Juniper_防火墻配置手册.doc

Juniper 防火墙配置手册 2007-11 目 录 目 录 2 第一章:Juniper 防火墙基本原理 4 一,安全区段: 4 二,安全区段接口 5 三,创建二级 IP 地址 12 四,接口状态更改 13 五,接口透明模式 15 六,接口NAT 模式 20 七,接口路由模式 25 八,地址组 30 九,服务 32 十,动态 IP 池 32 十一,策略 43 十二,系统参数 64 1，域名系统支持 64 2，DNS 查找 64 3，动态主机配置协议 70 4，以太网点对点协议 82 5，现有设备或新设备添加防病毒、Web 过滤、反垃圾邮件和深入检查 87 6，系统时钟 87 第二章:Juniper 防火墙管理 91 一,通过 Web 用户界面进行管理 91 二,通过命令行界面进行管理 95 三,通过 NetScreen-Security Manager 进行管理 96 四,设置管理接口选项 100 五,管理的级别 103 六,日志信息 110 第三章:Juniper 防火墙路由 138 1,静态路由 138 2,OSPF 144 第四章:Juniper 防火墙NAT 150 一,基于策略的转换选项 150 二,NAT-Dst— 一对一映射 161 三, NAT-Dst— 一对多映射 163 四,NAT-Dst— 多对一映射 166 五,NAT-Dst— 多对多映射 168 六,带有端口映射的 NAT-Dst 170 七,同一策略中的 NAT-Src 和 NAT-Dst 173 八,Untrust 区段上的MIP 183 九,虚拟 IP 地址 190 第五章:Juniper 防火墙VPN 197 一,站点到站点的虚拟专用网 197 1,站点到站点 VPN 配置 197 2,基于路由的站点到站点 VPN，自动密钥 IKE 202 3,基于路由的站点到站点 VPN，动态对等方 209 4,基于策略的站点到站点 VPN，动态对等方 217 5,基于路由的站点到站点 VPN，手动密钥 224 6,基于策略的站点到站点 VPN，手动密钥 230 二,拨号虚拟专用网 235 1,基于策略的拨号 VPN，自动密钥 IKE 235 2,基于路由的拨号 VPN，动态对等方 240 基于策略的拨号 VPN，动态对等方 246 用于拨号 VPN 用户的双向策略 251 第六章:Juniper 防火墙攻击检测与防御 256 一,Juniper中低端防火墙的UTM功能配置 256 1,Profile的设置 257 2,防病毒profile在安全策略中的引用 259 二,防垃圾邮件功能的设置 261 1,Action 设置 261 2,White List与Black List的设置 261 3,防垃圾邮件功能的引用 263 三,WEB/URL过滤功能的设置 263 1转发URL过滤请求到外置URL过滤服务器 263 2,使用内置的URL过滤引擎进行URL过滤 265 3,手动添加过滤项 266 四,深层检测功能的设置 268 1,设置DI攻击特征库自动更新 269 2,深层检测（DI）的引用 270 第一章:Juniper 防火墙基本原理 一,安全区段: 概念: 安全区段是由一个或多个网段组成的集合，需要通过策略来对入站和出站信息流进行调整。安全区段是绑定了一个或多个接口的逻辑实体。通过多种类型的 Juniper Networks 安全设备，您可以定义多个安全区段，确切数目可根据网络需要来确定。除用户定义的区段外，您还可以使用预定义的区段: Trust、Untrust 和 DMZ (用于第3 层操作)，或者 V1-Trust、V1-Untrust 和 V1-DMZ ( 用于第2 层操作)。 如果愿意，可以继续使用这些预定义区段。也可以忽略预定义区段而只使用用户定义的区段。另外，您还可以同时使用这两种区段- 预定义和用户定义。利用区段配置的这种灵活性，您可以创建能够最好地满足您的具体需要的网络设计。 功能区段 共有五个功能区段，分别是 Null、MGT、HA、Self 和 VLAN。每个区段的存在都有其专门的目的，如以下小节所述。 Null 区段 此区段用于临时存储没有绑定到任何其它区段的接口。 MGT 区段 此区段是带外管理接口 MGT 的宿主区段。可以在此区段上设置防火墙选项以保护管理接口，使其免受不同类型的攻击。 HA 区段 此区段是高可用性接口 HA1 和 HA2 的宿主区段。尽管可以为 HA 区段设置接口，但是此区段本身是不可配置的。 Self 区段 此区段是远程管理连接接口的宿主区段。当您通过 HTTP、SCS