Juniper防火墙维护基础手册.doc
《Juniper防火墙维护基础手册.doc》由会员分享,可在线阅读,更多相关《Juniper防火墙维护基础手册.doc(73页珍藏版)》请在咨信网上搜索。
1、Juniper防火墙维护手册(版本号:V1.0)运行部网络管理室目录一、Juniper防火墙介绍51.1、NS5000系列51.1.1、NS540051.1.2、NS520051.2、ISG系列61.2.1、ISG61.2.2、ISG100061.3、SSG500系列71.3.1 SSG 550M71.3.2 SSG 52071.4、SSG300系列81.4.1 SSG 350M81.4.2 SSG 320M81.5、SSG140系列81.5.1 SSG 14091.6、SSG5/20系列91.6.1 SSG 591.6.2 SSG 209二、防火墙常见配置102.1 Juniper防火墙初始
2、化配置和操纵102.2 查看系统概要信息142.3主菜单常见配置选项导航162.4 Configration配置菜单172.5 Update更新系统镜像和配置文件182.5.1更新ScreenOS系统镜像182.5.2 更新config file配置文件192.6 Admin管理202.7 Networks配置菜单222.7.1 Zone安全区227.2 Interfaces接口配置247.2.1查看接口状态概要信息247.2.2设置interface接口基础信息247.2.3设置地址转换262.7.4设置接口Secondary IP地址342.7.5 Routing路由设置342.8 Pol
3、icy策略设置372.8.1 查看现在策略设置372.9创建策略382.10对象Object设置402.11 策略Policy汇报Report41四、防火墙日常应用424.1、Netscreen 冗余协议(NSRP)424.1.1、NSRP布署提议:434.1.2NSRP常见维护命令444.2、策略配置和优化(Policy)454.3、攻击防御(Screen)464.4、特殊应用处理484.4.1、长连接应用处理484.4.2、不规范TCP应用处理494.4.3、VOIP应用处理49五、防火墙日常维护515.1、常规维护525.2、常规维护提议:545.3 应急处理565.3.1检验设备运行状
4、态565.4、 总结改善585.5、 故障处理工具58六、 Juniper防火墙设备恢复处理方法706.1设备重开启706.2操作系统备份706.3操作系统恢复706.4配置文件备份716.5配置文件恢复716.6恢复出厂值726.7硬件故障处理726.8设备返修(RMA)72一、Juniper防火墙介绍1.1、NS5000系列1.1.1、NS5400性能和处理能力 30 Gbps 防火墙 (12G 64byte小包) 18MPPS2 百万同时会话数15 Gbps 3DES VPN25,000 IPSec VPN 通道1.1.2、NS5200性能和处理能力 10 Gbps 防火墙 (4G 64
5、byte小包)1 百万同时会话数5 Gbps 3DES VPN 25,000 IPSec VPN 通道1.2、ISG系列1.2.1、ISG性能和处理能力4 Gbps 状态监测防火墙任何大小数据包2 Gbps 3DES和AES IPSec VPN 任何大小数据包防火墙数据包转发性能:3 MPPS最大在线会话数:100万,每秒23,000个新会话1.2.2、ISG1000性能和处理能力2 Gbps 状态监测防火墙任何大小数据包1 Gbps 3DES和AES IPSec VPN 任何大小数据包防火墙数据包转发性能:1.5 MPPS最大在线会话数:50万,每秒20,000个新会话1.3、SSG500系
6、列1.3.1 SSG 550M4Gbps FW IMIX / 600K pps1Gbps FW IMIX / 500 Mbps IPSec VPN6个 I/O 插槽 4个可插 LAN口模块双电源,DC为选项, NEBS为选项12.8万个会话,1,000条VPN 隧道1.3.2 SSG 5202Gbps FW / 300K pps600 Mbps FW IMIX / 300 Mbps IPSEC VPN6个 I/O插槽 2个可插 LAN口模块单一AC或DC电源6.4万个会话,500条VPN 隧道1.4、SSG300系列1.4.1 SSG 350M1.2 Gbps FW / 225K pps500
7、 Mbps FW IMIX / 225 Mbps IPSec VPN5个 I/O 插槽9.6万个会话,每秒2.6万会话1.4.2 SSG 320M1.2 Gbps FW / 175K pps400 Mbps FW IMIX / 175 Mbps IPSec VPN3个 I/O插槽6.4万个会话,每秒2万会话1.5、SSG140系列1.5.1 SSG 140950Mbps FW/ 100K pps300 MbpsFirewall IMIX / 100 Mbps IPSec VPN4个 I/O插槽4.8万个会话,每秒8k会话1.6、SSG5/20系列 1.6.1 SSG 5SSG 5 是一个固定规
8、格平台,提供 160 Mbps 状态防火墙流量和 40 Mbps IPSec VPN 吞吐量。SSG 5 系列配置 7 个内部集成 10/100 接口,并带有可选固定广域网端口(ISDN BRI S/T、V.92 或 RS-232 Serial/Aux)。802.11 a/b/g 和多个无线特定安全性支持是可选项,使 SSG 5 能够将安全性、路由和无线接入点整合到单个设备中。1.6.2 SSG 20SSG 20 是一个模块化平台,提供 160 Mbps 状态防火墙流量和 40 Mbps IPSec VPN 吞吐量。SSG 20 配置 5 个内部集成 10/100 接口和 2 个 I/O 扩展
9、插槽,可支持 I/O 卡,如ADSL2+、T1、E1、ISDN BRI S/T 和 V.92,从而实现额外广域网连接。802.11 a/b/g和多个无线特定安全性支持是可选项,使 SSG 20 能够将安全性、路由和无线接入点整合到单个设备中。二、防火墙常见配置2.1 Juniper防火墙初始化配置和操纵对一台空配置Juniper防火墙我们能够用两种方法去进行操纵:Console控制台和WEB。Console控制台:使用Console线连接到Juniper防火墙上Console口,利用超级终端用CLI命令行界面进行配置。使用WEB界面:Juniper防火墙上默认情况下在E1接口(trust)口有
10、一个初始管理IP地址192.168.1.1 255.255.255.0;我们能够把自己笔记本和防火墙E1口用一根交叉线连接起来,然后把本机地址配置为192.168.1.X 255.255.255.0,以后我们就能够在本机上经过IE浏览器登陆192.168.1.1地址经过WEB界面对设备进行配置了。经过IE或和IE兼容浏览器(推荐应用微软IE浏览器)使用防火墙缺省IP地址登录防火墙(提议:保持登录防火墙计算机和防火墙对应接口处于相同网段,直接相连)。使用缺省IP登录以后,出现安装向导:注:对于熟悉Juniper防火墙配置工程师,能够跳过该配置向导,直接点选:No,skip the wizard
11、and go straight to the WebUI management session instead,以后选择Next,直接登录防火墙设备管理界面。使用向导配置防火墙,请直接选择:Next,弹出下面界面:“欢迎使用配置向导”,再选择Next。注:进入登录用户名和密码修改页面,Juniper防火墙登录用户名和密码是能够更改,这个用户名和密码界面修改是防火墙设备上根用户,这个用户对于防火墙设备来说含有最高权限,需要认真考虑和仔细配置,保留好修改后用户名和密码。注意1:Juniper防火墙接口WEB管理特征默认只在E1接口(trust)口才启用,也就是说我们有可能无法经过用WEB登陆其它接
12、口进行操纵,除非我们提前已经打开了对应接口WEB管理选项。注意2:假如Juniper防火墙上有配置,我们不知道现在E1接口IP地址,我们能够先经过Console控制台用“get interface”命令看一下现在E1口IP地址。注意3:Juniper防火墙OS 5.0以上版本支持MDI和MDIX自适应,也就是说我们主机和E1口也能够用直通线进行互连,但这种方法有失效时候,假如出现用交叉线互连物理也无法UP情况,能够在Console控制台用“ NS208- delete file flash:/ns_sys_config”删除配置文件并重起防火墙方法能够处理(JuniperBUG)。注:系统默认
13、登陆用户名和口令全部是:“netscreen”。2.2 查看系统概要信息使用WEB登陆防火墙管理地址,进入GUI管理界面,图所表示。左边是主配置菜单。右边最上方是系统开启以立即间信息,右上角显示主机名。Device information:设备信息,显示设备硬软件版本、序列号和主机名。Interface / VPN Link Status Monitoring:接口链路状态,显示接口所属区和链路UP/DOWN信息。Resources Status:资源情况,显示系统CPU和内存使用率和现在会话和策略是系统满负荷百分比。(其中注意内存使用率是不真实,在系统空负荷情况下内存占用率也会很高,是系统本
14、身设计问题)。System Most Recent Alarms / Events:系统最近报警和通告信息。2.3主菜单常见配置选项导航在主菜单中我们常常见到配置菜单以下,后面将针对这些常见配置选项进行具体介绍。Configuration: Date/Time; Update; Admin; Auth; Infranet Auth; Report Settings; CPU Protection; Network: Binding; DNS; Zones; Interfaces; DHCP; 802.1X; Routing; NSRP; Vlan; Security: Screening; W
15、eb Filtering; Deep Inspection; Antivirus; ALG; Policy: Policies; MCast Policies; Policy Elements;VPNs: AutoKey IKE; AutoKey Advanced; Manual Key; L2TP; Monitor Status;Objects: Users; IP Pools; Certificates;GPRS: NSGP(Overbilling);Reports: System Log; Counters; Interface Bandwidth; Policies;Wizards:
16、Policy; Route-based VPN; AC-VPN;只要能够熟练掌握以上设置选项,就足以应对外网改造和日常维护工作。2.4 Configration配置菜单正确设置Juniper防火墙时钟关键是为了使LOG信息全部带有正确时间方便于分析和排错,设置时钟关键有三种方法。用CLI命令行设置:set clock mm/dd/yyyy hh:mm:ss 。用WEB界面使用和用户端本机时钟同时:简单实用。用WEB界面配置NTP和NTP服务器时钟同时。2.5 Update更新系统镜像和配置文件2.5.1更新ScreenOS系统镜像用CLI命令行设置:save software from tft
17、p x.x.x.x filename to flash;2.5.2 更新config file配置文件用CLI命令行设置:save config from tftp x.x.x.x filename to flash,配置文件上传后需实施reset命令进行重启。在这个菜单中我们能够查看现在文本形式配置文件,把现在配置文件导出进行备份,和替换和更新现在配置。注意单选框默认是点选在“Merge to Current Configration”即和现在配置融合位置,而我们通常是要完全替换现在配置文件,所以一定要注意把单选框点击到“Replace Current Configration”。当进行配置
18、替换以后系统会自动重起使新配置生效。TIP:进行配置替换必需用ROOT用户进行登陆,用ReadWrite用户进行登陆是无法进行配置替换操纵,只有融合配置选项,替换现在配置选项将会隐藏不可见,以下图所表示:2.6 Admin管理Administrators管理员账户管理只有用根ROOT用户才能够创建管理员账户。能够进行ROOT用户账户用户名和密码更改,但此账户不能被删除。能够创建只读账户和读写账户,其中读写账户能够对设备大部分配置进行更改。用CLI命令行设置:set admin user Smith password 3MAb99j2 privilege allset admin user re
19、ad password 4DFB993J2 privilege read-onlysavePermitted IPs:许可哪些主机能够对防火墙进行管理用CLI命令行设置:set admin manager-ip 172.16.40.42/32save2.7 Networks配置菜单2.7.1 Zone安全区查看现在安全区设置安全区内必需有物理接口才会有实际意义,每一个安全区同时能够包含多个物理接口,但每一个物理接口同时只能属于一个安全区。多个系统默认安全区和接口:1:Trust区包含ETH1口2:Untrust区包含ETH4口3:DMZ区包含ETH3口其它区必需进行手工创建并把对应物理接口放入
20、安全区内。虚拟路由我们统一选Trust-Vr,多个VR对我们没有太大意义,不提议使用。创建新安全区: 在输入安全区名称后其它选项均保持默认值即可。用CLI命令行设置: set vrouter trust-vr zone XXXX7.2 Interfaces接口配置7.2.1查看接口状态概要信息接口概要显示接口IP地址信息,所属安全区,接口类型和链路状态。其中接口类型除非是防火墙使用透明模式,不然全部会是Layer3三层。CLI : get interface7.2.2设置interface接口基础信息接口基础配置包含接口IP地址掩码,是否能够被管理,接口模式和接口管理特征选项。最上面多个链接是
21、配置NAT地址转换和IP跟踪等高级特征。下面那个其中需要大家配置地方是设置此物理接口属于哪个安全区,从下拉框中点选,其它选项保持不变即可。Staitc IP选择框是设置接口IP地址和掩码信息,其中有一个Mangeable选项,只有选中我们才能够经过WEB或TELNET登陆此地址进行管理。Manage IP框保持为空时候系统会自动把实际IP作为管理IP自动加上。接口模式有路由模式和NAT模式:NAT模式:以后接口进入从其它口流出流量源地址全部会做转换,即使我们在策略中不引用转换地址池,源地址全部会转换为出站接口地址。路由模式:除非我们在策略定义中明确引用了转换地址池,不然源地址全部不会做转换。因
22、为路由模式比NAT模式更灵活,所以我们通常全部会用路由模式。ETH1口默认是NAT模式,一定要注意把其更改为Route路由模式。Service options服务选项:设置此接口是否许可被PING,WEB或TELNET等方法进行管理,默认情况下ETH1(内网口)全部是打开,而ETH4口(外网口)WEB和TELNET管理选项是关闭,也就是说假如我们想从外网登陆ETH4口IP进行管理,必需把对应WEB或TELNET选项点中。最终配置框能够保持默认值。CLI:set interface redundent1 zone trustset interface redundent1 ip X.X.X.X/
23、Xset interface redundent1 manage telnetset interface redundent1 manage webset interface redundent1 manage pingset interface redundent1 mode nat (trust zone 接口全部是nat mode)7.2.3设置地址转换Juniper防火墙地址转换有三种方法:MIP-静态一对一地址转换;VIP-虚拟一对多地址转换;DIP-动态多对多地址转换。因为MIP和VIP地址转换有部分规则限制,比如要转换外网提议流量源地址时候,转换后地址必需和ETH1内网口在同一个
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Juniper 防火墙 维护 基础 手册
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。