【正文】 STAIC IPTODYNAMIC IP.................................................35 、使用Web瀏覽器方式配置..............................................................................36 、使用命令行方式配置.....................................................................................39 JUNIPER防火墻的HA（高可用性）配置...................................................................42 、使用WEB瀏覽器方式配置....................................................................................42 、使用命令行方式配置............................................................................................44 JUNIPER防火墻一些實用工具...................................................................................46 、防火墻配置文件的導(dǎo)出和導(dǎo)入.............................................................................46 、配置文件的導(dǎo)出............................................................................................46 、配置文件的導(dǎo)入............................................................................................46 、防火墻軟件（SCREENOS）更新..........................................................................47 、防火墻恢復(fù)密碼及出廠配置的方法......................................................................48 JUNIPER防火墻的一些概念......................................................................................48 版本 發(fā)布日期 撰稿人 整理人備注 200761 李闖 熊家俊由聯(lián)強國際（香港）有限公司 企業(yè)網(wǎng)絡(luò)通信事業(yè)部相關(guān)技術(shù)人員整理的此“快速安裝手冊”茲在幫助不熟悉Juniper防火墻的伙伴公司技術(shù)人員能夠在“快速安裝手冊”的幫助下在較短時間內(nèi)掌握Juniper防火墻的基本配置管理和常用功能的實現(xiàn)。我們會不斷更新和完善“快速安裝手冊”，大家在使用過程中有任何好的建議和意見，請和我公司相關(guān)技術(shù)人員聯(lián)絡(luò)。 前言 我們制作本安裝手冊的目的是使初次接觸Juniper網(wǎng)絡(luò)安全防火墻設(shè)備（在本安裝手冊中簡稱為“Juniper防火墻”）的工程技術(shù)人員，可以通過此安裝手冊完成對Juniper防火墻基本功能的實現(xiàn)和應(yīng)用。 在配置Juniper防火墻之前我們通常需要先了解用戶現(xiàn)有網(wǎng)絡(luò)的規(guī)劃情況和用戶對防火墻配置及實現(xiàn)功能的諸多要求，建議參照以下思路和步驟對Juniper防火墻進行配置和管理。 其它配置： 1. 配置基于端口和基于地址的映射； 2. 配置基于策略的VPN； 3. 修改防火墻默認的用戶名、密碼以及管理端口。推薦使用IE瀏覽器進行登錄管理，需要知道防火墻對應(yīng)端口的管理IP地址； ② 命令行方式。 Juniper防火墻缺省管理端口和IP地址： ① Juniper防火墻出廠時可通過缺省設(shè)置的IP地址使用Telnet或者Web方式管理。 Juniper防火墻缺省登錄管理賬號： ① 用戶名：netscreen； ② 密 碼：netscreen。 本安裝手冊將分別對以上防火墻的配置及功能的實現(xiàn)加以說明。 、NAT模式 當Juniper防火墻入口接口（“內(nèi)網(wǎng)端口”）處于NAT模式時，防火墻將通往 Untrust 區(qū)（外網(wǎng)或者公網(wǎng)）的IP 數(shù)據(jù)包包頭中的兩個組件進行轉(zhuǎn)換：源 IP 地址和源端口號。 NAT模式應(yīng)用的環(huán)境特征： ① 注冊IP地址（公網(wǎng)IP地址）的數(shù)量不足； ② 內(nèi)部網(wǎng)絡(luò)使用大量的非注冊IP地址（私網(wǎng)IP地址）需要合法訪問Internet； ③ 內(nèi)部網(wǎng)絡(luò)中有需要外顯并對外提供服務(wù)的服務(wù)器。 ① 與NAT模式下不同，防火墻接口都處于路由模式時，不需要為了允許入站數(shù)據(jù)流到達某個主機而建立映射 IP (MIP) 和虛擬 IP (VIP) 地址； ② 與透明模式下不同，當防火墻接口都處于路由模式時，其所有接口都處于不同的子網(wǎng)中。 、透明模式 當Juniper防火墻接口處于“透明”模式時，防火墻將過濾通過的IP數(shù)據(jù)包，但不會修改 IP數(shù)據(jù)包包頭中的任何信息。 透明模式是一種保護內(nèi)部網(wǎng)絡(luò)從不可信源接收信息流的方便手段。 、基于向?qū)Х绞降腘AT/Route模式下的基本配置 Juniper防火墻NAT和路由模式的配置可以在防火墻保持出廠配置啟動后通過Web瀏覽器配置向?qū)瓿?。例如：新的從未被調(diào)試過的設(shè)備，或者經(jīng)過命令行恢復(fù)為出廠狀態(tài)的防火墻設(shè)備。 防火墻配置規(guī)劃： ① 防火墻部署在網(wǎng)絡(luò)的Internet出口位置，內(nèi)部網(wǎng)絡(luò)計算機的網(wǎng)關(guān)地址為防火墻內(nèi)網(wǎng)端口的IP地址：； ② 防火墻外網(wǎng)接口IP地址（通常情況下為公網(wǎng)IP地址，在這里我們使用私網(wǎng)IP地址模擬公網(wǎng)IP地址）為：，網(wǎng)關(guān)地址為： 要求： 實現(xiàn)內(nèi)部訪問Internet的應(yīng)用。 1. 通過IE或與IE兼容的瀏覽器（推薦應(yīng)用微軟IE瀏覽器）使用防火墻缺省IP地址登錄防火墻（建議：保持登錄防火墻的計算機與防火墻對應(yīng)接口處于相同網(wǎng)段，直接相連）。 3. 使用向?qū)渲梅阑饓?，請直接選擇：Next，彈出下面的界面： 4. “歡迎使用配置向?qū)А?，再選擇Next。 5. 在完成防火墻的登錄用戶名和密碼的設(shè)置之后，出現(xiàn)了一個比較關(guān)鍵的選擇，這個選擇決定了防火墻設(shè)備是工作在路由模式還是工作在NAT模式： 選擇Enable NAT，則防火墻工作在NAT模式； 不選擇Enable NAT，則防火墻工作在路由模式。這種模式是應(yīng)用最多的模式，防火墻可以被看作是只有一進一出的部署模式。目前，除NS5GT以外，Juniper其他系列防火墻不存在另外兩種模式的選擇。外網(wǎng)端口IP配置有三個選項分別是：DHCP自動獲取IP地址；通過PPPoE撥號獲得IP地址；手工設(shè)置靜態(tài)IP地址，并配置子網(wǎng)掩碼和網(wǎng)關(guān)IP地址。 8. 完成外網(wǎng)端口的IP地址配置之后，點擊“Next”進行防火墻內(nèi)網(wǎng)端口IP配置： 9. 在完成了上述的配置之后，防火墻的基本配置就完成了，點擊“Next”進行DHCP服務(wù)器配置。否則請選擇“NO”跳過。地址：。 10. 完成DHCP服務(wù)器選項設(shè)置，點擊“Next”會彈出之前設(shè)置的匯總信息： 11. 確認配置沒有問題，點擊“Next”會彈出提示“Finish”配置對話框： 在該界面中，點選：Finish之后，該Web頁面會被關(guān)閉，配置完成。 重新開啟一個IE頁面，并在地址欄中輸入防火墻的內(nèi)網(wǎng)端口地址，確定后，出現(xiàn)下圖中的登錄界面。 總結(jié)： 上述就是使用Web瀏覽器通過配置向?qū)瓿傻姆阑饓AT或路由模式的應(yīng)用。 、基于非向?qū)Х绞降腘AT/Route模式下的基本配置 基于非向?qū)Х绞降腘AT和Route模式的配置建議首先使用命令行開始，最好通過控制臺的方式連接防火墻，這個管理方式不受接口IP地址的影響。 基于命令行方式的防火墻設(shè)備部署的配置如下（網(wǎng)絡(luò)環(huán)境同上一章節(jié)所講述的環(huán)境）： 、NS5GT NAT/Route模式下的基本配置 注：NS5GT設(shè)備的物理接口名稱叫做trust和untrust；缺省Zone包括：trust和untrust，請注意和接口區(qū)分開。策略的方向是：由zone trust 到 zone untrust， 源地址為：any，目標地址為：any，網(wǎng)絡(luò)服務(wù)為：any，策略動作為：permit允許，log：開啟日志記錄）； ⑧ Save （保存上述的配置文件）。 如果需要將端口從路由模式修改為NAT模式，則可以按照如下的命令行進行修改： ① Set interface ethernet2 NAT （設(shè)置端口2為NAT模式） ② Save 總結(jié)： ① NAT/Route模式做防火墻部署的主要模式，通常是在一臺防火墻上兩種模式混合進行（除非防火墻完全是在內(nèi)網(wǎng)應(yīng)用部署，不需要做NAT地址轉(zhuǎn)換，這種情況下防火墻所有端口都處于Route模式，防火墻首先作為一臺路由器進行部署）； ② 關(guān)于配置舉例，NS5GT由于設(shè)備設(shè)計上的特殊性，因此專門列舉加以說明；Juniper在2006年全新推出的SSG系列防火墻，除了端口命名不一樣，和NS25等設(shè)備管理配置方式一樣。通過控制臺連接防火墻的控制口，登錄命令行管理界面，通過如下命令及步驟進行二層透明模式的配置： ① Unset interface ethernet1 ip（將以太網(wǎng)1端口上的默認IP地址刪除）； ② Set interface ethernet1 zone v1trust（將以太網(wǎng)1端口分配到v1trust zone：基于二層的安全區(qū)，端口設(shè)置為該安全區(qū)后，則端口工作在二層模式，并且不能在該端口上配置IP地址）； ③ Set interface ethernet2 zone v1dmz（將以太網(wǎng)2端口分配到v1dmz zone）； ④ Set interface ethernet3 zone v1untrust（將以太網(wǎng)3端口分配到v1untrust zone）； ⑤ Set interface vlan1 ip （設(shè)置VLAN1的IP地址為：，該地址作為防火墻管理IP地址使用）； ⑥ Set policy from v1trust to v1untrust any any any permit log（設(shè)置一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略）； ⑦ Save（保存當前的配置）； 總結(jié)： ① 帶有V1字樣的zone為基于透明模式的安全區(qū)，在進行透明模式的應(yīng)用時，至少要保證兩個端口的安全區(qū)工作在二層模式； ② 雖然Juniper防火墻可以工作在混合模式下（二層模式和三層模式的混合應(yīng)用），但是通常情況下，建議盡量使防火墻工作在一種模式下（三層模式可以混用：NAT和路由）。 、MIP的配置 MIP是“一對一”的雙向地址翻譯（轉(zhuǎn)換）過程。 MIP應(yīng)用的網(wǎng)絡(luò)拓撲圖： 注：MIP配置在防火墻的外網(wǎng)端口（連接Internet的端口）。Mapp