【正文】 ailtunnel vpn branch_corp auth server Local user pmasonset policy top from untrust to trust mail server trusted work remote_mailtunnel vpn branch_corpsaveCLI ( 設(shè)備B)① 定義接口參數(shù)set interface ether2 zone dmzset interface ether2 ip set interface ether3 zone untrustset interface ether3 ip ② 路由set vrouter trustvr route ③ 定義地址set address dmz mail server JUNIPER 防火墻快速安裝手冊第 43 頁 共 53 頁set address untrust branch office ④ 定義服務(wù)set service ident protocol tcp srcport 065535 dstport 113113set group service remote_mailset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3⑤ 定義VPNset ike gateway to_branch dynamic aggressiveoutgoinginterface ether3 preshare h1p8A24nG5 proposal preg23desshaset vpn corp_branch gateway to_branch tunnel seclevel patible⑥ 定義策略set policy top from dmz to untrust mail server branch office remote_mailtunnel vpn corp_branchset policy top from untrust to dmz branch office mail server remote_mailtunnel vpn corp_branchsaveJUNIPER 防火墻快速安裝手冊第 44 頁 共 53 頁Juniper 防火墻的 HA（高可用性）配置為了保證網(wǎng)絡(luò)應(yīng)用的高可用性，在部署 Juniper 防火墻過程中可以在需要保護的網(wǎng)絡(luò)邊緣同時部署兩臺相同型號的防火墻設(shè)備，實現(xiàn) HA 的配置。在 VPN 階段一的高級配置中動態(tài)公網(wǎng) IP 一端的 VPN 的發(fā)起模式應(yīng)該配置為：主動模式（Aggressive）JUNIPER 防火墻快速安裝手冊第 39 頁 共 53 頁③ VPN 第一階段的配置：靜態(tài)公網(wǎng) IP 地址端。IPSec VPN 組網(wǎng)拓撲圖： staic iptodynamic ipJUNIPER 防火墻快速安裝手冊第 38 頁 共 53 頁、使用 Web 瀏覽器方式配置① VPN 第一階段的配置：動態(tài)公網(wǎng) IP 地址端。、站點間 IPSec VPN 配置：staic iptostaic ip當創(chuàng)建站點兩端都具備靜態(tài) IP 的 VPN 應(yīng)用中，位于兩端的防火墻上的 VPN 配置基本相同，不同之處是在 VPN gateway 部分的 VPN 網(wǎng)關(guān)指向 IP 不同，其它部分相同。DIP 應(yīng)用的網(wǎng)絡(luò)拓撲圖：、使用 Web 瀏覽器方式配置 DIP① 登錄防火墻設(shè)備，配置防火墻為三層部署模式；② 定義DIP：Network=Interface=ether3=DIP，在定義了公網(wǎng)IP地址的untrust端口定義IP 地址池；JUNIPER 防火墻快速安裝手冊第 29 頁 共 53 頁③ 定義策略：定義由內(nèi)到外的訪問策略，在策略的高級（ADV）部分NAT的相關(guān)內(nèi)容中，啟用源地址NAT，并在下拉菜單中選擇剛剛定義好的DIP地址池，保存策略，完成配置；策略配置完成之后擁有內(nèi)部 IP 地址的網(wǎng)絡(luò)設(shè)備在訪問互聯(lián)網(wǎng)時會自動從該地址池中選擇一個公網(wǎng) IP 地址進行 NAT。JUNIPER 防火墻快速安裝手冊第 27 頁 共 53 頁、使用命令行方式配置 VIP① 配置接口參數(shù)set interface ether1 zone trustset interface ether1 ip set interface ether1 natset interface ether3 zone untrustset interface ether3 ip ② 定義VIPset interface ether3 vip 80 ③ 定義策略set policy from untrust to trust any vip() permitsave注：VIP 的地址可以利用防火墻設(shè)備的外網(wǎng)端口地址實現(xiàn)（限于低端設(shè)備） 。通常應(yīng)用在只有很少的公網(wǎng) IP 地址，卻擁有多個私有 IP 地址的服務(wù)器，并且，這些服務(wù)器是需要對外提供各種服務(wù)的。MIP 應(yīng)用的網(wǎng)絡(luò)拓撲圖：注：MIP 配置在防火墻的外網(wǎng)端口（連接 Inter 的端口） 。通過控制臺連接防火墻的控制口，登錄命令行管理界面，通過如下命令及步驟進行二層透明模式的配置：① Unset interface ether1 ip（將以太網(wǎng) 1 端口上的默認 IP 地址刪除） ；JUNIPER 防火墻快速安裝手冊第 22 頁 共 53 頁② Set interface ether1 zone v1trust（將以太網(wǎng) 1 端口分配到 v1trust zone：基于二層的安全區(qū)，端口設(shè)置為該安全區(qū)后，則端口工作在二層模式，并且不能在該端口上配置 IP 地址） ；③ Set interface ether2 zone v1dmz（將以太網(wǎng) 2 端口分配到 v1dmz zone） ；④ Set interface ether3 zone v1untrust（將以太網(wǎng) 3 端口分配到 v1untrust zone） ；⑤ Set interface vlan1 ip （設(shè)置 VLAN1 的 IP 地址為：，該地址作為防火墻管理 IP 地址使用） ；⑥ Set policy from v1trust to v1untrust any any any permit log（設(shè)置一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略） ；⑦ Save（保存當前的配置） ；總結(jié)：① 帶有 V1字樣的 zone 為基于透明模式的安全區(qū)，在進行透明模式的應(yīng)用時，至少要保證兩個端口的安全區(qū)工作在二層模式；② 雖然 Juniper 防火墻可以在某些特殊版本工作在混合模式下（二層模式和三層模式的混合應(yīng)用） ，但是通常情況下，建議盡量使防火墻工作在一種模式下（三層模式可以混用：NAT 和路由） 。策略的方向是：由 zone trust 到 zone untrust， 源地址為：any，目標地址為：any，網(wǎng)絡(luò)服務(wù)為：any，策略動作為：permit 允許，log：開啟日志記錄） ；⑧ Save （保存上述的配置文件） 。、基于非向?qū)Х绞降?NAT/Route 模式下的基本配置基于非向?qū)Х绞降?NAT 和 Route 模式的配置建議首先使用命令行開始，最好通過控制臺的方式連接防火墻，這個管理方式不受接口 IP 地址的影響。重新開啟一個 IE 頁面，并在地址欄中輸入防火墻的內(nèi)網(wǎng)端口地址，確定后，出現(xiàn)下圖中的登錄界面。注：上面的頁面信息顯示的是在防火墻設(shè)備上配置實現(xiàn)一個 DHCP 服務(wù)器功能，由防火墻設(shè)備給內(nèi)部計算機用戶自動分配 IP 地址，分配的地址段為： 一共 51 個 IP 地址，在分配 IP 地址的同時，防火墻設(shè)備也給計算機用戶分配了 DNS 服務(wù)器地址，DNS 用于對域名進行解析，如：將 解析為IP 地址： 。JUNIPER 防火墻快速安裝手冊第 15 頁 共 53 頁在這里，我們選擇的是使用靜態(tài) IP 地址的方式，配置外網(wǎng)端口 IP 地址為：，網(wǎng)關(guān)地址為：。JUNIPER 防火墻快速安裝手冊第 14 頁 共 53 頁注：NS5GT 防火墻作為低端設(shè)備，為了能夠增加低端產(chǎn)品應(yīng)用的多樣性，Juniper 在 NS5GT 的 OS 中獨立開發(fā)了幾種不同的模式應(yīng)用于不同的環(huán)境。JUNIPER 防火墻快速安裝手冊第 12 頁 共 53 頁注：進入登錄用戶名和密碼的修改頁面，Juniper 防火墻的登錄用戶名和密碼是可以更改的，這個用戶名和密碼的界面修改的是防火墻設(shè)備上的根用戶，這個用戶對于防火墻設(shè)備來說具有最高的權(quán)限，需要認真考慮和仔細配置，保存好修改后的用戶名和密碼。注：在進行防火墻設(shè)備配置前，要求正確連接防火墻的物理鏈路；調(diào)試用的計算機連接到防火墻的內(nèi)網(wǎng)端口上。注：要啟動配置向?qū)?，則必須保證防火墻設(shè)備處于出廠狀態(tài)。透明模式是一種保護內(nèi)部網(wǎng)絡(luò)從不可信源接收信息流的方便手段。路由模式應(yīng)用的環(huán)境特征：① 注冊 IP（公網(wǎng) IP 地址） 的數(shù)量較多；JUNIPER 防火墻快速安裝手冊第 8 頁 共 53 頁① 非注冊 IP 地址（私網(wǎng) IP 地址）的數(shù)量與注冊 IP 地址（公網(wǎng) IP 地址）的數(shù)量相當；① 防火墻完全在內(nèi)網(wǎng)中部署應(yīng)用；② NAT 模式下的所有環(huán)境；③ 需要復雜的地址翻譯。防火墻使用 Untrust 區(qū)（外網(wǎng)或者公網(wǎng)）接口的 IP 地址替換始發(fā)端主機的源 IP 地址；同時使用由防火墻生成的任意端口號替換源端口號。、Juniper 防火墻的常用功能在一般情況下，防火墻設(shè)備的常用功能包括：透明模式的部署、NAT/路由模式的部署、NAT 的應(yīng)用、MIP 的應(yīng)用、 DIP 的應(yīng)用、VIP 的應(yīng)用、基于策略 VPN 的應(yīng)用。支持通過 Console 端口超級終端連接 和 Tel 防火墻管理 IP 地址連接JUNIPER 防火墻快速安裝手冊第 5 頁 共 53 頁兩種命令行登錄管理模式。基本配置：1. 確認防火墻的部署模式：NAT 模式、路由模式、或者透明模式；2. 為防火墻的端口配置 IP 地址（包括防火墻的管理 IP 地址） ，配置路由信息；3. 配置訪問控制策略，完成基本配置。關(guān)于本手冊的使用：① 本手冊更多的從實際使用的角度去編寫，如果涉及到的一些概念上的東西表述不夠透徹、清晰，請使用者自行去找一些資料查證；② 本手冊在編寫的過程中對需要使用者特別注的地方，都有“注”標識，請大家仔細閱讀相關(guān)內(nèi)容；對于粗體、紅、藍色標注的地方也需要多注意；③ 本著技術(shù)共享的原則，我們編寫了該手冊，希望對在銷售、使用 Juniper 防火墻的相應(yīng)技術(shù)人員有所幫助，大家在使用過程中有任何建議可反饋到：； ；④ 本手冊歸“聯(lián)強國際（香港）有限公司”所有，嚴禁盜版。我們會不斷更新和完善“快速安裝手冊” ，大家在使用過程中有任何好的建議和意見，請和我公司相關(guān)技術(shù)人員聯(lián)絡(luò)。在配置 Juniper 防火墻之前我們通常需要先了解用戶現(xiàn)有網(wǎng)絡(luò)的規(guī)劃情況和用戶對防火墻配置及實現(xiàn)功能的諸多要求，建議參照以下思路和步驟對 Juniper 防火墻進行配置和管理。推薦使用 IE 瀏覽器進行登錄管理，需要知道防火墻對應(yīng)端口的管理 IP 地址；② 命令行方式。Juniper 防火墻缺省登錄管理賬號：① 用戶名：screen；② 密 碼：screen。、NAT 模式當Juniper防火墻入口接口（“內(nèi)網(wǎng)端口”）處于NAT模式時，防火墻將通往 Untrust 區(qū)（外網(wǎng)或者公網(wǎng)）的IP 數(shù)據(jù)包包頭中的兩個組件進行轉(zhuǎn)換：源 IP 地址和源端口號。① 與NAT模式下不同，防火墻接口都處于路由模式時，不需要為了允許入站數(shù)據(jù)流到達某個主機而建立映射 IP (MIP) 和虛