Juniper防火墻簡(jiǎn)單配置實(shí)例

1、netscreen防火墻簡(jiǎn)單配置實(shí)例對(duì)照兩個(gè)文檔，可以實(shí)現(xiàn)簡(jiǎn)單配置netscreen防火墻。netscreen-100防火墻的基本配置流程netscreen系列產(chǎn)品，是應(yīng)用非常廣泛的nat設(shè)備。netscreen 100就是其中的一種。 netscreen-100是個(gè)2方形的黑匣子，其正面面板上有四個(gè)接口。左邊一個(gè)是db25串口， 右邊三個(gè)是以太網(wǎng)網(wǎng)口，從左向右依次為trust interfacedmz interfaceuntrust interfaceo 其中trust interface相當(dāng)于hub 口,下行連接內(nèi)部網(wǎng)絡(luò)設(shè)備。untrust interface相當(dāng)于主機(jī) 口，上行連接上公

2、網(wǎng)的鯉遷等外部網(wǎng)關(guān)設(shè)備；兩端口速率口適應(yīng)(10m/100m) o dmz interface介紹從略。配置前的準(zhǔn)備1. pc機(jī)通過直通網(wǎng)線與trust interface相連，用ie登錄設(shè)備主頁。設(shè)備缺省ip為 /,用戶名和密碼都為 netscreen ；2. 登錄成功后修改system的ip和掩碼，建議修改成與內(nèi)部網(wǎng)段同網(wǎng)段，也可直接使用分 配給trust interface的地址。修改完畢點(diǎn)擊ok,設(shè)備會(huì)重啟；3. 把pc的地址改為與設(shè)備新的地址同網(wǎng)段，重新登錄，即可進(jìn)行配置4. 也可通過串口登錄，在超級(jí)終端上通過命令行修改system ip

3、數(shù)據(jù)配置數(shù)據(jù)配置包括三部分內(nèi)容：policy、interfaceroute tableo1. 配置 policy用ie登陸netscreen,在配置界面上，依次點(diǎn)擊左邊豎列中的network-) policy,然 后選 中outgoingo如系統(tǒng)原有的與此不同，可點(diǎn)擊表中最后一列的remove來刪除掉，然后點(diǎn)擊 左下角的new policy,重新設(shè)置。2. 配置 interface在配置界面上，依次點(diǎn)擊左邊豎列中的configure-) interface選項(xiàng)，則顯示如下所示的配置 界面，其中主要是配置trust interface> untrust interface,必要時(shí)修改sys

4、tem ipo在interface配置圖當(dāng)中；說明：1. trust interface f面的inside ip,即指端口本身的ip。因?yàn)樵摱丝谑窃O(shè)備用以與局域網(wǎng)內(nèi) 部相連的，所以就相當(dāng)于是設(shè)備對(duì)內(nèi)的端口，故此把該端口的ip就叫做設(shè)備的inside ipo 同理,untrust interface下面的outside ip也是指該端口的ip ,因?yàn)樵摱丝谑敲嫦蚓钟蚓W(wǎng)夕卜 部的；trust interface卜面的default gateway,指局域網(wǎng)內(nèi)部與trust interace相連的設(shè)備的 接口的地址。在本例中即是上行口的地址。untrust interface下面的default

5、gateway是指外 出上公網(wǎng)的網(wǎng)關(guān)地址（即nat的下一跳），本例中指與nat相連的路由器的接口地址2. 在接口的配置選項(xiàng)中，traffic bandwidth選項(xiàng)是對(duì)該端口傳輸帶寬的描述，不用設(shè)置。 因?yàn)閮啥丝诙际亲赃m應(yīng)的，會(huì)根據(jù)所連對(duì)端端口的帶寬而口動(dòng)調(diào)整。3. 在enable的選項(xiàng)中，trust interface端口按照缺省的選擇即可。而untrust interface因?yàn)?面對(duì)公網(wǎng)，為安全起見，應(yīng)當(dāng)把ping、telnet等性能屏蔽掉，不要選擇。只有當(dāng)有必要進(jìn)行 遠(yuǎn)程維護(hù)時(shí)，才把telnet選中。4. 對(duì)于system ip,當(dāng)?shù)谝淮蔚卿浐蟀阉薷臑榕ctrust interface

6、或untrust interface的ip在 同一網(wǎng)段，則用八就只能從trust interface或untrust interface登錄。為了實(shí)現(xiàn)從兩個(gè)端口都 可登陸，以便管理，需要在上述界面上把system ip的值改為5. untrust interface和trust interface配置內(nèi)容完全一樣，上面的例圖由于是用prtsc屏拷下 來的，不能把untrust interface的配置內(nèi)容拷全，特此說明。3. 配置 route table在配置界面上，依次點(diǎn)擊左邊豎列中的configure -） route table選項(xiàng)，則顯示圖5所示界 面。系統(tǒng)要正常運(yùn)行，在

7、nat內(nèi)部有兩條路由是必不可少的，一條是去內(nèi)部網(wǎng)段下面的用戶網(wǎng) 段的 路由，其網(wǎng)關(guān)是與nat相連的接口的地址。該路由為：100.0.0 1000.0.1 trust ；另一條是去外部公網(wǎng)的缺省路由，其網(wǎng)關(guān)是與nat相連的外部路rfl器的接口地址。 該路由為： 93 untrust-從路rti表中可以看出，后一條路rti是系統(tǒng)缺省自動(dòng)生成的，所以只需手工添加的第一條路rti。 點(diǎn)擊界面左下角的new entry創(chuàng)建新的路由。對(duì)于已生成的路由，可以通過點(diǎn)擊edit>remove 進(jìn)行修改或刪除。至此，所有配置全部完成。

8、netscreen配置文檔1、進(jìn)入字符配置界面：用隨機(jī)帶的console線，一頭接計(jì)算機(jī)串口，一頭接e1端口，在計(jì)算機(jī)上打開超級(jí)終 端進(jìn)行配置，用戶名，密碼都是netscreen«2、進(jìn)入web配置界面：用交叉網(wǎng)線連接el和計(jì)算機(jī)的網(wǎng)主，將計(jì)算機(jī)ip改成 （與e1端口在同一網(wǎng) 段）。打開ie瀏覽器輸入http:/l1 （1為e1端口管理ip）,用戶名， 密碼都是netscreeno3、配置端口 ip和管理ip：el：內(nèi)部網(wǎng)端口端口 ip0 和管理 ip1更改為當(dāng)?shù)貎?nèi)部網(wǎng)的ip地

9、址,e1的端口 ip設(shè)為當(dāng)?shù)貎?nèi)部網(wǎng)網(wǎng)關(guān)，管理ip用于在內(nèi)部網(wǎng)管 理netscreen防火墻。e3:外網(wǎng)端口端口 ip6 和管理 ipi8更改為當(dāng)?shù)仉娦潘峙涞膇p地址，e3的管理ip用于外網(wǎng)管理者在internet上配置和 管理netscreen防火墻。4、配置由內(nèi)網(wǎng)到外網(wǎng)的nat：在e3端口上配置nat,用于將內(nèi)部網(wǎng)地址轉(zhuǎn)換成當(dāng)?shù)仉娦潘峙涞墓W(wǎng)ip地址，以便訪 問internet信息。1. network > interfaces > edit （對(duì)于 ethemetl）:輸入以下內(nèi)容,然后單擊 ok：zone na

10、me: trustip address/netmask: 1/24 （當(dāng)?shù)貎?nèi)部網(wǎng)網(wǎng)關(guān) ip）2. network > interfaces > edit （對(duì)于 ethemet3）:輸入以下內(nèi)容,然后單擊 ok：zone name: un trustip address/netmask: 1/24（當(dāng)?shù)仉娦潘峙涞?ip 地址）。3. network > interfaces > edit （對(duì)于 ethernet3） > dip > new：輸入以下內(nèi)容，然 后單擊ok

11、：id: 6ip address rangestart: 2 （當(dāng)?shù)仉娦潘峙涞膇p地址）end: 10 （當(dāng)?shù)仉娦潘峙涞膇p地址，這是一個(gè)地址池，可大可?。﹑ort translation: enable4. policies > （from: untrust, to: trust） > new：輸入以下內(nèi)容，然后單擊ok：source address:address book:（選擇），anydestination address:address book:（選擇），anyservice: anyaction: permit

12、> advanced:輸入以下內(nèi)容，然后單擊return,設(shè)置高級(jí)選項(xiàng)并返回基本配置頁：nat: ondipon:（選擇）,6 （2-10）：上一步設(shè)的地址池。5、配置由外網(wǎng)到內(nèi)網(wǎng)的vip：在e3端口上配置vip,可將一個(gè)外網(wǎng)ip和端口號(hào)對(duì)應(yīng)到一個(gè)內(nèi)網(wǎng)ip。通過這種方法可以將 web服務(wù)器,郵件服務(wù)器或其他服務(wù)放到內(nèi)網(wǎng)，而從外網(wǎng)只看到一個(gè)公網(wǎng)ip,增加安全性。1. network > interfaces > edit （對(duì)于 ethernetl ）:輸入以下內(nèi)容,然后單擊 apply：zone name: trus

13、tip address/netmask: /24 （當(dāng)?shù)貎?nèi)部網(wǎng)網(wǎng)關(guān) ip）2. network > interfaces > edit （對(duì)于 ethernet3）:輸入以下內(nèi)容,然后單擊 ok：zone name: untrustip address/netmask: /24 （當(dāng)?shù)仉娦潘峙涞?ip 地址）vip3. network > interfaces > edit（對(duì)于 ethernet3） > vip：輸入以下地址,然后單擊 add： virtual ip address: 0 （對(duì)外的服務(wù)器地址）4. network > interfaces > edit （對(duì)于 ethernet3） > vip > new vip service：輸入以 下內(nèi)容，然后單擊ok：virtual port: 80map to service: http （80）：（此例為web服務(wù)器的配置，如果是其他的服務(wù)器，就加入其 服務(wù)與對(duì)應(yīng)的端口號(hào)）map to ip: 0 （此為服務(wù)器本身ip,內(nèi)網(wǎng)