JuniperFWV基礎(chǔ)售后培訓(xùn)I

EDU-JUNIP-FWV-BEG1000T網(wǎng)絡(luò)教程資源盡在三通IT學(xué)院http：2目標(biāo)登錄防火墻基本系統(tǒng)配置基礎(chǔ)概念基本網(wǎng)絡(luò)設(shè)置3目標(biāo)登錄防火墻基本系統(tǒng)配置基礎(chǔ)概念基本網(wǎng)絡(luò)設(shè)置TablesBuffersRunningConfigScreenOS(active)ScreenOSImageSavedConfigCerts,etc.RAMFlashInterf.Interf.Interf.TFTP@PwrUp/ResetTelnetNetScreenDNS/SyslogWebuiSerial.Console4登錄防火墻-----LoginfromConsoleI防火墻可以通過(guò)Console訪問方式進(jìn)行管理最為安全的登錄方式無(wú)須網(wǎng)絡(luò)支持就可以登錄無(wú)須IP地址就可以登錄可以看到啟動(dòng)的信息可以看到實(shí)時(shí)的debug信息5登錄防火墻-----LoginfromConsoleIIa.連接電源線，啟動(dòng)防火墻；整個(gè)啟動(dòng)過(guò)程約2分鐘左右

Console線纜隨機(jī)自帶，為直通網(wǎng)線加轉(zhuǎn)接頭（DB9轉(zhuǎn)RJ45）。b.通過(guò)Console線纜來(lái)連接防火墻的Console端口設(shè)備正常啟動(dòng)后，PowerLED（電源燈）常綠；StatusLED（狀態(tài)燈）閃爍綠色。c.使用PC的終端連接工具，訪問防火墻的Console進(jìn)程。

6登錄防火墻-----LoginfromConsoleIII安全網(wǎng)關(guān)的默認(rèn)管理員用戶名/密碼都是netscreen采用Windows系統(tǒng)超級(jí)終端的默認(rèn)值參數(shù)即可選擇正確的串口7登錄防火墻-----LoginfromConsoleIV防火墻的默認(rèn)管理員用戶名/密碼都是“netscreen”Console方式的配置采用CLI（命令行）方式進(jìn)行8安全網(wǎng)關(guān)可以通過(guò)圖形化模式進(jìn)行管理最為直觀的配置界面，所見即所得。絕大多數(shù)的配置都可以通過(guò)WebUI來(lái)完成。真正簡(jiǎn)捷、高效地圖形化配置工具。只需要很少的配置(打開防火墻接口的web訪問權(quán)限即可)登錄防火墻-----LoginfromWebUII9登錄防火墻-----LoginfromWebUIIIa.為要訪問的接口配置IP地址x.x.x.x/x，并打開該接口的WebUI管理權(quán)限。出廠狀態(tài)下，TrustZone的Interface的IP地址是/24，開放了WebUI管理權(quán)限。b.通過(guò)直通網(wǎng)線連接PC與防火墻的特定端口出廠狀態(tài)下，連接防火墻TrustZone的端口。c.將PC的網(wǎng)卡地址設(shè)置成與a.中接口的同一網(wǎng)段IP地址。出廠狀態(tài)下，將PC網(wǎng)卡地址設(shè)置為192.168.1.X/24。d.在PC的網(wǎng)頁(yè)瀏覽器中輸入,出現(xiàn)登錄界面。出廠狀態(tài)下，輸入。

10登錄防火墻-----LoginfromWebUIIII如果初次配置防火墻（或者對(duì)其進(jìn)行了恢復(fù)出廠值操作），當(dāng)通過(guò)WebUI登錄防火墻時(shí)，配置向?qū)Ь蜁?huì)出現(xiàn)。配置向?qū)Э梢詭椭皇煜し阑饓Φ挠脩魧?duì)系統(tǒng)進(jìn)行基本配置。高級(jí)用戶不建議使用該向?qū)нM(jìn)行系統(tǒng)配置。默認(rèn)的用戶名/密碼都是netscreen。11登錄防火墻-----LoginfromWebUIIV首頁(yè)可以讀到設(shè)備的序列號(hào)、OS版本、主機(jī)名、時(shí)間、運(yùn)行時(shí)間等。可以閱讀到實(shí)時(shí)狀態(tài)下的系統(tǒng)CPU、內(nèi)存、會(huì)話數(shù)、策略數(shù)。12登錄防火墻-----LoginfromWebUIV可以閱讀到系統(tǒng)產(chǎn)生的警報(bào)?？梢蚤喿x到系統(tǒng)產(chǎn)生的日志。13目標(biāo)登錄防火墻基本系統(tǒng)配置基礎(chǔ)概念基本網(wǎng)絡(luò)設(shè)置14基本系統(tǒng)配置-----ScreenOS升級(jí)

選中FirmwareUpdate項(xiàng)。點(diǎn)擊“瀏覽”按鈕，在客戶端文件目錄下尋找ScreenOS升級(jí)文件。點(diǎn)擊“Apply”按鈕，進(jìn)行升級(jí)。系統(tǒng)將跳出警告提示。升級(jí)文件導(dǎo)入后，系統(tǒng)重啟；整個(gè)過(guò)程大概需要3分鐘。Configuration>Update>ScreenOS/Keys

15基本系統(tǒng)配置-----配置文件管理Configuration>Update>ConfigFile

上傳配置選中ReplaceCurrentConfiguration項(xiàng)。點(diǎn)擊“瀏覽”按鈕，在客戶端文件目錄下尋找需要上傳的配置文件，然后點(diǎn)擊“Apply”進(jìn)行上傳，系統(tǒng)將彈出警告。下載配置點(diǎn)擊“SaveToFile”按鈕，進(jìn)行下載。系統(tǒng)將提示你選擇文件目錄。16基本系統(tǒng)配置-----管理員帳號(hào)管理Configuration>Admin>Administrators創(chuàng)建新的管理員帳號(hào)編輯管理員帳號(hào)Root管理員由系統(tǒng)定義，不能刪除；但可以修改其名稱和密碼。Root管理員可以創(chuàng)建或刪除本地管理員帳號(hào)。本地管理員帳號(hào)分為Read-Only和Read-Write兩種權(quán)限。17管理員帳號(hào)管理-----創(chuàng)建新的系統(tǒng)管理員帳號(hào)Configuration>Admin>Administrators>Configuration

18管理員帳號(hào)管理-----修改系統(tǒng)管理員帳號(hào)用戶名/密碼Configuration>Admin>Administrators>Edit19基本系統(tǒng)配置-----配置PermittedIPs可以通過(guò)設(shè)置Permitted-IPs來(lái)限制訪問防火墻的源地址。Permitted-IPs地址可以一個(gè)主機(jī)地址，也可以是一個(gè)網(wǎng)段。Configuration>Admin>PermittedIPs20基本系統(tǒng)配置-----系統(tǒng)管理設(shè)置EnableWebManagementIdleTimeout用來(lái)設(shè)置Webui登錄的空閑超時(shí)時(shí)限。各種Port用來(lái)設(shè)置該種方式登錄的端口；建議在外網(wǎng)訪問WEB的時(shí)候，修改默認(rèn)端口。Configuration>Admin>

Management

21基本系統(tǒng)配置-----系統(tǒng)時(shí)鐘設(shè)置Configuration>Date/Time最簡(jiǎn)捷的設(shè)置時(shí)間的方法是按“SyncClockWithClient”按鈕。系統(tǒng)將自身時(shí)鐘與網(wǎng)管客戶端的本地時(shí)鐘作同步。如果用戶網(wǎng)絡(luò)中有NTP服務(wù)器存在，也可在此頁(yè)面設(shè)置。22基本系統(tǒng)配置-----系統(tǒng)DNS設(shè)置Network>DNS>Host該處設(shè)置的DNS僅供防火墻本身對(duì)外進(jìn)行訪問時(shí)使用。防火墻下聯(lián)的客戶端無(wú)法繼承該處的DNS配置。可以通過(guò)HostName項(xiàng)，改變防火墻的系統(tǒng)主機(jī)名稱。23基本系統(tǒng)配置-----LicenseKey管理LicenseKey提供的功能：CapacityLicenseKeyUTMSubscriptionLicenseKey擴(kuò)展許可（extended）

防病毒（Anti-Virus）高級(jí)許可（advanced）網(wǎng)頁(yè)過(guò)濾（URLfiltering）入侵防御許可（IDP）防垃圾郵件（Anti-Spam）虛擬系統(tǒng)許可（VSYS)深層檢測(cè)（DeepInspection/IPSConfiguration>Update>ScreenOS/Keys

24LicenseKey管理

-----CapacityLicenseKey管理Configuration>Update>ScreenOS/Keys

選中“LicenseKeyUpdate”，點(diǎn)擊“瀏覽”按鈕，在客戶端文件目錄中選擇license文件；再點(diǎn)擊“Apply”按鈕。系統(tǒng)將彈出告警提示；確認(rèn)后，license被導(dǎo)入。License所支持的功能在重啟后才真正生效。25LicenseKey管理

-----UTMSubscriptionKey管理Configuration>Update>ScreenOS/Keys

點(diǎn)擊“RetrieveSubscriptionsNow”按鈕，主機(jī)將自動(dòng)到Juniper數(shù)據(jù)中心下載相關(guān)許可。下載成功與否的關(guān)鍵，是保證系統(tǒng)時(shí)間及DNS的正確設(shè)置。26基本系統(tǒng)配置-----恢復(fù)出廠值/默認(rèn)密碼密碼丟失是無(wú)法恢復(fù)的只有通過(guò)恢復(fù)出廠默認(rèn)配置的方法來(lái)重新獲得管理權(quán)限原來(lái)配置的參數(shù)、證書等都將被刪除兩種辦法恢復(fù)出廠默認(rèn)配置在Console模式下，用設(shè)備的序列號(hào)作為用戶名/密碼進(jìn)行登錄。成功后系統(tǒng)出現(xiàn)警告提示，將擦去現(xiàn)有配置，確認(rèn)后系統(tǒng)開始恢復(fù)默認(rèn)配置，隨后重啟。整個(gè)過(guò)程約3分鐘。使用設(shè)備面板上的針孔（pinhole）按下按鈕直到系統(tǒng)指示燈變成紅色等待指示燈恢復(fù)到綠色再按前述步驟來(lái)一次系統(tǒng)進(jìn)入初始化狀態(tài)27基本系統(tǒng)配置-----災(zāi)難恢復(fù)當(dāng)系統(tǒng)文件被破壞時(shí)，需要做災(zāi)難恢復(fù)表征：無(wú)法通過(guò)Webui、Telnet等方法訪問系統(tǒng)。原因：系統(tǒng)文件（ScreenOS）意外損壞或丟失?；謴?fù)方法：通過(guò)Console方式進(jìn)入系統(tǒng)的Boot模式，通過(guò)TFTP的方式向系統(tǒng)FLASH上灌制可用的OS。TFTP灌制ScreenOS的注意事項(xiàng)TFTP服務(wù)器必須與系統(tǒng)的SelfIP在同一子網(wǎng)TFTP服務(wù)器必須連接在:系統(tǒng)的Trust區(qū)端口或系統(tǒng)的eth0/0、eth0/1、eth1端口或系統(tǒng)的管理端口28災(zāi)難恢復(fù)-----恢復(fù)系統(tǒng)文件

I啟動(dòng)設(shè)備，當(dāng)出現(xiàn)“Hitanykeytorunloader”時(shí)，按任意鍵進(jìn)入boot模式。在“BootFileName”欄填入系統(tǒng)OS的文件名。在“SelfIPAddress”欄填入一個(gè)臨時(shí)地址供TFTP通信使用。在“TFTPIPAddress”欄填入TFTP服務(wù)器的地址，也就是PC的地址。輸入完畢后，按回車鍵開始通過(guò)TFTP傳送系統(tǒng)OS到設(shè)備。29災(zāi)難恢復(fù)-----恢復(fù)系統(tǒng)文件

II30災(zāi)難恢復(fù)-----恢復(fù)系統(tǒng)文件

III當(dāng)出現(xiàn)“Savetoon-boardflashdisk？”提示時(shí)，按“Y”鍵將OS存入FLASH。當(dāng)出現(xiàn)“Rundownloadsystemimage？”提示時(shí)，按“Y”鍵運(yùn)行新的OS。31災(zāi)難恢復(fù)-----恢復(fù)系統(tǒng)文件

IV當(dāng)出現(xiàn)“Thedevicesuccessfullycompletedtheoperation“，整個(gè)系統(tǒng)恢復(fù)的過(guò)程結(jié)束。32目標(biāo)登錄防火墻基本系統(tǒng)配置基礎(chǔ)概念基本網(wǎng)絡(luò)設(shè)置VRZoneInt.33基礎(chǔ)概念－－－VirtualRouter/Zone/Interface嚴(yán)格的邏輯層次結(jié)構(gòu)安全區(qū)從屬于虛擬路由器安全區(qū)默認(rèn)都從屬于trust-vr接口從屬于安全區(qū)一個(gè)接口只能從屬于一個(gè)安全區(qū)IP地址從屬于接口Int.ZoneZoneVirtualRouterVRZoneInt.IP虛擬路由器的路由表各自獨(dú)立安全區(qū)之間的訪問受策略控制接口是一個(gè)邏輯概念，它可以包含若干個(gè)物理端口，也可以不包括任何物理端口34虛擬路由器預(yù)定義:

trust-vr:系統(tǒng)的defaultVR。

untrust-vr:

自定義:在高端型號(hào)上，需要license支持方可使用動(dòng)態(tài)路由協(xié)議的全局配置在VR菜單下基礎(chǔ)概念－－－VirtualRouterNetwork

>

Routing

>

Virtual

Routers

35安全區(qū)預(yù)定義:

Trust:一般放置內(nèi)網(wǎng)接口Untrust:一般放置外網(wǎng)接口

DMZ:一般放置服務(wù)器接口用戶自定義：功能安全區(qū)Null：放置未配置的接口MGT：放置網(wǎng)管用接口HA：SelfVLAN基礎(chǔ)概念－－－SecurityZone36基礎(chǔ)概念－－－InterfaceI接口邏輯接口:subinterface、loopbackinterface、HAinterface、VSIinterface、etc.物理接口：百兆銅纜、千兆銅纜、百兆光纖、千兆光纖、萬(wàn)兆光纖等設(shè)備的可網(wǎng)管配置也在接口菜單完成當(dāng)我們談?wù)摰氖窃O(shè)備的物理連接口的時(shí)候，使用的術(shù)語(yǔ)是Port（端口）37基礎(chǔ)概念－－－Sub

InterfaceSub-IF的用途是在一個(gè)物理接口上承接來(lái)自某個(gè)或者多個(gè)VLAN的數(shù)據(jù)。Sub-IF與其物理接口并無(wú)邏輯上的聯(lián)系。Eth0/0在TrustZone，eth0/0.1在DMZZone這種情況是允許的。38基礎(chǔ)概念－－－Tunnel

InterfaceTunnelIF的用途是建立一個(gè)隧道接口供VPN使用；GRE、IPSec。TunnelIF可以選擇使用一個(gè)額外的IP地址，也可以通過(guò)Unnumbered選項(xiàng)，借用其他接口的地址。39基礎(chǔ)概念－－－Loopback

InterfaceLoopbackIF的用途是通過(guò)這個(gè)邏輯上的地址來(lái)實(shí)現(xiàn)管理上的便利，比如OSPF的RouterID。TunnelIF的IP地址盡量使用32位掩碼；因?yàn)樗皇潜硎疽粋€(gè)主機(jī)。40目標(biāo)登錄防火墻基本系統(tǒng)配置基礎(chǔ)概念基本網(wǎng)絡(luò)設(shè)置UntrustZoneTrustZone50/24/24B/24DMZZone.254/24/24.1 .254.1 .254/24/24.254 .141基本網(wǎng)絡(luò)配置-----NetworkBinding通過(guò)Binding頁(yè)面，可以查看當(dāng)前各Interface/Zone/VR的歸屬關(guān)系

Network>Binding

42基本網(wǎng)絡(luò)配置-----Zone配置點(diǎn)擊“New”按鈕，創(chuàng)建新的Zone。點(diǎn)擊“Edit”按鈕，編輯該Zone的屬性。Network>Zones

43Zone配置-----創(chuàng)建新的ZoneZoneType決定該Zone將作用于路由模式還是透明模式。Layer3對(duì)應(yīng)路由模式；Layer2對(duì)應(yīng)透明模式。Layer2的ZoneName必須以“L2”或者“l(fā)2”開頭。44Zone配置-----編輯Zone的屬性BlockIntra-ZoneTraffic選項(xiàng)可以控制本區(qū)內(nèi)流量傳送。默認(rèn)狀態(tài)，UntrustZone勾選了此項(xiàng)。45基本網(wǎng)絡(luò)配置-----Interface配置點(diǎn)擊“New”按鈕，在下拉菜單選擇相應(yīng)的接口類型，創(chuàng)建新的接口。點(diǎn)擊“Edit”按鈕，編輯該Interface的屬性。46Interface配置-----編輯接口的參數(shù)Network>Interfaces>Edit

47Interface配置-----編輯接口的參數(shù)-----ZoneBinding點(diǎn)擊“ZoneName”旁邊的下拉菜單，選擇需要binding的Zone。經(jīng)過(guò)Binding的Interface才可以做IP及其它方面的設(shè)置。如果需要將某個(gè)接口停止使用，需要將其放置到“NullZone”。放置到“NullZone”的一個(gè)先決條件是將IP地址設(shè)置為。48Interface配置-----編輯接口的參數(shù)-----IPsetting需要通過(guò)DHCP自動(dòng)獲取IP地址的，點(diǎn)擊“ObtainIPusingDHCP”選項(xiàng)。需要通過(guò)PPPoE撥號(hào)方式獲取IP地址的，點(diǎn)擊“ObtainIPusingPPPoE”選項(xiàng)，并做相關(guān)設(shè)置。需要手工設(shè)定IP地址的，點(diǎn)擊“StaticIP”選項(xiàng)，并做相關(guān)設(shè)置。49Interface配置-----編輯接口的參數(shù)-----InterfaceModeInterfaceMode是Juniper防火墻特有的屬性，它僅僅影響到NAT功能。Binding到Trust/DMZZone的接口默認(rèn)為“NAT”模式。接口設(shè)定為”NAT”模式后，通過(guò)該接口，流向UntrustZone的流量都會(huì)自動(dòng)做源地址翻譯。50Interface配置-----編輯接口的參數(shù)-----ServiceOptionsServiceOptions決定是否可以通過(guò)該接口對(duì)防火墻本身進(jìn)行訪問通過(guò)選擇不同的Service，可以高粒度地控制外界對(duì)防火墻的訪問建議在網(wǎng)絡(luò)調(diào)試階