Juniper网络安全防火墙
Juniper防火墙配置概述Juniper防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求;但是由于部署模式及功能的多样性使得Juniper防火墙在实际部署时具有一定的复杂性。
在配置Juniper防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对Juniper防火墙进行配置和管理。
基本配置:
1. 确认防火墙的部署模式:NAT模式、路由模式、或者透明模式;
2. 为防火墙的端口配置IP地址(包括防火墙的管理IP地址),配置路由信息;
3. 配置访问控制策略,完成基本配置。
其它配置:
1. 配置基于端口和基于地址的映射;
2. 配置基于策略的VPN;
3. 修改防火墙默认的用户名、密码以及管理端口。
1.2、Juniper防火墙管理配置的基本信息
Juniper防火墙常用管理方式:
① 通过Web浏览器方式管理。推荐使用IE浏览器进行登录管理,需要知道防火墙对应端口的管理IP地址;
② 命令行方式。支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接两种命令行登录管理模式。
Juniper防火墙缺省管理端口和IP地址:
① Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理。缺省IP地址为:192.168.1.1/255.255.255.0;
② 缺省IP地址通常设置在防火墙的Trust端口上(NS-5GT)、最小端口编号的物理端口上(NS-25/50/204/208/SSG系列)、或者专用的管理端口上(ISG-1000/2000,NS-5200/5400)。
Juniper防火墙缺省登录管理账号:
① 用户名:netscreen;
② 密码:netscreen。
1.3、Juniper防火墙的常用功能
在一般情况下,防火墙设备的常用功能包括:透明模式的部署、NAT/路由模式的部署、NAT的应用、MIP的应用、DIP的应用、VIP的应用、基于策略VPN的应用。
本安装手册将分别对以上防火墙的配置及功能的实现加以说明。
注:在对MIP/DIP/VIP等Juniper防火墙的一些基本概念不甚了解的情况下,请先到本手册最后一章节内容查看了解!
2、Juniper防火墙三种部署模式及基本配置
Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:
① 基于TCP/IP协议三层的NAT模式;
② 基于TCP/IP协议三层的路由模式;
③ 基于二层协议的透明模式。
2.1、NAT模式
当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往 Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源 IP 地址和源端口号。
防火墙使用 Untrust 区(外网或者公网)接口的 IP 地址替换始发端主机的源 IP 地址;同时使用由防火墙生成的任意端口号替换源端口号。
NAT模式应用的环境特征:
① 注册IP地址(公网IP地址)的数量不足;
② 内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet;
③ 内部网络中有需要外显并对外提供服务的服务器。
2.2、Route-路由模式
当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变。
① 与NAT模式下不同,防火墙接口都处于路由模式时,不需要为了允许入站数据流到达某个主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址;
② 与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。
页:
[1]