Juniper防火墻基礎(chǔ)12024/5/12目錄Juniper防火墻簡(jiǎn)介及作用Juniper防火墻基本配置Juniper防火墻的接口模式Juniper防火墻的策略Juniper防火墻端口映射22024/5/12防火墻應(yīng)用場(chǎng)景132024/5/12防火墻應(yīng)用場(chǎng)景2DMZ區(qū)安全區(qū)2“供訪客使用只能上網(wǎng)安全區(qū)1供員工使用Web,email,關(guān)鍵應(yīng)用企業(yè)總部/數(shù)據(jù)中心性能容量Juniper防火墻型號(hào)對(duì)應(yīng)遠(yuǎn)程辦公室/中小企業(yè)/中小分支機(jī)構(gòu)中大企業(yè)/大型分支機(jī)構(gòu)30Gbps10GbpsNS5400NS52004Gbps1Gbps600Mbps300MbpsISG2000ISG1000SSG550SSG520SSG140SSG5SSG20總部/數(shù)據(jù)中心省級(jí)/地市核心分支機(jī)構(gòu)SSG320/35052024/5/12SSG系列型號(hào)SSG5&SSG20(ssg20有2個(gè)Mini插槽的）160MbpsFW/40MbpsVPN會(huì)話數(shù)：8000，加license可擴(kuò)展到16000SSG140350+MbpsFW/100MbpsVPN8FE+2GEInterfaces+4PIMslots會(huì)話數(shù)：48000SSG320M/350M

450+MbpsFW/175MbpsVPN;550+MbpsFW/225MbpsVPN;4GE+3or5PIMslots會(huì)話數(shù)：48000;SSG520M/550M2GbpsFW/300MbpsVPN；4GbpsFW/500MbpsVPN4GE+6PIMslots會(huì)話數(shù)：128000；256000SSG5SSG20SSG140SSG550MSSG520MSSG320MSSG350M62024/5/12規(guī)格對(duì)照之SSG5 防火墻性能（大型數(shù)據(jù)包）160Mbps防火墻性能(IMIX)90Mbps每秒處理的防火墻數(shù)據(jù)包數(shù)量30,000PPS3DES+SHA-1VPN性能40Mbps并發(fā)VPN隧道數(shù)25/40，最大并發(fā)會(huì)話數(shù)8,000/16,000新會(huì)話/秒2,800最大安全策略數(shù)200最大安全區(qū)數(shù)量8最大虛擬路由器數(shù)量3/4最大虛擬局域網(wǎng)數(shù)量10/50固定I/O7x10/100802.11a/b/g可選需要購(gòu)買(mǎi)擴(kuò)展許可72024/5/12規(guī)格對(duì)照之SSG20 防火墻性能（大型數(shù)據(jù)包）160Mbps防火墻性能(IMIX)90Mbps每秒處理的防火墻數(shù)據(jù)包數(shù)量30,000PPS3DES+SHA-1VPN性能40Mbps并發(fā)VPN隧道數(shù)25/40，最大并發(fā)會(huì)話數(shù)8,000/16,000新會(huì)話/秒2,800最大安全策略數(shù)200最大安全區(qū)數(shù)量8最大虛擬路由器數(shù)量3/4最大虛擬局域網(wǎng)數(shù)量10/50固定I/O5x10/100微型物理接口模塊(Mini-PIM)擴(kuò)展插槽（I/O）2802.11a/b/g可選需要購(gòu)買(mǎi)擴(kuò)展許可82024/5/12規(guī)格對(duì)照之SSG140防火墻性能（大型數(shù)據(jù)包）350+Mbps防火墻性能(IMIX)300Mbps每秒處理的防火墻數(shù)據(jù)包數(shù)量100,000PPS3DES+SHA-1VPN性能100Mbps并發(fā)VPN隧道數(shù)500，最大并發(fā)會(huì)話數(shù)48,000新會(huì)話/秒8,000最大安全策略數(shù)1,000最大安全區(qū)數(shù)量40最大虛擬路由器數(shù)量6最大虛擬局域網(wǎng)數(shù)量100固定I/O8x10/100,2x10/100/1000物理接口模塊(PIM)擴(kuò)展插槽（I/O）4無(wú)802.11a/b/g92024/5/12規(guī)格對(duì)照之SSG350防火墻性能（大型數(shù)據(jù)包）550+Mbps防火墻性能(IMIX)500Mbps每秒處理的防火墻數(shù)據(jù)包數(shù)量225,000PPS3DES+SHA-1VPN性能225Mbps并發(fā)VPN隧道數(shù)500，最大并發(fā)會(huì)話數(shù)128,000新會(huì)話/秒12,500最大安全策略數(shù)2,000最大安全區(qū)數(shù)量40最大虛擬路由器數(shù)量8最大虛擬局域網(wǎng)數(shù)量125固定I/O4x10/100/1000物理接口模塊(PIM)擴(kuò)展插槽（I/O）5無(wú)802.11a/b/g可轉(zhuǎn)換為junos軟件102024/5/12產(chǎn)品特點(diǎn)與效益列表特點(diǎn)一：提供完整的統(tǒng)一威脅管理(UTM)功能效益◎狀態(tài)防火墻，可執(zhí)行接入控制并阻止網(wǎng)絡(luò)層攻擊◎整合入侵檢測(cè)解決方案(IPS)，有效阻止應(yīng)用層的攻擊◎提供Site-to-siteIPSecVPN，以確保各分支機(jī)構(gòu)之間能夠安全通信◎阻止拒絕服務(wù)(DoS)攻擊◎支持H.323、SIP、SCCP和MGCP的應(yīng)用層網(wǎng)關(guān)，以檢測(cè)和保護(hù)VoIP流量◎整合卡巴斯基防病毒技術(shù)，防止病毒、間諜軟件、廣告軟件和其它惡意軟件的入侵◎整合SOPHOS防垃圾郵件技術(shù)，有效阻止不知名的垃圾郵件和釣魚(yú)郵件◎整合Websense技術(shù)，有效控制和阻止對(duì)惡意網(wǎng)站的訪問(wèn)112024/5/12特點(diǎn)與效益特點(diǎn)二：防火墻整合路由功能效益結(jié)合安全防御和LAN/WAN路由功能，并能夠阻止內(nèi)部網(wǎng)絡(luò)與應(yīng)用層中出現(xiàn)的攻擊，以保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)，降低IT的費(fèi)用支出特點(diǎn)三：提供各種不同的LAN和WAN接口選項(xiàng)效益包括T1/E1,Serial,DS3/E3,ADSL,Ethernet,SFP等122024/5/12特點(diǎn)與效益特點(diǎn)四：提供穩(wěn)定的路由協(xié)議效益提供最好的路由協(xié)議，包括OSPF、BGP和RIPv1/2，而且兼容于FrameRelay、MultilinkFrameRelay、PPP、MultilinkPPP和HDLC特點(diǎn)五：支持自動(dòng)聯(lián)機(jī)VPN(ACVPN)效益可自動(dòng)完成設(shè)置，并且以集中星型(hub-and-spoke)拓?fù)湓谶h(yuǎn)程分支機(jī)構(gòu)之間自動(dòng)建立VPN隧道，以提供高擴(kuò)展性支持132024/5/12特點(diǎn)與效益特點(diǎn)六：支持多種高可用性選項(xiàng)效益支持接口或設(shè)備之間的故障切換機(jī)制，使服務(wù)不中斷特點(diǎn)七：多種管理方式效益可通過(guò)圖形化Web接口、CLI或NetworkandSecurityManager中央管理系統(tǒng)加以管理142024/5/12特點(diǎn)與效益特點(diǎn)八：整合統(tǒng)一接入控制(UAC)效益可作為統(tǒng)一接入控制(UAC)的執(zhí)行端，驗(yàn)證用戶身份、設(shè)備安全狀態(tài)等特點(diǎn)九：支持基于路由/策略的VPN效益為企業(yè)在VPN環(huán)境里提供網(wǎng)絡(luò)流量的負(fù)載平衡與備份功能152024/5/12特點(diǎn)與效益特點(diǎn)十：網(wǎng)絡(luò)分段效益SSG系列提供一組高級(jí)網(wǎng)絡(luò)分段功能，如橋接群組、安全區(qū)、虛擬LAN和虛擬路由器，讓網(wǎng)管人員能夠針對(duì)不同用戶群組、無(wú)線網(wǎng)絡(luò)和區(qū)域服務(wù)器，部署不同等級(jí)的安全防護(hù)機(jī)制。強(qiáng)大的網(wǎng)絡(luò)安全管理和控制能力，能防止未經(jīng)授權(quán)就接入網(wǎng)絡(luò)的內(nèi)、外部和DMZ子群組。162024/5/12目錄Juniper防火墻簡(jiǎn)介及作用Juniper防火墻基本配置Juniper防火墻的接口模式Juniper防火墻的策略Juniper防火墻端口映射172024/5/12Juniper管理方式WebUI默認(rèn)的管理地址是

默認(rèn)用戶名密碼是netscreenCLIconsole連接182024/5/12設(shè)置主機(jī)名CLISSG5-Serial->sethostnameZ-Pai-FWWebUINetwork->DNS->Host->HostName192024/5/12202024/5/12設(shè)置管理員賬號(hào)、密碼CLISSG5-Serial->setadminuserzpaipassword***

privilegeallWebUIConfiguration->administratrs->NEW212024/5/12222024/5/12Zone（區(qū)段）區(qū)段是由一個(gè)或者多個(gè)網(wǎng)段組成的集合，需要通過(guò)策略來(lái)對(duì)入站和出站數(shù)據(jù)流進(jìn)行調(diào)整。區(qū)段是綁定了一個(gè)或者多個(gè)端口的邏輯實(shí)體?？梢栽O(shè)置3層區(qū)段和2層區(qū)段。查看ZoneCLIGetzoneWebUINetwork->Zone232024/5/12創(chuàng)建Zone設(shè)置2層zone，名字前必須加上l2CLIsetzonenamel2**[L2]WebUINetwork->Zone->NEW242024/5/12252024/5/12配置端口zoneCLIsetinterfaceethernet0/0zoneuntrustWebUI

network->interfaces->list->選擇端口EDIT

在zonename中選取，點(diǎn)擊OK262024/5/12272024/5/12配置端口管理方式及設(shè)置管理地址CLIsetinterfaceeth0/0ipsetinterfaceeth0/0manage-ipsetinterfaceeth0/0managewebsetinterfaceeth0/0managetelnet

WebUI

network->interfaces->list->選擇端口EDIT設(shè)置地址類型DHCP、PPPoE或者是靜態(tài)地址可以設(shè)置此端口的管理功能web管理、telent、等功能282024/5/12292024/5/12設(shè)置DHCP及DHCP地址范圍CLIsetinterfacebgroup0dhcpserverenablesetinterfacebgroup0dhcpserveroptiongatewaysetinterfacebgroup0dhcpserveroptionnetmasksetinterfacebgroup0dhcpserverip0to00WebUInetwork->DHCP->選擇端口Edit設(shè)置DHCP模式，DHCP網(wǎng)關(guān)、掩碼，DHCP的DNSNetwor->DHCP->選擇端口address設(shè)置DHCP地址范圍302024/5/12312024/5/12322024/5/12目錄Juniper防火墻簡(jiǎn)介及作用Juniper防火墻基本配置Juniper防火墻的接口模式Juniper防火墻的策略Juniper防火墻端口映射332024/5/12防火墻的接口模式接口的連接模式動(dòng)態(tài)地址靜態(tài)地址PPPoE接口的傳輸模式路由模式NAT模式透明模式342024/5/12透明模式路由模式VS透明模式路由模式，防火墻扮演一個(gè)三層設(shè)備，基于目的IP地址轉(zhuǎn)發(fā)數(shù)據(jù)包。透明模式，防火墻扮演一個(gè)二層設(shè)備，如同橋或交換機(jī)，基于目的MAC地址轉(zhuǎn)發(fā)以太幀透明模式與交換機(jī)防火墻同交換機(jī)一樣使用MAC地址表，智能地基于幀的目的MAC地址進(jìn)行轉(zhuǎn)發(fā)；但是，防火墻不會(huì)泛洪MAC地址表不存在的未知的目的單播MAC地址。防火墻不參與生成樹(shù)（STP）。因此，必須保證在使用透明模式防火墻時(shí)，不能故意增加二層環(huán)路。如果有環(huán)路，你會(huì)很快的該設(shè)備和交換機(jī)的CPU利用率會(huì)增加到100％。

交換機(jī)在第一層和第二層處理流量，透明模式防火墻可以在第一層到第七層處理流量。因?yàn)椋该髂Ｊ椒阑饓瓤梢曰诘诙有畔⑥D(zhuǎn)發(fā)流量，又可以基于ACLs、甚至應(yīng)用層策略來(lái)轉(zhuǎn)發(fā)流量。透明模式默認(rèn)的策略是出站全部允許，進(jìn)站全部禁止352024/5/12設(shè)置接口的連接模式CLIsetinterfaceethernet0/6dhcpclientenablesetinterfaceethernet0/6ip0setpppoename"pppoe"setpppoename"pppoe"username123password123setpppoename"pppoe"interfaceethernet0/6WebUINetwork->Interfaces->選擇端口->edit選擇ObtainIPUsingDHCP、ObtainIPUsingPPPoE或者StaticIP362024/5/12372024/5/12382024/5/12設(shè)置接口的傳輸模式設(shè)置路由模式或NAT模式CLIsetinterfacee0/0natsetinterfacee0/0routeWebUINetwork->Interfaces->選擇端口->edit在interfacemode中選擇NAT或者Route392024/5/12402024/5/12設(shè)置接口的傳輸模式設(shè)置透明模式CLIsetinterfacevlan1ipsetinterfaceeth0/5zonev1-trustsetinterfaceeth0/6zonev1-untrustWebUINetwork->interface->vlan1edit設(shè)置管理地址Network->interface->eth0/5edit更改zonename為v1-trustNetwork->interface->eth0/6edit更改zonename為v1-untrust412024/5/12422024/5/12432024/5/12442024/5/12目錄Juniper防火墻簡(jiǎn)介及作用Juniper防火墻基本配置Juniper防火墻的接口模式Juniper防火墻的策略Juniper防火墻端口映射452024/5/12策略的組成（1）ID是策略的序號(hào)，但不是策略匹配的順序Name是策略的名稱，可以通過(guò)名稱來(lái)標(biāo)識(shí)策略的作用Zone區(qū)段，在之前以及講過(guò)Addressname/group設(shè)置策略的源地址和目的地址，一定要先創(chuàng)建地址名稱或者地址組。在策略中只能引用地址名稱/地址組。462024/5/12策略的組成（2）Servicename服務(wù)的名稱，系統(tǒng)中有定義好的服務(wù)，可以通過(guò)getservice來(lái)查看服務(wù)的名稱及使用的端口號(hào)。如果策略中要使用的服務(wù)不在列表中，需要自己來(lái)創(chuàng)建。同地址一樣，在策略中只能引用策略名稱。動(dòng)作允許permit/禁止deny/拒絕reject472024/5/12創(chuàng)建地址名稱和地址組CLIsetaddresstrustaddress-name192.168.10.10255.255.255.255setgroupaddresstrustgroup-nameaddaddress-nameWebUIPolicy->PolicyElements->address->list點(diǎn)擊new新建地址Policy->PolicyElements->address->group點(diǎn)擊new新建組482024/5/12492024/5/12502024/5/12創(chuàng)建服務(wù)CLIsetserviceservice-nameprotocoltcpsrc-port11-11WebUIPolicy->PolicyElements->services->custom點(diǎn)擊New來(lái)新建在transportprotocol中選擇IP協(xié)議選擇sourceprot或者destinationport，填寫(xiě)端口號(hào)512024/5/12522024/5/12策略的結(jié)構(gòu)[ID][Name]Fromzonetozone

source-address-namedestination-address-nameservice-name{permit/deny}CLISetpolicyfromtrusttountrustaaanyhttpdeny添加多個(gè)服務(wù)Setpolicyid10Setservicedns

SetserviceftpexitWebUIPolicy->policies選擇From（zone）To（zone）點(diǎn)擊New新建策略Name是可選項(xiàng)，在源地址和目的地址中可選取在addresslist中建立的地址池，也可在newaddress中直接添加。Service中也可以添加多個(gè)服務(wù)，點(diǎn)擊multiple中選擇532024/5/12542024/5/12目錄Juniper防火墻簡(jiǎn)介及作用Juniper防火墻基本配置Juniper防火墻的接口模式Juniper防火墻的策