第一次配置juniper-SSG140

Juniper ssg 140防火墙HA配置步骤一、设置步骤1、将两台防火墙的第六个端口连接在一起，我们设置将原有防火墙设置为主防火墙，新增加的防火墙为备份的防火墙，备份的防火墙只连接第六个端口，其他的端口将在防火墙配置完毕后才连接上。

2、使用终端线缆连接到防火墙的Console口，超级终端参数设置为9600-8-无-1-无。

二、命令行配置方式蓝色字体为在超级终端上输入的命令1、主防火墙配置ns204>unset interface e6 ip将端口6的IP地址删除，ns204>set interface e6 zone ha将端口6和HA区域绑定一起配置NSRPns204->ns204-> get nsrp查看NSRP配置信息nsrp version: 2.0cluster info:cluster id not set: nsrp is inactive 默认的情况下NSRP没有激活VSD group info:init hold time: 5heartbeat lost threshold: 3heartbeat interval: 1000(ms)group priority preempt holddown inelig master PB other memberstotal number of vsd groups: 0Total iteration=3808,time=2721060,max=880,min=286,average=714RTO mirror info:run time object sync:disabledping session sync: enabledcoldstart sync donensrp link info:no nsrp link has been defined yetNSRP encryption: disabled--- more ---NSRP authentication: disabledNSRP monitor interface: nonenumber of gratuitous arps: 4 (default)track ip: disabledns204-> set nsrp cluster id 1 设置cluster组号ns204(M)-> set nsrp vsd id 0 设置VSD的组号,这条命令可以不用输入，因为防火墙的默认的虚拟安全数据库（VSD）的值是0。

Juniper SSG系列VPN配置详细设置图形界面本次配置使用的是SSG140和SSG20来做站点到站点的基于路由的VPN（两端地址都为静态IP地址）。

下图是拓扑图：我们是在公司内部做配置，所以把外网口直接连接，我们在实验中用ip1。

1。

1.2来代替图中的2.2.2。

2，这样确保路由没有问题，模拟下图的环境首先我们说一下配置的思路:配置基于路由的站点到站点VPN：1。

为绑定到安全区段和通道接口的物理接口分配IP 地址。

2。

配置VPN 通道，在Untrust 区段内指定其外向接口,将其绑定到通道接口，并配置其代理ID。

3. 在Trust 和Untrust 区段的通讯簿中输入本地及远程端点的IP 地址.4. 输入通向trust—vr 中外部路由器的缺省路由、通过通道接口通向目标的路由以及通向目标的Null 路由。

为Null 路由分配较高的度量（远离零）,以便其成为通向目标的下一个可选路由。

接着，如果通道接口的状态变为“中断”，且引用该接口的路由变为非活动，则安全设备会使用Null 路由（即实质上丢弃了发送给它的任何信息流),而不使用缺省路由（即转发未加密的信息流)。

5. 为每个站点间通过的VPN 流量设置策略。

以下配置为SSG140防火墙初始化防火墙Juniper 防火墙出厂时可通过缺省设置的IP 地址使用Telnet 或者Web 方式管理.缺省IP 地址为:192.168.1.1/255。

255.255。

0。

可以直接通过WEB来进行配置，但容易发生错误，建议使用设备自带的配置线连接计算机的COM口采用超级终端来行配置。

1、我们先配置接口eth0/0绑定到trust安全区段，并设置IP为192。

168.1。

3/24，通过console 口来配置:(先配置SSG140，登录的用户名和密码为默认密码：均为netscreen）SSG140-> unset interface ethernet0/0 ipSSG140—〉 set interface ethernet0/0 zone trustSSG140—〉 set interface ethernet0/0 ip 192。

L2TP隧道（L2TP Tunnel）是指在第二层隧道协议(L2TP)端点之间的逻辑链接：LAC（L2TP接入聚合器）和LNS（L2TP网络服务器）。

当LNS是服务器时，LAC 是隧道的发起人，它等待新的隧道。

一旦一个隧道被确立，在这个点之间的新通信将是双向的。

为了对网络有用,高层协议例如点对点协议(PPP)然后通过L2TP 隧道。

今天刚好在学Juniper防火墙的时候，刚好学到L2TP VPN的配置，那么今天我们来看看使用Juniper防火墙来做L2TP VPN。

第一步：点击：Objects>IP Pools我们添加一个IP地址池，这个地址池主要用来给我们通过L2TP VPN拨号进来的用户分配的内网的IP 地址。

如上图：IP Pool Name就是给我们地址池起上一个名字，以便我们以后好调用。

Start IP：我们地址池起始的IP地址End IP：我们地址池结束的IP地址输入好以后点击OK就行了。

当我们建立好之后，它自动会返回到我们一个地址池汇总的地方，在这里我们可以看见我们刚才建立的那一个地址池。

当我们地址池建立以后进入“Objects>Users>Local”里面去建立我们的用户。

如下图点击右上角的“New”来新建我们的用户。

如下图：User Name：输入用户名Status： EnableUser Password：输入密码Confirm Password：输入确认密码将L2TP User选中，因为我们这个用户将用来给通过L2TP拨号进来的用户登录使用的。

按照上面图的步骤，我们再建立一个cisco用户名。

当我们建立好之后，就会看见如下图显示两个用户名。

当我们建立好用户以后，我们还要建立一个用户组，将我们的用户加入该组里面。

在Group Name后面输入我们的组名，我这里输入的是“aa”，而在我们“Available Members”这里面显示的是我们刚才建立好的用户名，但是下图应该还有一个cisco用户才对。

Juniper-SSG-140Web方式配置Juniper防火墙本次调试Juniper防火墙采用的web方式，主要是配置了，接口地址、路由、新建区域、更改密码、添加用户、配置管理防火墙的地址、区域间策略。

一、配置接口地址、新建区域1、点击network选项中的interface，里面有多个接口极其所属的区域。

点击接口后面的edit编辑，右上角有NEW，可以新建接口。

2、这次E0/0口是Untrust区域，也就是外网口，地址暂时没有。

里面有多种配置，下面的manager Server选项中，可以选择这个接口能起什么服务。

3、E0/1是Trust区域，是内网口，地址是172.16.7.18/29，下面的Management Server 也是用来提供各种接入服务的。

4、E0/2是Untrust2区域(这个区域是我新建的区域=>点击network选项中有一个zone选项，里面有个NEW，可以新建区域)，地址是11.20.6.254/29。

二、配置NAT(接口NAT)1、配置接口NA T：外网口地址下面有个模式选项，有NA T模式和Route模式，外网口选择Route模式；内网口下面也是有NA T 和Route两个选项，选择NA T模式。

之后配置到各个网段的路由。

三、配置域间策略1、策略配置是在policy里面配置，点击policy选项右面上方有选项，由于这个防火墙有Untrust、Untrust2、Trust多个区域(我取消了DMZ区域)，所有的区域之间默认策略都是全部关闭的。

需要哪个，开哪个。

2、创建T rust- Untrust区域策略选择from中的Trust 到to 中的Untrust，点击New进入策略选项本次配置是允许Trust 区域中的11.20.2.0/24和11.20.3.0/24访问UnTrust 区域中的124.128.232网络。

下面选项中有个source address 中选择New address ， destination address中也是选择New address ，下面的service 是选择服务。

Juniper防火墙配置的导入及导出juniper防火墙的配置文件可以通过多种方法导入导出，以便在防火墙出现故障时进行紧急恢复，因此维护防火墙要养成经常备份配置文件的好习惯。

下面看看juniper防火墙对配置文件可以做的一些操作。

使用根用户帐号进入Web界面，在Configuration > Update > Config File界面中可以看到juniper防火墙的配置操作界面。

保存现有防火墙配置到本地电脑选择"save to file"，会弹出下载提示，选择保存目录就可以讲防火墙的配置保存到本地了。

命令行：save config from flash to tftp 192.168.1.10 ssg140.cfg （需要开启TFTP服务，192.168.1.10为TFTP服务器地址，下面的命令行操作都需要TFTP支持）导入新配置覆盖原有配置选择Replace Current Configuration，点击Browse按钮，选择一个配置文件。

点击Apply 确认。

重启防火墙。

命令行：save config from tftp 192.168.1.10 ssg140.cfg to flash导入新配置与原有配置合并使用根用户或具有读写权限的帐号进入Web界面，在Configuration > Update > Config File 界面中，选择Merge to Current Configuration，点击Browse按钮，选择一个配置文件。

点击Apply确认。

重启防火墙。

命令行：SSG140-> save config from tftp 192.168.1.1 ssg140.cfg merge from trustLoad config from 192.168.1.10/cfg from trust .tftp received ctets = 2655tftp success!TFTP SucceededSave config ... ......................................................................SSH version 2 already active. ................Save System Configuration ...DoneDoneJuniper防火墙配置备份为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。

Juniper SSG-140-SB防火墙配置手册初始化设置 (2)Internet网络设置 (6)一般策略设置 (16)VPN连接设置 (28)命令行接入 (39)恢复初始设置 (39)初始化设置1.将防火墙设备通电，连接网线从防火墙e0\0口连接到电脑网卡。

2.电脑本地连接设置静态IP地址，IP地址192.168.1.2（在192.168.1.0/24都可以），子网掩码255.255.255.0，默认网关192.168.1.1，如下图：3.设置好IP地址后，测试连通，在命令行ping 192.168.1.1，如下图：4.从IE浏览器登陆防火墙web页面，在地址栏输入192.168.1.1，如下图向导选择最下面No, skip——，然后点击下面的Next：5.在登录页面输入用户名，密码，初始均为netscreen，如下图：6.登陆到web管理页面，选择Configuration – Date/Time，然后点击中间右上角Sync Clock With Client选项，如下图：7.选择Interfaces – List，在页面中间点击bgroup0最右侧的Edit，如下图：8.此端口为Trust类型端口，建议IP设置选择Static IP，IP Address输入规划好的本地内网IP地址，如192.168.22.1/24，Manage IP 192.168.22.1。

之后勾选Web UI，Telnet，SSH，SNMP，SSL，Ping。

如下图：Internet网络设置1.修改本地IP地址为本地内网IP地址，如下图：2.从IE浏览器打开防火墙web页面，输入用户名密码登陆，如下图：3.选择Interfaces – List，点击页面中ethernet0/0最右侧的Edit选项，如下图：4.此端口为Untrust类型端口，设置IP地址有以下三种方法：（根据ISP提供的网络服务类型选择）A．第一种设置IP地址是通过DHCP端获取IP地址，如下图：B．第二种设置IP地址的方法是通过PPPoE拨号连接获取IP，如下图，然后选择Create new pppoe setting，在如下图输入本地ADSL pppoe拨号账号，PPPoE Instance输入名称，Bound to Interface选择ethernet0/0，Username和Password输入ADSL账号密码，之后OK，如下图：PPPoE拨号设置完毕之后，点击Connect，如下图：回到Interface –List，可以看到此拨号连接的连接状态，如下图：ethernet0/0右侧PPPoE一栏有一个红叉，表示此连接已经设置但未连接成功，如连接成功会显示绿勾。

Juniper防火墙新手教程8：Juniper防火墙配置的导入及导出分类: Juniper学习作者: 刘苏平Juniper防火墙的配置文件可以通过多种方法导入导出，以便在防火墙出现故障时进行紧急恢复，因此维护防火墙要养成经常备份配置文件的好习惯。

下面看看Juniper防火墙对配置文件可以做的一些操作。

使用根用户帐号进入Web界面，在Configuration > Update > Config File 界面中可以看到Juniper防火墙的配置操作界面。

保存现有防火墙配置到本地电脑选择"save to file"，会弹出下载提示，选择保存目录就可以讲防火墙的配置保存到本地了。

命令行：save config from flash to tftp 192.168.1.10ssg140.cfg （需要开启TFTP服务，192.168.1.10为TFTP服务器地址，下面的命令行操作都需要TFTP支持）导入新配置覆盖原有配置选择Replace Current Configuration，点击Browse按钮，选择一个配置文件。

点击Apply确认。

重启防火墙。

命令行： save config from tftp 192.168.1.10 ssg140.cfg to flash导入新配置与原有配置合并使用根用户或具有读写权限的帐号进入Web界面，在Configuration > Update > Config File界面中，选择Merge to Current Configuration，点击Browse按钮，选择一个配置文件。

点击Apply确认。

重启防火墙。

命令行：SSG140-> save config from tftp 192.168.1.1 ssg140.cfg merge from trustLoad config from 192.168.1.10/cfg from trust .!!!!!!!!!!!!!tftp received octets = 2655tftp success!TFTP SucceededSaveconfig ... .................................................... ..................SSH version 2 already active. ................Save System Configuration ...DoneDone。

Juniper SSG-140-SB防火墙配置手册初始化设置 (2)Internet网络设置 (6)一般策略设置 (16)VPN连接设置 (28)命令行接入 (39)恢复初始设置 (39)初始化设置1.将防火墙设备通电，连接网线从防火墙e0\0口连接到电脑网卡。

2.电脑本地连接设置静态IP地址，IP地址192.168.1.2（在192.168.1.0/24都可以），子网掩码255.255.255.0，默认网关192.168.1.1，如下图：3.设置好IP地址后，测试连通，在命令行ping 192.168.1.1，如下图：4.从IE浏览器登陆防火墙web页面，在地址栏输入192.168.1.1，如下图向导选择最下面No, skip——，然后点击下面的Next：5.在登录页面输入用户名，密码，初始均为netscreen，如下图：6.登陆到web管理页面，选择Configuration – Date/Time，然后点击中间右上角Sync Clock With Client选项，如下图：7.选择Interfaces – List，在页面中间点击bgroup0最右侧的Edit，如下图：8.此端口为Trust类型端口，建议IP设置选择Static IP，IP Address输入规划好的本地内网IP地址，如192.168.22.1/24，Manage IP 192.168.22.1。

之后勾选Web UI，Telnet，SSH，SNMP，SSL，Ping。

如下图：Internet网络设置1.修改本地IP地址为本地内网IP地址，如下图：2.从IE浏览器打开防火墙web页面，输入用户名密码登陆，如下图：3.选择Interfaces – List，点击页面中ethernet0/0最右侧的Edit选项，如下图：4.此端口为Untrust类型端口，设置IP地址有以下三种方法：（根据ISP提供的网络服务类型选择）A．第一种设置IP地址是通过DHCP端获取IP地址，如下图：B．第二种设置IP地址的方法是通过PPPoE拨号连接获取IP，如下图，然后选择Create new pppoe setting，在如下图输入本地ADSL pppoe拨号账号，PPPoE Instance输入名称，Bound to Interface选择ethernet0/0，Username和Password输入ADSL账号密码，之后OK，如下图：PPPoE拨号设置完毕之后，点击Connect，如下图：回到Interface –List，可以看到此拨号连接的连接状态，如下图：ethernet0/0右侧PPPoE一栏有一个红叉，表示此连接已经设置但未连接成功，如连接成功会显示绿勾。

Juniper ssg 140防火墙HA配置步骤一、设置步骤1、将两台防火墙的第六个端口连接在一起，我们设置将原有防火墙设置为主防火墙，新增加的防火墙为备份的防火墙，备份的防火墙只连接第六个端口，其他的端口将在防火墙配置完毕后才连接上。

2、使用终端线缆连接到防火墙的Console口，超级终端参数设置为9600-8-无-1-无。

二、命令行配置方式蓝色字体为在超级终端上输入的命令1、主防火墙配置ns204>unset interface e6 ip将端口6的IP地址删除，ns204>set interface e6 zone ha将端口6和HA区域绑定一起配置NSRPns204->ns204-> get nsrp查看NSRP配置信息nsrp version: 2.0cluster info:cluster id not set: nsrp is inactive 默认的情况下NSRP没有激活VSD group info:init hold time: 5heartbeat lost threshold: 3heartbeat interval: 1000(ms)group priority preempt holddown inelig master PB other memberstotal number of vsd groups: 0Total iteration=3808,time=2721060,max=880,min=286,average=714RTO mirror info:run time object sync:disabledping session sync: enabledcoldstart sync donensrp link info:no nsrp link has been defined yetNSRP encryption: disabled--- more ---NSRP authentication: disabledNSRP monitor interface: nonenumber of gratuitous arps: 4 (default)track ip: disabledns204-> set nsrp cluster id 1 设置cluster组号ns204(M)-> set nsrp vsd id 0 设置VSD的组号,这条命令可以不用输入，因为防火墙的默认的虚拟安全数据库（VSD）的值是0。

第一次配置juniper-SSG140(2010-04-27 10:10:43)、简述环境：1.双ISP，两个服务器6.6和6.8对外开放17991端口2.trust-vr和untrust-vr同在，zone untrust被修改到untrust-vr中3.6.6 VIP 180的地址，6.8 MIP 221的地址，应用源路由其实东西也不多，不过没配过的我开始真不知道如何配置juniper的地址转换set clock ntpset clock timezone 8set clock dst recurring start-weekday 2 0 3 02:00 end-weekday 1 0 11 02:00 set vrouter trust-vr sharableset vrouter "untrust-vr"exitset vrouter "trust-vr"unset auto-route-exportexit------------------------------------------------------------------------------若防火墙里没有你所用的服务就自己加吧-------------------------------------------------------------------------------------------------set service "17991" protocol tcp src-port 0-65535 dst-port 17991-17991 set service "3389" protocol tcp src-port 0-65535 dst-port 3389-3389 set alg appleichat enableunset alg appleichat re-assembly enableset alg sctp enableset auth-server "Local" id 0set auth-server "Local" server-name "Local"set auth default auth server "Local"set auth radius accounting port 1646set admin name "netscreen"set admin password "nJqNNxrLGyrLc0lEtsCBqfDtDMA/Pn"set admin user "hongyuan" password "nNnfG0rrJIWDcc8EysvMuSCt+LBiDn" privilege "all"-----------------------------------------------------------------------------------------如果要添加管理ip，别忘了添加内部网段地址，第一次我只加了远端的公网地址，导致内部要配置却进不去，只能console了。

juniper路由器配置步骤如下所示路由器启动进程：当路由器启动，将从flash中加载最新版本的JUNOS软件。

倘若在路由器上安装有PC Card和硬盘，也将额外加载。

路由器打开电源后，按下面的顺序查找软件：1.PC Card（如果安装）2.flash3.硬盘当电源打开路由器，将完成下面几步：1.打开网管机PC,连接上控制口，辅助端口，或者路由引擎上的管理以太网端口2.打开各自的后备电源3.检查电源OK LEDS并且确信路由器的启动信息完全输出到网管设备上注：假如没有任何东西插入以太网管理接口，将产生一个常规的RED警告。

请连接rj-45连接器解除这个警告。

其他明显的信息，包含下面内容：1.接口信息，例如：启动路由引擎、PFE等2.FPC LEDS,（测试时是闪烁绿灯，测试完成后是常亮绿灯）3.警告LEDS,（出现问题时）4.PIC LEDS,（除非接口被配置，否则就处在关闭状态）路由器配置：当初始配置路由器，你需要配置下面内容：.root密码设置，有下面三种不通的方法：1.纯文本root@router# set system root-authentication plain-text-password password （密码）2.加密root@router# set system root-authenticationencrypted-password password3.安全shell（SSH）（只用于 domestic U.S. 版本）.主机名设置：[edit] root@router# set system host-name name.域名设置：[edit]root@router# set system domain-name domain.管理以太网端口设置：[edit]root@router# set interfaces fxp0 unit 0 family inetaddress ip-address/prefix-length.缺省路由设置：[edit]root@router# set system backup-router gateway-addressroot@router# set routing-options static route defaultnexthop gateway-address retain no-advertise.域名服务器（DNS）设置：[edit]root@router# set system name-server dns-address[edit]root@router# set system login user username class classauthentication plain-text-password注：设置非root用户是非常重要的，因为root用户不能Telnet到路由器。

Juniper防火墙安装手册目录1、前言 (4)1.1、J UNIPER防火墙配置概述 (4)1.2、J UNIPER防火墙管理配置的基本信息 (4)1.3、J UNIPER防火墙的常用功能 (6)2、JUNIPER防火墙三种部署模式及基本配置 (6)2.1、NAT模式 (6)2.2、R OUTE模式 (7)2.3、透明模式 (8)2.4、基于向导方式的NAT/R OUTE模式下的基本配置 (9)2.5、基于非向导方式的NAT/R OUTE模式下的基本配置 (18)2.5.1、NS-5GT NAT/Route模式下的基本配置 (19)2.5.2、非NS-5GT NAT/Route模式下的基本配置 (20)2.6、基于非向导方式的透明模式下的基本配置 (21)3、JUNIPER防火墙几种常用功能的配置 (22)3.1、MIP的配置 (22)3.1.1、使用Web浏览器方式配置MIP (23)3.1.2、使用命令行方式配置MIP (25)3.2、VIP的配置 (25)3.2.1、使用Web浏览器方式配置VIP (26)3.2.2、使用命令行方式配置VIP (27)3.3、DIP的配置 (28)3.3.1、使用Web浏览器方式配置DIP (28)3.3.2、使用命令行方式配置DIP (30)4、JUNIPER防火墙IPSEC VPN的配置 (30)4.1、站点间IPS EC VPN配置：STAIC IP-TO-STAIC IP (30)4.1.1、使用Web浏览器方式配置 (31)4.1.2、使用命令行方式配置 (35)4.2、站点间IPS EC VPN配置：STAIC IP-TO-DYNAMIC IP (37)4.2.1、使用Web浏览器方式配置 (38)4.2.1、使用命令行方式配置 (41)5、JUNIPER中低端防火墙的UTM功能配置 (43)5.1、防病毒功能的设置 (44)5.1.1、Scan Manager的设置 (44)5.1.2、Profile的设置 (45)5.1.3、防病毒profile在安全策略中的引用 (47)5.2、防垃圾邮件功能的设置 (49)5.2.1、Action 设置 (50)5.2.2、White List与Black List的设置 (50)5.2.3、防垃圾邮件功能的引用 (52)5.3、WEB/URL过滤功能的设置 (52)5.3.1、转发URL过滤请求到外置URL过滤服务器 (52)5.3.2、使用内置的URL过滤引擎进行URL过滤 (54)5.3.3、手动添加过滤项 (55)5.4、深层检测功能的设置 (59)5.4.1、设置DI攻击特征库自动更新 (59)5.4.2、深层检测（DI）的引用 (60)6、JUNIPER防火墙的HA（高可用性）配置 (62)6.1、使用W EB浏览器方式配置 (63)6.2、使用命令行方式配置 (65)7、JUNIPER防火墙一些实用工具 (66)7.1、防火墙配置文件的导出和导入 (66)7.1.1、配置文件的导出 (67)7.1.2、配置文件的导入 (67)7.2、防火墙软件（S CREEN OS）更新 (68)7.3、防火墙恢复密码及出厂配置的方法 (69)8、JUNIPER防火墙的一些概念 (69)关于本手册的使用：① 本手册更多的从实际使用的角度去编写，如果涉及到的一些概念上的东西表述不够透彻、清晰，请使用者自行去参考其它资料进行查证；② 本手册在编写的过程中对需要使用者特别注意的地方，都有“注”标识，请读者仔细阅读相关内容；对于粗体、红、蓝色标注的地方也需要多注意；③ 本着技术共享的原则，我们编写了该手册，希望对销售以及使用Juniper防火墙的相应技术人员有所帮助.④ 本手册版权归“联强国际（香港）有限公司”所有，严禁盗版。