JUNIPER防火墙配置维护web方式.docx

1、JUNIPER防火墙配置维护web方式JUNIPER防火墙配置维护编者：周洪强审核：谢 斌中兴通讯固网深圳用服部修改记录文档编号版本号拟制人/修改人审核人拟制/修改日期更改原因主要更改内容要点无V1.00周洪强谢斌2008-8-202008年专题文档光盘编写根据资料修改无V1.01曹文彬潘玉宝2008-9-112008年专题文档光盘编写修改格式第一章 防火墙的基本知识及概念摘要：本章内容介绍防火墙基本知识和概念。安全区是由一个或多个网段组成的集合，需要通过策略来对入站和出站信息流进行调整安全区是绑定了一个或多个接口的逻辑实体。1 通过多种类型的NetScreen设备，用户可以定义多个安全区，确

2、切数目可根据网络需要来确定。除用户定义的区段外，用户还可以使用预定义的区段：Trust、Untrust和DMZ（用于第3层操作），或者V1-Trust、V1-Untrust和V1-DMZ（用于第2层操作）。2 如果愿意，可以继续使用这些预定义区段。也可以忽略预定义区段而只使用用户定义的区段。3 另外，用户还可以同时使用这两种区段:预定义和用户定义。利用区段配置的这种灵活性，用户可以创建能够最好地满足用户的具体需要的网络设计。图 11 网络图第二章 安装步骤摘要：本章内容介绍juniper防火墙的安装设置。二.1 初始化配置按以下连接防火墙，然后进行初始化设置。1 Console方式基于Cons

3、ole终端配置ISG2000的准备工作如下：安装Windows操作系统的PC一台（装有超级终端）ISG2000设备自带的Console电缆一条使用超级终端建立一个连接，通过Console电缆一端连接ISG2000，一端连接COM，COM的参数设置如图21：图21 com属性2 基于WEB方式在浏览器地址栏键入http:/10.147.66.65（ISG2000设备初始IP地址 192.168.1.1），如下图22：图22 IE初始化打开登陆界面使用Console端口做初始化配置。Juniper防火墙的初始账号和密码分别为：login: netscreenpassword:netscreenns

4、isg2000- set hostname FW01 -设置主机名称FW01-FW01- set int mgt ip 10.147.66.65/27 -设置管理端口的地址将电脑网卡地址设置成和管理端口同一网段。3 图形登陆打开IE浏览器，并在URL：输入防火墙的管理地址。图 23 IE打开登陆界面二.2 端口设置二.2.1 设置HA端口选择Network Interfaces Ethernet1/1 Edit在Zone Name ：HA -将Ethernet 1/1 设置成HA心跳端口图 24 HA端口设置界面选择Network Interfaces Ethernet1/2 Edit在Zon

5、e Name ：HA -将Ethernet 1/2 设置成HA心跳端口图 25 HA心跳端口设置界面二.2.2 连接接口设置选择Network Interfaces Ethernet2/1 Edit ：输入以下内容，单击OK在Zone Name ：Untrust -将Ethernet 2/1 设置成Untrust安全区域IP Address / Netwask : 10.0.0.251 /25 -输入IP 地址图 26 连接接口设置界面二.2.3 Internet接口设置。图 27 Internet接口设置界面二.2.4 设置redundant 冗余接口选择Network Interfaces

6、 Redundant IF：单击New图 28 redundant冗余接口界面输入以下内容，单击OKInterface Name : Redundant 1 -建立red1接口Zone Name ：Trust -将Red1接口设置成Trust安全区域IP Address / Netwask : 10.147.67.1/27 -输入IP地址和掩码图 29 Redundant图 210 redundant冗余接口界面二.2.5 建立red1冗余接口的成员选择Network Interfaces Ethernet 3/2：输入以下内容，单击OKAs member of group : redunda

7、nt 1图 211 建立red1冗余接口的成员界面选择Network Interfaces Ethernet 3/1：输入以下内容，单击OKAs member of group : redundant 1图 212 建立red1冗余接口的成员界面图 213 建立red1冗余接口的成员界面二.3 设置路由二.3.1 路由表选择Network Routing Routing Entries图 214 路由表选择界面二.3.2 增加默认路由Network Routing Routing Entries trust-vr New，输入以下内容，单击OK。Network Address / Netmas

8、k : 0.0.0.0 / 0Gateway： Interface: ethernet2/2 Gateway IP Address : 211.138.184.193 -网关地址，CMNet6506接口地址图 215 增加默认路由界面二.3.3 增加内部网络的路由Network Routing Routing Entries trust-vr New，输入以下内容，单击OK。Network Address / Netmask : 10.147.70.0 / 255.255.255.0Gateway： Interface: redundant1 Gateway IP Address : 10.1

9、47.70.2 -网关地址，F5 VRRP接口地址输入10.147.70.30图 216 增加内部网络的路由界面二.4 NAT设置二.4.1 设置Internet网端的NATNetwork Internet（List）图 217 设置Internet网端的NAT界面选择正确的接口。Ethernet2/2接口是连接Internet接口，因此选择在该端口上设置NAT。图 218 设置Internet网端的NAT界面选择Network Interface Ethernet 2/2 Edit MIP （List） NEW图 219 设置Internet网端的NAT界面输入以下内容，单击OK。Mappe

10、d IP : 211.138.184.198 -公网WWW服务器地址Network : 255.255.255.255Host IP Address : 10.147.67.68 -内网WWW服务器网卡地址Host Virtual Router Name :trust-vr图 220 设置Internet网端的NAT界面图 221 设置Internet网端的NAT界面二.4.2 设置10.0.0.0网端的地址翻译Network Interface Ethernet 2/1 Edit图 222 设置10.0.0.0网端的地址翻译界面选择MIP。图 223 设置10.0.0.0网端的地址翻译界面输

11、入以下内容，单击OK。Mapped IP : 10.0.0.172 -服务地址Network : 255.255.255.255Host IP Address : 10.147.67.5 -F5 设备VIP 地址Host Virtual Router Name :trust-vr输入:10.147.70.5图 224 设置10.0.0.0网端的地址翻译界面二.5 端口服务选择Objects Services Custom：图 225 设置端口服务界面选择，输入以下内容，单击OK。图 226 设置端口服务界面选择OK。图 227 设置端口服务界面增加其他的服务：图 228 设置端口服务界面二.6

12、 定义策略二.6.1 设置10.0.0.0网端访问防火墙内部业务处理机服务器的策略选择Policy From Untrust To Global New图 229 定义策略界面输入以下内容，单击OK。Source Address : Address Book Entry :AnyDestination Address: Address book Entry : MIP（10.0.0.172）Service : 点击 Multiple ，选择以下服务Brower_udDNSENUM_DNS_INENUM_DNS_OUTFTPHTTPHTTPSPush_tcpRadius_udpSmsc5016_tcpSnmp_GET_SET-UDPSNMP_Trap_udpAction : PermitLogging :图 230 定义策略界面在选择service 的选择框。