第十章 Juniper网络防火墙配置手册-全-说明书.docx

Juniper防火墙配置手册2007-11目录目录2第一章:Juniper 防火墙基本原理4一,安全区段:4二,安全区段接口5三,创建二级IP 地址12四,接口状态更改13五,接口透明模式15六,接口NAT 模式20七,接口路由模式25八,地址组30九,服务32十,动态IP 池32十一,策略43十二,系统参数641，域名系统支持642，DNS 查找643，动态主机配置协议704，以太网点对点协议825，现有设备或新设备添加防病毒、Web 过滤、反垃圾邮件和深入检查876，系统时钟87第二章:Juniper 防火墙管理91一,通过 Web 用户界面进行管理91二,通过命令行界面进行管理95三,通过NetScreen-Security Manager 进行管理96四,设置管理接口选项100五,管理的级别103六,日志信息110第三章:Juniper 防火墙路由1381,静态路由1382,OSPF144第四章:Juniper 防火墙NAT150一,基于策略的转换选项150二,NAT-Dst— 一对一映射161三, NAT-Dst— 一对多映射163四,NAT-Dst— 多对一映射166五,NAT-Dst— 多对多映射168六,带有端口映射的NAT-Dst170七,同一策略中的 NAT-Src 和 NAT-Dst173八,Untrust 区段上的MIP183九,虚拟IP 地址190第五章:Juniper 防火墙VPN197一,站点到站点的虚拟专用网1971,站点到站点 VPN 配置1972,基于路由的站点到站点VPN，自动密钥IKE2023,基于路由的站点到站点VPN，动态对等方2094,基于策略的站点到站点VPN，动态对等方2175,基于路由的站点到站点VPN，手动密钥2246,基于策略的站点到站点VPN，手动密钥230二,拨号虚拟专用网2351,基于策略的拨号VPN，自动密钥IKE2352,基于路由的拨号VPN，动态对等方240基于策略的拨号VPN，动态对等方246用于拨号VPN 用户的双向策略251第六章:Juniper 防火墙攻击检测与防御256一,Juniper中低端防火墙的UTM功能配置2561,Profile的设置2572,防病毒profile在安全策略中的引用259二,防垃圾邮件功能的设置2611,Action 设置2612,White List与Black List的设置2613,防垃圾邮件功能的引用263三,WEB/URL过滤功能的设置2631转发URL过滤请求到外置URL过滤服务器2632,使用内置的URL过滤引擎进行URL过滤2653,手动添加过滤项266四,深层检测功能的设置2681,设置DI攻击特征库自动更新2692,深层检测（DI）的引用270第一章:Juniper 防火墙基本原理一,安全区段:概念:安全区段是由一个或多个网段组成的集合，需要通过策略来对入站和出站信息流进行调整。安全区段是绑定了一个或多个接口的逻辑实体。通过多种类型的Juniper Networks 安全设备，您可以定义多个安全区段，确切数目可根据网络需要来确定。除用户定义的区段外，您还可以使用预定义的区段:Trust、Untrust 和DMZ (用于第3 层操作)，或者V1-Trust、V1-Untrust 和V1-DMZ( 用于第2 层操作)。如果愿意，可以继续使用这些预定义区段。也可以忽略预定义区段而只使用用户定义的区段。另外，您还可以同时使用这两种区段- 预定义和用户定义。利用区段配置的这种灵活性，您可以创建能够最好地满足您的具体需要的网络设计。功能区段共有五个功能区段，分别是Null、MGT、HA、Self 和VLAN。每个区段的存在都有其专门的目的，如以下小节所述。Null 区段此区段用于临时存储没有绑定到任何其它区段的接口。MGT 区段此区段是带外管理接口MGT 的宿主区段。可以在此区段上设置防火墙选项以保护管理接口，使其免受不同类型的攻击。HA 区段此区段是高可用性接口HA1 和HA2 的宿主区段。尽管可以为HA 区段设置接口，但是此区段本身是不可配置的。Self 区段此区段是远程管理连接接口的宿主区段。当您通过HTTP、SCS 或Telnet 连接到安全设备时，就会连接到Self 区段。VLAN 区段此区段是VLAN1 接口的宿主区段，可用于管理设备，并在设备处于“透明”模式时终止VPN 信息流，也可在此区段上设置防火墙选项以保护VLAN1 接口，使其免受各种攻击。设置端口模式通过WebUI 或CLI 更改安全设备上的端口模式设置。设置端口模式之前，请注意以下方面:???更改端口模式会删除设备上任何现有的配置，并要求系统重置。???发布unset all CLI 命令不影响设备上的端口模式设置。例如，如果要将端口模式设置