基於tpc/ip 2-4層
防火牆設備的設置步驟:
1、確定部署模式(透明、路由、NAT模式)
2、設置設備的IP地址(接口地址、管理地址)
3、設置路由信息
4、確定ip地址信息止(基於策略的源、目標地址)
5、確定網絡應用
6、配置防問控制策略
默認帳號密碼:netscreen
防火牆三個接口的安全區域:
ethernet1:trust
ethernet2:dmz
ethernet3:untrust
ethernet4:null
防火牆三種應用模式:
透明模式
NAT模式
路由模式
特殊模式:二層模式與三層模式混合部署(需要一些條件支持)
透明模式:
只有管理ip地址沒有接口ip地址
獨有透明模式下ipsec vpn
透明模式的實現:
unset interface ethernet1 ip
set interface ethernet1 zone v1-trust
set interface ethernet2 zone v1-dmz
set interface ethernet3 zone v1-untrust
set interface vlan1 ip 192.168.1.1/24
save
NAT模式的實現:
set interface ethernet1 zone trust
set interface ethernet2 zone dmz
set interface ethernet3 zone untrust
set interface ethernet1 ip 192.168.1.1/24
set interface ethernet2 ip 172.16.1.1/24
set interface ethernet3 ip 10.10.1.1/24
set interface ethernet3 gateway 10.10.0.251
set interface ethernet1 nat
save
路由模式的實現
set interface ethernet1 zone trust
set interface ethernet2 zone dmz
set interface ethernet3 zone untrust
set interface ethernet1 ip 192.168.1.1/24
set interface ethernet2 ip 172.16.1.1/24
set interface ethernet3 ip 10.10.1.1/24
set interface ethernet3 gateway 10.10.0.251
set interface ethernet1 route
save
web登陸
防火牆默認IP:192.168.1.1 透明模式下ip為vlan1的ip地址;NAT模式下為trust的ip,默認在eth1接口上
vlan1 ip地址可作為透明模式下遠程vpn的網關
juniper防火牆必須配置策略才能轉發數據包
訪問控制策略包含六個最基本的必要信息:
策略的方向
源地址信息
目標地址信息
網絡服務信息
策略動作信息
策略的排列位置
非必要信息:
日志、流量控制、認證、實時流量記錄
合理安排策略順序:
具體策略在上,非具體策略在下;
拒絕策略在上,允許策略在下;
VPN策略在上,,非VPN策略在下
優化策略內容:
合理利用地址組、服務組功能
自定義服務:
object-service-custom
自定義服務組:
objects-services-groups-configuartiong
安全域的設置
最常用的安全域:三層的安全域trust、dmz、untrust;二層的安全域:v1-trust、v1-dmz、v1-untrust
trust、dmz、untrust、v1-trust、v1-dmz、v1-untrust以上名稱都是防火牆的保留字
一些特殊的應用MIP(ip地址映射)
MIP映射
network>interface>ethernet3>edit>MIP>NEW
一般應用:主要的應用是公網IP與內部IP的一對一映射
策略方向:由untrust到trust或DMZ
源地址為:ANY
目標地址:MIP
服務類型:按需可選
MIP策略設置:
DIP應用(地址池映射)
DIP動態地址池,與CISCO的IP POOL功能類似
主要提供對內部地址外出訪問的地址翻譯
通常利用在擁有大量的注冊IP地址,同時又擁有大量非注冊地址的網絡用戶
理論上,一個注冊ip地址可以代理600000多台主機外出
位置NETWORK>Interface>Edit>DIP
VIP 端口地址映射
一個注冊ip地址,對內部多個服務器或計算貢提供的基於協議端口方式的地址映射
Network>Interface>Edit>VIP/Vip Services
1.先添加一個注冊的ip地址
2.增加內部私有地址與注冊ip地址的對應,並提供對應的協議端口
3.設置訪問控制策略
配置文件的保存
配置文件的導出:
Configuration>Update>Config File>save to file>保存到具體位置
配置文件的導入
Configuration>Update>Config File>瀏覽》找到配置文件>Apply
恢復出廠狀態:
在知道防火牆root用戶名密碼的前提下:輸入unset all 回車確認,斷電重啟后將恢復出廠狀態
在不知道防火牆root用戶名密碼,通過超級終端連接防火牆控制台,用防火牆SN序列號作為用戶名密碼登陸 ,根據提示一路YES,待
防火牆重啟后可恢復出廠狀態。