您的位置:360文档中心› Juniper防火墙部署工程

Juniper防火墙部署工程

合集下载

JuniperSR防火墙简明配置手册

JuniperSR防火墙简明配置手册

Juniper SRX防火墙简明配置手册卞同超Juniper 服务工程师Juniper Networks, Inc.北京市东城区东长安街1号东方经贸城西三办公室15层1508室邮编:100738电话:目录Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务;目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统;JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础;基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统;本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明;一、JUNOS操作系统介绍层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明;JUNOS CLI使用层次化配置结构,分为操作operational和配置configure两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令run;在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置类似unix cd命令,exit命令退回上一级,top命令回到根级;JunOS配置管理JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置Candidate Config等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置Active config;另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险;在执行commit命令前可通过配置模式下show命令查看当前候选配置Candidate Config,在执行commit后配置模式下可通过run show config命令查看当前有效配置Active config;此外可通过执行show | compare比对候选配置和有效配置的差异;SRX上由于配备大容量硬盘存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置如rollback 0/commit可返回到前一commit配置;也可以直接通过执行save 手动保存当前配置,并执行load override / commit调用前期手动保存的配置;执行load factory-default / commit命令可恢复到出厂缺省配置;SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/comit命令可使NAT 相关配置不生效,并可通过执行activate security nat/commit使NAT配置再次生效;SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意;SRX主要配置内容部署SRX防火墙主要有以下几个方面需要进行配置:System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务如telnet等内容;Interface:接口相关配置内容;Security:是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务;Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致;routing-options:配置静态路由或router-id等系统全局路由属性配置;二、SRX防火墙配置对照说明初始安装2.1.1 登陆Console口通用超级终端缺省配置连接SRX,root用户登陆,密码为空login: rootPassword:--- JUNOS built 2009-07-16 15:04:30 UTCroot% cli /进入操作模式/root>root> configureEntering configuration mode /进入配置模式/editRoot2.1.2 设置root用户口令设置root用户口令root set system root-authentication plain-text-passwordroot new password : root123root retype new password: root123密码将以密文方式显示root show system root-authenticationencrypted-password "$1$xavDeUe6$"; SECRET-DATA注意:强烈建议不要使用其它加密选项来加密root和其它user口令如encrypted-password加密方式,此配置参数要求输入的口令应是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险;注:root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root 口令后,才能执行commit提交后续配置命令;2.1.3 设置远程登陆管理用户root set system login user lab class super-user authentication plain-text-password root new password : lab123root retype new password: lab123注:此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户;2.1.4 远程管理SRX相关配置run set date /设置系统时钟/set system time-zone Asia/Shanghai/设置时区为上海/set system host-name SRX3400-A/设置主机名/set system name-server 1.1.1.1 /设置DNS服务器/set system services ftpset system services telnetset system services web-management http/在系统级开启ftp/telnet/http远程接入管理服务/set interfaces ge-0/0/ family inet address 10.1.1.1/24或set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/24set routing-options static route 0.0.0.0/0 p 10.1.1/配置逻辑接口地址及缺省路由,SRX接口要求IP地址必须配置在逻辑接口下类似ScreenOS的子接口,通常使用逻辑接口0即可/set security zones security-zone untrust interfaces ge-0/0//将ge-0/0/接口放到untrust zone去,类似ScreenOS/set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic system-services http set security zones security-zone untrust host-inbound-traffic system-services telnet /在untrust zone打开允许远程登陆管理服务,ScreenOS要求基于接口开放服务,SRX要求基于Zone开放,从SRX主动访问出去流量开启服务,类似ScreenOS/PolicyPolicy配置方法与ScreenOS基本一致,仅在配置命令上有所区别,其中策略的允许/拒绝的动作Action需要额外配置一条then语句将ScreenOS的一条策略分解成两条及以上配置语句;Policy 需要手动配置policy name,policy name可以是字符串,也可以是数字与ScreenOS的policy ID 类似,只不过需要手工指定;set security zones security-zone trust address-book address pc1 10.1.1.10/32set security zones security-zone untrust address-book address server1 10.0.2.1/32 /与ScreenOS一样,在trust和untrust zone下分别定义地址对象便于策略调用,地址对象的名称可以是地址/掩码形式/set security zones security-zone trust address-book address-set addr-group1 address pc1/在trust zone下定义名称为add-group1的地址组,并将pc1地址放到该地址组中/set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application anyset security policies from-zone trust to-zone untrust policy 001 then permit/定义从trust 到untrust方向permit策略,允许addr-group1组的源地址访问server1地址any服务/NATSRX NAT较ScreenOS在功能实现方面基本保持一致,但在功能配置上有较大区别,配置的主要差异在于ScreenOS的NAT与policy是绑定的,无论是MIP/VIP/DIP还是基于策略的NAT,在policy 中均要体现出NAT内容除了缺省基于untrust接口的Souec-NAT模式外,而SRX 的NAT则作为网络层面基础内容进行独立配置独立定义地址映射的方向、映射关系及地址范围,Policy中不再包含NAT相关配置信息,这样的好处是易于理解、简化运维,当网络拓朴和NAT映射关系发生改变时,无需调整Policy配置内容;SRX NAT和Policy执行先后顺序为:目的地址转换-目的地址路由查找-执行策略检查-源地址转换,结合这个执行顺序,在配置Policy时需注意:Policy中源地址应是转换前的源地址,而目的地址应该是转换后的目的地址,换句话说,Policy中的源和目的地址应该是源和目的两端的真实IP地址,这一点和ScreenOS存在区别,需要加以注意;SRX中不再使用MIP/VIP/DIP这些概念,其中MIP被Static静态地址转换取代,两者在功能上完全一致;DIP被Source NAT取代;基于Policy的目的地址转换及VIP被 Destination NAT取代;ScreenOS中基于Untrust zone接口的源地址转换被保留下来,但在SRX中不再是缺省模式SRX中Trust Zone接口没有NAT模式概念,需要手工配置;类似ScreenOS,Static属于双向NAT,其他类型均属于单向NAT,此外,SRX还多了一个proxy-arp概念,如果定义的IP Pool可用于源或目的地址转换与接口IP 在同一子网时,需配置SRX对这个Pool内的地址提供ARP代理功能,这样对端设备能够解析到IP Pool地址的MAC地址使用接口MAC地址响应对方,以便于返回报文能够送达SRX;下面是配置举例及相关说明:2.3.1 Interface based NATNAT:set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address security nat source rule-set 1 rule rule1 then source-nat interface上述配置定义NAT源地址映射规则,从Trust Zone访问Untrust Zone的所有流量用Untrust Zone 接口IP做源地址转换;Policy:set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.2.2set security policies from-zone trust to-zone untrust policy 1 match destination-address anyset security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行接口源地址转换;2.3.2 Pool based Source NATNAT:set security nat source pool pool-1 address to security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address security nat source rule-set 1 rule rule1 then source-nat pool pool-1set security nat proxy-arp interface ge-0/0/2 address to 上述配置表示从trust方向any到untrust方向any访问时提供源地址转换,源地址池为pool1 ,同时ge-0/0/2接口为此pool IP提供ARP代理;需要注意的是:定义Pool时不需要与Zone及接口进行关联;配置proxy-arp目的是让返回包能够送达SRX,如果Pool与出接口IP不在同一子网,则对端设备需要配置指向的Pool地址路由;Policy:set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.1.2set security policies from-zone trust to-zone untrust policy 1 match destination-address anyset security policies from-zone trust to-zone untrust policy 1 match application any set security policies from-zone trust to-zone untrust policy 1 then permit上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行源地址转换;2.3.3 Pool base destination NATNAT:set security nat destination pool 111 address security nat destination rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0set security nat destination rule-set 1 rule 111 match destination-address security nat destination rule-set 1 rule 111 then destination-nat pool 111上述配置将外网any访问地址映射到内网地址,注意:定义的Dst Pool是内网真实IP地址,而不是映射前的公网地址;这点和Src-NAT Pool有所区别;Policy:set security policies from-zone trust to-zone untrust policy 1 match source-address anyset security policies from-zone trust to-zone untrust policy 1 match destination-address security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定义Policy策略,允许Untrust方向任何地址访问Trust方向,根据前面的NAT配置,公网访问时,SRX自动执行到的目的地址转换;ScreenOS VIP功能对应的SRX Dst-nat配置:set security nat destination pool 222 address port 8000set security nat destination rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0set security nat destination rule-set 1 rule 111 match destination-address security nat destination rule-set 1 rule 111 match destination-port 8000set security nat destination rule-set 1 rule 111 then destination-nat pool 222上述NAT配置定义:访问地址8000端口映射至地址8000端口,功能与ScreenOS VIP端口映射一致;2.3.4 Pool base Static NATNAT:set security nat static rule-set static-nat from zone untrustset security nat static rule-set static-nat rule rule1 match destination-address security nat static rule-set static-nat rule rule1 then static-nat prefix security policies from-zone trust to-zone untrust policy 1 match source-address anyset security policies from-zone trust to-zone untrust policy 1 match destination-address security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permitStatic NAT概念与ScreenOS MIP一致,属于静态双向一对一NAT,上述配置表示访问时转换为,当访问Internet时自动转换为;IPSEC VPNSRX IPSEC VPN支持Site-to-Site VPN 和基于NS-remote的拨号VPN,和ScreenOS一样,site-to-site VPN也支持路由模式和Policy模式,在配置方面也和ScreenOS基本一致;SRX 中的加密/验证算法在命名上和ScreenOS存在一些区别,配置过程中建议选择ike和ipsec的proposal为 standard模式,standard中包含SRX支持的全部加密/验证算法,只要对端设备支持其中任何一种即可;SRX中通道接口使用st0接口,对应ScreenOS中的tunnel虚拟接口;下面是图中左侧SRX基于路由方式Site-to-site VPN配置:set interfaces st0 unit 0 family inet address 10.2.0.1/24set security zones security-zone untrust interfacesset routing-options static route 10.1.2.0/24 next-hop定义st0 tunnel接口地址/Zone及通过VPN通道到对端网络路由set security ike policy ABC mode mainset security ike policy ABC proposal-set standardset security ike policy ABC pre-shared-key ascii-text juniper定义IKE Phase1 policy参数,main mode,standard proposal及预共享密钥方式set security ike gateway gw1 ike-policy ABCset security ike gateway gw1 address 10.0.2.1set security ike gateway gw1 external-interface ge-0/0/定义IKE gaeway参数,预共享密钥认证,对端网关10.0.2.1,出接口ge-0/0/1位于untrust zoneset security ipsec policy AAA proposal-set standardset security ipsec vpn vpn1 bind-interfaceset security ipsec vpn vpn1 ike gateway gw1set security ipsec vpn vpn1 ike ipsec-policy AAAset security ipsec vpn vpn1 establish-tunnels immediately定义ipsec Phase 2 VPN参数:standard proposal、与接口绑定,调用Phase 1 gw1 ike网关; set security policies from-zone untrust to-zone trust policy vpn-policy match source-address anyset security policies from-zone untrust to-zone trust policy vpn-policy match destination-address anyset security policies from-zone untrust to-zone trust policy vpn-policy match application anyset security policies from-zone untrust to-zone trust policy vpn-policy then permitset security policies from-zone trust to-zone untrust policy vpn-policy match source-address anyset security policies from-zone trust to-zone untrust policy vpn-policy match destination-address anyset security policies from-zone trust to-zone untrust policy vpn-policy match application anyset security policies from-zone trust to-zone untrust policy vpn-policy then permit 开启双向policy以允许VPN流量通过Application and ALGSRX中自定义服务及ALG使用方法与ScreenOS保持一致,系统缺省开启FTP ALG,为TCP 21服务提供FTP应用ALG;自定义服务如果属于FTP类应用,需要将此自定义服务非TCP 21端口与FTP 应用进行关联;下面举例定义一个FTP类服务ftp-test,使用目的端口为TCP 2100,服务超时时间为3600秒,并将此自定义服务与FTP应用关联ALG,系统将识别此服务为FTP应用并开启FTPALG来处理该应用流量;set applications application ftp-test protocol tcp destination-port 2100 inactivity-timeout 3600set applications application ftp-test application-protocol ftpJSRPJSRP是Juniper SRX的私有HA协议,对应ScreenOS的NSRP双机集群协议,支持A/P和A/A模式,JSRP对ScreenOS NSRP协议和JUNOS Cluster集群技术进行了整合集成,熟悉NSRP协议有助于对JSRP协议的理解;JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概念,两台设备完全当作一台设备来看待,两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作,无需额外执行ScreenOS的配置和会话同步等操作,而ScreenOS NSRP可看作在同步配置和动态对象session基础上独立运行的两台单独设备;JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应;由于SRX 是转发与控制层面完全分裂架构,JSRP需要控制层面配置同步和数据层面Session同步两个平面的互联,建议控制和数据层面互联链路使用光纤链路直连部分平台强制要求光纤链路直连;JSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号,如上所示的SRX5800,每个SRX5800机箱有12个业务槽位,节点0槽位号从0开始编号,节点1槽位号从12开始往后编;整个JSRP配置过程包括如下7个步骤配置Cluster id和Node id 对应ScreenOS NSRP 的cluster id并需手工指定设备使用节点id指定Control Port 指定控制层面使用接口,用于配置同步及心跳指定Fabric Link Port 指定数据层面使用接口,主要session等RTO同步配置Redundancy Group 类似NSRP的VSD group,优先级与抢占等配置每个机箱的个性化配置单机无需同步的个性化配置,如主机名、带外管理口IP地址等配置Redundant Ethernet Interface 类似NSRP的Redundant冗余接口配置Interface Monitoring 类似NSRP interface monitor,是RG数据层面切换依据SRX JSRP配置样例:配置Cluster id和Node idSRX-A>set chassis cluster cluster-id 1 node 0 reboot注意该命令需在operational模式下输入,Cluster ID取值范围为1 – 15,当Cluster ID = 0时将unsets the clusterSRX-B>set chassis cluster cluster-id 1 node 1 reboot指定Control Port如果主控板RE上有固定control-ports,则无需指定:set chassis cluster control-ports fpc 11 port 0set chassis cluster control-ports fpc 23 port 0指定Fabric Link Portset interfaces fab0 fabric-options member-interfaces ge-1/0/0set interfaces fab1 fabric-options member-interfaces ge-13/0/0注:Fabric Link中的Fab0固定用于node 0,Fab1固定用于node 1配置Redundancy GroupRG0固定用于主控板RE切换,RG1以后用于redundant interface切换,RE切换独立于接口切换set chassis cluster reth-count 10 指定整个Cluster中redundant ethernet interface 最多数量set chassis cluster redundancy-group 0 node 0 priority 200高值优先,与NSRP相反set chassis cluster redundancy-group 0 node 1 priority 100set chassis cluster redundancy-group 1 node 0 priority 200高值优先,与NSRP相反set chassis cluster redundancy-group 1 node 1 priority 100每个机箱的个性化配置,便于对两台设备的区分与管理set groups node0 system host-name SRX-Aset groups node0 interfaces fxp0 unit 0 family inet address 1.1.1.1/24 带外网管口名称为fxp0,区别ScreenOS的MGT口set groups node1 system host-name SRX-Bset groups node1 interfaces fxp0 unit 0 family inet address 1.1.1.2/24set apply-groups ${node} 应用上述groups配置配置Redundant Ethernet InterfaceRedundant Ethernet Interface类似ScreenOS里的redundant interface,只不过Redundant Ethernet interface是分布在不同的机箱上这一特性又类似ScreenOS 的VSI接口;Set interface ge-0/0/0 gigether-options redundant-parent reth0 node 0的ge-0/0/0接口Set interface ge-13/0/0 gigether-options redundant-parent reth0 node 1的ge-0/0/0接口Set interface reth0 redundant-ether-options redundancy-group 1 reth0属于RG1 Set interface reth0 unit 0 family inet address 配置Interface Monitoring,被监控的接口Down掉后,RG1将自动进行主备切换与ScreenOS类似,Set cluster redundancy-group 1 interface-monitor ge-0/0/0 weight 255Set cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255Set cluster redundancy-group 1 interface-monitor ge-13/0/0 weight 255Set cluster redundancy-group 1 interface-monitor ge-13/0/1 weight 255 JSRP维护命令a)手工切换JSRP Master,RG1 原backup将成为Masterrootsrx5800a> request chassis cluster failover redundancy-group 1 node 1b)手工恢复JSRP状态,按照优先级重新确定主备关系高值优先rootsrx5800b> request chassis cluster failover reset redundancy-group 1c)查看cluster interfacerootrouter> show chassis cluster interfacesd)查看cluster 状态、节点状态、主备关系labsrx5800a run show chassis cluster statuse)取消cluster配置srx5800aset chassis cluster disable rebootf)升级JSRP软件版本SRX目前暂不支持软件在线升级ISSU,升级过程会中断业务;升级步骤如下:1.升级node 0,注意不要重启系统2.升级node 1,注意不要重启系统.3.同时重启两个系统g)恢复处于disabled状态的node当control port或fabric link出现故障时,为避免出现双master split-brain现象,JSRP 会把出现故障前状态为secdonary的node设为disabled状态,即除了RE,其余部件都不工作;想要恢复必须reboot该node;三、SRX防火墙常规操作与维护设备关机SRX因为主控板上有大容量硬盘,为防止强行断电关机造成硬件故障,要求设备关机必须按照下面的步骤进行操作:1.管理终端连接SRX console口;2.使用具有足够权限的用户名和密码登陆CLI命令行界面;3.在提示符下输入下面的命令:userhost> request system halt…The operating system has halted.Please press any key to reboot除非需要重启设备,此时不要敲任何键,否则设备将进行重启4.等待console输出上面提示信息后,确认操作系统已停止运行,关闭机箱背后电源模块电源;3.2设备重启SRX重启必须按照下面的步骤进行操作:1.管理终端连接SRX console口;2.使用具有足够权限的用户名和密码登陆CLI命令行界面;3.在提示符下输入下面的命令:userhost> request system reboot4.等待console设备的输出,操作系统已经重新启动;3.3操作系统升级SRX操作系统软件升级必须按照下面的步骤进行操作:1.管理终端连接SRX console口,便于升级过程中查看设备重启和软件加载状态;2.SRX上开启FTP服务,并使用具有超级用户权限的非root用户通过FTP客户端将下载的升级软件介质上传到SRX上;3.升级前,执行下面的命令备份旧的软件及设定:userhost> request system snapshot4.加载新的SRX软件:userhost>request system software add validate reboot5.软件加载成功后, SRX将自动重启,重启完成后检查系统当前软件版本号:userhost> show system software3.4密码恢复SRX Root密码丢失,并且没有其他的超级用户权限,那么就需要执行密码恢复,该操作需要中断设备正常运行,但不会丢失配置信息,这点与ScreenOS存在区别;要进行密码恢复,请按照下面操作进行:1.Console口连接SRX,然后重启SRX;2.在启动过程中,console上出现下面的提示的时候,按空格键中断正常启动方式,然后再进入单用户状态,并输入:boot -sLoading /boot/defaults//kernel data=…… syms=……Hit Enter to boot immediately, or space bar for command prompt.loader>loader> boot -s3.执行密码恢复:在以下提示文字后输入recovery,设备将自动进行重启Enter full pathname of shell or 'recovery' for root password recovery or RETURN for /bin/sh: recovery4.进入配置模式,删除root密码,并重现设置root密码:userhost> configureEntering configuration modeuserhost delete system root-authenticationuserhost set system root-authentication plain-text-passworduserhostNew password:userhostRetype new password:userhost commitcommit complete3.5常用监控维护命令下列操作命令在操作模式下使用,或在配置模式下run show…Show system software 查看当前软件版本号show system uptime 查看系统启动时间Show chassis haredware 查看硬件板卡及序列号show chassis environment 查看硬件板卡当前状态show chassis routing-engine 查看主控板RE资源使用及状态show route 查看路由表show arp 查看ARP表show log messages 查看系统日志show interface terse 查看所有接口运行状态show interface ge-x/y/z detail 查看接口运行细节信息monitor interface ge-x/y/z 动态统计接口数据包转发信息monitor traffic interface ge-x/y/z 动态报文抓取Tcpdump,类似ScreenOSsnoop命令show security flow session summary 查看当前防火墙并发会话数show security flow session 查看当前防火墙具体并发会话clear security flow session all 清除当前sessionshow security alg status 检查全局ALG开启情况SRX对应ScreenOS debug flow basic跟踪报文处理路径的命令:set security flow traceoptions flag basic-datapath 开启SRX基本报文处理Debugset security flow traceoptions file 将输出信息记录到指定文件中set security flow traceoptions file size <file-size> 设置该文件大小,缺省128kset security flow traceoptions packet-filter filter1 destination-prefix 5.5.5.2设置报文跟踪过滤器run file show 查看该Log输出信息SRX对应ScreenOS get tech命令,开Case时需要抓取的信息:request support information。

Juniper防火墙三种部署模式及基本配置

Juniper防火墙三种部署模式及基本配置

Juniper防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:①基于TCP/IP协议三层的NAT模式;②基于TCP/IP协议三层的路由模式;③基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源IP 地址和源端口号。

防火墙使用Untrust 区(外网或者公网)接口的IP 地址替换始发端主机的源IP 地址;同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征:①注册IP地址(公网IP地址)的数量不足;②内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet;③内部网络中有需要外显并对外提供服务的服务器。

2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变。

①与NAT模式下不同,防火墙接口都处于路由模式时,不需要为了允许入站数据流到达某个主机而建立映射IP (MIP) 和虚拟IP (VIP) 地址;②与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。

路由模式应用的环境特征:①注册IP(公网IP地址)的数量较多;②非注册IP地址(私网IP地址)的数量与注册IP地址(公网IP地址)的数量相当;③防火墙完全在内网中部署应用。

2.3、透明模式当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改IP 数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的。

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。

使用透明模式有以下优点:①不需要修改现有网络规划及配置;②不需要为到达受保护服务器创建映射或虚拟IP 地址;③在防火墙的部署过程中,对防火墙的系统资源消耗最低。

Juniper网络安全防火墙设备安装手册

Juniper网络安全防火墙设备安装手册

Juniper 网络安全防火墙设备快速安装手册目录1、前言 (4)1.1 、J UNIPER防火墙配置概述 (4)1.2 、J UNIPER防火墙管理配置的基本信息 (4)1.3 、J UNIPER防火墙的常用功能 (5)2、JUNIPER防火墙三种部署模式及基本配置 (6)2.1 、NAT模式 (6)2.2 、R OUTE-路由模式 (7)2.3 、透明模式 (8)2.4 、基于向导方式的NAT/R OUTE模式下的基本配置 (8)2.5 、基于非向导方式的NAT/R OUTE模式下的基本配置 (17)2.5.1 、NS-5GT NAT/Route模式下的基本配置 (18)2.5.2 、NS-25-208 NAT/Route模式下的基本配置 (19)2.6 、基于非向导方式的透明模式下的基本配置 (20)3、JUNIPER防火墙几种常用功能的配置 (21)3.1 、MIP的配置 (21)3.1.1 、使用Web浏览器方式配置MIP (22)3.1.2 、使用命令行方式配置MIP (24)3.2 、VIP的配置 (24)3.2.1 、使用Web浏览器方式配置VIP (25)3.2.2 、使用命令行方式配置VIP (26)3.3 、DIP的配置 (27)3.3.1 、使用Web浏览器方式配置DIP (27)3.3.2 、使用命令行方式配置DIP (29)4、JUNIPER防火墙IPSEC VPN的配置 (29)4.1 、站点间IPS EC VPN配置:STAIC IP-TO-STAIC IP (29)4.1.1 、使用Web浏览器方式配置 (30)4.1.2 、使用命令行方式配置 (34)4.2 、站点间IPS EC VPN配置:STAIC IP-TO-DYNAMIC IP (36)4.2.1 、使用Web浏览器方式配置 (37)4.2.1、使用命令行方式配置 (40)5、JUNIPER中低端防火墙的UTM功能配置 (42)5.1 、防病毒功能的设置 (43)5.1.1 、Scan Manager的设置 (43)5.1.2 、Profile的设置 (44)5.1.3 、防病毒profile在安全策略中的引用 (46)5.2 、防垃圾邮件功能的设置 (48)5.2.1 、Action 设置 (49)5.2.2 、White List与Black List的设置 (49)5.2.3 、防垃圾邮件功能的引用 (51)5.3 、WEB/URL过滤功能的设置 (51)5.3.1 、转发URL过滤请求到外置URL过滤服务器 (51)5.3.2 、使用内置的URL过滤引擎进行URL过滤 (53)5.3.3 、手动添加过滤项 (54)5.4 、深层检测功能的设置 (58)5.4.1 、设置DI攻击特征库自动更新 (58)5.4.2 、深层检测(DI)的引用 (59)6、JUNIPER防火墙的HA(高可用性)配置 (61)6.1 、使用W EB浏览器方式配置 (62)6.2 、使用命令行方式配置 (64)7、JUNIPER防火墙一些实用工具 (65)7.1 、防火墙配置文件的导出和导入 (65)7.1.1 、配置文件的导出 (66)7.1.2 、配置文件的导入 (66)7.2 、防火墙软件(S CREEN OS)更新 (67)7.3 、防火墙恢复密码及出厂配置的方法 (68)8、JUNIPER防火墙的一些概念 (68)1、前言我们制作本安装手册的目的是使初次接触Juniper 网络安全防火墙设备(在本安装手册中简称为“Junip er防火墙”)的工程技术人员,可以通过此安装手册完成对Juniper防火墙基本功能的实现和应用。

Juniper网络安全防火墙设备快速安装手册_V1.0(SSH-5,SSH-140,netscreen)

Juniper网络安全防火墙设备快速安装手册_V1.0(SSH-5,SSH-140,netscreen)

Juniper网络安全防火墙设备快速安装手册V1.02007-4目录1、前言 (4)1.1、J UNIPER防火墙配置概述 (4)1.2、J UNIPER防火墙管理配置的基本信息 (4)1.3、J UNIPER防火墙的常用功能 (5)2、JUNIPER防火墙三种部署模式及基本配置 (6)2.1、NAT模式 (6)2.2、R OUTE-路由模式 (7)2.3、透明模式 (8)2.4、基于向导方式的NAT/R OUTE模式下的基本配置 (8)2.5、基于非向导方式的NAT/R OUTE模式下的基本配置 (17)2.5.1、NS-5GT NAT/Route模式下的基本配置 (18)2.5.2、NS-25-208 NAT/Route模式下的基本配置 (19)2.6、基于非向导方式的透明模式下的基本配置 (20)3、JUNIPER防火墙几种常用功能的配置 (21)3.1、MIP的配置 (21)3.1.1、使用Web浏览器方式配置MIP (22)3.1.2、使用命令行方式配置MIP (24)3.2、VIP的配置 (24)3.2.1、使用Web浏览器方式配置VIP (25)3.2.2、使用命令行方式配置VIP (26)3.3、DIP的配置 (27)3.3.1、使用Web浏览器方式配置DIP (27)3.3.2、使用命令行方式配置DIP (29)4、JUNIPER防火墙IPSEC VPN的配置 (29)4.1、站点间IPS EC VPN配置:STAIC IP-TO-STAIC IP (29)4.1.1、使用Web浏览器方式配置 (30)4.1.2、使用命令行方式配置 (34)4.2、站点间IPS EC VPN配置:STAIC IP-TO-DYNAMIC IP (36)4.2.1、使用Web浏览器方式配置 (37)4.2.1、使用命令行方式配置 (40)5、JUNIPER中低端防火墙的UTM功能配置 (42)5.1、防病毒功能的设置 (43)5.1.1、Scan Manager的设置 (43)5.1.2、Profile的设置 (44)5.1.3、防病毒profile在安全策略中的引用 (46)5.2、防垃圾邮件功能的设置 (48)5.2.1、Action 设置 (49)5.2.2、White List与Black List的设置 (49)5.2.3、防垃圾邮件功能的引用 (51)5.3、WEB/URL过滤功能的设置 (51)5.3.1、转发URL过滤请求到外置URL过滤服务器 (51)5.3.2、使用内置的URL过滤引擎进行URL过滤 (53)5.3.3、手动添加过滤项 (54)5.4、深层检测功能的设置 (58)5.4.1、设置DI攻击特征库自动更新 (58)5.4.2、深层检测(DI)的引用 (59)6、JUNIPER防火墙的HA(高可用性)配置 (61)6.1、使用W EB浏览器方式配置 (62)6.2、使用命令行方式配置 (64)7、JUNIPER防火墙一些实用工具 (65)7.1、防火墙配置文件的导出和导入 (65)7.1.1、配置文件的导出 (66)7.1.2、配置文件的导入 (66)7.2、防火墙软件(S CREEN OS)更新 (67)7.3、防火墙恢复密码及出厂配置的方法 (68)8、JUNIPER防火墙的一些概念 (68)关于本手册的使用:① 本手册更多的从实际使用的角度去编写,如果涉及到的一些概念上的东西表述不够透彻、清晰,请使用者自行去找一些资料查证;② 本手册在编写的过程中对需要使用者特别注的地方,都有“注”标识,请大家仔细阅读相关内容;对于粗体、红、蓝色标注的地方也需要多注意;③ 本着技术共享的原则,我们编写了该手册,希望对在销售、使用Juniper防火墙的相应技术人员有所帮助1、前言我们制作本安装手册的目的是使初次接触Juniper网络安全防火墙设备(在本安装手册中简称为“Juniper防火墙”)的工程技术人员,可以通过此安装手册完成对Juniper防火墙基本功能的实现和应用。

juniper srx100 防火墙配置

juniper srx100 防火墙配置

Junipersrx100防火墙配置指导#一、初始化安装1。

1设备登录Juniper SRX系列防火墙。

开机之后,第一次必须通过console 口(通用超级终端缺省配置)连接SRX ,输入root 用户名登陆,密码为空,进入到SRX设备之后可以开始加载基线配置。

特别注意:SRX低端系列防火墙,在第一次登陆时,执行命令“show configuration”你会发现系统本身已经具备一些配置内容(包括DNS名称、DHCP服务器等),建议删除这些配置,重新配置. Delete 删除设备开机请直接通过console 连接到防火墙设备Login : rootPassword : /***初始化第一次登陆的时候,密码为空**/Root% cli /**进入操作模式**/Root>Root〉 configure /** 进入配置模式**/Root# delete /***配置模式执行命令“delete”全局删除所有的系统缺省配置***/ 1.2 系统基线配置Set system host—name name/***配置设备名称“name”***/Set system time-zone Asia/Chongqing/***配置系统时区***/Set system root—authentication plain-text-password 输入命令,回车New password: 第一次输入新密码,Retype new password 重新确认新密码/***配置系统缺省根账号密码,不允许修改根账号名称“root” ***/注意:root帐号不能用于telnet,但是可以用于web和ssh管理登录到设备S et system login user topsci class super—user authentication plain-text-password New password 输入密码Retype new password 确认密码/***创建一个系统本地账号“name“,set system services sshset system services telnetset system services web—management http interface allset systhm services web—management http port 81 interface allset system services web—management https system—generated-certificateset system services web—management https interface all/***全局开启系统管理服务,ssh\telnet\http\https***/set interfacesge-0/0/2unit 0 family inet address 10.10.10。

Juniper防火墙安装配置手册

Juniper防火墙安装配置手册

Juniper网络安全防火墙设备快速安装手册V1.0联强国际(香港)有限公司2007-4目录1、前言 (4)1.1、J UNIPER防火墙配置概述 (4)1.2、J UNIPER防火墙管理配置的基本信息 (4)1.3、J UNIPER防火墙的常用功能 (5)2、JUNIPER防火墙三种部署模式及基本配置 (6)2.1、NAT模式 (6)2.2、R OUTE-路由模式 (7)2.3、透明模式 (8)2.4、基于向导方式的NAT/R OUTE模式下的基本配置 (8)2.5、基于非向导方式的NAT/R OUTE模式下的基本配置 (17)2.5.1、NS-5GT NAT/Route模式下的基本配置 (18)2.5.2、NS-25-208 NAT/Route模式下的基本配置 (19)2.6、基于非向导方式的透明模式下的基本配置 (20)3、JUNIPER防火墙几种常用功能的配置 (21)3.1、MIP的配置 (21)3.1.1、使用Web浏览器方式配置MIP (22)3.1.2、使用命令行方式配置MIP (24)3.2、VIP的配置 (24)3.2.1、使用Web浏览器方式配置VIP (25)3.2.2、使用命令行方式配置VIP (26)3.3、DIP的配置 (27)3.3.1、使用Web浏览器方式配置DIP (27)3.3.2、使用命令行方式配置DIP (29)4、JUNIPER防火墙IPSEC VPN的配置 (29)4.1、站点间IPS EC VPN配置:STAIC IP-TO-STAIC IP (29)4.1.1、使用Web浏览器方式配置 (30)4.1.2、使用命令行方式配置 (34)4.2、站点间IPS EC VPN配置:STAIC IP-TO-DYNAMIC IP (36)4.2.1、使用Web浏览器方式配置 (37)4.2.1、使用命令行方式配置 (40)5、JUNIPER中低端防火墙的UTM功能配置 (42)5.1、防病毒功能的设置 (43)5.1.1、Scan Manager的设置 (43)5.1.2、Profile的设置 (44)5.1.3、防病毒profile在安全策略中的引用 (46)5.2、防垃圾邮件功能的设置 (48)5.2.1、Action 设置 (49)5.2.2、White List与Black List的设置 (49)5.2.3、防垃圾邮件功能的引用 (51)5.3、WEB/URL过滤功能的设置 (51)5.3.1、转发URL过滤请求到外置URL过滤服务器 (51)5.3.2、使用内置的URL过滤引擎进行URL过滤 (53)5.3.3、手动添加过滤项 (54)5.4、深层检测功能的设置 (58)5.4.1、设置DI攻击特征库自动更新 (58)5.4.2、深层检测(DI)的引用 (59)6、JUNIPER防火墙的HA(高可用性)配置 (61)6.1、使用W EB浏览器方式配置 (62)6.2、使用命令行方式配置 (64)7、JUNIPER防火墙一些实用工具 (65)7.1、防火墙配置文件的导出和导入 (65)7.1.1、配置文件的导出 (66)7.1.2、配置文件的导入 (66)7.2、防火墙软件(S CREEN OS)更新 (67)7.3、防火墙恢复密码及出厂配置的方法 (68)8、JUNIPER防火墙的一些概念 (68)关于本手册的使用:① 本手册更多的从实际使用的角度去编写,如果涉及到的一些概念上的东西表述不够透彻、清晰,请使用者自行去找一些资料查证;② 本手册在编写的过程中对需要使用者特别注的地方,都有“注”标识,请大家仔细阅读相关内容;对于粗体、红、蓝色标注的地方也需要多注意;③ 本着技术共享的原则,我们编写了该手册,希望对在销售、使用Juniper防火墙的相应技术人员有所帮助,大家在使用过程中有任何建议可反馈到:chuang_li@;jiajun_xiong@;④ 本手册归“联强国际(香港)有限公司”所有,严禁盗版。

JuniperSSG防火墙配置说明

JuniperSSG防火墙配置说明

Juniper SSG-5(NS-5GT)防火墙配置手册初始化设置 (2)Internet网络设置 (7)一般策略设置 (21)VPN连接设置 (35)初始化设置1.将防火墙设备通电,连接网线从防火墙e0\2口连接到电脑网卡。

2.电脑本地连接设置静态IP地址,IP地址192.168.1.2(在192.168.1.0/24都可以),子网掩码255.255.255.0,默认网关192.168.1.1,如下图:3.设置好IP地址后,测试连通,在命令行ping 192.168.1.1,如下图:4.从IE浏览器登陆防火墙web页面,在地址栏输入192.168.1.1,如下图向导选择最下面No, skip——,然后点击下面的Next:5.在登录页面输入用户名,密码,初始均为netscreen,如下图:6.登陆到web管理页面,选择Configuration – Date/Time,然后点击中间右上角Sync Clock With Client选项,如下图:7.选择Interfaces – List,在页面中间点击bgroup0最右侧的Edit,如下图:8.此端口为Trust类型端口,建议IP设置选择Static IP,IP Address 输入规划好的本地内网IP地址,如192.168.22.1/24,Manage IP 192.168.22.1。

之后勾选Web UI,Telnet,SSH,SNMP,SSL,Ping。

如下图:Internet网络设置1.修改本地IP地址为本地内网IP地址,如下图:2.从IE浏览器打开防火墙web页面,输入用户名密码登陆,如下图:3.选择Interfaces –List,点击页面中ethernet0/0最右侧的Edit选项,如下图:4.此端口为Untrust类型端口,设置IP地址有以下三种方法:(根据ISP提供的网络服务类型选择)A.第一种设置IP地址是通过DHCP端获取IP地址,如下图:B.第二种设置IP地址的方法是通过PPPoE拨号连接获取IP,如下图,然后选择Create new pppoe setting,在如下图输入本地ADSL pppoe拨号账号,PPPoE Instance输入名称,Bound to Interface选择ethernet0/0,Username和Password 输入ADSL账号密码,之后OK,如下图:PPPoE拨号设置完毕之后,点击Connect,如下图:回到Interface – List,可以看到此拨号连接的连接状态,如下图:ethernet0/0右侧PPPoE一栏有一个红叉,表示此连接已经设置但未连接成功,如连接成功会显示绿勾。

Juniper防火墙安装手册-20060221

Juniper防火墙安装手册-20060221

Juniper防火墙安装手册神州数码(深圳)有限公司二零零五年十二月Juniper 防火墙安装手册目录一、透明模式 (6)1.1、网络结构图 (6)1.2、配置文件 (6)二、NAT模式 (9)2.1、网络结构图 (9)2.2、安装步骤 (9)2.2.1 初始化配置 (9)2.2.2 管理功能设置 (12)2.2.3 安全区 (13)2.2.4 端口设置 (14)2.2.5 设置路由 (15)2.2.6 NAT设置 (17)2.2.7 端口服务 (20)2.2.8 定义策略 (22)三、路由模式 (25)3.1、网络结构图 (25)3.2、安装步骤 (25)3.2.1 初始化配置 (25)3.2.2 管理功能设置 (28)3.2.3 安全区 (29)3.2.4 端口设置 (30)3.2.5 Route 模式设置 (31)3.2.6 设置路由 (32)3.2.7 定义策略 (33)四、动态路由 (36)4.1RIP路由协议 (36)4.2OSPF协议 (38)五、VPN (39)5.1C LIENT TO SITE (39)5.2建立L2TP (48)5.2.1网络结构图 (48)5.2.2配置防火墙 (49)5.2.3 测试 (58)5.3动态地址VPN (59)5.3.1、地址分布图 (59)5.3.2、配置步骤: (60)5.4S ITE TO S ITE VPN (63)5.4.1、网络图 .............................................................................................. 错误!未定义书签。

5.4.2、配置步骤........................................................................................... 错误!未定义书签。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Juniper防火墙部署工程(第一部分)第一章 Juniper的安全理念 (3)1.1 基本防火墙功能 (3)1.2 内容安全功能 (4)1.3 虚拟专网(VPN)功能 (7)1.4 流量管理功能 (7)1.5 强大的ASIC的硬件保障 (8)1.6 设备的可靠性和安全性 (8)1.7 完备简易的管理 (9)第二章项目概述 (9)第三章总体方案建议 (10)3.1 防火墙A和防火墙B的双机热备、均衡负载实现方案 (10)3.2 防火墙A和防火墙B的VLAN(802.1Q的trunk协议)实现方案 (15)3.3 防火墙A和防火墙B的动态路由支持程度的实现方案 (16)3.4 防火墙的VPN实现方案 (16)3.5 防火墙的安全控制实现方案 (17)3.6 防火墙的网络地址转换实现方案 (25)3.7 防火墙的应用代理实现方案 (28)3.9 防火墙用户认证的实现方案 (28)3.10 防火墙对带宽管理实现方案 (30)3.11 防火墙日志管理、管理特性以及集中管理实现方案 (31)第一章Juniper的安全理念网络安全可以分为数据安全和服务安全两个层次。

数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。

从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。

但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用。

在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。

这里的成本包括设备成本、人力成本、时间成本等多方面的因素。

Juniper 的整合式安全设备是专为互联网网络安全而设,将硬件状态防火墙、虚拟专用网(IPsec VPN)、入侵防护(IPS)和流量管理等多种安全功能集于一体。

Juniper 整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时,可以无缝地部署到任何网络。

设备安装和操控也是非常容易,可以通过内置的WebUI、命令行界面或中央管理方案进行统一管理。

1.1 基本防火墙功能Juniper提供了可扩展的网络安全解决方案,适用于包括宽带移动用户、中小型企业Internet边界、大型企业的内部网络安全域划分和控制,以至电子商务网站的服务器保护等等。

Juniper全功能防火墙采用实时检测技术,可以防止入侵者和拒绝服务(denial-of-service)的攻击。

Juniper防火墙采用ScreenOS软件,是经过ICSA认证的实时检测防火墙。

Juniper的防火墙系列采用安全优化的硬件(包括ASIC芯片和主板、操作系统和防火墙),比拼凑而成的软件类方案提供更高级的安全水平。

Juniper的防火墙系列提供强大的攻击防御能力,包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力,配备硬件加速的会话建立(session ramp rates)性能,即使在最关键性的环境下也可以提供安全保护。

Juniper的防火墙系列提供各种网络地址翻译(NAT)、端口地址翻译(PAT)的功能――有效隐藏内部、无法路由的IP地址。

1.2 内容安全功能Juniper提供多样的内容安全功能,包括深层检测功能、防病毒、垃圾邮件过滤、和网页过滤4种,并且可以提供试用的临时许可license,可以让用户在一定时间内下载特征库及使用该内容安全更新。

过了试用期后,用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到垃圾邮件和网页过滤的定时更新。

用户可以分别购买某个单项的内容安全服务,也可以购买价格更加优惠的4项打包的内容安全服务。

1.2.1 深层检测功能(Deep Inspection)深层检测功能(Deep Inspection,简称DI)是Juniper的防火墙操作系统ScreenOS里集成的一个专门对网络流量里的应用层攻击(包括网络蠕虫、木马和恶意软件)进行检测的功能,其实就是将Juniper的IPS/IDP的入侵检测和防护的功能集成到Juniper防火墙的ScreenOS里面,对会话实施基于状态的策略的同时进行对应用层攻击特征的匹配,并且作出相应的保护动作。

Juniper的防火墙针对流量的应用层的分析和特征匹配进行了一系列的优化,降低了对数据吞吐能力的影响。

为了减少对防火墙性能的影响,Juniper为深层检测提供4种特征包,让IT管理员根据需要保护的资源而灵活选择下载、更新和采用,包括:1、基础版(Base)特征包:针对中小型企业的全面防护(包括保护C/S应用和防蠕虫);2、服务器(Server)特征包:针对服务器群进行保护(包括保护IIS、Exchange和Oracle服务器等);3、客户端(Client)特征包:针对分布式企业的中小型分支机构客户端设备进行保护(如手提电脑等);4、常见蠕虫保护(Worm)特征包:针对大企业的分支机构提供全面的常见的蠕虫保护。

深层检测(DI)防火墙被设计用来对网络上一系列最常见的协议(如HTTP, DNS, FTP, SMTP, POP3, IMAP, NetBIOS/SMB, MS-RPC, P2P, 和IM等)的应用层保护,并且可在将来简单地添加更多的协议。

对这些协议,深层检测(DI)防火墙采用和数据接收方(如服务器和客户端的应用)相同的方式来理解应用层信息。

为了精确地理解应用层信息,深层检测(DI)防火墙实施包碎片重组,次序重组,去除无用信息和信息正常化处理。

一旦深层检测(DI)防火墙按这些方法重组出了网络流量,它就用协议异常检测和服务控制字段里的上下文的攻击特征匹配的方法来对流量里的攻击进行防护。

深层检测(DI)防火墙利用了攻击数据库来储存异常协议和攻击特征(有时被称做“特征”),按协议和攻击的严重性分类,来实施状态检测和深层检测任务。

防火墙的分析引擎由其本身的数据库实时提取有关的攻击特征来有效地分析流量。

一旦Juniper的深层检测(DI)防火墙对应用层数据进行重组后,它就实施针对该应用的分析,决定该流量的目的是恶意的还是非恶意的。

首先,它根据协议的定义进行分析,如果数据偏离了协议的定义,就代表了协议异常。

高冲击力的、带恶意的协议异常,如设法造成内存溢出来控制系统的,将被识别为攻击。

对协议异常的细化管理包括调整如何及在哪里查找异常,从而使得支持非正常协议的系统获得同样的支持。

深层检测(DI)防火墙将按照细化的协议控制来对相关的服务域进行识别。

服务控制字段是与特别功能相关的流量中的部分,如email 地址、URL、文件名等。

深层检测(DI)防火墙将按特征匹配的方法对相应的字段进行检测。

而这些字段就代表了应用层信息,并让深层检测(DI)防火墙可以理解应用层会话,并在正确的字段上进行攻击特征库的匹配查找。

协议符合检查使用户获得攻击出现日第0天防护因为Juniper深层检测(DI)防火墙可以对流量进行协议符合检查,它也就具备了无须了解某一特别攻击,就可以对一系列的攻击如内存溢出攻击等的防护能力。

这意味着这种解决方法可以在对新攻击出现的第0天即具备防护能力。

同时,这也是对某些无法简单匹配特征的更狡猾攻击的防护方式。

对已知攻击的服务控制字段特征匹配协议匹配检测的是一些未知的和更狡猾的攻击,还有一些攻击是已知的,可以通过已知的特征匹配的方式来更有效地防护它们。

Juniper深层检测(DI)防火墙实施应用分析,理解信息内容,并将流量信息的不同部分对应到相应的服务控制字段上。

服务控制字段是依相应协议事先定义的包头值,代表了相应的目的,使用了固定的流量的相对位置。

如:在SMTP里,有一些服务控制字段包括:命令行(从客户端发给服务器的命令),数据行(一行email内容),From:(发送者的email地址),等。

深层检测(DI)防火墙应用已知的特征匹配(在防火墙内部的数据库里已经有了相应的定义),与流量的相关部分进行比较,查找出带攻击的恶意部分流量。

Juniper的特征匹配减少了系统资源的使用,将主要精力集中在相关恶意流量部分,有效地实施了对已知攻击的保护。

Juniper的防火墙目前都可以集成入侵防护的功能,并且入侵防护的特征库可以更新升级,目前攻击特征已超过800种。

当然,攻击特征库可以自动或手动更新,更新过程将包括连接Juniper的攻击特征库服务器(定期对新攻击和旧有攻击进行更新)。

此外,Juniper还按需要发布紧急更新,对重点攻击进行防护。

1.2.2 防病毒防病毒也是一项内容保护不可缺少的部分。

深层检测(DI)是对应用层控制字段信息进行攻击特征匹配(一般是蠕虫病毒或缓冲区溢出等攻击),而防病毒是针对文件里的携带的攻击(包括间谍软件、广告软件、网络钓鱼软件和键盘侧录软件)进行匹配的技术,而文件的传递一般依靠web、FTP 的下载和上传,以及email附件等。

通过和业界领先的防病毒厂家的卡巴斯基(Kaspersky)公司合作,Juniper在HSC、NetScreen-5GT和SSG系列(包括SSG550、SSG520等)的防火墙提供防病毒的一体化解决方案,即卡巴斯基(Kaspersky)病毒扫描引擎完全集成在防火墙的操作系统里,并且通过操作系统的升级而升级。

对于不同的用户,Juniper可以提供3种不同的扫描级别,包括:A)标准级别(Standard):缺省和推荐采用的级别,可以提供最全面和误报率最低的扫描;B)常见病毒级别(In the wild):只对常见病毒进行扫描从而性能更佳;C)扩展级别(Extended):对更多的广告软件进行扫描,误报率相对较高。

而对其他高端产品,则用重定向到防病毒网关服务器上的方式实现网关防毒。

1.2.3 垃圾邮件过滤垃圾邮件过滤功能也是内容安全的一个重要的组成部分。

Juniper的垃圾邮件过滤功能主要集成在Juniper的中低端防火墙(包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列)里。

通过不断更新的IP地址和垃圾邮件发送者列表,有效地高精确性地屏蔽垃圾邮件发送者和网络钓鱼者。

当然用户也可以自己定义垃圾邮件的白名单和黑名单,手工地对垃圾邮件进行屏蔽。

1.2.4 网页过滤对于放在网络边界为用户提供Internet访问的边界防火墙而言,还必须对企业员工对Internet访问的网站进行控制。

包括Surfcontrol和Websense都实时对Internet上的站点进行分类,如:新闻类、盗版软件类、军事类、财经等等。

通过允许用户能和不能访问某一类型的网站,可以提高企业员工的工作效率,并避免诸如员工到非法恶意软件站点下载等情况而导致的法律纠纷。

Juniper的网页过滤功能(采用Surfcontrl技术)主要集成在Juniper的中低端防火墙(包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列)里,而对中高端的防火墙而言,可以采用用防火墙重定向到Surfcontrol或Websense服务器的方式。

相关文档
最新文档