Juniper 防火墻配置手冊2007-11 ,目 錄目 錄 ...................................................

Juniper 防火墻配置手冊

2007-11

目 錄

目 錄 ........................................................................................................................... 2

第一章:Juniper 防火墻基本原理........................................................................................ 4

一, 安全區(qū)段: ............................................................................................................. 4

二, 安全區(qū)段接口 ....................................................................................................... 5

三, 創(chuàng)建二級(jí) IP 地址............................................................................................... 12

四, 接口狀態(tài)更改 ..................................................................................................... 13

五, 接口透明模式 ..................................................................................................... 15

六, 接口NAT 模式 .................................................................................................. 20

七, 接口路由模式 ..................................................................................................... 25

八, 地址組................................................................................................................ 30

九, 服務(wù) ................................................................................................................... 32

十, 動(dòng)態(tài) IP 池 ......................................................................................................... 32

十一, 策略................................................................................................................ 43

十二, 系統(tǒng)參數(shù)......................................................................................................... 64

1，域名系統(tǒng)支持 ............................................................................................. 64

2，DNS 查找................................................................................................... 64

3，動(dòng)態(tài)主機(jī)配置協(xié)議 ...................................................................................... 70

4，以太網(wǎng)點(diǎn)對點(diǎn)協(xié)議 ...................................................................................... 82

5，現(xiàn)有設(shè)備或新設(shè)備添加防病毒、Web 過濾、反垃圾郵件和深入檢查 ........... 87

6，系統(tǒng)時(shí)鐘 .................................................................................................... 87

第二章:Juniper 防火墻管理............................................................................................. 91

一, 通過 Web 用戶界面進(jìn)行管理 ............................................................................. 91

二, 通過命令行界面進(jìn)行管理.................................................................................... 95

三, 通過 NetScreen-Security Manager 進(jìn)行管理 . ........................................................ 96 四, 設(shè)置管理接口選項(xiàng) .............................................................................................100 五, 管理的級(jí)別........................................................................................................103 六, 日志信息 ........................................................................................................... 110

第三章:Juniper 防火墻路由............................................................................................138 1, 靜態(tài)路由 . ............................................................................................................138 2,OSPF...................................................................................................................144

第四章:Juniper 防火墻NAT...........................................................................................150 一, 基于策略的轉(zhuǎn)換選項(xiàng)..........................................................................................150 二,NAT-Dst — 一對一映射 .....................................................................................161 三, NAT-Dst— 一對多映射 ....................................................................................163 四,NAT-Dst — 多對一映射 .....................................................................................166 五,NAT-Dst — 多對多映射 .....................................................................................168 六, 帶有端口映射的 NAT-Dst ..................................................................................170 七, 同一策略中的 NA T-Src 和 NA T-Dst...................................................................173 八,Untrust 區(qū)段上的MIP . .......................................................................................183 九, 虛擬 IP 地址 ....................................................................................................190

第五章:Juniper 防火墻VPN...........................................................................................197

一, 站點(diǎn)到站點(diǎn)的虛擬專用網(wǎng)...................................................................................197

1, 站點(diǎn)到站點(diǎn) VPN 配置 . ................................................................................197 2, 基于路由的站點(diǎn)到站點(diǎn) VPN ，自動(dòng)密鑰 IKE ...............................................202 3, 基于路由的站點(diǎn)到站點(diǎn) VPN ，動(dòng)態(tài)對等方 ...................................................209 4, 基于策略的站點(diǎn)到站點(diǎn) VPN ，動(dòng)態(tài)對等方 ...................................................217 5, 基于路由的站點(diǎn)到站點(diǎn) VPN ，手動(dòng)密鑰.......................................................224 6, 基于策略的站點(diǎn)到站點(diǎn) VPN ，手動(dòng)密鑰.......................................................230 二, 撥號(hào)虛擬專用網(wǎng).................................................................................................235

1, 基于策略的撥號(hào) VPN ，自動(dòng)密鑰 IKE..........................................................235 2, 基于路由的撥號(hào) VPN ，動(dòng)態(tài)對等方..............................................................240 基于策略的撥號(hào) VPN ，動(dòng)態(tài)對等方 ................................................................246 用于撥號(hào) VPN 用戶的雙向策略......................................................................251

第六章:Juniper 防火墻攻擊檢測與防御 ..........................................................................256

一,Juniper 中低端防火墻的UTM 功能配置 ..............................................................256

1,Profile 的設(shè)置 ...............................................................................................257 2, 防病毒profile 在安全策略中的引用...............................................................259 二, 防垃圾郵件功能的設(shè)置 ......................................................................................261

1,Action 設(shè)置 .................................................................................................262 2,White List與Black List的設(shè)置.....................................................................262 3, 防垃圾郵件功能的引用 . ................................................................................264 三,WEB/URL過濾功能的設(shè)置 ................................................................................264

1轉(zhuǎn)發(fā)URL 過濾請求到外置URL 過濾服務(wù)器 .................................................264 2, 使用內(nèi)置的URL 過濾引擎進(jìn)行URL 過濾 . ....................................................266 3, 手動(dòng)添加過濾項(xiàng) ...........................................................................................267 四, 深層檢測功能的設(shè)置..........................................................................................269

1, 設(shè)置DI 攻擊特征庫自動(dòng)更新 ........................................................................270 2, 深層檢測（DI ）的引用 . ................................................................................271

第一章:Juniper 防火墻基本原理

一, 安全區(qū)段:

概念:

安全區(qū)段是由一個(gè)或多個(gè)網(wǎng)段組成的集合，需要通過策略來對入站和出站信息流進(jìn)行調(diào)整。安全區(qū)段是綁定了一個(gè)或多個(gè)接口的邏輯實(shí)體。通過多種類型的 Juniper Networks 安全設(shè)備，您可以定義多個(gè)安全區(qū)段，確切數(shù)目可根據(jù)網(wǎng)絡(luò)需要來確定。除用戶定義的區(qū)段外，您還可以使用預(yù)定義的區(qū)段:

Trust 、Untrust 和 DMZ (用于第3 層操作) ，或者 V1-Trust、V1-Untrust 和 V1-DMZ ( 用于第2 層操作) 。

如果愿意，可以繼續(xù)使用這些預(yù)定義區(qū)段。也可以忽略預(yù)定義區(qū)段而只使用用戶定義的區(qū)段。另外，您還可以同時(shí)使用這兩種區(qū)段- 預(yù)定義和用戶定義。利用區(qū)段配置的這種靈活性，您可以創(chuàng)建能夠最好地滿足您的具體需要的網(wǎng)絡(luò)設(shè)計(jì)。

功能區(qū)段

共有五個(gè)功能區(qū)段，分別是 Null 、MGT 、HA 、Self 和 VLA N 。每個(gè)區(qū)段的存在都有其專門的目的，如以下小節(jié)所述。

Null 區(qū)段

此區(qū)段用于臨時(shí)存儲(chǔ)沒有綁定到任何其它區(qū)段的接口。

MGT 區(qū)段

此區(qū)段是帶外管理接口 MGT 的宿主區(qū)段?？梢栽诖藚^(qū)段上設(shè)置防火墻選項(xiàng)以保護(hù)管理接口，使其免受不同類型的攻擊。

HA 區(qū)段

此區(qū)段是高可用性接口 HA1 和 HA 2 的宿主區(qū)段。盡管可以為 HA 區(qū)段設(shè)置接口，但是此區(qū)段本身是不可配置的。

Self 區(qū)段

此區(qū)段是遠(yuǎn)程管理連接接口的宿主區(qū)段。當(dāng)您通過 HTTP 、SCS 或 Telnet 連接到安全設(shè)備時(shí)，就會(huì)連接到 Self 區(qū)段。

VLAN 區(qū)段

此區(qū)段是 VLA N1 接口的宿主區(qū)段，可用于管理設(shè)備，并在設(shè)備處于“透明”模式時(shí)終止 VPN 信息流，也可在此區(qū)段上設(shè)置防火墻選項(xiàng)以保護(hù) VLA N1 接口，使其免受各種攻擊。

設(shè)置端口模式

通過 WebUI 或 CLI 更改安全設(shè)備上的端口模式設(shè)置。

設(shè)置端口模式之前，請注意以下方面:

更改端口模式會(huì)刪除設(shè)備上任何現(xiàn)有的配置，并要求系統(tǒng)重置。

發(fā)布 unset all CLI 命令不影響設(shè)備上的端口模式設(shè)置。

例如，如果要將端口模式設(shè)置從 Combined 模式更改回缺省 Trust-Untrust 模式，發(fā)布 unset all 命令會(huì)刪除現(xiàn)有配置，但不會(huì)將設(shè)備設(shè)置為 Trust-Untrust 模式。

二, 安全區(qū)段接口

物理接口和子接口的目的是提供一個(gè)開口，網(wǎng)絡(luò)信息流可通過它在區(qū)段之間流動(dòng)。

物理接口

安全設(shè)備上的每個(gè)端口表示一個(gè)物理接口，且該接口的名稱是預(yù)先定義的。物理接口的名稱由媒體類型、插槽號(hào) ( 對于某些設(shè)備) 及端口號(hào)組成，例如，ethernet3/2或 ethernet2?？蓪⑽锢斫涌诮壎ǖ匠洚?dāng)入口的任何安全區(qū)段，信息流通過該入口進(jìn)出區(qū)段。沒有接口，信息流就無法進(jìn)入或退出區(qū)段。

在支持對“接口至區(qū)段綁定”進(jìn)行修改的安全設(shè)備上，三個(gè)物理以太網(wǎng)接口被預(yù)先綁定到各特定第2 層安全區(qū)段 - V1-Trust、V1-Untrust 和 V1-DMZ 。哪個(gè)接口綁定到哪個(gè)區(qū)段根據(jù)每個(gè)平臺(tái)而定。

子接口

子接口，與物理接口相似，充當(dāng)信息流進(jìn)出安全區(qū)段的開口。邏輯上，可將物理接口分成幾個(gè)虛擬子接口。每個(gè)虛擬子接口都從自己來源的物理接口借用所需的帶寬，因此其名稱是物理接口名稱的擴(kuò)展，例如，ethernet3/2.1 或 ethernet2.1?？梢詫⒆咏涌诮壎ǖ饺魏螀^(qū)段。還可將子接口綁定到其物理接口的相同區(qū)段，或?qū)⑵浣壎ǖ讲煌瑓^(qū)段。

通道接口

通道接口充當(dāng) VPN 通道的入口。信息流通過通道接口進(jìn)出 VPN 通道。

將通道接口綁定到 VPN 通道時(shí)，即可在到達(dá)特定目標(biāo)的路由中引用該通道接口，然后在一個(gè)或多個(gè)策略中引用該目標(biāo)。利用這種方法，可以精確控制通過該通道的信息流的流量。它還提供 VPN 信息流的動(dòng)態(tài)路由支持。如果沒有通道接口綁定到VPN 通道，則必須在策略中指定通道并選擇 tunnel 作為操作。因?yàn)椴僮?tunnel 意味著允許，所以不能明確拒絕來自 VPN 通道的信息流。

可使用在通道接口的相同子網(wǎng)中的動(dòng)態(tài) IP (DIP) 地址池對外向或內(nèi)向信息流上執(zhí)行基于策略的 NAT 。對通道接口使用基于策略的 NAT 的主要原因是為了避免 IP 地址在 VPN 通道端兩個(gè)站點(diǎn)間發(fā)生沖突。

必須將基于路由的 VPN 通道綁定到通道接口，以便安全設(shè)備可以路由信息流出和流入設(shè)備。可將基于路由的 VPN 通道綁定到一個(gè)有編號(hào) ( 具有 IP 地址/ 網(wǎng)絡(luò)掩碼) 或沒有編號(hào) ( 沒有 IP 地址/ 網(wǎng)絡(luò)掩碼) 的通道接口。如果通道接口沒有編號(hào)，則必須指定它借用 IP 地址的接口。安全設(shè)備自行啟動(dòng)通過通道的信息流- 如 OSPF 消息時(shí)，安全設(shè)備僅使用借用的 IP 地址作為源地址。通道接口可以從相同或不同安全區(qū)段的接口借用 IP 地址，只要這兩個(gè)區(qū)段位于同一個(gè)路由選擇域中。

可以對 VPN 信息流路由進(jìn)行非常安全的控制，方法是將所有沒有編號(hào)的通道接口綁定到一個(gè)區(qū)段 ( 該區(qū)段位于其自身的虛擬路由選擇域中) ，并且從綁定到同一區(qū)段的回傳接口借用 IP 地址。例如，可以將所有沒有編號(hào)的通道接口綁定到一個(gè)名為“VPN ”的用戶定義的區(qū)段，并且對這些接口進(jìn)行配置，以便從 loopback.1 接口借用 IP 地址，也可綁定到 VPN 區(qū)段。VPN 區(qū)段位于名為“vpn-vr ”的用戶定義的路由選擇域中。將通道通向的所有目標(biāo)地址放置在 VPN 區(qū)段中。對這些地址的路由指向通道接口，策略則控制其他區(qū)段和 VPN 區(qū)段之間的 VPN 信息流。

將所有通道接口放置在這樣的區(qū)段中非常安全，因?yàn)?VPN 不會(huì)由于出現(xiàn)故障 ( 這樣會(huì)使通往相關(guān)通道接口的路由變成非活動(dòng)狀態(tài)) 而重新定向原本讓通道使用非通道路由 ( 如缺省路由) 的信息流。

還可將一個(gè)通道接口綁定到 Tunnel 區(qū)段。這時(shí)，必須有一個(gè) IP 地址。將通道接口綁定到 Tunnel 區(qū)段的目的是讓基于策略的 VPN 通道能夠使用 NAT 服務(wù)。

通道接口到區(qū)段的綁定

從概念上講，可將 VPN 通道當(dāng)作鋪設(shè)的管道。它們從本地設(shè)備延伸到遠(yuǎn)程網(wǎng)關(guān)，而通道接口就是這些管道的開口。管道始終存在，只要路由引擎將流量引導(dǎo)到接口之一就可隨時(shí)使用。

通常，如果希望接口支持源地址轉(zhuǎn)換 (NAT-src) 的一個(gè)或多個(gè)動(dòng)態(tài) IP (DIP) 池和目標(biāo)地址轉(zhuǎn)換 (NAT-dst) 的映射 IP (MIP) 地址，請為該通道接口分配一個(gè) IP 地址?？梢栽诎踩珔^(qū)段或通道區(qū)段創(chuàng)建具有 IP 地址和網(wǎng)絡(luò)掩碼的通道接口。

如果通道接口不需要支持地址轉(zhuǎn)換，并且配置不要求將通道接口綁定到一個(gè)Tunnel 區(qū)段，則可以將該接口指定為無編號(hào)。必須將一個(gè)沒有編號(hào)的通道接口綁定到安全區(qū)段；同時(shí)不能將其綁定到 Tunnel 區(qū)段。還必須指定一個(gè)具有 IP 地址的接口，該接口位于與綁定沒有編號(hào)接口的安全區(qū)段相同的虛擬路由選擇域中。無編號(hào)的通道接口借用該接口的 IP 地址。

如果正在通過 VPN 通道傳送組播數(shù)據(jù)包，可以在通道接口上啟用“通用路由封裝”(GRE) 以在單播數(shù)據(jù)包中封裝組播數(shù)據(jù)包。Juniper Networks 安全設(shè)備支持可在 IPv4 單播數(shù)據(jù)包中封裝 IP 數(shù)據(jù)包的 GREv1。

刪除通道接口

不能立即刪除擁有映射 IP 地址 (MIP) 或“動(dòng)態(tài) IP (DIP)”地址池的通道接口。刪除擁有這些特征的通道接口前，必須首先刪除引用它們的所有策略。然后必須刪除通道接口上的 MIP 和 DIP 池。如果基于路由的 VPN 配置引用一個(gè)通道接口，則必須首先刪除 VPN 配置，然后刪除通道接口。

在本范例中，通道接口 tunnel.2 被鏈接到 DIP 池 8。通過名為 vpn1 的 VPN 通道，從 Trust 區(qū)段到 Untrust 區(qū)段的 VPN 信息流的策略 (ID 10) 引用 DIP 池 8。要?jiǎng)h除該通道接口，必須首先刪除該策略 ( 或從該策略中刪除引用的 DIP 池 8) ，然后刪除 DIP 池。然后，必須解除 tunnel.2 到 vpn 1 的綁定。刪除依賴通道接口的所有配置后，即可刪除該通道接口。

WebUI

1. 刪除引用 DIP 池 8 的 策略 10

Policies (From: Trust, To: Untrust): 單擊策略 ID 10 的 Remove 。

2. 刪除鏈接到 tunnel.2 的 DIP 池 8

Network > Interfaces > Edit ( 對于 tunnel.2) > DIP: 單擊 DIP ID 8 的

Remove 。

3. 解除來自 vpn1 的 tunnel.2 綁定

VPNs > AutoKey IKE > Edit ( 對于 vpn1) > Advanced: 在 Bind to: Tunnel

Interface 下拉列表中選擇 None ，單擊 Return ，然后單擊 OK 。

4. 刪除 tunnel.2

Network > Interfaces: 單擊 tunnel.2 的 Remove 。

CLI

1. 刪除引用 DIP 池 8 的 策略 10

unset policy 10

2. 刪除鏈接到 tunnel.2 的 DIP 池 8

unset interface tunnel.2 dip 8

3. 解除來自 vpn1 的 tunnel.2 綁定

unset vpn vpn1 bind interface

4. 刪除 tunnel.2

unset interface tunnel.2

save

查看接口

可查看列出安全設(shè)備上所有接口的表。因?yàn)槲锢斫涌谑穷A(yù)定義的，所以不管是否配置，它們都會(huì)列出。而對于子接口和通道接口來說，只有在創(chuàng)建和配置后才列出。

要在 WebUI 中查看接口表，請單擊 Network > Interfaces。可指定接口類型從List Interfaces 下拉菜單顯示。

要在 CLI 中查看接口表，請使用 get interface 命令。

接口表顯示每個(gè)接口的下列信息:

Name: 此字段確定接口的名稱。

IP/Netmask: 此字段確定接口的 IP 地址和網(wǎng)絡(luò)掩碼地址。

Zone: 此字段確定將接口綁定到的區(qū)段。

Type: 此字段指出接口類型: Layer 2 (第 2 層) 、Layer 3 (第 3 層) 、tunnel (通道) 、redundant ( 冗余) 、aggregate ( 聚合) 、VSI 。

Link: 此字段確定接口是否為活動(dòng) (up) 或非活動(dòng) (down)。

Configure: 此字段允許修改或移除接口。

將接口綁定到安全區(qū)段

可將任何物理接口綁定到 L2 ( 第 2 層) 或 L3 ( 第 3 層) 安全區(qū)段。由于子接口需要IP 地址，因此僅可將子接口綁定到 L3 ( 第 3 層) 安全區(qū)段。將接口綁定到 L3 安全區(qū)段后，才能將 IP 地址指定給接口。

在本例中，將 ethernet5 綁定到 Trust 區(qū)段。

WebUI

Network > Interfaces > Edit ( 對于 ethernet5): 從 Zone Name 下拉列表中選擇

Trust ，然后單擊 OK 。

CLI

set interface ethernet5 zone trust

save

從安全區(qū)段解除接口綁定

如果接口未編號(hào)，那么可解除其到一個(gè)安全區(qū)段的綁定，然后綁定到另一個(gè)安全區(qū)段。如果接口已編號(hào)，則必須首先將其 IP 地址和網(wǎng)絡(luò)掩碼設(shè)置為 0.0.0.0。然后，可解除其到一個(gè)安全區(qū)段的綁定，然后綁定到另一個(gè)安全區(qū)段，并 ( 可選) 給它分配 IP 地址/ 網(wǎng)絡(luò)掩碼。

在本例中，ethernet3 的 IP 地址為 210.1.1.1/24 并且被綁定到 Untrust 區(qū)段。將其IP 地址和網(wǎng)絡(luò)掩碼設(shè)置為 0.0.0.0/0 并將其綁定到 Null 區(qū)段。

WebUI

Network > Interfaces > Edit ( 對于 ethernet3): 輸入以下內(nèi)容，然后單擊 OK :

Zone Name: Null

IP Address/Netmask: 0.0.0.0/0

CLI

set interface ethernet3 ip 0.0.0.0/0

set interface ethernet3 zone null

save

編址接口

在本例中，將給 ethernet5 分配 IP 地址 210.1.1.1/24,“管理 IP ”地址 210.1.1.5。( 請注意, “管理 IP ”地址必須在與安全區(qū)段接口 IP 地址相同的子網(wǎng)中) 。最后，將接口模式設(shè)置為 NAT ，將所有內(nèi)部 IP 地址轉(zhuǎn)換至綁定到其它安全區(qū)段的缺省接口。

WebUI

Network > Interfaces > Edit ( 對于 ethernet5): 輸入以下內(nèi)容，然后單擊 OK :

IP Address/Netmask: 210.1.1.1/24

Manage IP: 210.1.1.5

CLI

set interface ethernet5 ip 210.1.1.1/24

set interface ethernet5 manage-ip 210.1.1.5

save

修改接口設(shè)置

配置物理接口、子接口、冗余接口、聚合接口或“虛擬安全接口”(VSI) 后，需要時(shí)可更改下列