juniper防火墻初始配置及管理y810

JuniperFWV基礎售后培訓I

EDU-JUNIP-FWV-BEG1000T網(wǎng)絡教程資源盡在三通IT學院http：2目標登錄防火墻基本系統(tǒng)配置基礎概念基本網(wǎng)絡設置3目標登錄防火墻基本系統(tǒng)配置基礎概念基本網(wǎng)絡設置TablesBuffersRunningConfigScreenOS(active)ScreenOSImageSavedConfigCerts,etc.RAMFlashInterf.Interf.Interf.TFTP@PwrUp/ResetTelnetNetScreenDNS/SyslogWebuiSerial.Console4登錄防火墻-----LoginfromConsoleI防火墻可以通過Console訪問方式進行管理最為安全的登錄方式無須網(wǎng)絡支持就可以登錄無須IP地址就可以登錄可以看到啟動的信息可以看到實時的debug信息5登錄防火墻-----LoginfromConsoleIIa.連接電源線，啟動防火墻；整個啟動過程約2分鐘左右

Console線纜隨機自帶，為直通網(wǎng)線加轉接頭（DB9轉RJ45）。b.通過Console線纜來連接防火墻的Console端口設備正常啟動后，PowerLED（電源燈）常綠；StatusLED（狀態(tài)燈）閃爍綠色。c.使用PC的終端連接工具，訪問防火墻的Console進程。

6登錄防火墻-----LoginfromConsoleIII安全網(wǎng)關的默認管理員用戶名/密碼都是netscreen采用Windows系統(tǒng)超級終端的默認值參數(shù)即可選擇正確的串口7登錄防火墻-----LoginfromConsoleIV防火墻的默認管理員用戶名/密碼都是“netscreen”Console方式的配置采用CLI（命令行）方式進行8安全網(wǎng)關可以通過圖形化模式進行管理最為直觀的配置界面，所見即所得。絕大多數(shù)的配置都可以通過WebUI來完成。真正簡捷、高效地圖形化配置工具。只需要很少的配置(打開防火墻接口的web訪問權限即可)登錄防火墻-----LoginfromWebUII9登錄防火墻-----LoginfromWebUIIIa.為要訪問的接口配置IP地址x.x.x.x/x，并打開該接口的WebUI管理權限。出廠狀態(tài)下，TrustZone的Interface的IP地址是/24，開放了WebUI管理權限。b.通過直通網(wǎng)線連接PC與防火墻的特定端口出廠狀態(tài)下，連接防火墻TrustZone的端口。c.將PC的網(wǎng)卡地址設置成與a.中接口的同一網(wǎng)段IP地址。出廠狀態(tài)下，將PC網(wǎng)卡地址設置為192.168.1.X/24。d.在PC的網(wǎng)頁瀏覽器中輸入,出現(xiàn)登錄界面。出廠狀態(tài)下，輸入。

10登錄防火墻-----LoginfromWebUIIII如果初次配置防火墻（或者對其進行了恢復出廠值操作），當通過WebUI登錄防火墻時，配置向?qū)Ь蜁霈F(xiàn)。配置向?qū)Э梢詭椭皇煜し阑饓Φ挠脩魧ο到y(tǒng)進行基本配置。高級用戶不建議使用該向?qū)нM行系統(tǒng)配置。默認的用戶名/密碼都是netscreen。11登錄防火墻-----LoginfromWebUIIV首頁可以讀到設備的序列號、OS版本、主機名、時間、運行時間等?？梢蚤喿x到實時狀態(tài)下的系統(tǒng)CPU、內(nèi)存、會話數(shù)、策略數(shù)。12登錄防火墻-----LoginfromWebUIV可以閱讀到系統(tǒng)產(chǎn)生的警報?？梢蚤喿x到系統(tǒng)產(chǎn)生的日志。13目標登錄防火墻基本系統(tǒng)配置基礎概念基本網(wǎng)絡設置14基本系統(tǒng)配置-----ScreenOS升級

選中FirmwareUpdate項。點擊“瀏覽”按鈕，在客戶端文件目錄下尋找ScreenOS升級文件。點擊“Apply”按鈕，進行升級。系統(tǒng)將跳出警告提示。升級文件導入后，系統(tǒng)重啟；整個過程大概需要3分鐘。Configuration>Update>ScreenOS/Keys

15基本系統(tǒng)配置-----配置文件管理Configuration>Update>ConfigFile

上傳配置選中ReplaceCurrentConfiguration項。點擊“瀏覽”按鈕，在客戶端文件目錄下尋找需要上傳的配置文件，然后點擊“Apply”進行上傳，系統(tǒng)將彈出警告。下載配置點擊“SaveToFile”按鈕，進行下載。系統(tǒng)將提示你選擇文件目錄。16基本系統(tǒng)配置-----管理員帳號管理Configuration>Admin>Administrators創(chuàng)建新的管理員帳號編輯管理員帳號Root管理員由系統(tǒng)定義，不能刪除；但可以修改其名稱和密碼。Root管理員可以創(chuàng)建或刪除本地管理員帳號。本地管理員帳號分為Read-Only和Read-Write兩種權限。17管理員帳號管理-----創(chuàng)建新的系統(tǒng)管理員帳號Configuration>Admin>Administrators>Configuration

18管理員帳號管理-----修改系統(tǒng)管理員帳號用戶名/密碼Configuration>Admin>Administrators>Edit19基本系統(tǒng)配置-----配置PermittedIPs可以通過設置Permitted-IPs來限制訪問防火墻的源地址。Permitted-IPs地址可以一個主機地址，也可以是一個網(wǎng)段。Configuration>Admin>PermittedIPs20基本系統(tǒng)配置-----系統(tǒng)管理設置EnableWebManagementIdleTimeout用來設置Webui登錄的空閑超時時限。各種Port用來設置該種方式登錄的端口；建議在外網(wǎng)訪問WEB的時候，修改默認端口。Configuration>Admin>

Management

21基本系統(tǒng)配置-----系統(tǒng)時鐘設置Configuration>Date/Time最簡捷的設置時間的方法是按“SyncClockWithClient”按鈕。系統(tǒng)將自身時鐘與網(wǎng)管客戶端的本地時鐘作同步。如果用戶網(wǎng)絡中有NTP服務器存在，也可在此頁面設置。22基本系統(tǒng)配置-----系統(tǒng)DNS設置Network>DNS>Host該處設置的DNS僅供防火墻本身對外進行訪問時使用。防火墻下聯(lián)的客戶端無法繼承該處的DNS配置?？梢酝ㄟ^HostName項，改變防火墻的系統(tǒng)主機名稱。23基本系統(tǒng)配置-----LicenseKey管理LicenseKey提供的功能：CapacityLicenseKeyUTMSubscriptionLicenseKey擴展許可（extended）

防病毒（Anti-Virus）高級許可（advanced）網(wǎng)頁過濾（URLfiltering）入侵防御許可（IDP）防垃圾郵件（Anti-Spam）虛擬系統(tǒng)許可（VSYS)深層檢測（DeepInspection/IPSConfiguration>Update>ScreenOS/Keys

24LicenseKey管理

-----CapacityLicenseKey管理Configuration>Update>ScreenOS/Keys

選中“LicenseKeyUpdate”，點擊“瀏覽”按鈕，在客戶端文件目錄中選擇license文件；再點擊“Apply”按鈕。系統(tǒng)將彈出告警提示；確認后，license被導入。License所支持的功能在重啟后才真正生效。25LicenseKey管理

-----UTMSubscriptionKey管理Configuration>Update>ScreenOS/Keys

點擊“RetrieveSubscriptionsNow”按鈕，主機將自動到Juniper數(shù)據(jù)中心下載相關許可。下載成功與否的關鍵，是保證系統(tǒng)時間及DNS的正確設置。26基本系統(tǒng)配置-----恢復出廠值/默認密碼密碼丟失是無法恢復的只有通過恢復出廠默認配置的方法來重新獲得管理權限原來配置的參數(shù)、證書等都將被刪除兩種辦法恢復出廠默認配置在Console模式下，用設備的序列號作為用戶名/密碼進行登錄。成功后系統(tǒng)出現(xiàn)警告提示，將擦去現(xiàn)有配置，確認后系統(tǒng)開始恢復默認配置，隨后重啟。整個過程約3分鐘。使用設備面板上的針孔（pinhole）按下按鈕直到系統(tǒng)指示燈變成紅色等待指示燈恢復到綠色再按前述步驟來一次系統(tǒng)進入初始化狀態(tài)27基本系統(tǒng)配置-----災難恢復當系統(tǒng)文件被破壞時，需要做災難恢復表征：無法通過Webui、Telnet等方法訪問系統(tǒng)。原因：系統(tǒng)文件（ScreenOS）意外損壞或丟失?；謴头椒ǎ和ㄟ^Console方式進入系統(tǒng)的Boot模式，通過TFTP的方式向系統(tǒng)FLASH上灌制可用的OS。TFTP灌制ScreenOS的注意事項TFTP服務器必須與系統(tǒng)的SelfIP在同一子網(wǎng)TFTP服務器必須連接在:系統(tǒng)的Trust區(qū)端口或系統(tǒng)的eth0/0、eth0/1、eth1端口或系統(tǒng)的管理端口28災難恢復-----恢復系統(tǒng)文件

I啟動設備，當出現(xiàn)“Hitanykeytorunloader”時，按任意鍵進入boot模式。在“BootFileName”欄填入系統(tǒng)OS的文件名。在“SelfIPAddress”欄填入一個臨時地址供TFTP通信使用。在“TFTPIPAddress”欄填入TFTP服務器的地址，也就是PC的地址。輸入完畢后，按回車鍵開始通過TFTP傳送系統(tǒng)OS到設備。29災難恢復-----恢復系統(tǒng)文件

II30災難恢復-----恢復系統(tǒng)文件

III當出現(xiàn)“Savetoon-boardflashdisk？”提示時，按“Y”鍵將OS存入FLASH。當出現(xiàn)“Rundownloadsystemimage？”提示時，按“Y”鍵運行新的OS。31災難恢復-----恢復系統(tǒng)文件

IV當出現(xiàn)“Thedevicesuccessfullycompletedtheoperation“，整個系統(tǒng)恢復的過程結束。32目標登錄防火墻基本系統(tǒng)配置基礎概念基本網(wǎng)絡設置VRZoneInt.33基礎概念－－－VirtualRouter/Zone/Interface嚴格的邏輯層次結構安全區(qū)從屬于虛擬路由器安全區(qū)默認都從屬于trust-vr接口從屬于安全區(qū)一個接口只能從屬于一個安全區(qū)IP地址從屬于接口Int.ZoneZoneVirtualRouterVRZoneInt.IP虛擬路由器的路由表各自獨立安全區(qū)之間的訪問受策略控制接口是一個邏輯概念，它可以包含若干個物理端口，也可以不包括任何物理端口34虛擬路由器預定義:

trust-vr:系統(tǒng)的defaultVR。

untrust-vr:

自定義:在高端型號上，需要license支持方可使用動態(tài)路由協(xié)議的全局配置在VR菜單下基礎概念－－－VirtualRouterNetwork

>

Routing

>

Virtual

Routers

35安全區(qū)預定義:

Trust:一般放置內(nèi)網(wǎng)接口Untrust:一般放置外網(wǎng)接口

DMZ:一般放置服務器接口用戶自定義：功能安全區(qū)Null：放置未配置的接口MGT：放置網(wǎng)管用接口HA：SelfVLAN基礎概念－－－SecurityZone36基礎概念－－－InterfaceI接口邏輯接口:subinterface、loopbackinterface、HAinterface、VSIinterface、etc.物理接口：百兆銅纜、千兆銅纜、百兆光纖、千兆光纖、萬兆光纖等設備的可網(wǎng)管配置也在接口菜單完成當我們談論的是設備的物理連接口的時候，使用的術語是Port（端口）37基礎概念－－－Sub

InterfaceSub-IF的用途是在一個物理接口上承接來自某個或者多個VLAN的數(shù)據(jù)。Sub-IF與其物理接口并無邏輯上的聯(lián)系。Eth0/0在TrustZone，eth0/0.1在DMZZone這種情況是允許的。38基礎概念－－－Tunnel

InterfaceTunnelIF的用途是建立一個隧道接口供VPN使用；GRE、IPSec。TunnelIF可以選擇使用一個額外的IP地址，也可以通過Unnumbered選項，借用其他接口的地址。39基礎概念－－－Loopback

InterfaceLoopbackIF的用途是通過這個邏輯上的地址來實現(xiàn)管理上的便利，比如OSPF的RouterID。TunnelIF的IP地址盡量使用32位掩碼；因為它只是表示一個主機。40目標登錄防火墻基本系統(tǒng)配置基礎概念基本網(wǎng)絡設置UntrustZoneTrustZone50/24/24B/24DMZZone.254/24/24.1 .254.1 .254/24/24.254 .141基本網(wǎng)絡配置-----NetworkBinding通過Binding頁面，可以查看當前各Interface/Zone/VR的歸屬關系

Network>Binding

42基本網(wǎng)絡配置-----Zone配置點擊“New”按鈕，創(chuàng)建新的Zone。點擊“Edit”按鈕，編輯該Zone的屬性。Network>Zones

43Zone配置-----創(chuàng)建新的ZoneZoneType決定該Zone將作用于路由模式還是透明模式。Layer3對應路由模式；Layer2對應透明模式。Layer2的ZoneName必須以“L2”或者“l(fā)2”開頭。44Zone配置-----編輯Zone的屬性BlockIntra-ZoneTraffic選項可以控制本區(qū)內(nèi)流量傳送。默認狀態(tài)，UntrustZone勾選了此項。45基本網(wǎng)絡配置-----Interface配置點擊“New”按鈕，在下拉菜單選擇相應的接口類型，創(chuàng)建新的接口。點擊“Edit”按鈕，編輯該Interface的屬性。46Interface配置-----編輯接口的參數(shù)Network>Interfaces>Edit

47Interface配置-----編輯接口的參數(shù)-----ZoneBinding點擊“ZoneName”旁邊的下拉菜單，選擇需要binding的Zone。經(jīng)過Binding的Interface才可以做IP及其它方面的設置。如果需要將某個接口停止使用，需要將其放置到“NullZone”。放置到“NullZone”的一個先決條件是將IP地址設置為。48Interface配置-----編輯接口的參數(shù)-----IPsetting需要通過DHCP自動獲取IP地址的，點擊“ObtainIPusingDHCP”選項。需要通過PPPoE撥號方式獲取IP地址的，點擊“ObtainIPusingPPPoE”選項，并做相關設置。需要手工設定IP地址的，點擊“StaticIP”選項，并做相關設置。49Interface配置-----編輯接口的參數(shù)-----InterfaceModeInterfaceMode是Juniper防火墻特有的屬性，它僅僅影響到NAT功能。Binding到Trust/DMZZone的接口默認為“NAT”模式。接口設定為”NAT”模式后，通過該接口，流向UntrustZone的流量都會自動做源地址翻譯。50Interface配置-----編輯接口的參數(shù)-----ServiceOptionsServiceOptions決定是否可以通過該接口對防火墻本身進行訪問通過選擇不同的Service，可以高粒度地控制外界對防火墻的訪問建議在網(wǎng)絡調(diào)試階