juniper screen 防火墙三种部署模式及基本配置

防火墙配置简介Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 1 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 2Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 3 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 4Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 5 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 6Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 7 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 8Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 9 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 10Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 11 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 12Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 13 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 14Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 15 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 16Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 17 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 18Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 19 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 20Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 21 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 22Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 23 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 24Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 25 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 26Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 27 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 28Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 29 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 30Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 31 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 32Thank YouCopyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 33。

Juniper NetScreen防火墙新人指南（WEB、CLI）来源：作者：netscreen时间：01-03 06:02:55浏览：737【大中小】NetScreen防火墙支持多种管理方式：WEB管理，CLI (Telnet) 管理等，由于一般调试工作中，我们最常用的也就是前面两种。

（ScreenOS 4.0）首先，使用CONSOLE口进行配置1.把配送的线的一端插在防火墙的CONSOLE口，线的另一端插在转换插头后插在PC的串行口上。

2.打开WINDOWS的附件-》通讯-》超级终端，选择插有CONSOLE线的串口连接。

（设置串口属性：9600-8-无-硬件）3.出现提示符号后输入帐号密码进入设置命令行界面。

（默认帐号：Netscreen；密码Netscreen）4．进入Netscreen命令行管理界面 }B4BWeb管理连接设置1. 设置接口IP；若所有接口均未配置IP（Netscreen设备初始化设置），需设置一个端口IP，用于连接web管理界面，这里设置trust端口；在命令行模式下输入： ns5XT－>set int trust ip *命令说明： A.B.C.D为IP地址，通常设置为一个内网地址，E 为IP地址的掩码位，通常设为24。

此时通过get interface命令可以看到端口状态的信息（类似CISCO SHOW 接口命令）2.启动接口的web管理功能； ns5XT－>set int trust manage web3.连通PC和防火墙间的网络，通过浏览器的web界面进行具体功能设置 DW,建立对于NS-5,NS-10,NS-100防火墙，PC与trust口，DMZ口采用直通电缆连接，PC与untrust 口的连接采用交叉线。

对于NS-25，NS-200及以上产品，PC与防火墙所有端口的连接都采用直通电缆。

注意：将PC网卡的IP地址设置成与防火墙相应端口的管理IP同一个网段内；打开IE浏览器，键入防火墙的管理IP，打开登陆画面；防火墙基本设置：1.设置访问超时时间：Web: 在Web中的Configuration>Admin>Management中的Enabel Web Management Idle Timeout 中填入访问超时的分钟数，并在前面打勾。

Juniper 网络安全防火墙设备快速安装手册目录1、前言 (4)1.1 、J UNIPER防火墙配置概述 (4)1.2 、J UNIPER防火墙管理配置的基本信息 (4)1.3 、J UNIPER防火墙的常用功能 (5)2、JUNIPER防火墙三种部署模式及基本配置 (6)2.1 、NAT模式 (6)2.2 、R OUTE-路由模式 (7)2.3 、透明模式 (8)2.4 、基于向导方式的NAT/R OUTE模式下的基本配置 (8)2.5 、基于非向导方式的NAT/R OUTE模式下的基本配置 (17)2.5.1 、NS-5GT NAT/Route模式下的基本配置 (18)2.5.2 、NS-25-208 NAT/Route模式下的基本配置 (19)2.6 、基于非向导方式的透明模式下的基本配置 (20)3、JUNIPER防火墙几种常用功能的配置 (21)3.1 、MIP的配置 (21)3.1.1 、使用Web浏览器方式配置MIP (22)3.1.2 、使用命令行方式配置MIP (24)3.2 、VIP的配置 (24)3.2.1 、使用Web浏览器方式配置VIP (25)3.2.2 、使用命令行方式配置VIP (26)3.3 、DIP的配置 (27)3.3.1 、使用Web浏览器方式配置DIP (27)3.3.2 、使用命令行方式配置DIP (29)4、JUNIPER防火墙IPSEC VPN的配置 (29)4.1 、站点间IPS EC VPN配置：STAIC IP-TO-STAIC IP (29)4.1.1 、使用Web浏览器方式配置 (30)4.1.2 、使用命令行方式配置 (34)4.2 、站点间IPS EC VPN配置：STAIC IP-TO-DYNAMIC IP (36)4.2.1 、使用Web浏览器方式配置 (37)4.2.1、使用命令行方式配置 (40)5、JUNIPER中低端防火墙的UTM功能配置 (42)5.1 、防病毒功能的设置 (43)5.1.1 、Scan Manager的设置 (43)5.1.2 、Profile的设置 (44)5.1.3 、防病毒profile在安全策略中的引用 (46)5.2 、防垃圾邮件功能的设置 (48)5.2.1 、Action 设置 (49)5.2.2 、White List与Black List的设置 (49)5.2.3 、防垃圾邮件功能的引用 (51)5.3 、WEB/URL过滤功能的设置 (51)5.3.1 、转发URL过滤请求到外置URL过滤服务器 (51)5.3.2 、使用内置的URL过滤引擎进行URL过滤 (53)5.3.3 、手动添加过滤项 (54)5.4 、深层检测功能的设置 (58)5.4.1 、设置DI攻击特征库自动更新 (58)5.4.2 、深层检测（DI）的引用 (59)6、JUNIPER防火墙的HA（高可用性）配置 (61)6.1 、使用W EB浏览器方式配置 (62)6.2 、使用命令行方式配置 (64)7、JUNIPER防火墙一些实用工具 (65)7.1 、防火墙配置文件的导出和导入 (65)7.1.1 、配置文件的导出 (66)7.1.2 、配置文件的导入 (66)7.2 、防火墙软件（S CREEN OS）更新 (67)7.3 、防火墙恢复密码及出厂配置的方法 (68)8、JUNIPER防火墙的一些概念 (68)1、前言我们制作本安装手册的目的是使初次接触Juniper 网络安全防火墙设备（在本安装手册中简称为“Junip er防火墙”）的工程技术人员，可以通过此安装手册完成对Juniper防火墙基本功能的实现和应用。

Juniper Screens配置Screens 是Juniper防火墙对应用层（Scans，Floods，不规则IP包，DDos）攻击的一个过滤器。

通过使用大量硬件接口，在路由之前，进行规则匹配。

一、配置一个Screens1，创建一个screens#edit security screen ids-option untrust-screen2，添加screens规则。

#set security screen ids-option untrust-screen alarm-without-drop#set security screen ids-option untrust-screen icmp ping-death#set security screen ids-option untrust-screen ip source-route-option#set security screen ids-option untrust-screen ip tear-drop#set security screen ids-option untrust-screen tcp port-scan threshold 1000#set security screen ids-option untrust-screen tcp syn-flood alarm-threshold 1024#set security screen ids-option untrust-screen tcp syn-flood attack-threshold 200#set security screen ids-option untrust-screen tcp syn-flood source-threshold 1024#set security screen ids-option untrust-screen tcp syn-flood destination-threshold2048#set security screen ids-option untrust-screen tcp syn-flood timeout 20#set security screen ids-option untrust-screen tcp land3，应用Screens规则到zones#set security zones security-zone untrust screen untrust-screen查看命中数：>show security screen statistics zone untrust>show security screen statistics interface ge-0/0/0.0二、泛洪（Flooding）防护1，限制地址session会话#set security screen ids-option FLOOD limit-session source-ip-based 10000#set security screen ids-option FLOOD limit-session destination-ip-based 100002，ICMP和UDP 泛洪保护。

juniper Netscreen防火墙策略路由配置Netscreen-25 概述Juniper网络公司NetScreen-25和NetScreen-50是面向大企业分支办事处和远程办事处、以及中小企业的集成安全产品。

它们可提供网络周边安全解决方案，并带有多个DMZ和VPN，可以确保无线LAN的安全性，或保护内部网络的安全。

NetScreen-25设备可提供100 Mbps 的防火墙和20 Mbps的3DES或AES VPN性能，可支持32,000条并发会话和125条VPN 隧道。

NetScreen-50设备是高性能的集成安全产品，可提供170 Mbps的防火墙和45 Mbps 的3DES或AES VPN性能，可支持64,000条并发会话和500 条VPN隧道。

一、特性与优势NetScreen-25和NetScreen-50产品的主要特性和优势如下：集成的深层检测防火墙可以逐策略提供应用层攻击防护，以保护互联网协议安全；集成的Web过滤功能，可制订企业Web使用策略、提高整体生产率、并最大限度地减少因滥用企业资源而必须承担的赔偿责任；拒绝服务攻击防护功能，可抵御30多种不同的内外部攻击；高可用性功能，可最大限度地消除单点故障；动态路由支持，以减少对手工建立新路由的依赖性；冗余的VPN隧道和VPN监控，可缩短VPN连接的故障切换时间；虚拟路由器支持，可将内部、专用或重叠的IP地址映射到全新的IP地址，提供到最终目的地的备用路由，且不被公众看到；可定制的安全区，能够提高接口密度，无需增加硬件开销、降低策略制订成本、限制未授权用户接入与攻击、简化VPN管理；通过图形Web UI、CLI或NetScreen-Security Manager集中管理系统进行管理；基于策略的管理，用于进行集中的端到端生命周期管理；.二、技术规格Netscreen－25或Netscreen－50都有两种不同的许可选项（Advanced/Baseline），提供不同级别的功能和容量。

juniper防火墙详细配置手册Juniper防火墙简明实用手册（版本号：V1.0）目录1juniper中文参考手册重点章节导读 (4)1.1第二卷：基本原理41.1.1第一章：ScreenOS 体系结构41.1.2第二章：路由表和静态路由41.1.3第三章：区段41.1.4第四章：接口41.1.5第五章：接口模式51.1.6第六章：为策略构建块51.1.7第七章：策略51.1.8第八章：地址转换51.1.9第十一章：系统参数61.2第三卷：管理61.2.1第一章：管理61.2.2监控NetScreen 设备61.3第八卷：高可用性61.3.1...................................................... NSRP61.3.2故障切换72Juniper防火墙初始化配置和操纵 (8)3查看系统概要信息 (9)4主菜单常用配置选项导航 (10)5Configration配置菜单 (11)5.1Date/Time:日期和时间115.2Update更新系统镜像和配置文件125.2.1更新ScreenOS系统镜像125.2.2更新config file配置文件135.3Admin管理155.3.1Administrators管理员账户管理155.3.2Permitted IPs：允许哪些主机可以对防火墙进行管理166Networks配置菜单 (17)6.1Zone安全区176.2Interfaces接口配置196.2.1查看接口状态的概要信息196.2.2设置interface接口的基本信息196.2.3设置地址转换216.2.4设置接口Secondary IP地址256.3Routing路由设置266.3.1查看防火墙路由表设置266.3.2创建新的路由条目277Policy策略设置 (28)7.1查看目前策略设置287.2创建策略298对象Object设置 (31)9策略Policy报告Report (33)1juniper中文参考手册重点章节导读版本：Juniper防火墙5.0中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

Netscreen 204防火墙/VPN NSRP(HA)冗余设置步骤目录一、网络拓扑结构图 (3)二、设置步骤 (3)三、命令行配置方式 (4)四、图形界面下的配置步骤 (8)设置前请先将在线主防火墙的配置备份一次，具体步骤请参考《维护文档》一、网络拓扑结构图二、设置步骤1、将两台防火墙的第四个端口连接在一起，我们设置将原有防火墙设置为主防火墙，新增加的防火墙为备份的防火墙，备份的防火墙只连接第四个端口，其他的端口将在防火墙配置完毕后才连接上2、使用终端线缆连接到防火墙的Console口，超级终端参数设置为9600-8-无-1-无。

三、命令行配置方式蓝色字体为在超级终端上输入的命令3.1、主防火墙配置，（移动公司在线使用的Netscreen-204防火墙）ns204>unset interface e4 ip将端口4的IP地址删除，ns204>set interface e4 zone ha将端口4和HA区域绑定一起配置NSRPns204->ns204->ns204-> get nsrp查看NSRP配置信息nsrp version: 2.0cluster info:cluster id not set: nsrp is inactive 默认的情况下NSRP没有击活VSD group info:init hold time: 5heartbeat lost threshold: 3heartbeat interval: 1000(ms)group priority preempt holddown inelig master PB other memberstotal number of vsd groups: 0Total iteration=3808,time=2721060,max=880,min=286,average=714RTO mirror info:run time object sync: disabledping session sync: enabledcoldstart sync donensrp link info:no nsrp link has been defined yetNSRP encryption: disabled--- more ---NSRP authentication: disabledNSRP monitor interface: nonenumber of gratuitous arps: 4 (default)track ip: disabledns204-> set nsrp cluster id 1 设置cluster组号ns204(M)-> set nsrp vsd id 0 设置VSD的组号,这条命令可以不用输入，因为Netscreen防火墙的默认的虚拟安全数据库（VSD）的值是0。

Juniper 防火墙v6.0以上版本 L2tpvpn (for XP Win7)配置图解防火墙端配置1、新建地址池Objects – IP Pools – NewIP Pool Name ：用户自定义名称Start IP ：用户自定义一段地址的起始地址End IP ：用户自定义一段地址的结束地址2、修改L2TP 默认设置VPNs – L2TP – Default Settings3、建立用户和组3.1 新建用户Objects – Users – Local -- New重复这个过程，建立多个用户3.2 新建用户组Objects – Users – Local Group -- New4、建立Vpn Tunnel建立tunnel前，先确定好用于拨入VPN的接口编号。

VPNs – L2TP – Tunnel -- New5、建立策略Policy – Policies – NewSource Address : 选择 Dial-UP VPNDestination Address : 选择 New Address ，填入你要访问的目的地址或目的地址段Service ：选择要访问的服务Action : 选择 tunnelL2TP ：选择新建的L2TP vpn tunnelLogging ：可选记录访问日志客户端配置1.1XP端配置1.1.1建立拨号网上邻居右键属性-点击新建连接向导图标点击完成，vpn拨号配置建立完，后面进行配置调整在新建的vpn连接上右键属性提示保留配置时选择Y1.1.2修改注册表点击开始—运行 --- 键入 regedit命令点击确定，进入注册表配置。

进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Paramete rs ，在右侧新建值命名为“ProhibitIpSec”注意大小写，数值为1修改完毕后重启计算机，进行vpn拨号测试用户名和密码栏中填入防火墙端配置的用户名和密码。

防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源 IP 地址和源端口号。

防火墙使用 Untrust 区（外网或者公网）接口的 IP 地址替换始发端主机的源IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：① 注册IP地址（公网IP地址）的数量不足；② 内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet；③ 内部网络中有需要外显并对外提供服务的服务器。

2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。

① 与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址；② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

路由模式应用的环境特征：① 注册IP（公网IP地址）的数量较多；② 非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；③ 防火墙完全在内网中部署应用。

2.3、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改 IP数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN 的2 层交换机或者桥接器，防火墙对于用户来说是透明的。

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。

参数时区设置虚拟路由器设置ALG认证和管理员属性ZONE设置接口设置Flow设置HA设置SNMP VPN命令set clock dst-offset clock ntpset clock timezone 8set ntp server x.x.x.xset ntp server backup1 "x.x.x.x"set ntp server backup2 "x.x.x.x"set ntp max-adjustment 0set vrouter trust-vr sharableunset vrouter "trust-vr" auto-route-exportunset alg sip enableunset alg mgcp enableunset alg sccp enableunset alg sunrpc enableunset alg msrpc enableunset alg rtsp enableunset alg h323 enableset auth-server "Local" id 0set auth-server "Local" server-name "Local" set auth-server "XXXX" id 1set auth-server "XXXX" server-name "x.x.x.x" set auth-server "XXXX" account-type admin set auth default auth server "Local"set auth-server "XXXX" radius secret "xxxx"set auth-server "ACS" radius port 1646set admin name "ccb"set admin password "xxxxxxxxx"set admin manager-ip x.x.x.x x.x.x.xset admin auth timeout 10set admin auth server "XXXX"set admin auth banner console login "Access is….ly" set admin privilege get-externalset admin format dosset zone "Trust" vrouter "untrust-vr"set zone "Untrust" vrouter "untrust-vr"set zone "DMZ" vrouter "untrust-vr"unset zone "Trust" tcp-rstset zone "Trust" blockunset zone "Untrust" tcp-rstset zone "Untrust" blockset zone "Untrust" screen tear-dropset zone "Untrust" screen syn-floodset zone "Untrust" screen ping-deathset zone "Untrust" screen ip-filter-srcset zone "Untrust" screen landset zone "Untrust" screen alarm-without-dropset interface "ethernet1/1" zone "xxx"set interface ethernet1/1 ip x.x.x.x/xset interface ethernet1/1 routeset interface ethernet1/1 manage-ipset interface ethernet1/1 ip manageableset interface ethernet1/1 manage xxxxunset flow tcp-syn-checkset flow tcp-syn-bit-checkset flow syn-proxy syn-cookieset flow reverse-route clear-text peferset flow reverse-route tunnel alwaysset flow no-tcp-seq-checkset nsrp cluster id 1set nsrp rto-mirror syncset nsrp rto-mirror session ageout-ackunset nsrp rto-mirror session pingset nsrp vsd-group id 0 priority 20set nsrp vsd-group id 0 monitor interface ethernet1/1 set nsrp monitor track-ip ipset nsrp monitor track-ip ip x.x.x.x threshold 10set nsrp vsd-group master-always-existset ntp no-ha-syncset snmp community "xxx" Read-Only Trap-on version v1set snmp host "bbb" y.y.y.y 255.255.255.255 trap v2set snmp name xxxxset snmp port listen 161set snmp port trap 162set pki authority default scep mode "auto"set pki x509 default cert-path partialset ike respond-bad-spi 1unset ike ikeid-enumerationunset ike dos-protectionunset ipsec access-session enableset ipsec access-session maximum 5000set ipsec access-session upper-threshold 0set ipsec access-session lower-threshold 0set ipsec access-session dead-p2-sa-timeout 0unset ipsec access-session log-errorunset ipsec access-session info-exch-connectedunset ipsec access-session use-error-logset interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3set ike gateway To_Paris address 2.2.2.2 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn Tokyo_Paris gateway To_Paris sec-level compatibleset vpn Tokyo_Paris bind interface tunnel.1set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip10.2.2.0/24 anywebConfiguration > Date/Time > Configuration > Date/Time > Configuration > Date/Time > Set Time Zone_hours_minutes from GMT Configuration > Date/Time>Primary Server IP/Name: X.X.X.X Configuration > Date/Time>Backup Server1 IP/Name: X.X.X.X Configuration > Date/Time>Backup Server2 IP/Name: X.X.X.X Configuration >Date/Time>Automatically synchronize with an Internet Time Server (NTP): ( 选择 )Maximum time adjustment seconds:0Network > Routing > Virtual Routers > Edit ( 对于 trust-vr):Shared and accessible by other vsys ( 选择 )Network > Routing > Virtual Router > Edit ( 对于 trust-vr): 取消选择Auto Export Route to Untrust-VR，然后单击 OK。

juniper netscreen ssg5gt防火墙傻瓜配置说明书一、防火墙的基本设置1、防火墙程序的重装如果防火墙出现故障，需要重装程序或重新配置，可以采用超级终端，先清空程序，再进行安装。

具体操作为：第一步：用9针数据线（防火墙有带）连接防火墙和电脑（下图画红线端口），打开电源。

第二步：打开程序—附件—通讯—超级终端（下图），第四步：打开超级终端出现下图，随便填写连接名称，按确定，第五步：确定后出现下图，“连接使用”选择COM1，其它不填第六步：再确定后出现下图，第七步：再按确定，就出现名为“1111”的超级终端第八步：当防火墙接上电脑后，超级终端就会出现login: ,如果要重装软件，就输入防火墙产品背面的序列号，本公司使用的产品序列号为0064092004011007，再按回车，出现password: ，再输入序列号，回车，就出现重启画面。

下图红线部分是询问是否重启y/n，键盘输入y，回车，自动重启，防火墙恢复到出厂设置，web入口为192.168.1.1：第九步：把防火墙拆下，通过网络线放入到服务器端（或者用网络线与任意一机器相连都行，但机器的本地连接要与防火墙同一网段，即网关设为192.168.1.1），接上电源，然后打开IE,输入http://192.168.1.1，就可登录防火墙首页，然后进行防火墙的基本程序重装。

2、防火墙程序重装第一步：打开IE,输入http://192.168.1.1，可见下图第二步：直接按“下一步”，出现下图第三步：再按next ，出现下图。

可以自定义用户名和密码（现在防火墙上设置的用户名为netscreen ，密码为hai2DA ），第四步：然后再按next,可见下图第五步：选中“Enable Nat ”，按“next ”，出现下图第六步：选择“trust-untrust Mode”,按“next”,可见下图第七步：因为我们的是固定外网IP，选中“static IP”,在“untrust zone interface IP(即：非信任区入口IP)”填写入外网IP：121.40.245.10；在netmask（子网掩码）填写入：255.255.255.0；在gateway（网关）中填写入：121.40.245.1。

Juniper防⽕墙中⽂版配置⼿册说明Juniper SSG-5防⽕墙配置⼿册中⽂版初始化设置1.将防⽕墙设备通电，连接⽹线从防⽕墙e0\2⼝连接到电脑⽹卡。

2.电脑本地连接设置静态IP地址，IP地址192.168.1.2（在192.168.1.0/24都可以），⼦⽹掩码255.255.255.0，默认⽹关192.168.1.1，如下图：3.设置好IP地址后，测试连通，在命令⾏ping 192.168.1.1，如下图：4.从IE浏览器登陆防⽕墙web页⾯，在地址栏输⼊192.168.1.1，如下图向导选择最下⾯No, skip——，然后点击下⾯的Next：5.在登录页⾯输⼊⽤户名，密码，初始均为netscreen，如下图：6.登陆到web管理页⾯，选择Configuration – Date/Time，然后点击中间右上⾓Sync Clock With Client选项，如下图：7.选择Interfaces – List，在页⾯中间点击bgroup0最右侧的Edit，如下图：8.此端⼝为Trust类型端⼝，建议IP设置选择Static IP，IP Address输⼊规划好的本地内⽹IP地址，如192.168.22.1/24，Manage IP 192.168.22.1。

之后勾选Web UI，Telnet，SSH，SNMP，SSL，Ping。

如下图：Internet⽹络设置1.修改本地IP地址为本地内⽹IP地址，如下图：2.从IE浏览器打开防⽕墙web页⾯，输⼊⽤户名密码登陆，如下图：3.选择Interfaces – List，点击页⾯中ethernet0/0最右侧的Edit选项，如下图：4.此端⼝为Untrust类型端⼝，设置IP地址有以下三种⽅法：（根据ISP提供的⽹络服务类型选择）A．第⼀种设置IP地址是通过DHCP端获取IP地址，如下图：B．第⼆种设置IP地址的⽅法是通过PPPoE拨号连接获取IP，如下图，然后选择Create new pppoe setting，在如下图输⼊本地ADSL pppoe拨号账号，PPPoE Instance输⼊名称，Bound to Interface选择ethernet0/0，Username和Password输⼊ADSL账号密码，之后OK，如下图：PPPoE拨号设置完毕之后，点击Connect，如下图：回到Interface –List，可以看到此拨号连接的连接状态，如下图：ethernet0/0右侧PPPoE⼀栏有⼀个红叉，表⽰此连接已经设置但未连接成功，如连接成功会显⽰绿勾。

juniper防火墙简单配置（Juniper firewall simple configuration）取消重点保护使设置时钟的时区7设置时钟DST重复启动2 0 3日02:00结束平日1 0 11 02:00vrouter信任虚拟共享设置设置“不信任vrouter VR”出口集vrouter信任VR”设置自动路径导出出口集appleichat使ALG不appleichat重新装配使ALG集ALG SCTP使认证服务器设置“本地”ID 0认证服务器设置“本地”服务器名称“地方”认证服务器设置“本地”ID 1认证服务器设置“本地”服务器名称“地方”设置默认的认证服务器认证的“地方”设置认证RADIUS记帐端口1646设置管理员名称”txbfhq”设置管理员密码”npd4p / ryerllc51dfsub2fgt96d5on”设置管理访问尝试1集失败960管理员访问锁设置管理员认证网络超时0设置管理认证服务器的“本地”设置管理员认证远程根设置管理格式设置区的“信任”vrouter信任VR”设置区的“不信任”的vrouter信任VR”集区dmz vrouter信任VR”集区”vrouter VLAN”“信任VR”设置区的“不信任”的信任vrouter屯“VR”设置区的“信任”的TCP RST不带“不信任”的块不带“不信任”的TCP RST集区”管理”模块不带“V1信任“TCP RST不带“V1不信任”的TCP RST不带“DMZ”TCP RST不带“v1-dmz”TCP RST不带“VLAN”TCP RST设置区的“信任”屏幕IP欺骗基于区不带“不信任”的屏幕的泪滴不带“不信任”的屏幕SYN洪水不带“不信任”的屏幕平死不带“不信任”的屏幕的IP筛选器SRC 不带“不信任”的屏幕的土地设置区的“不信任”的屏幕区基于IP欺骗集区V1不信任”的屏幕的泪滴集区V1不信任”的屏幕SYN洪水集区V1不信任”的屏幕平死集区V1不信任”屏幕的IP筛选器SRC集区V1不信任”屏幕的土地集区dmz屏幕报警不降集区“DMZ”屏幕上的隧道集区dmz屏幕ICMP洪水集区dmz屏幕泛滥集区dmz屏幕WinNuke集区dmz屏幕端口扫描集区dmz屏幕IP扫描集区“DMZ”屏幕的泪滴集区dmz屏幕SYN洪水集区dmz屏幕IP欺骗集区dmz屏平死集区“DMZ”屏幕的IP筛选器SRC 集区“DMZ”屏幕的土地集区“DMZ”屏幕的SYN片段集区dmz屏幕TCP没有国旗集区dmz筛选未知协议集区dmz屏幕IP不坏的选择集区“DMZ”屏幕的IP记录路由集区“DMZ”屏幕选择IP时间戳集区dmz屏幕IP安全选择集区dmz屏幕IP松散的src路径集区dmz屏幕IP严格的src路径集区“DMZ”屏幕选择IP流集区dmz屏幕ICMP片段集区dmz ICMP大屏幕集区dmz屏幕同翅集区dmz屏翅无确认集区dmz屏幕限制会话的源IP集区dmz屏幕SYN ACK ACK代理集区dmz屏幕块碎片集区dmz屏幕限制会话的IP目标集区dmz屏幕组件块拉链集区dmz屏幕组件块罐集区dmz屏幕组件块EXE集区dmz屏幕组件阻止ActiveX集区dmz屏幕ICMP ID集区dmz屏幕TCP扫描集区dmz屏幕UDP扫描集区dmz屏幕IP欺骗下降RPF路由设置界面“Ethernet0 / 0区”“信任”设置界面“Ethernet0 / 1“区”非军事区”设置界面“Ethernet0 / 2区”“不信任”设置界面“Ethernet0 / 3“区”V1空”设置IP 10.0.3.9/24接口Ethernet0 / 0设置NAT接口Ethernet0 / 0设置接口VLAN1的IP设置IP 192.168.2.1/24接口Ethernet0 / 1 设置NAT接口Ethernet0 / 1设置IP 218.89.188.50/24接口Ethernet0 / 2 设置NAT接口Ethernet0 / 2设置接口VLAN1绕过其他IPSec设置接口VLAN1旁路非IP设置接口Ethernet0 / 0 IP管理设置接口Ethernet0 / 1 IP管理设置接口Ethernet0 / 2 IP管理设置接口Ethernet0 / 1管理SSH设置管理Telnet接口Ethernet0 / 1设置管理SNMP接口Ethernet0 / 1设置接口Ethernet0 / 1管理SSL设置接口Ethernet0 / 1管理网络设置接口Ethernet0 / 2管理平设置接口Ethernet0 / 2管理SSH设置管理Telnet接口Ethernet0 / 2设置管理SNMP接口Ethernet0 / 2设置接口Ethernet0 / 2管理SSL设置接口Ethernet0 / 2管理网络设置接口Ethernet0接口IP 8079 / 1 VIP“http”218.89.189.232设置接口Ethernet0接口IP 8080 / 1 VIP“http”218.89.188.50设置接口Ethernet0接口IP 8077 / 1 VIP“http”10.0.3.10设置接口Ethernet0接口IP 8078 / 1 VIP“http”10.0.3.9设置界面“Ethernet0 / 2“218.89.188.50主机子网掩码255.255.255.255 10.0.3.10 MIP VR”信任VR”设置流量没有TCP序列检查设置流SYN校验设置流TCP SYN位检查设置流量反向路径清晰的文本选择设置流量反向路由隧道总是设置默认的权限模式PKI SCEP“自动”设置默认路径部分PKI X509证书设置地址的“信任”“10.0.3.1 / 24“10.0.3.1 255.255.255.0设置地址的“信任”“218.89.189.1 / 24“218.89.189.1 255.255.255.0设置地址“DMZ”“123”192.168.2.3 255.255.255.255设置地址“DMZ”kbx”10.0.3.10 255.255.255.0设置地址“DMZ”oda1”1.2.1.8 255.255.255.255设置地址“DMZ”oda2”1.2.1.8 255.255.255.255设置用户“恒源祥”UID 3设置用户“恒源祥”型奥特湾设置用户“恒源祥”密码“rvx4ldt9nz8bftsee1cajiiyq + nq9j3hyq = =“设置用户“恒源祥”“启用”设置用户“DW”UID 4设置用户“DW”型奥特湾设置用户“DW”密码“jbbrzotvn7ma6ssjcacxvyrw9jnjo3uwmg = =“设置用户“DW”“启用”设置用户的“kbx UID 1设置用户的“kbx”型奥特湾设置用户的“kbx“密码”sbofmfycngvprksk1mcvhzgdovnjbjd5rq = =“设置用户的“kbx”“启用”设置密码策略出口设置IKE响应不良SPI 1集艾克IKEv2 IKE SA软寿命60撤消艾克ikeid枚举撤消艾克DOS保护设置访问会话启用IPSec集IPSec接入会话最大5000集IPSec接入会话上限0集IPSec接入会议门槛降低0集IPSec接入会话dead-p2-sa-timeout 0 设置IPSec接入会话日志错误设置IPSec接入会话信息交换连接设置IPSec接入会话使用错误日志设置“不信任vrouter VR”出口集vrouter信任VR”出口设置URL协议Websense出口将策略ID从“信任”设置为“信任”、“任何”、“任何”、“任何”允许日志。

Juniper NETSCREEN NSRP典型配置及维护Layer3 Fullmesh连接A/A组网模式Layer3 Fullmesh连接A/A结构提供了一种更为灵活的组网方式，在保证网络高可靠性的同时提升了网络的可用性。

A/A结构中两台防火墙同时作为主用设备并提供互为在线备份，各自独立处理信息流量并共享连接会话信息。

一旦发生设备故障另一台设备将负责处理所有进出网络流量。

Fullmesh连接A/A 组网模式对网络环境要求较高，要求网络维护人员具备较强技术能力，防火墙发生故障时，接管设备受单台设备容量限制，可能会导致会话连接信息丢失，采用A/A模式组网时，建议每台防火墙负责处理的会话连接数量不超过单台设备容量的50％，以确保故障切换时不会丢失会话连接。

配置说明：定义VSD0和VSD1虚拟安全设备组(创建Cluster ID时将自动创建VSD0)，其中NS-A为VSD0主用设备和VSD1备用设备，NS-B为VSD1主用设备和VSD0备用设备；创建冗余接口实现两物理接口动态冗余；配置交换机路由指向来引导网络流量经过哪个防火墙。

NS-A(Active)：set interface redundant1 zone Untrustset interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/set interface ethernet1 group redundant1set interface ethernet2 group redundant1set interface redundant2 zone trustset interface redundant2 ip 192.168.1.4/29set interface redundant2 manage-ip 192.168.2.1set interface ethernet3 group redundant2set interface ethernet4 group redundant2/***配置冗余接口、定义Vsd0 接口IP地址***/set interface redundant1:1 ip 100.1.1.5/29set interface redundant2:1 ip 192.168.1.5/29/***VSD1的VSI接口需手动配置IP地址，冒号后面的1表示该接口属于VSD1的VSI***/set interface ethernet7 zone haset interface ethernet8 zone haset nsrp cluster id 1set nsrp vsd-group id 0 priority 50set nsrp vsd-group id 1 /*** VSD1使用缺省配置，优先级为100***/set nsrp rto-mirror syncset nsrp monitor interface redundant1set nsrp monitor interface redundant2set nsrp secondary-path ethernet2/1/***定义NSRP备用心跳接口，保证心跳连接信息不会丢失***/set arp always-on-dest/***强制采用基于ARP表而不是会话表中的MAC地址转发封包***/set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1NS-B(Active)：set interface redundant1 zone Untrustset interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/set interface ethernet1 group redundant1set interface ethernet2 group redundant1set interface redundant2 zone trustset interface redundant2 ip 192.168.1.4/29set interface redundant2 manage-ip 192.168.2.2set interface ethernet3 group redundant2set interface ethernet4 group redundant2/***配置冗余接口、定义Vsd0 接口IP地址***/set interface redundant1:1 ip 100.1.1.5/29set interface redundant2:1 ip 192.168.1.5/29set interface ethernet7 zone haset interface ethernet8 zone haset nsrp cluster id 1/***定义一致的Cluster ID，自动启用采用缺省配置的VSD0***/set nsrp rto-mirror syncset nsrp vsd-group id 1 priority 50set nsrp monitor interface redundant1set nsrp monitor interface redundant2set nsrp secondary-path ethernet2/1/***定义NSRP备用心跳接口，保证心跳连接信息不会丢失***/set arp always-on-dest/***强制采用基于ARP表而不是会话中的MAC地址转发封包***/set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1NSRP常用维护命令1、get license-key查看防火墙支持的feature，其中NSRPA/A模式包含了A/P模式，A/P 模式不支持A/A模式。