Juniper防火墙基础
目录
• • • • • Juniper防火墙简介及作用 Juniper防火墙基本配置 Juniper防火墙的接口模式 Juniper防火墙的策略 Juniper防火墙端口映射
防火墙应用场景1
防火墙应用场景2
DMZ区
安全区1 供员工使用 Web, email, 关键应用
安全区2 “供访客使用 只能上网
规格对照之SSG 350
产品特点与效益列表
• 特点一：提供完整的统一威胁管理(UTM)功能 效益 ◎ 状态防火墙，可执行接入控制并阻止网络层攻击 ◎ 整合入侵检测解决方案(IPS)，有效阻止应用层的攻击 ◎ 提供 Site-to-site IPSec VPN，以确保各分支机构之间能够安全通信 ◎ 阻止拒绝服务(DoS)攻击 ◎ 支持 H.323、SIP、SCCP和MGCP的应用层网关，以检测和保护VoIP 流量 ◎ 整合卡巴斯基防病毒技术，防止病毒、间谍软件、广告软件和其它恶 意软件的 入侵 ◎ 整合SOPHOS防垃圾邮件技术，有效阻止不知名的垃圾邮件和钓鱼邮 件 ◎ 整合Websense技术，有效控制和阻止对恶意网站的访问
创建Zone 设置2层zone，名字前必须加上l2 • CLI set zone name l2** [L2] • Web UI Network->Zone->NEW
配置端口zone • CLI set interface ethernet0/0 zone untrust • Web UI network->interfaces->list ->选择端口EDIT 在zone name中选取，点击OK
特点与效益
• 特点四：提供稳定的路由协议 效益 提供最好的路由协议，包括OSPF、BGP和RIP v1/2，而且 兼容于Frame Relay、Multilink Frame Relay、PPP、 Multilink PPP和HDLC • 特点五：支持自动联机VPN (AC VPN) 效益 可自动完成设置，并且以集中星型(hub-and-spoke)拓扑 在远程分支机构之间自动建立VPN隧道，以提供高扩展性 支持
• • • • •
• • • • •
防火墙性能（大型数据包） 160 Mbps 防火墙性能(IMIX) 90 Mbps 每秒处理的防火墙数据包数量 30,000 PPS3DES+SHA-1 VPN性能 40 Mbps 并发VPN隧道数 25/40 ，最大并发会话数 8,000/16,000 新会话/秒 2,800 最大安全策略数 200 最大安全区数量 8 最大虚拟路由器数量 3/4 最大虚拟局域网数量 10/50 固定I/O 5x10/100 微型物理接口模块(Mini-PIM)扩展插槽 （I/O） 2 802.11 a/b/g 可选 需要购买扩展许可
Juniper防火墙型号对应
性能容量 30 Gbps 10 Gbps 4 Gbps 1 Gbps 600Mbps 300Mbps
SSG20 SSG5 NS5400
总部/数据中心
ISG2000
省级/地市核心
SSG550
NS5200
分支机构
SSG520 SSG320/ 350 SSG140 ISG1000
设置管理员账号、密码 • CLI SSG5-Serial->set admin user zpai password *** privilege all
• Web UI Configuration->administratrs->NEW
Zone（区段） 区段是由一个或者多个网段组成的集合，需要通过策略来对 入站和出站数据流进行调整。区段是绑定了一个或者多个端 口的逻辑实体。 可以设置3层区段和2层区段。 查看Zone • CLI Get zone • Web UI Network->Zone
2Gbps FW / 300 Mbps VPN；4 Gbps FW / 500 Mbps VPN 4GE + 6 PIM slots 会话数：128000；256000 SSG 520M
•
SSG 520M/550M
o o o
SSG 550M
规格对照之SSG 5
• • • • •
• • •
防火墙性能（大型数据包） 160 Mbps 防火墙性能(IMIX) 90 Mbps 每秒处理的防火墙数据包数量 30,000PPS 3DES+SHA-1 VPN性能 40 Mbps 并发VPN隧道数 25/40 ，最大并发会话数 8,000/16,000 新会话/秒 2,800 最大安全策略数 200 最大安全区数量 8 最大虚拟路由器数量 3/4 最大虚拟局域网数量 10/50 固定I/O 7x10/100 802.11 a/b/g 可选 需要购买扩展许可
特点与效益
• 特点二：防火墙整合路由功能 效益 结合安全防御和 LAN/WAN路由功能，并能够阻止内部网 络与应用层中出现的攻击，以保护企业内部网络，降低 IT 的费用支出 • 特点三：提供各种不同的LAN和WAN 接口选项 效益 包括T1/E1, Serial, DS3/E3, ADSL, Ethernet, SFP等
远程办公室/中小企业/中小分支机构
中大企业/大型分支机构
企业总部/数据中心
SSG系列型号
• SSG 5 & SSG20 (ssg20有2个Mini插槽的）
o o 160 Mbps FW / 40 Mbps VPN 会话数：8000，加license可扩展到16000 350+ Mbps FW / 100 Mbps VPN 8 FE + 2 GE Interfaces + 4 PIM slots 会话数：48000
防火墙性能（大型数据包） 550+ Mbps • 防火墙性能(IMIX) 500Mbps • 每秒处理的防火墙数据包数量 225,000PPS • 3DES+SHA-1 VPN性能 225 Mbps • 并发VPN隧道数 500 ，最大并发会话数 128,000 • 新会话/秒 12,500 最大安全策略数2,000 最大安全区数量 40 • 最大虚拟路由器数量 8 最大虚拟局域网数量 125 • 固定I/O 4x10/100/1000 • 物理接口模块(PIM)扩展插槽 （I/O） 5 • 无802.11 a/b/g • 可转换为junos软件
交换机在第一层和第二层处理流量，透明模式防火墙可以在第一层到第七层处理流量。 因为，透明模式防火墙既可以基于第二层信息转发流量，又可以基于ACLs、甚至应 用层策略来转发流量。
透明模式默认的策略是出站全部允许，进站全部禁止
设置接口的连接模式 • CLI
set interface ethernet0/6 dhcp client enable set interface ethernet0/6 ip 192.168.1.10 set pppoe name "pppoe" set pppoe name "pppoe" username 123 password 123 set pppoe name "pppoe" interface ethernet0/6
配置端口管理方式及设置管理地址 • CLI set interface eth0/0 ip 192.168.1.1 255.255.255.0 set interface eth0/0 manage-ip 192.168.1.1 set interface eth0/0பைடு நூலகம்manage web set interface eth0/0 manage telnet • Web UI network->interfaces->list ->选择端口EDIT 设置地址类型DHCP、PPPoE或者是静态地址 可以设置此端口的管理功能web管理、telent、等功能
规格对照之SSG 20
规格对照之SSG 140
防火墙性能（大型数据包） 350+ Mbps • 防火墙性能(IMIX) 300Mbps • 每秒处理的防火墙数据包数量 100,000PPS • 3DES+SHA-1 VPN性能 100 Mbps • 并发VPN隧道数 500 ，最大并发会话数 48,000 • 新会话/秒 8,000 最大安全策略数1,000 最大安全区数量 40 • 最大虚拟路由器数量 6 最大虚拟局域网数量 100 • 固定I/O 8x10/100,2x10/100/1000 • 物理接口模块(PIM)扩展插槽 （I/O） 4 • 无802.11 a/b/g
SSG 5 SSG 20 SSG 140
•
SSG 140
o o o
SSG 320M SSG 350M
•
SSG 320M/350M
o
o o
450+ Mbps FW / 175 Mbps VPN; 550+ Mbps FW / 225 Mbps VPN; 4 GE + 3 or 5 PIM slots 会话数：48000;
设置DHCP及DHCP地址范围 • CLI
set interface bgroup0 dhcp server enable set interface bgroup0 dhcp server option gateway 192.168.1.1 set interface bgroup0 dhcp server option netmask 255.255.255.0 set interface bgroup0 dhcp server ip 192.168.1.10 to 192.168.1.100
特点与效益
• 特点十：网络分段 效益 SSG系列提供一组高级网络分段功能，如桥接群组、安全 区、虚拟LAN和虚拟路由器，让网管人员能够针对不同用 户群组、无线网络和区域服务器，部署不同等级的安全防 护机制。强大的网络安全管理和控制能力，能防止未经授 权就接入网络的内、外部和DMZ子群组。