Juniper 550M 防火墙配置指导

Juniper网络安全防火墙设备快速安装手册V1.02009-7目录第一章前言 (4)1.1、J UNIPER防火墙配置概述 (4)1.2、J UNIPER防火墙管理配置的基本信息 (4)1.3、J UNIPER防火墙的常用功能 (5)第二章软件操作 (5)2.1、防火墙配置文件的导出和导入 (5)2.1.1、配置文件的导出 (5)2.1.2、配置文件的导入 (6)2.2、防火墙软件（S CREEN OS）更新 (7)2.3、防火墙恢复密码及出厂配置的方法 (8)2.4、防火墙重启 (8)第三章 NS-5000系列（NS5200/NS5400） (9)3.1、NS-5000结构 (9)3.2、硬件组件故障检查 (10)3.3、设备组件更换 (11)第四章 JUNIPER防火墙部署模式及基本配置 (11)4.1、NAT模式 (11)4.2、R OUTE路由模式 (12)4.3、透明模式 (13)4.4、NAT/R OUTE模式下的基本配置 (14)4.4.1、NS-5200/5400 NAT/Route模式下的基本配置 (14)4.5、透明模式下的基本配置 (16)第五章 JUNIPER防火墙常用功能的配置 (17)5.1、MIP的配置 (17)5.1.1、使用Web浏览器方式配置MIP (18)5.1.2、使用命令行方式配置MIP (19)5.2、VIP的配置 (20)5.2.1、使用Web浏览器方式配置VIP (20)5.2.2、使用命令行方式配置VIP (21)5.3、DIP的配置 (21)5.3.1、使用Web浏览器方式配置DIP (22)5.3.2、使用命令行方式配置DIP (23)5.4、聚合接口（AGGREGATE）的配置 (24)第六章 JUNIPER防火墙双机的配置 (25)6.1、使用W EB浏览器方式配置 (25)6.2、使用命令行方式配置 (27)第七章 JUNIPER防火墙的维护命令 (28)7.1登录J UNIPER防火墙的方式 (28)7.2查看设备相关日志和工作状态 (29)7.3检查设备CPU的占有率 (37)7.3.1 原因分析 (37)7.3.2采取的措施 (37)7.4检查内存占有率 (38)7.4.1 原因分析 (38)7.4.2 采取的措施 (38)7.5双机异常 (38)7.5.1原因分析 (38)7.5.2采取的措施 (39)7.6故障处理工具 (39)7.6.1 Debug (40)7.6.2 Snoop (40)第八章JUNIPER防火墙的配置优化 (41)8.1ALG优化 (41)8.2防火墙数据包处理性能优化 (41)8.3日志优化 (41)8.4关闭双机会话同步 (42)第九章移动W AP网关配置案例 (42)附录、JUNIPER防火墙的一些概念 (51)第一章前言我们制作本安装手册的目的是使维护Juniper网络安全防火墙设备（在本安装手册中简称为“Juniper防火墙”）的NSN公司相关技术人员，可以通过此安装手册完成对Juniper防火墙基本功能的实现、应用和排错。

Juniper防火墙简明实用手册（版本号：）目录1juniper中文参考手册重点章节导读版本：Juniper防火墙中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper 防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

1.1 第二卷：基本原理1.1.1第一章：ScreenOS 体系结构●安全区●安全区接口●策略1.1.2第二章：路由表和静态路由●配置静态路由1.1.3第三章：区段●安全区●配置安全区●功能区段：HA区段1.1.4第四章：接口●接口类型：安全区接口：物理●接口类型：安全区接口：功能区段接口●察看接口●配置安全区接口：将接口绑定到安全区、从安全区解除接口绑定、修改接口、跟踪IP地址●二级IP地址1.1.5第五章：接口模式●透明模式●NAT模式●路由模式1.1.6第六章：为策略构建块●地址：地址条目、地址组●服务：预定义的服务、定制服务●DIP池：端口地址转换、范例：创建带有PAT的DIP池、范例：修改DIP池、扩展接口和DIP●时间表1.1.7第七章：策略●三种类型的策略●策略定义●策略应用1.1.8第八章：地址转换●地址转换简介●源网络地址转换●目的网络地址转换●映射IP 地址●虚拟IP地址1.1.9第十一章：系统参数●下载/上传设置和固件●系统时钟1.2 第三卷：管理1.2.1第一章：管理●通过WEB 用户界面进行管理●通过命令行界面进行管理●管理的级别：根管理员、可读/ 写管理员、只读管理员、定义Admin用户●保证管理信息流的安全：更改端口号、更改Admin 登录名和密码、重置设备到出厂缺省设置、限制管理访问1.2.2监控NetScreen 设备●储存日志信息●事件日志●信息流日志●系统日志1.3 第八卷：高可用性1.3.1NSRP●NSRP 概述●NSRP 和NETSCREEN 的操作模式●NSRP集群●VSD组●同步1.3.2故障切换●设备故障切换(NSRP)●VSD 组故障切换(NSRP)●为设备或VSD 组故障切换配置对象监控2Juniper防火墙初始化配置和操纵对一台空配置的Juniper防火墙我们可以用两种方法去进行操纵：Console 控制台和WEB。

juniper防火墙详细配置手册Juniper防火墙简明实用手册（版本号：V1.0）目录1juniper中文参考手册重点章节导读 (4)1.1第二卷：基本原理41.1.1第一章：ScreenOS 体系结构41.1.2第二章：路由表和静态路由41.1.3第三章：区段41.1.4第四章：接口41.1.5第五章：接口模式51.1.6第六章：为策略构建块51.1.7第七章：策略51.1.8第八章：地址转换51.1.9第十一章：系统参数61.2第三卷：管理61.2.1第一章：管理61.2.2监控NetScreen 设备61.3第八卷：高可用性61.3.1...................................................... NSRP61.3.2故障切换72Juniper防火墙初始化配置和操纵 (8)3查看系统概要信息 (9)4主菜单常用配置选项导航 (10)5Configration配置菜单 (11)5.1Date/Time:日期和时间115.2Update更新系统镜像和配置文件125.2.1更新ScreenOS系统镜像125.2.2更新config file配置文件135.3Admin管理155.3.1Administrators管理员账户管理155.3.2Permitted IPs：允许哪些主机可以对防火墙进行管理166Networks配置菜单 (17)6.1Zone安全区176.2Interfaces接口配置196.2.1查看接口状态的概要信息196.2.2设置interface接口的基本信息196.2.3设置地址转换216.2.4设置接口Secondary IP地址256.3Routing路由设置266.3.1查看防火墙路由表设置266.3.2创建新的路由条目277Policy策略设置 (28)7.1查看目前策略设置287.2创建策略298对象Object设置 (31)9策略Policy报告Report (33)1juniper中文参考手册重点章节导读版本：Juniper防火墙5.0中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

Juniper NetScreen 500使用手册（一）junipernetscreen-500使用手册（一）Junipernetscreen-500用户手册（一）拟制审核人编制审核人批准approvedby刘永忠date日期date日期date日期2022-11-01华为三康技术有限公司版权所有2021-11-01华为三康机密，未经许可不得传播第1页，共42页junipernetscreen-500使用手册（一）内部公开修订记录日期date修订版本revisionversion1.002022-11-01华为三康机密，未经许可不得扩散第2页，共42页修改章节secno.修改描述changedescription作者author2021-11-01initial初稿完成刘永忠JUniterNetScreen-500用户手册（一）内部披露1目录netscreen-500的产品............................................................................ ...........................51.11.2导言5。

主要产品特点：五款2几个概念............................................................................ ...............................................62.12.22.3安全区6虚拟路由器6接口模式63简单配置............................................................................ ...............................................73.13.23.3管理员密码丢失的紧急措施7通用管理命令8路由协议83.3.1ospf。

WAP项目现场安装文档(SSG 550M防火墙)V1.0Juniper Networks.目录1概述 (3)2电信WAP中心网络规划 (4)2.1Zone规划 (4)2.2访问策略实现 (6)2.2.1PDSN访问实现 (6)2.2.2163公网访问实现 (7)2.2.3DCN访问实现 (7)2.2.4CN2访问实现 (7)3设备端口连接规划 (7)3.1设备端口编号 (7)3.2设备端口连接表 (8)3.3防火墙接口地址规划 (8)3.4防火墙策略定义规划 (9)4防火墙配置安装步骤 (11)4.1初始化配置 (11)4.2防火墙冗余NSRP设置 (13)4.3设置设备接口参数 (20)4.4设置路由 (23)4.5定义W AP中心主机及信息服务端口 (25)4.6配置NA T（DIP\NA T-Dst\MIP） (26)4.7定义安全访问策略 (31)4.8用户账号管理 (32)4.9配置文件备份 (33)4.10版本升级步骤 (35)4.11常用排错步骤及命令汇总 (36)5附录：防火墙配置文件 (37)5.1SSG-550M-1防火墙配置 (37)5.2SSG-550M-2防火墙配置 (41)1 概述电信W AP网关采用两台ZXR10 T40G三层交换机做为核心交换机，并且采用两台Juniper SSG-550M防火墙来做安全控制。

W AP网关通过电信的CE路由器分别连接PDSN、CN2、DCN 和电信163公网4个网络，以内蒙古电信WAP为例，网络结构图如下：在逻辑结构上，WAP网关需要和PDSN、CN2、DCN和163公网4个网络进行网络互联。

此次项目通过JUNIPER防火墙实现的主要功能如下：1.PDSN网络（10.0.0.0/8）的主机需要访问10.0.0.165 主机TCP的80端口，UDP的9200－9203、1813、1812端口。

通过防火墙后，即访问我内部主机192.168.0.133TCP的8000端口，UDP的9200－9203、1813、1812。

Juniper防火墙的配置方法为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。

一、设备重启动：Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。

二、操作系统备份：日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。

三、操作系统恢复：当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统，命令行方式：save software from tftp x.x.x.x filename to flash，或通过web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。

四、配置文件备份：日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种：1、启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。

2、通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config配置信息记录到本地。

3、通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。

五、配置文件恢复：防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种：1、启动tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。

Juniper 防火墙v6.0以上版本 L2tpvpn (for XP Win7)配置图解防火墙端配置1、新建地址池Objects – IP Pools – NewIP Pool Name ：用户自定义名称Start IP ：用户自定义一段地址的起始地址End IP ：用户自定义一段地址的结束地址2、修改L2TP 默认设置VPNs – L2TP – Default Settings3、建立用户和组3.1 新建用户Objects – Users – Local -- New重复这个过程，建立多个用户3.2 新建用户组Objects – Users – Local Group -- New4、建立Vpn Tunnel建立tunnel前，先确定好用于拨入VPN的接口编号。

VPNs – L2TP – Tunnel -- New5、建立策略Policy – Policies – NewSource Address : 选择 Dial-UP VPNDestination Address : 选择 New Address ，填入你要访问的目的地址或目的地址段Service ：选择要访问的服务Action : 选择 tunnelL2TP ：选择新建的L2TP vpn tunnelLogging ：可选记录访问日志客户端配置1.1XP端配置1.1.1建立拨号网上邻居右键属性-点击新建连接向导图标点击完成，vpn拨号配置建立完，后面进行配置调整在新建的vpn连接上右键属性提示保留配置时选择Y1.1.2修改注册表点击开始—运行 --- 键入 regedit命令点击确定，进入注册表配置。

进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Paramete rs ，在右侧新建值命名为“ProhibitIpSec”注意大小写，数值为1修改完毕后重启计算机，进行vpn拨号测试用户名和密码栏中填入防火墙端配置的用户名和密码。

1、配置思路1）建立ZONE，规划接口，配置接口ip和静态路由2）定义策略地址（华南这里配置没有具体到对地址对象的分组，所以这一步这里省略）3）定义策略服务（先定义端口服务，然后完成VIP，MIP服务的定义）3）匹配策略5）恢复出厂配置（知道密码，不知密码的情况）6）配置导出与导入7）其他（添加用户，修改用户密码，同步）2、具体操作1）配置接口IP和静态路由第一步，通过IE登录到防火墙的WEBUI（ip为https://192.168.1.1）,选择跳过向导直接进入登录,输入用户密码（netscreen/netscreen）进入第二步、为接口匹配iP（Zones和接口都用系统默认的就够用了，这里只需为接口配相应的IP）进入Network>interfaces界面先编辑eth0/1 的地址：其中Management Services可根管理需求勾选，ping勾上接着编辑eth0/2的地址：这里Management Service 勾上Web UI、Telnet及SSH，Ping也勾上，这样方便以后通过外网来管理防火墙。

最后方法同上修改eth0/0的ip为所要设的IP （华南这里：172.31.11.1/24）,这里为方便管理Mangement Service全勾上。

配置完成后，防火墙会自动重启，这时需要重新修改本机的IP与防火墙的eth0/0接口的IP同网段(本机通过连接线连接在eth0/0口)第三步、添加静态路由进入Network > Routing > Destination界面，点击右上角的NEW来新建路由i)添加到internet的缺省路由目标网络：0.0.0.0 0.0.0.0 网关：202.105.115.201ii)同上方式添加一条连通DMZ与内、地区的路由（目标网络172.31.0.0/16 网关：172.31.11.2）iii）同上方式添加一条连通DMZ到总部的路由（目标网络172.17.0.0/16 网关：172.31.11.2）添加完成后如下图示2）定义策略地址（略）3）定义策略服务（先定义端口服务，然后完成VIP，MIP服务的定义）进入Policy > Policy Elements > Services > Custom界面来自定义服务端口第一步、对照之前准备的照服务端口映射表，统计需要定义的端口服务注：此图为端口服务映射表的部分统计的端口有：50000，22000,51000,4489,81,8080,7761,3389,139,4899,4200接着添加定义端口服务，点击右上角新建来定义端口，进入下面的界面：服务名设为端口号，目标端口号因为只有一个，范围的最小最大值都为端口号，这样就定义好了一个端口服务。

Juniper防火墙简单配置说明Netscreen-25从左向右依次为Trust Interface、DMZ Interface、Untrust Interface、Null。

其中Trust Interface相当于HUB口，下行连接内部网络设备。

Untrust Interface相当于主机口，上行连接上公网的路由器等外部网关设备；两端口速率自适应（10M/100M）。

DMZ Interface、 Null介绍从略。

下文仅简单地以马可尼网管服务器和南瑞通信综合网管系统中一台前置机通信为例。

南瑞综合网管系统前置机地址为192.168.1.4，马可尼传输网管地址为192.168.0.32。

配置完成后，实现马可尼网管只能与192.168.1.4前置机通信，其他192.168.1.X机器都无法访问马可尼网管。

配置前的准备1.先更改控制终端(如果用自己笔记本调试自己笔记本就是控制终端)的IP地址为192.168.1.X，子网255.255.255.0控制终端通过直通网线与Trust Interface相连（也就是第一个口），用IE登录设备主页（最好用IE，其他浏览器可能会出现不兼容的状况）。

在地址栏里输入192.168.1.1。

出现下图：跳跃过初始化防火墙步骤. 选择第三行,点击next.输入缺省登陆帐号: netscreen 密码:netscreen登陆后出现主页面展开左边资源树，单击Interface后，出现下图界面。

首先配置ethernet1口（即第一个口）的IP和子网掩码。

单击上图ethernet1行中的Edit，出现下图：Netscreen-25防火墙默认第一个口为Trust区，即信任区。

选择Static IP输入ethernet1端口的配置地址192.168.1.243/24后点击Apply 后单击OK。

如果不点击OK，设备重启配置则无效。

用同样方法配置第三个口Untrust区，即非信任区。

设置IP为192.168.0.243/24设置完成后点击OK，保存设置。

目录1Juniper 550M 防火墙配置指导 (2)2双机HA配置 (3)31. ................................................ 登陆防火墙4352. ................................................ 配置接口IP 6573. ............................................... 配置默认路由8794. .................................................. 配置NSRP 107115. ............................................... 设置同步选项129136. ................................................... 同步配置141015配置MIP (10)161. ................................................ 配置映射IP 1710182. ................................................... 配置策略191220配置VIP (13)211. ........................................... 配置映射端口服务2214232. ............................................ 配置映射IP关系2415253. ................................................... 配置策略261627附件1 (16)2829303132333435363738394041Juniper 550M 防火墙配置指导4243通过串口登陆，帐号：netscreen 密码：netscreen4445SSG520-> get config ---等同于cisco的show run4647新机器上来默认是无任何配置的，如拿到的机器是有配置的，请清除。