juniper防火墙配置Word文档下载推荐.docx
《juniper防火墙配置Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《juniper防火墙配置Word文档下载推荐.docx(18页珍藏版)》请在冰豆网上搜索。
第二步、为接口匹配iP(Zones和接口都用系统默认的就够用了,这里只需为接口配相应的IP)
进入Network>
interfaces界面
先编辑eth0/1的地址:
其中ManagementServices可根管理需求勾选,ping勾上
接着编辑eth0/2的地址:
这里ManagementService勾上WebUI、Telnet及SSH,Ping也勾上,这样方便以后通过外网来管理防火墙。
最后方法同上修改eth0/0的ip为所要设的IP(华南这里:
172.31.11.1/24),这里为方便管理MangementService全勾上。
配置完成后,防火墙会自动重启,这时需要重新修改本机的IP与防火墙的eth0/0接口的IP同网段(本机通过连接线连接在eth0/0口)
第三步、添加静态路由
进入Network
>
Routing
Destination界面,点击右上角的NEW来新建路由
i)添加到internet的缺省路由目标网络:
0.0.0.00.0.0.0网关:
202.105.115.201
ii)同上方式添加一条连通DMZ与内、地区的路由(目标网络172.31.0.0/16网关:
172.31.11.2)
iii)同上方式添加一条连通DMZ到总部的路由(目标网络172.17.0.0/16网关:
添加完成后如下图示
2)定义策略地址(略)
进入Policy>
PolicyElements>
Services>
Custom界面来自定义服务端口
第一步、对照之前准备的照服务端口映射表,统计需要定义的端口服务
注:
此图为端口服务映射表的部分
统计的端口有:
50000,22000,51000,4489,81,8080,7761,3389,139,4899,4200
接着添加定义端口服务,点击右上角新建来定义端口,进入下面的界面:
服务名设为端口号,目标端口号因为只有一个,范围的最小最大值都为端口号,这样就定义好了一个端口服务。
用上面相同的操作,完成所有端口服务的添加。
完成后如下图
第二步、参照端口服务映射表来把端口服务组合成映射所包含的服务组。
如:
内网有两个端口服务映射给外网,这就可以把两个端口服务组合一起成一个服务组
具体操作:
Groups界面,点击右上角的NEW来新建服务组:
图注:
为了方便下面策略配置服务,将组名设为含有对应的外网地址。
从右边框中选择所需的端口服务,添加进服务组。
按照上面相似的操作,对应端口服务映射表,完成所有服务组的定义,完成如下:
另外,考虑到内网到DMZ的访问,这里需要建一个DMZ的服务组,服务组名字:
DMZ_Service,然后,将DMZ区服务器的所有开放端口添加。
第三步、根据内网到外网映射服务的多对一,参照端口服务映射表在外网接口eth0/2
上来定义VIP服务。
进入Network>
Interfaces>
Edit(ethernet0/2)>
VIP/VIPServices界面
如图,在VitualIPAddress中输入服务器端口服务映射表中统计的外网地址,点击添加,完成一个输入,依次将所有映射的外网地址输入。
接着点击右上角的NEWVIPService来定义VIP服务
VirtualIP中通过下列框选择映射出的外网IP,MaptoService中的下列框中选择映射出的端口服务,MaptoIP输入对应内网地址
按照上述相似操作完成端口服务映射表的所有VIP服务,完成后如下图
第四步,根据管理需求,也可定义一对一的映射也即MIP服务,将内网某个网络设备或服务器的访问映射出去
进入Network>
Edit(ethernet0/2)>
MIP界面,点击右上角的NEW新建MIP服务
为方便管理华南这边就内网中路由的telnet服务,以及一台服务器映射出去。
5)匹配策略
进入Policy>
Policies界面,点击右上角的NEW新建策略
i)FromTrustToUntrust
内网访问internet,因据华南网络拓扑图知,内网是不会通过防火墙访问internet的,所以,这里的策略应该不起什么作用。
若内网需要访问外网,一般都是所有的ip和服务都放行。
ii)FromTrustToDMZ
将DMZ的所有开放的服务(包含在之前定义的DMZ_Service服务组中)允许Trust用户应用
图注:
这里源地址和目标地址都选择any,service选择应该选DMZ_Service,但应之前DMZ_Service漏加ping服务,所以点击Multiple,定义为DMZ_Servcie加上ping。
完成后:
iii)FromDMZTotrust
所有DMZ的用户都可访问trust区其他网络设备。
源IP:
any目标IP:
anyService:
anyAction:
permit
iv)FromDMZTOUntrust
所有DMZ的网络设备都可正常访问internet,但需要将源地址NAT映射,这里直接通过外网接口转换。
只需在正常设置后,进入Advanced,勾上源地址转换,选择使用接口地址即可
V)FromUntrustToTrust
华南这里分别将trust区的路由的f0/0/1的地址的telnet服务通过MIP的方式以及一个内网地址172.31.0.7映射出去。
操作如下
完成后如下:
Action显蓝色,说明做了地址转换
Vi)FromUntrustToDMZ
DMZ服务器所有开放的端口服务,华南这里主要是以VIP的方式
Vip服务的策略添加如下图:
目的地址选上VIP,service则选择对应的服务组
5)恢复出厂配置
操作准备:
一条反转线,接路由Console口,另一端通过网卡串口转usb转换器连到PC上,然后通过pc的超级终端进行登录。
超级终端:
在PC机上开始—程序—附件—通讯—超级终端》新建连接名称自定义,连接时使用选择通讯端口(通讯端口可通过PC的设备管理器中端口中查看到USBSerialPort),端口属性还原为默认值,确定进入编辑窗口,双击Entre,进入编辑。
i)知道用户密码的情况:
在超级终端窗口按提示输入用户名和密码
输入getint可查看接口的ip
输入getconfig可查看已有的配置
清除配置,还原出厂配置如下操作:
unsetall//清除配置
reset//重启系统
ii)不知道密码的情况下:
记录下防火墙的序列号(又称SerialNumber,在防火墙机身上面可找到)记录下来的序列号作为登录的用户名/密码,进入控制台输入用户/密码,接着方法同上。
6)配置的导出与导入
进入Configuration>
Update>
ConfigFile界面
i)配置文件的导出
点选:
Savetofile,将当前的防火墙设备的配置文件导出为一个无后缀名的可编辑文本文件。
(CLI方式的配置文件导出:
ns208->
saveconfigfromflashtotftpIP用户名.cfg)
ii)配置文件的导入
1、点选:
MergetoCurrentConfiguration,覆盖当前配置并保留不同之处;
2、点选:
ReplaceCurrentConfiguration替换当前配置文件。
(CLI方式配置文件的导入:
saveconfigfromtftpIP文件名.cfgtoflash//恢复到flash或者ns208->
saveconfigfromtftpIP文件名.cfgmerge//恢复到RAM)
7)其他
i)进入Configuration>
Admin>
Administrators界面
在localAdministratorDatabase中可Edit用户信息
ii)进入Configuration>
Date/Time界面,点击右上角的SyncClockwithClient,可实现系统时间的同步