Juniper三種部署模式及基本配置

Juniper 防火墻在實際的部署過程中主要有三種模式可供選擇，這三種模式分別是：

基于TCP/IP 協(xié)議三層的NAT 模式；

基于TCP/IP 協(xié)議三層的路由模式；

基于二層協(xié)議的透明模式。

一、NAT模式

當(dāng)Juniper防火墻入口接口（“內(nèi)網(wǎng)端口”）處于NAT模式時，防火墻將通往 Untrust 區(qū)（外網(wǎng)或者公網(wǎng)）的IP 數(shù)據(jù)包包頭中的兩個組件進(jìn)行轉(zhuǎn)換：源 IP 地址和源端口號。

防火墻使用 Untrust 區(qū)（外網(wǎng)或者公網(wǎng)）接口的 IP 地址替換始發(fā)端主機(jī)的源 IP 地址；同時使用由防火墻生成的任意端口號替換源端口號。

NAT 模式應(yīng)用的環(huán)境特征：

注冊IP 地址（公網(wǎng) IP 地址）的數(shù)量不足；

內(nèi)部網(wǎng)絡(luò)使用大量的非注冊IP 地址（私網(wǎng) IP 地址）需要合法訪問 Internet；

內(nèi)部網(wǎng)絡(luò)中有需要外顯并對外提供服務(wù)的服務(wù)器。

二、Route-路由模式

當(dāng)Juniper防火墻接口配置為路由模式時，防火墻在不同安全區(qū)間（例如： Trust/Utru st/DMZ）轉(zhuǎn)發(fā)信息流時IP 數(shù)據(jù)包包頭中的源地址和端口號保持不變（除非明確采用了地址翻譯策略）。

與NAT模式下不同，防火墻接口都處于路由模式時，防火墻不會自動實施地址翻譯；

與透明模式下不同，當(dāng)防火墻接口都處于路由模式時，其所有接口都處于不同的子網(wǎng)中。

路由模式應(yīng)用的環(huán)境特征：

防火墻完全在內(nèi)網(wǎng)中部署應(yīng)用；

NAT 模式下的所有環(huán)境；

需要復(fù)雜的地址翻譯。

三、透明模式

當(dāng)Juniper防火墻接口處于“透明”模式時，防火墻將過濾通過的IP數(shù)據(jù)包，但不會修改 IP數(shù)據(jù)包包頭中的任何信息。

防火墻的作用更像是處于同一VLAN的2 層交換機(jī)或者橋接器，防火墻對于用戶來說是透明的。

透明模式是一種保護(hù)內(nèi)部網(wǎng)絡(luò)從不可信源接收信息流的方便手段。使用透明模式有以下優(yōu)點：

不需要修改現(xiàn)有網(wǎng)絡(luò)規(guī)劃及配置；

不需要實施 地址翻譯；

可以允許動態(tài)路由協(xié)議、Vlan trunking的數(shù)據(jù)包通過。

四、基于向?qū)Х绞降腘AT/Route模式下的基本配置

Juniper 防火墻NAT 和路由模式的配置可以在防火墻保持出廠配置啟動后通過 Web 瀏覽器配置向?qū)瓿伞?/p>

“

注：要啟動配置向?qū)?，則必須保證防火墻設(shè)備處于出廠狀態(tài)。例如：新的從未被調(diào)試過的設(shè)備，或者經(jīng)過命令行恢復(fù)為出廠狀態(tài)的防火墻設(shè)備。

”

通過Web 瀏覽器登錄處于出廠狀態(tài)的防火墻時，防火墻的缺省管理參數(shù)如下：

缺省IP：192.168.1.1/255.255.255.0；

缺省用戶名/密碼：netscreen/ netscreen；

“

注：缺省管理IP 地址所在端口參見在前言部份講述的“Juniper 防火墻缺省管理端口和 IP地址”中查找??！

”

在配置向?qū)崿F(xiàn)防火墻應(yīng)用的同時，我們先虛擬一個防火墻設(shè)備的部署環(huán)境，之后，根據(jù)這個環(huán)境對防火墻設(shè)備進(jìn)行配置。

防火墻配置規(guī)劃：

防火墻部署 在網(wǎng)絡(luò)的Internet 出口位置，內(nèi)部網(wǎng)絡(luò)使用的 IP 地址為192.168.1.0/255.255.255.0 所在的網(wǎng)段，內(nèi)部網(wǎng)絡(luò)計算機(jī)的網(wǎng)關(guān)地址為防火墻內(nèi)網(wǎng)端口的IP 地址：192.168.1.1；

防火墻外網(wǎng)接口 IP 地址（通常情況下為公網(wǎng) IP 地址，在這里我們使用私網(wǎng) IP 地址模擬公網(wǎng) IP 地址）為：10.10.10.1/255.255.255.0，網(wǎng)關(guān)地址為：10.10.10.251

要求：

實現(xiàn)內(nèi)部訪問Internet的應(yīng)用。

“

注：在進(jìn)行防火墻設(shè)備配置前，要求正確連接防火墻的物理鏈路；調(diào)試用的計算機(jī)連接到防火墻的內(nèi)網(wǎng)端口上。

”

通過IE 或與IE 兼容的瀏覽器（推薦應(yīng)用微軟 IE 瀏覽器）使用防火墻缺省IP 地址登錄防火墻（建議：保持登錄防火墻的計算機(jī)與防火墻對應(yīng)接口處于相 同網(wǎng)段，直接相連）

使用缺省IP 登錄之后，出現(xiàn)安裝向?qū)?/p>

“

注：對于熟悉Juniper 防火墻配置的工程師，可以跳過該配置向?qū)В苯狱c選：No，skip the wizard and go straight to the WebUI management session instead，之后選擇Next，直接登錄防火墻設(shè)備的管理界面。

”

使用向?qū)渲梅阑饓Γ堉苯舆x擇：Next，彈出下面的界面：

“歡迎使用配置向?qū)А?，再選擇 Next。

“

注：進(jìn)入登錄用戶名和密碼的修改頁面，Ju niper 防火墻的登錄用戶名和密碼是可以更改的，這個用戶名和密碼的界面修改的是防火墻設(shè)備上的根用戶， 這個用戶對于防火墻設(shè)備來說具有最高的權(quán)限，需要認(rèn)真考慮和仔細(xì)配置，保存好修改后的用戶名和密碼。

”

在完成防火墻的登錄用戶名和密碼的設(shè)置之后，出現(xiàn)了一個比較關(guān)鍵的選擇，這個選擇決定了防火墻設(shè)備是工作在路由模式還是工作在 NAT 模式：

選擇 Enable NAT，則防火墻工作在 NAT 模式；

不選擇 Enable NAT，則防火墻工作在路由模式。

防火墻設(shè)備工作模式選擇，選擇：Trust-Untrust Mode 模式。這種模式是應(yīng)用最多的模式，防火墻可以被看作是只有一進(jìn)一出的部署模式。

“

注： NS-5GT防火墻作為低端設(shè)備， 為了能夠增加低端產(chǎn)品應(yīng)用的多樣性， Juniper在NS-5GT的OS 中獨立開發(fā)了幾種不同的模式應(yīng)用于不同的環(huán)境。目前，除NS-5GT 以外，Juniper其他系列防火墻不存在另外兩種模式的選擇。

”

完成了模式選擇，點擊“Next”進(jìn)行防火墻外網(wǎng)端口 IP 配置。外網(wǎng)端口 IP 配置有三個選項分別是：DHCP 自動獲取 IP 地址；通過 PPPoE 撥號獲得 IP 地址；手工設(shè)置靜態(tài)IP 地址，并配置子網(wǎng)掩碼和網(wǎng)關(guān) IP 地址。

在這里，我們選擇的是使用靜態(tài)IP 地址的方式，配置外網(wǎng)端口IP 地址為：10.10.10.1/255.255.255.0，網(wǎng)關(guān)地址為：10.10.10.251。

完成外網(wǎng)端口的IP 地址配置之后，點擊“Nex t”進(jìn)行防火墻內(nèi)網(wǎng)端口IP 配置：

在完成了上述的配置之后，防火墻的基本配置就完成了，點擊“Nex t”進(jìn)行 DHCP 服務(wù)器配置。

“

注：DHCP 服務(wù)器配置在需要防火墻在網(wǎng)絡(luò)中充當(dāng) DHCP 服務(wù)器的時候才需要配置。否則請選擇“NO”跳過。

”

“

注：上面的頁面信息顯示的是在防火墻設(shè)備上配置實現(xiàn)一個DHCP服務(wù)器功能，由防火墻設(shè)備給內(nèi)部計算機(jī)用戶自動分配IP地址，分配的地址段為：192.168.1.100-192.168.1.150 一共 51 個IP地址，在分配IP地址的同時，防火墻設(shè)備也給計算機(jī)用戶分配了DNS服務(wù)器地址，DNS用于對域名進(jìn)行解析，如：將WWW.SINA.COM.CN解析為IP地址：202.108.33.32。如果計算機(jī)不能獲得或設(shè)置DNS服務(wù)器地址，無法訪問互聯(lián)網(wǎng)。

”

完成DHCP 服務(wù)器選項設(shè)置，點擊“Nex t”會彈出之前設(shè)置的匯總信息：

確認(rèn)配置沒有問題，點擊“Next”會彈出提示“Finish”配置對話框：

在該界面中，點選：Finish 之后，該Web 頁面會被關(guān)閉，配置完成。

此時防火墻對來自內(nèi)網(wǎng)到外網(wǎng)的訪問啟用基于端口地址的NAT，同時防火墻設(shè)備會自動在策略列表部分生成一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略：

策略：策略方向由Tru st 到Untru st，源地址：ANY，目標(biāo)地址：ANY，網(wǎng)絡(luò)服務(wù)內(nèi)容：ANY；

策略作用：允許來自內(nèi)網(wǎng)的任意IP 地址穿過防火墻訪問外網(wǎng)的任意地址。

重新開啟一個IE 頁面，并在地址欄中輸入防火墻的內(nèi)網(wǎng)端口地址，確定后，出現(xiàn)下圖中的登錄界面。輸入正確的用戶名和密碼，登錄到防火墻之后，可以對防火墻的現(xiàn)有配置進(jìn)行修改。

總結(jié):上述就是使用Web 瀏覽器通過配置向?qū)瓿傻姆阑饓AT 或路由模式的應(yīng)用。通過配置向?qū)?，可以在不熟悉防火墻設(shè)備的情況下，配置簡單環(huán)境的防火墻應(yīng)用。

五、基于非向?qū)Х绞降腘AT/Rou te模式下的基本配置

基于非向?qū)Х绞降腘AT 和Rou te 模式的配置建議首先使用命令行開始，最好通過控制臺的方式連接防火墻，這個管理方式不受接口IP 地址的影響。

“

注：在設(shè)備缺省的情況下，防火墻的信任區(qū)（Tru st Zone）所在的端口是工作在NAT 模式，其它安全區(qū)所在的端口是工作在路由模式的。

”

基于命令行方式的防火墻設(shè)備部署的配置如下（網(wǎng)絡(luò)環(huán)境同上一章節(jié)所講述的環(huán)境） ：

5.1 NS-5GT NAT/Rou te模式下的基本配置

“

注：NS-5GT 設(shè)備的物理接口名稱叫做trust 和untrust；缺省Zone 包括：trust 和untrust，注意和接口區(qū)分開。

”

① Unset interface trust ip （清除防火墻內(nèi)網(wǎng)端口的IP 地址） ；

② Set interface trust zone trust（將內(nèi)網(wǎng)端口分配到 trust zone） ；

③ Set interface trust ip 1后再定義IP 地址） ；

④ Set interface untrust zone untrust（將外網(wǎng)口分配到 untrust zone）；

⑤ Set interface untrust ip 10.10.10.1/24 （設(shè)置外網(wǎng)口的IP 地址） ；

⑥ Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251（設(shè)置防火墻對外的缺省路由網(wǎng)關(guān)地址） ；

⑦ Set policy from trust to untrust any any any permit log（定義一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略。

策略的方向是：由zone trust 到 zone untrust， 源地址為：any，目標(biāo)地址為：any，網(wǎng)絡(luò)服務(wù)為：any，策略動作為：permit 允許，log：開啟日志記錄） ；

⑧ Save （保存上述的配置文件） 。

5.2 NS-25-208 NAT/Rou te模式下的基本配置

① Unset interface ethernet1 ip（清除防火墻內(nèi)網(wǎng)口缺省 IP 地址） ；

② Set interface ethernet1 zone trust（將 ethernet1 端口分配到trust zone） ；

③ Set interface ethernet1 ip 192.168.1.1/24（定義ethernet1 端口的IP 地址） ；

④ Set interface ethernet3 zone untrust（將 ethernet3 端口分配到untrust zone） ；

⑤ Set interface ethernet3 ip 10.10.10.1/24（定義ethernet3 端口的IP 地址） ；

⑥ Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251 （定義防火墻對外的缺省路由網(wǎng)關(guān)） ；

⑦ Set policy from trust to untrust any any any permit log（定義由內(nèi)網(wǎng)到外網(wǎng)的訪問控制策略） ；

⑧ Save （保存上述的配置文件）

“

注：上述是在命令行的方式上實現(xiàn)的NAT 模式的配置，因為防火墻出廠時在內(nèi)網(wǎng)端口（trustzone 所屬的端口）上啟用了NAT，所以一般不用特別設(shè)置，但是其它的端口則工作在路由模式下，例如：untrust 和DMZ 區(qū)的端口。

”

如果需要將端口從路由模式修改為NAT 模式，則可以按照如下的命令行進(jìn)行修改：

① Set interface ethernet2 NAT （設(shè)置端口2 為NAT 模式）

② Save

總結(jié)：

① NAT/Rou te 模式做防火墻部署的主要模式，通常是在一臺防火墻上兩種模式混合進(jìn)行（除非防火墻完全是在內(nèi)網(wǎng)應(yīng)用部署，不需要做 NAT-地址轉(zhuǎn)換，這種情況下防火墻所有端口都處于Rou te 模式，防火墻首先作為一臺路由器進(jìn)行部署） ；

② 關(guān)于配置舉例，NS-5GT 由于設(shè)備設(shè)計上的特殊性，因此專門列舉加以說明；Ju niper在2006 年全新推出的SSG 系列防火墻，除了端口命名不一樣，和NS-25 等設(shè)備管理配置方式一樣。

5.3 基于非向?qū)Х绞降耐?明模式下的基本 配置

實現(xiàn)透明模式配置建議采用命令行的方式，因為采 用Web 的方式實現(xiàn)時相 對命令行的方式麻煩 。通過 控制臺連 接 防火墻的控制口，登錄命令行管理界面 ，通過如下命令及 步 驟 進(jìn)行二層 透 明模式的配置：

① Unset interface ethernet1 ip （將以太 網(wǎng)1 端口上的默 認(rèn) IP 地址刪 除） ；

②Setinterfaceethernet1zonev1-trust（將以太網(wǎng)1端口分配到v1-trustzone：基于二層的安全區(qū)，端口設(shè)置為該安全區(qū)后，則端口工作在二層模式，并且不能在該端口上配置IP地址）；

③Setinterfaceethernet2zonev1-dmz（將以太網(wǎng)2端口分配到v1-dmzzone）；

④Setinterfaceethernet3zonev1-untrust（將以太網(wǎng)3端口分配到v1-untrustzone）；

⑤Setinterfacevlan1ip192.168.1.1/24（設(shè)置VLAN1的IP地址為：192.168.1.1/255.255.255.0，該地址作為防火墻管理IP地址使用）；

⑥Setpolicyfromv1-trusttov1-untrustanyanyanypermitlog（設(shè)置一條由內(nèi)網(wǎng)到外網(wǎng)的訪問策略）；

⑦Save（保存當(dāng)前的配置）；

總結(jié)：

①帶有V1-字樣的zone為基于透明模式的安全區(qū)，在進(jìn)行透明模式的應(yīng)用時，至少要保證兩個端口的安全區(qū)工作在二層模式；

②雖然Juniper防火墻可以在某些特殊版本工作在混合模式下（二層模式和三層模式的混合應(yīng)用），但是通常情況下，建議盡量使防火墻工作在一種模式下（三層模式可以混用：NAT和路由）。

審核編輯：劉清