Upload File

concepts & examples screenos reference guide: all parts combined

  • Home
  • Documents
  • Concepts & Examples ScreenOS Reference Guide: All parts combined
2260
Concepts & Examples ScreenOS Reference Guide Release 6.3.0, Rev. 02 Published: 2012-12-10 Revision 02 Copyright © 2012, Juniper Networks, Inc.

Upload: lylien

Post on 09-Dec-2016

236 views

Category:

Documents


0 download

Report

TRANSCRIPT

Concepts & Examples ScreenOS Reference GuideRelease
Copyright © 2012, Juniper Networks, Inc.
Juniper Networks, Inc. CA 94089 1194 North Mathilda Avenue Sunnyvale , USA 408-745-2000
Juniper Networks, Junos, Steel-Belted Radius, NetScreen, and ScreenOS are registered trademarks of Juniper Networks, Inc. in the United States and other countries. JunosE is a trademark of Juniper Networks, Inc. All other trademarks, service marks, registered trademarks, or registered service marks are the property of their respective owners. Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice. Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that are owned by or licensed to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347, 6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785. Copyright © 2009, Juniper Networks, Inc. All rights reserved.
Revision History December 2012—Revision 02
Content subject to change. The information in this document is current as of the date listed in the revision history.
SOFTWARE LICENSE
The terms and conditions for using this software are described in the software license contained in the acknowledgment to your purchase order or, to the extent applicable, to any reseller agreement or end-user purchase agreement executed between you and Juniper Networks. By using this software, you indicate that you understand and agree to be bound by those terms and conditions.
Generally speaking, the software license restricts the manner in which you are permitted to use the software and may contain prohibitions against certain uses. The software license may state conditions under which the license is automatically terminated. You should consult the license for further details.
For complete product documentation, please see the Juniper Networks Website atwww.juniper.net/techpubs.
ENDUSER LICENSE AGREEMENT
The Juniper Networks product that is the subject of this technical documentation consists of (or is intended for use with) Juniper Networks software. Use of such software is subject to the terms and conditions of the End User License Agreement (“EULA”) posted at
http://www.juniper.net/support/eula.html. By downloading, installing or using such software, you agree to the terms and conditions of that EULA.
Copyright © 2012, Juniper Networks, Inc.ii
Chapter 1 About the Concepts & Examples ScreenOS Reference Guide . . . . . . . . . . . . 3
Part 2 Fundamentals
Chapter 3 Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Chapter 4 Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Chapter 6 Building Blocks for Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Chapter 7 Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Part 3 Administration
Part 4 Attack Detection and Defense Mechanisms
Chapter 12 Protecting a Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Chapter 13 Reconnaissance Deterrence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Chapter 14 Denial of Service Attack Defenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Chapter 15 Content Monitoring and Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Chapter 16 Deep Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
Chapter 17 Intrusion Detection and Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
Chapter 18 Suspicious Packet Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657
Part 5 Virtual Private Networks
Chapter 19 Internet Protocol Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
Chapter 20 Public Key Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699
Chapter 21 Virtual Private Network Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 725
Chapter 22 Site-to-Site Virtual Private Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755
Chapter 23 Dialup Virtual Private Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833
Chapter 24 Layer 2 Tunneling Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 877
iiiCopyright © 2012, Juniper Networks, Inc.
Chapter 25 Advanced Virtual Private Network Features . . . . . . . . . . . . . . . . . . . . . . . . . 905
Chapter 26 AutoConnect-Virtual Private Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 995
Part 6 Voice-over-Internet Protocol
Chapter 28 Session Initiation Protocol Application Layer Gateway . . . . . . . . . . . . . . . 1037
Chapter 29 Media Gateway Control Protocol Application Layer Gateway . . . . . . . . . 1087
Chapter 30 Skinny Client Control Protocol Application Layer Gateway . . . . . . . . . . . . 1101
Chapter 31 Apple iChat Application Layer Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1129
Part 7 Routing
Chapter 33 Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1157
Chapter 35 Routing Information Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1225
Chapter 36 Border Gateway Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1253
Chapter 37 Policy-Based Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1287
Chapter 38 Multicast Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1303
Chapter 39 Internet Group Management Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1311
Chapter 40 Protocol Independent Multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1335
Chapter 41 ICMP Router Discovery Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1367
Part 8 Address Translation
Chapter 43 Source Network Address Translation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1387
Chapter 44 Destination Network Address Translation . . . . . . . . . . . . . . . . . . . . . . . . . . 1401
Chapter 45 Mapped and Virtual Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1435
Part 9 User Authentication
Chapter 46 Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1463
Chapter 50 IKE, XAuth, and L2TP Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1533
Chapter 51 Extensible Authentication for Wireless and Ethernet Interfaces . . . . . . . 1555
Part 10 Virtual Systems
Chapter 54 VLAN-Based Traffic Classification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1613
Copyright © 2012, Juniper Networks, Inc.iv
Concepts & Examples ScreenOS Reference Guide
Chapter 55 IP-Based Traffic Classification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1643
Part 11 High Availability
Chapter 57 Interface Redundancy and Failover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1701
Part 12 WAN, DSL, Dial, andWireless
Chapter 58 Wide Area Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1751
Chapter 59 Digital Subscriber Line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1823
Chapter 60 ISP Failover and Dial Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1865
Chapter 61 Wireless Local Area Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1871
Part 13 General Packet Radio Service
Chapter 62 GPRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1917
Chapter 63 Internet Protocol Version 6 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . 1955
Chapter 64 IPv6 Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1963
Chapter 65 Connection and Network Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1987
Chapter 66 Static and Dynamic Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2005
Chapter 67 Address Translation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2033
Chapter 68 IPv6 in an IPv4 Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2047
Chapter 69 IPsec Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2059
Chapter 70 IPv6 XAuth User Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2079
Part 15 Appendixes
Appendix B Wireless Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2119
Appendix C Switching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2129
Abbreviated Table of Contents
Table of Contents
Part 1 Overview
Chapter 1 About the Concepts & Examples ScreenOS Reference Guide . . . . . . . . . . . . 3
Part Organization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Document Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Naming Conventions and Character Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Illustration Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Document Feedback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Part 2 Fundamentals
Security Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Chapter 3 Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Viewing Preconfigured Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Creating a Zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Binding an Interface to a Security Zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Addressing an L3 Security Zone Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Public IP Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Private IP Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Addressing an Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Modifying Interface Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Configuring an IP Tracking Backup Interface . . . . . . . . . . . . . . . . . . . . . . 64
Configuring a Tunnel-if Backup Interface . . . . . . . . . . . . . . . . . . . . . . . . . 65
Configuring a Route Monitoring Backup Interface . . . . . . . . . . . . . . . . . . 69
Loopback Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Table of Contents
Chapter 5 Interface Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Transparent Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Zone Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
VLAN Zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Traffic Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Configuring Transparent Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Interface Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Editing an Address Group Entry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Removing a Member and a Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Internet-Related Predefined Services . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Dynamic Routing Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Copyright © 2012, Juniper Networks, Inc.x
Concepts & Examples ScreenOS Reference Guide
Security and Tunnel Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
IP-Related Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Service Timeout Configuration and Lookup . . . . . . . . . . . . . . . . . . . . . . 138
Contingencies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Sun Remote Procedure Call Application Layer Gateway . . . . . . . . . . . . . . . . 142
Typical RPC Call Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Customizing Sun RPC Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Customizing Microsoft Remote Procedure Call Application Layer
Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Dual-Stack Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Stream Control Transmission Protocol Application Layer Gateway . . . . . . . 153
SCTP Protocol Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Configuring the PPTP ALG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Service Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Table of Contents
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
WebUI (Branch Office A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
WebUI (Branch Office B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
CLI (Branch Office A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
CLI (Branch Office B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Using a DIP on a Loopback Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Interzone Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Intrazone Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Global Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Session Limiting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Source Network Address Translation . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Copyright © 2012, Juniper Networks, Inc.xii
Concepts & Examples ScreenOS Reference Guide
Destination Network Address Translation . . . . . . . . . . . . . . . . . . . . . . . 190
No Hardware Session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Creating Intrazone Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Multiple Items per Policy Component . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Managing Bandwidth at the Policy Level . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Setting Traffic Shaping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Setting Priority Queuing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Interface-Level Traffic Shaping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Policy-Level Traffic Shaping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Table of Contents
Packet Flow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
WebUI (Configuration for Device1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
CLI (Configuration for the Device1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
WebUI (Configuration for Device2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
CLI (Configuration for the Device2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Example: Policy-Based VPN with Ingress Policing . . . . . . . . . . . . . . . . . . . . 230
WebUI (Configuration for Device1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
CLI (Configuration for Device1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
WebUI (Configuration for Device2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
CLI (Configuration for Device2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Traffic Shaping Using a Loopback Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
DSCP Marking and Shaping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
Enabling Differentiated Services Code Point . . . . . . . . . . . . . . . . . . . . . . . . . 234
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
DSCP Marking Based on Policy Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Chapter 9 System Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Domain Name System Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
DNS Lookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Setting Up DDNS for a Dynamic DNS Server . . . . . . . . . . . . . . . . . . . . . 248
Setting Up DDNS for a DDO Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Proxy DNS Address Splitting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Assigning a Security Device as a DHCP Relay Agent . . . . . . . . . . . . . . . . . . . 258
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Setting DHCP Message Relay in Virtual Systems . . . . . . . . . . . . . . . . . . . . . . . . . 269
Point-to-Point Protocol over Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Setting Up PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
License Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Trial Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
Updating Subscription Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
Adding Antivirus, Web Filtering, Antispam, and Deep Inspection to an Existing
or a New Device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
System Clock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Configuring a Backup NTP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Device as an NTP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Maximum Time Adjustment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Table of Contents
NTP and NSRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
Setting a Maximum Time Adjustment Value to an NTP Server . . . . . . . 284
Securing NTP Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
Power-On Self-Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
Self-Test After Key Generation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
Periodic Self-Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
WebUI Help . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
HyperText Transfer Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
Management with the Command Line Interface . . . . . . . . . . . . . . . . . . . . . . . . . 299
Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
SSH and Vsys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
Secure Copy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Modem Port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
Initiating Connectivity Between NSM Agent and the MGT System . . . . . . . . 313
Enabling, Disabling, and Unsetting NSM Agent . . . . . . . . . . . . . . . . . . . . . . . 314
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Setting the Primary Server IP Address of the Management System . . . . . . . 315
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Retrieving the Configuration Timestamp . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Example: Administration Through the MGT Interface . . . . . . . . . . . . . . 320
Example: Administration Through the VLAN1 Interface . . . . . . . . . . . . . 320
Setting Administrative Interface Options . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Defining Admin Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Table of Contents
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Changing the Admin Login Name and Password . . . . . . . . . . . . . . . . . . . . . 330
Example: Changing an Admin User’s Login Name and Password . . . . . 331
Example: Changing Your Own Password . . . . . . . . . . . . . . . . . . . . . . . . 332
Setting the Minimum Length of the Root Admin Password . . . . . . . . . . 332
Resetting the Device to the Factory Default Settings . . . . . . . . . . . . . . . . . . 333
Restricting Administrative Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Example: Restricting Administration to a Subnet . . . . . . . . . . . . . . . . . 334
Restricting the Root Admin to Console Access . . . . . . . . . . . . . . . . . . . 334
Monitoring Admin access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
Administration Through a Route-Based Manual Key VPN Tunnel . . . . . 337
Administration Through a Policy-Based Manual Key VPN Tunnel . . . . 340
Password Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
Recovering from a Rejected Default Admin Password . . . . . . . . . . . . . . . . . 345
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
Chapter 11 Monitoring Security Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
Storing Log Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
Viewing the Event Log by Severity Level and Keyword . . . . . . . . . . . . . . . . . 349
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Example: Downloading the Entire Event Log . . . . . . . . . . . . . . . . . . . . . . 351
Example: Downloading the Event Log for Critical Events . . . . . . . . . . . . 351
Traffic Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
Enabling Security Alarms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Example: Configuring a Device to Trigger a Potential-Violation
Alarm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Table of Contents
Configuring Exclude Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Example: Setting an Exclude Rule to Exclude an Event for the Audit
Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
WebTrends . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
SNMPv1 and SNMPv2c Implementation Overview . . . . . . . . . . . . . . . . . . . . 374
SNMPv3 Implementation Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Example: Self-Generated Traffic Through a Route-Based Tunnel . . . . . . . . 382
WebUI (Device-A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
CLI (Device-A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
WebUI (Device-B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
CLI (Device-B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
WebUI (Device-A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
CLI (Device-A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
WebUI (Device-B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
CLI (Device-B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Chapter 12 Protecting a Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Stages of an Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Detection and Defense Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Exploit Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
IP Address Sweep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
IP Source Route Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Firewall DoS Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Session Table Flood . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Example: Source-Based Session Limiting . . . . . . . . . . . . . . . . . . . . . . . 435
Example: Destination-Based Session Limiting . . . . . . . . . . . . . . . . . . . 436
Aggressive Aging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
CPU Protection with Blacklisting DoS Attack Traffic . . . . . . . . . . . . . . . 438
Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Table of Contents
Fragment Reassembly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Antivirus Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
Internal AV Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
IM Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470
IM Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
IM Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
IM Security Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Scanning Chat Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Scanning File Transfers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
AV Scanning Results . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
Policy-Based AV Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Scanning Application Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Scanning FTP Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Scanning HTTP Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
Scanning SMTP Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
Updating the AV Pattern Files for the Embedded Scanner . . . . . . . . . . . . . . 485
Subscribing to the AV Signature Service . . . . . . . . . . . . . . . . . . . . . . . . 485
Updating AV Patterns from a Server Updating AV Patterns from a
Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
Updating AV Patterns from a Proxy Server Updating AV Patterns from
a Proxy Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488
AV Resource Allotment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
Maximum Content Size and Maximum Messages (Internal AV Only) . . 491
HTTP Keep-Alive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
AV Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Initiating an AV Profile for Internal AV . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Example: (Internal AV) Scanning for All Traffic Types . . . . . . . . . . . . . . 495
Example: AV Scanning for SMTP and HTTP Traffic Only . . . . . . . . . . . 496
AV Profile Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
Defining a Blacklist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Defining a Whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
Enabling a Spam-Blocking List Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
Testing Antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
Web Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
Integrated Web Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
Table of Contents
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
Predefined Signature Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529
Updating Signature Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
Immediate Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
Automatic Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
Manual Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
Attack Objects and Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
Supported Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
Stateful Signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
Example 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Example 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Example 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Attack Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
Mapping Custom Services to Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
Example: Mapping an Application to a Custom Service . . . . . . . . . . . . . . . . 558
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561
Regular Expressions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562
TCP Stream Signature Attack Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566
Example: User-Defined Stream Signature Attack Object . . . . . . . . . . . 567
Configurable Protocol Anomaly Parameters . . . . . . . . . . . . . . . . . . . . . . . . . 568
Example: Modifying Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
ActiveX Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
Java Applets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
EXE Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
ZIP Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
Chapter 17 Intrusion Detection and Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
IDP-Capable Security Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
Configuring Intrusion Detection and Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . 581
Preconfiguration Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581
Example 2: Configuring IDP for Active/Passive Failover . . . . . . . . . . . . . . . . 584
Example 3: Configuring IDP for Active/Active Failover . . . . . . . . . . . . . . . . . 586
Configuring Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
About Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
Managing Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
Installing Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
Using IDP Rulebases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
Using Security Policy Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
Enabling IDP in Firewall Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
Enabling IDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592
xxvCopyright © 2012, Juniper Networks, Inc.
Table of Contents
Matching Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597
Source and Destination Address Objects . . . . . . . . . . . . . . . . . . . . . . . . 598
Example: Setting Source and Destination . . . . . . . . . . . . . . . . . . . . . . . 598
Example: Setting Multiple Sources and Destinations . . . . . . . . . . . . . . 599
User Role . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599
Terminal Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
Defining Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605
Adding Attack Objects by Category . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
Example: Adding Attack Objects by Service . . . . . . . . . . . . . . . . . . . . . . 607
Adding Attack Objects by Operating System . . . . . . . . . . . . . . . . . . . . . 607
Adding Attack Objects by Severity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
Setting IP Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
Setting Logging Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
Setting Timeout Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
Defining a Match . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614
Source and Destination Address Objects . . . . . . . . . . . . . . . . . . . . . . . . 615
Example: Exempting a Source/Destination Pair . . . . . . . . . . . . . . . . . . . 615
Setting Attack Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
Setting Targets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
Entering Comments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
Copyright © 2012, Juniper Networks, Inc.xxvi
Concepts & Examples ScreenOS Reference Guide
Configuring Backdoor Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617
Defining a Match . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
Source and Destination Address Objects . . . . . . . . . . . . . . . . . . . . . . . . 621
Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
About IDP Attack Object Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
Signature Attack Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
Compound Attack Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
Viewing Predefined Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625
Viewing Predefined Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626
Creating a Compound Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 635
Editing a Custom Attack Object . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638
Deleting a Custom Attack Object . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638
Creating Custom IDP Attack Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638
Configuring Static Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638
Configuring Dynamic Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
Updating Dynamic Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642
Configuring the Device as a Standalone IDP Device . . . . . . . . . . . . . . . . . . . . . . 643
Enabling IDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643
Configuring Role-Based Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
Managing IDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647
Viewing IDP Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650
Table of Contents
ISG-IDP Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650
CPU Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
Event Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654
ICMP Fragments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657
Chapter 19 Internet Protocol Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
Introduction to Virtual Private Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
IPsec Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 668
Tunnel Negotiation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675
Phase 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675
Diffie-Hellman Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 677
IKE Packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679
IPsec Packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682
Example: Configuring an IKEv2 Gateway . . . . . . . . . . . . . . . . . . . . . . . . 690
Authentication Using Extensible Authentication Protocol . . . . . . . . . . 694
IKEv2 EAP Passthrough . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695
Signing a Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699
Elliptic Curve Digital Signature Algorithm . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701
Certificates and CRLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712
Specifying a Certificate Revocation Check Method . . . . . . . . . . . . . . . . . . . . 715
Viewing Status Check Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
Specifying an Online Certificate Status Protocol Responder URL . . . . . . . . . 715
Removing Status Check Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
xxixCopyright © 2012, Juniper Networks, Inc.
Table of Contents
Self-Signed Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716
Certificate Validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717
Setting an Admin-Defined Self-Signed Certificate . . . . . . . . . . . . . . . . . . . . 719
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721
Cryptographic Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 725
Addendum: Policy-Based VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745
Tunnel Configuration Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746
Null Route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 748
VPN Failover to Leased Line or Null Route . . . . . . . . . . . . . . . . . . . . . . . . . . . 750
WebUI (Device A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751
CLI (Device A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 752
Decoy Tunnel Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753
Reroute to Another Tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754
Chapter 22 Site-to-Site Virtual Private Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755
Site-to-Site VPN Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755
WebUI (Tokyo) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762
WebUI (Paris) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765
CLI (Tokyo) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767
CLI (Paris) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768
WebUI (Tokyo) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770
WebUI (Paris) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772
CLI (Tokyo) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
CLI (Paris) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
WebUI (Tokyo) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776
WebUI (Paris) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
CLI (Tokyo) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
CLI (Paris) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 782
WebUI (Device A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784
WebUI (Device B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787
CLI (Device A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789
CLI (Device B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 790
Route-Based Site-to-Site VPN, Manual Key . . . . . . . . . . . . . . . . . . . . . . . . . . 791
WebUI (Tokyo) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792
WebUI (Paris) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 794
CLI (Tokyo) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796
CLI (Paris) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796
WebUI (Tokyo) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798
WebUI (Paris) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799
CLI (Tokyo) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 800
CLI (Paris) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801
Aliases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802
WebUI (Tokyo) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 804
WebUI (Paris) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 807
CLI (Tokyo) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 809
CLI (Paris) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810
WebUI (Device A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815
WebUI (Device B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818
CLI (Device A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 821
CLI (Device B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 821
Transparent Mode VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 822
WebUI (Device A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 824
WebUI (Device B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826
CLI (Device A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828
CLI (Device B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828
Gateway - 1 Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 830
Dialup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837
Route-Based Dialup VPN, Dynamic Peer . . . . . . . . . . . . . . . . . . . . . . . . . . . 839
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 840
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 843
NetScreen-Remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 844
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 848
NetScreen-Remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 852
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 854
Table of Contents
Group IKE ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 855
Wildcard and Container ASN1-DN IKE ID Types . . . . . . . . . . . . . . . . . . . . . . 857
Creating a Group IKE ID (Certificates) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 860
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 861
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863
Setting a Group IKE ID with Preshared Keys . . . . . . . . . . . . . . . . . . . . . . . . . 865
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 868
Shared IKE ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 870
Chapter 24 Layer 2 Tunneling Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 877
Introduction to L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 877
Encapsulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880
Decapsulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880
Configuring an IPsec Tunnel to Secure Management Traffic . . . . . . . . . . . . 896
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 897
NAT-Traversal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 905
UDP Checksum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 910
Initiator/Responder Symmetry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 911
Enabling NAT-Traversal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 913
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 914
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 914
Source Interface and Destination Address . . . . . . . . . . . . . . . . . . . . . . . . . . . 917
Policy Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 918
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 918
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 919
Multiple Tunnels per Tunnel Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 927
Route-to-Tunnel Mapping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 928
Manual Table Entries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 930
Automatic Table Entries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931
Setting VPNs on a Tunnel Interface to Overlapping Subnets . . . . . . . . 932
Binding Automatic Route and NHTB Table Entries . . . . . . . . . . . . . . . . 949
Using OSPF for Automatic Route Table Entries . . . . . . . . . . . . . . . . . . . 960
Multiple Proxy IDs on a Route-Based VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 962
WebUI (Device A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 963
CLI (Device A) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 964
WebUI (Device B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 964
CLI (Device B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 965
Redundant VPN Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 966
Table of Contents
NAT-T IKE and IPsec Passthrough Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . 992
Non-NAT-T IKE and IPsec Passthrough Traffic . . . . . . . . . . . . . . . . . . . . . . . 993
Chapter 26 AutoConnect-Virtual Private Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 995
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 995
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1001
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1025
Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1026
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1026
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1027
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1028
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1028
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1029
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1031
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1032
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1033
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1034
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1036
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1037
Pinhole Creation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1043
Example: Signaling-Inactivity and Media-Inactivity Timeouts . . . . . . 1045
Example: UDP Flooding Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1046
Example: SIP Connection Maximum . . . . . . . . . . . . . . . . . . . . . . . . . . 1046
SIP with Network Address Translation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1047
Outgoing Calls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1048
Incoming Calls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1048
Forwarded Calls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1048
Call Termination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1049
Example: Incoming Call (Interface DIP) . . . . . . . . . . . . . . . . . . . . . . . . 1056
Example: Incoming Call (DIP Pool) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1058
Example: Incoming Call with MIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1060
Example: Proxy in the Private Zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1062
xxxvCopyright © 2012, Juniper Networks, Inc.
Table of Contents
Example: Untrust Intrazone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1070
Example: Trust Intrazone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1073
Chapter 29 Media Gateway Control Protocol Application Layer Gateway . . . . . . . . . 1087
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1087
Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1093
Media Gateway in Subscribers’ Homes—Call Agent at the ISP . . . . . . . . . . 1093
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1094
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1095
Chapter 30 Skinny Client Control Protocol Application Layer Gateway . . . . . . . . . . . . 1101
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1101
SCCP Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1106
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1108
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1109
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1110
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1111
Example: Three-Zone, Call Manager/TFTP Server in the DMZ . . . . . . . . . . . 1112
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1112
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1114
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1115
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1117
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1119
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1120
WebUI (for Central) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1121
CLI (for Central) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1123
Chapter 31 Apple iChat Application Layer Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1129
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1129
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1130
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1130
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1131
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1131
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1131
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1131
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1132
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1134
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1136
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1138
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1139
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1141
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1145
When to Configure Static Routes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1147
Configuring Static Routes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1148
Setting Static Routes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1148
Adding Descriptions to Static Routes . . . . . . . . . . . . . . . . . . . . . . . . . . . 1152
xxxviiCopyright © 2012, Juniper Networks, Inc.
Table of Contents
Preventing Route Lookup in Other Routing Tables . . . . . . . . . . . . . . . . . . . . 1154
Preventing Tunnel Traffic from Being Sent on Non-Tunnel Interfaces . . . . . 1155
Preventing Loops Created by Summarized Routes . . . . . . . . . . . . . . . . . . . . 1155
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1155
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1155
Chapter 33 Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1157
Destination-Based Routing Table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1159
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1165
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1165
Modifying Virtual Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1166
WebUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1167
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Juniper’s ScreenOS - Hovav · Changed constants in an H.D. Moore diff 5AC635D8AA3A93E7B3EBBD55769886BC651D06B0CC53B0F63BCE3C3E27D2604B 6B17D1F2E12C4247F8BCE6E563A440F277037D812DEB33A0F4A13945D898C296

Comparing and Contrasting Check Point NGX with Juniper ScreenOS Firewalls Yasushi Kono

ScreenOS Wide Area Network Interfaces and … · ScreenOS Wide Area Network Interfaces and Protocols Reference ... SSG Device ... bert-test

What's New In ScreenOS 3.0? -

Concepts & Examples ScreenOS Reference Guide: Part 2

Juniper Networks ScreenOS Release Notes - gold.nvc.co.jp · PDF fileInternet Protocol Version 6 ... ISG 2000-IDP, and NetScreen-5000 ... Firefox Browser Support—The ScreenOS 6.2.0

ScreenOS Message Log Reference Guide

MIGRATION FROM SCREENOS TO JUNOS based firewall

ScreenOS Reference Guide - Psychology & · PDF fileScreenOS Reference Guide Volume 5: VPNs ScreenOS 5.1.0 ... Chapter 1 IPSec ... • Site-to-site VPNs • Dialup VPNs

ScreenOS CLI Reference Guide: IPv4 Command Descriptionssup.xenya.si/sup/info/Juniper/SSG/ScreenOS_V6.1.0... · ScreenOS CLI Reference Guide: IPv4 Command Descriptions 12 Document

NetScreen Wireless Reference Guidesup.xenya.si/sup/info/Juniper/ScreenOS_5.4.0/DocCD_files/Hardware/W… · NetScreen Concepts & Examples ScreenOS Reference Guide. WLAN 192.168.2.0/24

Discussion Examples for Sequential and Combined IFM -RUC

8th workshop “ Combined analysis examples using X-Ray

Release Notes ScreenOS 6.0.0r5 Rev 02

ScreenOS Reference Guide: IPv4 Command … log .....433 Chapter69 mac.....445

Concepts & Examples ScreenOS Reference Guide Vol. 8 - Address Translation - Release 6.2.0, Rev. 02

Combined prevention programs within criminal justice systems – examples from Malaysia

ScreenOS VPN With Overlapping Subnets

ScreenOS 6.1 Concepts & Examples

ScreenOS 6.0.0 Release Notes

ScreenOS Idp policy creation en

Juniper Networks ScreenOS Release Notessup.xenya.si/sup/info/Juniper/SSG/ScreenOS_V6.2.0/Release Notes... · Juniper Networks ScreenOS Release Notes Release 6.2.0 ... ISG 2000-IDP,

Netscreen of the Dead: Developing a Trojaned ScreenOS for Juniper

Juniper Networks ScreenOS Release Notes · Internet Protocol Security (IPsec) AC VPN Enhancements —ScreenOS 6.3.0 supports dual-hub Auto Connect virtual private network (AC-VPN)

JSeries SRXSeries Policy-Based VPN to ScreenOS v13

Juniper Networks ScreenOS Release Notes · PDF fileInternet Protocol Version 6 ... ISG 2000-IDP, and NetScreen-5000 ... Firefox Browser Support—The ScreenOS 6.2.0 WebUI supports

Juniper Networks ScreenOS Release Notes - NVC · ScreenOS Release Notes 1 Juniper Networks ScreenOS Release Notes Products: Integrated Security Gateway (ISG) 1000, ISG 1000-IDP, ISG

Sc combined examples of work

NetScreen Concepts and Examples ScreenOS Version 3 1 RevC

Juniper Networks ScreenOS Release Notes · PDF fileJuniper Networks ScreenOS Release Notes . ... Special Boot-ROM or Boot-Loader Requirements ... ISG 2000, ISG 2000-IDP, NetScreen-5200,

ScreenOS Message Log Reference Guide - XENYAsup.xenya.si/sup/info/Juniper/SSG/ScreenOS_V6.1.0... · ScreenOS Message Log Reference Guide Release 6.1.0, Rev. 2 Part Number: 530-022527-01,

Juniper Networks ScreenOS Release Notes - NVC · PDF fileJuniper Networks ScreenOS Release Notes ... Special Boot-ROM or Boot-Loader Requirements ... NetScreen-5200, and NetScreen-5400

FIELD EXAMPLES OF THE COMBINED PETROPHYSICAL INVERSION OF ... · FIELD EXAMPLES OF THE COMBINED PETROPHYSICAL INVERSION OF GAMMA-RAY, ... held jointly by the Society of Petrophysicists

ScreenOS Message Log Reference GuideChapter14 DHCP .....131 Alert(00029).....131

ScreenOS CookBook