DIP在定義了公網(wǎng)IP地址的untrust端口定義IP地池;③定義策略:定義由內(nèi)到外的訪問策略,在策略的高級(ADV)部分NT的相關內(nèi)容中,啟用源地址NT并在下拉菜單中選擇剛剛定義好的DIP地址池保存策略完成配置;策略配置完成之后擁有內(nèi)部IP地址的網(wǎng)絡設備在訪問互聯(lián)網(wǎng)時會自動從該地址池中選擇一個公網(wǎng)IP址進行NT。3.3。2、使用命令行方式配置DIP①配置接口參數(shù)setinterfaceethernet1zonetrustsetinterfaceethernet1ip10。1.1.1/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip1。1.1。1/24②定義DIPsetinterfaceethernet3dip51.1。1.301。1.1.30③定義策略setpolicyfrmtrusttounrustanyanyhttpnatsrcdip-id5permitsae4、Juniper防火墻IPSecVP的配置Juniper所有系列防火(除部分早期型號外都支持IPScVP其置方式有多種包括基于策略的VPN基于路由的VPN集中星形VPN背靠背VPN等在這里我們主要介紹最常用的VPN模式:基于策略的VPN。站點(Site—to—Sit的VPN是ISecVPN的型應用這里我們介紹兩種站點間基于策略VPN的實現(xiàn)方式:站點兩端都具備靜態(tài)公網(wǎng)P地址;站點兩端其中一端具備靜態(tài)公網(wǎng)IP地址,另一端動態(tài)公網(wǎng)IP地址。4.1、站點間IPSecVPN配置:saicip—t-saicip當創(chuàng)建站點兩端都具備靜態(tài)IP的PN應用中位于兩端的防火墻上的VPN配置本相同,不同之處是在VPNgat(yī)eway部分的VPN網(wǎng)關指向IP不同其它部分相同。VPN組網(wǎng)拓撲圖:saicip—to—saicip4。1。1、使用eb瀏覽器方式配置①登錄防火墻設備,配置防火墻為三層部署模式;②定義VPN一階段的相關配置:VPNs=>AutokeyAdwanced=〉Gateway配置VPNgateway部分定義VPN網(wǎng)關名稱定“對端VPN設備的公網(wǎng)IP地”為本地VPN設備的網(wǎng)關地址、定義預共享密鑰、選擇發(fā)起VPN服務的物理端口;③在VPNgateway的高級(Advanced)部分,定義相關的VN隧道協(xié)商的加密算法、選擇VPN發(fā)起模式;④配置VPN一階段完成顯示列表如下圖;⑤定義VPN二階段的相關配置:VPNs=>AutokeyIKE在AutokeyKE部分,擇第一階段的VPN配;⑥在VPN第階段高級(Advances)部分,選擇VN的加密算法;⑦配置VPN二階段完成顯示列表如下圖;⑧定義VPN略選擇地址和服務信息策略動作選擇為隧道模式VPN隧道選擇為:剛剛定義的隧道,選擇自動設置為雙向策略;4.1。2、使用命令行方式配置CLI(東京)①配置接口參數(shù)setinterfaceethernet1zonetrustsetinterfaceethernet1ip10.1。1.1/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip1。1.1。1/24②定義路由setvroutertrust—vrroute0。0.0.0/0interfaceethernet3gat(yī)eway1.1.1。250③定義地址setaddresstrustTrust_LAN10.1。1.0/24setaddressuntrustparis_office10。2.2。0/24④定義IPSecPNsetikegatewayto_parisaddress2.2。2。2mainoutgoing-interfaceethernet3preshareh1p8A24nG5proposalpre-g2—3des-shasetvpntokyo_parisgatewayto_parissec—levelcompatible⑤定義策略setpolicytopname”To/FromParis"frmtrusttountrustTrust_LANparis_officeanytunnelvpntokyo_parissetpolicytopname"To/FromParis"frmuntrusttotrustparis_officeTrust_LANanytunnelvpntokyo_parissaeCLI(巴黎)①定義接口參數(shù)setinterfaceethernet1zonetrustsetinterfaceethernet1ip10。2.2.1/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3ip2。2.2.2/24②定義路由setvroutertrust-vrroute0.0.0.0/0interfaceethernet3gateway2.2。2.250③定義地址setaddresstrustTrust_LAN10.2。2。0/24setaddressuntrusttokyo_office10。1.1.0/24④定義IPSecPNsetikegatewayto_tokyoaddress1.1.1.1mainoutgoing-interfaceethernet3preshareh1p8A24nG5proposalpre-g2—3des—shasetvpnparis_tokyogatewayo_tokyosec-levelcompatible⑤定義策略setpolicytopname"To/FromTokyo"fromtrusttountrustTrustLANtoko_officeanytunnelvpnparis_tokyosetpolicytopname"To/FromTokyo”fromuntrusttotrusttoko_officeTrut_LANanytunnelvpnparis_tokyosae4。2、站點間IPSecVPN配置:saicip—to-dynamicip在站點間ISecPN應用中,有一種特殊的應用,即在站點兩端的設備中,一端擁有靜態(tài)的公網(wǎng)IP址,而另外一端只有動態(tài)的公網(wǎng)IP地址,以下講述的案例是在這種情況下,Juniper防火墻如何建立PSecPN隧道?;驹瓌t:在這種IPScVPN組應用中擁有靜態(tài)公網(wǎng)IP地址的一端作為被訪問端出現(xiàn)擁有動態(tài)公網(wǎng)IP地的一端作為VPN隧道協(xié)商的發(fā)起端。和站點兩端都具備靜態(tài)P地址的置的不同之處在于VPN第一階段的相關配置在主動發(fā)起(只有動態(tài)公網(wǎng)IP址一端需要指定VPN關地址需配置一個本地配置VPN發(fā)起模式為主動模式在站點另外一(擁有靜態(tài)公網(wǎng)IP地址一端需要指定VN網(wǎng)關地址為對端設備的ID息,不需要配置本地ID,其它部分相同。IPSecVPN組網(wǎng)拓撲圖:saicip-to—dynamicip4。2。1、使用eb瀏覽器方式配置①VPN第一階段的配置:動態(tài)公網(wǎng)IP地址端。VPN的發(fā)起必須由本端開始動態(tài)地址端可以確定對端防火墻的IP地址因此在VN階段一的配置中需指定對端PN設備的靜態(tài)P地址同時在本端設置一個LoclID,提供給對端作為識別信息使用。②VPN第一階段的高級配置:動態(tài)公網(wǎng)IP地址。在VPN階段一的高級配置中動態(tài)公網(wǎng)IP一端的VPN的發(fā)起模式應該配置為:主動模式(Aggrssie)③VPN第一階段的配置:靜態(tài)公網(wǎng)IP地址端。在擁有靜態(tài)公網(wǎng)IP地址的防火墻一端,在PN階段一的配置中,需要按照如下圖所示的配置“RemoteGatwaype”應該選擇“DnamicIPAddress,同時設置PeerI(和在動態(tài)P地址一端設置的LocalID相同。④VPN第二階段配置,和在”satcip-to—saticip模式下相同。⑤VPN的訪問控制策略,和在”satici-to—saticip模式下相同。4。2。1、使用命令行方式配置CLI(設備—A)①定義接口參數(shù)setinterfaceethernet1zonetrustsetinterfaceethernet1ip10。1.1.1/24setinterfaceethernet1natsetinterfaceethernet3zoneuntrustsetinterfaceethernet3dhcpclientsetinterfaceethernet3dhcpclientsettingsserver1.1.1。5②定義路由setvroutertrust—vrroute00。0.0/0interfaceethernt3③定義用戶setuserpmasonpasswordNd4syst4④定義地址setaddresstrust"trusednetwork”10.1.1.0/24setaddressuntrust"mailserver”3.3.3.5/32⑤定義服務setserviceientprotocoltcpsrc-port-65535dst—port113-113setgroupserviceremote_mailsetgroupserviceremote_mailaddhttpsetgroupserviceremote_mailaddftpsetgroupserviceremote_mailaddtelnetsetgroupserviceremote_mailaddidentsetgroupserviceremote_mailaddmailsetgroupserviceremote_mailaddpop3⑥定義VPNsetikegat(yī)ewayto_mailaddress2。2.22aggressivelocal—idHYPERLINKmailto:pmason@apmason@abc.cmoutgoing—interfaceethernet3preshareh1p8A24nG5proposalpre—g2-3des—shasetvpnbranch_corpgateayto_mailsec-levelcompat(yī)ible⑦定義策略setpolicytopfromtrusttountrust"rustednetwork”"mailserver”remote_mailtunnelvpnbranch_corpauthserverLocaluserpmasonsetpolicytopfromuntrusttotrust"ailserver”"trustednetwork”remote_mailtunnelvpnbranch_corpsaeCLI(設備-B)①定義接口參數(shù)setinterfaceethernet2zonedmzsetinterfaceethernet2ip3.3。3。3/24setinterfaceethernet3zoneuntrustsetinterfaceethernet3ip2。2.2.2/24②路由setvroutertrust-vrroute0.0.0.0/0interfaceethernet3gat(yī)eway2.2.2。250③定義地址setaddressdmz”mailserver”3.3.3。5/32setaddressuntrust"branchoffice”10.1.1。0/24④定義服務setserviceientprotocoltcpsrc-port-65535dst—port113-113setgroupserviceremote_mailsetgroupserviceremote_mailaddidentsetgroupserviceremote_mailaddmailsetgroupserviceremote_mailaddpop3⑤定義VPNsetikegatewayto_branchdynamicHYPERLINKmailto:pmason@abc.compmason@abc。comaggressiveoutgoing—interfaceethernet3preshareh1p8A24nG5proposalpre-g2—3des-shasetvpncorp_branchgat(yī)eayto_brnchtunnelsec—levelcompatible⑥定義策略setpolicytopfromdmztountrust”milserver"”branchoffice"remote_mailtunnelvpncorp_branchsetpolicytopfromuntrusttodmz”banchoffice"”mailserver”remote_mailtunnelvpncorp_branchsae5、Juniper中低端防火墻的UTM功能配置Juniper中低端防火墻(目前主要以SSG系列火墻為參考)支持非常廣泛的攻擊防護及內(nèi)容安全功能主要包括防病(Anti—irus垃圾郵(Anti-amURL過(ULfiltering)以及深層檢測/入侵防御(DeepInspection/IPS.注:上述的安全/防護功能集成在防火墻的ScreenOS操作系統(tǒng)中,但是必須通過license(許可激活后方可使(并會在激活一段時(通常是1年后過期當然在使用這些功能的時候,我們還需要設定好防火墻的時鐘以及DNS服務器地址。當防火墻激活了相應的安全/防護功能以后通過ebUI可以發(fā)現(xiàn)Sceening條目下會增加相應的功能條目,如下圖:5.1、防病毒功能的設置Juniper防火墻的防病毒引擎(從SceenOS5.3開始內(nèi)嵌Kaspersky的防病毒引擎)可以針對HTTP、FTP、PP3、IMAP以及SMTP等協(xié)議進行工作。5.1.1、ScanManager的設置?“PatternUdateServer項中的URL地址為Juniper防火墻病毒特征庫的官方下載網(wǎng)址(當系統(tǒng)激活了防病毒功能后,該網(wǎng)址會自動出現(xiàn)。?“AutoPatternUdate”項允許防火墻自動更新病毒特征庫;后面的“Interval”項可以指定自動更新的頻率。?“UdateNw”項可執(zhí)行手動的病毒特征庫升級。?“Drop/BassfileifissizeexceedsKB”項用來控制可掃表/傳輸?shù)奈募笮 癉rop項會在超過限額后扔掉文件而不做掃描“Bass項則會放行文件而不做掃描。?“Drop//Bassfileifthenumberofconcurrentfilesexceedsfiles”項用控制同時掃描/傳輸?shù)奈募?shù)量“Drop”項會在超過限額后,扔掉文件而不做掃描;“Bass”項則會放行文件而不做掃描。5.1.2、Profil的設置通過設置不同的Profile,我們可以對不同的安全策略(Policy)采用不同的防病毒操作(Juniper防火墻的防病毒引用是基于安全策略的;也就是說我們的防病毒設置是通過在特定的策略中引入特定的Profile來實現(xiàn)的,而實現(xiàn)高粒度化地防病毒控制,將防病毒對系統(tǒng)資源的消耗降到最低。ns—profile是系統(tǒng)自帶的profile用戶不需要做任何設置就可以在安全策略里直接引用它。除此之外,用戶可以根據(jù)自己的需求來設置適合自身需求的profile。Profile方面的設置包括對FTPHTTP、IMP、POP3及SMTP等5個協(xié)議的內(nèi)容,見下圖。Enable選項每個特定的協(xié)議類型都有一個Enable選項選擇之則防病毒引擎會檢查與這個協(xié)議相關的流量;反之,則不會檢查.ScanMode的設置ScanMode有三個選擇項:ScanAl、ScanIntelligent、ScanByExtension.ScanAll對于流量,檢查所有已知的特征碼。ScanIntellgen:對于流量,檢查比較常見的特征碼。ScanByExtension僅針對特定的文件擴展名類型進行檢查如果選擇該類型則須要事先設定好Ext—List(設置文件擴展名的類型)與Include/ExcludeExtensionList。DecompressLaer的設置為了減少傳輸?shù)臅r間很多文件在傳輸過程中都會被壓縮DecompressLaer就是用來設置防病毒引擎掃描壓縮文件的層數(shù).防病毒引擎最多可以支持對4層壓縮文件的掃描。Skipmmenable的設置對于HTTP協(xié)議,可以進行SkipmimeEnable的設置。打開該功能,則防病毒引擎不掃描MimeList中包括的文件類型(系統(tǒng)默認打開該功能,并匹配默認的MimeList:ns-skip-mime-list。EmailNotify的設置對于IMAPPOP3、SMP等email議,可以記性EmailNortify的設置打開該功能,可以在發(fā)現(xiàn)病毒/異常后,發(fā)送email來通知用戶(病毒發(fā)送者/郵件發(fā)送方/郵件接收方.5。1。3、防病毒profile在安全策略中的引用我們前面已經(jīng)提到過防病毒的實現(xiàn)是通過在特定安全策略中應用profile來實現(xiàn)比如,我們在名為p—scan的策略中引用av1的防病毒profile。①首先建立了名為1的profile,并enableFTP協(xié)議的掃描;由于我僅希望檢測的是FTP應用,故關閉對其他協(xié)議的掃描。見下圖:②設置tp—scn安全策略,并引用profileav。③引用了profile進行病毒掃描的策略,在action會有相應的圖標出現(xiàn)。5。2、防垃圾郵件功能的設置Juniper防火墻內(nèi)嵌的防垃圾郵件引擎,可以幫助企業(yè)用戶來減輕收到垃圾郵件的困擾。Juniper的防垃圾郵件功能主要是通過公共防垃圾郵件服務器來實現(xiàn)的。公共的防垃圾郵件服務器會實時地更新防垃圾郵件的庫,做到最大范圍、最小誤判的防垃圾功能.到ScreenOS5。4為止,ur的防垃圾郵件引擎只支持SMTP協(xié)議。Juniper防垃圾郵件通過兩種方式來檢測垃圾郵件:1.通過公共防垃圾郵件服務器的whitelist(可信名單)與blacklist(不信任名單.5.2.1、Action設置SBLDefaultEnable項選中后,防火墻使用公共防垃圾服務器來判別垃圾郵件.默認為打開。Actions項用來指定對垃圾郵件的處理方法agonSubjc(在郵件標題欄標注信息指明該郵件為垃圾郵件;不丟棄郵件;agonHeader(在郵件內(nèi)容的頭部標注信息,指明該郵件為垃圾郵件;不丟棄郵件Drop(直接丟棄查找到的垃圾郵件)5。2.2、WhiteList與BlackList的設置通過防火墻自定義whitelist和blacklis。比如在WhiteList>WhiteListContent欄輸入HYPERLINKhttp://www.sina。com.cn/ww.sina。com.c則防火墻在檢查到與這個網(wǎng)址相關的郵件都會認為是可信任郵件直接放行。JUNIPERJUNIPER火墻快速安裝手冊比如在BlackList>BlackListContent欄輸入HYPERLINKhttp://www。baidu。com/ww.baidu。com,則防火墻在檢測到這個網(wǎng)址有關的郵件時,都會判定為垃圾郵件。JUNIPERJUNIPER火墻快速安裝手冊5.2。3、防垃圾郵件功能的引用最后我們只要在安全策略里面引用防垃圾郵件功能就可以對郵件進行檢測了Antisamenable項只要勾選,就開啟了防垃圾郵件功能,如下圖所示。5.3、WEB/URL過濾功能的設置Juniper可通過兩種方式來提供URL過濾功能。一種是通過轉(zhuǎn)發(fā)流量給外部的URL過濾服務器來實支持SurfControl和ebsense兩個產(chǎn)品一是通過內(nèi)置的SurfControlURL過濾引擎來提供URL過濾。5。3。1、轉(zhuǎn)發(fā)L過濾請求到外置L過濾服務器如果采用第一種方式的話,首先防火墻必須能夠訪問到本地的提供URL過濾的服務器(SurfControl或者ebsense。然后通過以下項的設置來完成該功能的啟用.①在ebFiltering>ProtocolSelectin條目下,選擇需要Redirect按鈕(SrfControl或者ebsense。②打開ebFiltering選項的ebsense/SurfControl的條目:?EnableebFiltering設置為勾選,則ebFiltering功能打開。?SourceInterface項用來選擇與UL過濾服務器相連的接口(如果不選,則采用Default.?ServerName項填入URL過濾服務器的地址。?ServerPort項填入與服務器端口通訊的端口(默認為15868。?Ifconnectivitytotheserverislost,Block/PermitallHTTPrequess項用來決定如果與服務器連接丟失以后,防火墻采取什么措施。選擇Block項,則與服務器失去聯(lián)系后,阻斷所有HTTP請求;擇Permit,則放行所有HTTP求.5.3。2、使用內(nèi)置的L過濾引擎進行L過濾如果使用Juniper防火墻自帶的SurfControl引擎來過濾URL,可以通過以下操作來完成。①在ebFiltering〉PotocolSelction條目下,選擇需要Integrat(yī)ed按鈕(SurfControl或者ebsense.②打開ebFiltering選項的SC-CA的條目:?EnableebFilteringviaCAServer項勾選.?ServerName項選擇地區(qū)(比如我們處于亞洲,則選擇AsiaPacifc。?Host項會根據(jù)ServerName自動填充域名(比如前面選擇了AsiaPaciic,則會出現(xiàn)Asiai。SurfCA.com.?Port項與服務器端口通訊的端口(默認為9020。?Ifconnectivitytotheserverislost,Block/PermitallHTTPrequess項用來決定如果與服務器連接丟失以后,防火墻采取什么措施。選擇Block項,則與服務器失去聯(lián)系后,阻斷所有HTTP請求;擇Permit,則放行所有HTTP求。5.3.3、手動添加過濾項下面以實例的方式來講解手動添加過濾項的操作過程.我們假設要禁止訪問HYPERLINKhttp://www.sin/ww。sina。com的訪問。①首先,我們建立一個自己的過濾組(cat(yī)egory,名字為news。在Screening>WEBFiltering>at(yī)egories〉Custom>Edit下:JUNIPERJUNIPER火墻快速安裝手冊②其次,我們建議一個新的Profile,取名叫jusfortest:Screening〉WEBFiltering>Profiles〉Custom>EditJUNIPERJUNIPER火墻快速安裝手冊?BlackList項中可以選擇預定義或者自定義的過濾組(category.進入BlackList的組的網(wǎng)址將無條件禁止訪問。?WhiteList項中可以選擇預定義或者自定義的過濾組(category。進入WhiteList的組的網(wǎng)址將無條件允許訪問。?DefaultAction項可以選擇Permit或者Deny。選擇Permit,則沒有匹配BlackList/WhiteLst/手動設過濾項的網(wǎng)址,將被允許訪問;Deny則反之.?Subscribersidentifiedby項?CategoryName可選擇我們想要過濾的組(在例子中我們選取之前建立的news)?Action可選擇permit或者block(本例中,我們選取bloc)③最后,我們在安全策略中引用URL過濾。注我們建立一條策略然后在WEBFltering項選擇我們剛才建立的profil“jusfortest.策略建立完以后,會在Options欄出現(xiàn)WWW的圖標。安全策略生效后,我們就無法訪問新浪網(wǎng)站了,我們將看到ourageisblockedduetoasecuritypolicythatprohibisaccsstocategor。如下圖:5.4、深層檢測功能的設置Juniper防火墻可以通過license激活的方式來實現(xiàn)軟件級別的入侵檢測防御功能,即深層檢測功能(DI。深層檢可以從L3、L4以及L7等多個層面進行惡意流量的檢測及防護。當我們將訂購的DI許導入防火墻以后DI功能就開啟了然后我們通過一些簡單的設置,就可以用DI來檢測和防御網(wǎng)絡惡意行為了。Juniper深層檢測模塊目前支持的檢測類型包括(截止OS5。4)■AIM(AOLInsantMssenger)■DHCP(DynamicHostConfigurationProtocol)■DNS(DomainNameSystem)■FTP(FileransferPrtocol)■GNUTELLA(FileSharingNetworkProtocol)■GOPHER(GopherProtocol)■HTTP(ypertextransferProtocol)■ICMP(InternetControlMessagePotocol)■IDENT(IdentificationProtocol)■IKE(InternetKeyExchange)■IMAP(InternetMessageAccessPotocol)■IRC(InternetRelyChatProtocol)■LDAP(LightweightDirctoryAccessProtocol)■LPR(LinePrinter)■MSN(MicrosotMessenger)■MSRPCMicrosotRemoteProcedureCall)■NBNAME(NetBIOSameService)■NFS(NetworkFileService)■NTP(NetworkimePotocol)■POP3(PostOficeProtocol)■RADIUS(RemoteAuthenticationDialInUserService)■SMB(ServerMessageBlock)■SMTP(SimpleMailansferProtocol)■SYSLOG(SystemLog)■TELNET(erminalEmulationProtocol)■TFTP(rvialFileransferProtoco)■VNC(irtualNetworkComputing,orRemoteFrameBuferProtocol)■WHOISRemoteDirectoryAccessProtocol)■YMSG(ahooMessenger)除此之外我們還可以通過手動的方式來自定義攻擊類(使用JuniperIDP設備來編寫的話,會相對簡便。5.4。1、設置I攻擊特征庫自動更新隨著已知攻擊的數(shù)目的日益增加攻擊特征庫也在不斷地擴大著我們可以通過設置自動更新的辦法來讓防火墻自動下載最新的攻擊特征庫。我們可以通過Udate的AtackSignature下設置攻擊特征庫的自動更新.SignaturePack項可以選擇Bas一般情況下的攻擊特征碼集合、Client(主要針對降低客戶端上網(wǎng)風險的攻擊特征碼集合Servr主要針對保護服務器端的攻擊特征碼集合、ormMitigat(yī)io(主要針對蠕蟲的攻擊特征碼集合)四種類型。DaabaseServerURL項填寫著提供攻擊特征庫更新的服務器域名(系統(tǒng)會自動填充,一般不用自己填寫。UdateMode項可以選擇None(不自動更新AutomaticNotificatio有新的更新則發(fā)出通知、Automat(yī)icUpdat(自動更新.Scheduleat(yī)項可以選擇At(更新時間、Dail(每日更新、eeklyOn星期幾更新、MonthlyOn(幾月份更新。UdateNow項以動更新攻擊特征庫.5.4.2、深層檢測()的引用跟前面所講的其他功能一樣,我們同樣是在安全策略中引用DI功能.建立一條策略,然后點擊在Acion項旁邊的DeepInspection項,彈出配置框,如下圖。Severity項可以選擇要防范的攻擊的強度(從Critical到Ino;Group項來選擇攻擊的具體組別(按照攻擊的具體對象、協(xié)議、嚴重程度來分;Action項用來選擇檢測到攻擊后的處理方法NoneIgnoreDropPacketDropCloseClient、CloseServer、Close。選擇完以上項后則可以按ADD按鈕添加到下面的攻擊防護表中去。JUNIPERJUNIPER火墻快速安裝手冊完成了DI能設置的安全策略的Action欄會成一個放大鏡的圖標,如上圖。6、Juniper防火墻的HA(高可用性)配置為了保證網(wǎng)絡應用的高可用性在部署Juniper防火墻過程中可以在需要保護的網(wǎng)絡邊緣同時部署兩臺相同型號的防火墻設備,實現(xiàn)HA的配置。Juniper防火墻提供了三種高可用性的應用配置模式:主備方式、主主方式和雙主冗余方式。在這里,我們只對主備方式的配置進行說明.防火墻HA網(wǎng)絡拓撲圖(主備模式:6.1、使用eb瀏覽器方式配置WebUI(設備—A)①接口Network>Interfaces>dit(對于ethernet7):輸入以下內(nèi)容,然后單擊OK:ZoneName:HANetwork>Interfaces>dit(對于ethernet8):輸入以下內(nèi)容,然后單擊OK:ZoneName:HANetwork〉Interfaces〉dit(對于ethernet1):輸入以下內(nèi)容,然后單擊OK:ZoneName:UntrustStaticI:(出現(xiàn)時選擇此選項)IPAddress/Netmask:20。1.1.1/24Network>Interfaces>dit(對于ethernet3):輸入以下內(nèi)容,然后單擊Appl:ZoneName:TrustStaticI:(出現(xiàn)時選擇此選項)IPAddressNetmask:1.1.1.1/24JUNIPERJUNIPER火墻快速安裝手冊ManageIP:10.1.1。20輸入以下內(nèi)容,然后單擊OK:InterfaceMode:NAT②NSRPNetwork>NSRP〉Monitor〉Interface>VSDID:DeiceEditnterface:以下內(nèi)容,然后單擊Appl:ethernet1:(選擇);Weight:255ethernet3:(選擇);Weight:255Network〉NSRP〉Synchronization:選擇NSRPRTOSnchronization,然后單擊Appl。Network>NSRP〉Cluster:在ClusterID字段中,鍵入1,然后單擊Appl.WebUI(設備-B)①接口Network>Interfaces>dit
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 故宮模板課件教學課件
- 街心廣場課件教學課件
- 2024年度批量貨物搬運與運輸合同
- 2024年度某大型工程建設項目施工合同
- 2024年人工智能研究員全職合同
- 2024國際許可合同的格式國際許可合同的種類
- 2024年廣告牌更新改造施工合同
- 2024規(guī)范的辦公室裝修合同范本
- 2024店面租房合同范本下載
- 2024年店面租賃升級協(xié)議
- 肺脹病(中醫(yī)臨床路徑
- 鋼結構防塵網(wǎng)施工方案
- “一戶一表”改造工程施工組織方案
- 大型及分布式光伏電站視頻監(jiān)控典型配置方案V1.0
- 《十字繡》教學設計及反思
- 橋梁形象進度圖
- C站使用說明JRC
- 習作:推薦一個好地方 推薦ppt課件
- 角的度量 華應龍(課堂PPT)
- 公路銑刨機整機的設計含全套CAD圖紙
- 機器人學課程教學大綱
評論
0/150
提交評論