Juniper网络安全防火墙配置手册 - 图文

Juniper防火墙快速安装手册

Juniper网络安全防火墙设备快速安

装手册V1.0

2009-7

第 1 页 共 53 页

Juniper防火墙快速安装手册

目 录

第一章 前 言 ................................................................................................................................ 4 1.1、JUNIPER防火墙配置概述 .................................................................................................... 4 1.2、JUNIPER防火墙管理配置的基本信息 ................................................................................ 4 1.3、JUNIPER防火墙的常用功能 ................................................................................................ 5 第二章 软件操作 ............................................................................................................................ 5 2.1、防火墙配置文件的导出和导入 ......................................................................................... 5 2.1.1、配置文件的导出 ......................................................................................................... 5 2.1.2、配置文件的导入 ......................................................................................................... 6 2.2、防火墙软件（SCREENOS）更新 ........................................................................................... 7 2.3、防火墙恢复密码及出厂配置的方法 ................................................................................. 8 2.4、防火墙重启 ......................................................................................................................... 8 第三章 NS-5000系列（NS5200/NS5400） ................................................................................... 9 3.1、NS-5000结构 ...................................................................................................................... 9 3.2、硬件组件故障检查 ........................................................................................................... 10 3.3、设备组件更换 ................................................................................................................... 11 第四章 JUNIPER防火墙部署模式及基本配置............................................................................ 11 4.1、NAT模式 ............................................................................................................................ 11 4.2、ROUTE路由模式 ................................................................................................................. 12 4.3、透明模式 ........................................................................................................................... 13 4.4、NAT/ROUTE模式下的基本配置 ......................................................................................... 14 4.4.1、NS-5200/5400 NAT/Route模式下的基本配置 ...................................................... 14 4.5、透明模式下的基本配置 ................................................................................................... 16 第五章 JUNIPER防火墙常用功能的配置.................................................................................... 17 5.1、MIP的配置 ........................................................................................................................ 17 5.1.1、使用Web浏览器方式配置MIP ................................................................................ 18 5.1.2、使用命令行方式配置MIP ........................................................................................ 19 5.2、VIP的配置 ........................................................................................................................ 20 5.2.1、使用Web浏览器方式配置VIP ................................................................................ 20 5.2.2、使用命令行方式配置VIP ........................................................................................ 21 5.3、DIP的配置 ........................................................................................................................ 21 5.3.1、使用Web浏览器方式配置DIP ................................................................................ 22 5.3.2、使用命令行方式配置DIP ........................................................................................ 23 5.4、聚合接口（AGGREGATE）的配置 ........................................................................................ 24 第六章 JUNIPER防火墙双机的配置............................................................................................ 25 6.1、使用WEB浏览器方式配置 ................................................................................................ 25 6.2、使用命令行方式配置 ....................................................................................................... 27 第七章 JUNIPER防火墙的维护命令............................................................................................ 28

第 2 页 共 53 页

Juniper防火墙快速安装手册

7.1登录JUNIPER防火墙的方式 ................................................................................................ 28 7.2查看设备相关日志和工作状态 .......................................................................................... 29 7.3检查设备CPU的占有率 ...................................................................................................... 37 7.3.1 原因分析 ..................................................................................................................... 37 7.3.2采取的措施 .................................................................................................................. 37 7.4检查内存占有率 .................................................................................................................. 38 7.4.1 原因分析 ..................................................................................................................... 38 7.4.2 采取的措施 ................................................................................................................. 38 7.5双机异常 .............................................................................................................................. 38 7.5.1原因分析 ...................................................................................................................... 38 7.5.2采取的措施 .................................................................................................................. 39 7.6故障处理工具 ...................................................................................................................... 39 7.6.1 Debug ........................................................................................................................... 40 7.6.2 Snoop ........................................................................................................................... 40 第八章 JUNIPER防火墙的配置优化 ........................................................................................ 41 8.1 ALG优化 .............................................................................................................................. 41 8.2 防火墙数据包处理性能优化 ............................................................................................. 41 8.3 日志优化 ............................................................................................................................. 41 8.4 关闭双机会话同步 ............................................................................................................. 42 第九章 移动WAP网关配置案例 ................................................................................................ 42 附录、JUNIPER防火墙的一些概念 ............................................................................................. 51

第 3 页 共 53 页

Juniper防火墙快速安装手册

第一章 前 言

我们制作本安装手册的目的是使维护Juniper网络安全防火墙设备（在本安装手册中简称为“Juniper防火墙”）的NSN公司相关技术人员，可以通过此安装手册完成对Juniper防火墙基本功能的实现、应用和排错。

1.1、Juniper防火墙配置概述

Juniper防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求；但是由于部署模式及功能的多样性使得Juniper防火墙在实际部署时具有一定的复杂性。

在配置Juniper防火墙之前我们通常需要先了解现有网络的规划情况和对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对Juniper防火墙进行配置和管理。 基本配置：

1. 确认防火墙的部署模式：NAT模式、路由模式、或者透明模式；

2. 为防火墙的端口配置IP地址（包括防火墙的管理IP地址），配置路由信息； 3. 配置访问控制策略，完成基本配置。 其它配置：

1. 配置基于端口和基于地址的映射； 2. 配置双机冗余；

3. 修改防火墙默认的用户名、密码以及管理端口。

1.2、Juniper防火墙管理配置的基本信息

Juniper防火墙常用管理方式：

① 通过Web浏览器方式管理。推荐使用IE浏览器进行登录管理，需要知道防

火墙对应端口的管理IP地址；

② 命令行方式。支持通过Console端口超级终端连接和Telnet、SSH防火墙管

理IP地址连接两种命令行登录管理模式。

第 4 页 共 53 页

Juniper防火墙快速安装手册

Juniper防火墙缺省管理端口和IP地址：

① Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式

管理。缺省IP地址为：192.168.1.1/255.255.255.0；

② 缺省IP地址通常设置在防火墙的专用的管理端口上

（ISG-1000/2000,NS-5200/5400）。 Juniper防火墙缺省登录管理账号： ① 用户名：netscreen； ② 密 码：netscreen。

1.3、Juniper防火墙的常用功能

在一般情况下，防火墙设备的常用功能包括：透明模式的部署、NAT/路由模式的部署、NAT的应用、MIP的应用、DIP的应用、VIP的应用、NSRP双机冗余。 本安装手册将分别对以上防火墙的配置及功能的实现加以说明。

注：在对MIP/DIP/VIP等Juniper防火墙的一些基本概念不甚了解的情况下，请先到本手册最后一章节内容查看了解！

第二章 软件操作

2.1、防火墙配置文件的导出和导入

Juniper防火墙的配置文件的导入导出功能为用户提供了一个快速恢复当前配置的有效的手段。一旦用户不小心因为操作失误或设备损坏更换，都可以利用该功能，实现快速的防火墙配置的恢复，在最短的时间内恢复设备和网络正常工作。

2.1.1、配置文件的导出

配置文件的导出（WebUI）：在Configuration > Update > Config File位置，点选：Save to file，将当前的防火墙设备的配置文件导出为一个无后缀名的可编辑文本文件。

第 5 页 共 53 页

Juniper防火墙快速安装手册

配置文件的导出（CLI）：

配置文件从flash导出到tftp服务器: Save config from flash to tftp a.b.c.d x.cfg

a.b.c.d表示tftp服务器地址，x.cfg表示配置文件名称

例：NS5200-> save config from flash to tftp 1.1.7.250 filename.cfg 2.1.2、配置文件的导入

配置文件的导入（WebUI）：在Configuration > Update > Config File位置，1、点选：Merge to Current Configuration，覆盖当前配置并保留不同之处；2、点选：Replace Current Configuration 替换当前配置文件。导入完成之后，防火墙设备会自动重新启动，读取新的配置文件并运行。

第 6 页 共 53 页

Juniper防火墙快速安装手册

配置文件的导入（CLI）：

配置文件从tftp服务器导入到flash: Save config from tftp a.b.c.c x.cfg to flash

a.b.c.d表示tftp服务器地址，x.cfg表示配置文件名称

例：NS5200-> save config from tftp 1.1.7.250 filename.cfg to flash 或者NS5200->save config from tftp 1.1.7.250 filename.cfg merge

2.2、防火墙软件（ScreenOS）更新

关于ScreenOS：

Juniper防火墙的OS软件是可以升级的，一般每一到两个月会有一个新的OS版本发布，OS版本如：6.1.0R4.0，其中R前面的6.1.0是大版本号，这个版本号的变化代表着功能的变化；R后面的4.0是小版本号，这个号码的变化代表着BUG的完善，因此一般建议，在大版本号确定的情况下，选择小版本号大的OS作为当前设备的OS。 关于OS升级注意事项：

升级OS需要一定的时间，根据设备性能的不同略有差异，一般情况下大约需要5分钟的时间。在升级的过程中，需要保持电源的供应、网线连接的稳定，

第 7 页 共 53 页

Juniper防火墙快速安装手册

最好是将防火墙从网络中暂时取出，待OS升级完成后再将防火墙设备接入网络。 ScreenOS升级（WebUI）：Configuration > Update > ScreenOS/Keys。

ScreenOS升级（CLI）: NS5200-> save software from tftp 1.1.7.250 newimagefile to flash

2.3、防火墙恢复密码及出厂配置的方法

当防火墙密码遗失的情况下，我们只能将防火墙恢复到出厂配置，方法是： ① 记录下防火墙的序列号（又称Serial Number，在防火墙机身下面可找到）； ② 使用控制线连接防火墙的Console端口并重起防火墙；

③ 防火墙正常启动到登录界面，是用记录下来的序列号作为登录的用户名/密

码，根据防火墙的提示恢复到出厂配置。

2.4、防火墙重启

当需要手动重新启动防火墙时，方法是：

① 使用控制线连接防火墙Console或通过命令行方式登陆到防火墙设备； ② 使用如下命令重启：reset 并回车 ③ 当提示 是否重新启动时，输入y回车

第 8 页 共 53 页

Juniper防火墙快速安装手册

第三章 NS-5000系列（NS5200/NS5400）

3.1、NS-5000结构

在中国移动WAP网关项目中Juniper NS5000系列防火墙配置了两个模块，其中包括一个管理模块，一个8GB的端口模块。硬件结构介绍如下： Netscreen 5400主机面板图

从上图可以直观的看出NS5400防火墙的板卡和槽位的对应关系以及电源的冗余情况。

Netscreen 5200主机面板图

由于NS5200与NS5400设备性能的不同，从上图只可以直观的看出管理模块和接口模块的分布情况。 管理模块介绍

第 9 页 共 53 页

Juniper防火墙快速安装手册

接口模块介绍

3.2、硬件组件故障检查

3.2.1、检查防火墙前面板的LED 指示灯显示状况 Status ：系统状态

黄色闪烁表示系统正常启动； 绿色闪烁表示系统正常工作。

Alarm：系统告警

红色表示系统有严重硬件或软件故障；

黄色表示系统有某一方面负载过重。如：内存少于10%、CPU 利用率超

过90%、 连接数满。

绿色表示没有告警。

PWR：电源供电情况

绿色表示电源工作正常；

红色表示电源失效或没装电源模块。 HA：高可用状态

绿色表示系统当前为主用状态； 绿色闪烁表示没有找到冗余组成员； 黄色表示系统当前为备用状态；

第 10 页 共 53 页

Juniper防火墙快速安装手册

红色表示防火墙双机配置不同步； 黑色表示系统没有配置HA（高可用性）。 FW ：防火墙告警。

绿色表示没有防火墙攻击； 黄色表示防火墙有告警事件发生。 3.2.2、检查防火墙的接口指示灯显示状况 绿色灯亮表示线路已经连通，但没有数据； 绿色闪烁灯亮表示线路已经连通，有数据传输。

3.3、设备组件更换

Juniper防火墙组件的更换主要包括以下三部分： 1、 板卡更换 2、 电源更换 3、 电源风扇更换

Juniper防火墙组件更换时请把需更换组件的防火墙设备切换至备机状态并下电，然后再进行相关操作。详细操作方式请查看附件一中的《NS5000系列防火墙硬件安装配置手册》

第四章 Juniper防火墙部署模式及基本配置

Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：

① 基于TCP/IP协议三层的NAT模式； ② 基于TCP/IP协议三层的路由模式； ③ 基于二层协议的透明模式。

4.1、NAT模式

当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往

第 11 页 共 53 页

Juniper防火墙快速安装手册

Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源 IP 地址和源端口号。

防火墙使用 Untrust 区（外网或者公网）接口的 IP 地址替换始发端主机的源 IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：

① 注册IP地址（公网IP地址）的数量不足；

② 内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet； ③ 内部网络中有需要外显并对外提供服务的服务器。

4.2、Route路由模式

当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变（除非明确采用了地址翻译策略）。

① 与NAT模式下不同，防火墙接口都处于路由模式时，防火墙不会自动实施地

址翻译；

② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不

第 12 页 共 53 页

Juniper防火墙快速安装手册

同的子网中。

路由模式应用的环境特征： ① 防火墙完全在内网中部署应用； ② NAT模式下的所有环境； ③ 需要复杂的地址翻译。

4.3、透明模式

当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改 IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器，防火墙对于用户来说是透明的。

第 13 页 共 53 页

Juniper防火墙快速安装手册

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点：

① 不需要修改现有网络规划及配置； ② 不需要实施地址翻译；

③ 可以允许动态路由协议、Vlan trunking的数据包通过。

4.4、NAT/Route模式下的基本配置

NAT和Route模式的配置建议首先使用命令行开始，最好通过控制台的方式连接防火墙，这个管理方式不受接口IP地址的影响。

注：在设备缺省的情况下，防火墙的信任区（Trust Zone）所在的端口是工作在NAT模式的，其它安全区所在的端口是工作在路由模式的。

基于命令行方式的防火墙设备部署的配置如下（网络环境同上一章节所讲述的环境）：

4.4.1、NS-5200/5400 NAT/Route模式下的基本配置

① Set interface eth2/1 zone trust（将eth2/1端口分配到trust zone）；

第 14 页 共 53 页

Juniper防火墙快速安装手册

② Set interface eth2/1 ip 192.168.2.1/24（设置eth2/1端口的IP地址，

必须先定义zone，之后再定义IP地址）；

③ Set interface eth2/2 zone untrust（将eth2/2分配到untrust zone）； ④ Set interface eth2/2 ip 10.10.10.1/24（设置eth2/2口的IP地址）；

⑤ Set route 0.0.0.0/0 interface eth2/2 gateway 10.10.10.251（设置防

火墙对外的缺省路由网关地址）；

⑥ Set policy from trust to untrust any any any permit log（定义一条

由内网到外网的访问策略。策略的方向是：由zone trust 到 zone untrust， 源地址为：any，目标地址为：any，网络服务为：any，策略动作为：permit允许，log：开启日志记录）；

第 15 页 共 53 页

Juniper防火墙快速安装手册

的syn-cookie启动阀值*/

set zone \/*设置针对syn-flood攻击中单一源地址攻击保护的阀值，超过阀值的后续报文将直接被丢弃并产生告警信息*/ set zone \/*设置针对syn-flood攻击中对单一目的地址攻击保护的阀值，超过阀值的后续报文将直接被丢弃并产生告警信息*/

set interface id 45 \/*配置聚合接口位于Trust区域中*/ set interface \/*配置1/4接口位于Untrust区域中*/ set interface ethernet2/1 aggregate aggregate1/*配置聚合接口成员*/ set interface ethernet2/2 aggregate aggregate1/*配置聚合接口成员*/ unset interface vlan1 ip/*VLAN1接口不设置IP地址*/

set interface mgt ip x.x.x.x/xx /*带外网管接口未使用，为系统缺省IP*/ set interface ethernet2/4 ip 192.168.33.215/28/*配置1/4接口IP地址*/ set interface ethernet2/4 route /*配置1/4接口为路由模式*/

set interface aggregate1 ip 192.168.45.1/29/*配置aggregate1接口IP地址*/ set interface aggregate1 nat/*配置aggregate1接口为NAT模式，配置接口模式NAT*/ set interface aggregate1 bandwidth 1000/*配置aggregate1接口的带宽*/

unset interface vlan1 bypass-others-ipsec /*透明模式Vlan1接口下使用，缺省阻断透明模式下的ipsec vpn流量*/

unset interface vlan1 bypass-non-ip /*透明模式Vlan1接口下使用，缺省阻断非IP流量*/

set interface ethernet2/4 manage-ip 192.168.33.217/*为1/4接口配置管理IP地址*/ set interface aggregate1 manage-ip 192.168.45.3/*为aggregate1接口配置管理IP地址*/

set interface ethernet2/4 ip manageable/*1/4接口IP地址可用于管理防火墙*/ set interface aggregate1 ip manageable/*aggregate1接口IP地址可用于管理防火墙*/ set interface ethernet2/4 manage ping/*1/4接口IP地址开放ping服务*/

set flow tcp-syn-check /*防火墙在查找policy前检查该首包是否带有Syn标志位，如没有则丢弃该报文*/

第 46 页 共 53 页

Juniper防火墙快速安装手册

set flow syn-proxy syn-cookie /*防火墙采用syn-cookie方式防御针对目的地址＋端口号的syn-flood攻击，syn-cookie方式节省防火墙的会话表资源*/ set hostname xxx /*设定防火墙主机名称*/

set pki authority default scep mode \/*缺省设置PKI数字证书验证方式*/ set pki x509 default cert-path partial /*缺省设置PKI数字证书验证缺省路径*/ /********下面是各zone区域下的地址和地址组定义，不做具体描述**********/ set address \??????(后续同类配置省略)

set group address \服务器\??????(后续同类配置省略)

/********下面配置是Ipsec vpn缺省配置参数，防火墙目前没有配置Ipsec VPN，该部分内容属于无关性配置，故不做说明**********/ set ike respond-bad-spi 1 unset ike ikeid-enumeration unset ike dos-protection

unset ipsec access-session enable set ipsec access-session maximum 5000 set ipsec access-session upper-threshold 0 set ipsec access-session lower-threshold 0 set ipsec access-session dead-p2-sa-timeout 0 unset ipsec access-session log-error

unset ipsec access-session info-exch-connected unset ipsec access-session use-error-log

set arp always-on-dest /*配置防火墙采用ARP表而非session中的下一跳MAC地址转发流数据报文*/

set nsrp cluster id 1 /*设定防火墙NSRP Cluster集群ID号为1，最大值为7*/

set nsrp rto-mirror sync /*设定NSRP Cluster集群进行防火墙创建的动态对象（如session自动同步*/

第 47 页 共 53 页

Juniper防火墙快速安装手册

set nsrp vsd-group id 1 priority 50 /*设定NSRP虚拟设备组id为0有效级为50（低值优先）*/

set nsrp arp 5 /*当防火墙成为主用设备时，将主动进行接口地址的ARP宣告5次） set nsrp vsd-group id 1 monitor interface agg1 /*设定NSRP对agg1接口进行动态监控，端口一旦DOWN，防火墙立即进行准备状态切换*/

set nsrp vsd-group id 1 monitor interface ethernet2/4 /***同上***/

set icap av-vendor-id symantec-5 /*缺省配置，指定symantec为互连网内容过滤提供厂商*/

set url protocol websense /*缺省配置，指定websense为WEB URL过滤提供厂商*/

/********下面是Policy（访问控制策略）部分配置，不做具体描述**********/ set policy id 22 from \set policy id 22 exit

??????(后续同类配置省略)

set syslog config \*配置syslog服务器IP地址*/

set syslog config \*配置syslog服务器均采用通道7来传输system log和traffic log*/

set syslog src-interface ethernet1/2 /*指定通过1/2接口送出syslog消息*/ set syslog enable /*启用syslog功能*/

unset log module system level information destination internal /*阻止information级别的log信息送到防火墙control上*/

unset log module system level debugging destination internal /*阻止debug级别log信息送到防火墙control上*/

unset log module system level notification destination email /*以下同上*/ unset log module system level notification destination syslog unset log module system level information destination syslog

第 48 页 共 53 页

Juniper防火墙快速安装手册

unset log module system level debugging destination syslog unset log module system level information destination NSM unset log module system level debugging destination NSM unset log module system level information destination usb unset log module system level debugging destination usb

set nsmgmt bulkcli reboot-timeout disable /*没有采用NSM管理防火墙，属于无关性配置，关闭防火墙配置自动回滚功能*/

set nsmgmt bulkcli reboot-timeout 60 /*没有采用NSM管理防火墙，属于无关性配置，设置防火墙自动重启前等候时间*/

set ssh version v2 /*防火墙当前SSH版本为V2版*/ set ssh enable /*启用通过SSH登录防火墙*/

set config lock timeout 5 /*在执行配置锁定命令后，防火墙配置在锁定5秒后才能解锁*/

set ntp server \/*配置NTP服务器IP地址*/

set ntp server key-id 1 preshare-key \/*配置和NTP服务器通信的KEY密钥*/

set ntp server src-interface \/*指定通过1/2接口进行NTP时钟同步*/ set ntp server backup1 \/*配置备用NTP服务器地址*/ set ntp server backup1 key-id 1 preshare-key

\/*配置和备用NTP服务器通信的KEY密钥*/ set ntp server backup1 src-interface \/*指定通过1/2接口和备用NTP进行时钟同步*/

set ntp server backup2 \/*没有配置第二备用NTP服务器*/ set ntp server backup2 key-id 1 preshare-key \set ntp auth \

/*要求防火墙与NTP同步时钟前必需进行口令验证*/

set snmp community \/*设置SNMP 服务器xxx相关属性值*/

set snmp community \/*设置SNMP 服务

第 49 页 共 53 页

Juniper防火墙快速安装手册

器xxx相关属性值*/

set snmp host \/*设置SNMP 服务器的地址、版本号和通信接口*/

set snmp location \/*SNMP服务器位置标注*/ set snmp contact \/*SNMP服务器联系人标注*/ set snmp name \/*定义防火墙作为SNMP client的名称*/ set snmp port listen 161 /*SNMP侦听端口缺省为UDP161*/ set snmp port trap 162 /*SNMP发送trap信息的缺省端口为UDP162*/ set vrouter \

unset add-default-route /*trust-vr中不自动添加指向Untrust-vr的缺省路由*/ /********下面是静态路由部分配置，不做具体描述**********/

set route x.x.x.x/x interface ethernet1/1 gateway x.x.x.x preference 20 ??????(后续同类配置省略)

第 50 页 共 53 页

Juniper防火墙快速安装手册

③ 添加与该VIP公网地址相关的访问控制策略。

5.2.2、使用命令行方式配置VIP ① 配置接口参数

set interface ethernet1 zone trust set interface ethernet2/1 ip 10.1.1.1/24 set interface ethernet2/1 nat

set interface ethernet2/2 zone untrust set interface ethernet2/2 ip 1.1.1.1/24 ② 定义VIP

set interface ethernet2/2 vip 1.1.1.10 80 http 10.1.1.10 ③ 定义策略

set policy from untrust to trust any vip(1.1.1.10) http permit save

注：VIP的地址可以利用防火墙设备的外网端口地址实现（限于低端设备）。

5.3、DIP的配置

DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下，通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口

第 21 页 共 53 页

Juniper防火墙快速安装手册

IP地址，并实现对外网（互联网）的访问，这种应用存在一定的局限性。解决这种局限性的办法就是DIP，在内部网络IP地址外出访问时，动态转换为一个连续的公网IP地址池中的IP地址。 DIP应用的网络拓扑图：

5.3.1、使用Web浏览器方式配置DIP

① 登录防火墙设备，配置防火墙为三层部署模式；

② 定义DIP：Network=>Interface=>ethernet3=>DIP，在定义了公网IP地址的

untrust端口定义IP地址池；

③ 定义策略：定义由内到外的访问策略，在策略的高级（ADV）部分NAT的相关

内容中，启用源地址NAT，并在下拉菜单中选择刚刚定义好的DIP地址池，保存策略，完成配置；

第 22 页 共 53 页

Juniper防火墙快速安装手册

策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT。

5.3.2、使用命令行方式配置DIP ① 配置接口参数

set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat

第 23 页 共 53 页

Juniper防火墙快速安装手册

set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 ② 定义DIP

set interface ethernet3 dip 5 1.1.1.30 1.1.1.30 ③ 定义策略

set policy from trust to untrust any any http nat src dip-id 5 permit save 总结：

① 当需要做原地址转换时，可以有两种做法，一种是前面我们介绍到的基于接

口的地址转换，这种方式的优点就是可以做端口复用，NS5000系列理论可以支持复用到2M NAT会话；另外一种就是定义DIP地址池，策略里调用我们定义的DIP地址池，这种方式的缺点就是只能支持到64,500个NAT会话； ② 做地址转换有两种方式，一种是DIP，VIP，MIP的形式，另一种是基于策略

的NAT，在使用的时候，最好是统一为一种方式，要么都是DIP，VIP，MIP；要么就都做基于策略的NAT，不建议两种方式混用。

5.4、聚合接口（aggregate）的配置

使用命令行配置聚合口的设置： Set interface aggregate1 zone trust Set interface aggregate1 ip 10.1.1.1/24 Set interface aggregate1 nat

Set interface ethernet2/1 phy manual Set interface ethernet2/2 phy manual

Set interface ethernet2/1 aggregate aggregate1 Set interface ethernet2/2 aggregate aggregate1

设备聚合口需要注意的一点是，需要聚合的两个接口的物理属性（比如双工模式、速率）设置要一致，并且要求属于同一个ASIC芯片（NS5000系列的SPM板卡上，前4个物理接口属于同一个ASIC芯片，后4个物理接口属于另一个ASIC芯片）

第 24 页 共 53 页

Juniper防火墙快速安装手册

第六章 Juniper防火墙双机的配置

为了保证网络应用的高可用性，在部署Juniper防火墙过程中可以在需要保护的网络边缘同时部署两台相同型号的防火墙设备，实现HA的配置。Juniper防火墙提供了三种高可用性的应用配置模式：主备方式、主主方式和双主冗余方式。在这里，我们只对主备方式的配置进行说明。 防火墙HA网络拓扑图（主备模式）：

6.1、使用Web浏览器方式配置

WebUI ( 设备-A) ① 接口

Network > Interfaces > Edit ( 对于 ethernet2/2): 输入以下内容，然后单击 OK:

Zone Name:untrust

Static IP: ( 出现时选择此选项) IP Address/Netmask: 210.1.1.1/24

Network > Interfaces > Edit ( 对于 ethernet2/1): 输入以下内容，然

第 25 页 共 53 页

Juniper防火墙快速安装手册

5、查看策略1的流量日志 get log traffic policy 1

第 31 页 共 53 页

Juniper防火墙快速安装手册

6、查看流量日志 get log traffic

7、查看事件告警 get alarm event

8、查看策略1配置 Get policy id 1

9、查看系统日志 get log event

第 32 页 共 53 页

Juniper防火墙快速安装手册

10、查看端口流量

get counter flow interface ethx/x

第 33 页 共 53 页

Juniper防火墙快速安装手册

11、查看buffer大小 Get db info

12、查看接口状态 get interface

13、索引查看

get config | include *

第 34 页 共 53 页

Juniper防火墙快速安装手册

14、查看DEBUE信息（慎用）

第 35 页 共 53 页

Juniper防火墙快速安装手册

15、 查看路由表 get route

第 36 页 共 53 页

Juniper防火墙快速安装手册

16、查看某一条路由 get route ip 10.10.10.1

17、查看防火墙双机状态是否同步

18、查看防火墙PAT端口复用分配情况

7.3检查设备CPU的占有率

如果防火墙CPU占有率过高，是重要问题，影响业务正常处理。 7.3.1 原因分析

检查设备告警日志，分析设备流量信息，出现CPU占有率过高告警信息，可能的原因有：

1、 同时在线会话数超出阀值。 2、 新建会话数超出阀值。 3、网络攻击。 7.3.2采取的措施

1、检查会话数目和新建会话数目。

第 37 页 共 53 页

Juniper防火墙快速安装手册

2、查看日志，是否存在网络攻击。 3、关闭ALG功能

4、执行get gate和get pport命令，查看流媒体信息和基于接口的地址翻译情况。

5、根据日志或者会话分析检查发起攻击的源，对并发起攻击的源进行检查隔离，直至问题解决。

7.4检查内存占有率

由于juniper防火墙内存使用模式是预分配模式，正常情况下内存使用率为50%左右，但如果内存占有率过高，需检查原因。 7.4.1 原因分析

检查设备告警日志，分析设备流量信息，内存占用率过高，可能的原因有： 1、会话数过大，超出设备阀值。

2、用户列表数目过大（比如IC认证的用户列表）。 7.4.2 采取的措施

根据日志检查分析会话数和用户列表数目过大的原因。

7.5双机异常

防火墙双机出现异常是重要问题，虽然不影响业务正常处理，但影响设备可靠性。 7.5.1原因分析

防火墙设备双机异常的现象表现在主备机通信异常、无法正常切换等。引起这种现象可能是因为：

1、设备双机网络配置不正确，网络IP地址存在冲突、网络故障、硬件故障或损坏。

2、设备双机配置不正确。

第 38 页 共 53 页

Juniper防火墙快速安装手册

7.5.2采取的措施

1、 检查双机网络配置是否正常。 2、检查网络IP地址是否冲突。

3、检查设备双机配置是否异常，请参见产品手册对应设备双机配置说明，根据其中的指引进行配置。

4、必要时，请联系Juniper公司当地办事处技术服务工程师进行紧急处理。

如果防火墙前面板的LED HA指示灯出现红色，表明防火墙双机配置不同步。可以通过CLI命令行方式查看防火墙双机工作状态：

1、如果是console口登录时请执行命令：exec nsrp sync global check-sum 2、如果是telnet登录时请执行命令：exec nsrp sync global-config ch和 get db stream

防火墙输出有两种情况：

1、Warning: configuration out of sync说明防火墙配置或RTO不同步，需要检查配置或执行RTO同步。当设备出现配置不同步情况下，请按照以下步骤操作：

先执行防火墙主机切换到备机命令：

exec nsrp vsd-group [group number] mode backup

然后请使用以下命令将它们同步: exec nsrp sync global-config save (然后重新启动设备) 或exec nsrp sync global-config run ( 无需重新启动设备)。 2、configuration in sync 说明防火墙配置同步。

7.6故障处理工具

Juniper防火墙提供灵活多样的维护方式，其中故障处理时最有用的两个工具是debug和snoop，debug用于跟踪防火墙对指定包的处理，snoop用于捕获流经防火墙的数据包，由于debug和snoop均需要消耗防火墙的cpu和memory资源，在使用时务必要设置过滤列表，防火墙将仅对过滤列表范围内的包进行分析，包分析结束后应在第一时间关闭debug和snoop功能。下面简要介绍一下两个工具的使用方法。

第 39 页 共 53 页

Juniper防火墙快速安装手册

7.6.1 Debug

Debug：跟踪防火墙对数据包的处理过程

1. Set ffilter src-ip x.x.x.x dst-ip x.x.x.x dst-port xx 设置过滤列表,定义捕获包的范围

2、clear dbuf 清除防火墙内存中缓存的分析包 3、debug flow basic 开启debug数据流跟踪功能 4、发送测试数据包或让小部分流量穿越防火墙 5、undebug all 关闭所有debug功能

6、get dbuf stream 检查防火墙对符合过滤条件数据包的分析结果 7、unset ffilter 清除防火墙debug过滤列表 8、clear dbuf 清除防火墙缓存的debug信息 9、get debug 查看当前debug设置 7.6.2 Snoop

Snoop：捕获进出防火墙的数据包，与Sniffer嗅包软件功能类似。

1. Snoop filter ip src-ip x.x.x.x dst-ip x.x.x.x dst-port xx 设置过滤列表,定义捕获包的范围

2、clear dbuf 清除防火墙内存中缓存的分析包 3、snoop 开启snoop功能捕获数据包 注：snoop内有双方向抓包的命令，可以添加。 4、发送测试数据包或让小部分流量穿越防火墙 5、snoop off 停止snoop

6、get db stream 检查防火墙对符合过滤条件数据包的分析结果 7、snoop filter delete 清除防火墙snoop过滤列表 8、clear dbuf 清除防火墙缓存的debug信息 9、snoop info 查看snoop设置

第 40 页 共 53 页

Juniper防火墙快速安装手册

第八章 Juniper防火墙的配置优化

通过Juniper防火墙在WAP网关中的长期应用，我们建议在新设备上线时，优化设备配置，使其能更好的发挥其功能和性能。

8.1 ALG优化

在WAP业务中，推荐只开启RTSP、FTP的ALG功能，Web界面的设置：

通过命令行配置： set alg rtsp enable set alg ftp enable

8.2 防火墙数据包处理性能优化

通过命令行配置：

unset flow tcp-syn-check set flow tcp-syn-bit-check

8.3 日志优化

对于所有策略中的日志选项，我们不建议打开其日志功能，除非必须打开的。取

第 41 页 共 53 页

Juniper防火墙快速安装手册

消策略中的日志选项配置如下：

8.4 关闭双机会话同步

命令行配置如下： set nsrp rto-mirror session off

第九章 移动WAP网关配置案例

set clock ntp /*启用NTP网络时钟服务器功能，防火墙可通过NTP服务器自动同步时钟*/ set clock timezone 8 /*设定防火墙时区为东8区，北京时间为东8时区*/

set vrouter trust-vr sharable/*设定trust-vr虚拟路由器为共享路由器，trust-vr作为根虚拟路由器，可以被其它虚拟系统（VSYS）访问，目前防火墙没有启用VSYS*/ set vrouter \/*系统缺省配置了Untrust-vr虚拟路由器供用户选择使用*/ set vrouter \/*系统缺省配置了trust-vr虚拟路由器供用户使用,缺省情况下所有路由条目均在trust-vr中*/

第 42 页 共 53 页

Juniper防火墙快速安装手册

unset auto-route-export/*关闭将trust-vr中接口路由自动导入到Untrust-vr中,目前防火墙没有使用Untrust-vr，故无需将trust-vr接口路由导入进来*/

/********下面是用户自定义服务配置，不做具体描述**********/ set service \set service \set service \set service \set service \??????(后续自定义服务配置省略)

unset alg sip enable /*关闭会话初始协议(SIP)的应用层网关功能，网络中没有SIP应用流量*/

unset alg mgcp enable/*关闭媒体网关控制协议(MGCP)的应用层网关功能，网络中没有该类应用流量*/

unset alg sccp enable/*关闭瘦客户端呼叫控制协议(SCCP)的应用层网关功能，网络中没有该类应用流量*/

unset alg sunrpc enable/*关闭SUN远程进程调用(SUNRPC)的应用层网关功能，网络中没有该类应用流量*/

unset alg msrpc enable/*关闭微软远程进程调用(MSRPC)应用层网关功能，网络中没有该类应用流量*/

unset alg sql enable/*关闭ORACLE SQL协议的应用层网关功能，网络中使用的SQL协议版本不需要使用该应用层网关功能*/

unset alg rtsp enable/*关闭实时流媒体协议(RTSP)的应用层网关功能，网络中没有该类应用流量*/

unset alg h323 enable/*关闭H.323协议的应用层网关功能，网络中没有该类应用流量*/ set auth-server \/*防火墙缺省为本地的认证服务器自动分配ID号0*/ set auth-server \/*防火墙缺省设置本地验证服务器名称为Local*/

set auth default auth server \/*防火墙缺省启用本地认证服务器进行管理员账号认证*/

第 43 页 共 53 页

Juniper防火墙快速安装手册

set auth radius accounting port 1646/*防火墙缺省通过连接Radius服务器的UDP1646端口进行记账，目前网络没有启用该功能*/

set admin name \/*设置防火墙根管理口令为ecnadmin*/

set admin password \/*设置防火墙根管理账号，仅显示不可逆的加密密文*/

set admin user \\/*设置只读权限的管理员账号口令*/

set admin auth timeout 10/*设置管理员账号登录超时时间为10秒*/

set admin auth server \/*防火墙管理员账号采用本地认证服务器认证*/ set admin format dos/*防火墙缺省启用MS-DOS格式显示配置文件*/

set zone \/*缺省设置Trust区域位于trust-vr虚拟路由器*/ set zone \/*缺省设置Untrust区域位于trust-vr虚拟路由器*/

set zone \/*缺省设置DMZ区域位于trust-vr虚拟路由器*/ set zone \vrouter \/*缺省设置VLAN区域位于trust-vr虚拟路由器，VLAN模式仅在透明模式下使用*/

set zone \/*缺省设置Untrust-Tun区域位于trust-vr虚拟路由器, Untrust-Tun区域仅在启用路由模式的Ipsec VPN下使用*/

set zone \/*Trust区域启用tcp-rst功能，当防火墙收到第一个报文不带有syn标志位时，防火墙给源端发送reset报文*/

set zone \/*Untrust区域开启Block功能，当多个接口均位于Untrust区域时，接口间的流量必需经Policy明确允许才能通过防火墙*/

unset zone \/*Untrust区域关闭tcp-rst功能，当防火墙收到第一个报文不带有syn标志位时，防火墙直接丢弃该报文，不会给予任何提示和响应报文*/ set zone \/*DMZ区域启用tcp-rst功能*/ set zone \/*VLAN区域缺省启用block功能*/ set zone \/*VLAN区域缺省启用tcp-rst功能*/ set zone \/*Trust区域启用syn-flood功能*/

set zone \/*Trust区域启用ip-spoofing（源地址欺骗）防御

第 44 页 共 53 页

Juniper防火墙快速安装手册

功能，当报文从Trust区域进入防火墙时，防火墙根据路由表检查源地址是否从正确的接口进入，如果接口不正确将产生数据报欺骗告警*/

set zone \/*在发现存在源地址欺骗后直接丢弃该报文*/

set zone \/*Untrust区域Screen启用只告警不丢包功能*/

set zone \/*Untrust区域启用tear-drop泪滴攻击防御功能，发现存在偏移位不正确的报文直接丢弃*/

set zone \/*Untrust区域启用syn-flood攻击防御功能*/ set zone \/*Untrust区域启用ip-spoofing（源地址欺骗）防御功能*/

set zone \/*启用ping-death攻击防御功能，丢弃那些不合规的ICMP报文*、

set zone \/*启用ip-filter-src攻击防御功能，丢弃那些带有指定源路由选项的数据报文*/

set zone \/*启用Land陆地攻击防御功能，丢弃经过防火墙的那些源和目的地址相同的报文*/

set zone \/*在发现存在源地址欺骗后直接丢弃该报文*/

set zone \/******以下同上解释******/ set zone \set zone \set zone \set zone \

set zone \/*设置syn-flood针对目的地址＋端口号syn报文的告警阀值*/

set zone \/*设置syn-flood cookie队列大小*/

set zone \/*设置针对syn-flood攻击

第 45 页 共 53 页

本文来源：https://www.bwwdw.com/article/9z0f.html