JUNIPER防火墙配置维护web方式.docx

1、JUNIPER防火墙配置维护web方式JUNIPER防火墙配置维护编者：周洪强审核：谢 斌中兴通讯固网深圳用服部修改记录文档编号版本号拟制人/修改人审核人拟制/修改日期更改原因主要更改内容要点无V1.00周洪强谢斌2008-8-202008年专题文档光盘编写根据资料修改无V1.01曹文彬潘玉宝2008-9-112008年专题文档光盘编写修改格式第一章 防火墙的基本知识及概念摘要：本章内容介绍防火墙基本知识和概念。安全区是由一个或多个网段组成的集合，需要通过策略来对入站和出站信息流进行调整安全区是绑定了一个或多个接口的逻辑实体。1 通过多种类型的NetScreen设备，用户可以定义多个安全区，确

2、切数目可根据网络需要来确定。除用户定义的区段外，用户还可以使用预定义的区段：Trust、Untrust和DMZ（用于第3层操作），或者V1-Trust、V1-Untrust和V1-DMZ（用于第2层操作）。2 如果愿意，可以继续使用这些预定义区段。也可以忽略预定义区段而只使用用户定义的区段。3 另外，用户还可以同时使用这两种区段:预定义和用户定义。利用区段配置的这种灵活性，用户可以创建能够最好地满足用户的具体需要的网络设计。图 11 网络图第二章 安装步骤摘要：本章内容介绍juniper防火墙的安装设置。二.1 初始化配置按以下连接防火墙，然后进行初始化设置。1 Console方式基于Cons

3、ole终端配置ISG2000的准备工作如下：安装Windows操作系统的PC一台（装有超级终端）ISG2000设备自带的Console电缆一条使用超级终端建立一个连接，通过Console电缆一端连接ISG2000，一端连接COM，COM的参数设置如图21：图21 com属性2 基于WEB方式在浏览器地址栏键入http:/10.147.66.65（ISG2000设备初始IP地址 192.168.1.1），如下图22：图22 IE初始化打开登陆界面使用Console端口做初始化配置。Juniper防火墙的初始账号和密码分别为：login: netscreenpassword:netscreenns

4、isg2000- set hostname FW01 -设置主机名称FW01-FW01- set int mgt ip 10.147.66.65/27 -设置管理端口的地址将电脑网卡地址设置成和管理端口同一网段。3 图形登陆打开IE浏览器，并在URL：输入防火墙的管理地址。图 23 IE打开登陆界面二.2 端口设置二.2.1 设置HA端口选择Network Interfaces Ethernet1/1 Edit在Zone Name ：HA -将Ethernet 1/1 设置成HA心跳端口图 24 HA端口设置界面选择Network Interfaces Ethernet1/2 Edit在Zon

5、e Name ：HA -将Ethernet 1/2 设置成HA心跳端口图 25 HA心跳端口设置界面二.2.2 连接接口设置选择Network Interfaces Ethernet2/1 Edit ：输入以下内容，单击OK在Zone Name ：Untrust -将Ethernet 2/1 设置成Untrust安全区域IP Address / Netwask : 10.0.0.251 /25 -输入IP 地址图 26 连接接口设置界面二.2.3 Internet接口设置。图 27 Internet接口设置界面二.2.4 设置redundant 冗余接口选择Network Interfaces

6、 Redundant IF：单击New图 28 redundant冗余接口界面输入以下内容，单击OKInterface Name : Redundant 1 -建立red1接口Zone Name ：Trust -将Red1接口设置成Trust安全区域IP Address / Netwask : 10.147.67.1/27 -输入IP地址和掩码图 29 Redundant图 210 redundant冗余接口界面二.2.5 建立red1冗余接口的成员选择Network Interfaces Ethernet 3/2：输入以下内容，单击OKAs member of group : redunda

7、nt 1图 211 建立red1冗余接口的成员界面选择Network Interfaces Ethernet 3/1：输入以下内容，单击OKAs member of group : redundant 1图 212 建立red1冗余接口的成员界面图 213 建立red1冗余接口的成员界面二.3 设置路由二.3.1 路由表选择Network Routing Routing Entries图 214 路由表选择界面二.3.2 增加默认路由Network Routing Routing Entries trust-vr New，输入以下内容，单击OK。Network Address / Netmas

8、k : 0.0.0.0 / 0Gateway： Interface: ethernet2/2 Gateway IP Address : 211.138.184.193 -网关地址，CMNet6506接口地址图 215 增加默认路由界面二.3.3 增加内部网络的路由Network Routing Routing Entries trust-vr New，输入以下内容，单击OK。Network Address / Netmask : 10.147.70.0 / 255.255.255.0Gateway： Interface: redundant1 Gateway IP Address : 10.1

9、47.70.2 -网关地址，F5 VRRP接口地址输入10.147.70.30图 216 增加内部网络的路由界面二.4 NAT设置二.4.1 设置Internet网端的NATNetwork Internet（List）图 217 设置Internet网端的NAT界面选择正确的接口。Ethernet2/2接口是连接Internet接口，因此选择在该端口上设置NAT。图 218 设置Internet网端的NAT界面选择Network Interface Ethernet 2/2 Edit MIP （List） NEW图 219 设置Internet网端的NAT界面输入以下内容，单击OK。Mappe

10、d IP : 211.138.184.198 -公网WWW服务器地址Network : 255.255.255.255Host IP Address : 10.147.67.68 -内网WWW服务器网卡地址Host Virtual Router Name :trust-vr图 220 设置Internet网端的NAT界面图 221 设置Internet网端的NAT界面二.4.2 设置10.0.0.0网端的地址翻译Network Interface Ethernet 2/1 Edit图 222 设置10.0.0.0网端的地址翻译界面选择MIP。图 223 设置10.0.0.0网端的地址翻译界面输

11、入以下内容，单击OK。Mapped IP : 10.0.0.172 -服务地址Network : 255.255.255.255Host IP Address : 10.147.67.5 -F5 设备VIP 地址Host Virtual Router Name :trust-vr输入:10.147.70.5图 224 设置10.0.0.0网端的地址翻译界面二.5 端口服务选择Objects Services Custom：图 225 设置端口服务界面选择，输入以下内容，单击OK。图 226 设置端口服务界面选择OK。图 227 设置端口服务界面增加其他的服务：图 228 设置端口服务界面二.6

12、 定义策略二.6.1 设置10.0.0.0网端访问防火墙内部业务处理机服务器的策略选择Policy From Untrust To Global New图 229 定义策略界面输入以下内容，单击OK。Source Address : Address Book Entry :AnyDestination Address: Address book Entry : MIP（10.0.0.172）Service : 点击 Multiple ，选择以下服务Brower_udDNSENUM_DNS_INENUM_DNS_OUTFTPHTTPHTTPSPush_tcpRadius_udpSmsc5016_

13、tcpSnmp_GET_SET-UDPSNMP_Trap_udpAction : PermitLogging :图 230 定义策略界面在选择service 的选择框。图 231 定义策略界面图 232 定义策略界面二.6.2 内部网络访问外部网络的策略定义Policy From Trust To Untrust New图 233 内部网络访问外部网络的策略定义界面输入以下内容，单击OKSource Address : Address Book Entry :AnyDestination Address: Address book Entry : AnyService : anyAction

14、: PermitLogging :图 234 内部网络访问外部网络的策略定义界面二.7 双机冗余NSRP配置二.7.1 激活NSRP选择Network NSRP Cluster ，输入以下内容，单击ApplyCluster ID :1-0是关闭NSRP功能，参数1-7 是激活NSRPNSRP Authentication Password: NetscreenNSRP Encryption Password: Netscreen图 235 激活NSRP二.7.2 设置VSD Group选择Network NSRP VSD Group Configuration，输入以下内容，单击OK。Grou

15、p ID :0Priority :50图 236 设置VSD Group NSRP二.7.3 同步选择Network NSRP Synchronization。图 237 同步二.7.4 监控端口NSRP监控的端口出现故障，两台做双机的设备将切换主/备关系。选择Network NSRP Monitor Interface VSD ID : 0 Edit Interface。图 238 监控端口图 239 监控端口二.7.5 同步另一台配置本操作必须在超级终端中设置。同步过程中关键的信息只有在超级终端中才能看到。该步骤将主防火墙的配置和备份防火墙的配置进行同步，设置前请先将主防火墙的配置备份一次

16、。使用超级终端登陆备份防火墙的console端口。使用一下命令：nsisg2000- set hostname FW02 -设置主机名称FW02-FW02- set int mgt ip 10.147.66.66/27 -设置管理端口的地址FW02- set int e1/1 zone ha -设置HA心跳端口FW02- set int e1/2 zone ha -设置HA心跳端口FW02-set nsrp cluster id 1FW02（B）-set nsrp vsd-group id 0 priority 100 -设备状态切换到备份状态FW02（B）-set nsrp rto-mirr

17、or sync -NSRP的配置FW02（B）- exec nsrp sync rto all from peer -将从主设备上向备份主机同步会话状态信息FW02（B）- exec nsrp sync file from peer -将从主设备上向备份主机同步配置信息FW02（B）- exec nsrp sync global-config check-sum -将两台设备的配置进行校检，如有不同，备份的设备将会在重启后把主设备上的配置导入备份主机中FW02（B）- exec nsrp sync global-config save -如有不同，备份的设备将会在重启后把主设备上的配置导入备份

18、主机中以下信息只有在超级终端上才有显示：FW02 （B）- exec nsrp sync global-config saveload peer system config to saveSave global configuration successfully.Continue to save local configurations . Save local configuration successfully.done.Please reset your box to let cluster configuration take effect!FW02 （B）- resetSystem

19、 reset, are you sure? y/n yIn reset重启备份防火墙，在重启的过程中，备份的防火墙将会从主设备上同步配置。FW02 （B）- reset重启后在超级终端中显示如下：System config （1242 bytes） loaded.Done.Local config （209 bytes） loadedLoad System Configuration .Doneconfiguration in syncSystem change state to Active（1）Received all run-time-object from peer.Login:Log

20、in:Netscreen防火墙的冗余配置结束，登录设备检查配置。二.8 账号管理选择Configuration Admin Administrators Edit。图 240 账号管理二.9 配置文件备份选择Configuration Update Config file Save TO File。图 241 配置文件备份图 242 配置文件备份选择配置文件保存的目录。图 243 配置文件备份二.10 版本升级步骤升级前请将原有配置备份。建议升级过程中使用超级终端连接到防火墙的Console 端口上。选择Configuration Update ScreenOS/KEY Fireware Update （ScreenOS） 浏览。图 244 版本升级选择文件 打开 Apply。图 245 版本升级