一、 Juniper 防火牆常用管理方式:
1、 通過Web 瀏覽器方式管理。推薦使用IE 瀏覽器進行登錄管理,需要知道防火牆對應端口的管理IP 地址;
2、 命令行方式。支持通過Console 端口超級終端連接和Telnet 防火牆管理IP 地址連接兩種命令行登錄管理模式;
3、 除了上述的管理方式,還支持SSH SSL 等管理方式;
二、Juniper 防火牆默認設置
1、Juniper 防火牆出廠時可通過缺省設置的IP 地址使用Telnet 或者Web 方式管理。
缺省IP 地址爲:192.168.1.1/255.255.255.0;
2、缺省IP 地址通常設置在防火牆的Trust 端口上(NS-5GT)、最小端口編號的物理
端口上( NS-25/50/204/208/SSG 系列)、或者專用的管理端口上
(ISG-1000/2000,NS-5200/5400)
3、Juniper 防火牆缺省登錄管理賬號:用戶名:netscreen;密 碼:netscreen。
三、Juniper 防火牆的一些概念
1、安全區(Security Zone):
Juniper 防火牆增加了全新的安全區域(Security Zone)的概念,安全區域是一個邏輯的結構,是多個處於相同屬性區域的物理接口的集合。當不同安全區域之間相互通訊時,必須通過事先定義的策略檢查才能通過;當在同一個安全區域進行通訊時,默認狀態下允許不通過策略檢查,經過配置後也可以強制進行策略檢查以提高安全性。安全區域概念的出現,使防火牆的配置能更靈活同現有的網絡結構相結合。以下圖爲例,通過實施安全區域的配置,內網的不同部門之間的通訊也必須通過策略的檢查,進一步提高的系統的安全。
2、虛擬路由器(Virtual Router):
Juniper 防火牆支持虛擬路由器技術,在一個防火牆設備裏,將原來單一路由方式下單一路由表,進化爲多個虛擬路由器以及相應的多張獨立的路由表,提高了防火牆系統的安全性以及IP 地址配置的靈活性。
3、映射IP(MIP)
MIP是從一個 IP 地址到另一個 IP 地址雙向的一對一映射。當防火牆收到一個
目標地址爲MIP 的內向數據流時,通過策略控制防火牆將數據轉發至MIP 指向地址的主機;當MIP映射的主機發起出站數據流時,通過策略控制防火牆將該主機的源 IP 地址轉換成 MIP 地址。
4、虛擬IP(VIP)
VIP是一個通過防火牆外網端口可用的公網IP地址的不同端口(協議端口如:21、
25、110等)與內部多個私有IP地址的不同服務端口的映射關係。通常應用在只有很少的公網IP地址,卻擁有多個私有IP地址的服務器,並且這些服務器是需要對外提供各種服務的。
5、動態IP(DIP)
DIP 的應用一般是在內網對外網的訪問方面。當防火牆內網端口部署在NAT 模
式下,通過防火牆由內網對外網的訪問會自動轉換爲防火牆設備的外網端口IP 地址,並實現對外網(互
聯網)的訪問,這種應用存在一定的侷限性。解決這種侷限性的辦法就是DIP,在內部網絡IP 地址外出訪問時,動態轉換爲一個連續的公網IP 地址池中的IP 地址
四、Juniper 防火牆三種部署模式及基本配置
Juniper 防火牆在實際的部署過程中主要有三種模式可供選擇,這三種模式分別是:
1、基於TCP/IP 協議三層的NAT 模式;
2、基於TCP/IP 協議三層的路由模式;
3、基於二層協議的透明模式。
4.1 NAT 模式
當Juniper防火牆入口接口(“內網端口”)處於NAT模式時,防火牆將通往 Untrust 區(外網或者公網)的IP 數據包包頭中的兩個組件進行轉換:源 IP 地址和源端口號。防火牆使用 Untrust 區(外網或者公網)接口的 IP 地址替換始發端主機的源 IP 地址;同時使用由防火牆生成的任意端口號替換源端口號。
NAT 模式應用的環境特徵:
4.1.1 註冊IP 地址(公網IP 地址)的數量不足;
4.1.2 內部網絡使用大量的非註冊IP 地址(私網IP 地址)需要合法訪問Internet;
4.1.3 內部網絡中有需要外顯並對外提供服務的服務器。
4.2 Route 模式
當Juniper防火牆接口配置爲路由模式時,防火牆在不同安全區間(例如:Trust/Utrust/DMZ)轉發信息流時IP 數據包包頭中的源地址和端口號保持不變(除非明確採用了地址翻譯策略)。
4.2.1 與NAT模式下不同,防火牆接口都處於路由模式時,防火牆不會自動實施地
址翻譯;
4.2.2 與透明模式下不同,當防火牆接口都處於路由模式時,其所有接口都處於
不同的子網中。
4.2.3 路由模式應用的環境特徵:
4.2.3.1 防火牆完全在內網中部署應用;
4.2.3.2 NAT 模式下的所有環境;
4.2.3.3 需要複雜的地址翻譯
4.3透明模式
當Juniper防火牆接口處於“透明”模式時,防火牆將過濾通過的IP數據包,但不會修改 IP數據包包頭中的任何信息。防火牆的作用更像是處於同一VLAN的2 層交換機或者橋接器,防火牆對於用戶來說是透明的。
透明模式是一種保護內部網絡從不可信源接收信息流的方便手段。使用透明模式有以下優點:
4.3.1不需要修改現有網絡規劃及配置;
4.3.2不需要實施 地址翻譯
4.3.3可以允許動態路由協議、Vlan trunking的數據包通過。