Junipernetscreen初始配置及管理市公开课一等奖省赛课获奖课件

安全设备管理苏州电信安全网关业务培训教程Junipernetscreen初始配置及管理第1页目标安全网关组成登录/管理安全网关方法系统管理配置管理licensekeys配置文件导入导出系统文件（ScreenOS）管理2Junipernetscreen初始配置及管理第2页系统组成全部关键功能都是在内存中执行。可以经过WEB或者命令行两种方式系统缓存运行中配置运行中

ScreenOSScreenOS文件开启配置其它东西内存Flash接口.接口.接口.SOC@开启/重启外部系统/应用Web网管安全网关DNS/SyslogCLI网管“Get”“Set”3Junipernetscreen初始配置及管理第3页登录安全网关经过Console线缆来连接安全网关使用Windows系统自带超级终端（还原默认值）即可最为安全登录方式无须网络支持就能够登录无须IP地址就能够登录能够看到开启信息能够看到实时debug信息安全网关ConsolePort安全网关默认管理员用户名/密码都是netscreen4Junipernetscreen初始配置及管理第4页图形化（WEBUI）模式安全网关能够经过图形化模式进行管理只需要极少配置(在安全网关接口上配置管理地址，并打开web访问权限即可)客户端地址设置到与管理地址同一网段。默认可网管接口是安全设备最小号码端口（比如eth0/0）默认可网管接口管理地址是/24默认管理员用户名/密码是netscreen5Junipernetscreen初始配置及管理第5页图形化界面主菜单6Junipernetscreen初始配置及管理第6页配置向导假如首次配置安全网关（或者网关进行了恢复出厂值操作），当经过WEBUI登录安全网关时，配置向导就会出现。配置向导能够帮助不熟悉安全网关用户对系统进行基本配置。高级用户不提议使用该向导进行系统配置。1237Junipernetscreen初始配置及管理第7页命令行（CLI）模式ns208->?clearcleardynamicsysteminfoexecexecsystemcommandsexitexitcommandconsolegetgetsysteminformationpingpingotherhostresetresetsystemsavesavecommandsetconfiguresystemparameterstrace-routetracerouteunsetunconfiguresystemparameters输入“?”,会输出该目录下可执行全部命令。命令行命令输入后，需要经过save命令来存盘。左半部分列出命令或者命令参数右半部分列出对命令解释命令行管理员默认用户名/密码是netscreen。Console/WEBUI/CLI三种模式管理员帐号是通用。8Junipernetscreen初始配置及管理第8页配置安全网关管理项1.配置接口地址将接口绑定到安全区（zone）给接口地址配置地址配置可管理服务（如ping，web访问，telnet访问等）管理地址（可选）2.修改rootadministrator密码3.创建新管理员帐号9Junipernetscreen初始配置及管理第9页安全区与接口安全网关有严格逻辑上层次结构安全区隶属于虚拟路由器安全区默认都隶属于trust-vr接口隶属于安全区一个接口只能隶属于一个安全区IP地址隶属于接口Int.ZoneZoneVirtualRouterVRZoneInt.IP10Junipernetscreen初始配置及管理第10页安全区种类安全区预定义:Trust:普通放置内网接口

Untrust:普通放置外网接口

DMZ:普通放置服务器接口用户自定义：隧道安全区（TunnelZone）功效安全区NullMGTHASelfVLANns5gt->getzoneTotal10zonescreatedinvsysRoot-5arepolicyconfigurable.------------------------------------------------------------------------IDNameTypeAttrVRDefault-IFVSYS0NullNullShareduntrust-vrhiddenRoot1UntrustSec(L3)Sharedtrust-vruntrustRoot2TrustSec(L3)trust-vrtrustRoot4SelfFunctrust-vrselfRoot5MGTFunctrust-vrnullRoot11V1-UntrustSec(L2)trust-vrv1-untrustRoot14VLANFunctrust-vrvlan1Root------------------------------------------------------------------------11Junipernetscreen初始配置及管理第11页设置接口/安全区WebUI模式Network>Interfaces(edit)12Junipernetscreen初始配置及管理第12页设置接口/安全区命令行模式Aninterfacemustbeamemberofasecurityzonepriortohavinganaddressassignedsetinterface<int-name>zone<zone-name>setinterface<int-name>ip<x.x.x.x>/<mask>ns208->setinterfacee1zonetrustns208->setinterfacee1ip/2413Junipernetscreen初始配置及管理第13页可网管选项WebUI模式默认可网管选项因安全区不一样而不一样Trustzone:全部可网管选项都是允许其它zone:全部可网管选项都是不被允许Network>Interfaces>Edit

14Junipernetscreen初始配置及管理第14页可网管选项CLI模式setinterface<name>manage[<service>]ns208->setinterfacee1managepingns208->setinterfacee1managewebEnableallservices:ns208->setinterfacee1manage假如在命令末尾没有写出特定选项，则代表全部选项15Junipernetscreen初始配置及管理第15页管理地址设置能够设定特定非接口地址来进行网管setinterface<name>manage-ip<address)ns208>setinterfacee1manage-ip50Network>Interfaces>Edit

16Junipernetscreen初始配置及管理第16页管理员帐号不一样级别管理员帐号有不一样权限Root管理员由系统定义，不能删除当地管理员由Root管理员创建，能够由Root管理员删除经过New按钮来创建当地管理员帐号ClicktoviewsettingsforRootaccountConfiguration>Admin>Administrators

17Junipernetscreen初始配置及管理第17页创建系统管理员Configuration>Admin>Administrators

setadminusername<name>password<password>privilege[all|read-only]18Junipernetscreen初始配置及管理第18页修改Root管理员用户名/密码Configuration>Admin>Administrators

setadminname<name>setadminpassword<password>19Junipernetscreen初始配置及管理第19页Manager-IP地址设定为了增加安全性，能够设定Manager-IP地址来限定能够网管安全网关客户端一旦是指定了Manager-IP地址，那么只有设定了Manager-IP客户端才能够对安全设备进行网关。Manager-IP地址能够一个主机地址，也能够是一个网段。20Junipernetscreen初始配置及管理第20页配置Manager-IP地址setadminmanager-ip<address><mask>ns208->setadminmanager-ip5055ns208->setadminmanager-ipConfiguration>Admin>PermittedIPs21Junipernetscreen初始配置及管理第21页ExternalManagementDevicesThereareseveralcommonapplicationsthatoperateinconjunctionwiththeNetScreendeviceDNSSyslogSNMP22Junipernetscreen初始配置及管理第22页DNSConfigurationNetwork>DNSsetdnshostdns1<ip_address>setdnshostdns2<ip_address>setdnshostschedule<hh:mm>23Junipernetscreen初始配置及管理第23页SyslogConfigurationConfiguration>ReportSettings>Syslogsetsyslogconfig<ip_address>facility<facility>setsyslogconfig<ipaddress>log[all|traffic|event]setsyslogsrc-interface<name>setsyslogenable24Junipernetscreen初始配置及管理第24页SNMPConfiguration-WebUIConfiguration>ReportSettings>SNMP25Junipernetscreen初始配置及管理第25页SNMPConfiguration–WebUI(cont.)Configuration>ReportSettings>SNMP>Community26Junipernetscreen初始配置及管理第26页SNMPConfiguration-CLIsetsnmpcontact<name>setsnmplocation<name>setsnmpport[listen|trap]<port>setsnmpcommunity<name>[trap-on|trap-off]setsnmpcommunity<name>version[v1|v2c]setsnmphost<community-name><ip_address>src-interface<name>setsnmphost<community-name><ip_address>trap<version>27Junipernetscreen初始配置及管理第27页LicenseKeys管理LicenseKeys提供功效:Capacityexpansion(extended/advancedreleases)防病毒（Anti-virus）网页过滤（URLfiltering）防垃圾邮件（Anti-Spam）深层检测（DeepInspection/IPS）两种方式导入LicenseKeys手动–从Juniper网站下载lickey文件导入安全网关自动–将安全网关在Juniper网站注册，然后让安全网关自动下载licexeclicense-key[capacity]<key>execlicense-keyupdate28Junipernetscreen初始配置及管理第28页配置文件管理CLI模式只有root管理员才能够进行配置文件管理备份配置文件恢复配置文件1:将文件拷贝到Flash–配置将在重启后生效2:将文件与现有配置组合在一起生成新配置文件（请慎重处理）saveconfigfromflashto[tftp<address>|pcmcia|slot1]<filename>ns208->saveconfigfromflashtotftp5015Jun03.cfgsaveconfigfrom[tftp<address>|pcmcia|slot1]<filename>toflashns208->saveconfigfromtftp5015June03.cfgtoflashsaveconfigfrom[tftp<address>|pcmcia|slot1]<filename>mergens208->saveconfigfromtftp5015June03.cfgmerge29Junipernetscreen初始配置及管理第29页配置文件管理–WebUI模式Configuration>Update>ConfigFile

30Junipernetscreen初始配置及管理第30页系统文件升级CLI模式需要设置TFTP服务器5XT->savesoftwarefromtftp50newimage.bintoflash!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!tftpreceivedoctets=3304662tftpsuccess!TFTPSucceededSavetoflash.Itmaytakeafewminutes...updatenewflashimage(02c86db0,3304662)platform=17,cpu=10,version=16offset=20,address=900000,size=3304584date=0,time=0,cksum=28e9f31cProgramflash(0,3304662)...++++++++++++++++++++++++++++++++++++++++++++++++++doneDone5XT->reset31Junipernetscreen初始配置及管理第31页Configuration>Update>ScreenOS/Keys系统文件升级WebUI模式直接从客户端文件夹获取32Junipernetscreen初始配置及管理第32页灾难恢复当系统文件/配置文件被破坏时，需要做灾难恢复系统文件被破坏Root管理员密码丢失33Junipernetscreen初始配置及管理第33页恢复系统文件在开启模式（BootLoader）下NetScreenNS-200BootLoaderVersion3.0.0(Checksum:35E1A866)Copyright(c)1997-NetScreenTechnologies,Inc.Totalphysicalmemory:128MBTest-PassInitialization-DoneModelNumber:NS-208HitanykeytorunloaderHitanykeytorunloaderHitanykeytoruSerialNumber[004304000034]:READONLYHWVersionNumber[0110]:READONLYSelfMACAddress[0010-db1d-1c30]:READONLYBootFileName[n200-LAS0z0ad]:n200-LAS0z0adSelfIPAddress[]:TFTPIPAddress[31]:Saveloaderconfig(112bytes)...DoneTFTP服务器必须与安全网关SelfIP在同一子网TFTP服务器必须接在:安全网关Trust接口安全网关eth1接口安全网关管理接口