juniper防火墙初始配置及管理1
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Console线缆随机自带,为直通网线加转接头(DB9转RJ45)。
•b.通过Console线缆来连接防火墙的Console端口
设备正常启动后,Power LED(电源灯)常绿;Status LED(状态灯)闪烁绿色。
•c.使用PC的终端连接工具,访问防火墙的Console进程。
5
登录防火墙-----Log in from Console III
18
基本系统配置-----配置Permitted IPs
• Configuration > Admin > Permitted IPs
• 可以通过设置Permitted-IPs来限制访问防火墙的源地址。 • Permitted-IPs地址可以一个主机地址,也可以是一个网段。
19
基本系统配置-----系统管理设置
16
管理员帐号管理-----创建新的系统管理员帐号
• Configuration > Admin > Administrators > Configuration
17
管理员帐号管理-----修改系统管理员帐号用户名/密码
• Configuration > Admin > Administrators > Edit
选中“License Key Update”,点击“浏览”按钮,在客户端文件目录中选择license文件;再点击 “Apply”按钮。系统将弹出告警提示;确认后,license被导入。 License所支持的功能在重启后才真正生效。
24
License Key管理 -----UTM Subscription Key管理 Configuration > Update > ScreenOS/Keys
• 防火墙可以通过Console访问方式进行管理
– 最为安全的登录方式 – 无须网络支持就可以登录 – 无须IP地址就可以登录 – 可以看到启动的信息 – 可以看到实时的debug信息
4
登录防火墙-----Log in from Console II
•a.连接电源线,启动防火墙;整个启动过程约2分钟左右
该处设置的DNS仅供防火墙本身对外进行访问时使用。 防火墙下联的客户端无法继承该处的DNS配置。 可以通过Host Name项,改变防火墙的系统主机名称。
22
基本系统配置----- License Key管理
• License Key提供的功能:
Capacity License Key
扩展许可(extended ) 高级许可(advanced) 入侵防御许可(IDP) 虚拟系统许可(VSYS)
UTM Subscription License Key
防病毒(Anti-Virus) 网页过滤(URL filtering) 防垃圾邮件(Anti-Spam) 深层检测(Deep Inspection/IPS
Configuration > Update > ScreenOS/Keys
23
License Key管理 -----Capacity License Key管理 Configuration > Update > ScreenOS/Keys
• 两种办法恢复出厂默认配置
– 在Console模式下,用设备的序列号作为用户名/密码进行登录。
• 成功后系统出现警告提示,将擦去现有配置,确认后系统开始恢复默认配 置,随后重启。整个过程约3分钟。
– 使用设备面板上的针孔(pinhole)
• 按下按钮直到系统指示灯变成红色 • 等待指示灯恢复到绿色 • 再按前述步骤来一次 • 系统进入初始化状态
26
基本系统配置-----灾难恢复
• 当系统文件被破坏时,需要做灾难恢复
表征:无法通过Webui、Telnet等方法访问系统。 原因:系统文件(ScreenOS)意外损坏或丢失。 恢复方法:通过Console方式进入系统的Boot模式,通过TFTP的方式
向系统FLASH上灌制可用的OS。
• TFTP灌制ScreenOS的注意事项
• 默认的用户名/密码都是netscreen。
• 如果初次配置防火墙(或者对其进行了恢复出厂值操作),当通过WebUI登录防火 墙时,配置向导就会出现。
• 配置向导可以帮助不熟悉防火墙的用户对系统进行基本配置。高级用户不建议使 用该向导进行系统配置。
10
登录防火墙-----Log in from WebUI IV
Configuration > Admin > Management
• Enable Web Management Idle Timeout 用来设置Webui登录的空闲超时时限。 • 各种 Port用来设置该种方式登录的端口;建议在外网访问WEB的时候,修改默认端口。
20
基本系统配置-----系统时钟设置
13
基本系统配置-----ScreenOS升级
Configuration > Update > ScreenOS/Keys
• 选中Firmware Update项。 • 点击“浏览”按钮,在客户端文件目录下寻找ScreenOS升级文件。 • 点击“Apply”按钮,进行升级。系统将跳出警告提示。 • 升级文件导入后,系统重启;整个过程大概需要3分钟。
15• 点击“Save To File”按钮,进行下载。系统将提示你选择文件目录。
基本系统配置-----管理员帐号管理
• Configuration > Admin > Administrators
创建新的管理员帐号
编辑管理员帐号
Root管理员由系统定义,不能删除;但可以修改其名称和密码。 Root管理员可以创建或删除本地管理员帐号。 本地管理员帐号分为Read-Only和Read-Write两种权限。
Network > Routing > Virtual Routers
34
基础概念---Security Zone
• 安全区
– 预定义: • Trust:一般放置内网接口 • Untrust:一般放置外网接口 • DMZ:一般放置服务器接口 用户自定义:
• 功能安全区 – Null:放置未配置的接口 – MGT:放置网管用接口 – HA: – Self – VLAN
点击“Retrieve Subscriptions Now”按钮,主机将自动到Juniper数据中心下载相关许可。 下载成功与否的关键,是保证系统时间及DNS的正确设置。
25
基本系统配置-----恢复出厂值/默认密码
• 密码丢失是无法恢复的 • 只有通过恢复出厂默认配置的方法来重新获得管理权限
– 原来配置的参数、证书等都将被删除
Zone
Virtual Router
Int.
Zone
IP Int. Zone VR
33
基础概念---Virtual Router
• 虚拟路由器
预定义:
• trust-vr:系统的default VR。
• untrust-vr:
自定义:
在高端型号上,需要license支持方可使用
• 动态路由协议的全局配置在VR菜单下
灾难恢复-----恢复系统文件 IV
• 当出现“The device successfully completed the operation“,整个系统恢复的过程结束。
31
目标
• 登录防火墙 • 基本系统配置 • 基础概念 • 基本网络设置
Int. Zone VR
32
基础概念---Virtual Router/Zone/ Interface
选择正确的串口
采用Windows系统超级终端的默认值参数即可
6
• 安全网关的默认管理员用 户名/密码都是
netscreen
登录防火墙-----Log in from Console IV
• 防火墙的默认管理员用户名/密码都是“netscreen”
• Console方式的配置采用CLI(命令行)方式进行
TFTP服务器必须与系统的Self IP在同一子网 TFTP服务器必须连接在: 系统的Trust区端口 或系统的eth0/0、eth0/1、eth1端口 或系统的管理端口
27
灾难恢复-----恢复系统文件 I
• 启动设备,当出现“Hit any key to run loader”时,按任意键进入boot模式。 • 在“Boot File Name”栏填入系统OS的文件名。 • 在“Self IP Address”栏填入一个临时地址供TFTP通信使用。 • 在“TFTP IP Address”栏填入TFTP服务器的地址,也就是PC的地址。 • 输入完毕后,按回车键开始通过TFTP传送系统OS到设备。
14
基本系统配置-----配置文件管理
Configuration>Update>Config File
上传配置
• 选中Replace Current Configuration项。 • 点击“浏览”按钮,在客户端文件目录下寻找需要上传的配置文件,然后点击“Apply”进行上传,
系统将弹出警告。
下载配置
7
登录防火墙-----Log in from WebUI I
• 安全网关可以通过图形化模式进行管理
– 最为直观的配置界面,所见即所得。 – 绝大多数的配置都可以通过WebUI来完成。 – 真正简捷、高效地图形化配置工具。 – 只需要很少的配置 (打开防火墙接口的web访问权限即可)
8
登录防火墙-----Log in from WebUI II
• 首页可以读到设备的序列号、OS版本、主机名、时间、运行时间等。 • 可以阅读到实时状态下的系统CPU、内存、会话数、策略数。
11
登录防火墙-----Log in from WebUI V
• 可以阅读到系统产生的警报。 • 可以阅读到系统产生的日志。
12
目标
• 登录防火墙 • 基本系统配置 • 基础概念 • 基本网络设置
•c.将PC的网卡地址设置成与a.中接口的同一网段IP地址。
出厂状态下,将PC网卡地址设置为192.168.1.X/24。
•d.在PC的网页浏览器中输入http://x.x.x.x ,出现登录界面。
出厂状态下,输入http://192.168.1.1。
9
登录防火墙-----Log in from WebUI III
•a.为要访问的接口配置IP地址x.x.x.x/x,并打开该接口的WebUI管理权限。
出厂状态下,Trust Zone的Interface的IP地址是192.168.1.1/24,开放了WebUI管理权限。
•b.通过直通网线连接PC与防火墙的特定端口
出厂状态下,连接防火墙Trust Zone的端口。
• Configuration > Date/Time
最简捷的设置时间的方法是按“Sync Clock With Client”按钮。系统将自身时 钟与网管客户端的本地时钟作同步。 如果用户网络中有NTP服务器存在,也可在此页面设置。
21
基本系统配置-----系统DNS设置
• Network > DNS > Host
• 严格的逻辑层次结构
– 安全区从属于虚拟路由器
• 安全区默认都从属于Biblioteka Baidurust-vr
– 接口从属于安全区
• 一个接口只能从属于一个安全区
– IP地址从属于接口
• 虚拟路由器的路由表各自独立 • 安全区之间的访问受策略控制 • 接口是一个逻辑概念,它可以包含若
干个物理端口,也可以不包括任何物 理端口
Juniper FWV基础售后培训 I
EDU-JUNIP-FWV-BEG
目标
• 登录防火墙 • 基本系统配置 • 基础概念 • 基本网络设置
2
目标
• 登录防火墙 • 基本系统配置 • 基础概念 • 基本网络设置
TFTP
DNS/ Syslog
Webui
Telnet
NetScreen
Interf.
Interf.
Interf.
@ PwrUp/ Serial. Reset
RAM
Tables Buffers
Running Config
ScreenOS (active)
Flash
ScreenOS Image
Saved Config
Certs, etc.
Console
3
登录防火墙-----Log in from Console I
28
灾难恢复-----恢复系统文件 II
29
灾难恢复-----恢复系统文件 III
• 当出现“Save to on-board flash disk?”提示时,按“Y”键将OS存入FLASH。 • 当出现“Run download system image?”提示时,按“Y”键运行新的OS。
30
•b.通过Console线缆来连接防火墙的Console端口
设备正常启动后,Power LED(电源灯)常绿;Status LED(状态灯)闪烁绿色。
•c.使用PC的终端连接工具,访问防火墙的Console进程。
5
登录防火墙-----Log in from Console III
18
基本系统配置-----配置Permitted IPs
• Configuration > Admin > Permitted IPs
• 可以通过设置Permitted-IPs来限制访问防火墙的源地址。 • Permitted-IPs地址可以一个主机地址,也可以是一个网段。
19
基本系统配置-----系统管理设置
16
管理员帐号管理-----创建新的系统管理员帐号
• Configuration > Admin > Administrators > Configuration
17
管理员帐号管理-----修改系统管理员帐号用户名/密码
• Configuration > Admin > Administrators > Edit
选中“License Key Update”,点击“浏览”按钮,在客户端文件目录中选择license文件;再点击 “Apply”按钮。系统将弹出告警提示;确认后,license被导入。 License所支持的功能在重启后才真正生效。
24
License Key管理 -----UTM Subscription Key管理 Configuration > Update > ScreenOS/Keys
• 防火墙可以通过Console访问方式进行管理
– 最为安全的登录方式 – 无须网络支持就可以登录 – 无须IP地址就可以登录 – 可以看到启动的信息 – 可以看到实时的debug信息
4
登录防火墙-----Log in from Console II
•a.连接电源线,启动防火墙;整个启动过程约2分钟左右
该处设置的DNS仅供防火墙本身对外进行访问时使用。 防火墙下联的客户端无法继承该处的DNS配置。 可以通过Host Name项,改变防火墙的系统主机名称。
22
基本系统配置----- License Key管理
• License Key提供的功能:
Capacity License Key
扩展许可(extended ) 高级许可(advanced) 入侵防御许可(IDP) 虚拟系统许可(VSYS)
UTM Subscription License Key
防病毒(Anti-Virus) 网页过滤(URL filtering) 防垃圾邮件(Anti-Spam) 深层检测(Deep Inspection/IPS
Configuration > Update > ScreenOS/Keys
23
License Key管理 -----Capacity License Key管理 Configuration > Update > ScreenOS/Keys
• 两种办法恢复出厂默认配置
– 在Console模式下,用设备的序列号作为用户名/密码进行登录。
• 成功后系统出现警告提示,将擦去现有配置,确认后系统开始恢复默认配 置,随后重启。整个过程约3分钟。
– 使用设备面板上的针孔(pinhole)
• 按下按钮直到系统指示灯变成红色 • 等待指示灯恢复到绿色 • 再按前述步骤来一次 • 系统进入初始化状态
26
基本系统配置-----灾难恢复
• 当系统文件被破坏时,需要做灾难恢复
表征:无法通过Webui、Telnet等方法访问系统。 原因:系统文件(ScreenOS)意外损坏或丢失。 恢复方法:通过Console方式进入系统的Boot模式,通过TFTP的方式
向系统FLASH上灌制可用的OS。
• TFTP灌制ScreenOS的注意事项
• 默认的用户名/密码都是netscreen。
• 如果初次配置防火墙(或者对其进行了恢复出厂值操作),当通过WebUI登录防火 墙时,配置向导就会出现。
• 配置向导可以帮助不熟悉防火墙的用户对系统进行基本配置。高级用户不建议使 用该向导进行系统配置。
10
登录防火墙-----Log in from WebUI IV
Configuration > Admin > Management
• Enable Web Management Idle Timeout 用来设置Webui登录的空闲超时时限。 • 各种 Port用来设置该种方式登录的端口;建议在外网访问WEB的时候,修改默认端口。
20
基本系统配置-----系统时钟设置
13
基本系统配置-----ScreenOS升级
Configuration > Update > ScreenOS/Keys
• 选中Firmware Update项。 • 点击“浏览”按钮,在客户端文件目录下寻找ScreenOS升级文件。 • 点击“Apply”按钮,进行升级。系统将跳出警告提示。 • 升级文件导入后,系统重启;整个过程大概需要3分钟。
15• 点击“Save To File”按钮,进行下载。系统将提示你选择文件目录。
基本系统配置-----管理员帐号管理
• Configuration > Admin > Administrators
创建新的管理员帐号
编辑管理员帐号
Root管理员由系统定义,不能删除;但可以修改其名称和密码。 Root管理员可以创建或删除本地管理员帐号。 本地管理员帐号分为Read-Only和Read-Write两种权限。
Network > Routing > Virtual Routers
34
基础概念---Security Zone
• 安全区
– 预定义: • Trust:一般放置内网接口 • Untrust:一般放置外网接口 • DMZ:一般放置服务器接口 用户自定义:
• 功能安全区 – Null:放置未配置的接口 – MGT:放置网管用接口 – HA: – Self – VLAN
点击“Retrieve Subscriptions Now”按钮,主机将自动到Juniper数据中心下载相关许可。 下载成功与否的关键,是保证系统时间及DNS的正确设置。
25
基本系统配置-----恢复出厂值/默认密码
• 密码丢失是无法恢复的 • 只有通过恢复出厂默认配置的方法来重新获得管理权限
– 原来配置的参数、证书等都将被删除
Zone
Virtual Router
Int.
Zone
IP Int. Zone VR
33
基础概念---Virtual Router
• 虚拟路由器
预定义:
• trust-vr:系统的default VR。
• untrust-vr:
自定义:
在高端型号上,需要license支持方可使用
• 动态路由协议的全局配置在VR菜单下
灾难恢复-----恢复系统文件 IV
• 当出现“The device successfully completed the operation“,整个系统恢复的过程结束。
31
目标
• 登录防火墙 • 基本系统配置 • 基础概念 • 基本网络设置
Int. Zone VR
32
基础概念---Virtual Router/Zone/ Interface
选择正确的串口
采用Windows系统超级终端的默认值参数即可
6
• 安全网关的默认管理员用 户名/密码都是
netscreen
登录防火墙-----Log in from Console IV
• 防火墙的默认管理员用户名/密码都是“netscreen”
• Console方式的配置采用CLI(命令行)方式进行
TFTP服务器必须与系统的Self IP在同一子网 TFTP服务器必须连接在: 系统的Trust区端口 或系统的eth0/0、eth0/1、eth1端口 或系统的管理端口
27
灾难恢复-----恢复系统文件 I
• 启动设备,当出现“Hit any key to run loader”时,按任意键进入boot模式。 • 在“Boot File Name”栏填入系统OS的文件名。 • 在“Self IP Address”栏填入一个临时地址供TFTP通信使用。 • 在“TFTP IP Address”栏填入TFTP服务器的地址,也就是PC的地址。 • 输入完毕后,按回车键开始通过TFTP传送系统OS到设备。
14
基本系统配置-----配置文件管理
Configuration>Update>Config File
上传配置
• 选中Replace Current Configuration项。 • 点击“浏览”按钮,在客户端文件目录下寻找需要上传的配置文件,然后点击“Apply”进行上传,
系统将弹出警告。
下载配置
7
登录防火墙-----Log in from WebUI I
• 安全网关可以通过图形化模式进行管理
– 最为直观的配置界面,所见即所得。 – 绝大多数的配置都可以通过WebUI来完成。 – 真正简捷、高效地图形化配置工具。 – 只需要很少的配置 (打开防火墙接口的web访问权限即可)
8
登录防火墙-----Log in from WebUI II
• 首页可以读到设备的序列号、OS版本、主机名、时间、运行时间等。 • 可以阅读到实时状态下的系统CPU、内存、会话数、策略数。
11
登录防火墙-----Log in from WebUI V
• 可以阅读到系统产生的警报。 • 可以阅读到系统产生的日志。
12
目标
• 登录防火墙 • 基本系统配置 • 基础概念 • 基本网络设置
•c.将PC的网卡地址设置成与a.中接口的同一网段IP地址。
出厂状态下,将PC网卡地址设置为192.168.1.X/24。
•d.在PC的网页浏览器中输入http://x.x.x.x ,出现登录界面。
出厂状态下,输入http://192.168.1.1。
9
登录防火墙-----Log in from WebUI III
•a.为要访问的接口配置IP地址x.x.x.x/x,并打开该接口的WebUI管理权限。
出厂状态下,Trust Zone的Interface的IP地址是192.168.1.1/24,开放了WebUI管理权限。
•b.通过直通网线连接PC与防火墙的特定端口
出厂状态下,连接防火墙Trust Zone的端口。
• Configuration > Date/Time
最简捷的设置时间的方法是按“Sync Clock With Client”按钮。系统将自身时 钟与网管客户端的本地时钟作同步。 如果用户网络中有NTP服务器存在,也可在此页面设置。
21
基本系统配置-----系统DNS设置
• Network > DNS > Host
• 严格的逻辑层次结构
– 安全区从属于虚拟路由器
• 安全区默认都从属于Biblioteka Baidurust-vr
– 接口从属于安全区
• 一个接口只能从属于一个安全区
– IP地址从属于接口
• 虚拟路由器的路由表各自独立 • 安全区之间的访问受策略控制 • 接口是一个逻辑概念,它可以包含若
干个物理端口,也可以不包括任何物 理端口
Juniper FWV基础售后培训 I
EDU-JUNIP-FWV-BEG
目标
• 登录防火墙 • 基本系统配置 • 基础概念 • 基本网络设置
2
目标
• 登录防火墙 • 基本系统配置 • 基础概念 • 基本网络设置
TFTP
DNS/ Syslog
Webui
Telnet
NetScreen
Interf.
Interf.
Interf.
@ PwrUp/ Serial. Reset
RAM
Tables Buffers
Running Config
ScreenOS (active)
Flash
ScreenOS Image
Saved Config
Certs, etc.
Console
3
登录防火墙-----Log in from Console I
28
灾难恢复-----恢复系统文件 II
29
灾难恢复-----恢复系统文件 III
• 当出现“Save to on-board flash disk?”提示时,按“Y”键将OS存入FLASH。 • 当出现“Run download system image?”提示时,按“Y”键运行新的OS。
30