JuniperSRX防火墙配置管理手册
Juniper SRX系列防火墙配置管理手册
目录
一、JUNOS操作系统介绍 (3)
1.1 层次化配置结构 (3)
1.2 JunOS配置管理 (4)
1.3 SRX主要配置内容 (4)
二、SRX防火墙配置操作举例说明 (5)
2.1 初始安装 (5)
2.1.1 设备登陆 (5)
2.1.2 设备恢复出厂介绍 (5)
2.1.3 设置root用户口令 (5)
2.1.4 设置远程登陆管理用户 (6)
2.1.5 远程管理SRX相关配置 (6)
2.2 配置操作实验拓扑 (7)
2.3 策略相关配置说明 (7)
2.3.1 策略地址对象定义 (8)
2.3.2 策略服务对象定义 (8)
2.3.3 策略时间调度对象定义 (8)
2.3.4 添加策略配置举例 (9)
2.3.5 策略删除 (10)
2.3.6 调整策略顺序 (10)
2.3.7 策略失效与激活 (10)
2.4 地址转换 (10)
2.4.1 Interface based NAT 基于接口的源地址转换 (11)
2.4.2 Pool based Source NAT基于地址池的源地址转换 (12)
2.4.3 Pool base destination NAT基于地址池的目标地址转换 (12)
2.4.4 Pool base Static NAT基于地址池的静态地址转换 (13)
2.5 路由协议配置 (14)
静态路由配置 (14)
OSPF配置 (15)
交换机Firewall限制功能 (22)
限制IP地 (22)
限制MAC地址 (22)
三、SRX防火墙常规操作与维护 (23)
3.2设备关机 (23)
3.3设备重启 (23)
3.4操作系统升级 (24)
3.5密码恢复 (25)
3.6常用监控维护命令 (26)
Juniper SRX Branch系列防火墙配置管理手册说明
SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。
鉴于SRX系列防火墙低端
一、JUNOS操作系统介绍
1.1 层次化配置结构
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),SRXit命令退回上一级,top命令回到根级。
1.2 JunOS配置管理
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行commit后配置模式下可通过run show config命令查看当前有效配置(Active config)。此外可通过执行show | compare 比对候选配置和有效配置的差异。
SRX上由于配备大容量存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback 0/commit可返回到前一commit配置);也可以直接通过执行save configname.conf手动保存当前配置,并执行load override configname.conf / commit调用前期手动保存的配置。执行load factory-default / commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/comit命令可使NAT相关配置不生效,并可通过执行activate security nat/commit使NA T配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete 一样,均可删除security防火墙层级下所有NA T相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
1.3 SRX主要配置内容
部署SRX防火墙主要有以下几个方面需要进行配置:
System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。
Interface:接口相关配置内容。
Security:是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NA T、Zone、Policy、Address-book、Ipsec、Screen、Idp、UTM等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。
Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。
routing-options:配置静态路由或router-id等系统全局路由属性配置。
二、SRX防火墙配置操作举例说明
2.1 初始安装
2.1.1 设备登陆
Console口(通用超级终端缺省配置)连接SRX,root用户登陆,密码为空<初始第一次登陆>
login: root
Password:
--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTC
root% cli /***进入操作模式***/
root>
root> configure
Entering configuration mode /***进入配置模式***/
[edit]
Root#
2.1.2 设备恢复出厂介绍
首先根据上述操作进入到配置模式,执行下列命令:
root# load factory-default
warning: activating factory configuration /***系统激活出厂配置***/
恢复出厂后,必须立刻设置ROOT帐号密码<默认密码至少6位数:字母加数字>
root# set system root-authentication plain-tSRXt-password
New password:
当设置完ROOT帐号密码以后,进行保存激活配置
root# commit
commit complete
在此需要提醒配置操作员注意,系统恢复出厂后并不代表没有任何配置,系统缺省配置有Screen\DHCP\Policy 等相关配置,你如果需要完整的删除,可以执行命令delete 删除相关配置。通过show 来查看系统是否还有遗留不需要的配置,可以一一进行删除,直到符合你的要求,然后再重新根据实际需求进行配置。
2.1.3 设置root用户口令
设置root用户口令
root# set system root-authentication plain-tSRXt-password
root# new password : root123
root# retype new password: root123
密码将以密文方式显示
root# show system root-authentication
encrypted-password "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA
注意:强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式),此配置参数要求输入的口令是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。注:root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执行commit提交后续配置命令。
2.1.4 设置远程登陆管理用户
root# set system login user lab class super-user authentication plain-tSRXt-password
root# new password : lab123
root# retype new password: lab123
注:此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
2.1.5 远程管理SRX相关配置
run set date YYYYMMDDhhmm.ss/***设置系统时钟***/
set system time-zone Asia/Shanghai/***设置时区为上海***/
set system host-name SRX-650-1/***设置主机名***/
set system name-server 1.1.1.1 /***设置DNS服务器***/
set system services ftp
set system services telnet
set system services web-management http
/***在系统级开启ftp/telnet/http远程接入管理服务***/
set interfaces ge-0/0/0.0 family inet address 10.1.1.1/24
或
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24
set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/24
set routing-options static route 0.0.0.0/0 nSRXt-hop 192.168.1.1
/***配置逻辑接口地址及缺省路由,SRX接口要求IP地址必须配置在逻辑接口下(类似ScreenOS的子接口),通常使用逻辑接口0即可***/
set security zones security-zone untrust interfaces ge-0/0/0.0
/***将ge-0/0/0.0接口放到安全区域中,类似ScreenOS***/
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust host-inbound-traffic system-services http
set security zones security-zone untrust host-inbound-traffic system-services telnet
/***在untrust zone打开允许远程登陆管理服务,ScreenOS要求基于接口开放服务,SRX要求基于Zone开放,从SRX主动访问出去流量开启服务,类似ScreenOS***/
本次实验拓扑中使用的设备的版本如下:
SRX100-HM系统版本与J-WEB版本均为:10.1.R2.8
SSG防火墙版本为6.1.0R7
测试客户端包含WINDOWS7\XP
2.2 配置操作实验拓扑
2.3 策略相关配置说明
安全设备的缺省行为是拒绝安全区段之间的所有信息流 ( 区段之间信息流)允许绑定到同一区段的接口间的所有信息流 ( 区段内部信息流)。为了允许选定的区段之间信息流通过安全设备,必须创建覆盖缺省行为的区段之间策略。同样,为了防止选定的区段内部信息流通过安全设备,必须创建区段内部策略。
基本元素
允许、拒绝或设置两点间指定类型单向信息流通道的策略。信息流 ( 或“服务”)的类型、两端点的位置以及调用的动作构成了策略的基本元素。尽管可以有其它组件,但是共同构成策略核心部分的必要元素如下:
策略名称- 两个安全区段间 ( 从源区段到目的区段) 间信息流的方向 /***必须配置***/
源地址- 信息流发起的地址 /***必须配置***/
目标地址- 信息流发送到的地址/***必须配置***/
服务- 信息流传输的类型/***必须配置***/
动作- 安全设备接收到满足头四个标准的信息流时执行的动作/***必须配置***/
这些动作为:deny、permit、reject 或 tunnel
注意tunnel、firewall-authentication、application-services
> Firewall-authentication
> tunnel 另外还包括其他的策略元素,比如记录日志、流量统计、时间调度对象等
三种类型的策略
可通过以下三种策略控制信息流的流动:
通过创建区段之间策略,可以管理允许从一个安全区段到另一个安全区段的信息流的种类。
通过创建区段内部策略,也可以控制允许通过绑定到同一区段的接口间的信息流的类型。
通过创建全局策略,可以管理地址间的信息流,而不考虑它们的安全区段。
2.3.1 策略地址对象定义
SRX服务网关地址对象需要自定义后才可以在策略中进行引用,默认只有any对象
自定义单个地址对象如下:
root# set security zones security-zone trust address-book address pc-1 20.1.1.200/32
root# set security zones security-zone trust address-book address pc-2 20.1.1.210/32
自定义单个地址组对象如下:
set security zones security-zone trust address-book address-set pc-group address pc-1
set security zones security-zone trust address-book address-set pc-group address pc-2
2.3.2 策略服务对象定义
SRX服务网关部分服务对象需要自定义后才可以在策略中进行引用,默认仅有预定义常用服务对象
自定义单个服务对象如下:
set applications application tcp-3389 protocol tcp 定义服务对象协议
set applications application tcp-3389 destination-port 3389-3389定义服务对象目标地址
set applications application tcp-3389 inactivity-timeout never 可选定义服务对象timeout时长set applications application tcp-8080 protocol tcp
set applications application tcp-8080 source-port 1-65535
set applications application tcp-8080 destination-port 8080-8080
set applications application tcp-8080 inactivity-timeout 3600
自定义单个服务组对象如下:
set applications application-set aaplications-group application tcp-8080
set applications application-set aaplications-group application tcp-3389
2.3.3 策略时间调度对象定义
SRX服务网关时间调度对象需要自定义后才可以在策略中进行引用,默认没有预定义时间调度对象
自定义单个时间调度对象如下:
set schedulers scheduler work-time daily start-time 09:00:00 stop-time 18:00:00
set schedulers scheduler happy-time sunday start-time 00:00:00 stop-time 23:59:59
set schedulers scheduler happy-time saturday start-time 00:00:00 stop-time 23:59:59
注意:时间调度服务生效参考设备系统时间,所以需要关注设备系统时间是否正常。
2.3.4 添加策略配置举例
Policy配置方法与ScreenOS基本一致,仅在配置命令上有所区别,其中策略的允许/拒绝的动作(Action)需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上配置语句)。Policy需要手动配置policy name,policy name可以是字符串,也可以是数字(与ScreenOS的policy ID类似,只不过需要手工指定)。
首先需要注意系统缺省策略配置:
root# show security policies default-policy 查看当前系统缺省策略动作
root# set security policies default-policy ? 设置系统缺省策略动作
Possible completions:
deny-all Deny all traffic if no policy match
permit-all Permit all traffic if no policy match
根据实验拓扑进行策略配置举例说明
set security zones security-zone trust address-book address pc1 20.1.1.200/32
set security zones security-zone untrust address-book address server1 192.168.1.200/32
/***与ScreenOS一样,在trust和untrust zone下分别定义地址对象便于策略调用,地址对象的名称可以是地址/掩码形式***/
set security zones security-zone trust address-book address-set addr-group1 address pc1
/***在trust zone下定义名称为add-group1的地址组,并将pc1地址放到该地址组中***/
Set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application any
set security policies from-zone trust to-zone untrust policy 001 then permit
/***定义从trust 到untrust方向permit策略,允许addr-group1组的源地址访问server1地址any服务***/ set security policies from-zone trust to-zone untrust policy 001 then log session-init
set security policies from-zone trust to-zone untrust policy 001 then log session-close
set security policies from-zone trust to-zone untrust policy 001 then count
<可选配置>/***定义从trust 到untrust方向策略,针对当前策略记录日志并统计策略流量
root# set security policies from-zone trust to-zone untrust policy 001 scheduler-name happy-time root# set security policies from-zone trust to-zone dmz policy 001 scheduler-name work-time
<可选配置>/***定义当前策略,引用时间调度对象,符合时间条件策略生效,否则策略将处于非工作状态root# set security policies from-zone trust to-zone untrust policy t-u then permit application-services ?
Possible completions:
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-SRXcept Don't inherit configuration data from these groups
gprs-gtp-profile Specify GPRS Tunneling Protocol profile name
idp Intrusion detection and prevention
redirect-wx Set WX redirection
reverse-redirect-wx Set WX reverse redirection
uac-policy Enable unified access control enforcement of policy
utm-policy Specify utm policy name
[edit]
<可选配置>/***定义当前策略,选择是否客气IDP\UAC\UTM等操作,如果针对策略开启相应的检查,请先定义好相应的功能。
2.3.5 策略删除
删除SRX防火墙策略命令,在JUNOS系统中删除全部都使用delete命令,因此删除策略的命令如下:
srx3400@root#delete security policies from trust to untrust policy 1
/*** 删除从trust到 untrust 策略ID为1的策略 ***/
命令如下:srx3400@root#delete security policies from zone-name to zone-name policy policy-id
Zone-name:表示自定义或者预定义的zone名字。例如:trust、untrust、dmz等
Policy-id:表示策略的ID号,例如:1、2、3、4、n。
注意:如果不加策略ID将表示删除从From-zone 到 TO zone 的全部策略
2.3.6 调整策略顺序
SRX防火墙的策略执行顺序是自上而下,逐一检查进行匹配。新添加的策略将排列在策略的最后一个,默认策略是全部阻止,因此如果前面有模糊匹配的策略,精确匹配策略将不再执行,所以需要调整策略顺序。
命令如下:(1) srx3400@root#insert security policies from trust to untrust policy 1 before policy 2 /*** 将从trust区域到untrust区域的策略1插入到策略2的前面 ***/
(2) srx3400@root#insert security policies from trust to untrust policy 1 after policy 2
/*** 将从trust区域到untrust区域的策略1插入到策略2的后面 ***/
命令格式:srx3400@root#insert security policies from zone-name to zone-name policy policy-id before policy policy-id
srx3400@root#insert security policies from zone-name to zone-name policy policy-id after policy policy-id
2.3.7 策略失效与激活
在SRX防火墙中准备暂停某条策略,等待测试结束后再激活启用,使用如下命令进行设置
命令如下:策略失效
(1) srx3400@root#deactive security policies from trust to untrust policy 1
/*** 将从trust区域到untrust区域的策略1 暂时停用 ***/
策略激活
(2)srx3400@root#active security policies from trust to untrust policy 1
/*** 将从trust区域到untrust区域的策略1 激活 ***/
激活和失效配置完成后都要进行commit操作。
命令如下:srx3400@root#commit
2.4 地址转换
SRX NAT较ScreenOS在功能实现方面基本保持一致,但在功能配置上有较大区别,配置的主要差异在于ScreenOS 的NAT与policy是绑定的,无论是MIP/VIP/DIP还是基于策略的NAT,在policy中均要体现出NAT内容(除了缺省基于untrust接口的Souec-NAT模式外),而SRX 的NAT则作为网络层面基础内容进行独立配置(独立定义地址映射的方向、映射关系及地址范围),Policy中不再包含NAT相关配置信息,这样的好处是易于理解、
简化运维,当网络拓朴和NAT映射关系发生改变时,无需调整Policy配置内容。
SRX NAT和Policy执行先后顺序为:目的地址转换-目的地址路由查找-执行策略检查-源地址转换,结合这个执行顺序,在配置Policy时需注意:Policy中源地址应是转换前的源地址,而目的地址应该是转换后的目的地址,换句话说,Policy中的源和目的地址应该是源和目的两端的真实IP地址,这一点和ScreenOS存在区别,需要加以注意。
SRX中不再使用MIP/VIP/DIP这些概念,其中MIP被Static静态地址转换取代,两者在功能上完全一致;DIP 被Source NAT取代;基于Policy的目的地址转换及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址转换被保留下来,但在SRX中不再是缺省模式(SRX中Trust Zone接口没有NAT模式概念),需要手工配置。类似ScreenOS,Static属于双向NAT,其他类型均属于单向NAT。
此外,SRX还多了一个proxy-arp概念,如果定义的IP Pool(可用于源或目的地址转换)需配置SRX对这个Pool内的地址提供ARP代理功能,这样对端设备能够解析到IP Pool地址的MAC地址(使用接口MAC地址响应对方),以便于返回报文能够送达SRX。下面是配置举例及相关说明:
2.4.1 Interface based NAT 基于接口的源地址转换
图片仅供参考,下列配置参考实验拓扑
NAT配置:
set security nat source rule-set 1 from zone trust 指定源区域
set security nat source rule-set 1 to zone untrust 指定目标区域
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0 指定源和目标匹配的地址或者地址段,0.0.0./0代表所有
set security nat source rule-set 1 rule rule1 then source-nat interface 指定通过接口IP进行源翻译
上述配置定义NAT源地址映射规则,从Trust Zone访问Untrust Zone的所有流量用Untrust Zone接口IP做源地址转换。
Policy配置:
set security policies from-zone trust to-zone untrust policy 1 match source-address pc-1
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行接口源地址转换。
2.4.2 Pool based Source NAT基于地址池的源地址转换
图片仅供参考,下列配置参考实验拓扑
NAT配置:
set security nat source pool pool-1 address 192.168.1.50 to 192.168.1.150
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set 1 rule rule1 then source-nat pool pool-1
set security nat proxy-arp interface ge-0/0/0 address 192.168.1.50 to 192.168.1.150
上述配置表示从trust方向(any)到untrust方向(any)访问时提供源地址转换,源地址池为
pool1(192.168.1.50-192.168.1.150),同时fe-0/0/0接口为此pool IP提供ARP代理。需要注意的是:定义
Pool时不需要与Zone及接口进行关联。配置proxy-arp目的是让返回包能够送达SRX,如果Pool与出接口IP
不在同一子网,则对端设备需要配置指向fe-0/0/0接口的Pool地址路由。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address pc-1
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,
SRX在建立session时自动执行源地址转换。
2.4.3 Pool base destination NAT基于地址池的目标地址转换
图片仅供参考,下列配置参考实验拓扑NAT配置:
set security nat destination pool 111 address 20.1.1.200/32
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
set security nat destination rule-set 1 rule 111 match destination-address 192.168.1.150/32
set security nat destination rule-set 1 rule 111 then destination-nat pool 111
上述配置将外网any访问192.168.1.150地址映射到内网20.1.1.200地址,注意:定义的Dst Pool是内网真实IP地址,而不是映射前的公网地址。这点和Src-NAT Pool有所区别。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address PC-1 set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Untrust方向任何地址访问Trust方向PC-1:20.1.1.200,根据前面的NAT 配置,公网访问192.168.1.150时,SRX自动执行到20.1.1.200的目的地址转换。
ScreenOS VIP功能对应的SRX Dst-nat配置:
set security nat destination pool 222 address 20.1.1.200/32 port 8080
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
set security nat destination rule-set 1 rule 111 match destination-address 192.168.1.150/32
set security nat destination rule-set 1 rule 111 match destination-port 8080
set security nat destination rule-set 1 rule 111 then destination-nat pool 222
上述NAT配置定义:访问192.168.1.150地址8080端口映射至20.1.1.200地址8080端口,功能与ScreenOS VIP 端口映射一致。
2.4.4 Pool base Static NAT基于地址池的静态地址转换
图片仅供参考,下列配置参考实验拓扑
NAT:
set security nat static rule-set static-nat from zone untrust
set security nat static rule-set static-nat rule rule1 match destination-address 192.168.1.150
set security nat static rule-set static-nat rule rule1 then static-nat prefix 20.1.1.200
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address pc-1
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
Static NAT概念与ScreenOS MIP一致,属于静态双向一对一NAT,上述配置表示访问192.168.1.150时转换为
20.1.1.200,当20.1.1.200访问Internet时自动转换为192.168.1.150,并且优先级比其他类型NAT高。2.5 路由协议配置
静态路由配置
在设置静态路由的时候,可以通过nSRXt-hop和qualified-nSRXt-hop来指定下一跳地址,它们之间的区别是nSRXt-hop后面仅仅可以跟IP地址,而qualified-nSRXt-hop 除了可以跟下一条IP地址之外,还可以指定下一跳的端口。
添加静态路由
#设置172.16.1.0/24网段指向下一跳地址192.168.1.253
lab@SRX-1# top
[edit]
lab@SRX-1#set routing-options static route 172.16.1.0/24 nSRXt-hop 192.168.1.253删除静态路由
lab@SRX-1# top
[edit]
lab@SRX-1# delete routing-options static route 172.16.1.0/24
调整静态路由优先值
lab@SRX-1# top
[edit]
lab@SRX-1#set routing-options static route 172.16.1.0/24 nSRXt-hop 10.1.1.1 preference 100
设置备份静态路由
#设置主用路由优先值为100
lab@SRX-1# top
[edit]
lab@SRX-1#set routing-options static route 172.16.1.0/24 nSRXt-hop 10.1.1.1 preference 100
#设置备份路由优先值为200,注意只能用qualified-nSRXt-hop指定下一跳地址
lab@SRX-1#set routing-options static route 0.0.0.0/0 qualified-nSRXt-hop 20.1.1.1 preference 200
指定静态路由下一跳端口
lab@SRX-1# top
[edit]
lab@SRX-1#set routing-options static route 0.0.0.0/0 qualified-nSRXt-hop 20.1.1.1 interface ge-0/0/1.0
OSPF配置
Juniper SRX交换机中,如果启用了OSPF协议,那么SRX交换机不会自动将本机上的静态路由/直连路由等通告给邻居,因此需要编写policy进行路由重分布
OSPF配置步骤
(1)配置router id
(2)配置启动ospf协议
(3)配置OSPF端口参数
(4)配置OSPF SRXport策略(路由重定向)
OSPF命令层次结构:
/* 配置router-id */
routing-options {
router-id [router-id];
graceful-restart; //启动Graceful Restart技术
}
/* 启动OSPF */
protocols {
ospf {
/* 调整OSPF管理距离 */
preference [preference];
SRXternal-preference [SRXt-preference];
/* 启动graceful-restart */
graceful-restart {
notify-duration [notify-seconds];
restart-duration [restart-seconds];
}
/* 设置骨干或一般区域 */
area [area-id] {
/* 定义认证方式 */
authentication-type [auth-type];
/* 设置OSPF逻辑端口 */
interface [interface-name] {
[disable];
[passive];
/* 设置认证 */
authentication {
[auth-type] [key-id] key “[key-value]”; }
hello-interval [hello-interval];
dead-interval [dead-interval];
retransmit-interval [retransmit-interval];
priority [priority-number];
}
}
area [area-id] {
authentication-type [auth-type];
/* 将区域设置为NSSA */
nssa {
area-range [network/mask-length];
default-lsa {
default-metric [metric]; //设定缺省路由的Metric值 metric-type [metric_type]; //设定外部路由的类型,1或者2 type-7; //如果配置了no-summaries,则产生Type 7的缺省LSA
}
/* 控制Summary LSA进入NSSA区域 */
[no-summaries | summaries];
}
interface [interface-name] {
[disable];
[passive];
authentication {
[auth-type] [key-id] key "[key-value]";
}
hello-interval [hello-interval];
dead-interval [dead-interval];
retransmit-interval [retransmit-interval];
priority [priority-number];
/* 启动BFD加快OSPF收敛 */
bfd-liveness-detection {
minimum-interval [int-msec];
minimum-receive-interval [rx-msec];
minimum-transmit-interval [tx-msec];
multiplier [multiply-number]; }
}
}
}
}
重要参数说明:
OSPF 配置实例
下面网络结构中,两台交换机利用ae0聚合端口通过Trunk 连接,其中SW2交换机配置了VLAN20网关地址以及vlan10地址192.168.2.253/24(用于跟OSPF 互联):
实现步骤:
Step1:创建VLAN ,设置三层地址
SW1配置:
lab@SRX-1# edit vlans
[edit vlans]
lab@SRX-1# set vlan10 vlan-id 10 description "VLAN 10"
lab@SRX-1#set vlan10 interface ge-0/0/0.0
lab@SRX-1# set vlan10 l3-interface vlan.10
lab@SRX-1# top
{master}[edit]
lab@SRX-1# set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode access
lab@SRX-1# set interfaces ae0 unit 0 family ethernet-switching port-mode trunk lab@SRX-1#set interfaces ae0 unit 0 family ethernet-switching vlan members 10
SW2配置:
lab@SRX-1# edit vlans
[edit vlans]
lab@SRX-1# set vlan10 vlan-id 10 description "VLAN 10"
lab@SRX-1#set vlan10 interface ge-0/0/0.0
lab@SRX-1# set vlan10 l3-interface vlan.10
lab@SRX-1# set vlan20 vlan-id 20 description "VLAN 20"
lab@SRX-1# set vlan20 interface ge-0/0/1.0
lab@SRX-1# set vlan20 l3-interface vlan.20
lab@SRX-1# top
{master}[edit]
lab@SRX-1# set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode access
lab@SRX-1# set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access
lab@SRX-1# set interfaces ae0 unit 0 family ethernet-switching port-mode trunk lab@SRX-1#set interfaces ae0 unit 0 family ethernet-switching vlan members 10
Step2:配置三层端口信息
SW1交换机:
lab@SRX-1# top
[edit]
lab@SRX-1# set interfaces vlan unit 10 family inet address 192.168.1.254/24
SW2交换机:
lab@SRX-1# top
[edit]
lab@SRX-1# set interfaces vlan unit 10 family inet address 192.168.1.253/24
lab@SRX-1# set interfaces vlan unit 20 family inet address 192.168.2.254/24
Fortigate防火墙安全配置规范
Fortigate防火墙安全配置规范
1.概述 1.1. 目的 本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。
2.设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范,以便管理。 2.2. 配置设备时钟 建议采用NTP server同步全网设备时钟。如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令 缺省情况下,admin的口令为空,需要设置一个口令。密码长度不少于8个字符,且密码复杂。 2.4. 设置LCD口令 从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令,只允许管理员修改。密码长度不少于8个字符,且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。 单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限,如下表所示:
接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式 Port5 (保留) Port6 (保留) 且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时 管理会话空闲超时不要太长,缺省5分钟是合适的。 2.8. SNMP设置 设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据,系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置,包括日志保存的位 置(fortigate内存、syslog服务器等)、需要激活日志功能的安全模块等。如下图 所示:
juniper防火墙配置手册
JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置:STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置:STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)
防火墙操作手册-推荐下载
防火墙操作手册 ----USG6550(V100R001)
1.安装前的准备工作 在安装USG前,请充分了解需要注意的事项和遵循的要求,并准备好安装过程中所需要的工具。 安装注意事项 在安装USG时,不当的操作可能会引起人身伤害或导致USG损坏,请在安装USG前详细阅读本安全注意事项。 检查安装环境 安装USG前,请检查安装环境是否符合要求,以保证USG正常工作并延长使用寿命。 安装工具准备 安装USG过程中需要使用到如下工具,请提前准备好。 2.安装注意事项 1)所有安全注意事项 为保障人身和设备安全,在安装、操作和维护设备时,请遵循设备上标识及手册中说明的所有安全注意事项。 手册中的“注意”、“小心”、“警告”和“危险”事项,并不代表所应遵守的所有安全事项,只作为所有安全注意事项的补充。 2)当地法规和规范
操作设备时,应遵守当地法规和规范。手册中的安全注意事项仅作为当地安全规范的补充。 3)基本安装要求 负责安装维护华为设备的人员,必须先经严格培训,了解各种安全注意事项,掌握正确的操作方法之后,方可安装、操作和维护设备。 只允许有资格和培训过的人员安装、操作和维护设备。 只允许有资格的专业人员拆除安全设施和检修设备。 替换和变更设备或部件(包括软件)必须由华为认证或授权的人员完成。 操作人员应及时向负责人汇报可能导致安全问题的故障或错误。 4)人身安全 禁止在雷雨天气下操作设备和电缆。 为避免电击危险,禁止将安全特低电压(SELV)电路端子连接到通讯网络电压(TNV)电路端子上。 禁止裸眼直视光纤出口,以防止激光束灼伤眼睛。 操作设备前,应穿防静电工作服,佩戴防静电手套和手腕,并去除首饰和手表等易导电物体,以免被电击或灼伤。 如果发生火灾,应撤离建筑物或设备区域并按下火警警铃,或者拨打火警电话。任何情况下,严禁再次进入燃烧的建筑物。
DPtech FW1000系列防火墙系统用户配置手册解析
DPtech FW1000系列防火墙用户配置 手册
杭州迪普科技有限公司为客户提供全方位的技术支持。 通过杭州迪普科技有限公司代理商购买产品的用户,请直接与销售代理商联系;直接向杭州迪普科技有限公司购买产品的用户,可直接与公司联系。 杭州迪普科技有限公司 地址:杭州市滨江区火炬大道581号三维大厦B座901室 邮编:310053
声明 Copyright 2010 杭州迪普科技有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。 由于产品版本升级或其他原因,本手册内容有可能变更。杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,杭州迪普科技有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
目录 第1章产品概述1-1 1.1产品简介1-1 1.2WEB管理1-1 1. 2.1登录WEB管理界面1-1 1.2.2WEB界面布局介绍1-2 第2章系统管理2-1 2.1简介2-1 2.2设备管理2-1 2.2.1设备信息2-1 2.2.2设备状态2-3 2.2.3设备设置2-4 2.3SNMP配置2-7 2. 3.1简介2-7 2.3.2配置信息2-7 2.3.3IP地址列表2-8 2.4管理员2-8 2. 4.1简介2-8 2.4.2当前管理员2-9 2.4.3管理员设置2-9 2.4.4登录参数设置2-11 2.5配置文件2-12 2.6特征库2-13 2.6.1APP特征库2-13 2.6.2URL分类过滤特征库2-16 2.6.3L ICENSE文件管理2-17 2.7软件版本2-18 2.8NTP配置2-19 第3章网络管理3-1 3.1简介3-1 3.2接口管理3-2 3.2.1简介3-2 3.2.2组网配置3-2 3.3网络对象3-9
华为EUDEMON200 防火墙操作手册
Eudemon 200防火墙操作指导 本文网址:https://www.360docs.net/doc/736992960.html,/152970 复制 Prepared by 拟制 赵强 Date 日期 2003/09/08 Reviewed by 评审人 Date 日期 Approved by 批准 Date 日期 Authorized by 签发 Date 日期 Huawei Technologies Co., Ltd. 华为技术有限公司 All rights reserved 版权所有侵权必究
(REP01T01 V2.31/ IPD-CMM V2.0 / for internal use only)(REP01T01 V2.31/ IPD-CMM V2.0 / 仅供内部使用) Revision record 修订记录 Date 日期 Revision V ersion 修订 版本 CR ID / Defect ID CR号 Section Number 修改 章节 Change Description 修改描述 Author 作者 2003-09-10 1.00 initial 初稿完成 赵强 Distribution List 分发记录 Copy No. Holder's Name & Role 持有者和角色 Issue Date 分发日期 1 yyyy-mm-dd
Catalog 目录 1 Introduction 简介 (7) 1.1 目的 (7) 1.2 范围 (7) 1.3 发布对象 (7) 2 Eudemon200防火墙的特点 (8) 2.1 基于状态的防火墙 (8) 2.2 安全域概念介绍 (8) 2.2.1 防火墙的域 (8) 2.2.2 域间概念 (10) 2.2.3 本地域(Local) (10) 2.3 防火墙的模式 (11) 2.3.1 概述 (11) 2.3.2 路由模式 (11) 2.3.3
fortigate 简易设置手册
fortigate 简易设置手册 一、更加语言设置: 1、首先把PC的网卡IP修改成192.168.1.*的网段地址,在IE中输入: https://192.168.1.99进入设置界面,如下图: 2、进入设置界面后,点击红框标注的位置(系统管理→状态→管理员设置), 进入如下图:在红框标注的位置进行语言选择。 二、工作模式的设置:
Fortigate防火墙可以工作在以下几种模式:路由/NAT模式、透明模式; 要修改工作模式可在下图标注处进行更改,然后设置相应的IP地址和掩码等。 三、网络接口的设置: 在系统管理→点击网络,就出现如下图所示,在下图所指的各个接口,您可以自已定义各个接口IP地址。 点击编辑按钮,进入如下图所示: 在下图地址模式中,在LAN口上根据自已需要进行IP地址的设置,接着在管理访问中指定管理访问方式。
在WAN口上,如果是采用路由/NAT模式可有两种方式: 1、采用静态IP的方式:如下图: 在红框标注的地方,选中自定义,输入ISP商给你的IP地址、网关、掩码。 在管理访问的红框中,指定您要通过哪种方式进行远程管理。 如果你从ISP商获得多个IP的话,你可以在如下图中输入进去。 在如下图红框标注的地方,输入IP地址和掩码以及管理访问方式,点击ADD 即可。
注: 采用静态IP地址的方式,一定要加一条静态路由,否则就不能上网。如下图:
2、如采用ADSL拨号的方式,如下图: 当你选中PPOE就会出现如下图所示的界面: 在红框标注的地址模式中,输入ADSL用户和口令,同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。 在管理访问方式中根据自已的需要,选中相应的管理方式,对于MTU值一般情况下都采用默认值就行了.
Juniper防火墙日常维护手册
Juniper防火墙维护手册
目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置(双机配置) (7) 1.5.配置MIP(通过图形界面配置) (9) 1.6.配置访问策略(通过图形界面配置) (11) https://www.360docs.net/doc/736992960.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)
1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen,为了便于区分设备和维护,在对防火墙进行配置前先对防火墙进行命名: Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段,用于专门对接口进行管理时用。在双机的工作状态下,因为接口的地址只存在于主防火墙上,如果不配置管理IP,则不能对备用防火墙进行登录了。一般在单机时,不需要配置接口的管理IP,但在双机时,建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意:接口的工作模式可以工作在路由模式,NAT模式和透明模式。在产品线应用中,透明模式很少用,而NAT模式只有在trust到untrust的数据流才起作用,建议把防火墙的所有接口都配置成route的工作模式,用命令set interface接口名 route配置即可,缺省情况下需要在trust区段中的接口使用此命令。 本例子中,配置接口ethernet2属于Untrust区,IP地址为202.38.12.23/28,如设置管理方式是Http,命令如下: Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat
NETSCREEN25软防火墙配置简要手册
NETSCREEN25硬防火墙配置简要手册 系统默认情况下通过INTERNET3口接电脑,电脑配置ip:192.168.1.2, 在IE栏输入:192.168.1.1 USER:NETSCREEN PWD:NETSCREEN(均为小写) 如果用IE进不了,通过串口访问,串口设置是默认设置, 进去后用命令: set int eth3 ip 192.168.1.1 255.255.255.0 set int eth3 manage 然后通过IE访问一样 一、资源准备: 1、当地的ip资源情况,是否有公网IP,需要配置公网地址 多个的话,都要准好,并要定下来公网ip与私网ip的对应。 2、内网IP的地址分配,同时,各个设备的网关地址,在三层交换机中的分配。 现在采用的分配方式是语音网关、通信服务器、CTI服务器在一个网段中,计费服务器的IP地址在一个网关中,数据库应用服务器在一个网段中:
二、具体配置端口参考(部分,根据具体应用来定义端口和服务器) 三、基本配置流程 基本定义策略(polices) 二类: 1、trust――>untrust 源:any 目的:any 服务:any 2、untrust――>trust 源:any 目的:MIP中的一个地址 服务:对应的定义的服务组 (依次把MIP的映射都加进来) 配置流程: 第一步向导的配置
图1:可以直接将配置文件导入(如果) 图2: 图3:配置登陆密码
图4:对4个eth进行区域划分,每个eth有4个选项(DMZ、trust、untrust、null) 图5:划分地址段
图6:配置防火墙的公网ip和内网ip(内部的) 图7:是否将netscreen配置成DHCP
飞塔防火墙fortigate的show命令显示相关配置
飞塔防火墙fortigate的show命令显示相关配置,而使用get命令显示实时状态 show full-configuration显示当前完全配置 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip 88.140.194.4 255.255.255.240 set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: 218.94.115.50 255.255.255.248 status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: 88.2.192.52 255.255.255.240 status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static edit 1 set device "wan1" set gateway 27.151.120.X
juniper防火墙详细配置手册
Juniper防火墙简明实用手册 (版本号:)
目录 1juniper中文参考手册重点章节导读.................................... 错误!未定义书签。 第二卷:基本原理 ...................................................... 错误!未定义书签。 第一章:ScreenOS 体系结构 .......................... 错误!未定义书签。 第二章:路由表和静态路由............................ 错误!未定义书签。 第三章:区段.................................................... 错误!未定义书签。 第四章:接口.................................................... 错误!未定义书签。 第五章:接口模式............................................ 错误!未定义书签。 第六章:为策略构建块.................................... 错误!未定义书签。 第七章:策略.................................................... 错误!未定义书签。 第八章:地址转换............................................ 错误!未定义书签。 第十一章:系统参数........................................ 错误!未定义书签。 第三卷:管理 .............................................................. 错误!未定义书签。 第一章:管理.................................................... 错误!未定义书签。 监控NetScreen 设备........................................ 错误!未定义书签。 第八卷:高可用性 ...................................................... 错误!未定义书签。 NSRP ................................................................... 错误!未定义书签。 故障切换............................................................ 错误!未定义书签。2Juniper防火墙初始化配置和操纵........................................ 错误!未定义书签。3查看系统概要信息................................................................. 错误!未定义书签。4主菜单常用配置选项导航..................................................... 错误!未定义书签。5Configration配置菜单 ........................................................... 错误!未定义书签。 Date/Time:日期和时间 ............................................... 错误!未定义书签。 Update更新系统镜像和配置文件 ............................. 错误!未定义书签。 更新ScreenOS系统镜像 .................................. 错误!未定义书签。 更新config file配置文件.................................. 错误!未定义书签。 Admin管理 .................................................................. 错误!未定义书签。 Administrators管理员账户管理....................... 错误!未定义书签。 Permitted IPs:允许哪些主机可以对防火墙进行管理错误!未定
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册
目录 一、防火墙的几种管理方式 (3) 1.串口管理 (3) 2.TELNET管理 (4) 3.SSH管理 (5) 4.WEB管理 (6) 5.GUI管理 (6) 二、命令行常用配置 (12) 1.系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2.网络配置命令(NETWORK) (13)
4.定义对象命令(DEFINE) (13) 5.包过滤命令(PF) (13) 6.显示运行配置命令(SHOW_RUNNING) (13) 7.保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1.系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2.网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3.对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4.访问策略配置 (23) 5.高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构: (28) 1.用串口管理方式进入命令行 (28) 2.配置接口属性 (28) 3.配置VLAN (28) 4.配置区域属性 (28) 5.定义对象 (28) 6.添加系统权限 (29) 7.配置访问策略 (29) 8.配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构: (30) 1.用串口管理方式进入命令行 (30) 2.配置接口属性 (30) 3.配置路由 (30) 4.配置区域属性 (30) 5.配置主机对象 (30) 6.配置访问策略 (30)
22-1用户手册(华为USG防火墙)
华为防火墙配置用户手册 防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168.0.1/24,默认g0/0/0接口开启了dhcp server,默认用户名为admin,默认密码为Admin@123 一、配置案例 1.1 拓扑图 GE 0/0/1:10.10.10.1/24 GE 0/0/2:220.10.10.16/24 GE 0/0/3:10.10.11.1/24 WWW服务器:10.10.11.2/24(DMZ区域) FTP服务器:10.10.11.3/24(DMZ区域) 1.2 Telnet配置 配置VTY 的优先级为3,基于密码验证。 # 进入系统视图。
[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123 配置空闲断开连接时间 # 设置超时为30分钟 [USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。 基于用户名和密码验证 user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤。 1.3 地址配置 内网: 进入GigabitEthernet 0/0/1视图 [USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址 [USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit 外网: 进入GigabitEthernet 0/0/2视图 [USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址 [USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit
Fortigate60安装手册
F o r t i g a t e3.0M R4中文配置向导 目录 介绍(关于这篇文章介绍)-------------------------------------------------------------------------------------3 Fortigate 60防火墙介绍---------------------------------------------------------------------------------------4其他systex安全产品---------------------------------------------------------------------------------------4 SOHU&中小型网络拓扑结构-------------------------------------------------------------------------------5注:文中的IP地址以实际操作时配置的地址为准。不必照搬。 准备工作 1.修改自己电脑IP 2.进入防火墙界面 3.修改防火墙密码(以及忘记密码如何操作) 4. 配置防火墙的内网IP地址----------------------------------------------------------------------------------9目的:把防火墙的IP修改成自己想要的IP 配置局域网共享上网----------------------------------------------------------------------------------------10目的:使局域网的PC都能通过防火墙连接到Internet 设置ADSL用户名和密码拨号上网 设置固定IP上网 设置动态分配IP上网 配置双WAN共享上网---------------------------------------------------------------------------------------14目的:使用2根宽带线路连接到Internet 设置WAN2 设置WAN2 ADSL用户名和密码拨号上网 设置WAN2 固定IP上网 设置WAN2动态分配IP上网 配置特定人员从指定WAN口上网------------------------------------------------------------------------17目的:使特定人员从指定的WAN口上网 设置步骤 配置WEB服务器映射---------------------------------------------------------------------------------------19目的 设置虚拟服务器 设置地址映射 设置开放端口 配置过滤---------------------------------------------------------------------------------------------------------26目的 设置URL(网站地址)过滤
华为防火墙命令
华为路由器和防火墙配置命令总结 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。
华为防火墙操作手册-入门
目录 第1章防火墙概述 ..................................................................................................................... 1-1 1.1 网络安全概述 ..................................................................................................................... 1-1 1.1.1 安全威胁.................................................................................................................. 1-1 1.1.2 网络安全服务分类 ................................................................................................... 1-1 1.1.3 安全服务的实现方法................................................................................................ 1-2 1.2 防火墙概述......................................................................................................................... 1-4 1.2.1 安全防范体系的第一道防线——防火墙................................................................... 1-4 1.2.2 防火墙发展历史....................................................................................................... 1-4 1.3 Eudemon产品简介............................................................................................................. 1-6 1.3.1 Eudemon产品系列 .................................................................................................. 1-6 1.3.2 Eudemon500/1000防火墙简介................................................................................ 1-6 1.3.3 Eudemon500/1000防火墙功能特性列表 ................................................................. 1-8第2章 Eudemon防火墙配置基础 .............................................................................................. 2-1 2.1 通过Console接口搭建本地配置环境 .................................................................................. 2-1 2.1.1 通过Console接口搭建 ............................................................................................. 2-1 2.1.2 实现设备和Eudemon防火墙互相ping通 .................................................................. 2-4 2.1.3 实现跨越Eudemon防火墙的两个设备互相ping通.................................................... 2-5 2.2 通过其他方式搭建配置环境................................................................................................ 2-6 2.2.1 通过AUX接口搭建 ................................................................................................... 2-7 2.2.2 通过Telnet方式搭建................................................................................................. 2-9 2.2.3 通过SSH方式搭建 ................................................................................................. 2-11 2.3 命令行接口....................................................................................................................... 2-12 2.3.1 命令行级别 ............................................................................................................ 2-12 2.3.2 命令行视图 ............................................................................................................ 2-13 2.3.3 命令行在线帮助..................................................................................................... 2-24 2.3.4 命令行错误信息..................................................................................................... 2-25 2.3.5 历史命令................................................................................................................ 2-26 2.3.6 编辑特性................................................................................................................ 2-26 2.3.7 查看特性................................................................................................................ 2-27 2.3.8 快捷键.................................................................................................................... 2-27 2.4 防火墙的基本配置............................................................................................................ 2-30 2.4.1 进入和退出系统视图.............................................................................................. 2-30 2.4.2 切换语言模式......................................................................................................... 2-30 2.4.3 配置防火墙名称..................................................................................................... 2-31 2.4.4 配置系统时钟......................................................................................................... 2-31