juniper防火墙详细配置手册.doc

1、Juniper 防火墙简明实用手册（版本号：V1.0）第 1 页 目 录1 juniper 中文参考手册重点章节导读 .31.1 第二卷：基本原理 .31.1.1 第一章：ScreenOS 体系结构 .31.1.2 第二章：路由表和静态路由 .31.1.3 第三章：区段 .31.1.4 第四章：接口 .31.1.5 第五章：接口模式 .41.1.6 第六章：为策略构建块 .41.1.7 第七章：策略 .41.1.8 第八章：地址转换 .41.1.9 第十一章：系统参数 .51.2 第三卷：管理 .51.2.1 第一章：管理 .51.2.2 监控 NetScreen 设备 .51.3 第八卷：高

2、可用性 .51.3.1 NSRP.51.3.2 故障切换 .62 Juniper 防火墙初始化配置和操纵 .73 查看系统概要信息 .84 主菜单常用配置选项导航 .95 Configration 配置菜单 .105.1 Date/Time:日期和时间 .105.2 Update 更新系统镜像和配置文件 .115.2.1 更新 ScreenOS 系统镜像 .115.2.2 更新 config file 配置文件 .125.3 Admin 管理 .145.3.1 Administrators 管理员账户管理 .145.3.2 Permitted IPs：允许哪些主机可以对防火墙进行管理 .15第

3、 2 页 6 Networks 配置菜单 .166.1 Zone 安全区 .166.2 Interfaces 接口配置 .186.2.1 查看接口状态的概要信息 .186.2.2 设置 interface 接口的基本信息 .186.2.3 设置地址转换 .206.2.4 设置接口 Secondary IP 地址 .246.3 Routing 路由设置 .256.3.1 查看防火墙路由表设置 .256.3.2 创建新的路由条目 .267 Policy 策略设置 .277.1 查看目前策略设置 .277.2 创建策略 .288 对象 Object 设置 .309 策略 Policy 报告 Repo

4、rt.3231 juniper 中文参考手册重点章节导读版本：Juniper 防火墙 5.0 中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper 防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。1.1 第二卷：基本原理1.1.1 第一章：ScreenOS 体系结构 安全区 安全区接口 策略1.1.2 第二章：路由表和静态路由 配置静态路由1.1.3 第三章：区段 安全区 配置安全区 功能区段：HA 区段1.1.4 第四章：接口 接口类型：安全区接口

5、：物理 接口类型：安全区接口：功能区段接口 察看接口 配置安全区接口：将接口绑定到安全区、从安全区解除接口绑定、4修改接口、跟踪 IP 地址 二级 IP 地址1.1.5 第五章：接口模式 透明模式 NAT 模式 路由模式1.1.6 第六章：为策略构建块 地址：地址条目、地址组 服务：预定义的服务、定制服务 DIP 池：端口地址转换、范例：创建带有 PAT 的 DIP 池、范例：修改 DIP 池、扩展接口和 DIP 时间表1.1.7 第七章：策略 三种类型的策略 策略定义 策略应用1.1.8 第八章：地址转换 地址转换简介 源网络地址转换 目的网络地址转换 映射 IP 地址 虚拟 IP 地址51

6、.1.9 第十一章：系统参数 下载/上传设置和固件 系统时钟1.2 第三卷：管理1.2.1 第一章：管理 通过 WEB 用户界面进行管理 通过命令行界面进行管理 管理的级别：根管理员、可读/ 写管理员、只读管理员、定义 Admin用户 保证管理信息流的安全：更改端口号、更改 Admin 登录名和密码、重置设备到出厂缺省设置、限制管理访问1.2.2 监控 NetScreen 设备 储存日志信息 事件日志 信息流日志 系统日志1.3 第八卷：高可用性1.3.1 NSRP NSRP 概述 NSRP 和 NETSCREEN 的操作模式 NSRP 集群 VSD 组6 同步1.3.2 故障切换 设备故障切

7、换(NSRP) VSD 组故障切换(NSRP) 为设备或 VSD 组故障切换配置对象监控72 Juniper 防火墙初始化配置和操纵对一台空配置的 Juniper 防火墙我们可以用两种方法去进行操纵：Console控制台和 WEB。1. Console 控制台：使用 Console 线连接到 Juniper 的防火墙上的Console 口，利用超级终端用 CLI 命令行界面进行配置。2. 使用 WEB 界面：Juniper 防火墙上默认情况下在 E1 接口（trust）口有一个初始管理 IP 地址 192.168.1.1 255.255.255.0；我们可以把自己的笔记本和防火墙的 E1 口用

8、一根交叉线连接起来，然后把本机的地址配置为 192.168.1.X 255.255.255.0，之后我们就可以在本机上通过IE 浏览器登陆 192.168.1.1 的地址通过 WEB 界面对设备进行配置了。注意 1：Juniper 防火墙接口的 WEB 管理特性默认只在 E1 接口（trust）口才启用，也就是说我们有可能无法通过用 WEB 登陆其他接口进行操纵，除非我们提前已经打开了相应接口的 WEB 管理选项。注意 2：如果 Juniper 防火墙上有配置，我们不知道目前 E1 接口的 IP 地址，我们可以先通过 Console 控制台用“get interface”的命令看一下目前 E1

9、 口的 IP 地址。注意 3：Juniper 防火墙 OS 5.0 以上的版本支持 MDI 和 MDIX 自适应，也就是说我们的主机和 E1 口也可以用直通线进行互连，但这种方式有失效的时候，如果出现用交叉线互连物理也无法 UP 的情况，可以在 Console 控制台用 “ NS208- delete file flash:/ns_sys_config”删除配置文件并重起防火墙的方式可以解决(Juniper 的 BUG)。注：系统默认登陆用户名和口令都是：“netscreen” 。83 查看系统概要信息使用 WEB 登陆防火墙的管理地址，进入 GUI 管理界面，如上图所示。 左边是主配置菜单。

10、 右边最上方是系统启动以及时间信息，右上角显示主机名。 Device information：设备信息，显示设备硬软件版本、序列号以及主机名。 Interface link status：接口链路状态，显示接口所属区和链路 UP/DOWN信息。 Resources Status：资源状况，显示系统 CPU 和内存使用率以及目前的会话和策略是系统满负荷的比例。 （其中注意内存使用率是不真实的，在系统空负荷的情况下内存占用率也会很高，是系统本身设计的问题） 。9 The most recent alarms：系统最近的报警信息 The most recent events：系统最近的通告信息4 主菜单常用配置选项导航在主菜单中我们经常用到的配置菜单如下，后面将针对这些常用配置选项进行详细的介绍。1. Configuration：Date/Time；Update ；Admin；Auth；Report Settings2. Network：Zones ；Interfaces ；Routing ；NSRP3. Polices4. Objects：Addresses ； Services5. Reports：Polices只要能够熟练掌握以上设置选项，就足以应对外网改造和日常维护的工作。