JUNIPER防火墙配置维护-web方式

JUNIPER防火墙配置维护

编者：周洪强

审核：谢斌

中兴通讯固网深圳用服部

修改记录

目录

第1章防火墙的基本知识及概念 (1)

第2章安装步骤 (2)

2.1初始化配置 (2)

2.2端口设置 (4)

2.2.1 设置HA端口 (4)

2.2.2 连接接口设置 (5)

2.2.3 Internet接口设置。 (6)

2.2.4 设置redundant 冗余接口 (7)

2.2.5 建立red1冗余接口的成员 (8)

2.3设置路由 (9)

2.3.1 路由表选择 (9)

2.3.2 增加默认路由 (10)

2.3.3 增加内部网络的路由 (11)

2.4NA T设置 (11)

2.4.1 设置Internet网端的NAT (11)

2.4.2 设置10.0.0.0网端的地址翻译 (14)

2.5端口服务 (15)

2.6定义策略 (18)

2.6.1 设置10.0.0.0网端访问防火墙内部业务处理机服务器的策略 (18)

2.6.2 内部网络访问外部网络的策略定义 (21)

2.7双机冗余NSRP配置 (22)

2.7.1 激活NSRP (22)

2.7.2 设置VSD Group (23)

2.7.3 同步 (23)

2.7.4 监控端口 (24)

2.7.5 同步另一台配置 (25)

2.8账号管理 (26)

2.9配置文件备份 (27)

2.10版本升级步骤 (29)

第1章防火墙的基本知识及概念

摘要：

本章内容介绍防火墙基本知识和概念。

安全区是由一个或多个网段组成的集合，需要通过策略来对入站和出站信息流进行调整安全区是绑定了一个或多个接口的逻辑实体。

1．通过多种类型的NetScreen设备，用户可以定义多个安全区，确切数目可根据网络需要来确定。除用户定义的区段外，用户还可以使用预定义的区段：Trust、Untrust和DMZ

（用于第3层操作），或者V1-Trust、V1-Untrust和V1-DMZ（用于第2层操作）。

2．如果愿意，可以继续使用这些预定义区段。也可以忽略预定义区段而只使用用户定义的区段。

3．另外，用户还可以同时使用这两种区段:预定义和用户定义。利用区段配置的这种灵活性，用户可以创建能够最好地满足用户的具体需要的网络设计。

图1-1 网络图

第2章安装步骤

摘要：

本章内容介绍juniper防火墙的安装设置。

2.1 初始化配置

按以下连接防火墙，然后进行初始化设置。

1．Console方式

基于Console终端配置ISG2000的准备工作如下：

安装Windows操作系统的PC一台（装有超级终端）

ISG2000设备自带的Console电缆一条

使用超级终端建立一个连接，通过Console电缆一端连接ISG2000，一端连接COM，COM 的参数设置如图2-1：

图2-1 com属性

2．基于WEB方式

在浏览器地址栏键入http://10.147.66.65（ISG2000设备初始IP地址192.168.1.1），如下图2-2：

图2-2 IE初始化打开登陆界面

使用Console端口做初始化配置。Juniper防火墙的初始账号和密码分别为：

login: netscreen

password:netscreen

nsisg2000-> set hostname FW01 ----------设置主机名称

FW01->

FW01-> set int mgt ip 10.147.66.65/27 ---------设置管理端口的地址

将电脑网卡地址设置成和管理端口同一网段。

3．图形登陆

打开IE浏览器，并在URL：输入防火墙的管理地址。

图2-3 IE打开登陆界面

2.2 端口设置

2.2.1 设置HA端口

选择Network > Interfaces > Ethernet1/1 > Edit

在Zone Name ：HA ---------将Ethernet 1/1 设置成HA心跳端口

图2-4 HA端口设置界面

选择Network > Interfaces > Ethernet1/2 > Edit

在Zone Name ：HA ---------将Ethernet 1/2 设置成HA心跳端口

图2-5 HA心跳端口设置界面

2.2.2 连接接口设置

选择Network > Interfaces > Ethernet2/1 > Edit ：输入以下内容，单击OK

在Zone Name ：Untrust ---------将Ethernet 2/1 设置成Untrust安全区域IP Address / Netwask : 10.0.0.251 /25 ----------输入IP 地址

图2-6 连接接口设置界面2.2.3 Internet接口设置。

图2-7 Internet接口设置界面

2.2.4 设置redundant 冗余接口

选择Network > Interfaces > Redundant IF：单击New

图2-8 redundant冗余接口界面

输入以下内容，单击OK

Interface Name : Redundant 1 ----------------建立red1接口

Zone Name ：Trust ---------将Red1接口设置成Trust安全区域IP Address / Netwask : 10.147.67.1/27 ----------输入IP地址和掩码

图2-9 Redundant

图2-10 redundant冗余接口界面

2.2.5 建立red1冗余接口的成员

选择Network > Interfaces >Ethernet 3/2：输入以下内容，单击OK As member of group : redundant 1

图2-11 建立red1冗余接口的成员界面选择Network > Interfaces >Ethernet 3/1：输入以下内容，单击OK As member of group : redundant 1

图2-12 建立red1冗余接口的成员界面

图2-13 建立red1冗余接口的成员界面2.3 设置路由

2.3.1 路由表选择

Network > Routing >Routing Entries

图2-14 路由表选择界面

2.3.2 增加默认路由

Network > Routing >Routing Entries > trust-vr > New，输入以下内容，单击OK。

Network Address / Netmask : 0.0.0.0 / 0

Gateway：

Interface: ethernet2/2

Gateway IP Address : 211.138.184.193 ------网关地址，CMNet6506接口地址

图2-15 增加默认路由界面

2.3.3 增加内部网络的路由

Network > Routing >Routing Entries > trust-vr > New，输入以下内容，单击OK。

Network Address / Netmask : 10.147.70.0 / 255.255.255.0

Gateway：

Interface: redundant1

Gateway IP Address : 10.147.70.2 ------网关地址，F5 VRRP接口地址

输入10.147.70.30

图2-16 增加内部网络的路由界面

2.4 NAT设置

2.4.1 设置Internet网端的NAT

Network > Internet（List）

选择正确的接口。Ethernet2/2接口是连接Internet接口，因此选择在该端口上设置NA T。

选择Network > Interface > Ethernet 2/2 > Edit > MIP （List）> NEW

图2-19 设置Internet网端的NAT界面

输入以下内容，单击OK。

Mapped IP : 211.138.184.198 -------公网WWW服务器地址Network : 255.255.255.255

Host IP Address : 10.147.67.68 -------内网WWW服务器网卡地址Host Virtual Router Name :trust-vr

图2-20 设置Internet网端的NAT界面

图2-21 设置Internet网端的NAT界面2.4.2 设置10.0.0.0网端的地址翻译

Network > Interface > Ethernet 2/1 > Edit

选择MIP。

图2-23 设置10.0.0.0网端的地址翻译界面输入以下内容，单击OK。

Mapped IP : 10.0.0.172 -------服务地址

Network : 255.255.255.255

Host IP Address : 10.147.67.5 -------F5 设备VIP 地址Host Virtual Router Name :trust-vr

输入:10.147.70.5

图2-24 设置10.0.0.0网端的地址翻译界面2.5 端口服务

选择Objects > Services > Custom：

图2-25 设置端口服务界面选择，输入以下内容，单击OK。

图2-26 设置端口服务界面

选择OK。

图2-27 设置端口服务界面增加其他的服务：

juniper防火墙配置手册

JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置：STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置：STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)

Juniper SRX防火墙简明配置手册-090721

Juniper SRX防火墙简明配置手册 卞同超 Juniper 服务工程师 Juniper Networks, Inc. 北京市东城区东长安街1号东方经贸城西三办公室15层1508室 邮编:100738 目录 一、JUNOS操作系统介绍 ............................................................................................................. 1.1 层次化配置结构........................................................................................................................ 1.2 JunOS配置管理......................................................................................................................... 1.3 SRX主要配置内容.................................................................................................................... 二、SRX防火墙配置对照说明...................................................................................................... 2.1 初始安装.................................................................................................................................... 2.1.1 登陆............................................................................................................................... 2.1.2 设置root用户口令..................................................................................................... 2.1.3 设置远程登陆管理用户............................................................................................... 2.1.4 远程管理SRX相关配置............................................................................................... 2.2 Policy .......................................................................................................................................... 2.3 NAT ............................................................................................................................................ 2.3.1 Interface based NAT................................................................................................. 2.3.2 Pool based Source NAT............................................................................................. 2.3.3 Pool base destination NAT..................................................................................... 2.3.4 Pool base Static NAT............................................................................................... 2.4 IPSEC VPN................................................................................................................................. 2.5 Application and ALG .................................................................................................................. 2.6 JSRP............................................................................................................................................ 三、SRX防火墙常规操作与维护.......................................................................................................... 3.1 设备关机................................................................................................................................ 3.2设备重启............................................................................................................................... 3.3操作系统升级 (15) 3.4密码恢复............................................................................................................................... 3.5常用监控维护命令............................................................................................................... Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

Juniper防火墙日常维护手册

Juniper防火墙维护手册

目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置（双机配置） (7) 1.5.配置MIP（通过图形界面配置） (9) 1.6.配置访问策略（通过图形界面配置） (11) https://www.wendangku.net/doc/9a17929347.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)

1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen，为了便于区分设备和维护，在对防火墙进行配置前先对防火墙进行命名： Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段，用于专门对接口进行管理时用。在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理IP，则不能对备用防火墙进行登录了。一般在单机时，不需要配置接口的管理IP，但在双机时，建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意：接口的工作模式可以工作在路由模式，NAT模式和透明模式。在产品线应用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用，建议把防火墙的所有接口都配置成route的工作模式，用命令set interface接口名 route配置即可，缺省情况下需要在trust区段中的接口使用此命令。 本例子中，配置接口ethernet2属于Untrust区，IP地址为202.38.12.23/28，如设置管理方式是Http，命令如下： Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat

Juniper_SRX防火墙Web配置手册

Juniper SRX防火墙配置手册

Juniper SRX防火墙配置说明 1系统配置 (1) 1.1配置ROOT帐号密码 (1) 1.2配置用户名和密码 (2) 2接口配置 (8) 2.1IPV4地址配置 (9) 2.2接口T RUNK模式配置 (13) 2.3接口A CC ESS模式配置 (14) 3VLAN配置 (15) 3.1创建VLAN配置 (15) 4路由配置 (19) 4.1静态路由配置 (21) 5自定义应用配置 (22) 5.1自定义服务配置 (22) 5.2应用组配置 (23) 6地址组配置 (24) 6.1地址簿配置 (24) 6.2地址组配置 (25) 7日程表配置 (27) 8NAT配置 (30) 8.1S TA TIC NA T配置 (30)

1 系统配置 1.1 配置root帐号密码 首次登陆设备时，需要采用console方式，登陆用户名为：root，密码为空，登陆到cli下以后，执行如下命令，设置root帐号的密码。 root# set system root-authentication plain-text-password root# new password : root123 root# retype new password: root123 密码将以密文方式显示。 注意：必须要首先配置root帐号密码，否则后续所有配置的修改都无法提交。 SRX系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在trust区域，配置一个ip地址192.168.1.1，允许ping、telnet、web等管理方式，可以通过该地址登陆设备。登陆后显示页面如下：

juniper防火墙详细配置手册

Juniper防火墙简明实用手册 （版本号：）

目录 1juniper中文参考手册重点章节导读.................................... 错误!未定义书签。 第二卷：基本原理 ...................................................... 错误!未定义书签。 第一章：ScreenOS 体系结构 .......................... 错误!未定义书签。 第二章：路由表和静态路由............................ 错误!未定义书签。 第三章：区段.................................................... 错误!未定义书签。 第四章：接口.................................................... 错误!未定义书签。 第五章：接口模式............................................ 错误!未定义书签。 第六章：为策略构建块.................................... 错误!未定义书签。 第七章：策略.................................................... 错误!未定义书签。 第八章：地址转换............................................ 错误!未定义书签。 第十一章：系统参数........................................ 错误!未定义书签。 第三卷：管理 .............................................................. 错误!未定义书签。 第一章：管理.................................................... 错误!未定义书签。 监控NetScreen 设备........................................ 错误!未定义书签。 第八卷：高可用性 ...................................................... 错误!未定义书签。 NSRP ................................................................... 错误!未定义书签。 故障切换............................................................ 错误!未定义书签。2Juniper防火墙初始化配置和操纵........................................ 错误!未定义书签。3查看系统概要信息................................................................. 错误!未定义书签。4主菜单常用配置选项导航..................................................... 错误!未定义书签。5Configration配置菜单 ........................................................... 错误!未定义书签。 Date/Time:日期和时间 ............................................... 错误!未定义书签。 Update更新系统镜像和配置文件 ............................. 错误!未定义书签。 更新ScreenOS系统镜像 .................................. 错误!未定义书签。 更新config file配置文件.................................. 错误!未定义书签。 Admin管理 .................................................................. 错误!未定义书签。 Administrators管理员账户管理....................... 错误!未定义书签。 Permitted IPs：允许哪些主机可以对防火墙进行管理错误!未定

Juniper防火墙故障情况下的快速恢复

为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。 一、设备重启动：Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。 二、操作系统备份：日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。 三、操作系统恢复：当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统，命令行方式：save software from tftp x.x.x.x filename to flash，或通过web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。 四、配置文件备份： 日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。 2、通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config配置信息记录到本地。 3、通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。 五、配置文件恢复： 防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。 2、通过web页面进行配置文件恢复：Configuration > Update > Config File，选中Replace Current Configuration，并从本地设备中选中供恢复的备份配置文件，点击apply后系统将进行重启动使新配置生效。 3、通过超级终端远程telnet/ssh到防火墙，通过unset all 命令清除防火墙配置，并进行重启，重启后将备份的配置命令粘贴到防火墙中。 六、恢复出厂值：console线缆连接到防火墙，通过reset命令对防火墙进行重启，并使用防火墙的16位序列号作为账号/口令进行登陆，可将防火墙配置快速恢复为出厂值。 七、硬件故障处理： 当防火墙出现故障时，且已经排除配置故障和ScreenOS软件故障，可通过NSRP切换到备用设备来恢复网络运行，并进一步定位硬件故障。切换方式为1、拔掉主用防火墙的上下行网线（仅在设备关闭电源的情况下，才需要拔掉该设备的HA连线），防火墙将自动进行主备切换。2、或在主用设备上执行：exec nsrp vsd-group id 0 mode backup,手动执行防火墙主备切换。 八、设备返修（RMA）:如经Juniper公司确认防火墙发生硬件故障，请及时联系设备代理商。设备代理商将根据报修流程，由Juniper公司对保修期内的损坏部件或设备进行RMA（设备返修）。

Juniper SSG5防火墙安装配置指南

安全产品 SSG 5 硬件安装和配置指南 Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000 https://www.wendangku.net/doc/9a17929347.html, 编号: 530-015647-01-SC，修订本 02

Copyright Notice Copyright ? 2006 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice. FCC Statement The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device. Disclaimer THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY. 2

Juniper SRX防火墙巡检命令

Juniper SRX防火墙巡检命令 1. CPU利用率核查show chassis routing-engine 2. MEM利用率核查show chassis routing-engine 3. OSPF邻居关系核查show ospf neighbor 4. LDP端口状态检查show ldp interface 5. ISIS邻居关系检查show isis adjacency 6. BGP邻居关系检查show bgp neighbor 7. HSRP信息检查show vrrp extensive 8. 生成树STP信息检查 9. 电源状态核查show chassis environment pem 10. 风扇状态核查show chassis environment 11. 单板告警核查show chassis alarms 12. 单板状态核查show chassis fpc/show chassis fpc pic-status 13. 单板温度核查show chassis fpc/show chassis fpc pic-status 14. 单板固件版本信息检查show chassis fpc detail 15. 接口配置核查show configuration interfaces 16. 接口描述规范性核查show interface descriptions 17. AAA认证检查show configuration system 18. 引擎板冗余状态检查show configuration chassis redundancy 19. NTP状态核查show ntp associations 20. SYSLOG配置指向检查show configuration system syslog 21. TRAP配置指向检查

Juniper SRX防火墙配置手册-命令行模式

Juniper SRX防火墙简明配置手册

目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (4) 1.3 SRX主要配置内容 (5) 二、SRX防火墙配置对照说明 (6) 2.1 初始安装 (6) 2.1.1 登陆 (6) 2.1.2 设置root用户口令 (6) 2.1.3 设置远程登陆管理用户 (7) 2.1.4 远程管理SRX相关配置 (7) 2.2 Policy (8) 2.3 NAT (8) 2.3.1 Interface based NAT (9) 2.3.2 Pool based Source NAT (10) 2.3.3 Pool base destination NAT (11) 2.3.4 Pool base Static NAT (12) 2.4 IPSEC VPN (13) 2.5 Application and ALG (15) 2.6 JSRP (15) 三、SRX防火墙常规操作与维护 (19) 3.1 设备关机 (19) 3.2设备重启 (20) 3.3操作系统升级 (20) 3.4密码恢复 (21) 3.5常用监控维护命令 (22)

Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级。

juniper防火墙详细配置手册

juniper防火墙详细配置手册

Juniper防火墙简明实用手册 （版本号：V1.0）

目录 1juniper中文参考手册重点章节导读 (4) 1.1第二卷：基本原理 4 1.1.1第一章：ScreenOS 体系结构 4 1.1.2第二章：路由表和静态路由 4 1.1.3第三章：区段 4 1.1.4第四章：接口 4 1.1.5第五章：接口模式 5 1.1.6第六章：为策略构建块 5 1.1.7第七章：策略 5 1.1.8第八章：地址转换 5 1.1.9第十一章：系统参数 6 1.2第三卷：管理 6 1.2.1第一章：管理 6 1.2.2监控NetScreen 设备 6 1.3第八卷：高可用性

6 1.3.1...................................................... NSRP 6 1.3.2故障切换 7 2Juniper防火墙初始化配置和操纵 (8) 3查看系统概要信息 (9) 4主菜单常用配置选项导航 (10) 5Configration配置菜单 (11) 5.1Date/Time:日期和时间 11 5.2Update更新系统镜像和配置文件 12 5.2.1更新ScreenOS系统镜像 12 5.2.2更新config file配置文件 13 5.3Admin管理 15 5.3.1Administrators管理员账户管理 15 5.3.2Permitted IPs：允许哪些主机可以对防火墙进行管理 16 6Networks配置菜单 (17) 6.1Zone安全区 17 6.2Interfaces接口配置 19 6.2.1查看接口状态的概要信息 19

Juniper防火墙配置

Netscreen 204防火墙/VPN NSRP(HA)冗余设置步骤

目录 一、网络拓扑结构图 (3) 二、设置步骤 (3) 三、命令行配置方式 (4) 四、图形界面下的配置步骤 (8)

设置前请先将在线主防火墙的配置备份一次，具体步骤请参考《维护文档》 一、网络拓扑结构图 二、设置步骤 1、将两台防火墙的第四个端口连接在一起，我们设置将原有防火墙设置为主防火墙，新增 加的防火墙为备份的防火墙，备份的防火墙只连接第四个端口，其他的端口将在防火墙配置完毕后才连接上 2、使用终端线缆连接到防火墙的Console口，超级终端参数设置为9600-8-无-1-无。

三、命令行配置方式 蓝色字体为在超级终端上输入的命令 3.1、主防火墙配置，（移动公司在线使用的Netscreen-204防火墙） ns204>unset interface e4 ip将端口4的IP地址删除， ns204>set interface e4 zone ha将端口4和HA区域绑定一起配置NSRP ns204-> ns204-> ns204-> get nsrp查看NSRP配置信息 nsrp version: 2.0 cluster info: cluster id not set: nsrp is inactive 默认的情况下NSRP没有击活 VSD group info: init hold time: 5 heartbeat lost threshold: 3 heartbeat interval: 1000(ms) group priority preempt holddown inelig master PB other members total number of vsd groups: 0 Total iteration=3808,time=2721060,max=880,min=286,average=714 RTO mirror info: run time object sync: disabled

Juniper SRX系列防火墙日常监控命令

Juniper SRX系列防火墙日常监控命令 查看版本 admin@#run show version 查看机箱环境 user@host> show chassis environment user@host> show chassis environment cb user@host> show chassis environment cb 0 user@host> show chassis environment pem 查看机箱告警（正常情况下不能存在大量硬件错识信息） user@host> show chassis alarms 查看日志信息（正常工作情况下，日志中不应该有大量重复的信息，如端口频繁up/down、大量用户认证失败信息等。） user@host> show log messages 查看机箱硬件信息 user@host> show chassis hardware 查看机箱路由引擎信息 user@host> show chassis routing-engine 查看机箱FPC信息

user@host> show chassis fpc user@host> show chassis fpc detail user@host> show chassis fpc pic-status 系统关机/重启 user@host> request system halt/reboot 板卡上线/下线 user@host>request chassis fpc slot slot-number offline user@host>request chassis fpc slot slot-number online 防火墙设备指示灯检查（直接查看防火墙前面板的LED 指示灯） Status ：系统状态。黄色闪烁表示系统正常启动；绿色闪烁表示系统正常工作。 Alarm：系统告警。红色表示系统有严重硬件或软件故障；黄色表示系统有某一方面负载过重。如：内存少于10%、CPU 利用率超过90%、连接数满。绿色表示没有告警。 PWR：电源供电情况。绿色表示电源工作正常；红色表示电源失效或没装电源模块。 HA：高可用状态。绿色表示系统当前为主用状态；绿色闪烁表示没有找到冗余组成员；黄色表示系统当前为备用状态；黑色表示系统没有配置HA（高可用性）。 JSRP常用维护命令 由主FW访问备FW： admin@>request routing-engine login node 1 手工切换JSRP Master admin@> request chassis cluster failover redundancy-group 1 node 1