juniper防火墙配置手册

JUNIPER 防火墙快速安装手册

目录

1、前言 (4)

1.1、J UNIPER 防火墙配置概述 (4)

1.2、J UNIPER 防火墙管理配置的基本信息 (4)

1.3、J UNIPER 防火墙的常用功能 (6)

2、JUNIPER 防火墙三种部署模式及基本配置 (6)

2.1、NAT 模式 (6)

2.2、R OUTE 模式 (7)

2.3、透明模式 (8)

2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9)

2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18)

2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19)

2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20)

2.6、基于非向导方式的透明模式下的基本配置 (21)

3、JUNIPER 防火墙几种常用功能的配置 (22)

3.1、MIP 的配置 (22)

3.1.1、使用Web 浏览器方式配置MIP (23)

3.1.2、使用命令行方式配置MIP (25)

3.2、VIP 的配置 (25)

3.2.1、使用Web 浏览器方式配置VIP (26)

3.2.2、使用命令行方式配置VIP (27)

3.3、DIP 的配置 (28)

3.3.1、使用Web 浏览器方式配置DIP (28)

3.3.2、使用命令行方式配置DIP (30)

4、JUNIPER 防火墙IPSEC VPN 的配置 (30)

4.1、站点间IPS EC VPN 配置：STAIC IP-TO-STAIC IP (30)

4.1.1、使用Web 浏览器方式配置 (31)

4.1.2、使用命令行方式配置.......................................................................... .. (35)

4.2、站点间IPS EC VPN 配置：STAIC IP-TO-DYNAMIC IP (37)

4.2.1、使用Web 浏览器方式配置 (38)

4.2.1、使用命令行方式配置................................................................................ .. (41)

5、JUNIPER 中低端防火墙的UTM 功能配置 (43)

5.1、防病毒功能的设置..................................................................................... . (44)

5.1.1、Scan Manager 的设置 (44)

5.1.2、Profile 的设置...................................................................................... . (45)

5.1.3、防病毒profile 在安全策略中的引用 (47)

5.2、防垃圾邮件功能的设置................................................................................ .. (49)

5.2.1、Action 设置 (50)

5.2.2、White List 与Black List 的设置 (50)

JUNIPER 防火墙快速安装手册

5.2.3、防垃圾邮件功能的引用 (52)

5.3、WEB/URL 过滤功能的设置 (52)

5.3.1、转发URL 过滤请求到外置URL 过滤服务器 (52)

5.3.2、使用内置的URL 过滤引擎进行URL 过滤 (54)

5.3.3、手动添加过滤项 (55)

5.4、深层检测功能的设置 (59)

5.4.1、设置DI 攻击特征库自动更新 (59)

5.4.2、深层检测（DI）的引用 (60)

6、JUNIPER 防火墙的HA（高可用性）配置 (62)

6.1、使用W EB 浏览器方式配置 (63)

6.2、使用命令行方式配置 (65)

7、JUNIPER 防火墙一些实用工具 (66)

7.1、防火墙配置文件的导出和导入 (66)

7.1.1、配置文件的导出 (67)

7.1.2、配置文件的导入 (67)

7.2、防火墙软件（S CREEN OS）更新 (68)

7.3、防火墙恢复密码及出厂配置的方法 (69)

8、JUNIPER 防火墙的一些概念 (69)

1、前言

我们制作本安装手册的目的是使初次接触Juniper 网络安全防火墙设备（在本安装手册中简

）的工程技术人员，可以通过此安装手册完成对Juniper 防火称为“Juniper 防火墙”

本功能的实现和应用。

1.1、Juniper 防火墙配置概述

Juniper 防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求；但是由于部署模式及功能的多样性使得Juniper 防火墙在实际部署时具有一定的复杂性。在配置Juniper 防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对Juniper 防火墙进行配置和管理。

基本配置：

1. 确认防火墙的部署模式：NAT 模式、路由模式、或者透明模式；

2. 为防火墙的端口配置IP 地址（包括防火墙的管理IP 地址），配置路由信息；

3. 配置访问控制策略，完成基本配置。

其它配置：

1. 配置基于端口和基于地址的映射；

2. 配置基于策略的VPN；

3. 修改防火墙默认的用户名、密码以及管理端口。

1.2、Juniper 防火墙管理配置的基本信息

Juniper 防火墙常用管理方式：

①通过Web 浏览器方式管理。推荐使用IE 浏览器进行登录管理，需要知道防火墙对应

端口的管理IP地址；

②命令行方式。支持通过Console端口超级终端连接和Telnet防火墙管理IP 地址连

两种命令行登录管理模式。

上（NS-25/50/204/208/SSG系列）、或者专用的管理端（ISG-1000/2000,NS-5200/5400）。

Juniper 防火墙缺省登录管理账号：

①用户名：netscreen；

②密码：netscreen。

1.3、Juniper 防火墙的常用功能

在一般情况下，防火墙设备的常用功能包括：透明模式的部署、NAT/路由模式的部署、NAT

的应用、MIP 的应用、DIP 的应用、VIP 的应用、基于策略VPN 的应用。

本安装手册将分别对以上防火墙的配置及功能的实现加以说明。

注：在对MIP/DIP/VIP 等Juniper防火墙的一些基本概念不甚了解的情况下，请先到本手册最后一章节内容查看了解！

2、Juniper防火墙三种部署模式及基本配置

Juniper 防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：

①基于TCP/IP 协议三层的NAT 模

②基于TCP/IP 协议三层的路由模式；

③基于二层协议的透明模式。

2.1、NAT 模式

当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust 区网或者公网）的IP 数据包包头中的两个组件进行转换：源IP 地址和源端口号

②

与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网

中。

路由模式应用的环境特征：

① 防火墙完全在内网中部署应用；

② NAT 模式下的所有环境；

③ 需要复杂的地址翻译。

2.3、透明模式

当Juniper 防火墙接口处于“透明”模式时，防火墙将过滤通过的IP 数据包，但不会修IP 数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN 的2 层交换机或者桥接器，防火墙对于用户来说是透明的。

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点：

①不需要修改现有网络规划及配置；

②不需要实施地址翻译；

③可以允许动态路由协议、Vlan trunking的数据包通过。

2.4、基于向导方式的NAT/Route模式下的基本配置

Juniper 防火墙NAT 和路由模式的配置可以在防火墙保持出厂配置启动后通过Web 浏览器配置向导完成。

注：要启动配置向导，则必须保证防火墙设备处于出厂状态。例如：新的从未被调试过的设备，或者经过命令行恢复为出厂状态的防火墙设备。

通过Web 浏览器登录处于出厂状态的防火墙时，防火墙的缺省管理参数如下：

①缺省IP：192.168.1.1/255.255.255.0；

②缺省用户名/密码：netscreen/ netscreen；

注：缺省管理IP 地址所在端口参见在前言部份讲述的“Juniper防火墙缺省管理端口和地址”中查

在配置向导实现防火墙应用的同时，我们先虚拟一个防火墙设备的部署环境，之后，根据这

个环境对防火墙设备进行配置。

防火墙配置规划：

①防火墙部署在网络的Internet 出口位置，内部网络使用的

192.168.1.0/255.255.255.0 所在的网段，内部网络计算机的网关地址为防火墙内网端口的IP 地址：192.168.1.1；

②防火墙外网接口IP 地址（通常情况下为公网IP 地址，在这里我们使用私网IP 地址模

拟公网IP 地址）为：10.10.10.1/255.255.255.0，网关地址为：10.10.10.251

要求：

实现内部访问Internet 的应用。

注：在进行防火墙设备配置前，要求正确连接防火墙的物理链路；调试用的计算机连接到防

火墙的内网端口上。

1. 通过IE 或与IE 兼容的浏览器（推荐应用微软IE 浏览器）使用防火墙缺省IP 地址登录

防火墙（建议：保持登录防火墙的计算机与防火墙对应接口处于相同网段，直接相连）。

2. 使用缺省IP 登录之后，出现安装向导：

注：对于熟悉Juniper 防火墙配置的工程师，可以跳过该配置向导，直接点选：No，skip the wizard and go straight to the WebUI management session instead，之后选择Next，直接登录防火墙设备的管理界面。

3. 使用向导配置防火墙，请直接选择：Next，弹出下面的界面：

4.

，再选择“欢迎使用配置向导”

注：进入登录用户名和密码的修改页面，Juniper 防火墙的登录用户名和密码是可以更改的，这个用户名和密码的界面修改的是防火墙设备上的根用户，这个用户对于防火墙设备来说具有最高的权限，需要认真考虑和仔细配置，保存好修改后的用户名和密码。

在完成防火墙的登录用户名和密码的设置之后，出现了一个比较关键的选择，这个选择5.

决定了防火墙设备是工作在路由模式还是工作在NAT 模式：

m选择Enable NAT，则防火墙工作在NAT 模式；

m不选择Enable NAT，则防火墙工作在路由模式。

6. 防火墙设备工作模式选择，选择：Trust-Untrust Mode 模式。这种模式是应用最多的模

式，防火墙可以被看作是只有一进一出的部署模式。

注：N S-5GT 防火墙作为低端设备，为了能够增加低端产品应用的多样性，

J uniper 在NS-5GT

的OS 中独立开发了几种不同的模式应用于不同的环境。目前，除NS-5GT 以外，Junipe 其他系列防火墙不存在另外两种模式的选择。

7. 完成了模式选择，点击“Next”进行防火墙外网端口IP 配置。外网端口IP 配置

选项分别是：DHCP 自动获取IP 地址；通过PPPoE 拨号获得IP 地址；手工设置静态

IP 地址，并配置子网掩码和网关IP 地址。

JUNIPER 防火墙快速安装手册

在这里，我们选择的是使用静态IP 地址的方式，配置外网端口IP 10.10.10.1/255.255.255.0，网关地址为：10.10.10.251。

8. 完成外网端口的IP 地址配置之后，点击“Next”进行防火墙内网端口IP 配

9. 在完成了上述的配置之后，防火墙的基本配置就完成了，点击“Next ”进行 DHCP

务器配置。

注：DHCP 服务器配置在需要防火墙在网络中充当DHCP

服务器的时候才需要配置。否则请选择“NO ”跳

注：上面的页面信息显示的是在防火墙设备上配置实现一个DHCP 服务器功能，由防火墙设备给内部计算机用户自动分配 IP 地址，分配的地址段为：192.168.1.100-192.168.1.150一共 51 个 IP 地址，在分配 IP 地址的同时，防火墙设备也给计算机用户分配了 DNS 服

器地址，DNS 用于对域名进行解析，如：将https://www.sodocs.net/doc/c317698611.html, 解析为

IP 地202.108.33.32。如果计算机不能获得或设置DNS 服务器地址，无法访问互联网。

10. 完成 DHCP 服务器选项设置，点击“Next ”会弹出之前设置的汇总信

11. 确认配置没有问题，点击“Next”会弹出提示“Finish”配置对

在该界面中，点选：Finish 之后，该Web 页面会被关闭，配置完成。

此时防火墙对来自内网到外网的访问启用基于端口地址的NAT，同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略：

m策略：策略方向由Trust 到Untrust，源地址：ANY，目标地址：ANY，网络服务内容：ANY；

m策略作用：允许来自内网的任意IP 地址穿过防火墙访问外网的任意地址。

重新开启一个IE 页面，并在地址栏中输入防火墙的内网端口地址，确定后，出现下图中的登录界面。输入正确的用户名和密码，登录到防火墙之后，可以对防火墙的现有配置进行修改。

总结：

上述就是使用Web 浏览器通过配置向导完成的防火墙NAT 或路由模式的应用。通过配置向导，可以在不熟悉防火墙设备的情况下，配置简单环境的防火墙应用。

2.5、基于非向导方式的NAT/Route模式下的基本配置

基于非向导方式的NAT 和Route 模式的配置建议首先使用命令行开始，最好通过控制台的方式连接防火墙，这个管理方式不受接口IP 地址的影响。

注：在设备缺省的情况下，防火墙的信任区（Trust Zone）所在的端口是工作在NAT 模式的，其它安全区所在的端口是工作在路由模式的。

基于命令行方式的防火墙设备部署的配置如下（网络环境同上一章节所讲述的环境）：

2.5.1、NS-5GT NAT/Route 模式下的基本配置

注：NS-5GT 设备的物理接口名称叫做trust 和untrust；缺省Zone 包括：trust 和

请注意和接口区分开。

①Unset interface trust ip （清除防火墙内网端口的IP 地址）；

②Set interface trust zone trust（将内网端口分配到trust zone）；

③Set interface trust ip 192.168.1.1/24（设置内网端口的IP 地址，必须先定义zone，之

后再定义IP 地址）；

④Set interface untrust zone untrust（将外网口分配到untrust zone）；

⑤Set interface untrust ip 10.10.10.1/24（设置外网口的IP 地址）；

⑥Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251（设置防火墙对外的缺省路

由网关地址）

；

⑦Set policy from trust to untrust any any any permit log（定义一条由内网到外网的访问

策略。策略的方向是：由zone trust 到zone untrust，源地址为：any，目标地址为：any，网络服务为：any，策略动作为：permit 允许，log：开启日志记录）；

⑧Save （保存上述的配置文件）。

2.5.2、非NS-5GT NAT/Route模式下的基本配置

①Unset interface ethernet1 ip（清除防火墙内网口缺省IP 地址）

；

②Set interface ethernet1 zone trust（将ethernet1 端口分配到trust zone）；

③Set interface ethernet1 ip 192.168.1.1/24（定义ethernet1 端口的IP 地址）

；

④Set interface ethernet3 zone untrust（将ethernet3 端口分配到untrust zone）

；

⑤Set interface ethernet3 ip 10.10.10.1/24（定义ethernet3 端口的IP 地址）；

⑥Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251（定义防火墙对外的缺省

路由网关）；

⑦Set policy from trust to untrust any any any permit log（定义由内网到外网的访问控制

策略）；

⑧Save （保存上述的配置文件）

注：上述是在命令行的方式上实现的NAT 模式的配置，因为防火墙出厂时在内网端口（trust zone 所属的端口）上启用了NAT，所以一般不用特别设置，但是其它的端口则工作在路由模式下，例如：untrust 和DMZ 区的端口。

如果需要将端口从路由模式修改为NAT 模式，则可以按照如下的命令行进行修改：

①Set interface ethernet2 NAT （设置端口2 为NAT 模

②Save

总结：

①NAT/Route 模式做防火墙部署的主要模式，通常是在一台防火墙上两种模式混合进行

（除非防火墙完全是在内网应用部署，不需要做NAT-地址转换，这种情况下防火墙所有端口都处于Route 模式，防火墙首先作为一台路由器进行部署）；

②关于配置举例，NS-5GT 由于设备设计上的特殊性，因此专门列举加以说明；Juniper

在2006 年全新推出的SSG 系列防火墙，除了端口命名不一样，和NS 系列设备管配置方式一样。

2.6、基于非向导方式的透明模式下的基本配置

实现透明模式配置建议采用命令行的方式，因为采用Web 的方式实现时相对命令行的方式麻烦。通过控制台连接防火墙的控制口，登录命令行管理界面，通过如下命令及步骤进行二层透明模式的配置：

①Unset interface ethernet1 ip（将以太网1 端口上的默认IP 地址删除）；

②Set interface ethernet1 zone v1-trust（将以太网1 端口分配到v1-trust zone：基于二

层的安全区，端口设置为该安全区后，则端口工作在二层模式，并且不能在该端口上配置IP 地址）；

③Set interface ethernet2 zone v1-dmz（将以太网2 端口分配到v1-dmz zone）；

④Set interface ethernet3 zone v1-untrust（将以太网3 端口分配到v1-untrust zone）；

⑤Set interface vlan1 ip 192.168.1.1/24 （设置VLAN1 的IP

192.168.1.1/255.255.255.0，该地址作为防火墙管理IP 地址使用）；

⑥Set policy from v1-trust to v1-untrust any any any permit log（设置一条由内网到外网

；

的访问策略）

⑦Save（保存当前的配置）

；

总结：

①带有V1-字样的zone 为基于透明模式的安全区，在进行透明模式的应用时，至少要保

证两个端口的安全区工作在二层模式；

②虽然Juniper 防火墙可以在某些特殊版本工作在混合模式下（二层模式和三层模式的混

合应用），但是通常情况下，建议尽量使防火墙工作在一种模式下（三层模式可以混用：NAT 和路由）。

3、Juniper防火墙几种常用功能的配置

这里讲述的Juniper 防火墙的几种常用功能主要是指基于策略的NAT 的实现，包括：MIP、VIP 和DIP，这三种常用功能主要应用于防火墙所保护服务器提供对外服务。

3.1、MIP 的配置

MIP 是“一对一”的双向地址翻译（转换）过程。通常的情况是：当你有若干个公网IP 址，又存在若干的对外提供网络服务的服务器（服务器使用私有IP 地址），为了实现互联网

用户访问这些服务器，可在Internet 出口的防火墙上建立公网IP 地址与服务器私有IP 地址

之间的一对一映射（MIP），并通过策略实现对服务器所提供服务进行访问控制。

MIP 应用的网络拓扑图：

。

注：MIP 配置在防火墙的外网端口（连接Internet的端口）

3.1.1、使用Web浏览器方式配置MIP

①登录防火墙，将防火墙部署为三层模式（NAT 或路由模式）

；

②定义MIP：N etwork=>Interface=>ethernet2=>MIP，配置实现MIP 的地址映射。

M apped IP：公网IP 地址，Host IP：内网服务器IP 地址

juniper防火墙配置手册

JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置：STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置：STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)

Juniper SRX防火墙简明配置手册-090721

Juniper SRX防火墙简明配置手册 卞同超 Juniper 服务工程师 Juniper Networks, Inc. 北京市东城区东长安街1号东方经贸城西三办公室15层1508室 邮编:100738 目录 一、JUNOS操作系统介绍 ............................................................................................................. 1.1 层次化配置结构........................................................................................................................ 1.2 JunOS配置管理......................................................................................................................... 1.3 SRX主要配置内容.................................................................................................................... 二、SRX防火墙配置对照说明...................................................................................................... 2.1 初始安装.................................................................................................................................... 2.1.1 登陆............................................................................................................................... 2.1.2 设置root用户口令..................................................................................................... 2.1.3 设置远程登陆管理用户............................................................................................... 2.1.4 远程管理SRX相关配置............................................................................................... 2.2 Policy .......................................................................................................................................... 2.3 NAT ............................................................................................................................................ 2.3.1 Interface based NAT................................................................................................. 2.3.2 Pool based Source NAT............................................................................................. 2.3.3 Pool base destination NAT..................................................................................... 2.3.4 Pool base Static NAT............................................................................................... 2.4 IPSEC VPN................................................................................................................................. 2.5 Application and ALG .................................................................................................................. 2.6 JSRP............................................................................................................................................ 三、SRX防火墙常规操作与维护.......................................................................................................... 3.1 设备关机................................................................................................................................ 3.2设备重启............................................................................................................................... 3.3操作系统升级 (15) 3.4密码恢复............................................................................................................................... 3.5常用监控维护命令............................................................................................................... Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

DPtech FW1000系列防火墙系统用户配置手册解析

DPtech FW1000系列防火墙用户配置 手册

杭州迪普科技有限公司为客户提供全方位的技术支持。 通过杭州迪普科技有限公司代理商购买产品的用户，请直接与销售代理商联系；直接向杭州迪普科技有限公司购买产品的用户，可直接与公司联系。 杭州迪普科技有限公司 地址：杭州市滨江区火炬大道581号三维大厦B座901室 邮编：310053

声明 Copyright 2010 杭州迪普科技有限公司 版权所有，保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。 由于产品版本升级或其他原因，本手册内容有可能变更。杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导，杭州迪普科技有限公司尽全力在本手册中提供准确的信息，但是杭州迪普科技有限公司并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

目录 第1章产品概述1-1 1.1产品简介1-1 1.2WEB管理1-1 1. 2.1登录WEB管理界面1-1 1.2.2WEB界面布局介绍1-2 第2章系统管理2-1 2.1简介2-1 2.2设备管理2-1 2.2.1设备信息2-1 2.2.2设备状态2-3 2.2.3设备设置2-4 2.3SNMP配置2-7 2. 3.1简介2-7 2.3.2配置信息2-7 2.3.3IP地址列表2-8 2.4管理员2-8 2. 4.1简介2-8 2.4.2当前管理员2-9 2.4.3管理员设置2-9 2.4.4登录参数设置2-11 2.5配置文件2-12 2.6特征库2-13 2.6.1APP特征库2-13 2.6.2URL分类过滤特征库2-16 2.6.3L ICENSE文件管理2-17 2.7软件版本2-18 2.8NTP配置2-19 第3章网络管理3-1 3.1简介3-1 3.2接口管理3-2 3.2.1简介3-2 3.2.2组网配置3-2 3.3网络对象3-9

Juniper防火墙日常维护手册

Juniper防火墙维护手册

目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置（双机配置） (7) 1.5.配置MIP（通过图形界面配置） (9) 1.6.配置访问策略（通过图形界面配置） (11) https://www.sodocs.net/doc/c317698611.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)

1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen，为了便于区分设备和维护，在对防火墙进行配置前先对防火墙进行命名： Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段，用于专门对接口进行管理时用。在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理IP，则不能对备用防火墙进行登录了。一般在单机时，不需要配置接口的管理IP，但在双机时，建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意：接口的工作模式可以工作在路由模式，NAT模式和透明模式。在产品线应用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用，建议把防火墙的所有接口都配置成route的工作模式，用命令set interface接口名 route配置即可，缺省情况下需要在trust区段中的接口使用此命令。 本例子中，配置接口ethernet2属于Untrust区，IP地址为202.38.12.23/28，如设置管理方式是Http，命令如下： Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat

juniper防火墙详细配置手册

Juniper防火墙简明实用手册 （版本号：）

目录 1juniper中文参考手册重点章节导读.................................... 错误!未定义书签。 第二卷：基本原理 ...................................................... 错误!未定义书签。 第一章：ScreenOS 体系结构 .......................... 错误!未定义书签。 第二章：路由表和静态路由............................ 错误!未定义书签。 第三章：区段.................................................... 错误!未定义书签。 第四章：接口.................................................... 错误!未定义书签。 第五章：接口模式............................................ 错误!未定义书签。 第六章：为策略构建块.................................... 错误!未定义书签。 第七章：策略.................................................... 错误!未定义书签。 第八章：地址转换............................................ 错误!未定义书签。 第十一章：系统参数........................................ 错误!未定义书签。 第三卷：管理 .............................................................. 错误!未定义书签。 第一章：管理.................................................... 错误!未定义书签。 监控NetScreen 设备........................................ 错误!未定义书签。 第八卷：高可用性 ...................................................... 错误!未定义书签。 NSRP ................................................................... 错误!未定义书签。 故障切换............................................................ 错误!未定义书签。2Juniper防火墙初始化配置和操纵........................................ 错误!未定义书签。3查看系统概要信息................................................................. 错误!未定义书签。4主菜单常用配置选项导航..................................................... 错误!未定义书签。5Configration配置菜单 ........................................................... 错误!未定义书签。 Date/Time:日期和时间 ............................................... 错误!未定义书签。 Update更新系统镜像和配置文件 ............................. 错误!未定义书签。 更新ScreenOS系统镜像 .................................. 错误!未定义书签。 更新config file配置文件.................................. 错误!未定义书签。 Admin管理 .................................................................. 错误!未定义书签。 Administrators管理员账户管理....................... 错误!未定义书签。 Permitted IPs：允许哪些主机可以对防火墙进行管理错误!未定

Juniper防火墙故障情况下的快速恢复

为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。 一、设备重启动：Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。 二、操作系统备份：日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。 三、操作系统恢复：当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统，命令行方式：save software from tftp x.x.x.x filename to flash，或通过web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。 四、配置文件备份： 日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。 2、通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config配置信息记录到本地。 3、通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。 五、配置文件恢复： 防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。 2、通过web页面进行配置文件恢复：Configuration > Update > Config File，选中Replace Current Configuration，并从本地设备中选中供恢复的备份配置文件，点击apply后系统将进行重启动使新配置生效。 3、通过超级终端远程telnet/ssh到防火墙，通过unset all 命令清除防火墙配置，并进行重启，重启后将备份的配置命令粘贴到防火墙中。 六、恢复出厂值：console线缆连接到防火墙，通过reset命令对防火墙进行重启，并使用防火墙的16位序列号作为账号/口令进行登陆，可将防火墙配置快速恢复为出厂值。 七、硬件故障处理： 当防火墙出现故障时，且已经排除配置故障和ScreenOS软件故障，可通过NSRP切换到备用设备来恢复网络运行，并进一步定位硬件故障。切换方式为1、拔掉主用防火墙的上下行网线（仅在设备关闭电源的情况下，才需要拔掉该设备的HA连线），防火墙将自动进行主备切换。2、或在主用设备上执行：exec nsrp vsd-group id 0 mode backup,手动执行防火墙主备切换。 八、设备返修（RMA）:如经Juniper公司确认防火墙发生硬件故障，请及时联系设备代理商。设备代理商将根据报修流程，由Juniper公司对保修期内的损坏部件或设备进行RMA（设备返修）。

NETSCREEN25软防火墙配置简要手册

NETSCREEN25硬防火墙配置简要手册 系统默认情况下通过INTERNET3口接电脑，电脑配置ip：192.168.1.2， 在IE栏输入:192.168.1.1 USER:NETSCREEN PWD:NETSCREEN(均为小写) 如果用IE进不了,通过串口访问,串口设置是默认设置, 进去后用命令: set int eth3 ip 192.168.1.1 255.255.255.0 set int eth3 manage 然后通过IE访问一样 一、资源准备： 1、当地的ip资源情况，是否有公网IP，需要配置公网地址 多个的话，都要准好，并要定下来公网ip与私网ip的对应。 2、内网IP的地址分配，同时，各个设备的网关地址，在三层交换机中的分配。 现在采用的分配方式是语音网关、通信服务器、CTI服务器在一个网段中，计费服务器的IP地址在一个网关中，数据库应用服务器在一个网段中：

二、具体配置端口参考（部分，根据具体应用来定义端口和服务器） 三、基本配置流程 基本定义策略（polices） 二类： 1、trust――>untrust 源：any 目的：any 服务：any 2、untrust――>trust 源：any 目的：MIP中的一个地址 服务：对应的定义的服务组 （依次把MIP的映射都加进来） 配置流程： 第一步向导的配置

图1：可以直接将配置文件导入（如果） 图2： 图3：配置登陆密码

图4：对4个eth进行区域划分，每个eth有4个选项（DMZ、trust、untrust、null） 图5：划分地址段

图6：配置防火墙的公网ip和内网ip（内部的） 图7：是否将netscreen配置成DHCP

天融信防火墙NGFW4000配置手册

天融信防火墙NGFW4000快速配置手册

目录 一、防火墙的几种管理方式 (3) 1．串口管理 (3) 2．TELNET管理 (4) 3．SSH管理 (5) 4．WEB管理 (6) 5．GUI管理 (6) 二、命令行常用配置 (12) 1．系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2．网络配置命令(NETWORK) (13)

4．定义对象命令(DEFINE) (13) 5．包过滤命令(PF) (13) 6．显示运行配置命令(SHOW_RUNNING) (13) 7．保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1．系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2．网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3．对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4．访问策略配置 (23) 5．高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构： (28) 1．用串口管理方式进入命令行 (28) 2．配置接口属性 (28) 3．配置VLAN (28) 4．配置区域属性 (28) 5．定义对象 (28) 6．添加系统权限 (29) 7．配置访问策略 (29) 8．配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构： (30) 1．用串口管理方式进入命令行 (30) 2．配置接口属性 (30) 3．配置路由 (30) 4．配置区域属性 (30) 5．配置主机对象 (30) 6．配置访问策略 (30)

juniper防火墙详细配置手册

juniper防火墙详细配置手册

Juniper防火墙简明实用手册 （版本号：V1.0）

目录 1juniper中文参考手册重点章节导读 (4) 1.1第二卷：基本原理 4 1.1.1第一章：ScreenOS 体系结构 4 1.1.2第二章：路由表和静态路由 4 1.1.3第三章：区段 4 1.1.4第四章：接口 4 1.1.5第五章：接口模式 5 1.1.6第六章：为策略构建块 5 1.1.7第七章：策略 5 1.1.8第八章：地址转换 5 1.1.9第十一章：系统参数 6 1.2第三卷：管理 6 1.2.1第一章：管理 6 1.2.2监控NetScreen 设备 6 1.3第八卷：高可用性

6 1.3.1...................................................... NSRP 6 1.3.2故障切换 7 2Juniper防火墙初始化配置和操纵 (8) 3查看系统概要信息 (9) 4主菜单常用配置选项导航 (10) 5Configration配置菜单 (11) 5.1Date/Time:日期和时间 11 5.2Update更新系统镜像和配置文件 12 5.2.1更新ScreenOS系统镜像 12 5.2.2更新config file配置文件 13 5.3Admin管理 15 5.3.1Administrators管理员账户管理 15 5.3.2Permitted IPs：允许哪些主机可以对防火墙进行管理 16 6Networks配置菜单 (17) 6.1Zone安全区 17 6.2Interfaces接口配置 19 6.2.1查看接口状态的概要信息 19

天融信防火墙NGFW4000快速配置手册

天融信防火墙NGFW4000快速配置手册 一、防火墙的几种管理方式 1．串口管理 第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。 通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙： 1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。 2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。 3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。 4）设置 com1 口的属性，按照以下参数进行设置。

5）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。 6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火 墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2．TELNET管理 TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置： 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令 添加管理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图： 3．SSH管理

Juniper防火墙配置

Netscreen 204防火墙/VPN NSRP(HA)冗余设置步骤

目录 一、网络拓扑结构图 (3) 二、设置步骤 (3) 三、命令行配置方式 (4) 四、图形界面下的配置步骤 (8)

设置前请先将在线主防火墙的配置备份一次，具体步骤请参考《维护文档》 一、网络拓扑结构图 二、设置步骤 1、将两台防火墙的第四个端口连接在一起，我们设置将原有防火墙设置为主防火墙，新增 加的防火墙为备份的防火墙，备份的防火墙只连接第四个端口，其他的端口将在防火墙配置完毕后才连接上 2、使用终端线缆连接到防火墙的Console口，超级终端参数设置为9600-8-无-1-无。

三、命令行配置方式 蓝色字体为在超级终端上输入的命令 3.1、主防火墙配置，（移动公司在线使用的Netscreen-204防火墙） ns204>unset interface e4 ip将端口4的IP地址删除， ns204>set interface e4 zone ha将端口4和HA区域绑定一起配置NSRP ns204-> ns204-> ns204-> get nsrp查看NSRP配置信息 nsrp version: 2.0 cluster info: cluster id not set: nsrp is inactive 默认的情况下NSRP没有击活 VSD group info: init hold time: 5 heartbeat lost threshold: 3 heartbeat interval: 1000(ms) group priority preempt holddown inelig master PB other members total number of vsd groups: 0 Total iteration=3808,time=2721060,max=880,min=286,average=714 RTO mirror info: run time object sync: disabled

天融信防火墙配置手册

天融信防火墙配置指南 一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理，就是规则。 比如：甲想到A城市B地点。由这个行为就可以制定一些规则进行约束，例如： 1）用户身份识别，是不是甲用户（说明：在实际应用中，甲用户可能是一群人或所有的人）。 2）用户当前的目标是不是A城市，是不是B地点。 3）用户当前状态中是否符合规定，比如，是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻：用户-->访问者 城市-->主机 地点-->端口 为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达A城市B地点，并且没有携带任何危险品，就允许他或他们通过，否则就禁止通行。翻译成防火墙的规则就是：如果访问者访问目标区域中的开放主机中的允许访问的端口，并且访问的过程中没有防火墙禁止的恶意行为，就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走，相当于引路。比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路由器再告诉甲，该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的，相当于在互联网上的用户身份，没有IP地址是无法进行网络访问的。互联网中的主机中（包括访问者与被访问者）是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如：我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机，所以发展到现在，IP 地址是非常紧缺的。目前，已不可能为世界上的所有的计算机都分配一个IP地址，这就产生了源地址转换又称为源地址伪装技术（SNA T）。比如A学校有100台计算机，但是只有

juniper防火墙详细配置手册

j u n i p e r防火墙详细配置 手册 The latest revision on November 22, 2020

J u n i p e r防火墙简明实用手册 （版本号：V1.0）

目录

1juniper中文参考手册重点章节导读 版本：Juniper防火墙5.0中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。 1.1第二卷：基本原理 1.1.1第一章：ScreenOS体系结构 安全区 安全区接口 策略 1.1.2第二章：路由表和静态路由 配置静态路由 1.1.3第三章：区段 安全区 配置安全区 功能区段：HA区段 1.1.4第四章：接口 接口类型：安全区接口：物理 接口类型：安全区接口：功能区段接口 察看接口 配置安全区接口：将接口绑定到安全区、从安全区解除接口绑定、 修改接口、跟踪IP地址 二级IP地址 1.1.5第五章：接口模式 透明模式 NAT模式

路由模式 1.1.6第六章：为策略构建块 地址：地址条目、地址组 服务：预定义的服务、定制服务 DIP池：端口地址转换、范例：创建带有PAT的DIP池、范例：修改 DIP池、扩展接口和DIP 时间表 1.1.7第七章：策略 三种类型的策略 策略定义 策略应用 1.1.8第八章：地址转换 地址转换简介 源网络地址转换 目的网络地址转换 映射IP地址 虚拟IP地址 1.1.9第十一章：系统参数 下载/上传设置和固件 系统时钟 1.2第三卷：管理 1.2.1第一章：管理 通过WEB用户界面进行管理 通过命令行界面进行管理 管理的级别：根管理员、可读/写管理员、只读管理员、定义Admin 用户 保证管理信息流的安全：更改端口号、更改Admin登录名和密码、 重置设备到出厂缺省设置、限制管理访问

Juniper 防火墙的一些概念(对于理解很重要)

Juniper 防火墙的一些概念 安全区（Security Zone）：Juniper 防火墙增加了全新的安全区域（Security Zone）的概念，安全区域是一个逻辑的结构，是多个处于相同属性区域的物理接口的集合。当不同安全区域之间相互通讯时，必须通过事先定义的策略检查才能通过；当在同一个安全区域进行通讯时，默认状态下允许不通过策略检查，经过配置后也可以强制进行策略检查以提高安全性。 安全区域概念的出现，使防火墙的配置能更灵活同现有的网络结构相结合。以下图为例，通过实施安全区域的配置，内网的不同部门之间的通讯也必须通过策略的检查，进一步提高的系统的安全。 接口（Interface）：信息流可通过物理接口和子接口进出安全区（Security Zone）。为了使网络信息流能流入和流出安全区，必须将一个接口绑定到一个安全区，如果属于第3 层安全区，则需要给接口分配一个IP地址。 虚拟路由器（Virtual Router）：Juniper 防火墙支持虚拟路由器技术，在一个防火墙设备里，将原来单一路由方式下的单一路由表，进化为多个虚拟路由器以及相应的多张独立的路由表，提高了防火墙系统的安全性以及IP 地址配置的灵活性。 安全策略（Policy）：Juniper防火墙在定义策略时，主要需要设定源IP地址、目的IP地址、网络服务以及防火墙JUNIPER 防火墙快速安装手册的动作。在设定网络服务时，Juniper 防火墙已经内置预设了大量常见的网络服务类型，同时，也可以由客户自行定义网络服务。在客户自行定义通过防火墙的服务时，需要选择网络服务的协议，是UDP、TCP还是其它，需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。因此，通过对网络服务的定义，以及IP地址的定义，使Juniper防火墙的策略细致程度大大加强，安全性也提高了。 除了定义上述这些主要参数以外，在策略中还可以定义用户的认证、在策略里定义是否要做

Juniper防火墙配置备份与恢复

Juniper防火墙配置备份与恢复 为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。 一、设备重启动：Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。 二、操作系统备份：日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。 三、操作系统恢复：当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统，命令行方式：save software from tftp x.x.x.x filename to flash，或通过web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。 四、配置文件备份： 日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。 2、通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config 配置信息记录到本地。 3、通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。 五、配置文件恢复： 防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。