文档介绍:The latest revision on November 22, 2020
juniper防火墙详细配置手册
Juniper防火墙简明实用手册
(版本号:)
目 录
导航
在主菜单中我们经常用到的配置菜单如下,后面将针对这些常用配置选项进行详细的介绍。
Configuration:Date/Time;Update;Admin;Auth;ReportSettings
Network:Zones;Interfaces;Routing;NSRP
Polices
Objects:Addresses;Services
Reports:Polices
只要能够熟练掌握以上设置选项,就足以应对外网改造和日常维护的工作。
Configration配置菜单
Date/Time:日期和时间
准确设置Juniper防火墙的时钟主要是为了使LOG信息都带有正确的时间以便于分析和排错,设置时钟主要有三种方法。
用CLI命令行设置:setclockmm/dd/yyyyhh:mm:ss。
用WEB界面使用和客户端本机的时钟同步:简单实用。
用WEB界面配置NTP和NTP服务器的时钟同步。
Update更新系统镜像和配置文件
更新ScreenOS系统镜像
更新configfile配置文件
在这个菜单中我们可以查看目前文本形式的配置文件,把目前的配置文件导出进行备份,以及替换和更新目前的配置。
注意单选框默认是点选在“MergetoCurrentConfigration”即和目前配置融合的位置,而我们一般是要完全替换目前的配置文件的,因此一定要注意把单选框点击到“ReplaceCurrentConfigration”。
当进行配置替换的之后系统会自动重起使新配置生效。
TIP:进行配置的替换必须用ROOT用户进行登陆,用Read-Write用户进行登陆是无法进行配置的替换操纵的,只有融合配置的选项,替换目前配置的选项将会隐藏不可见,如下图所示:
Admin管理
Administrators管理员账户管理
只有用根ROOT用户才能够创建管理员账户。
可以进行ROOT用户账户用户名和密码的更改,但此账户不能被删除。
可以创建只读账户和读写账户,其中读写账户可以对设备的大部分配置进行更改。
PermittedIPs:允许哪些主机可以对防火墙进行管理
Networks配置菜单
Zone安全区
查看目前的安全区设置
安全区内必须有物理接口才会有实际意义,每一个安全区同时可以包含多个物理接口,但每一个物理接口同时只能属于一个安全区。
几个系统默认的安全区和接口:
1:Trust区包含ETH1口
2:Untrust区包含ETH4口
3:DMZ区包含ETH3口
其他区必须进行手工创建并把相应物理接口放入安全区内。
虚拟路由我们统一选Trust-Vr,多个VR对我们没有太大意义,不建议使用。
创建新的安全区:
在输入安全区名称后其余选项均保持默认值即可。
Interfaces接口配置
查看接口状态的概要信息
接口概要显示接口的IP地址信息,所属安全区,接口类型和链路的状态。其中接口类型除非是防火墙使用透明模式,否则都会是Layer3三层的。
设置interface接口的基本信息
接口基本配置包括接口的IP地址掩码,是否可以被管理,接口的模式以及接口的管理特性选项。
最上面的几个链接是配置NAT地址转换以及IP跟踪等高级特性的。
下面那个其中需要大家配置的地方是设置此物理接口属于哪个安全区,从下拉框中点选,其他选项保持不变即可。
StaitcIP选择框是设置接口的IP地址和掩码信息的,其中有一个Mangeable的选项,只有选中我们才可以通过WEB或TELNET登陆此地址进行管理。ManageIP框保持为空的时候系统会自动把实际IP作为管理IP自动加上。
接口模式有路由模式和NAT模式:
NAT模式:从此接口进入从其他口流出的流量源地址都会做转换,即使我们在策略中不引用转换地址池,源地址都会转换为出站的接口地址。
路由模式:除非我们在策略定义中明确引用了转换地址池,否则源地址都不会做转换。
由于路由模式比NAT模式更灵活,所以我们一般都会用路由模式。
ETH1口默认是NAT模式,一定要注意把其更改为Route路由模式。
Serviceoptions服务选项:设置此接口是否允许被PING,WEB或TELNET等方式进行管理,默认情况下ETH1(内网口)的都是打开的,而ETH4口(外网口)的WEB和TELNET管理选项是关闭的,也就是说如果我们想从外网登陆ETH4口的IP进行管理,必须把相应的W