爱华网
Juniper 防火墙配置手册
2007-11
目 录
目 录 ........................................................................................................................... 2
第一章:Juniper 防火墙基本原理........................................................................................ 4
一,安全区段: ............................................................................................................. 4
二,安全区段接口 ....................................................................................................... 5
三,创建二级 IP 地址............................................................................................... 12
四,接口状态更改 ..................................................................................................... 13
五,接口透明模式 ..................................................................................................... 15
六,接口NAT 模式 .................................................................................................. 20
七,接口路由模式 ..................................................................................................... 25
八,地址组................................................................................................................ 30
九,服务 ................................................................................................................... 32
十,动态 IP 池 ......................................................................................................... 32
十一,策略................................................................................................................ 43
十二,系统参数......................................................................................................... 64
1,域名系统支持 ............................................................................................. 64
2,DNS 查找................................................................................................... 64
3,动态主机配置协议 ...................................................................................... 70
4,以太网点对点协议 ...................................................................................... 82
5,现有设备或新设备添加防病毒、Web 过滤、反垃圾邮件和深入检查 ........... 87
6,系统时钟 .................................................................................................... 87
第二章:Juniper 防火墙管理............................................................................................. 91
一,通过 Web 用户界面进行管理 ............................................................................. 91
二,通过命令行界面进行管理.................................................................................... 95
三,通过 NetScreen-Security Manager 进行管理 ......................................................... 96 四,设置管理接口选项 .............................................................................................100 五,管理的级别........................................................................................................103 六,日志信息 ........................................................................................................... 110
第三章:Juniper 防火墙路由............................................................................................138 1,静态路由 .............................................................................................................138 2,OSPF...................................................................................................................144
第四章:Juniper 防火墙NAT...........................................................................................150 一,基于策略的转换选项..........................................................................................150 二,NAT-Dst— 一对一映射 .....................................................................................161 三, NAT-Dst— 一对多映射 ....................................................................................163 四,NAT-Dst— 多对一映射 .....................................................................................166 五,NAT-Dst— 多对多映射 .....................................................................................168 六,带有端口映射的 NAT-Dst..................................................................................170 七,同一策略中的 NAT-Src 和 NAT-Dst...................................................................173 八,Untrust 区段上的MIP ........................................................................................183 九,虚拟 IP 地址 ....................................................................................................190
第五章:Juniper 防火墙VPN...........................................................................................197
一,站点到站点的虚拟专用网...................................................................................197
1,站点到站点 VPN 配置 .................................................................................197 2,基于路由的站点到站点 VPN,自动密钥 IKE ...............................................202 3,基于路由的站点到站点 VPN,动态对等方 ...................................................209 4,基于策略的站点到站点 VPN,动态对等方 ...................................................217 5,基于路由的站点到站点 VPN,手动密钥.......................................................224 6,基于策略的站点到站点 VPN,手动密钥.......................................................230 二,拨号虚拟专用网.................................................................................................235
1,基于策略的拨号 VPN,自动密钥 IKE..........................................................235 2,基于路由的拨号 VPN,动态对等方..............................................................240 基于策略的拨号 VPN,动态对等方 ................................................................246 用于拨号 VPN 用户的双向策略......................................................................251
第六章:Juniper 防火墙攻击检测与防御 ..........................................................................256
一,Juniper中低端防火墙的UTM功能配置 ..............................................................256
1,Profile的设置 ...............................................................................................257 2,防病毒profile在安全策略中的引用...............................................................259 二,防垃圾邮件功能的设置 ......................................................................................261
1,Action 设置 .................................................................................................262 2,White List与Black List的设置.....................................................................262 3,防垃圾邮件功能的引用 .................................................................................264 三,WEB/URL过滤功能的设置 ................................................................................264
1转发URL过滤请求到外置URL过滤服务器 .................................................264 2,使用内置的URL过滤引擎进行URL过滤 .....................................................266 3,手动添加过滤项 ...........................................................................................267 四,深层检测功能的设置..........................................................................................269
1,设置DI攻击特征库自动更新 ........................................................................270 2,深层检测(DI)的引用 .................................................................................271
第一章:Juniper 防火墙基本原理
一,安全区段:
概念:
安全区段是由一个或多个网段组成的集合,需要通过策略来对入站和出站信息流进行调整。安全区段是绑定了一个或多个接口的逻辑实体。通过多种类型的 Juniper Networks 安全设备,您可以定义多个安全区段,确切数目可根据网络需要来确定。除用户定义的区段外,您还可以使用预定义的区段:
Trust、Untrust 和 DMZ (用于第3 层操作),或者 V1-Trust、V1-Untrust 和 V1-DMZ ( 用于第2 层操作)。
如果愿意,可以继续使用这些预定义区段。也可以忽略预定义区段而只使用用户定义的区段。另外,您还可以同时使用这两种区段- 预定义和用户定义。利用区段配置的这种灵活性,您可以创建能够最好地满足您的具体需要的网络设计。
功能区段
共有五个功能区段,分别是 Null、MGT、HA、Self 和 VLAN。每个区段的存在都有其专门的目的,如以下小节所述。
Null 区段
此区段用于临时存储没有绑定到任何其它区段的接口。
MGT 区段
此区段是带外管理接口 MGT 的宿主区段。可以在此区段上设置防火墙选项以保护管理接口,使其免受不同类型的攻击。
HA 区段
百度搜索“爱华网”,专业资料、生活学习,尽在爱华网!
