Juniper(netscreen)防火墙TFTP升级过程

N e t S c r e e n防火墙产品升级方法(以N e t S c r e e n5X P防火墙为例)北京安泰成发科技有限公司产品工程师郑东海2003-1-161．产品最新的OS下载1．首先登陆到netscreen网站，打开IE浏览器输入：2．选择Support & Services3．选择中央部分的Software Download4．选择你所购买产品型号和版本5．选择产品型号（如NetScreen 5XP）6．选择最新可下载的版本（如ScreccnOS 4.0.1）7．选择好产品型号和版本后，点击Go8．系统将提示你输入用户名和密码9．在用户名和口令栏中输入产品的序列号即可（用户名和密码都是产品的序列号），产品的序列号在防火墙设备上s/n:10．选择当前NetScreen提供的最高版本（如当前最高版本为4.0.1r3）11．选择NetScreen-5xp ScreenOS version 4.0.1r3 upgrade下载产品12．选择“将该文件保存到磁盘”，点击确定13．选择将升级文件保存到本地硬盘的目录，点击保存14．下载完成后，升级文件是一个压缩的文件15．将文件解压缩到当前目录2．产品OS升级1．为了避免意外，首先将防火墙untrust接口的网线和Internet断开；2．在含有下载升级包的计算机上打开防火墙的web界面窗口；3．选择System\Configure\General中的Software Update4．点击“浏览”，选择产品升级包的目录，选择“打开”5．点击“Apply”5．升级过程大约需要5分钟时间，请耐心等待；升级完成后，防火墙会自动重新启动；6．测试防火墙是否正常工作，在您的计算机上ping防火墙的trust接口IP地址;如果正常，则访问Internet站点，查看防火墙是否正常工作，如访问是否正常，这样防火墙升级工作已经完成。

Juniper(netscreen)防火墙TFTP升级过程Juniper(netscreen)防火墙每三个月左右就会发出一个新的OS版本，修复以前版本的bug，增加新的功能，并且有些新的版本会极大提高防火墙的性能，因此，在保修期内充分利用版本升级服务是不错的选择。

基于Web的升级非常简单，但有的OS版本升级需要升级bootloader，因此需要在命令行状态下通过TFTP升级。

升级Juniper新的UTM产品SSG550、SSG520到最新的OS版本ScreenOS6.0就需要作这样的升级。

手上有SSG520，和新的bootloader，OS，做个升级试验。

第一步：升级防火墙bootloader文件。

1. 下载boot loader 镜像文件(boot2.v.1.0.3)，拷贝文件到TFTP服务器的根目录下，启动TFTP server。

2。

通过网线连接TFTP服务器（笔记本或台式机）和SSG 520的eth 0/0口；3。

通过console线连接console端口和笔记本。

4. 重启防火墙（在CLI模式下输入reset命令.）5.防火墙出现ScreenOS Saipanloader V1.0.2Built Jan 19 2006/17:57:03watchdog_probe, 1046 bus/dev/fn = 0/248 ich = 2640boot_drive = 80start1 = 0768, start2 = 3840Hit 'X' and 'A' to upgrade bootloadermounting这时候按下大写的X和A，要大写，第一次没注意，升级失败了。

按完之后提示File Name [boot2.1.0.2]: boot2.1.0.3 ；输入文件名Self IP Address [192.168.1.1]: ；输入防火墙地址，随便写TFTP IP Address [192.168.1.2]: ；输入TFTP服务器地址，注意跟防火墙地址同一网段；按回车，然后看到以下系统信息:Save loader config (112 bytes)... DoneLoading file "boot2.1.0.3".../Loaded successfully! (size = 125,512 bytes)Ignore image authentication!..........................Done.升级成功。

ScreenOS升级指导手册ScreenOS防火墙升级方案V1.0Juniper Networks.目录1.升级前准备 (3)1.1. 配置备份 (3)1.2. 检查两台防火墙是否同步 (5)2.升级步骤 (5)2.1. 升级备用机器OS (5)2.2. 升级主用机器OS (6)2.3. 测试 (6)6.系统回退 (6)7.TFTP设置 (6)1. 升级前准备（1）对集群里的2台防火墙都分别进行备份，将配置文件、OS 备份。

（2）升级中需要提前准备好console线，并且在白天提前检查配置是否同步。

（3）升级之前需要准备好TFTP软件并且熟悉TFTP软件设置，建议使用cisco tftp。

1.1. 配置备份选择Configuration >Update > Config file > Save TO File选择配置文件保存的目录。

1.2. 检查两台防火墙是否同步防火墙配置同步检查，包括检查两台防火墙配置是否相同和两台防火墙的RTO是否同步。

在防火墙console端口执行命令：exec nsrp sync global check-sum防火墙输出有两种情况：1、Warning: configuration out of sync，说明防火墙配置或RTO不同步，需要检查配置或执行RTO同步。

建议用对比软件（例如UltraEdit）比较两台防火墙的配置文件，找出差异并进行相应的修改。

2、configuration in sync (local checksum XXX == remote checksum XXX)说明防火墙配置同步。

2. 升级步骤(下面举例说明升级SSG520M/550M本SSG500M 6.3.0r17,如是单机升级，请按照步骤2.1进行升级)2.1. 升级备用机器OS（1）将OS文件解压，放到TFTP的根目录，然后运行tftp软件。

（2）利用SSH或者telnet登陆到防火墙上。

juniper升级操作步骤Juniper 设备升级操作步骤梦空第一步(收集设备信息)show chassis hardware(查看机框中的硬件信息)show chassis environment（查看设备环境）show chassis alarms（查看设备告警）show chassis routing-engine（查看路由引擎）show chassis fpc（检查fpc卡）show interfaces terse（查看端口状态）show route summary（记录路由汇总信息）show isis adjacency（记录isis邻居信息）show ospf neighbor（记录ospf邻居信息）show bgp summary（记录bgp路由汇总）show ldp neighbor（记录ldp邻居）第二部（升级准备工作）commint(提交配置)save config（备份配置）saveconfigftp://admin:*************.1.1/config(备份配置到PC机上) request system snapshot (将flash同步到硬盘上，做备份)delete chassis redundancy graceful-switchover enable（关闭快速切换）set interface fxp0 unit 0 family inet address 192.168.1.2/24commit synchronize第三部（升级）下载要升级的镜像到设备上File copy ftp://admin:*************.1.1/juns.tgz /var/tmp/juns.tgz File copy /var/tmp/juns.tgz re1:/var/tmp/juns.tgz（把镜像复制到备用引擎上，给备用引擎升级）request routing-engine login re1（登入倒备份引擎）request system software add /var/tmp/juns.tgz（加载镜像）request system reboot(从新启动引擎完成升级)升级后checkshow chassis hardware(查看机框中的硬件信息)show chassis environment（查看设备环境）show chassis alarms（查看设备告警）show chassis routing-engine（查看路由引擎）show chassis fpc（检查fpc卡）show interfaces terse（查看端口状态）show route summary（记录路由汇总信息）show isis adjacency（记录isis邻居信息）show ospf neighbor（记录ospf邻居信息）show bgp summary（记录bgp路由汇总）show ldp neighbor（记录ldp邻居）升级另一个引擎从备用引擎切换成主引擎（下面三条命令都可以，前面两条是老版本的命令）request chassis routing-engine master switch no-confirmrequest chassis routing-engine master acquire no-confirm request chassis routing-engine master release no-confirm request system software add /var/tmp/juns.tgz（加载镜像）request system reboot(从新启动引擎完成升级)升级后checkshow chassis hardware(查看机框中的硬件信息)show chassis environment（查看设备环境）show chassis alarms（查看设备告警）show chassis routing-engine（查看路由引擎）show chassis fpc（检查fpc卡）show interfaces terse（查看端口状态）show route summary（记录路由汇总信息）show isis adjacency（记录isis邻居信息）show ospf neighbor（记录ospf邻居信息）show bgp summary（记录bgp路由汇总）show ldp neighbor（记录ldp邻居）收尾工作默认juniper主引擎为RE0如果不切换RE1就会产生告警(下面命令可以在不切换引擎的情况下清除告警)set chassis redundancy routing-engine 1 master开启快速切换set chassis redundancy graceful-switchover enable清除管理口IPdelete interface fxp0 unit 0 family inet address 192.168.1.2/24commitrequest system snapshot。

一． 通过Console 口搭建第一步：建立本地配置环境，只需将微机（或终端）的串口通过标准RS-232电缆与路由器的Console 口连接，如通过Console 口搭建本地配置环境所示。

搭建本地配置环境图1-1 通过Console 口搭建本地配置环境第二步：在微机上运行终端仿真程序（Win9X 的超级终端等），设置终端通信参数为9600bps 、8位数据位、1位停止位、无奇偶校验和无流量控制，并选择终端类型为VT100，如新建连接至端口通信参数设置所示。

图1-2 新建连接图1-3连接端口设置图1-4端口通信参数设置第三步：路由器上电自检，系统自动进行配置，自检结束后提示用户键入回车，直到出现命令行提示符（如<Quidway>）。

第四步：键入命令，配置路由器或查看路由器运行状态，如需要帮助可以随时键入“?”，关于具体的命令请参考以后各章节。

二．防火墙升级通过TFTP完成应用程序的升级通过网络下载应用程序是指通过以太网口下载应用程序，此时防火墙作为Client ，需要在防火墙的固定以太网口上连接TFTP Server。

具体的升级方法如下：注意：TFTP Server程序由用户自己购买、安装，Quidway SecPath系列防火墙不提供此软件。

Quidway SecPath 1000F仅提供TFTP client的功能，故仅提供通过TFTP升级应用程序的方法，升级步骤如下：(1) 启动TFTP Server在防火墙的以太网口所连接的PC 上启动TFTP Server，并设置好欲加载文件的所在路径。

(2) 配置防火墙第一步：进入TFTP配置状态；启动防火墙，进入Boot 菜单（操作方法见8.1 ），选择<2>，进入Net Port Download Menu(网络下载菜单)；显示如下：Net Port Download Menu:1: Change Net Parameter2: Download From Net3: Exit to Main MenuEnter your choice(1-3): 1第二步：配置TFTP参数；选择<1>，可配置防火墙的网络接口参数，包括防火墙使用的接口、接口IP地址、子网掩码等；以及TFTP Server参数，包括TFTP Server的以太网口IP地址、应用程序的文件名等。

用TFTP来实现网络设备系统升级
说明：
简单文件传输协议（Trivial File Transfer Protocol, TFTP），它是TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议，提供不复杂、开销不大的文件传输服务。

TFTP承载在UDP上，使用69号端口。

提供不可靠的数据流传输服务，不提供存取授权与认证机制，使用超时重传方式来保证数据的到达。

与FTP 相比，TFTP的大小要小的多。

TFTP与FTP的区别
1、TFTP --简单文件传输协议，udp，69；
2、FTP --文件传输协议，tcp，20，21；
3、TFTP传输速度比FTP快，但是相对没有FTP安全。

要求：会用TFTP来实现系统IOS文件的备份和升级
实验拓扑图：
实验步骤：
步骤1：设置服务器和交换机的IP地址和子网掩码
步骤2：显示交换机flash目录，并备份系统IOS文件到TFTP服务器中去
步骤3：查看TFTP服务器中系统IOS文件的备份情况
步骤4：在交换机上删除系统IOS文件并查看
步骤5：从TFTP服务器中下载升级文件，并显示
步骤6：重启交换机，此时发现原来的配置都没了，证明重传成功。

1升级WLM1200-RMTS 1.1 准备工作1.1.1 备份手工创建备份完成备份后，将备份文件保存到本地1.1.2准备升级软件在Juniper support站点下载●8.0.2.1_MR1_RM200.zip●RM200-8.0.3.2_MR2.zip●RM200-9.0.2.2_MR1.zip 下载后解压缩。

点击install image升级后，校验客户端是否能够正常连接到服务器上。

升级后，校验客户端是否能够正常连接到服务器上。

2升级无线控制器2.1 准备工作2.1.1 备份将所有5台控制器的当前配置备份到本地。

WLC2800# save configsuccess: configuration saved.WLC2800# backup system tftp://<ip_address>/<file-name> 2.1.2 准备MSS文件在Juniper support站点下载●WC080306.280.zip●WC090205.280.zip下载后解压缩，准备升级2.2 升级到8.0.3.6将控制器依次升级到8.0.3.62.3 升级到9.0.2.5待所有AP都启动到8.0版本后，再升级到9.03配置VLAN Pool下面所有配置在种子控制器上配置即可。

1、配置一个VLAN pool，并为该VLAN pool分配10个VLAN，2180~2190(最多32个vlan)set vlan-pool <name> JiSuanJiXueYuanset vlan-pool <name> JiXieXiset vlan-pool <name> GongPeiZhongXinset vlan-pool <name> WenKeLouset vlan-pool <name> HuaGongXiset vlan-pool <name> JingGuanXueYuanset vlan-pool <name> TUMuShiYanset vlan-pool <name> ChaiLiaoXiset vlan-pool <name> BaoWeiChuset vlan-pool <name> H-DaHuoset vlan-pool <name> TiYuGuan2、为该VLAN pool指定分配VLAN的方式为client-mac-hashingset vlan-pool <name> selection-method client-mac-hash3、为该VLAN pool中的每个VLAN制定容量，暂定2000set vlan-pool name vlan vlan-name capacity 20004、配置一个新的Service profile，将该SP的VLAN名称制定到该VLAN pool上，其余参数可以参考其他原来Service profile的配置set service-profile <name> ssid-name seu-wlanset service-profile <name>1 ssid-type clearset service-profile <name>auth-fallthru last-resortset service-profile <name> user-idle-timeout 15000 可以考虑删除set service-profile <name> keep-initial-vlan enableset service-profile <name> transmit-rate 11a mandatory 9.0 disabled 6.0 beacon-rate9.0 multicast-rate AUTOset service-profile <name> transmit-rate 11g mandatory 9.0 disabled 1.0,2.0,5.5,6.0 beacon-rate 9.0 multicast-rate AUTOset service-profile <name> transmit-rate 11na mandatory 9.0 disabled 6.0 beacon-rate 9.0 multicast-rate AUTOset service-profile <name> transmit-rate 11ng mandatory 9.0 disabled 1.0,2.0,5.5,6.0 beacon-rate 9.0 multicast-rate AUTOset service-profile <name> attr vlan-name <vlan-pool-name>5、创建一个新的Radio-profile，关联Service-profile到该RP上set radio-profile <name>set radio-profile <name> service-profile <sp-name>6、将所有AP的Radio 1和Radio 2与该Radio-profile关联set ap 1~9999 radio 1 radio-profile <rp-name>set ap 1~9999 radio 2 radio-profile <rp-name>4 后续清理待系统稳定运行一段时间后，1、将所有以前配置、现在没有用的service-profile删除2、将所有以前配置、现在没有用的radio-profile删除3、将所有以前配置、现在没有用的vlan删除（在确认系统确实正常运行一段时间后，MX960上也可以将垃圾VLAN删除掉）4、由于原来的VLAN名称是基于安装AP的建筑名称来命名，使用VLAN pool以后，这种机制没有实际意义，可以考虑更改VLAN pool中的VLAN名称，例如：vlan-id为2180的VLAN 可以更名为VLAN2180。

Juniper Netscreen防火墙HA升级OS一．准备工作．使用Tftp备份两台防火墙现有配置文件和OS系统文件。

二．升级OS1．先升级备用设备后升级主用设备：用笔记本电脑连接NS-B的Console口和MGT口，通过Web界面上对NS-B进行升级，并在Console口上观察升级过程。

3．NS-B升级后将自动重启，通过Console口观察重启过程。

启动后在console上输入：get system命令，验证升级后的版本号。

get nsrp，验证此设备处于备机状态。

4．Session信息应该自动从主机上同步到备机。

为确保Session信息同步，在NS-B上执行exec nsrpsynrto all from peer，手工同步Session信息。

5．主备双机进行状态切换。

用笔记本接NS-A的Console口，输入exec nsrpvsd-group 0 mode backup命令，将状态切换。

使用get nsrp命令，验证设备状态已切换完成，此时NS-A为备机，NS-B为主机。

6．在Web界面上对NS-A进行升级，在Console口上观察升级过程。

7．NS-A升级后会自动重起，在Console口上观察重起过程。

启动后在console上输入：get system验证升级后的版本号。

get license验证license信息是否满足升级需求。

get nsrp验证此台设备为备机状态。

8．恢复原先的主备状态（非必要，可跳过此步）：在NS-B上执行exec nsrpvsd-group 0 mode backup命令，将状态切换。

验证设备状态已切换完成，此时NS-A为主机，NS-B为备机。

9．在设备NS-A上执行exec nsrpsynvsd-group 0 global-config checksum，验证两台设备的配置同步。

如双机配置文件没有同步，请执行exec nsrpsynvsd-group 0global-configsave手动进行配置同步。

Juniper防火墙升级指导书
神州数码2007-03-21
一、详细升级步骤
有两种升级方式，通过IE 或CLI 命令行。

下面将详细介绍：
1、登陆防火墙
输入帐号和密码
2、获取版本信息
A、输入get system获取现有防火墙的版本
如上所示，版本是5.0.0r9.2
IE 方式
3、备份防火墙的配置文件
通过Web打开防火墙的管理界面，在configuration->update->config file
并点击save to file按钮，通过Web方式将配置保存到本地电脑
1、将版本文件解压：将版本文件（如NS-ISG1000_5.0.0r10d.2.zip）拷贝到本地，同时通过
WinRAR软件将文件解压（如NS-ISG1000_5.0.0r10d.2）
2、通过Web升级：（Web方式和TFTP方式任选一个）
打开Web管理界面进入配置界面后，进入configuration->update->screenOS中，选择update screenOS version。

并在浏览里面输入已解压的文件和路径。

并点击apply
3、通过TFTP升级：
在本地电脑中启动TFTP软件，将版本文件拷贝到制定的TFTP目录中，进入防火墙的命令行，输入以下命令：
Save software from tftp 192.168.1.11 NS-ISG1000_5.0.0r10d.2 to flash
并重启防火墙，输入save和reset；
命令行中输入get system，确认防火墙是否已经升级成功
本次需要升级的版本。

1.升级前先保存配置文件，以免由于升级的过程导致配置不可用，一般情况下升级os是
不会修改配置的。

以防万一，先保存，如果有问题可以用保存的配置恢复。

保存配置在configration---update---config file.，使用save to file 保存到本地。

2.升级os在configration---update---screenos/key下，使用默认值firmware update选项，在
load file通过本地加载os，apply应用完成升级。

升级完成后防火墙会自动重启，重启完后可以查看os版本是否升级成功。

恢复出厂方法
用console命令行输入unset all，提示yes或no时输入yes. 再输入reset，提示yes或no时输入no，接着会再提示输入yes或no选择yes，防火墙就重启了，也就恢复出厂了。

默认设备第一个接口地址为192.168.1.1，可以通过http：//192.168.1.1 去管理，用户密码都是netscreen. 恢复出厂后第一次登陆时，会提示配置向导，选择最后一项直接进入用户名密码登陆界面，最后登陆设备进行配置。

为什么要升级Juniper防火墙的OS？一般情况下是升级新版本取得新的功能，提高性能，运行更稳定。

还有一种情况是降级使用ScreenOS，新版本的os不稳定，可以降级到稳定的低版本。

升级ScreenOS的方法有两种，一是通过Web界面，二是通过命令行界面。

通过Web界面升级ScreenOS通过web登陆Juniper防火墙，在左边的导航栏依次找到configuration---update---ScreenOS/k ey 就可以看到下面的界面了。

浏览你要升级的ScreenOS文件，点击“apply”，升级好之后重启防火墙就可以了，升级Scre enOS就是这么简单。

需要注意的是通过Web界面升级OS时要谨慎，首先要查看相关OS的upgrade Release No tes。

一般来说，在跨大版本升级时，一定要分段升级。

例如，将一台Netscreen 50从3.0.1升级到5.4.0版本时，就一定要分段升级。

首先把版本升级到3.0.3r9a.1，重启防火墙，然后再升到4.0.0，重启防火墙，然后再升到4.0.3，重启防火墙，然后再升到5.0.0，重启防火墙，然后再升到5.2.0，重启防火墙，然后再升到5.4.0。

这样才能保证安全，否则将可能导致设备不可用。

升级ScreenOS如果版本跨度不是很大的话原有的配置还是会保留的，但是还是建议在升级ScreenOS前作一下配置的备份。

通TFTP使用CLI命令行界面升级固件通过console口升级，使用Console线和网线将防火墙与PC机连接起来。

使用超级终端（默认波特率9600bps，数据位8bit，无校验位，1bit停止位，无流控制）登陆防火墙的命令行界面。

打开TFTP软件，设置好软件的upload and download directory。

将防火墙的一个接口地址设为与PC机地址同一网段。

例如，将ethernet 1接口设为192.168.3.1/24，自己的PC机设为192.168.3.180/24。

Netscreen IDP（入侵检测防御系统）系统安装维护操作手册一、安装IDP Sensor的软件当IDP系统软件发生故障或者有新版本软件发布，可以通过Appliance CD进行IDP系统恢复，必须参照一下步骤：1．备份LICENSE由于LICENSE是随机带的，因此在恢复或升级系统之前必须先将LICENSE备份出来。

首先：通过FTP方式将两个文件（backuplic.sh & restorelic.sh）拷贝到IDP指定目录（/mnt/floppy）中；然后，执行命令：chmod 700 *.sh来添加这两个文件的执行权限；执行命令：./backuplic.sh，系统会将三个LICENSE文件（host-id & idp.cfg & idp.lic）拷贝到/mnt/floppy中；再使用FTP将这三个文件备份出来。

2．备份配置信息IDP会将所有配置信息（包括：定制的策略、LOG、系统信息、OBJECTS信息）放置在指定目录（/usr/idp/mgt-svr/var），因此使用一下命令：tar cvf filename /usr/idp/mgt-svr/var随后将这个文件备份出来以便后面恢复当初的配置3．恢复系统插入Appliance CD，连接显示器和键盘，重新启动IDP，当提示boot：时按回车，系统会自动恢复不需要任何操作，安装结束后按提示Ctrl+Alt+Del重起机器，系统会自动重起两次完成恢复工作。

4．恢复LICENSE恢复完系统后，缺省是没有LICENSE的，因此首先通过FTP方式将备份出来的三个LICENSE文件和restorelic.sh拷贝到制定目录（/mnt/floppy），输入命令：chmod 700 restorelic.sh添加文件执行属性输入命令：./restorelic.sh恢复LICENSE5．恢复系统配置将备份出来的系统配置文件（使用tar cvf filename /usr/idp/mgt-svr/var备份出来的文件）拷贝到临时目录，使用一下命令进行恢复：tar xvf filename6．确认系统恢复完成使用以下命令来确认系统恢复是否完成：scio lic list查看LICENSE是否安装成功；idp.sh status查看IDP所有进程是否启动成功进入/usr/idp/mgt-svr/bin目录，实行命令：./mgtSvr.sh status查看所有管理服务器的进程是否启动成功。

JuniperSRX防火墙通过bootloader升级junos通过boot loader升级junos实验设备：SRX240实验版本：10.0R2.10注意事项：在loader下贯入junos，会导致配置和日志全部丢失，因为这种操作相当于重新格式化硬盘。

操作步骤####先进入loader模式设置接口地址和tftp地址，这点与netscreen类似，只不过junoses需####要我们手工写环境变量。

其实也可以在u boot模式下设置环境变量（提示符为=>）Loading /boot/defaults/loader.conf/kernel data=0x90ca48+0xc6ac4 syms=[0x4+0x74470+0x4+0xa4910]Hit [Enter] to boot immediately, or space bar for command prompt.####按空格键进入loader模式Type '?' for a list of commands, 'help' for more detailed help.loader>####查看目前全局的环境变量设置loader> showLINES=24autoboot_delay=2autoload=nbaudrate=9600bf=bootoct bf480000 forceboot numcores=$(numcores)boot.btsq.len=0x00002000boot.btsq.start=0x003fa000boot.env.size=0x00002000boot.upgrade.loader=0xbfe00000boot.upgrade.uboot=0xbfc00000boot.ver=U-Boot 1.1.6 (Apr 9 2009 - 22:30:21)bootcmd=cp.b 0xbfe00000 0x100000 0x100000; bootelf 0x100000bootdelay=1bootfile=/kernel;/kernel.oldcomconsole_speed=9600console=comconsolecurrdev=disk0:env_addr=0xbfffe000env_size=0x2000ethact=octeth0ethaddr=00:26:88:0b:58:00flash_base_addr=0xbfc00000flash_size=0x400000gatewayip=192.168.168.99interpret=OKipaddr=192.168.168.114kernel=/kernelkernel_options=kernelname=/kernelloadaddr=0x20000000loaddev=disk0:=FreeBSD/MIPS U-Boot bootstrap loaderloader.version=0.1mac_ifoff=NOmodule_path=/boot//kernel;/boot/modulesnetmask=255.255.255.0numcores=4post.eeprom=PASSEDb=PASSEDprompt=loader>serverip=192.168.168.99stderr=serialstdin=serialstdout=serialuplinkSpeed=1G####更改环境变量设置loader> set ipaddr=192.168.1.2loader> set serverip=192.168.1.9loader> set netmask=255.255.255.0loader> save####注意不要更改默认的防火墙接口eth0，否则如果设置其他接口的话，就会挂死，就只有####重起设备了，说明目前防火墙和早期netscreen类似，只是接受eth0作为tftp客户端接####口####导入junos系统loader> install tftp://192.168.1.9/junos-srxsme-10.0R2.10-domestic.tgzocteth0: Up 1000 Mbps Full duplex (port 0)####此时tftp服务器还是不能ping通防火墙接口地址的####中间省略输出####直到出现如下字符时才可以ping通******* Working on device /dev/da0 *******Labeling Slice 1:bsdlabel: write to disk label supressed - label was as follows: # /dev/da0s1:8 partitions:####附上详细操作日志。

网络防火墙的更新与升级方法随着互联网的飞速发展，网络安全问题变得日益突出。

在互联网时代，网络防火墙被广泛应用于保护企业和个人的网络安全。

但是，由于黑客技术的不断进步和网络威胁的不断增加，传统的网络防火墙往往无法应对新形势下的安全威胁。

因此，网络防火墙的更新与升级是非常重要的。

一、升级硬件配置随着网络数据流量的增加和安全威胁的升级，网络防火墙的硬件配置也需要相应地进行升级。

通常，升级硬件配置可以从以下几个方面考虑：1. 增加端口数量：随着企业规模的扩大和网络设备的增加，网络防火墙需要更多的端口来管理和控制数据流量。

升级硬件配置中可以考虑增加防火墙的端口数量，以满足网络需求。

2. 提升处理能力：网络防火墙需要能够处理大流量的数据，以及应对复杂的安全威胁。

升级硬件配置可以提升防火墙的处理能力，包括CPU、内存和存储等方面。

3. 支持更高的带宽：随着网络带宽的提升，网络防火墙需要具备更高的带宽支持能力。

升级硬件配置可以选择支持更高带宽的网络防火墙设备，以提高网络传输效率。

二、更新软件版本网络防火墙的软件版本更新也是保持网络安全的关键。

随着黑客技术的不断进步，网络防火墙的软件版本需要及时更新，以应对新的安全威胁。

下面是一些更新软件版本的方法：1. 定期检查更新：管理员应该定期检查网络防火墙的软件官方网站，了解最新的软件版本和安全更新信息。

及时更新软件可以修复已知的漏洞和强化安全性能。

2. 自动更新功能：一些网络防火墙设备具备自动更新功能，管理员可以将其设置为自动更新模式，以便更及时地获取软件更新。

但是，管理员也需要注意及时检查更新的状态，确认更新是否成功。

3. 定期升级版本：在软件发布新版本时，管理员可以考虑进行定期的升级操作，以确保网络防火墙始终处于最新的安全状态。

升级版本需要仔细备份和恢复配置，以免造成数据丢失或者网络中断。

三、加强安全策略与硬件配置和软件更新相比，加强安全策略可能需要更多的人为参与和管理。

JuniperOS升级步骤JUNOS升级步骤版本 1.0.5日期: 2005年1月25日目录1.计划 (2)1.1. 选择正确的版本 (2)1.2. 中断时间的估计 (2)2.准备 (2)3.升级的步骤 (5)3.1. 备份RE的升级步骤 (6)3.1.1.在远程PC上，通过主RE登录备份RE (6)3.1.2.让现场工程师用串行线连接PC机到备份RE控制口 (6)3.1.3.备份FLASH当前JUNOS和配置到硬盘上 (6)3.1.4.升级软件 (7)3.1.5.启动这个RE以完成升级 (8)3.1.6.登录到这个刚才完成升级的RE并检查RE是否正常启动 (13)3.1.7.对硬盘进行重新分区 (13)3.1.8.恢复mirror-flash-on-disk配置（如果原来无此配置，请忽略此步骤） (16)3.1.9.在双RE系统上切换升级了的备份RE到主用状态 (16)3.1.10.确认现在作为主用的这个RE工作一切正常 (16)3.1.11.备份FLASH当前JUNOS和配置到硬盘上 (17)3.2. 现在的备份RE(即原先的主RE)的升级步骤 (17)3.3. 在双RE系统上去除“B ACKUP RE ACTIVE”告警 (17)4.备份和应急措施 (17)4.1. 如果需要退回到原先的版本 (17)4.2. 从FLASH启动失败 (18)4.3. RE切换不正常 (18)5.各种路由器的面板图 (19)5.1. M320 (19)5.2. M160 (20)5.3. M40E (21)5.4. M20 (22)5.5. T640/T320 (22)1.计划1.1.选择正确的版本软件升级用于提供BUG的修正及支持新的功能(比如新的硬件或软件功能)。

请查阅JUNOS Release Notes 以选择适当的JUNOS版本，并且检查Release Notes 中是否有关于该版本的特别的升级步骤。

Netscreen防火墙OS升级指导gpjun@升级前的准备工作：1，一台PC，一条交叉网线，一条Console线缆；2，用交叉网线连接PC网卡和防火墙的MGT接口（没有MGT接口的连接到E1接口）；3，指定PC的IP地址：192.168.1.200/24。

（默认出厂时候，防火墙默认的管理IP 地址为192.168.1.1/24）4，用Console线缆连接PC串口和防火墙Console接口，运行超级终端程序；5，运行TFTP程序，并把升级的文件放到PC上的一个文件夹内；配置并指定TFTP download目录为该文件目录：（如下图）升级Loader引导程序：1，用串口线连接防火墙的Console接口，运行PC上的超级终端，防火墙接好电源线缆后，加电启动防火墙，此时应该看到超级终端显示启动信息；2，看到提示：Hit key 'X' and 'A' sequentially to update OS Loader ...后，同时按住键盘上的X 和A键（注意大写），进入升级OS Loader模式，并输入OS Loader文件名；如下图：3，回车继续按照提示依次输入：指定ISG-2000的MGT接口IP地址，TFTP server的IP地址信息，如下图：4，回车后，系统从TFTP导入Loader程序，并开始运行：如下图单机升级ScreenOS （防火墙操作系统）：1，Pc和防火墙MGT接口连接，确保防火墙启动后，可以用超级终端或者Telnet方式登录到防火墙系统；2，在TFTPServer上download目录中放置ScreenOS升级程序；3，在防火墙上输入：save soft from tftp 192.168.1.200 nsISG2000.5.3.0r3.0 to flash 如下图：4，回车后开始升级：如下图5，防火墙从TFTP下载导入ScreenOS升级文件完成：如下图6，输入Reset 命令，重新启动防火墙，如下图：7，防火墙重新启动后，输入命令：get system检查是否升级成功，如下图：系统丢失ScreenOS或者升级失败时候的ScreenOS升级方法：（Boot升级模式）1，升级前的准备工作和前面Loader程序升级前的相同；（PC网卡和防火墙MGT接口连接，串口线缆和防火墙Console接口相接，并运行超级终端程序）2，防火墙加电启动，注意观察超级终端的启动过程提示，再出现：Hit any key to load newfirmware..后按任意键，进入ScreenOS升级模式，并输入升级得OS文件名，如下图如下图image?(y/[n]) yes确认；回车后开始运行升级的OS；5，启动系统后，get system检查是否升级成功；如下图6，升级完成。

【注意】1、系统升级完成会自动重启，造成网络会中断，建议在业务不繁忙或晚上没有业务的时间段升级；2、系统升级前，请保存好设备配置，并导出；3、设备升级版本后，部分配置可能需要重新设置才能使用；4、系统升级存在风险，如无影响正常业务使用的BUG和功能缺陷，建议不要随意升级系统；防火墙系统WEBUI升级说明一、前提防火墙上有升级权限的接口和TFTP服务器路由可达，并保证TFTP服务端口可用。

默认情况下，eth0口具有“升级权限”。

二、升级步骤1）在防火墙管理界面，点击“系统管理”-“维护”；2）点击右侧“系统升级”，进入页面；3）选择点击“网页升级”；4）在弹出窗口，点击“浏览”，选择需要升级的系统文件5）选择好需要升级的升级文件，点击“升级系统”，升级完成设备会有提示，并自动重启设备。

防火墙系统命令行升级说明一、前提防火墙上有升级权限的接口和TFTP服务器路由可达，并保证TFTP服务端口可用。

默认情况下，eth0口具有“升级权限”。

二、TFTP服务器使用1）运行tftpd.exe文件，会进入如下界面，点击configure，配置TFTP服务器2）指定升级文件目录：3）最后选择start运行tftp服务。

4）实例：本例中假设防火墙软件升级文件名为3.2.46.6_upt，TFTP服务器IP是192.168.1.1。

升级命令：system update filename 3.2.46.6_upt serip 192.168.1.1 sysdisk normal注意:升级过程比较长，会自动重启，请耐心等待，绝对不能关闭电源。

三、命令说明SYSTEM UPDATE filename<string1>serip<ipaddress>sysdisk< normal >5）命令描述：设置系统升级参数6）参数说明：filename——升级包文件名string1 ——字符串serip tftp——升级服务器IP 地址ipaddress——字符串，形为A.B.C.D。