当前位置:文档之家 › Juniper防火墙日常维护手册

Juniper防火墙日常维护手册

  • 格式:doc
  • 大小:2.71 MB
  • 文档页数:23

下载文档原格式

  / 23
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Juniper防火墙维护手册

目录

1.日常维护内容 (4)

1.1.配置主机名 (4)

1.2.接口配置 (4)

1.3.路由配置 (5)

1.4.高可用性配置(双机配置) (7)

1.5.配置MIP(通过图形界面配置) (9)

1.6.配置访问策略(通过图形界面配置) (11)

Screen的管理 (15)

2.1.访问方式 (15)

2.2.用户 (18)

2.3.日志 (19)

2.4.性能 (20)

2.5.其他常用维护命令 (22)

3.其他的配置 (22)

1.日常维护内容

1.1. 配置主机名

NetScreen防火墙出厂配置的机器名为netscreen,为了便于区分设备和维护,在对防火墙进行配置前先对防火墙进行命名:

Netscreen-> set hostname FW-1-M

FW-1-M >

1.2. 接口配置

配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段,用于专门对接口进行管理时用。在双机的工作状态下,因为接口的地址只存在于主防火墙上,如果不配置管理IP,则不能对备用防火墙进行登录了。一般在单机时,不需要配置接口的管理IP,但在双机时,建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。

注意:接口的工作模式可以工作在路由模式,NAT模式和透明模式。在产品线应用中,透明模式很少用,而NAT模式只有在trust到untrust的数据流才起作用,建议把防火墙的所有接口都配置成route的工作模式,用命令set interface接口名 route配置即可,缺省情况下需要在trust区段中的接口使用此命令。

本例子中,配置接口ethernet2属于Untrust区,IP地址为202.38.12.23/28,如设置管理方式是Http,命令如下:

Ns204 ->set interface ethernet1 zone Trust

Ns204 ->set interface ethernet1 ip 10.243.194.194/29

Ns204 ->set interface ethernet1 nat

Ns204 ->set interface ethernet1 zone Untrust

Ns204 ->set interface ethernet2 ip202.38.12.23/28

Ns204 ->set interface ethernet1 nat

选择接口后按 Edit 键后进入以下页面进行配置接口特性:

透明模式只需要将防火墙的接口配置为V1-Untrust或V1-Trust等二层的区段,不需要配置接口的IP,设置的命令如下:

FW-1-M -> set interface ethernet1/1 zone V1-Unrust

FW-1-M -> set interface ethernet1/2 zone V1-Trust

1.3. 路由配置

NetScreen防火墙有路由功能,缺省情况下,内部有Untrust-vr和Trust-vr 两个路由器,为了能与外部通讯,需要在这两个虚拟路由器上配置路由。如果untrust-vr没有使用的话,不需要在untrust-vr上配置路由。一般应用中,配

置静态路由即可满足要求。配置静态路由时,需要配置目的网络、下一跳及出去的接口。透明模式的防火墙不需要设置路由信息。

本例中,在trust-vr上配置默认的路由下一跳通过Untrust接口指向网关202.38.12.17

Ns204 -> set route 0.0.0.0/0 interface ethernet2 gateway 211.136.202.9 用WebUI的方式配置接口,菜单:Network->routing->routing entries

按New按钮可以配置一个新的路由:

1.4. 高可用性配置(双机配置)

NetScreen双机的基本配置步骤:

1、检查双机的版本是否一致,原则上两台防火墙的版本要求相同。如果版本不

同,建议升级到相同的版本。

防火墙版本的检查命令:

FW-1-M ->get system

Product Name: NetScreen-ISG1000

Serial Number: 0136, Control Number: 00000000

Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0) Software Version: 5.3.0r7.0, Type: Firewall+VPN

2、连接HA线,把接口划分到HA 区段中。

HA线是防火墙的心跳线,ISG1000没有专门的HA接口,必须设置接口来并划分到HA区段中。如果心跳线采用光纤则只需要设置一个HA口和一根心跳线,如果采用双绞线作为心跳线,则需要设置两个HA口和两条双胶线,HA接口之间采用交叉线相连接。

本例将Eth1/3及eth1/4设置为HA接口:

FW-1-M ->set interface "ethernet1/3" zone "HA"

FW-1-M ->set interface "ethernet1/4" zone "HA"

3、配置cluster ID号

防火墙双机也叫cluster,同一个双机的cluster号应相同。在两台防火墙上都用命令配置成同一个cluster:

GM-Web(M)->set nsrp cluster id 1

则两台防火墙一台会变成FW-1-M (M),另一台会变成FW-1-B (B),(M)表示主用,(B)表示备用,(I)表示初始化。

注意:在(I)状态下,防火墙是不能正常工作的,出现此状态时一定要注意。用WebUI方式配置双机的cluster ID,菜单:Network->NSRP->Cluster

相关主题