Juniper防火墙安装配置手册

Juniper网络安全防火墙设备快速安

装手册V1.0

联强国际（香港）有限公司

2007-4

目录

1、前言 (4)

1.1、J UNIPER防火墙配置概述 (4)

1.2、J UNIPER防火墙管理配置的基本信息 (4)

1.3、J UNIPER防火墙的常用功能 (5)

2、JUNIPER防火墙三种部署模式及基本配置 (6)

2.1、NAT模式 (6)

2.2、R OUTE-路由模式 (7)

2.3、透明模式 (8)

2.4、基于向导方式的NAT/R OUTE模式下的基本配置 (8)

2.5、基于非向导方式的NAT/R OUTE模式下的基本配置 (17)

2.5.1、NS-5GT NAT/Route模式下的基本配置 (18)

2.5.2、NS-25-208 NAT/Route模式下的基本配置 (19)

2.6、基于非向导方式的透明模式下的基本配置 (20)

3、JUNIPER防火墙几种常用功能的配置 (21)

3.1、MIP的配置 (21)

3.1.1、使用Web浏览器方式配置MIP (22)

3.1.2、使用命令行方式配置MIP (24)

3.2、VIP的配置 (24)

3.2.1、使用Web浏览器方式配置VIP (25)

3.2.2、使用命令行方式配置VIP (26)

3.3、DIP的配置 (27)

3.3.1、使用Web浏览器方式配置DIP (27)

3.3.2、使用命令行方式配置DIP (29)

4、JUNIPER防火墙IPSEC VPN的配置 (29)

4.1、站点间IPS EC VPN配置：STAIC IP-TO-STAIC IP (29)

4.1.1、使用Web浏览器方式配置 (30)

4.1.2、使用命令行方式配置 (34)

4.2、站点间IPS EC VPN配置：STAIC IP-TO-DYNAMIC IP (36)

4.2.1、使用Web浏览器方式配置 (37)

4.2.1、使用命令行方式配置 (40)

5、JUNIPER中低端防火墙的UTM功能配置 (42)

5.1、防病毒功能的设置 (43)

5.1.1、Scan Manager的设置 (43)

5.1.2、Profile的设置 (44)

5.1.3、防病毒profile在安全策略中的引用 (46)

5.2、防垃圾邮件功能的设置 (48)

5.2.1、Action 设置 (49)

5.2.2、White List与Black List的设置 (49)

5.2.3、防垃圾邮件功能的引用 (51)

5.3、WEB/URL过滤功能的设置 (51)

5.3.1、转发URL过滤请求到外置URL过滤服务器 (51)

5.3.2、使用内置的URL过滤引擎进行URL过滤 (53)

5.3.3、手动添加过滤项 (54)

5.4、深层检测功能的设置 (58)

5.4.1、设置DI攻击特征库自动更新 (58)

5.4.2、深层检测（DI）的引用 (59)

6、JUNIPER防火墙的HA（高可用性）配置 (61)

6.1、使用W EB浏览器方式配置 (62)

6.2、使用命令行方式配置 (64)

7、JUNIPER防火墙一些实用工具 (65)

7.1、防火墙配置文件的导出和导入 (65)

7.1.1、配置文件的导出 (66)

7.1.2、配置文件的导入 (66)

7.2、防火墙软件（S CREEN OS）更新 (67)

7.3、防火墙恢复密码及出厂配置的方法 (68)

8、JUNIPER防火墙的一些概念 (68)

关于本手册的使用：

① 本手册更多的从实际使用的角度去编写，如果涉及到的一些概念上的东西表述不够透

彻、清晰，请使用者自行去找一些资料查证；

② 本手册在编写的过程中对需要使用者特别注的地方，都有“注”标识，请大家仔细阅

读相关内容；对于粗体、红、蓝色标注的地方也需要多注意；

③ 本着技术共享的原则，我们编写了该手册，希望对在销售、使用Juniper防火墙的相应

技术人员有所帮助，大家在使用过程中有任何建议可反馈到：chuang_li@https://www.sodocs.net/doc/9616515330.html,；jiajun_xiong@https://www.sodocs.net/doc/9616515330.html,；

④ 本手册归“联强国际（香港）有限公司”所有，严禁盗版。

1、前言

我们制作本安装手册的目的是使初次接触Juniper网络安全防火墙设备（在本安装手册中简称为“Juniper防火墙”）的工程技术人员，可以通过此安装手册完成对Juniper防火墙基本功能的实现和应用。

1.1、Juniper防火墙配置概述

Juniper防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求；但是由于部署模式及功能的多样性使得Juniper防火墙在实际部署时具有一定的复杂性。

在配置Juniper防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对Juniper防火墙进行配置和管理。

基本配置：

1. 确认防火墙的部署模式：NAT模式、路由模式、或者透明模式；

2. 为防火墙的端口配置IP地址（包括防火墙的管理IP地址），配置路由信息；

3. 配置访问控制策略，完成基本配置。

其它配置：

1. 配置基于端口和基于地址的映射；

2. 配置基于策略的VPN；

3. 修改防火墙默认的用户名、密码以及管理端口。

1.2、Juniper防火墙管理配置的基本信息

Juniper防火墙常用管理方式：

① 通过Web浏览器方式管理。推荐使用IE浏览器进行登录管理，需要知道防火墙对应

端口的管理IP地址；

② 命令行方式。支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接

两种命令行登录管理模式。

Juniper防火墙缺省管理端口和IP地址：

① Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理。缺省

IP地址为：192.168.1.1/255.255.255.0；

② 缺省IP地址通常设置在防火墙的Trust端口上（NS-5GT）、最小端口编号的物理端口

上（NS-25/50/204/208/SSG系列）、或者专用的管理端口上（ISG-1000/2000,NS-5200/5400）。

Juniper防火墙缺省登录管理账号：

① 用户名：netscreen；

② 密码：netscreen。

1.3、Juniper防火墙的常用功能

在一般情况下，防火墙设备的常用功能包括：透明模式的部署、NAT/路由模式的部署、NAT 的应用、MIP的应用、DIP的应用、VIP的应用、基于策略VPN的应用。

本安装手册将分别对以上防火墙的配置及功能的实现加以说明。

注：在对MIP/DIP/VIP等Juniper防火墙的一些基本概念不甚了解的情况下，请先到本手册最后一章节内容查看了解！

2、Juniper防火墙三种部署模式及基本配置

Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：

① 基于TCP/IP协议三层的NAT模式；

② 基于TCP/IP协议三层的路由模式；

③ 基于二层协议的透明模式。

2.1、NAT模式

当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往 Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源 IP 地址和源端口号。

防火墙使用 Untrust 区（外网或者公网）接口的 IP 地址替换始发端主机的源 IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：

① 注册IP地址（公网IP地址）的数量不足；

② 内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet；

③ 内部网络中有需要外显并对外提供服务的服务器。

2.2、Route-路由模式

当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变（除非明确采用了地址翻译策略）。

① 与NAT模式下不同，防火墙接口都处于路由模式时，防火墙不会自动实施地址翻译；

② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网

中。

路由模式应用的环境特征：

① 防火墙完全在内网中部署应用；

② NAT模式下的所有环境；

③ 需要复杂的地址翻译。

2.3、透明模式

当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改 IP 数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器，防火墙对于用户来说是透明的。

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点：

① 不需要修改现有网络规划及配置；

② 不需要实施地址翻译；

③ 可以允许动态路由协议、Vlan trunking的数据包通过。

2.4、基于向导方式的NAT/Route模式下的基本配置

Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web浏览器

配置向导完成。

注：要启动配置向导，则必须保证防火墙设备处于出厂状态。例如：新的从未被调试过的设备，或者经过命令行恢复为出厂状态的防火墙设备。

通过Web浏览器登录处于出厂状态的防火墙时，防火墙的缺省管理参数如下：

① 缺省IP：192.168.1.1/255.255.255.0；

② 缺省用户名/密码：netscreen/ netscreen；

注：缺省管理IP地址所在端口参见在前言部份讲述的“Juniper防火墙缺省管理端口和IP 地址”中查找！！

在配置向导实现防火墙应用的同时，我们先虚拟一个防火墙设备的部署环境，之后，根据这个环境对防火墙设备进行配置。

防火墙配置规划：

① 防火墙部署在网络的Internet出口位置，内部网络使用的IP地址为

192.168.1.0/255.255.255.0所在的网段，内部网络计算机的网关地址为防火墙内网端口的IP地址：192.168.1.1；

② 防火墙外网接口IP地址（通常情况下为公网IP地址，在这里我们使用私网IP地址模

拟公网IP地址）为：10.10.10.1/255.255.255.0，网关地址为：10.10.10.251

要求：

实现内部访问Internet的应用。

注：在进行防火墙设备配置前，要求正确连接防火墙的物理链路；调试用的计算机连接到防火墙的内网端口上。

1. 通过IE或与IE兼容的浏览器（推荐应用微软IE浏览器）使用防火墙缺省IP地址登录

防火墙（建议：保持登录防火墙的计算机与防火墙对应接口处于相同网段，直接相连）。

2. 使用缺省IP登录之后，出现安装向导：

注：对于熟悉Juniper防火墙配置的工程师，可以跳过该配置向导，直接点选：No，skip the wizard and go straight to the WebUI management session instead，之后选择Next，直接登录防火墙设备的管理界面。

3. 使用向导配置防火墙，请直接选择：Next，弹出下面的界面：

4. “欢迎使用配置向导”，再选择Next。

注：进入登录用户名和密码的修改页面，Juniper防火墙的登录用户名和密码是可以更改的，这个用户名和密码的界面修改的是防火墙设备上的根用户，这个用户对于防火墙设备来说具有最高的权限，需要认真考虑和仔细配置，保存好修改后的用户名和密码。

5. 在完成防火墙的登录用户名和密码的设置之后，出现了一个比较关键的选择，这个选择

决定了防火墙设备是工作在路由模式还是工作在NAT模式：

选择Enable NAT，则防火墙工作在NAT模式；

不选择Enable NAT，则防火墙工作在路由模式。

6. 防火墙设备工作模式选择，选择：Trust-Untrust Mode模式。这种模式是应用最多的模

式，防火墙可以被看作是只有一进一出的部署模式。

注：NS-5GT防火墙作为低端设备，为了能够增加低端产品应用的多样性，Juniper在NS-5GT 的OS中独立开发了几种不同的模式应用于不同的环境。目前，除NS-5GT以外，Juniper 其他系列防火墙不存在另外两种模式的选择。

7. 完成了模式选择，点击“Next”进行防火墙外网端口IP配置。外网端口IP配置有三个

选项分别是：DHCP自动获取IP地址；通过PPPoE拨号获得IP地址；手工设置静态IP地址，并配置子网掩码和网关IP地址。

在这里，我们选择的是使用静态IP地址的方式，配置外网端口IP地址为：10.10.10.1/255.255.255.0，网关地址为：10.10.10.251。

8. 完成外网端口的IP地址配置之后，点击“Next”进行防火墙内网端口IP配置：

9. 在完成了上述的配置之后，防火墙的基本配置就完成了，点击“Next”进行DHCP服

务器配置。

注：DHCP服务器配置在需要防火墙在网络中充当DHCP服务器的时候才需要配置。否则请选择“NO”跳过。

注：上面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能，由防火墙设备给内部计算机用户自动分配IP地址，分配的地址段为：192.168.1.100-192.168.1.150一共51个IP地址，在分配IP地址的同时，防火墙设备也给计算机用户分配了DNS服务器地址，DNS用于对域名进行解析，如：将https://www.sodocs.net/doc/9616515330.html,解析为IP地址：202.108.33.32。如果计算机不能获得或设置DNS服务器地址，无法访问互联网。

10. 完成DHCP服务器选项设置，点击“Next”会弹出之前设置的汇总信息：

11. 确认配置没有问题，点击“Next”会弹出提示“Finish”配置对话框：

在该界面中，点选：Finish 之后，该Web 页面会被关闭，配置完成。

此时防火墙对来自内网到外网的访问启用基于端口地址的NAT ，同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略：

策略：策略方向由Trust 到Untrust ，源地址：ANY ，目标地址：ANY ，网络服务内容：

ANY ；

策略作用：允许来自内网的任意IP 地址穿过防火墙访问外网的任意地址。

重新开启一个IE 页面，并在地址栏中输入防火墙的内网端口地址，确定后，出现下图中的登录界面。输入正确的用户名和密码，登录到防火墙之后，可以对防火墙的现有配置进行修改。

总结：通过配置向

2.5、基于非向导方式的NAT/Route 模式下的基本配置

最好通过控制台的

上述就是使用Web 浏览器通过配置向导完成的防火墙NAT 或路由模式的应用。导，可以在不熟悉防火墙设备的情况下，配置简单环境的防火墙应用。基于非向导方式的NAT 和Route 模式的配置建议首先使用命令行开始，

方式连接防火墙，这个管理方式不受接口IP 地址的影响。

注：在设备缺省的情况下，防火墙的信任区（Trust Zone ）所在的端口是工作在NAT 模式，其它安全区所在的端口是工作在路由模式的。 基于命令行方式的防火墙设备部署的配置如下（网络环境同上一章节所讲述的环境）：

2.5.1、NS-5GT NAT/Route 模式下的基本配置

接口名称叫做trust 和untrust ；缺省Zone 包括：trust 和untrust ，注意和接口区分开。 92.168.1.1/24（设置内网端口的IP 地址，必须先定义zone ，之

； ⑤ Set interface untrust ip 10.10.10.1/24（设置外网口的IP 地址）；

的

注：NS-5GT 设备的物理请

① Unset interface trust ip （清除防火墙内网端口的IP 地址）； ② Set interface trust zone trust （将内网端口分配到trust zone ）；

③ Set interface trust ip 1后再定义IP 地址）；

④ Set interface untrust zone untrust （将外网口分配到untrust zone

）

⑥ Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251（设置防火墙对外的缺省路

由网关地址）；

⑦ Set policy from trust to untrust any any any permit log（定义一条由内网到外网的访问

策略。策略的方向是：由zone trust 到 zone untrust，源地址为：any，目标地址为：any，网络服务为：any，策略动作为：permit允许，log：开启日志记录）；

⑧ Save （保存上述的配置文件）。

2.5.2、NS-25-208 NAT/Route模式下的基本配置

① Unset interface ethernet1 ip（清除防火墙内网口缺省IP地址）；

② Set interface ethernet1 zone trust（将ethernet1端口分配到trust zone）；

③ Set interface ethernet1 ip 192.168.1.1/24（定义ethernet1端口的IP地址）；

④ Set interface ethernet3 zone untrust（将ethernet3端口分配到untrust zone）；

⑤ Set interface ethernet3 ip 10.10.10.1/24（定义ethernet3端口的IP地址）；

⑥ Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251（定义防火墙对外的缺省

路由网关）；

⑦ Set policy from trust to untrust any any any permit log（定义由内网到外网的访问控制

策略）；

⑧ Save （保存上述的配置文件）

注：上述是在命令行的方式上实现的NAT模式的配置，因为防火墙出厂时在内网端口（trust zone所属的端口）上启用了NAT，所以一般不用特别设置，但是其它的端口则工作在路由模式下，例如：untrust和DMZ区的端口。

如果需要将端口从路由模式修改为NAT模式，则可以按照如下的命令行进行修改：

① Set interface ethernet2 NAT （设置端口2为NAT模式）

② Save

总结：

① NAT/Route模式做防火墙部署的主要模式，通常是在一台防火墙上两种模式混合进行

（除非防火墙完全是在内网应用部署，不需要做NAT-地址转换，这种情况下防火墙所有端口都处于Route模式，防火墙首先作为一台路由器进行部署）；

② 关于配置举例，NS-5GT由于设备设计上的特殊性，因此专门列举加以说明；Juniper

在2006年全新推出的SSG系列防火墙，除了端口命名不一样，和NS-25等设备管理配置方式一样。

2.6、基于非向导方式的透明模式下的基本配置

实现透明模式配置建议采用命令行的方式，因为采用Web的方式实现时相对命令行的方式麻烦。通过控制台连接防火墙的控制口，登录命令行管理界面，通过如下命令及步骤进行二层透明模式的配置：

① Unset interface ethernet1 ip（将以太网1端口上的默认IP地址删除）；

juniper防火墙配置手册

JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置：STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置：STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)

JuniperSA基本配置手册

J u n i p e r S A基本配置手 册

Juniper SA 基本配置手册 联强国际-李铭 2009 年10 月 第一章Juniper SA 配置步骤、名词解释 (2) 第二章初始化、基本配置 (4) Console下进行初始化配 置 ......................................................................... (4) Web中管理员身份登 录......................................................................... (6) 基本配置............................................................................. ..........................................7 第三章认证服务器的配置............................................................................. 11 第四章用户角色的配置(Role) ........................................................................ ......................13 第五章用户区域的配置(Realm) ........................................................................ ...................16 第六章资源访问策略的配置（resource policy)..................................................................19 第七章用户登陆的配置（sign in policy) ........................................................................ ...23 第八章SAM的应用与配置............................................................................. .. (26) 功能SAM介 绍：........................................................................ (26) WSAM-Client Applications应用范 例 (26) WSAM Destinations 应用范 例......................................................................... (31) JSAM应用范 例......................................................................... (34)

Juniper SRX防火墙简明配置手册-090721

Juniper SRX防火墙简明配置手册 卞同超 Juniper 服务工程师 Juniper Networks, Inc. 北京市东城区东长安街1号东方经贸城西三办公室15层1508室 邮编:100738 目录 一、JUNOS操作系统介绍 ............................................................................................................. 1.1 层次化配置结构........................................................................................................................ 1.2 JunOS配置管理......................................................................................................................... 1.3 SRX主要配置内容.................................................................................................................... 二、SRX防火墙配置对照说明...................................................................................................... 2.1 初始安装.................................................................................................................................... 2.1.1 登陆............................................................................................................................... 2.1.2 设置root用户口令..................................................................................................... 2.1.3 设置远程登陆管理用户............................................................................................... 2.1.4 远程管理SRX相关配置............................................................................................... 2.2 Policy .......................................................................................................................................... 2.3 NAT ............................................................................................................................................ 2.3.1 Interface based NAT................................................................................................. 2.3.2 Pool based Source NAT............................................................................................. 2.3.3 Pool base destination NAT..................................................................................... 2.3.4 Pool base Static NAT............................................................................................... 2.4 IPSEC VPN................................................................................................................................. 2.5 Application and ALG .................................................................................................................. 2.6 JSRP............................................................................................................................................ 三、SRX防火墙常规操作与维护.......................................................................................................... 3.1 设备关机................................................................................................................................ 3.2设备重启............................................................................................................................... 3.3操作系统升级 (15) 3.4密码恢复............................................................................................................................... 3.5常用监控维护命令............................................................................................................... Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

Juniper_SRX基本配置手册

Juniper SRX防火墙基本配置手册

1SRX防火墙的PPPoE拔号配置 Juniper SRX防火墙支持PPPoE拔号，这样防火墙能够连接ADSL链路，提供给内网用户访问网络的需求。 配置拓扑如下所示： Juniper SRX240防火墙 在Juniper SRX防火墙上面设置ADSL PPPoE拔号，可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0，在命令行下面的查看命令如下所示： juniper@HaoPeng# run show interfaces terse | match pp Interface Admin Link Proto Local Remote pp0 up up 在WEB界面下，也能够看到PPPoE的拔号接口pp0 配置步聚如下所示： 第一步：选择接口ge-0/0/4作为PPPoE拔号接口的物理接口，将接口封装成PPPoE To configure PPPoE encapsulation on an Ethernet interface: juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether 第二步：配置PPPoE接口PP0.0的参数 To create a PPPoE interface and configure PPPoE options: user@host# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/4.0 auto-reconnect 100 idle-timeout 100 client

Juniper防火墙日常维护手册

Juniper防火墙维护手册

目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置（双机配置） (7) 1.5.配置MIP（通过图形界面配置） (9) 1.6.配置访问策略（通过图形界面配置） (11) https://www.sodocs.net/doc/9616515330.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)

1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen，为了便于区分设备和维护，在对防火墙进行配置前先对防火墙进行命名： Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段，用于专门对接口进行管理时用。在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理IP，则不能对备用防火墙进行登录了。一般在单机时，不需要配置接口的管理IP，但在双机时，建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意：接口的工作模式可以工作在路由模式，NAT模式和透明模式。在产品线应用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用，建议把防火墙的所有接口都配置成route的工作模式，用命令set interface接口名 route配置即可，缺省情况下需要在trust区段中的接口使用此命令。 本例子中，配置接口ethernet2属于Untrust区，IP地址为202.38.12.23/28，如设置管理方式是Http，命令如下： Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat

Juniper_SRX防火墙Web配置手册

Juniper SRX防火墙配置手册

Juniper SRX防火墙配置说明 1系统配置 (1) 1.1配置ROOT帐号密码 (1) 1.2配置用户名和密码 (2) 2接口配置 (8) 2.1IPV4地址配置 (9) 2.2接口T RUNK模式配置 (13) 2.3接口A CC ESS模式配置 (14) 3VLAN配置 (15) 3.1创建VLAN配置 (15) 4路由配置 (19) 4.1静态路由配置 (21) 5自定义应用配置 (22) 5.1自定义服务配置 (22) 5.2应用组配置 (23) 6地址组配置 (24) 6.1地址簿配置 (24) 6.2地址组配置 (25) 7日程表配置 (27) 8NAT配置 (30) 8.1S TA TIC NA T配置 (30)

1 系统配置 1.1 配置root帐号密码 首次登陆设备时，需要采用console方式，登陆用户名为：root，密码为空，登陆到cli下以后，执行如下命令，设置root帐号的密码。 root# set system root-authentication plain-text-password root# new password : root123 root# retype new password: root123 密码将以密文方式显示。 注意：必须要首先配置root帐号密码，否则后续所有配置的修改都无法提交。 SRX系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在trust区域，配置一个ip地址192.168.1.1，允许ping、telnet、web等管理方式，可以通过该地址登陆设备。登陆后显示页面如下：

juniper防火墙详细配置手册

Juniper防火墙简明实用手册 （版本号：）

目录 1juniper中文参考手册重点章节导读.................................... 错误!未定义书签。 第二卷：基本原理 ...................................................... 错误!未定义书签。 第一章：ScreenOS 体系结构 .......................... 错误!未定义书签。 第二章：路由表和静态路由............................ 错误!未定义书签。 第三章：区段.................................................... 错误!未定义书签。 第四章：接口.................................................... 错误!未定义书签。 第五章：接口模式............................................ 错误!未定义书签。 第六章：为策略构建块.................................... 错误!未定义书签。 第七章：策略.................................................... 错误!未定义书签。 第八章：地址转换............................................ 错误!未定义书签。 第十一章：系统参数........................................ 错误!未定义书签。 第三卷：管理 .............................................................. 错误!未定义书签。 第一章：管理.................................................... 错误!未定义书签。 监控NetScreen 设备........................................ 错误!未定义书签。 第八卷：高可用性 ...................................................... 错误!未定义书签。 NSRP ................................................................... 错误!未定义书签。 故障切换............................................................ 错误!未定义书签。2Juniper防火墙初始化配置和操纵........................................ 错误!未定义书签。3查看系统概要信息................................................................. 错误!未定义书签。4主菜单常用配置选项导航..................................................... 错误!未定义书签。5Configration配置菜单 ........................................................... 错误!未定义书签。 Date/Time:日期和时间 ............................................... 错误!未定义书签。 Update更新系统镜像和配置文件 ............................. 错误!未定义书签。 更新ScreenOS系统镜像 .................................. 错误!未定义书签。 更新config file配置文件.................................. 错误!未定义书签。 Admin管理 .................................................................. 错误!未定义书签。 Administrators管理员账户管理....................... 错误!未定义书签。 Permitted IPs：允许哪些主机可以对防火墙进行管理错误!未定

Juniper防火墙故障情况下的快速恢复

为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。 一、设备重启动：Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。 二、操作系统备份：日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。 三、操作系统恢复：当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统，命令行方式：save software from tftp x.x.x.x filename to flash，或通过web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。 四、配置文件备份： 日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。 2、通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config配置信息记录到本地。 3、通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。 五、配置文件恢复： 防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。 2、通过web页面进行配置文件恢复：Configuration > Update > Config File，选中Replace Current Configuration，并从本地设备中选中供恢复的备份配置文件，点击apply后系统将进行重启动使新配置生效。 3、通过超级终端远程telnet/ssh到防火墙，通过unset all 命令清除防火墙配置，并进行重启，重启后将备份的配置命令粘贴到防火墙中。 六、恢复出厂值：console线缆连接到防火墙，通过reset命令对防火墙进行重启，并使用防火墙的16位序列号作为账号/口令进行登陆，可将防火墙配置快速恢复为出厂值。 七、硬件故障处理： 当防火墙出现故障时，且已经排除配置故障和ScreenOS软件故障，可通过NSRP切换到备用设备来恢复网络运行，并进一步定位硬件故障。切换方式为1、拔掉主用防火墙的上下行网线（仅在设备关闭电源的情况下，才需要拔掉该设备的HA连线），防火墙将自动进行主备切换。2、或在主用设备上执行：exec nsrp vsd-group id 0 mode backup,手动执行防火墙主备切换。 八、设备返修（RMA）:如经Juniper公司确认防火墙发生硬件故障，请及时联系设备代理商。设备代理商将根据报修流程，由Juniper公司对保修期内的损坏部件或设备进行RMA（设备返修）。

Juniper 常用配置

Juniper 常用配置 一、基本操作 1、登录设备 系统初始化用户名是roo t，密码是空。在用户模式下输入configure或者是edit可以进入配置模式。 2、设置用户名：set host-name EX4200。 3、配置模式下运行用户模式命令，则需要在命令前面加一个run，如：run show interface 。 4、在show 后面使用管道符号加上display set将其转换成set 格式命令show protocols ospf | display set 。 5、在需要让配置生效需要使用commit命令，在commit之前使用commit check来对配置进行语法检查。如果提交之后，可以使用rollback进行回滚，rollback 1回滚上一次提前之前的配置，rollback 2则是回滚上 2 次提交之前的配置。 6、交换机重启：request system reboot 7、交换机关机：request system halt 二、交换机基本操作 2.1 设置root密码 交换机初始化用户名是root 是没有密码的，在进行commit 之前必须修改root 密码。明文修改方式只是输入的时候是明文，在交换机中还是以密文的方式存放的。 实例： 明文修改方式： lab@EX4200-1# top [edit] lab@EX4200-1# edit system [edit system] lab@EX4200-1# set root-authentication plain-text-password 2.2 设置删除主机名 实例：

#"设置主机名为EX4200" lab@EX4200-1# edit system [edit system] lab@EX4200-1# set host-name EX4200 #”删除命令”# lab@EX4200-1# edit system [edit system] lab@EX4200-1# delete host-name EX4200 2.3 开启Telnet登陆服务 说明：在默认缺省配置下，EX 交换机只是开放了http 远程登陆方式，因此如果想通过telnet登陆到交换机上，必须在系统中打开telnet 服务。 实例： lab@EX4200-1# edit system service [edit system services] #打开Telnet 服务 lab@EX4200-1# set telnet #同时telnet 的最大连接数范围1-250 lab@EX4200-1# set telnet connection-limit 10 #每分钟同时最大连接数范围1-250 lab@EX4200-1# set telnet rate-limit 10 #删除telnet服务 lab@EX4200-1# edit system service [edit system services] lab@EX4200-1# delete telnet 2.4 开启远程ssh登陆 EX 交换机默认是没有开启SSH 服务，当你打开了SSH 服务而没有制定SSH 的版本，系统自动支持V1和V2 版本。如果你指定了SSH 的版本，则系统只允许你指定版本的SSH 登陆。 实例： lab@EX4200-1# edit system service

Juniper SRX防火墙巡检命令

Juniper SRX防火墙巡检命令 1. CPU利用率核查show chassis routing-engine 2. MEM利用率核查show chassis routing-engine 3. OSPF邻居关系核查show ospf neighbor 4. LDP端口状态检查show ldp interface 5. ISIS邻居关系检查show isis adjacency 6. BGP邻居关系检查show bgp neighbor 7. HSRP信息检查show vrrp extensive 8. 生成树STP信息检查 9. 电源状态核查show chassis environment pem 10. 风扇状态核查show chassis environment 11. 单板告警核查show chassis alarms 12. 单板状态核查show chassis fpc/show chassis fpc pic-status 13. 单板温度核查show chassis fpc/show chassis fpc pic-status 14. 单板固件版本信息检查show chassis fpc detail 15. 接口配置核查show configuration interfaces 16. 接口描述规范性核查show interface descriptions 17. AAA认证检查show configuration system 18. 引擎板冗余状态检查show configuration chassis redundancy 19. NTP状态核查show ntp associations 20. SYSLOG配置指向检查show configuration system syslog 21. TRAP配置指向检查

Juniper SRX防火墙配置手册-命令行模式

Juniper SRX防火墙简明配置手册

目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (4) 1.3 SRX主要配置内容 (5) 二、SRX防火墙配置对照说明 (6) 2.1 初始安装 (6) 2.1.1 登陆 (6) 2.1.2 设置root用户口令 (6) 2.1.3 设置远程登陆管理用户 (7) 2.1.4 远程管理SRX相关配置 (7) 2.2 Policy (8) 2.3 NAT (8) 2.3.1 Interface based NAT (9) 2.3.2 Pool based Source NAT (10) 2.3.3 Pool base destination NAT (11) 2.3.4 Pool base Static NAT (12) 2.4 IPSEC VPN (13) 2.5 Application and ALG (15) 2.6 JSRP (15) 三、SRX防火墙常规操作与维护 (19) 3.1 设备关机 (19) 3.2设备重启 (20) 3.3操作系统升级 (20) 3.4密码恢复 (21) 3.5常用监控维护命令 (22)

Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级。

juniper防火墙详细配置手册

juniper防火墙详细配置手册

Juniper防火墙简明实用手册 （版本号：V1.0）

目录 1juniper中文参考手册重点章节导读 (4) 1.1第二卷：基本原理 4 1.1.1第一章：ScreenOS 体系结构 4 1.1.2第二章：路由表和静态路由 4 1.1.3第三章：区段 4 1.1.4第四章：接口 4 1.1.5第五章：接口模式 5 1.1.6第六章：为策略构建块 5 1.1.7第七章：策略 5 1.1.8第八章：地址转换 5 1.1.9第十一章：系统参数 6 1.2第三卷：管理 6 1.2.1第一章：管理 6 1.2.2监控NetScreen 设备 6 1.3第八卷：高可用性

6 1.3.1...................................................... NSRP 6 1.3.2故障切换 7 2Juniper防火墙初始化配置和操纵 (8) 3查看系统概要信息 (9) 4主菜单常用配置选项导航 (10) 5Configration配置菜单 (11) 5.1Date/Time:日期和时间 11 5.2Update更新系统镜像和配置文件 12 5.2.1更新ScreenOS系统镜像 12 5.2.2更新config file配置文件 13 5.3Admin管理 15 5.3.1Administrators管理员账户管理 15 5.3.2Permitted IPs：允许哪些主机可以对防火墙进行管理 16 6Networks配置菜单 (17) 6.1Zone安全区 17 6.2Interfaces接口配置 19 6.2.1查看接口状态的概要信息 19

juniper配置命令大全(中英文对照版)

#---表示翻译不一定准确 *---表示常用命令 >get ？ Address show address book显示地址信息 admin show admin information 显示管理员信息 alarm show alarm info 显示报警信息 alg application layer gateway information 应用层网关信息 alg-portnum get ALG port num 获得ALG接口号码 alias get alias definitions 得到别名定义 arp show ARP entries 显示ARP记录 asp asp attack show attacks 显示攻击信息 auth show authentication information 显示登陆信息认证信息 auth-server authentication server settings 认证服务器设置 backu4p backup information 备份信息 chassis show chassis information 显示机架信息（机架温度….） clock show system clock 显示系统时钟 config show system configuration 显示系统配置信息 console show console parameters 显示控制台参数设置 counter show counters 显示计数器仪表 di get deep inspection parameters 深入检测参数 dialer get dialer information 得到拨号器信息 dip show all dips in a vsys or root 显示所有dip里的虚拟系统或者根dip-in show incoming dip table info 显示进入DIP表的信息 dns show dns info 显示DNS信息 domain show domain name 显示域名 dot1x display IEEE802.1X global configuration 显示IEEE802.1X全局配置driver show driver info 显示驱动信息 envar show environment variables 显示环境变量信息 event show event messages 显示事件消息 file show 显示文件信息 firewall show firewall protection information 显示防火墙保护信息 gate show gate info 阀门信息显示 global-pro global-pro settings 全局设置 # group show groups 显示组信息 group-expression group expressions details 组的表达方式详细信息 hostname show host name 显示主机名 igmp IGMP ike get IKE info 得到密钥信息 infranet Infranet Controller configuration Infranet控制器配置interface show interfaces 显示接口信息 ip get ip parameters 获得IP参数 ip-classification Show IP classification 显示IP分类 ippool get ippool info 得到IP地址池信息 ipsec get ipsec information 得到安全协议的信息 irdp show IRDP status 显示IRDP的状态地位