Juniper防火墙故障情况下的快速恢复

juniper防火墙之恢复出厂默认设置用过Juniper产品的人都应该知道一点，Juniper产品密码忘了的话是一件很痛苦的事，为什么这么说呢？下来就来听我给大家讲讲嘛！密码丢失是无法恢复的，那么我们就只有通过恢复出厂默认设置的方法来重新获得管理权限（原来配置的参数、证书等都将被删除）。

有两种办法恢复出厂默认配置：1、在Console模式下，用设备的序列号作用用户名/密码进行登录。

成功后系统出现警告提示，将擦去现有配置，确认后系统开始恢复默认配置，随后重启。

整个过程约3分钟。

那么我们如何获得这个序列号呢？要获得这个序列号的办法有两种，第一种就是在产品的背后有一个序列号。

第二种办法就是通过输入“get sys”来获取。

这里我们先来看看Juniper防火墙的启动过程：NetScreen NS-5GT Boot Loader Version 2.1.0 (Checksum: 61D07DA5)Copyright (c) 1997-2003 NetScreen Technologies, Inc.Total physical memory: 128MBTest - PassInitialization.... DoneHit any key to run loaderHit any key to run loaderHit any key to run loaderHit any key to run loaderLoading default system image from on-board flash disk...Done! (size = 11,108,352 bytes)Ignore image authentication!Start loading... ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ......................................Done.Juniper Networks, IncNS-5GT System SoftwareCopyright, 1997-2008Version 6.2.0r1.0Load Manufacture Information ... DoneInitialize FBTL 0.... DoneLoad NVRAM Information ... (6.2.0)DoneSYIMAGEInstall module init vectorsbuild and grow heap:system, order:13Initial port mode trust-untrust(1)Install modules (00fdc800,01bf5c70) ...PPP IP-POOL initiated, 256 poolsSystem config (1945 bytes) loadedDone.Load SystemConfiguration ................................................................. .................................................................Disabled licensekey auto update...................Donesystem init done..login: trust interface change physical state to Upuntrust interface change physical state to Uplogin: System change state to Active(1)以上就是我们Juniper防火墙的启动过程，这里学过cisco的应该大至是能够理解的。

JuniperSRX恢复主分区引导系统
突然停电或者非正常关机后Juniper OS的主分区受损重启失败后会从备件分区启动系统，并收到如下的提示：
注：以下操作是在超级终端完成的，以及所有命令是在命令模式（>）下进行的.
1.首先可以查看是在那个分区启动系统
命令：show system storage partitions
如下图所示是在备份分区启动的：
2.查看备份分区系统版本和主分区系统版本，因为还原后会把主分区版本覆盖
命令：show system snapshot media internal
3.可通过下面的命令从备份分区恢复JunOS 镜象到主分区：
request system snapshot internal slice alternate
4.还原后，用下面的命令重启设置，以让其从主分区启动
命令：request system reboot media internal
注：官网的例子版是10.4R3，用的命令是request system reboot slice alternate media internal 但我的12.1的版是无效的。

5.重启完成后可验证是否从主分区启动
命令：show system storage partitions。

有两种办法恢复出厂默认配置：1、在Console模式下，用设备的序列号作用用户名/密码进行登录。

成功后系统出现警告提示，将擦去现有配置，确认后系统开始恢复默认配置，随后重启。

整个过程约3分钟。

那么我们如何获得这个序列号呢？要获得这个序列号的办法有两种，第一种就是在产品的背后有一个序列号。

第二种办法就是通过输入“get sys”来获取。

这里我们先来看看Juniper防火墙的启动过程：NetScreen NS-5GT Boot Loader Version 2.1.0 (Checksum: 61D07DA5)Copyright (c) 1997-2003 NetScreen Technologies, Inc.Total physical memory: 128MBTest - PassInitialization.... DoneHit any key to run loaderHit any key to run loaderHit any key to run loaderHit any key to run loaderLoading default system image from on-board flash disk...Done! (size = 11,108,352 bytes)Ignore image authentication!Start loading... ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ......................................Done.Juniper Networks, IncNS-5GT System SoftwareCopyright, 1997-2008Version 6.2.0r1.0Load Manufacture Information ... DoneInitialize FBTL 0.... DoneLoad NVRAM Information ... (6.2.0)DoneSYIMAGEInstall module init vectorsbuild and grow heap:system, order:13Initial port mode trust-untrust(1)Install modules (00fdc800,01bf5c70) ...PPP IP-POOL initiated, 256 poolsSystem config (1945 bytes) loadedDone.Load SystemConfiguration ................................................................. .................................................................Disabled licensekey auto update...................Donesystem init done..login: trust interface change physical state to Upuntrust interface change physical state to Uplogin: System change state to Active(1)以上就是我们Juniper防火墙的启动过程，这里学过cisco的应该大至是能够理解的。

Juniper防火墙常见故障应急预案Juniper防火墙常见故障快速处理指南应急启动条件：故障一：CPU负载突发升高故障二：并发会话突发升高故障三：防火墙主备关系紊乱应急操作步骤：故障一：CPU负载突发升高如果CPU持续升高，并且影响了业务的正常通信，而在规定时间内无法找到原因（例如找不到突发数据源、因为软硬件故障造成的CPU升高），可在收集完信息后，通过三层交换机替代防火墙，进行防火墙旁路的应急操作。

（注意：在外联区与Internet 区等需要NAT的地方不能使用此替代方案）收集的信息至少包括如下内容：request support informationset cli timestampshow chassis routing-engineshow system processes extensiveshow security monitoring performance sessionshow security monitoring session fpc <number> pic <number>show security monitoring performance spu故障二：并发会话突发升高一般在会话总数升高时，可通过命令clear security flow session及时关闭无用的会话，此命令可以基于源/目标地址、源/目标端口、IP协议来关闭会话。

另外，可以通过命令delete security flow tcp-session no-syn-check 打开对建立会话的包头syn标志位检测，以避免有攻击流量（例如rst flood）在防火墙上建立无用会话。

同时，可通过以下命令，临时降低每个ip允许的会话，以保证大部分的业务通讯：set security screen ids-option <screen> limit-session source-ip-based <number> set security screen ids-option <screen> limit-session destination-ip-based <number>set security zones security-zone <zone> screen <screen>如果会话持续升高，并且影响了业务的正常通信，而在规定时间内无法找到原因（例如找不到突发数据源、因为软硬件故障造成的会话升高），可在收集完信息后，通过三层交换机替代防火墙，进行防火墙旁路的应急操作。

计算机网络系统防火墙部署工程技术方案2006年6月目录第一章Juniper的安全理念 (3)1.1 基本防火墙功能 (3)1.2 内容安全功能 (4)1.3 虚拟专网(VPN)功能 (7)1.4 流量管理功能 (7)1.5 强大的ASIC的硬件保障 (8)1.6 设备的可靠性和安全性 (8)1.7 完备简易的管理 (9)第二章项目概述 (9)第三章总体方案建议 (10)3.1 防火墙A和防火墙B的双机热备、均衡负载实现方案 (10)3.2 防火墙A和防火墙B的VLAN（802.1Q的trunk协议）实现方案 (16)3.3 防火墙A和防火墙B的动态路由支持程度的实现方案 (17)3.4 防火墙的VPN实现方案 (17)3.5 防火墙的安全控制实现方案 (18)3.6 防火墙的网络地址转换实现方案 (26)3.7 防火墙的应用代理实现方案 (29)3.9 防火墙用户认证的实现方案 (29)3.10 防火墙对带宽管理实现方案 (31)3.11 防火墙日志管理、管理特性以及集中管理实现方案 (32)第一章Juniper的安全理念网络安全可以分为数据安全和服务安全两个层次。

数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。

从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。

但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。

在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。

这里的成本包括设备成本、人力成本、时间成本等多方面的因素。

Juniper的整合式安全设备是专为互联网网络安全而设，将硬件状态防火墙、虚拟专用网（IPsec VPN）、入侵防护（IPS）和流量管理等多种安全功能集于一体。

Juniper整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时，可以无缝地部署到任何网络。

Netscreen 防火墙维护指南一、综述防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。

NetScreen防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。

本文对Netscreen防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。

二、Netscreen防火墙日常维护围绕防火墙可靠运行和出现故障时能够快速恢复为目标，Netscreen防火墙维护主要思路为：通过积极主动的日常维护将故障隐患消除在萌芽状态；故障发生时，使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行；故障处理后及时进行总结与改进避免故障再次发生。

常规维护：在防火墙的日常维护中，通过对防火墙进行健康检查，能够实时了解Netscreen防火墙运行状况，检测相关告警信息，提前发现并消除网络异常和潜在故障隐患，以确保设备始终处于正常工作状态。

1、日常维护过程中，需要重点检查以下几个关键信息：Session：如已使用的Session数达到或接近系统最大值，将导致新Session不能及时建立连接，此时已经建立Session的通讯虽不会造成影响；但仅当现有session连接拆除后，释放出来的Session资源才可供新建连接使用。

维护建议：当Session资源正常使用至85％时，需要考虑设备容量限制并及时升级，以避免因设备容量不足影响业务拓展。

CPU: Netscreen是基于硬件架构的高性能防火墙，很多计算工作由专用ASIC芯片完成，正常工作状态下防火墙CPU使用率应保持在50%以下，如出现CPU利用率过高情况需给予足够重视，应检查Session使用情况和各类告警信息，并检查网络中是否存在攻击流量。

JuniperEX交换机系统恢复1 交换机无法正常启动的解决办法EX交换机在突然掉电或非正常关机的情况下，设备重新启动后，可能会出现一直卡着启动进程或OS引导失败的场景，本文列出几种常见的模式及解决方法（注：本文档中提到的操作可能出现设备原有配置丢失情况出现，另外，对于通过命令关机时，强烈建议等到所有进程都halt时再对进行掉电操作）。

通常，交换机无法正常启动时，通过console输出为：1.系统直接进入Loader模式，Loader Prompt ( loader >) ；2.系统进入Debug模式，Debug Prompt (db>) ；3.系统进入UBoot模式，UBoot Prompt (=>)；4.系统能正常启动，但各系统进程无法正常加载；5.系统提示Can't load kernel error ；2 系统直接进入Loader模式解决办法方法一 TFTP方式恢复交换机1.准备好TFTP服务器，然后把Junos安装文件上传至TFTP的root目录层次下；2.用console连接交换机，并对设备进行加电；# When you see the "loading /boot/defaults/loader.conf" display hit ENTER.Then press [Enter] to boot immediately, or space bar for command prompt.Hit the space bar to enter the manual loader. The loader > prompt displays.(NOTE: There is a 1 second delay for hitting the space bar) (TIPS: you can hit space bar after you see "Loading /boot/defaults/loader.conf" message)3.配置交换机的管理ip地址；loader> set ipaddr=192.168.100.2loader> set netmask=255.255.255.0 loader> set serverip=192.168.100.14.从TFTP安装Junos;loader> install tftp://192.168.100.1/jinstall-ex-9.1R2.7-domestic-signed.tgz====================================== ========This part of the boot log is related to the steps listed above ========================================= =====Consoles: U-Boot console Found compatible API, ver. 7FreeBSD/PowerPC U-Boot bootstrap loader, Revision 2.1 (marcelm@/doc/2d12446631.html,, Wed Feb 6 11:23:55 PST 2008) Memory: 1024MB Loading /boot/defaults/loader.conf /kernel data=0x9dc348+0x6df44 syms=[0x4+0x87bb0+0x4+0x8e152]Hit [Enter] to boot immediately, or space bar for command prompt. <-------HIT SPACE BAR-------Type '?' for a list of commands, 'help' for more detailed help.loader>loader> set ipaddr=192.168.100.2 loader> set netmask=255.255.255.0 loader> set serverip=192.168.100.1 loader> install tftp://192.168.100.1/jinstall-ex-9.1R2.7-domestic-signed.tgz Speed: 100, full duplex Package /jinstall-ex-9.1R2.7-domestic-signed.tgz is signed.../kernel data=0x504104+0x32e60 syms=[0x4+0x50a00+0x4+0x6366f] Kernel entry at 0xa0000100 ...GDB: no debug ports present KDB: debugger backends: ddb KDB: current backend: ddb Copyright (c) 1996-2008, Juniper Networks, Inc.All rights reserved.Copyright (c) 1992-2006 The FreeBSD Project.... snip ...====================================== ========或参考KB11752 - Installing EX-Series software from a TFTP server from Loader promp t OR Recovering from a Failed Software Upgrade on an EX Series Switch.方法二、USB方式恢复交换机步骤一、将需要安装的Junos软件copy至U盘根目录下；步骤二、用console连接交换机，并对设备进行加电；# When you see the "loading /boot/defaults/loader.conf" display hit ENTER.Then press [Enter] to boot immediately, or space bar for command prompt.Hit the space bar to enter the manual loader. The loader > prompt displays.(NOTE: There is a 1 second delay for hitting the space bar) (TIPS: you can hit space bar after you see "Loading /boot/defaults/loader.conf" message)步骤三、输入install file:///jinstall-ex-3200-10.0S1.1-domestic-signed.tgz 注：交换机将从U盘进行安装；或参考KB10386 - Boot from USB and Recovering from a Failed Software Upgrade on an EX-series Switch OR Booting an EX Series Switch Using a Software Package Stored on a USB Flash Drive3 系统进入Debug模式解决办法步骤一，在db>模式下输入以下命令收集相关信息：db> x/s versiondb> alltrace db> ps db> show allvms db> show msgbuf db> show registers db> show lock db> show uma步骤二，完成以上步骤后，输入contdb> contDo you get the CLI prompt?No - Continue with 步骤三.Yes - Jump to 步骤四.步骤三,重启交换机，从loader模式进行恢复；如果交换机无法进入loader模式，请开case 进行处理或采用install format方式解决；步骤四，在cli下用show system core-dumps看是否存在core-dump文件，如果有的话，可先进入shell模式层下，然后进入/var/core-dumps directory目录下，将文件上传至FTP服务器；或参考KB20635 - While booting up, switch stuck in db> mode4 系统进入UBoot模式解决办法按照以下三个步骤进行操作：1. 在UBoot模式输入reset重启交换机；2. Break启动顺序进入loader>模式# When you see the "loading /boot/defaults/loader.conf" display hit ENTER.Then press [Enter] to boot immediately, or space bar for command prompt.Hit the space bar to enter the manual loader. The loader > prompt displays.(NOTE: There is a 1 second delay for hitting the space bar) (TIPS: you can hit space bar after you see "Loading /boot/defaults/loader.conf" message)3. 然后按照方法一中的Loader模式进行处理；5 系统能正常启动，但其它各系统进程无法加载的解决方法设备启动后存在以下报错root@GZ-EX4200-1> show chassis alarms no-forwardingerror: the alarm-control subsystem is not runningroot@GZ-EX4200-1> show chassis hardware detail no-forwardingerror: the chassis-control subsystem is not running1. 对于10.4R3以前的版本，可按照Loader模式的方法进行处理；2. 对于10.4R3之后的版本，存在双分区双系统，而Junos loader 默认是用disk99,如果这个分区的系统坏了之后，会一直卡着Loader>模式；步骤一，设备加电后，输入以下命令；=> setenv loaddev disk99:=> saveenv=> reset步骤二，在JunOS loader模式下选择从internal NAND flash 启动Junosloader> set currdev=disk0:loader> boot步骤三，在shell模式删除以下文件；(Login as root)# ls -al /boot/loader.conf.local# rm /boot/loader.conf.local步骤四，Revert the change made in step one:# nvram unsetenv loaddev步骤五，Reboot6 Can't load kernel error解决办法如果设备重启后，一直显示以下错误:can't load '/kernel'can't load '/kernel.old'可参照DB模式进行恢复；7 Junos在备用分区启动（KB23180）开机提示：Warning:***************************************************** ************************************* **** WARNING: THIS DEVICE HAS BOOTED FROM THE BACKUP JUNOS IMAGE **** **** It is possible that the primary copy of JUNOS failed to boot up **** properly, and so this device has booted from the backup copy. **** **** Please re-install JUNOS to recover the primary copy in case **** it has been corrupted. **** ***************************************************************** ************************设备告警信息：user@switch> show chassis alarms1 alarms currently activeAlarm time Class Description2011-02-17 05:48:49 PST Minor Host 0 Boot from backup root查看加载路径：root> show system storage partitionsfpc0:--------------------------------------------------------------------------Boot Media: internal (da0)Active Partition: da0s1aBackup Partition: da0s2a <-- this is the backup sliceCurrently booted from: backup (da0s2a) <-- shows booted from that slicePartitions information:Partition Size Mountpoints1a 184M altroots2a 184M /s3d 369M /var/tmps3e 123M /vars4d 62M /configs4e unused (backup config)root> show system snapshot media internalInformation for snapshot on internal (/dev/da0s1a) (primary) Creation date: Feb 24 11:32:07 2012JUNOS version on snapshot:jbase : 10.4I20120224_1123_bshekarjcrypto-ex: 10.4I20120224_1123_bshekarjdocs-ex: 10.4I20120224_1123_bshekarjkernel-ex: 10.4I20120224_1123_bshekarjroute-ex: 10.4I20120224_1123_bshekarjswitch-ex: 10.4I20120224_1123_bshekarjweb-ex: 10.4I20120224_1123_bshekarjpfe-ex42x: 10.4I20120224_1123_bshekarInformation for snapshot on internal (/dev/da0s2a) (backup) <-- provides info for this slice/partition the switch booted off of and the date the file system was createdCreation date: Feb 14 05:42:42 2012 <-- if less than alarmdate then customer should snapshot (it is a good way to confirm JUNOS version on snapshot:jbase : 11.2-20120214.0jcrypto-ex: 11.2-20120214.0jdocs-ex: 11.2-20120214.0jkernel-ex: 11.2-20120214.0jroute-ex: 11.2-20120214.0jswitch-ex: 11.2-20120214.0jweb-ex: 11.2-20120214.0jpfe-ex42x: 11.2-20120214.0解决办法：把备用junos镜像copy到主用junos镜像request system snapshot media internal slice alternate查看junos启动镜像show system storage partitions确保开机启用主用junos镜像命令：request system reboot slice alternate media internaluser@switch>show system snapshot media internal slice 1 user@switch>show system snapshot media internal slice 2。

在意外断电的情况下，SRX和EX交换机都有机会出现分区损坏，而从备份分区启动的问题，要恢复分区的话，可以用以下方法做：故障现象：一般断电可能会出现以下问题，如果在设备启动过程中断电，那么是一定会出现以下问题：root@EX2200> show system storage partitionsBoot Media: internal (da0)Active Partition: da0s1aBackup Partition: da0s2aCurrently booted from: backup (da0s2a) 在这里可以看到是从backup分区启动的1、手工恢复：EX交换机：request system snapshot media internal slice alternate 这个是将目前启用的软件copy到另外一个分区，时间长短视乎设备的型号，2200的话，大概10分钟request system reboot media internal slice alternate用恢复好的分区启动。

SRX：request system snapshot media internal slice alternate 这个是将目前启用的软件copy到另外一个分区，时间长短视乎设备的型号由于srx不支持request system reboot media internal slice alternate，之前的命令已经将双分区的软件做成一致了，所以我们可以通过调换系统分区来解决报错问题request system software rollbackrequest system reboot 这个reboot命令可以立即做，也可以以后做，只有设备重启后，软件的告警才会消失。

2、脚本自动恢复：目前脚本只可以自动将损坏的分区修复好，但没办法自动重启，因为修复需要时间，所以目前还没办法将时间控制好去重启：EX交换机：set event-options policy init-chk-1 events systemset event-options policy init-chk-1 attributes-match system.message matches "Host 0 Boot from backup root"set event-options policy init-chk-1 then execute-commands commands "request system snapshot media internal slice alternate"SRX：set event-options policy init-chk-1 events systemset event-options policy init-chk-1 attributes-match system.message matches "Host 0 Boot from backup root"set event-options policy init-chk-1 then execute-commands commands "request system software rollback"set event-options policy init-chk-1 then execute-commands commands "request system snapshot media internal slice alternate"。

juniper设备分区损坏恢复办法在意外断电的情况下，SRX和EX交换机都有机会出现分区损坏，而从备份分区启动的问题，要恢复分区的话，可以用以下方法做：故障现象：一般断电可能会出现以下问题，如果在设备启动过程中断电，那么是一定会出现以下问题：root@EX2200> show system storage partitionsBoot Media: internal (da0)Active Partition: da0s1aBackup Partition: da0s2aCurrently booted from: backup (da0s2a) 在这里可以看到是从backup分区启动的1、手工恢复：EX交换机：request system snapshot media internal slice alternate 这个是将目前启用的软件copy到另外一个分区，时间长短视乎设备的型号，2200的话，大概10分钟request system reboot media internal slice alternate用恢复好的分区启动。

SRX：request system snapshot media internal slice alternate 这个是将目前启用的软件copy到另外一个分区，时间长短视乎设备的型号由于srx不支持request system reboot media internal slice alternate，之前的命令已经将双分区的软件做成一致了，所以我们可以通过调换系统分区来解决报错问题request system software rollbackrequest system reboot 这个reboot命令可以立即做，也可以以后做，只有设备重启后，软件的告警才会消失。

2、脚本自动恢复：目前脚本只可以自动将损坏的分区修复好，但没办法自动重启，因为修复需要时间，所以目前还没办法将时间控制好去重启：EX交换机：set event-options policy init-chk-1 events systemset event-options policy init-chk-1 attributes-match system.message matches "Host 0 Boot from backup root"set event-options policy init-chk-1 then execute-commands commands "request system snapshot media internal slice alternate"SRX：set event-options policy init-chk-1 events systemset event-options policy init-chk-1 attributes-match system.message matches "Host 0 Boot from backup root"set event-options policy init-chk-1 then execute-commands commands "request system software rollback"set event-options policy init-chk-1 then execute-commands commands "request system snapshot media internal slice alternate"。

精品文档Juniper防火墙维护手册（版本号：V1.0）运营部网络管理室目录一、Juniper防火墙介绍 (5)1.1、NS5000系列 (5)1.1.1、NS5400 (5)1.1.2、NS5200 (5)1.2、ISG系列 (6)1.2.1、ISG2000 (6)1.2.2、ISG1000 (6)1.3、SSG500系列 (7)1.3.1 SSG 550M (7)1.3.2 SSG 520 (7)1.4、SSG300系列 (8)1.4.1 SSG 350M (8)1.4.2 SSG 320M (8)1.5、SSG140系列 (8)1.5.1 SSG 140 (9)1.6、SSG5/20系列 (9)1.6.1 SSG 5 (9)1.6.2 SSG 20 (9)二、防火墙常用配置 (10)2.1 Juniper防火墙初始化配置和操纵 (10)2.2 查看系统概要信息 (14)2.3主菜单常用配置选项导航 (16)2.4 Configration配置菜单 (17)2.5 Update更新系统镜像和配置文件 (18)2.5.1更新ScreenOS系统镜像 (18)2.5.2 更新config file配置文件 (19)2.6 Admin管理 (20)2.7.1 Zone安全区 (22)7.2 Interfaces接口配置 (24)7.2.1查看接口状态的概要信息 (24)7.2.2设置interface接口的基本信息 (24)7.2.3设置地址转换 (26)2.7.4设置接口Secondary IP地址 (34)2.7.5 Routing路由设置 (34)2.8 Policy策略设置 (37)2.8.1 查看目前策略设置 (37)2.9创建策略 (38)2.10对象Object设置 (40)2.11 策略Policy报告Report (41)四、防火墙日常应用 (42)4.1、Netscreen 冗余协议（NSRP） (42)4.1.1、NSRP部署建议： (43)4.1.2NSRP常用维护命令 (44)4.2、策略配置与优化（Policy） (45)4.3、攻击防御（Screen） (46)4.4、特殊应用处理 (48)4.4.1、长连接应用处理 (48)4.4.2、不规范TCP应用处理 (49)4.4.3、VOIP应用处理 (49)五、防火墙日常维护 (51)5.1、常规维护 (52)5.2、常规维护建议： (54)5.3 应急处理 (56)5.3.1检查设备运行状态 (56)5.4、总结改进 (58)六、Juniper防火墙设备恢复处理方法 (70)6.1设备重启动 (70)6.2操作系统备份 (70)6.3操作系统恢复 (70)6.4配置文件备份 (71)6.5配置文件恢复 (71)6.6恢复出厂值 (72)6.7硬件故障处理 (72)6.8设备返修（RMA） (72)一、Juniper防火墙介绍1.1、NS5000系列1.1.1、NS5400性能和处理能力30 Gbps 防火墙 (>12G 64byte小包) 18MPPS 2 百万同时会话数15 Gbps 3DES VPN25,000 IPSec VPN 通道1.1.2、NS5200性能和处理能力10 Gbps 防火墙 (>4G 64byte小包)1 百万同时会话数5 Gbps 3DES VPN25,000 IPSec VPN 通道1.2、ISG系列1.2.1、ISG2000性能和处理能力4 Gbps 状态监测防火墙任何大小的数据包2 Gbps 3DES和AES IPSec VPN 任何大小数据包防火墙数据包转发性能：3 MPPS最大在线会话数：100万，每秒23,000个新会话1.2.2、ISG1000性能和处理能力2 Gbps 状态监测防火墙任何大小的数据包1 Gbps 3DES和AES IPSec VPN 任何大小数据包防火墙数据包转发性能：1.5 MPPS最大在线会话数：50万，每秒20,000个新会话1.3.1 SSG 550M4Gbps 的 FW IMIX / 600K pps1Gbps 的FW IMIX / 500 Mbps IPSec VPN6个 I/O 插槽– 4个可插 LAN口模块双电源，DC为选项， NEBS为选项12.8万个会话，1,000条VPN 隧道1.3.2 SSG 5202Gbps 的 FW / 300K pps600 Mbps 的 FW IMIX / 300 Mbps IPSEC VPN 6个 I/O插槽– 2个可插 LAN口模块单一AC或DC电源6.4万个会话，500条VPN 隧道1.4.1 SSG 350M1.2 Gbps 的 FW / 225K pps500 Mbps 的FW IMIX / 225 Mbps IPSec VPN 5个 I/O 插槽9.6万个会话，每秒2.6万会话1.4.2 SSG 320M1.2 Gbps 的 FW / 175K pps400 Mbps 的FW IMIX / 175 Mbps IPSec VPN 3个 I/O插槽6.4万个会话，每秒2万会话1.5、SSG140系列1.5.1 SSG 140950Mbps 的FW/ 100K pps300 Mbps的Firewall IMIX / 100 Mbps IPSec VPN4个 I/O插槽4.8万个会话，每秒8k会话1.6、SSG5/20系列1.6.1 SSG 5SSG 5 是一个固定规格的平台，提供 160 Mbps 的状态防火墙流量和40 Mbps 的 IPSec VPN 吞吐量。

juniper ssg 140系统修复前段时间由于关闭电源，juniper防火墙再打开时，发现web无法登录，status的led灯也不亮，reset后也不管用，后来发现是juniper ssg 140的系统出了问题，联系了客服，已经出了保修期，于是花了一天时间，找了各种文档，才将系统修复，先整理一下整个的修复过程，供大家参考，希望可以节省更多人的宝贵时间。

一、前期准备1.硬件：win7-64位电脑一台、com转USB连接线一根，com线一根，网线一根。

2.软件：usb转com驱动、SecureCRT64位终端仿真程序（和超级终端类似）、TFTP 64位、juniper的系统固件[ssg140.6.3.0r22.0]。

固件根据juniper机器自行选择版本，网上搜一下即可，注意别找错了。

3.将usb与com线连接，然后usb口与电脑连接，com线的一端与juniper的console 连接；网线一端连接电脑，另一端连接juniper的Ethernet0/0二、工具安装b转com的驱动安装安装：先安装PL2303_Prolific_DriverInstaller_v1.7.0.exe，貌似不太管用，因为设备管理器中的端口（COM和LPT）中出现带叹号的prolific，更新驱动也不行。

安装：后安装PL-2303 Driver Installer(recommend).exe、PL-2303 Driver Installer1.exe，成功，如下显示：2.scrt_sfx833-x64超级终端的安装三、打开超级终端工具，对juniper进行命令行操作，首先，按照如下配置点击连接后，显示白窗口，貌似没有反应但是没有关系，使用别针按一下juniper的reset，超级终端的窗口会显示如下信息：Juniper Networks SSG-140 Boot Loader Version 3.2.6 (Checksum: 23062A3A)Copyright (c) 1997-2006 Juniper Networks, Inc.Total physical memory: 256MBTest - PassInitialization - DoneHit any key to run loaderHit any key to run loaderHit any key to run loaderHit any key to run loaderLoading system image "$BABOOT$.BIN" from on-board flash disk...Done! (size = 12,582,912 bytes)cksum = cf59bef9, p_hdr->cksum = 79f86c69### image corrupted ###Loading default system image from on-board flash disk...Done! (size = 12,582,912 bytes)cksum = dfab3944, p_hdr->cksum = 79f86c69### image corrupted ###Serial Number [0185012015600165]: READ ONLYHW Version Number [1010]: READ ONLYSelf MAC Address [44f4-7738-f33e]: READ ONLYBoot File Name [screenOS]:这些信息的大概意思是juniper在加载系统文件时出现了问题，显示“image corrupted”，需要指定启动的文件。

Juniper防火墙新手教程6：Juniper防火墙丢失ScreenOS的灾难恢复分类: Juniper学习作者: 刘苏平Juniper的防火墙是一台硬件防火墙，有硬件系统也有软件系统也就是ScreenOS，硬件会出故障软件自然也会出故障，在实际使用中我就碰到过多次Juniper防火墙ScreenOS丢失的情况，大多数情况是因为突然断电造成的。

下面就介绍一下如何在丢失ScreenOS的情况下重新安装ScreenOS。

将PC机与防火墙用console线和网线相连接。

断电重启防火墙，在命令行提示有Hit any key to run loader时，按任意键进入Loader。

根据提示，输入Boot File Name、Self IP Address和TFTP IP Address。

同时打开TFTP软件，设置好下载目录。

重启后在超级终端会出现如下提示：NetScreen NS-5GT Boot Loader Version 2.1.0 (Checksum: 61D07DA5) Copyright (c) 1997-2003 NetScreen Technologies, Inc.Total physical memory: 128MBTest - PassInitialization.... DoneHit any key to run loaderHit any key to run loaderHit any key to run loader敲击任意键进入设置界面Serial Number [0064042006003887]: READ ONLYHW Version Number [1010]: READ ONLY 3Self MAC Address [0014-f695-75e0]: READ ONLYBoot File Name [ns5gt.5.0.0r8.1]: ns5gt.5.4.0r1.0 //输入你你ScreenOS文件名Self IP Address [192.168.1.1]: 192.168.3.1 //设置防火墙trust口的ip地址TFTP IP Address [192.168.1.254]: 192.168.3.180 //输入你pc机的ip地址，也就是你tftp的地址Save loader config (56 bytes)... DoneLoading file "ns5gt.5.4.0r1.0"... rtatatatatatatatatatatatatatatatatatatatatatatatatatatatatatata tatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatat aatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatat atatatatatatatatatatatatatatatatatatatatatatataatatatatatatatat attatatatatatatatatatatatatatatatatatatatatatatatatatatatatatat atatatatatatatLoaded Successfully! (size = 9,832,696 bytes)Ignore image authentication!Save to on-board flash disk? (y/[n]/m) Yes! //确认下载ScreenOS Saving system image to on-board flash disk...Done! (size = 9,832,696 bytes)Run downloaded system image? ([y]/n) Yes! //确认执行新的ScreenOS Start loading... ............................................................... .. ............................................................... .. ............................................................... ..............................安装好ScreenOS之后重启防火墙，这样就完成了ScreenOS的回复，一般来说原有的配置应该还会在，如果配置也丢失了，可以讲以前保存过的配置文件导入。

防火墙故障处理流程
防火墙是网络安全的重要组成部分，用于保护网络免受未经授权的访问和恶意攻击。

然而，防火墙也可能会出现故障，导致网络暴露在潜在的威胁之下。

为了确保网络的安全性，及时处理防火墙故障至关重要。

下面是一些处理防火墙故障的步骤：
1. 发现故障：当网络出现异常或者用户报告问题时，管理员需要第一时间确认是否是防火墙故障导致的。

2. 收集信息：管理员应该收集与故障相关的信息，比如错误消息、日志、配置文件等。

这些信息有助于快速定位问题。

3. 分析问题：管理员需要仔细分析收集到的信息，确定故障的具体原因。

可能的原因包括配置错误、硬件故障、软件问题等。

4. 确定解决方案：根据故障的原因，管理员需要制定相应的解决方案。

这可能包括修改配置、更新软件、更换硬件等。

5. 执行解决方案：管理员需要按照事先制定的解决方案来执行修复操作。

在执行操作之前，应该先备份相关数据，以防止意外发生。

6. 测试修复效果：完成修复操作后，管理员需要测试防火墙的运行情况，确保问题已经解决。

这可以通过模拟攻击、检查日志等方式进行。

7. 监控与预防：即使问题已经解决，管理员仍然需要定期监控防火
墙运行情况，以及时发现并解决潜在的问题。

此外，定期更新防火墙软件和配置也是必要的。

处理防火墙故障不仅需要技术能力，还需要耐心和细心。

管理员应该保持对网络安全的高度警惕，及时处理故障，确保网络的安全性和稳定性。

通过以上的处理流程，可以帮助管理员有效地应对防火墙故障，保障网络的正常运行。

为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。

一、设备重启动：Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。

二、操作系统备份：日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。

三、操作系统恢复：当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统，命令行方式：save software from tftp x.x.x.x filename to flash，或通过web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。

四、配置文件备份：日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种：1、启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。

2、通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config配置信息记录到本地。

3、通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。

五、配置文件恢复：防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种：1、启动tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。