JUNIPER防火墙配置维护web方式.docx
《JUNIPER防火墙配置维护web方式.docx》由会员分享,可在线阅读,更多相关《JUNIPER防火墙配置维护web方式.docx(19页珍藏版)》请在冰豆网上搜索。
JUNIPER防火墙配置维护web方式
JUNIPER防火墙配置维护
编者:
周洪强
审核:
谢斌
中兴通讯固网深圳用服部
修改记录
文档编号
版本号
拟制人/修改人
审核人
拟制/修改
日期
更改原因
主要更改内容要点
无
V1.00
周洪强
谢斌
2008-8-20
2008年专题文档光盘编写
根据资料修改
无
V1.01
曹文彬
潘玉宝
2008-9-11
2008年专题文档光盘编写
修改格式
第一章防火墙的基本知识及概念
摘要:
本章内容介绍防火墙基本知识和概念。
安全区是由一个或多个网段组成的集合,需要通过策略来对入站和出站信息流进行调整安全区是绑定了一个或多个接口的逻辑实体。
1.通过多种类型的NetScreen设备,用户可以定义多个安全区,确切数目可根据网络需要来确定。
除用户定义的区段外,用户还可以使用预定义的区段:
Trust、Untrust和DMZ(用于第3层操作),或者V1-Trust、V1-Untrust和V1-DMZ(用于第2层操作)。
2.如果愿意,可以继续使用这些预定义区段。
也可以忽略预定义区段而只使用用户定义的区段。
3.另外,用户还可以同时使用这两种区段:
预定义和用户定义。
利用区段配置的这种灵活性,用户可以创建能够最好地满足用户的具体需要的网络设计。
图11网络图
第二章安装步骤
摘要:
本章内容介绍juniper防火墙的安装设置。
二.1初始化配置
按以下连接防火墙,然后进行初始化设置。
1.Console方式
基于Console终端配置ISG2000的准备工作如下:
安装Windows操作系统的PC一台(装有超级终端)
ISG2000设备自带的Console电缆一条
使用超级终端建立一个连接,通过Console电缆一端连接ISG2000,一端连接COM,COM的参数设置如图21:
图21com属性
2.基于WEB方式
在浏览器地址栏键入http:
//10.147.66.65(ISG2000设备初始IP地址192.168.1.1),如下图22:
图22IE初始化打开登陆界面
使用Console端口做初始化配置。
Juniper防火墙的初始账号和密码分别为:
login:
netscreen
password:
netscreen
nsisg2000->sethostnameFW01----------设置主机名称
FW01->
FW01->setintmgtip10.147.66.65/27---------设置管理端口的地址
将电脑网卡地址设置成和管理端口同一网段。
3.图形登陆
打开IE浏览器,并在URL:
输入防火墙的管理地址。
图23IE打开登陆界面
二.2端口设置
二.2.1设置HA端口
选择Network>Interfaces>Ethernet1/1>Edit
在ZoneName:
HA---------将Ethernet1/1设置成HA心跳端口
图24HA端口设置界面
选择Network>Interfaces>Ethernet1/2>Edit
在ZoneName:
HA---------将Ethernet1/2 设置成HA心跳端口
图25HA心跳端口设置界面
二.2.2连接接口设置
选择Network>Interfaces>Ethernet2/1>Edit:
输入以下内容,单击OK
在ZoneName:
Untrust---------将Ethernet2/1设置成Untrust安全区域
IPAddress/Netwask:
10.0.0.251/25----------输入IP地址
图26连接接口设置界面
二.2.3Internet接口设置。
图27Internet接口设置界面
二.2.4设置redundant冗余接口
选择Network>Interfaces>RedundantIF:
单击New
图28redundant冗余接口界面
输入以下内容,单击OK
InterfaceName:
Redundant1----------------建立red1接口
ZoneName:
Trust---------将Red1接口 设置成Trust安全区域
IPAddress/Netwask:
10.147.67.1/27----------输入IP地址和掩码
图29Redundant
图210redundant冗余接口界面
二.2.5建立red1冗余接口的成员
选择Network>Interfaces>Ethernet3/2:
输入以下内容,单击OK
Asmemberofgroup:
redundant1
图211建立red1冗余接口的成员界面
选择Network>Interfaces>Ethernet3/1:
输入以下内容,单击OK
Asmemberofgroup:
redundant1
图212建立red1冗余接口的成员界面
图213建立red1冗余接口的成员界面
二.3设置路由
二.3.1路由表选择
Network>Routing>RoutingEntries
图214路由表选择界面
二.3.2增加默认路由
Network>Routing>RoutingEntries>trust-vr>New,输入以下内容,单击OK。
NetworkAddress/Netmask:
0.0.0.0/0
Gateway:
Interface:
ethernet2/2
GatewayIPAddress:
211.138.184.193------网关地址,CMNet6506接口地址
图215增加默认路由界面
二.3.3增加内部网络的路由
Network>Routing>RoutingEntries>trust-vr>New,输入以下内容,单击OK。
NetworkAddress/Netmask:
10.147.70.0/255.255.255.0
Gateway:
Interface:
redundant1
GatewayIPAddress:
10.147.70.2------网关地址,F5VRRP接口地址
输入10.147.70.30
图216增加内部网络的路由界面
二.4NAT设置
二.4.1设置Internet网端的NAT
Network>Internet(List)
图217设置Internet网端的NAT界面
选择正确的接口。
Ethernet2/2接口是连接Internet接口,因此选择在该端口上设置NAT。
图218设置Internet网端的NAT界面
选择Network>Interface>Ethernet2/2>Edit>MIP(List)>NEW
图219设置Internet网端的NAT界面
输入以下内容,单击OK。
MappedIP:
211.138.184.198-------公网WWW服务器地址
Network:
255.255.255.255
HostIPAddress:
10.147.67.68-------内网WWW服务器网卡地址
HostVirtualRouterName:
trust-vr
图220设置Internet网端的NAT界面
图221设置Internet网端的NAT界面
二.4.2设置10.0.0.0网端的地址翻译
Network>Interface>Ethernet2/1>Edit
图222设置10.0.0.0网端的地址翻译界面
选择MIP。
图223设置10.0.0.0网端的地址翻译界面
输入以下内容,单击OK。
MappedIP:
10.0.0.172-------服务地址
Network:
255.255.255.255
HostIPAddress:
10.147.67.5-------F5设备VIP地址
HostVirtualRouterName:
trust-vr
输入:
10.147.70.5
图224设置10.0.0.0网端的地址翻译界面
二.5端口服务
选择Objects>Services>Custom:
图225设置端口服务界面
选择
,输入以下内容,单击OK。
图226设置端口服务界面
选择OK。
图227设置端口服务界面
增加其他的服务:
图228设置端口服务界面
二.6定义策略
二.6.1设置10.0.0.0网端访问防火墙内部业务处理机服务器的策略
选择Policy>FromUntrust>ToGlobal>New
图229定义策略界面
输入以下内容,单击OK。
SourceAddress:
AddressBookEntry:
Any
DestinationAddress:
AddressbookEntry:
MIP(10.0.0.172)
Service:
点击Multiple,选择以下服务
Brower_ud
DNS
ENUM_DNS_IN
ENUM_DNS_OUT
FTP
HTTP
HTTPS
Push_tcp
Radius_udp
Smsc5016_tcp
Snmp_GET_SET-UDP
SNMP_Trap_udp
Action:
Permit
Logging:
√
图230定义策略界面
在选择service的选择框。