Juniper日常操作手冊

Juniper防火墻平常工作手冊深圳市奧怡軒實(shí)業(yè)有限企業(yè)SZNetSecurityCo.,Ltd01月目錄ISG1000操作指南……………….3IC4000操作指南……………….13總結(jié)……………..23

ISG1000操作指南一、ISG1000概述JUNIPER企業(yè)的ISG1000是全面集成的防火墻/VPN系統(tǒng)的高端網(wǎng)絡(luò)設(shè)備，它是面向大型企業(yè)、數(shù)據(jù)中心和運(yùn)行商網(wǎng)絡(luò)的理想處理方案。最多并發(fā)會話數(shù)：500000每秒新建會話數(shù)：0最多安全方略數(shù)：1000如圖（1）：二、ISG1000操作1、登陸方式一般有三種登陸方式：CONSOLE、HTTP、MGT，用得較多也比較以便的方式是HTTP方式，下面我們詳細(xì)簡介HTTP登陸方式。2、HTTP登陸方式設(shè)備出廠默認(rèn)設(shè)置是/24，用HTTP登陸如下圖（2）：操作界面輸入顧客名和密碼后我們經(jīng)進(jìn)入圖（3）操作界面左邊是主配置菜單。右邊最上方是系統(tǒng)啟動以及時間信息，右上角顯示主機(jī)名。Deviceinformation：設(shè)備信息，顯示設(shè)備硬軟件版本、序列號以及主機(jī)名。Interfacelinkstatus：接口鏈路狀態(tài)，顯示接口所屬區(qū)和鏈路UP/DOWN信息。ResourcesStatus：資源狀況，顯示系統(tǒng)CPU和內(nèi)存使用率以及目前的會話和方略是系統(tǒng)滿負(fù)荷的比例。（其中注意內(nèi)存使用率是不真實(shí)的，在系統(tǒng)空負(fù)荷的狀況下內(nèi)存占用率也會很高，是系統(tǒng)自身設(shè)計的問題）。Themostrecentalarms：系統(tǒng)近來的報警信息Themostrecentevents：系統(tǒng)近來的通告信息從這個界面我們可以看出防火墻的運(yùn)行狀況，并通過ResourcesStatus：資源狀況，可以計算出我們所需要的CPU使用率、內(nèi)存使用率、對話連接數(shù)使用率。主菜單配置在圖3的左邊是主菜單，分別由如下選項(xiàng)homeConfiguration：Date/Time；Update；Admin；Auth；ReportSettingsNetwork：Zones；Interfaces；Routing；NSRPSecurityPolicy:PoliciesVPNSObjects：Addresses；ServicesReports：SystemsLogWizardsHelp其實(shí)只要掌握Configuration、Network、Policey、Reports這幾種就可以應(yīng)付我們平常的維護(hù)和管理了。ConfigurationDate/Time日期和時間精確設(shè)置Juniper防火墻的時鐘重要是為了使LOG信息都帶有對的的時間以便于分析和排錯，設(shè)置時鐘重要有三種措施。用CLI命令行設(shè)置：setclockmm/dd/yyyyhh:mm:ss。用WEB界面使用和客戶端本機(jī)的時鐘同步：簡樸實(shí)用。用WEB界面配置NTP和NTP服務(wù)器的時鐘同步。Update更新系統(tǒng)鏡像和配置文獻(xiàn)更新ScreenOS系統(tǒng)鏡像，如圖（5）更新configfile配置文獻(xiàn)，如圖（6）在這個菜單中我們可以查看目前文本形式的配置文獻(xiàn)，把目前的配置文獻(xiàn)導(dǎo)出進(jìn)行備份，以及替代和更新目前的配置。注意單項(xiàng)選擇框默認(rèn)是點(diǎn)選在“MergetoCurrentConfigration”即和目前配置融合的位置，而我們一般是要完全替代目前的配置文獻(xiàn)的，因此一定要注意把單項(xiàng)選擇框點(diǎn)擊到“ReplaceCurrentConfigration”。當(dāng)進(jìn)行配置替代的之后系統(tǒng)會自動重起使新配置生效。Admin管理Administrator管理員賬號管理，如圖（7）只有用根ROOT顧客才可以創(chuàng)立管理員賬戶?？梢赃M(jìn)行ROOT顧客賬戶顧客名和密碼的更改，但此賬戶不能被刪除。可以創(chuàng)立只讀賬戶和讀寫賬戶，其中讀寫賬戶可以對設(shè)備的大部分派置進(jìn)行更改。Networks配置菜單Interfaces接口配置查看接口狀態(tài)的概要信息接口概要顯示接口的IP地址信息，所屬安全區(qū)，接口類型和鏈路的狀態(tài)。其中接口類型除非是防火墻使用透明模式，否則都會是Layer3三層的。詳細(xì)如下圖（8）所示設(shè)置interface接口的基本信息接口基本配置包括接口的IP地址掩碼，與否可以被管理，接口的模式以及接口的管理特性選項(xiàng)。詳細(xì)如圖（9）最上面的幾種鏈接是配置NAT地址轉(zhuǎn)換以及IP跟蹤等高級特性的。下面那個其中需要大家配置的地方是設(shè)置此物理接口屬于哪個安全區(qū)，從下拉框中點(diǎn)選，其他選項(xiàng)保持不變即可。StaitcIP選擇框是設(shè)置接口的IP地址和掩碼信息的，其中有一種Mangeable的選項(xiàng)，只有選中我們才可以通過WEB或TELNET登陸此地址進(jìn)行管理。ManageIP框保持為空的時候系統(tǒng)會自動把實(shí)際IP作為管理IP自動加上。接口模式有路由模式和NAT模式：

NAT模式：從此接口進(jìn)入從其他口流出的流量源地址都會做轉(zhuǎn)換，雖然我們在方略中不引用轉(zhuǎn)換地址池，源地址都會轉(zhuǎn)換為出站的接口地址。

路由模式：除非我們在方略定義中明確引用了轉(zhuǎn)換地址池，否則源地址都不會做轉(zhuǎn)換。

由于路由模式比NAT模式更靈活，因此我們一般都會用路由模式。ETH1口默認(rèn)是NAT模式，一定要注意把其更改為Route路由模式。Serviceoptions服務(wù)選項(xiàng)：設(shè)置此接口與否容許被PING，WEB或TELNET等方式進(jìn)行管理，默認(rèn)狀況下ETH1（內(nèi)網(wǎng)口）的都是打開的，而ETH4口(外網(wǎng)口)的WEB和TELNET管理選項(xiàng)是關(guān)閉的，也就是說假如我們想從外網(wǎng)登陸ETH4口的IP進(jìn)行管理，必須把對應(yīng)的WEB或TELNET選項(xiàng)點(diǎn)中。最終的配置框可以保持默認(rèn)值。Policy方略設(shè)置查看目前方略設(shè)置可以選擇查看從某個源安全區(qū)到某個目的安全區(qū)的方略，也可以選擇從ALL到ALL來查看所有的方略。Service是系統(tǒng)預(yù)定義或我們自定義的服務(wù)端口號。Action動作是指方略是容許或拒絕，容許是一種對勾，拒絕是一種X，此外假如是綠色圖表闡明沒有做源地址轉(zhuǎn)換，藍(lán)色圖表闡明做了源地址轉(zhuǎn)換。在Option下假如有一種小記事本的圖表，闡明我們要記錄此數(shù)據(jù)流，當(dāng)數(shù)據(jù)流通過時可以看到詳細(xì)的地址轉(zhuǎn)換狀況。生效：可以通過取消對勾讓本方略臨時失效。移動：可以調(diào)整方略查找的次序，方略的查找和匹配默認(rèn)是從上到下，我們可以通過移動來控制方略生效的次序。創(chuàng)立方略源地址和目的地址假如此前曾經(jīng)設(shè)置過，可以用下拉菜單進(jìn)行選擇，否則需要在NewAddress新地址欄進(jìn)行輸入。假如地址曾經(jīng)輸入過，做方略時我們?nèi)栽贜ewAddress欄中進(jìn)行輸入，點(diǎn)擊確定的時候系統(tǒng)會出現(xiàn)反復(fù)IP地址條目的提醒信息，但不影響方略的設(shè)置。入侵檢測的配置假如自己不是尤其理解應(yīng)用的特性提議不要做任何配置，保持原有默認(rèn)配置不變。在進(jìn)行調(diào)試時提議打開LOG記錄，看與否有數(shù)據(jù)流通過及地址轉(zhuǎn)換狀況。假如要進(jìn)行源或目的地址的轉(zhuǎn)換需要點(diǎn)擊高級選項(xiàng)進(jìn)入二級配置菜單。源地址轉(zhuǎn)換點(diǎn)擊DIP下拉菜單后前面的選擇框會自動選中。目的地址轉(zhuǎn)換必須手工點(diǎn)擊選中前面的目的地址轉(zhuǎn)換的選擇框。Reports查看防火墻日志從上圖可以看到防火墻生成的日志，點(diǎn)擊SAVE按鈕可以保留日志。ISG1000防火墻就基本降到這里了，只要掌握了這些，基本的防火墻維護(hù)和管理就沒太大的問題了，假如要愈加深入研究的，大家可以找些資料來看，謝謝。

IC4000操作指南JuniperUAC統(tǒng)一訪問控制處理方案，采用了業(yè)界公認(rèn)的原則（包括802.1x和TNC等），將顧客終端的身份標(biāo)識、網(wǎng)絡(luò)標(biāo)識和終端安全狀況進(jìn)行集中的認(rèn)證和授權(quán)，并且將顧客權(quán)限和方略自動的下發(fā)到網(wǎng)絡(luò)當(dāng)中的執(zhí)行點(diǎn)（包括防火墻、互換機(jī)和無線接入點(diǎn)等）上，實(shí)現(xiàn)了統(tǒng)一的接入控制和訪問控制IC4000每臺設(shè)備支持最多3000個并發(fā)的顧客高可用性雙機(jī)集群一、IC4000操作1、HTTP登陸方式設(shè)備出廠默認(rèn)設(shè)置是/24，用HTTP登陸如下圖（2）：2、操作界面輸入顧客名和密碼后我們經(jīng)進(jìn)入圖（3）操作界面左邊是主配置菜單。右邊有兩個選項(xiàng)：Overview、ActiveUsersOverview：顯示設(shè)備的詳細(xì)信息SystemVersion：設(shè)備系統(tǒng)版本信息，點(diǎn)擊DownloadPackage選項(xiàng)可如下載當(dāng)然系統(tǒng)版本文獻(xiàn)LastReboot：闡明設(shè)備到目前為止運(yùn)行時間MemberStatus：闡明組組員設(shè)備運(yùn)行狀況EnforceStatus：指連接的設(shè)備接口運(yùn)行狀態(tài)SystemCapacityUtilization：系統(tǒng)容量運(yùn)用率，這個設(shè)備包括了4種運(yùn)用率，分別是Users(顧客數(shù))、HitsPerSecond（每秒點(diǎn)擊次數(shù)）、CPUandVirtual(Swap)MemoryUtilization（CPU和內(nèi)存使用率）、Throughput（吞吐率）ActiveUsers：顯示目前認(rèn)證顧客的狀況主菜單配置System：Configuration、Network、Clustaring、Log/MontoringAuthentication：SigningIn、EndpointSecurity、Auth.serverAdministrators：adminrealms、adminrolesUsers：usersrealms、usersrolesUac：…Maintenance：System、Inport/Export、Pushconfig其中我們只要掌握System、Authentication、Administrators、Maintenance這些就可以應(yīng)付我們平常的故障處理和基本設(shè)備管理了。下面來詳細(xì)簡介這幾點(diǎn)。SystemConfiguration這個選項(xiàng)重要是加入設(shè)備的Lices如圖（4）Network重要對設(shè)備的顧客名、DNS、接口信息、路由、等信息進(jìn)行設(shè)備，詳細(xì)見如圖（4）Clustaring重要設(shè)置組組員，也就是說備份組員，如圖（5）Log/Montoring重要是顯示日志信息，詳細(xì)如圖（6）AuthenticationAuth.server這個選項(xiàng)重要是新建我們的當(dāng)?shù)卣J(rèn)證顧客，如圖（7）點(diǎn)擊Auth.server——SystemLocal——USERS點(diǎn)擊News和Delete我們可以新建和刪除當(dāng)?shù)卣J(rèn)證顧客Usersusersrealms重要用來創(chuàng)立我們的顧客目錄，如圖（8）MaintenanceSystem這里則是構(gòu)成組員的信息，在這里可以通過某些按鈕來對組組員進(jìn)行重新啟動、ShutDown、備份配置文獻(xiàn)等。Inport/Export這里可認(rèn)為系統(tǒng)配置文獻(xiàn)設(shè)備密碼，并且更換配置文獻(xiàn)，點(diǎn)擊UserAccounts則為顧客設(shè)置登陸密碼。以上就是IC4000基本的操作措施，寫得不是很詳細(xì)，假如