juniper防火墙初始配置及管理y810

JuniperFWV基础售后培训I

EDU-JUNIP-FWV-BEG1000T网络教程资源尽在三通IT学院http：2目标登录防火墙基本系统配置基础概念基本网络设置3目标登录防火墙基本系统配置基础概念基本网络设置TablesBuffersRunningConfigScreenOS(active)ScreenOSImageSavedConfigCerts,etc.RAMFlashInterf.Interf.Interf.TFTP@PwrUp/ResetTelnetNetScreenDNS/SyslogWebuiSerial.Console4登录防火墙-----LoginfromConsoleI防火墙可以通过Console访问方式进行管理最为安全的登录方式无须网络支持就可以登录无须IP地址就可以登录可以看到启动的信息可以看到实时的debug信息5登录防火墙-----LoginfromConsoleIIa.连接电源线，启动防火墙；整个启动过程约2分钟左右

Console线缆随机自带，为直通网线加转接头（DB9转RJ45）。b.通过Console线缆来连接防火墙的Console端口设备正常启动后，PowerLED（电源灯）常绿；StatusLED（状态灯）闪烁绿色。c.使用PC的终端连接工具，访问防火墙的Console进程。

6登录防火墙-----LoginfromConsoleIII安全网关的默认管理员用户名/密码都是netscreen采用Windows系统超级终端的默认值参数即可选择正确的串口7登录防火墙-----LoginfromConsoleIV防火墙的默认管理员用户名/密码都是“netscreen”Console方式的配置采用CLI（命令行）方式进行8安全网关可以通过图形化模式进行管理最为直观的配置界面，所见即所得。绝大多数的配置都可以通过WebUI来完成。真正简捷、高效地图形化配置工具。只需要很少的配置(打开防火墙接口的web访问权限即可)登录防火墙-----LoginfromWebUII9登录防火墙-----LoginfromWebUIIIa.为要访问的接口配置IP地址x.x.x.x/x，并打开该接口的WebUI管理权限。出厂状态下，TrustZone的Interface的IP地址是/24，开放了WebUI管理权限。b.通过直通网线连接PC与防火墙的特定端口出厂状态下，连接防火墙TrustZone的端口。c.将PC的网卡地址设置成与a.中接口的同一网段IP地址。出厂状态下，将PC网卡地址设置为192.168.1.X/24。d.在PC的网页浏览器中输入,出现登录界面。出厂状态下，输入。

10登录防火墙-----LoginfromWebUIIII如果初次配置防火墙（或者对其进行了恢复出厂值操作），当通过WebUI登录防火墙时，配置向导就会出现。配置向导可以帮助不熟悉防火墙的用户对系统进行基本配置。高级用户不建议使用该向导进行系统配置。默认的用户名/密码都是netscreen。11登录防火墙-----LoginfromWebUIIV首页可以读到设备的序列号、OS版本、主机名、时间、运行时间等。可以阅读到实时状态下的系统CPU、内存、会话数、策略数。12登录防火墙-----LoginfromWebUIV可以阅读到系统产生的警报。可以阅读到系统产生的日志。13目标登录防火墙基本系统配置基础概念基本网络设置14基本系统配置-----ScreenOS升级

选中FirmwareUpdate项。点击“浏览”按钮，在客户端文件目录下寻找ScreenOS升级文件。点击“Apply”按钮，进行升级。系统将跳出警告提示。升级文件导入后，系统重启；整个过程大概需要3分钟。Configuration>Update>ScreenOS/Keys

15基本系统配置-----配置文件管理Configuration>Update>ConfigFile

上传配置选中ReplaceCurrentConfiguration项。点击“浏览”按钮，在客户端文件目录下寻找需要上传的配置文件，然后点击“Apply”进行上传，系统将弹出警告。下载配置点击“SaveToFile”按钮，进行下载。系统将提示你选择文件目录。16基本系统配置-----管理员帐号管理Configuration>Admin>Administrators创建新的管理员帐号编辑管理员帐号Root管理员由系统定义，不能删除；但可以修改其名称和密码。Root管理员可以创建或删除本地管理员帐号。本地管理员帐号分为Read-Only和Read-Write两种权限。17管理员帐号管理-----创建新的系统管理员帐号Configuration>Admin>Administrators>Configuration

18管理员帐号管理-----修改系统管理员帐号用户名/密码Configuration>Admin>Administrators>Edit19基本系统配置-----配置PermittedIPs可以通过设置Permitted-IPs来限制访问防火墙的源地址。Permitted-IPs地址可以一个主机地址，也可以是一个网段。Configuration>Admin>PermittedIPs20基本系统配置-----系统管理设置EnableWebManagementIdleTimeout用来设置Webui登录的空闲超时时限。各种Port用来设置该种方式登录的端口；建议在外网访问WEB的时候，修改默认端口。Configuration>Admin>

Management

21基本系统配置-----系统时钟设置Configuration>Date/Time最简捷的设置时间的方法是按“SyncClockWithClient”按钮。系统将自身时钟与网管客户端的本地时钟作同步。如果用户网络中有NTP服务器存在，也可在此页面设置。22基本系统配置-----系统DNS设置Network>DNS>Host该处设置的DNS仅供防火墙本身对外进行访问时使用。防火墙下联的客户端无法继承该处的DNS配置。可以通过HostName项，改变防火墙的系统主机名称。23基本系统配置-----LicenseKey管理LicenseKey提供的功能：CapacityLicenseKeyUTMSubscriptionLicenseKey扩展许可（extended）

防病毒（Anti-Virus）高级许可（advanced）网页过滤（URLfiltering）入侵防御许可（IDP）防垃圾邮件（Anti-Spam）虚拟系统许可（VSYS)深层检测（DeepInspection/IPSConfiguration>Update>ScreenOS/Keys

24LicenseKey管理

-----CapacityLicenseKey管理Configuration>Update>ScreenOS/Keys

选中“LicenseKeyUpdate”，点击“浏览”按钮，在客户端文件目录中选择license文件；再点击“Apply”按钮。系统将弹出告警提示；确认后，license被导入。License所支持的功能在重启后才真正生效。25LicenseKey管理

-----UTMSubscriptionKey管理Configuration>Update>ScreenOS/Keys

点击“RetrieveSubscriptionsNow”按钮，主机将自动到Juniper数据中心下载相关许可。下载成功与否的关键，是保证系统时间及DNS的正确设置。26基本系统配置-----恢复出厂值/默认密码密码丢失是无法恢复的只有通过恢复出厂默认配置的方法来重新获得管理权限原来配置的参数、证书等都将被删除两种办法恢复出厂默认配置在Console模式下，用设备的序列号作为用户名/密码进行登录。成功后系统出现警告提示，将擦去现有配置，确认后系统开始恢复默认配置，随后重启。整个过程约3分钟。使用设备面板上的针孔（pinhole）按下按钮直到系统指示灯变成红色等待指示灯恢复到绿色再按前述步骤来一次系统进入初始化状态27基本系统配置-----灾难恢复当系统文件被破坏时，需要做灾难恢复表征：无法通过Webui、Telnet等方法访问系统。原因：系统文件（ScreenOS）意外损坏或丢失。恢复方法：通过Console方式进入系统的Boot模式，通过TFTP的方式向系统FLASH上灌制可用的OS。TFTP灌制ScreenOS的注意事项TFTP服务器必须与系统的SelfIP在同一子网TFTP服务器必须连接在:系统的Trust区端口或系统的eth0/0、eth0/1、eth1端口或系统的管理端口28灾难恢复-----恢复系统文件

I启动设备，当出现“Hitanykeytorunloader”时，按任意键进入boot模式。在“BootFileName”栏填入系统OS的文件名。在“SelfIPAddress”栏填入一个临时地址供TFTP通信使用。在“TFTPIPAddress”栏填入TFTP服务器的地址，也就是PC的地址。输入完毕后，按回车键开始通过TFTP传送系统OS到设备。29灾难恢复-----恢复系统文件

II30灾难恢复-----恢复系统文件

III当出现“Savetoon-boardflashdisk？”提示时，按“Y”键将OS存入FLASH。当出现“Rundownloadsystemimage？”提示时，按“Y”键运行新的OS。31灾难恢复-----恢复系统文件

IV当出现“Thedevicesuccessfullycompletedtheoperation“，整个系统恢复的过程结束。32目标登录防火墙基本系统配置基础概念基本网络设置VRZoneInt.33基础概念－－－VirtualRouter/Zone/Interface严格的逻辑层次结构安全区从属于虚拟路由器安全区默认都从属于trust-vr接口从属于安全区一个接口只能从属于一个安全区IP地址从属于接口Int.ZoneZoneVirtualRouterVRZoneInt.IP虚拟路由器的路由表各自独立安全区之间的访问受策略控制接口是一个逻辑概念，它可以包含若干个物理端口，也可以不包括任何物理端口34虚拟路由器预定义:

trust-vr:系统的defaultVR。

untrust-vr:

自定义:在高端型号上，需要license支持方可使用动态路由协议的全局配置在VR菜单下基础概念－－－VirtualRouterNetwork

>

Routing

>

Virtual

Routers

35安全区预定义:

Trust:一般放置内网接口Untrust:一般放置外网接口

DMZ:一般放置服务器接口用户自定义：功能安全区Null：放置未配置的接口MGT：放置网管用接口HA：SelfVLAN基础概念－－－SecurityZone36基础概念－－－InterfaceI接口逻辑接口:subinterface、loopbackinterface、HAinterface、VSIinterface、etc.物理接口：百兆铜缆、千兆铜缆、百兆光纤、千兆光纤、万兆光纤等设备的可网管配置也在接口菜单完成当我们谈论的是设备的物理连接口的时候，使用的术语是Port（端口）37基础概念－－－Sub

InterfaceSub-IF的用途是在一个物理接口上承接来自某个或者多个VLAN的数据。Sub-IF与其物理接口并无逻辑上的联系。Eth0/0在TrustZone，eth0/0.1在DMZZone这种情况是允许的。38基础概念－－－Tunnel

InterfaceTunnelIF的用途是建立一个隧道接口供VPN使用；GRE、IPSec。TunnelIF可以选择使用一个额外的IP地址，也可以通过Unnumbered选项，借用其他接口的地址。39基础概念－－－Loopback

InterfaceLoopbackIF的用途是通过这个逻辑上的地址来实现管理上的便利，比如OSPF的RouterID。TunnelIF的IP地址尽量使用32位掩码；因为它只是表示一个主机。40目标登录防火墙基本系统配置基础概念基本网络设置UntrustZoneTrustZone50/24/24B/24DMZZone.254/24/24.1 .254.1 .254/24/24.254 .141基本网络配置-----NetworkBinding通过Binding页面，可以查看当前各Interface/Zone/VR的归属关系

Network>Binding

42基本网络配置-----Zone配置点击“New”按钮，创建新的Zone。点击“Edit”按钮，编辑该Zone的属性。Network>Zones

43Zone配置-----创建新的ZoneZoneType决定该Zone将作用于路由模式还是透明模式。Layer3对应路由模式；Layer2对应透明模式。Layer2的ZoneName必须以“L2”或者“l2”开头。44Zone配置-----编辑Zone的属性BlockIntra-ZoneTraffic选项可以控制本区内流量传送。默认状态，UntrustZone勾选了此项。45基本网络配置-----Interface配置点击“New”按钮，在下拉菜单选择相应的接口类型，创建新的接口。点击“Edit”按钮，编辑该Interface的属性。46Interface配置-----编辑接口的参数Network>Interfaces>Edit

47Interface配置-----编辑接口的参数-----ZoneBinding点击“ZoneName”旁边的下拉菜单，选择需要binding的Zone。经过Binding的Interface才可以做IP及其它方面的设置。如果需要将某个接口停止使用，需要将其放置到“NullZone”。放置到“NullZone”的一个先决条件是将IP地址设置为。48Interface配置-----编辑接口的参数-----IPsetting需要通过DHCP自动获取IP地址的，点击“ObtainIPusingDHCP”选项。需要通过PPPoE拨号方式获取IP地址的，点击“ObtainIPusingPPPoE”选项，并做相关设置。需要手工设定IP地址的，点击“StaticIP”选项，并做相关设置。49Interface配置-----编辑接口的参数-----InterfaceModeInterfaceMode是Juniper防火墙特有的属性，它仅仅影响到NAT功能。Binding到Trust/DMZZone的接口默认为“NAT”模式。接口设定为”NAT”模式后，通过该接口，流向UntrustZone的流量都会自动做源地址翻译。50Interface配置-----编辑接口的参数-----ServiceOptionsServiceOptions决定是否可以通过该接口对防火墙本身进行访问通过选择不同的Service，可以高粒度地控制外界对防火墙的访问建议在网络调试阶