Juniper 防火墙的策略配置
• 在Juniper设备中策略是一个重点，因为安全设备基本上都是基于策略的管理和运行，下面就Juniper的如何配置进行 简单的说明. 在Juniper防火墙中，区域是一个比较重要的感念，一般的Juniper设备都设置了Untrust,Trust和DMZ三个区域，也可 以根据实际的需要自行定义区域，比如电信行业经常的BOSS,OA区域。 具体的使用命令： netscreenisg1000->set zone id 1000 "boss" netscreenisg1000->set zone id 1001 "oa" 然后使用命令讲相关的防火墙接口加入Zone中，具体的命令：netscreenisg1000-> set interface "ethernet2/4" zone "boss" netscreenisg1000-> set interface "ethernet2/5" zone "oa" 并且在接口上配置相关的IP地址: netscreeenisg1000-> set interface ethernet2/4 ip 10.10.161.14/25 set interface ethernet2/4 route set interface ethernet2/5 ip 192.168.19.126/28 set interface ethernet2/5 nat 然后就是需要建立MIP/VIP. 比如需要建立一个MIP，私网地址10.10.81.54，公网地址10.10.161.54， 图形界面使用比较简单，比如ethernet1/1 是一个untrust区域的接口地址。 netscreeenisg1000->set policy id 22 from "Untrust" to "Trust" "Any" "MIP(10.10.161.31)" "ANY" permit log netscreeenisg1000->set policy id 19 from "Untrust" to "Trust" "Any" "MIP(10.10.161.105)" "HTTP" permit log 关于policy就写这么多，关于MIP的是使用后面会继续手写。
•
• • • •er 防火墙的管理
• 在实际的网络工程中，Juniper的防火墙产品被大量的应用在网络环境中。但是Juniper防火墙产品的配置也是大家比 较陌生的，下面就通过Juniper防火墙的使用来说明如何配置。 本次介绍的Juniper防火墙产品全部是在Juniper netscreen-ISG1000和Juniper netscreen-ISG2000中实现的.其中 Juniper netscreen-ISG1000的版本Software Version: 5.0.0r10a.4, Type: Firewall+VPN.Juniper netscreen-ISG2000 的版本Software Version: 6.0.0r4.0, Type: Firewall+VPN 1 Juniper防火墙产品的管理 对于防火墙产品的管理和配置主要有以下几个方法： （1）console 方式 Juniper防火墙和Cisco的路由器和防火墙之类的一样，初次配置需要使用console线缆进行配置，具体的参数设置和 Cisco的路由器和防火墙一致。在这里就具体的不说了。 （2）telnet或者ssh 对于使用telnet或者ssh进行管理Juniper防火墙,首先必须配置管理地址并且启用telnet或者ssh服务。在Juniper netscreen-ISG1000中默认的管理地址192.168.1.1，就可以使用telnet或者ssh工具进行远程管理。具体的使用命令 set interface ethernet1/1 manage telnet set interface ethernet1/1 manage ssh 比如；telnet 192.168.1.1 在Juniper netscreen-ISG2000中的默认地址为172.16.70.1/24 ，建议使用命令行进行修改。 set interface mgt ip 192.168.1.1/24 set interface mgt manage telnet, set interface mgt manage ssh, set interface mgt manage web （3）web方式管理 web方式管理和使用telnet或者ssh一样，首先要配置管理地址和启用web服务。 具体的命令为： set interface ethernet1/1 ip 192.168.193.33/28 set interface ethernet1/1 manage web 然后使用http://192.168.193.33来进行管理。
•
Juniper 防火墙常见命令
• Interfaces in vsys Root: Name IP Address Zone MAC VLAN State VSD mgt 172.16.70.1/24 MGT 001b.c06a.1080 - D eth1/1 192.168.19.33/28 Trust 0010.dbff.c070 - U 0 eth1/2 192.168.19.65/28 Trust 0010.dbff.c080 - U 0 eth1/3 192.168.19.49/28 Trust 0010.dbff.c090 (3) get arp netscreenisg2000-> get arp usage: 9/8192 miss: 0 always-on-dest: disabled ----------------------------------------------------------------------------------------IP Mac VR/Interface State Age Retry PakQue Sess_cnt ----------------------------------------------------------------------------------------192.168.19.161 002255e5c490 trust-vr/eth1/4 VLD 762 0 0 1373 192.168.19.46 000fe265a846 trust-vr/eth1/1 VLD 1167 0 0 56 192.168.19.62 00127fa7e351 trust-vr/eth1/3 VLD 761 0 0 395 192.168.19.30 00000c07ac02 trust-vr/red1 VLD 964 0 0 (4)get mip netscreenisg2000-> get mip Total MIPs under Root configured:78 Max:20000. -------------------------------------------------------------------------------Map IP Host IP Interface VRouter -------------------------------------------------------------------------------219.14.172.6/32 192.168.4.3 ethernet1/5 trust-vr 219.14.172.7/32 192.168.2.80 ethernet1/5 trust-vr 219.14.172.71/32 192.168.12.23 ethernet1/5 trust-vr 219.14.172.72/32 192.168.2.101 ethernet1/5 trust-vr (5)get vip netscreeisg2000-> get vip Virtual IP Interface Port Service Server/Port 219.23.178.10 ethernet3/3 9080 9080 192.168.4.5/9080(OK) 219.23.17.10 ethernet3/3 22 SSH 192.168.4.145/22(OK)
•
• •
• •
Juniper 防火墙常见命令
• 常见的命令 （1）get system netscreenisg2000-> get system Product Name: NetScreen-2000 Serial Number: XXXXXXXX, Control Number: 00000000 Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0) Software Version: 6.0.0r4.0, Type: Firewall+VPN OS Loader Version: 1.1.5 Compiled by build_master at: Fri Jan 11 14:27:42 PST 2008 Base Mac: 001b.c06a.1080 File Name: default (nsISG2000.6.0.0r4.0), Checksum: 1e5d880f , Total Memory: 2048MB Date 06/04/2009 08:28:24, Daylight Saving Time disabled The Network Time Protocol is Disabled Up 805 hours 29 minutes 18 seconds Since 01May2009:18:59:06 Total Device Resets: 0 (2) get interface netscreenisg2000-> get interface A - Active, I - Inactive, U - Up, D - Down, R - Ready