- 1、本文档共275页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Juniper防火墙配置手册2007-11目录目录2第一章:Juniper 防火墙基本原理4一,安全区段:4二,安全区段接口5三,创建二级IP 地址12四,接口状态更改13五,接口透明模式15六,接口NAT 模式20七,接口路由模式25八,地址组30九,服务32十,动态IP 池32十一,策略43十二,系统参数641,域名系统支持642,DNS 查找643,动态主机配置协议704,以太网点对点协议825,现有设备或新设备添加防病毒、Web 过滤、反垃圾邮件和深入检查876,系统时钟87第二章:Juniper 防火墙管理91一,通过 Web 用户界面进行管理91二,通过命令行界面进行管理95三,通过NetScreen-Security Manager 进行管理96四,设置管理接口选项100五,管理的级别103六,日志信息110第三章:Juniper 防火墙路由1381,静态路由1382,OSPF144第四章:Juniper 防火墙NAT150一,基于策略的转换选项150二,NAT-Dst— 一对一映射161三, NAT-Dst— 一对多映射163四,NAT-Dst— 多对一映射166五,NAT-Dst— 多对多映射168六,带有端口映射的NAT-Dst170七,同一策略中的 NAT-Src 和 NAT-Dst173八,Untrust 区段上的MIP183九,虚拟IP 地址190第五章:Juniper 防火墙VPN197一,站点到站点的虚拟专用网1971,站点到站点 VPN 配置1972,基于路由的站点到站点VPN,自动密钥IKE2023,基于路由的站点到站点VPN,动态对等方2094,基于策略的站点到站点VPN,动态对等方2175,基于路由的站点到站点VPN,手动密钥2246,基于策略的站点到站点VPN,手动密钥230二,拨号虚拟专用网2351,基于策略的拨号VPN,自动密钥IKE2352,基于路由的拨号VPN,动态对等方240基于策略的拨号VPN,动态对等方246用于拨号VPN 用户的双向策略251第六章:Juniper 防火墙攻击检测与防御256一,Juniper中低端防火墙的UTM功能配置2561,Profile的设置2572,防病毒profile在安全策略中的引用259二,防垃圾邮件功能的设置2611,Action 设置2612,White List与Black List的设置2613,防垃圾邮件功能的引用263三,WEB/URL过滤功能的设置2631转发URL过滤请求到外置URL过滤服务器2632,使用内置的URL过滤引擎进行URL过滤2653,手动添加过滤项266四,深层检测功能的设置2681,设置DI攻击特征库自动更新2692,深层检测(DI)的引用270第一章:Juniper 防火墙基本原理一,安全区段:概念:安全区段是由一个或多个网段组成的集合,需要通过策略来对入站和出站信息流进行调整。安全区段是绑定了一个或多个接口的逻辑实体。通过多种类型的Juniper Networks 安全设备,您可以定义多个安全区段,确切数目可根据网络需要来确定。除用户定义的区段外,您还可以使用预定义的区段:Trust、Untrust 和DMZ (用于第3 层操作),或者V1-Trust、V1-Untrust 和V1-DMZ( 用于第2 层操作)。如果愿意,可以继续使用这些预定义区段。也可以忽略预定义区段而只使用用户定义的区段。另外,您还可以同时使用这两种区段- 预定义和用户定义。利用区段配置的这种灵活性,您可以创建能够最好地满足您的具体需要的网络设计。功能区段共有五个功能区段,分别是Null、MGT、HA、Self 和VLAN。每个区段的存在都有其专门的目的,如以下小节所述。Null 区段此区段用于临时存储没有绑定到任何其它区段的接口。MGT 区段此区段是带外管理接口MGT 的宿主区段。可以在此区段上设置防火墙选项以保护管理接口,使其免受不同类型的攻击。HA 区段此区段是高可用性接口HA1 和HA2 的宿主区段。尽管可以为HA 区段设置接口,但是此区段本身是不可配置的。Self 区段此区段是远程管理连接接口的宿主区段。当您通过HTTP、SCS 或Telnet 连接到安全设备时,就会连接到Self 区段。VLAN 区段此区段是VLAN1 接口的宿主区段,可用于管理设备,并在设备处于“透明”模式时终止VPN 信息流,也可在此区段上设置防火墙选项以保护VLAN1 接口,使其免受各种攻击。设置端口模式通过WebUI 或CLI 更改安全设备上的端口模式设置。设置端口模式之前,请注意以下方面:???更改端口模式会删除设备上任何现有的配置,并要求系统重置。???发布unset all CLI 命令不影响设备上的端口模式设置。例如,如果要将端口模式设置
文档评论(0)