Juniper防火墙配置说明

1.1、Juniper防火墙配置概述

Juniper防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求；但是由于部署模式及功能的多样性使得Juniper防火墙在实际部署时具有一定的复杂性。

在配置Juniper防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对Juniper防火墙进行配置和管理。
基本配置：
1. 确认防火墙的部署模式：NAT模式、路由模式、或者透明模式；
2. 为防火墙的端口配置IP地址（包括防火墙的管理IP地址），配置路由信息；
3. 配置访问控制策略，完成基本配置。
其它配置：
1. 配置基于端口和基于地址的映射；
2. 配置基于策略的VPN；
3. 修改防火墙默认的用户名、密码以及管理端口。
1.2、Juniper防火墙管理配置的基本信息

Juniper防火墙常用管理方式：
① 通过Web浏览器方式管理。推荐使用IE浏览器进行登录管理，需要知道防火墙对应端口的管理IP地址；
② 命令行方式。支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接两种命令行登录管理模式。
Juniper防火墙缺省管理端口和IP地址：
① Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理。缺省IP地址为：192.168.1.1/255.255.255.0；
② 缺省IP地址通常设置在防火墙的Trust端口上（NS-5GT）、最小端口编号的物理端口上（NS-25/50/204/208/SSG系列）、或者专用的管理端口上（ISG-1000/2000,NS-5200/5400）。
Juniper防火墙缺省登录管理账号：
① 用户名：netscreen；
② 密 码：netscreen。
1.3、Juniper防火墙的常用功能

在一般情况下，防火墙设备的常用功能包括：透明模式的部署、NAT/路由模式的部署、NAT的应用、MIP的应用、DIP的应用、VIP的应用、基于策略VPN的应用。

本安装手册将分别对以上防火墙的配置及功能的实现加以说明。

注：在对MIP/DIP/VIP等Juniper防火墙的一些基本概念不甚了解的情况下，请先到本手册最后一章节内容查看了解！
2、Juniper防火墙三种部署模式及基本配置

Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：
① 基于TCP/IP协议三层的NAT模式；
② 基于TCP/IP协议三层的路由模式；
③ 基于二层协议的透明模式。


2.1、NAT模式

当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往 Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进

行转换：源 IP 地址和源端口号。

防火墙使用 Untrust 区（外网或者公网）接口的 IP 地址替换始发端主机的源 IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。



NAT模式应用的环境特征：
① 注册IP地址（公网IP地址）的数量不足；
② 内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet；
③ 内部网络中有需要外显并对外提供服务的服务器。


2.2、Route-路由模式

当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。
① 与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址；
② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。


路由模式应用的环境特征：
① 注册IP（公网IP地址）的数量较多；
② 非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；
③ 防火墙完全在内网中部署应用。

2.3、透明模式

当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改 IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器，防火墙对于用户来说是透明的。


透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点：
① 不需要修改现有网络规划及配置；
② 不需要为到达受保护服务器创建映射或虚拟 IP 地址；
③ 在防火墙的部署过程中，对防火墙的系统资源消耗最低。


2.4、基于向导方式的NAT/Route模式下的基本配置

Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web浏览器配置向导完成。
注：要启动配置向导，则必须保证防火墙设备处于出厂状态。例如：新的从未被调试过的设备，或者经过命令行恢复为出厂状态的防火墙设备。

通过Web浏览器登录处于出厂状态的防火墙时，防火墙的缺省管理参数如下：
① 缺省IP：192.168.1.1/255.255.255.0；
② 缺省用户名/密码：netscreen/ netscreen；

注：缺省管理IP地址所在端口参见在前言部份讲述的“Juniper防火墙缺省管理端口和IP地址”中查找！！

在配置向导实现防火墙应用的同时，我们先虚拟一个防火墙设备的部署环境，之后，根据这个环境对防火墙设备进行配置。

防火墙配置规划：
① 防火墙部署在网络的Internet出口位置，内部网络使用的IP地址为192.168.1.0/255.255.255.0所在的网段，内部网络计算机的网关地址为防火墙内网端口的IP地址：192.168.1.1；
② 防火墙外网接口IP地址（通常情况下为公网IP地址，在这里我们使用私网IP地址模拟公网IP地址）为： 10.10.10.1/255.255.255.0，网关地址为：10.10.10.251

要求：
实现内部访问Internet的应用。

注：在进行防火墙设备配置前，要求正确连接防火墙的物理链路；调试用的计算机连接到防火墙的内网端口上。

1. 通过IE或与IE兼容的浏览器（推荐应用微软IE浏览器）使用防火墙缺省IP地址登录防火墙（建议：保持登录防火墙的计算机与防火墙对应接口处于相同网段，直接相连）。


2. 使用缺省IP登录之后，出现安装向导：



注：对于熟悉Juniper防火墙配置的工程师，可以跳过该配置向导，直接点选：No，skip the wizard and go straight to the WebUI management session instead，之后选择Next，直接登录防火墙设备的管理界面。

3. 使用向导配置防火墙，请直接选择：Next，弹出下面的界面：


4. “欢迎使用配置向导”，再选择Next。


注：进入登录用户名和密码的修改页面，Juniper防火墙的登录用户名和密码是可以更改的，这个用户名和密码的界面修改的是防火墙设备上的根用户，这个用户对于防火墙设备来说具有最高的权限，需要认真考虑和仔细配置，保存好修改后的用户名和密码。

5. 在完成防火墙的登录用户名和密码的设置之后，出现了一个比较关键的选择，这个选择决定了防火墙设备是工作在路由模式还是工作在NAT模式：
选择Enable NAT，则防火墙工作在NAT模式；
不选择Enable NAT，则防火墙工作在路由模式。



6. 防火墙设备工作模式选择，选择：Trust-Untrust Mode模式。这种模式是应用最多的模式，防火墙可以被看作是只有一进一出的部署模式。


注：NS-5GT防火墙作为低端设备，为了能够增加低端产品应用的多样性，Juniper在NS-5GT的OS中独立开发了几种不同的模式应用于不同的环境。目前，除NS-5GT以外，Juniper其他系列防火墙不存在另外两种模式的选择。

7. 完成了模式选择，点击“Next”进行防火墙外网端口IP配置。外网端口IP配置有三个选项分别是：DHCP自动获取IP地址；通过PPPoE拨号获得IP地址；手工设置静态IP地址，并配置子网掩码和网关IP地址。


在这里，我们选择的是使用静态IP地址的方式，配置外网端口IP地址为：10.10.10.1/255.255.

255.0，网关地址为：10.10.10.251。
8. 完成外网端口的IP地址配置之后，点击“Next”进行防火墙内网端口IP配置：


9. 在完成了上述的配置之后，防火墙的基本配置就完成了，点击“Next”进行DHCP服务器配置。

注：DHCP服务器配置在需要防火墙在网络中充当DHCP服务器的时候才需要配置。否则请选择“NO”跳过。

注：上面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能，由防火墙设备给内部计算机用户自动分配IP地址，分配的地址段为：192.168.1.100-192.168.1.150一共51个IP地址，在分配IP地址的同时，防火墙设备也给计算机用户分配了DNS服务器地址，DNS用于对域名进行解析，如：将错误！超链接引用无效。地址：202.108.33.32。如果计算机不能获得或设置DNS服务器地址，无法访问互联网。

10. 完成DHCP服务器选项设置，点击“Next”会弹出之前设置的汇总信息：


11. 确认配置没有问题，点击“Next”会弹出提示“Finish”配置对话框：


在该界面中，点选：Finish之后，该Web页面会被关闭，配置完成。

此时防火墙对来自内网到外网的访问启用基于端口地址的NAT，同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略：
策略：策略方向由Trust到Untrust，源地址：ANY，目标地址：ANY，网络服务内容：ANY；
策略作用：允许来自内网的任意IP地址穿过防火墙访问外网的任意地址。


重新开启一个IE页面，并在地址栏中输入防火墙的内网端口地址，确定后，出现下图中的登录界面。输入正确的用户名和密码，登录到防火墙之后，可以对防火墙的现有配置进行修改。

总结：
上述就是使用Web浏览器通过配置向导完成的防火墙NAT或路由模式的应用。通过配置向导，可以在不熟悉防火墙设备的情况下，配置简单环境的防火墙应用。