Juniper防火墙日常维护
Juniper防火墙日常维护手册
(v 20131112)
版本说明
目录
版本说明 (2)
目录 (3)
1. 日常操作 (5)
1.1 查看硬件信息 (5)
1.2 查看OS信息 (6)
1.3 查看CPU/SPU使用率信息 (7)
1.3.1 查看CPU/SPU使用率信息 (7)
1.3.2 查看每秒CPU使用率 (9)
1.4 查看内存使用率 (12)
1.5 SRX RE CPU使用率/内存使用率信息(仅JunOS适用) (14)
1.6 查看Session会话信息 (16)
1.6.1 查看会话总数 (16)
1.6.2 查看每秒新建会话数量 (18)
1.6.3 查看防火墙所有会话条目 (20)
1.6.4 按过滤条件查看会话 (21)
1.6.5 查看会话详细内容 (23)
1.6.6 保存防火墙所有会话条目 (25)
1.7 查看警告日志 (26)
1.8 查看事件日志—— ScreenOS (27)
1.8.1 查看所有事件日志(仅ScreenOS适用) (27)
1.8.2 按事件级别过滤查看事件日志(仅ScreenOS适用) (27)
1.8.3 按时间过滤查看事件日志(仅ScreenOS适用) (28)
1.9 查看事件日志—— JunOS (29)
1.10 查看策略流量日志 (30)
1.11 查看/备份配置 (32)
1.12 查看接口状态 (34)
1.12.1 查看所有接口状态 (34)
1.12.2 查看单一接口详情 (36)
1.13 查看ARP表 (38)
1.14 查看路由 (39)
1.14.1 查看全部路由 (39)
1.14.2 查看特定目标地址的路由 (40)
1.15 查看策略 (41)
1.15.1 查看所有策略 (41)
1.15.2 查看单条策略的详细内容 (42)
1.16 查看防火墙主备状态 (43)
1.17 查看集群接口状态(仅JunOS适用) (44)
1.18 查看配置同步状态(仅ScreenOS适用) (45)
1.19 常用排错命令 (46)
1.19.1 ping (46)
1.19.2 telnet (48)
1.19.3 trace route (49)
1.19.4 收集support信息 (50)
1.20 按过滤条件查看各类信息 (52)
2. 应急操作 (53)
2.1 清除指定IP的ARP记录 (53)
2.2 清除指定源IP/目的IP的会话记录 (53)
2.3 关闭和开启端口 (54)
2.3.1 关闭端口 (54)
2.3.2 开启端口 (54)
2.4 防火墙主备状态切换 (55)
2.5 同步会话(仅ScreenOS适用) (56)
2.6 重启设备 (56)
3. 日常维护周期策略 (57)
3.1 日巡检维护建议 (57)
3.2 周巡检维护建议 (58)
3.3 月巡检维护建议 (58)
3.4 不定期维护建议 (59)
1. 日常操作
1.1 查看硬件信息
(1)ScreenOS
在CLI下命令为:get chassis
示例:
JP1000A-> get chassis
Chassis Environment:
Power Supply: Good
Fan Status: Good
CPU Temperature: 98'F ( 37'C)
Slot Information:
Slot Type S/N Assembly-No Version Temperature
0 System Board 0993072011000999 0066-004 F01 86'F (30'C), 87'F (31'C)
4 Management 0099082011000999 0049-004 D19 98'F (37'C)
5 ASIC Board 002079351g110017 0065-002 B00
Marin FPGA version 9, Jupiter ASIC version 1, Fresno FPGA version 110
I/O Board
Slot Type S/N Version FPGA version
2 4 port miniGBIC (0x3) 0994092011000999 B02 26
1 4 port 10/100/1000T 38
Alarm Control Information:
Power failure audible alarm: disabled
Fan failure audible alarm: disabled
Low battery audible alarm: disabled
Temperature audible alarm: disabled
Normal alarm temperature is 132'F (56'C)
Severe alarm temperature is 150'F (66'C)
(2)JunOS
在CLI - 操作模式下命令为:show chassis hardware
示例:
syro@JP650A> show chassis hardware
Hardware inventory:
Item Version Part number Serial number Description Chassis AJ4309AA0999 SRX650 Midplane REV 08 710-023875 AAAS7310
System IO REV 08 710-023209 AAAS9446 SRXSME System IO Routing Engine REV 14 750-023223 AAAW4729 RE-SRXSME-SRE6 FPC 0 FPC
PIC 0 4x GE Base PIC FPC 2 REV 07 750-026182 AAAS7999 FPC
PIC 0 16x GE gPIM Power Supply 0 Rev 03 740-024283 TH01999 PS 645W AC Power Supply 1 Rev 03 740-024283 TH01099 PS 645W AC
1.2 查看OS信息
(1)ScreenOS
在CLI下命令为:get system
示例:
JP1000A-> get system
Product Name: NetScreen-ISG1000
Serial Number: 0993072011000999, Control Number: 00000000
Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0) Software Version: 6.1.0r7-cu12.0, Type: Firewall+VPN
OS Loader Version: 1.0.2
Compiled by build_master at: Wed Apr 28 23:08:24 PDT 2010
Base Mac: 0026.889b.fa80
File Name: default (screenos_image), Checksum: de317771
, Total Memory: 1024MB
Date 01/01/2013 11:50:43, Daylight Saving Time disabled
The Network Time Protocol is Enabled
Up 3286 hours 23 minutes 35 seconds Since 17Aug2012:13:27:08
Total Device Resets: 0
(2)JunOS
在CLI - 操作模式下命令为:show system software
示例:
syro@JP650A> show system software
Information for junos:
Comment:
JUNOS Software Release [10.4R10.7]
1.3 查看CPU/SPU使用率信息
1.3.1 查看CPU/SPU使用率信息
(1)ScreenOS —— CPU
在CLI下命令为:get performance cpu
示例:
JP1000A-> get performance cpu
Average System Utilization: 1%
Last 1 minute: 2%, Last 5 minutes: 2%, Last 15 minutes: 2%
(2)JunOS —— SPU
当SPU使用率达到60%就要引起关注,可能网络或设备有异常。
在CLI - 操作模式下查看SRX Branch防火墙的SPU使用率命令为:show security monitoring fpc 0
示例:
syro@JP650A> show security monitoring fpc 0
FPC 0
PIC 0
CPU utilization : 0 %
Memory utilization : 67 %
Current flow session : 16
Max flow session : 524288
SRX Hign-end防火墙为分布式架构,需要根据SPC卡的槽位来确定查看命令。例如SRX3600配备2块SPC,分别插在7槽和 8槽中,需要分别查看其SPU使用率。另,SRX3600的双机采用虚拟机箱技术后,node0为主墙、node1为备墙。
在CLI - 操作模式下查看SRX3600防火墙的spu命令为:show security monitoring fpc 7和show security monitoring fpc 8
示例:
syro@JP3600A > show security monitoring fpc 7
node0:
--------------------------------------------------------------------------
FPC 7
PIC 0
CPU utilization : 2 %
Memory utilization : 64 %
Current flow session : 5265
Max flow session : 524288
Current CP session : 16401
Max CP session : 2359296
node1:
--------------------------------------------------------------------------
FPC 7
PIC 0
CPU utilization : 0 %
Memory utilization : 64 %
Current flow session : 5582
Max flow session : 524288
Current CP session : 17131
Max CP session : 2359296
{primary:node0}
syro@JP3600A> show security monitoring fpc 8
node0:
--------------------------------------------------------------------------
FPC 8
PIC 0
CPU utilization : 3 %
Memory utilization : 66 %
Current flow session : 10977
Max flow session : 1048576
Current CP session : 0
Max CP session : 0
node1:
--------------------------------------------------------------------------
FPC 8
PIC 0
CPU utilization : 0 %
Memory utilization : 66 %
Current flow session : 11382
Max flow session : 1048576
Current CP session : 0
Max CP session : 0
{primary:node0}
1.3.2 查看每秒CPU使用率
(1)ScreenOS
在CLI下命令为:get performance cpu all detail 示例:
JP1000A.GL-IT.SDA(M)-> get performance cpu all detail
Average System Utilization: 1% (flow 1 task 1)
Last 60 seconds:
59: 2( 1 1) 58: 2( 1 1) 57: 2( 1 1) 56: 2( 1 1) 55: 2( 1 1) 54: 2( 1 1) 53: 2( 1 1) 52: 2( 1 1) 51: 2( 1 1) 50: 2( 1 1) 49: 2( 1 1) 48: 2( 1 1) 47: 2( 1 1) 46: 2( 1 1) 45: 2( 1 1) 44: 2( 1 1) 43: 2( 1 1) 42: 2( 1 1) 41: 2( 1 1) 40: 2( 1 1) 39: 2( 1 1) 38: 2( 1 1) 37: 2( 1 1) 36: 2( 1 1) 35: 2( 1 1) 34: 2( 1 1) 33: 2( 1 1) 32: 2( 1 1) 31: 2( 1 1) 30: 2( 1 1) 29: 2( 1 1) 28: 2( 1 1) 27: 2( 1 1) 26: 2( 1 1) 25: 2( 1 1) 24: 2( 1 1) 23: 2( 1 1) 22: 2( 1 1) 21: 2( 1 1) 20: 2( 1 1) 19: 2( 1 1) 18: 2( 1 1) 17: 2( 1 1) 16: 2( 1 1) 15: 2( 1 1) 14: 2( 1 1) 13: 2( 1 1) 12: 2( 1 1) 11: 2( 1 1) 10: 2( 1 1) 9: 2( 1 1) 8: 2( 1 1) 7: 2( 1 1) 6: 2( 1 1) 5: 2( 1 1) 4: 2( 1 1) 3: 2( 1 1) 2: 2( 1 1) 1: 2( 1 1) 0: 2( 1 1)
Last 60 minutes:
59: 2( 1 1) 58: 2( 1 1) 57: 2( 1 1) 56: 2( 1 1)
55: 2( 1 1) 54: 2( 1 1) 53: 2( 1 1) 52: 2( 1 1)
51: 2( 1 1) 50: 2( 1 1) 49: 2( 1 1) 48: 2( 1 1)
47: 2( 1 1) 46: 2( 1 1) 45: 2( 1 1) 44: 2( 1 1)
43: 2( 1 1) 42: 2( 1 1) 41: 2( 1 1) 40: 2( 1 1)
39: 2( 1 1) 38: 2( 1 1) 37: 2( 1 1) 36: 2( 1 1)
35: 2( 1 1) 34: 2( 1 1) 33: 2( 1 1) 32: 2( 1 1)
31: 2( 1 1) 30: 2( 1 1) 29: 2( 1 1) 28: 2( 1 1)
27: 2( 1 1) 26: 2( 1 1) 25: 2( 1 1) 24: 2( 1 1)
23: 2( 1 1) 22: 2( 1 1) 21: 2( 1 1) 20: 2( 1 1)
19: 2( 1 1) 18: 2( 1 1) 17: 2( 1 1) 16: 2( 1 1)
15: 2( 1 1) 14: 2( 1 1) 13: 2( 1 1) 12: 2( 1 1)
11: 2( 1 1) 10: 2( 1 1) 9: 2( 1 1) 8: 2( 1 1)
7: 2( 1 1) 6: 2( 1 1) 5: 2( 1 1) 4: 2( 1 1)
3: 2( 1 1) 2: 2( 1 1) 1: 2( 1 1) 0: 2( 1 1)
Last 24 hours:
23: 2( 1 1) 22: 2( 1 1) 21: 2( 1 1) 20: 2( 1 1)
19: 2( 1 1) 18: 2( 1 1) 17: 1( 1 1) 16: 2( 1 1)
15: 1( 1 1) 14: 2( 1 1) 13: 1( 1 1) 12: 1( 1 1)
11: 2( 1 1) 10: 2( 1 1) 9: 2( 1 1) 8: 2( 1 1)
7: 2( 1 1) 6: 1( 1 1) 5: 1( 1 1) 4: 2( 1 1)
3: 2( 1 1) 2: 2( 1 1) 1: 2( 1 1) 0: 2( 1 1)
(2)JunOS
在CLI - 操作模式下命令为:show security monitoring performance spu 示例:
syro@JP650A > show security monitoring performance spu
fpc 0 pic 0
Last 60 seconds:
0: 0 1: 0 2: 0 3: 0 4: 0 5: 0
6: 0 7: 0 8: 0 9: 0 10: 0 11: 0
12: 0 13: 0 14: 0 15: 0 16: 0 17: 0
18: 0 19: 0 20: 0 21: 0 22: 0 23: 0
24: 0 25: 0 26: 0 27: 0 28: 0 29: 0
30: 0 31: 0 32: 0 33: 0 34: 0 35: 0
36: 0 37: 0 38: 0 39: 0 40: 0 41: 0
42: 0 43: 0 44: 0 45: 0 46: 0 47: 0
48: 0 49: 0 50: 0 51: 0 52: 0 53: 0
54: 0 55: 0 56: 0 57: 0 58: 0 59: 0
syro@JP3600A> show security monitoring performance spu
node0:
--------------------------------------------------------------------------
fpc 7 pic 0
Last 60 seconds:
0: 0 1: 0 2: 0 3: 0 4: 0 5: 0 6: 0 7: 0 8: 0 9: 0 10: 0 11: 0 12: 0 13: 0 14: 0 15: 0 16: 0 17: 0 18: 0 19: 0 20: 0 21: 0 22: 0 23: 0 24: 0 25: 0 26: 0 27: 0 28: 0 29: 0 30: 0 31: 0 32: 0 33: 0 34: 0 35: 0 36: 0 37: 0 38: 0 39: 0 40: 0 41: 0 42: 0 43: 0 44: 0 45: 0 46: 0 47: 0 48: 0 49: 0 50: 0 51: 0 52: 0 53: 0 54: 0 55: 0 56: 0 57: 0 58: 0 59: 0 fpc 8 pic 0
Last 60 seconds:
0: 0 1: 0 2: 0 3: 0 4: 0 5: 0 6: 0 7: 0 8: 0 9: 0 10: 0 11: 0 12: 0 13: 0 14: 0 15: 0 16: 0 17: 0 18: 0 19: 0 20: 0 21: 0 22: 0 23: 0 24: 0 25: 0 26: 0 27: 0 28: 0 29: 0 30: 0 31: 0 32: 0 33: 0 34: 0 35: 0 36: 0 37: 0 38: 0 39: 0 40: 0 41: 0 42: 0 43: 0 44: 0 45: 0 46: 0 47: 0 48: 0 49: 0 50: 0 51: 0 52: 0 53: 0 54: 0 55: 0 56: 0 57: 0 58: 0 59: 0
node1:
--------------------------------------------------------------------------
fpc 7 pic 0
Last 60 seconds:
0: 0 1: 0 2: 0 3: 0 4: 0 5: 0 6: 0 7: 0 8: 0 9: 0 10: 0 11: 0 12: 0 13: 0 14: 0 15: 0 16: 0 17: 0 18: 0 19: 0 20: 0 21: 0 22: 0 23: 0 24: 0 25: 0 26: 0 27: 0 28: 0 29: 0 30: 0 31: 0 32: 0 33: 0 34: 0 35: 0 36: 0 37: 0 38: 0 39: 0 40: 0 41: 0 42: 0 43: 0 44: 0 45: 0 46: 0 47: 0 48: 0 49: 0 50: 0 51: 0 52: 0 53: 0 54: 0 55: 0 56: 0 57: 0 58: 0 59: 0 fpc 8 pic 0
Last 60 seconds:
0: 0 1: 0 2: 0 3: 0 4: 0 5: 0
6: 0 7: 0 8: 0 9: 0 10: 0 11: 0
12: 0 13: 0 14: 0 15: 0 16: 0 17: 0
18: 0 19: 0 20: 0 21: 0 22: 0 23: 0
24: 0 25: 0 26: 0 27: 0 28: 0 29: 0
30: 0 31: 0 32: 0 33: 0 34: 0 35: 0
36: 0 37: 0 38: 0 39: 0 40: 0 41: 0
42: 0 43: 0 44: 0 45: 0 46: 0 47: 0
48: 0 49: 0 50: 0 51: 0 52: 0 53: 0
54: 0 55: 0 56: 0 57: 0 58: 0 59: 0
{primary:node0}
1.4 查看内存使用率
(1)ScreenOS
ScreenOS平台的内存使用率一般不会变化。
在CLI下命令为:get memory
示例:
JP1000A-> get memory
Memory: allocated 536091296, left 238802224, frag 68, fail 0
(2)JunOS
当SPU内存使用率达到70%就要引起关注,可能网络或设备有异常。
在CLI - 操作模式下查看SRX Branch防火墙的spc内存使用率命令为:show security monitoring fpc 0
示例:
syro@JP650A> show security monitoring fpc 0
FPC 0
PIC 0
CPU utilization : 0 %
Memory utilization : 67 %
Current flow session : 16
Max flow session : 524288
SRX Hign-end防火墙为分布式架构,,需要根据SPC卡的槽位来确定查看命令。例如SRX3600配备2块SPC,插在7槽和 8槽中,需要分别查看其SPU内存使用率。另,SRX3600的双机采
用虚拟机箱技术,node0为主墙、node1为备墙。
在CLI - 操作模式下查看SRX3600防火墙的SPU内存使用率命令为:show security monitoring fpc 7和show security monitoring fpc 8
示例:
syro@JP3600A > show security monitoring fpc 7
node0:
--------------------------------------------------------------------------
FPC 7
PIC 0
CPU utilization : 2 %
Memory utilization : 64 %
Current flow session : 5265
Max flow session : 524288
Current CP session : 16401
Max CP session : 2359296
node1:
--------------------------------------------------------------------------
FPC 7
PIC 0
CPU utilization : 0 %
Memory utilization : 64 %
Current flow session : 5582
Max flow session : 524288
Current CP session : 17131
Max CP session : 2359296
{primary:node0}
syro@JP3600A> show security monitoring fpc 8
node0:
--------------------------------------------------------------------------
FPC 8
PIC 0
CPU utilization : 3 %
Memory utilization : 66 %
Current flow session : 10977
Max flow session : 1048576
Current CP session : 0
Max CP session : 0
node1:
--------------------------------------------------------------------------
FPC 8
PIC 0
CPU utilization : 0 %
Memory utilization : 66 %
Current flow session : 11382
Max flow session : 1048576
Current CP session : 0
Max CP session : 0
1.5 SRX RE CPU使用率/内存使用率信息(仅JunOS适用)
SRX系列防火墙RE的CPU主要做管理设备用,其CPU波动会比较大,出现瞬时100%也是正常的。当RE的CPU使用率长时间都在45%以上时,引起关注;当RE的内存使用率长时间都在60%以上时,注意查看当前的RE运行负载。
在CLI - 操作模式下命令为:show chassis routing-engine
示例:
syro@JP650A > show chassis routing-engine
Routing Engine status:
Temperature 31 degrees C / 87 degrees F
CPU temperature 31 degrees C / 87 degrees F
Total memory 2048 MB Max 1065 MB used ( 52 percent)
Control plane memory 1104 MB Max 442 MB used ( 40 percent)
Data plane memory 944 MB Max 632 MB used ( 67 percent)
CPU utilization:
User 6 percent
Background 0 percent
Kernel 1 percent
Interrupt 0 percent
Idle 93 percent
Model RE-SRXSME-SRE6
Serial ID AAAW4729
Start time 2012-07-12 17:54:51 CST
Uptime 177 days, 15 hours, 50 minutes, 35 seconds
Last reboot reason 0x200:chassis control reset
Load averages: 1 minute 5 minute 15 minute
0.41 0.26 0.19
syro@JP3600A > show chassis routing-engine
node0:
--------------------------------------------------------------------------
Routing Engine status:
Slot 0:
Current state Master
Election priority Master (default)
DRAM 1023 MB
Memory utilization 39 percent
CPU utilization:
User 0 percent
Background 0 percent
Kernel 5 percent
Interrupt 0 percent
Idle 94 percent
Model RE-PPC-1200-A
Start time 2012-07-13 10:06:41 CST
Uptime 176 days, 23 hours, 40 minutes, 35 seconds Last reboot reason 0x1:power cycle/failure
Load averages: 1 minute 5 minute 15 minute
0.12 0.10 0.08
node1:
--------------------------------------------------------------------------
Routing Engine status:
Slot 0:
Current state Master
Election priority Master (default)
DRAM 1023 MB
Memory utilization 34 percent
CPU utilization:
User 0 percent
Background 0 percent
Kernel 5 percent
Interrupt 0 percent
Idle 95 percent
Model RE-PPC-1200-A
Start time 2012-07-16 14:39:07 CST
Uptime 173 days, 19 hours, 6 minutes, 11 seconds Last reboot reason Router rebooted after a normal shutdown.
Load averages: 1 minute 5 minute 15 minute
0.14 0.06 0.01
1.6 查看Session会话信息
1.6.1 查看会话总数
(1)ScreenOS
当前会话总数达到平时峰值的2倍或设备最大会话数的70%,需要关注、报警。
在CLI下命令为:get session info
示例:
JP1000A-> get session info
alloc 730/max 524288, alloc failed 0, mcast alloc 0, di alloc failed 0
total reserved 0, free sessions in shared pool 523558
slot 2: hw0 alloc 730/max 524287
(2)JunOS
当前会话总数达到平时峰值的2倍或设备最大会话数的70%,需要关注、报警。
在CLI - 操作模式下命令为:show security flow session summary
示例:
syro@JP650A> show security flow session summary
Unicast-sessions: 14
Multicast-sessions: 0
Failed-sessions: 0
Sessions-in-use: 17
Valid sessions: 14
Pending sessions: 0
Invalidated sessions: 3
Sessions in other states: 0
Maximum-sessions: 524288
syro@JP3600A > show security flow session summary
node0:
--------------------------------------------------------------------------
Flow Sessions on FPC7 PIC0:
Unicast-sessions: 0
Multicast-sessions: 0
Failed-sessions: 0
Sessions-in-use: 0
Valid sessions: 0
Pending sessions: 0
Invalidated sessions: 0
Sessions in other states: 0
Maximum-sessions: 524288
Flow Sessions on FPC8 PIC0:
Unicast-sessions: 0
Multicast-sessions: 0
Failed-sessions: 0
Sessions-in-use: 0
Valid sessions: 0
Pending sessions: 0
Invalidated sessions: 0
Sessions in other states: 0
Maximum-sessions: 1048576
node1:
--------------------------------------------------------------------------
Flow Sessions on FPC7 PIC0:
Unicast-sessions: 0
Multicast-sessions: 0
Failed-sessions: 0
Sessions-in-use: 0
Valid sessions: 0
Pending sessions: 0
Invalidated sessions: 0
Sessions in other states: 0
Maximum-sessions: 524288
Flow Sessions on FPC8 PIC0:
Unicast-sessions: 0
Multicast-sessions: 0
Failed-sessions: 0
Sessions-in-use: 0
Valid sessions: 0
Pending sessions: 0
Invalidated sessions: 0
Sessions in other states: 0
Maximum-sessions: 1048576
1.6.2 查看每秒新建会话数量
(1)ScreenOS
在CLI下命令为:get performance session detail
示例:
JP1000A-> get performance session detail
Last 60 seconds:
0: 26 1: 12 2: 19 3: 21 4: 23 5: 20
6: 27 7: 20 8: 32 9: 30 10: 36 11: 29
12: 35 13: 34 14: 13 15: 26 16: 31 17: 34
18: 20 19: 25 20: 24 21: 19 22: 20 23: 24
24: 21 25: 22 26: 24 27: 23 28: 34 29: 24
30: 35 31: 35 32: 34 33: 21 34: 15 35: 26
36: 37 37: 32 38: 36 39: 27 40: 20 41: 32
42: 24 43: 25 44: 21 45: 19 46: 17 47: 16
48: 15 49: 14 50: 17 51: 19 52: 26 53: 38
54: 32 55: 41 56: 11 57: 13 58: 15 59: 11
(2)JunOS
对于JunOS11.4及其以后版本,可以直接查看每秒新建会话数,在CLI - 操作模式下查看SRX Branch防火墙的每秒新建命令为:show security monitoring fpc 0
示例:
root> show security monitoring fpc 0
FPC 0
PIC 0
CPU utilization : 0 %
Memory utilization : 69 %
Current flow session : 6
Current flow session IPv4: 0
Current flow session IPv6: 0
Max flow session : 262144
Total Session Creation Per Second (for last 96 seconds on average): 0
IPv4 Session Creation Per Second (for last 96 seconds on average): 0
IPv6 Session Creation Per Second (for last 96 seconds on average): 0
对于JunOS11.4之前的版本,只能查看每秒会话数,在CLI - 操作模式下命令为:security monitoring performance session
示例:
syro@JP650A > show security monitoring performance session
fpc 0 pic 0
Last 60 seconds:
0: 18 1: 18 2: 17 3: 18 4: 17 5: 14 6: 14 7: 17 8: 16 9: 17 10: 16 11: 17 12: 17 13: 18 14: 16 15: 16 16: 15 17: 15 18: 14 19: 15 20: 13 21: 14 22: 12 23: 27 24: 27 25: 56 26: 55 27: 78 28: 61 29: 79 30: 59 31: 75 32: 59 33: 81 34: 64 35: 78 36: 61 37: 75 38: 60 39: 51 40: 40 41: 50 42: 47 43: 69 44: 60 45: 69 46: 56 47: 76 48: 67 49: 78 50: 57 51: 74 52: 55 53: 78 54: 60 55: 70 56: 51 57: 62 58: 48 59: 29
syro@JP3600A > show security monitoring performance session
node0:
--------------------------------------------------------------------------
fpc 7 pic 0
Last 60 seconds:
0: 9761 1: 9987 2: 9713 3: 9965 4: 9692 5: 9989 6: 9703 7: 9958 8: 9653 9: 9878 10: 9616 11: 9940 12: 9691 13: 10065 14: 9814 15: 10010 16: 9731 17: 9887 18: 9610 19: 9857 20: 9636 21: 9910 22: 9649 23: 9938 24: 9686 25: 9952 26: 9704 27: 9988 28: 9735 29: 9984 30: 9723 31: 10009 32: 9758 33: 10105 34: 9878 35: 10155 36: 9881 37: 10107 38: 9798 39: 10032 40: 9795 41: 10068 42: 9792 43: 10073 44: 9829 45: 10082 46: 9813 47: 10060 48: 9775 49: 10061 50: 9791 51: 10008 52: 9732 53: 9963 54: 9721 55: 9935 56: 9668 57: 9938 58: 9696 59: 9993 fpc 8 pic 0
Last 60 seconds:
0: 20252 1: 19658 2: 20188 3: 19608 4: 20185 5: 19660 6: 20164 7: 19591 8: 20039 9: 19492 10: 19938 11: 19433 12: 20098 13: 19642 14: 20275 15: 19714 16: 20013 17: 19445 18: 19841 19: 19325 20: 19824 21: 19358 22: 19880 23: 19371 24: 19936 25: 19429 26: 19876 27: 19396 28: 19938 29: 19459 30: 19911 31: 19369 32: 20068 33: 19565 34: 20332 35: 19645 36: 20309 37: 19657 38: 20128 39: 19471 40: 20010 41: 19493 42: 20049 43: 19536 44: 20163 45: 19644 46: 20132 47: 19624 48: 20154 49: 19575 50: 20097 51: 19529 52: 20041 53: 19525 54: 19978 55: 19488 56: 19899 57: 19372 58: 19984 59: 19500
node1:
--------------------------------------------------------------------------
fpc 7 pic 0
Last 60 seconds:
0: 10213 1: 10447 2: 10172 3: 10424 4: 10150 5: 10432
6: 10153 7: 10362 8: 10078 9: 10394 10: 10134 11: 10472
12: 10219 13: 10530 14: 10279 15: 10450 16: 10134 17: 10347
18: 10066 19: 10312 20: 10093 21: 10400 22: 10137 23: 10384
24: 10147 25: 10456 26: 10193 27: 10437 28: 10184 29: 10507
30: 10265 31: 10570 32: 10314 33: 10694 34: 10467 35: 10659
36: 10407 37: 10618 38: 10315 39: 10519 40: 10293 41: 10561
42: 10285 43: 10555 44: 10300 45: 10540 46: 10256 47: 10573
48: 10296 49: 10496 50: 10234 51: 10447 52: 10169 53: 10364
54: 10115 55: 10406 56: 10140 57: 10385 58: 10155 59: 10445
fpc 8 pic 0
Last 60 seconds:
0: 21893 1: 21280 2: 21813 3: 21250 4: 21759 5: 21230
6: 21668 7: 21122 8: 21685 9: 21176 10: 21775 11: 21254
12: 21735 13: 21272 14: 21791 15: 21155 16: 21508 17: 20933
18: 21439 19: 20944 20: 21514 21: 21026 22: 21461 23: 20970
24: 21540 25: 21045 26: 21494 27: 20991 28: 21684 29: 21223
30: 21909 31: 21367 32: 22025 33: 21539 34: 22163 35: 21480
36: 21933 37: 21282 38: 21790 39: 21194 40: 21827 41: 21311
42: 21793 43: 21264 44: 21860 45: 21300 46: 21830 47: 21292
48: 21762 49: 21222 50: 21607 51: 21063 52: 21449 53: 20899
54: 21527 55: 21041 56: 21509 57: 21017 58: 21527 59: 21033
{primary:node0}
1.6.3 查看防火墙所有会话条目
(1)ScreenOS
在CLI下命令为:get session
示例:
JP1000A-> get session
alloc 2976/max 524288, alloc failed 0, mcast alloc 0, di alloc failed 0
total reserved 0, free sessions in shared pool 521312
slot 2: hw0 alloc 2976/max 524287
id 482707/s0*,vsys 0,flag 10200400/4000/0003,policy 20036,time 1302, dip 36 module 0
if 130(nspflag 0805):192.168.12.101/4795->10.1.131.244/8000,6,000000000000,sess token 4,vlan 32,tun 0,vsd
juniper防火墙配置手册
JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置:STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置:STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)
Juniper防火墙日常维护手册
Juniper防火墙维护手册
目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置(双机配置) (7) 1.5.配置MIP(通过图形界面配置) (9) 1.6.配置访问策略(通过图形界面配置) (11) https://www.360docs.net/doc/df17079144.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)
1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen,为了便于区分设备和维护,在对防火墙进行配置前先对防火墙进行命名: Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段,用于专门对接口进行管理时用。在双机的工作状态下,因为接口的地址只存在于主防火墙上,如果不配置管理IP,则不能对备用防火墙进行登录了。一般在单机时,不需要配置接口的管理IP,但在双机时,建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意:接口的工作模式可以工作在路由模式,NAT模式和透明模式。在产品线应用中,透明模式很少用,而NAT模式只有在trust到untrust的数据流才起作用,建议把防火墙的所有接口都配置成route的工作模式,用命令set interface接口名 route配置即可,缺省情况下需要在trust区段中的接口使用此命令。 本例子中,配置接口ethernet2属于Untrust区,IP地址为202.38.12.23/28,如设置管理方式是Http,命令如下: Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat
Juniper_SRX防火墙Web配置手册
Juniper SRX防火墙配置手册
Juniper SRX防火墙配置说明 1系统配置 (1) 1.1配置ROOT帐号密码 (1) 1.2配置用户名和密码 (2) 2接口配置 (8) 2.1IPV4地址配置 (9) 2.2接口T RUNK模式配置 (13) 2.3接口A CC ESS模式配置 (14) 3VLAN配置 (15) 3.1创建VLAN配置 (15) 4路由配置 (19) 4.1静态路由配置 (21) 5自定义应用配置 (22) 5.1自定义服务配置 (22) 5.2应用组配置 (23) 6地址组配置 (24) 6.1地址簿配置 (24) 6.2地址组配置 (25) 7日程表配置 (27) 8NAT配置 (30) 8.1S TA TIC NA T配置 (30)
1 系统配置 1.1 配置root帐号密码 首次登陆设备时,需要采用console方式,登陆用户名为:root,密码为空,登陆到cli下以后,执行如下命令,设置root帐号的密码。 root# set system root-authentication plain-text-password root# new password : root123 root# retype new password: root123 密码将以密文方式显示。 注意:必须要首先配置root帐号密码,否则后续所有配置的修改都无法提交。 SRX系列低端设备在开机后,系统会加载一个默认配置,设备的第一个接口被划分在trust区域,配置一个ip地址192.168.1.1,允许ping、telnet、web等管理方式,可以通过该地址登陆设备。登陆后显示页面如下:
Juniper SRX路由器命令配置手册
Juniper SRX配置手册
目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (12) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (15) 3.3 操作系统升级 (15) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)
Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
Juniper防火墙故障情况下的快速恢复
为防止Juniper防火墙设备故障情况下造成网络中断,保障用户业务不间断运行,现针对Juniper防火墙故障情况下的快速恢复做具体描述。 一、设备重启动:Juniper防火墙在工作期间出现运行异常时,如需进行系统复位,可通过console线缆使用reset命令对防火墙进行重启,重启动期间可以在操作终端上查看防火墙相关启动信息。 二、操作系统备份:日常维护期间可将防火墙操作系统ScreenOS备份到本地设备,操作方式为:启动tftp 服务器并在命令行下执行:save software from flash to tftp x.x.x.x filename。 三、操作系统恢复:当防火墙工作发生异常时,可通过两种方式快速恢复防火墙操作系统,命令行方式:save software from tftp x.x.x.x filename to flash,或通过web方式:Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项,并在Load File栏选中保存在本地的ScreenOS文件,然后点击apply按钮,上传ScreenOS后防火墙将自动进行重启。 四、配置文件备份: 日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复,操作方式有三种: 1、启动tftp 服务器并在命令行下执行:save config from flash to tftp x.x.x.x filename。 2、通过超级终端远程telnet/ssh到防火墙,通过log记录方式将get config配置信息记录到本地。 3、通过web页面进行配置文件备份:Configuration > Update > Config File,点击save to file。 五、配置文件恢复: 防火墙当前配置信息若存在错误,需进行配置信息快速恢复,操作方式有三种: 1、启动tftp 服务器并在命令行下执行:save config from tftp x.x.x.x filename to flash,配置文件上传后需执行reset命令进行重启。 2、通过web页面进行配置文件恢复:Configuration > Update > Config File,选中Replace Current Configuration,并从本地设备中选中供恢复的备份配置文件,点击apply后系统将进行重启动使新配置生效。 3、通过超级终端远程telnet/ssh到防火墙,通过unset all 命令清除防火墙配置,并进行重启,重启后将备份的配置命令粘贴到防火墙中。 六、恢复出厂值:console线缆连接到防火墙,通过reset命令对防火墙进行重启,并使用防火墙的16位序列号作为账号/口令进行登陆,可将防火墙配置快速恢复为出厂值。 七、硬件故障处理: 当防火墙出现故障时,且已经排除配置故障和ScreenOS软件故障,可通过NSRP切换到备用设备来恢复网络运行,并进一步定位硬件故障。切换方式为1、拔掉主用防火墙的上下行网线(仅在设备关闭电源的情况下,才需要拔掉该设备的HA连线),防火墙将自动进行主备切换。2、或在主用设备上执行:exec nsrp vsd-group id 0 mode backup,手动执行防火墙主备切换。 八、设备返修(RMA):如经Juniper公司确认防火墙发生硬件故障,请及时联系设备代理商。设备代理商将根据报修流程,由Juniper公司对保修期内的损坏部件或设备进行RMA(设备返修)。
juniper防火墙详细配置手册
Juniper防火墙简明实用手册 (版本号:)
目录 1juniper中文参考手册重点章节导读.................................... 错误!未定义书签。 第二卷:基本原理 ...................................................... 错误!未定义书签。 第一章:ScreenOS 体系结构 .......................... 错误!未定义书签。 第二章:路由表和静态路由............................ 错误!未定义书签。 第三章:区段.................................................... 错误!未定义书签。 第四章:接口.................................................... 错误!未定义书签。 第五章:接口模式............................................ 错误!未定义书签。 第六章:为策略构建块.................................... 错误!未定义书签。 第七章:策略.................................................... 错误!未定义书签。 第八章:地址转换............................................ 错误!未定义书签。 第十一章:系统参数........................................ 错误!未定义书签。 第三卷:管理 .............................................................. 错误!未定义书签。 第一章:管理.................................................... 错误!未定义书签。 监控NetScreen 设备........................................ 错误!未定义书签。 第八卷:高可用性 ...................................................... 错误!未定义书签。 NSRP ................................................................... 错误!未定义书签。 故障切换............................................................ 错误!未定义书签。2Juniper防火墙初始化配置和操纵........................................ 错误!未定义书签。3查看系统概要信息................................................................. 错误!未定义书签。4主菜单常用配置选项导航..................................................... 错误!未定义书签。5Configration配置菜单 ........................................................... 错误!未定义书签。 Date/Time:日期和时间 ............................................... 错误!未定义书签。 Update更新系统镜像和配置文件 ............................. 错误!未定义书签。 更新ScreenOS系统镜像 .................................. 错误!未定义书签。 更新config file配置文件.................................. 错误!未定义书签。 Admin管理 .................................................................. 错误!未定义书签。 Administrators管理员账户管理....................... 错误!未定义书签。 Permitted IPs:允许哪些主机可以对防火墙进行管理错误!未定
DPtechFW系列防火墙系统维护手册
DPtech FW1000维护手册 杭州迪普科技有限公司 2011年10月
目录 DPtech FW1000维护手册 (1) 第1章常见维护事项 (1) 1.1系统基本维护 (1) 1.2日常故障维护 (1) 1.3数据备份管理 (1) 1.4补丁升级管理 (2) 第2章应急处理方案 (4) 2.1运输导致设备无法启动 (4) 2.2互联网访问异常 (4) 2.3集中管理平台无相关日志 (4) 2.4设备工作不正常 (5) 2.5IPSEC-VPN无法正常建立 (5) 2.6访问内网服务器异常 (5) 第3章功能项 (6) 3.1用户名/密码 (6) 3.2管理员 (6) 3.3WEB访问 (6) 3.4接口状态 (7) 3.5数据互通 (7) 3.6日志信息 (7) 第4章其他 (9) 4.1注册与申请 (9) 4.2升级与状态 (9) 第5章FAQ (12) 5.1入门篇 (12) 5.2进阶篇 (13)
第1章常见维护事项 1.1 系统基本维护 ?防火墙应该指派专人管理、维护,管理员的口令要严格保密,不得泄露 ?防火墙管理员应定期查看统一管理中心(UMC)和防火墙的系统资源(包括内存/CPU/外存),确认运行状况是否正常 ?防火墙管理员应定期检查“严重错误”以上级别的系统日志,发现防火墙的异常运行情况 ?防火墙管理员应定期检查操作日志,确认是否有异常操作(修改、添加、删除策略,删除日志等)、异常登录(非管理员登陆记录、多次登陆密码错误),对此应立即上报并修改密码 ?防火墙管理员应定期检查和分析自动生成的报表,对报表中的可疑事件进行追踪(例如部分时间段异常攻击等),并出具安全运行报告 ?防火墙管理帐号用户名:admin,初始口令admin,首次使用需修改,并备份 ?统一管理中心服务器需要按时进行操作系统的补丁升级和杀毒软件的病毒库升级1.2 日常故障维护 ?统一管理中心服务器无法登录,请检查能否PING通统一管理中心服务器,其相关服务(UMC数据库服务、UMC Web服务、UMC后台服务)是否启动,管理端口80是否一致 ?统一管理中心服务器上网络流量快照或FW日志无法生成,先检查端口9502、9516、9514是否开放,防火墙的日志发送配置是否正确,再用抓包工具检查防火墙是否发送日志 ?防火墙无法登录,请检查防火墙的IP是否可以Ping通,同时检测端口80是否开放1.3 数据备份管理 ?统一管理中心服务器系统安装后要先进行完全备份 ?统一管理中心服务器管理员应定期将备份的数据导入到指定的备份机或刻盘存储
Juniper_SRX基本配置手册
Juniper SRX防火墙基本配置手册
1SRX防火墙的PPPoE拔号配置 Juniper SRX防火墙支持PPPoE拔号,这样防火墙能够连接ADSL链路,提供给内网用户访问网络的需求。 配置拓扑如下所示: Juniper SRX240防火墙 在Juniper SRX防火墙上面设置ADSL PPPoE拔号,可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0,在命令行下面的查看命令如下所示: juniper@HaoPeng# run show interfaces terse | match pp Interface Admin Link Proto Local Remote pp0 up up 在WEB界面下,也能够看到PPPoE的拔号接口pp0 配置步聚如下所示: 第一步:选择接口ge-0/0/4作为PPPoE拔号接口的物理接口,将接口封装成PPPoE To configure PPPoE encapsulation on an Ethernet interface: juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether 第二步:配置PPPoE接口PP0.0的参数 To create a PPPoE interface and configure PPPoE options: user@host# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/4.0 auto-reconnect 100 idle-timeout 100 client
天融信防火墙日常维护及常见问题
天融信防火墙日常维护及常见问题 综述: 防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。 一、 防火墙的连接方式 5 硬件一台 ?外形:19寸1U 标准机箱 产品外形 接COM 口 管理机 直通线交叉线 串口线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式
产品提供的附件及线缆使用方式 ?CONSOLE线缆 ?UTP5双绞线 -直通(1条,颜色:灰色) -交叉(1条,颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机(一些高端交换机也可以通过交叉线与 防火墙连接) ?软件光盘 ?上架附件 6 二、防火墙的工作状态 网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中, 具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态, 体请见下表: 2-1防火墙安装前的准备 在安装防火墙之前必须弄清楚的几个问题: 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)
Juniper 常用配置
Juniper 常用配置 一、基本操作 1、登录设备 系统初始化用户名是roo t,密码是空。在用户模式下输入configure或者是edit可以进入配置模式。 2、设置用户名:set host-name EX4200。 3、配置模式下运行用户模式命令,则需要在命令前面加一个run,如:run show interface 。 4、在show 后面使用管道符号加上display set将其转换成set 格式命令show protocols ospf | display set 。 5、在需要让配置生效需要使用commit命令,在commit之前使用commit check来对配置进行语法检查。如果提交之后,可以使用rollback进行回滚,rollback 1回滚上一次提前之前的配置,rollback 2则是回滚上 2 次提交之前的配置。 6、交换机重启:request system reboot 7、交换机关机:request system halt 二、交换机基本操作 2.1 设置root密码 交换机初始化用户名是root 是没有密码的,在进行commit 之前必须修改root 密码。明文修改方式只是输入的时候是明文,在交换机中还是以密文的方式存放的。 实例: 明文修改方式: lab@EX4200-1# top [edit] lab@EX4200-1# edit system [edit system] lab@EX4200-1# set root-authentication plain-text-password 2.2 设置删除主机名 实例:
#"设置主机名为EX4200" lab@EX4200-1# edit system [edit system] lab@EX4200-1# set host-name EX4200 #”删除命令”# lab@EX4200-1# edit system [edit system] lab@EX4200-1# delete host-name EX4200 2.3 开启Telnet登陆服务 说明:在默认缺省配置下,EX 交换机只是开放了http 远程登陆方式,因此如果想通过telnet登陆到交换机上,必须在系统中打开telnet 服务。 实例: lab@EX4200-1# edit system service [edit system services] #打开Telnet 服务 lab@EX4200-1# set telnet #同时telnet 的最大连接数范围1-250 lab@EX4200-1# set telnet connection-limit 10 #每分钟同时最大连接数范围1-250 lab@EX4200-1# set telnet rate-limit 10 #删除telnet服务 lab@EX4200-1# edit system service [edit system services] lab@EX4200-1# delete telnet 2.4 开启远程ssh登陆 EX 交换机默认是没有开启SSH 服务,当你打开了SSH 服务而没有制定SSH 的版本,系统自动支持V1和V2 版本。如果你指定了SSH 的版本,则系统只允许你指定版本的SSH 登陆。 实例: lab@EX4200-1# edit system service
Juniper SRX防火墙巡检命令
Juniper SRX防火墙巡检命令 1. CPU利用率核查show chassis routing-engine 2. MEM利用率核查show chassis routing-engine 3. OSPF邻居关系核查show ospf neighbor 4. LDP端口状态检查show ldp interface 5. ISIS邻居关系检查show isis adjacency 6. BGP邻居关系检查show bgp neighbor 7. HSRP信息检查show vrrp extensive 8. 生成树STP信息检查 9. 电源状态核查show chassis environment pem 10. 风扇状态核查show chassis environment 11. 单板告警核查show chassis alarms 12. 单板状态核查show chassis fpc/show chassis fpc pic-status 13. 单板温度核查show chassis fpc/show chassis fpc pic-status 14. 单板固件版本信息检查show chassis fpc detail 15. 接口配置核查show configuration interfaces 16. 接口描述规范性核查show interface descriptions 17. AAA认证检查show configuration system 18. 引擎板冗余状态检查show configuration chassis redundancy 19. NTP状态核查show ntp associations 20. SYSLOG配置指向检查show configuration system syslog 21. TRAP配置指向检查
juniper配置命令大全中英文对照版
#---表示翻译不一定准确 *---表示常用命令 >get ? Address show address book显示地址信息 admin show admin information 显示管理员信息 alarm show alarm info 显示报警信息 alg application layer gateway information 应用层网关信息 alg-portnum get ALG port num 获得ALG接口号码 alias get alias definitions 得到别名定义 arp show ARP entries 显示ARP记录 asp asp attack show attacks 显示攻击信息 auth show authentication information 显示登陆信息认证信息 auth-server authentication server settings 认证服务器设置 backu4p backup information 备份信息 chassis show chassis information 显示机架信息(机架温度….) clock show system clock 显示系统时钟 config show system configuration 显示系统配置信息 console show console parameters 显示控制台参数设置 counter show counters 显示计数器仪表 di get deep inspection parameters 深入检测参数 dialer get dialer information 得到拨号器信息 dip show all dips in a vsys or root 显示所有dip里的虚拟系统或者根dip-in show incoming dip table info 显示进入DIP表的信息 dns show dns info 显示DNS信息 domain show domain name 显示域名 dot1x display global configuration 显示全局配置 driver show driver info 显示驱动信息 envar show environment variables 显示环境变量信息 event show event messages 显示事件消息 file show file information 显示文件信息 firewall show firewall protection information 显示防火墙保护信息 gate show gate info 阀门信息显示 global-pro global-pro settings 全局设置 # group show groups 显示组信息 group-expression group expressions details 组的表达方式详细信息 hostname show host name 显示主机名 igmp IGMP ike get IKE info 得到密钥信息 infranet Infranet Controller configuration Infranet控制器配置interface show interfaces 显示接口信息 ip get ip parameters 获得IP参数 ip-classification Show IP classification 显示IP分类 ippool get ippool info 得到IP地址池信息 ipsec get ipsec information 得到安全协议的信息 irdp show IRDP status 显示IRDP的状态地位 l2tp get l2tp information 得到L2TP的信息 license-key get license key info 得到许可证密钥信息 log show log info 显示日志信息 mac-learn show mac learning table 透明模式下显示MAC地址信息
Juniper SRX防火墙配置手册-命令行模式
Juniper SRX防火墙简明配置手册
目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (4) 1.3 SRX主要配置内容 (5) 二、SRX防火墙配置对照说明 (6) 2.1 初始安装 (6) 2.1.1 登陆 (6) 2.1.2 设置root用户口令 (6) 2.1.3 设置远程登陆管理用户 (7) 2.1.4 远程管理SRX相关配置 (7) 2.2 Policy (8) 2.3 NAT (8) 2.3.1 Interface based NAT (9) 2.3.2 Pool based Source NAT (10) 2.3.3 Pool base destination NAT (11) 2.3.4 Pool base Static NAT (12) 2.4 IPSEC VPN (13) 2.5 Application and ALG (15) 2.6 JSRP (15) 三、SRX防火墙常规操作与维护 (19) 3.1 设备关机 (19) 3.2设备重启 (20) 3.3操作系统升级 (20) 3.4密码恢复 (21) 3.5常用监控维护命令 (22)
Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。
Juniper防火墙日常维护手册
防火墙维护手册
目录 1.日常维护内容................................................................ 错误!未指定书签。 1.1.配置主机名................................................................ 错误!未指定书签。 1.2.接口配置.................................................................... 错误!未指定书签。 1.3.路由配置.................................................................... 错误!未指定书签。 1.4.高可用性配置(双机配置).................................... 错误!未指定书签。 1.5.配置(通过图形界面配置).................................... 错误!未指定书签。 1.6.配置访问策略(通过图形界面配置).................... 错误!未指定书签。 2.的管理............................................................................ 错误!未指定书签。 2.1.访问方式.................................................................... 错误!未指定书签。 2.2.用户............................................................................ 错误!未指定书签。 2.3.日志............................................................................ 错误!未指定书签。 2.4.性能............................................................................ 错误!未指定书签。 2.5.其他常用维护命令.................................................... 错误!未指定书签。 3.其他的配置.................................................................... 错误!未指定书签。
juniper防火墙详细配置手册
juniper防火墙详细配置手册
Juniper防火墙简明实用手册 (版本号:V1.0)
目录 1juniper中文参考手册重点章节导读 (4) 1.1第二卷:基本原理 4 1.1.1第一章:ScreenOS 体系结构 4 1.1.2第二章:路由表和静态路由 4 1.1.3第三章:区段 4 1.1.4第四章:接口 4 1.1.5第五章:接口模式 5 1.1.6第六章:为策略构建块 5 1.1.7第七章:策略 5 1.1.8第八章:地址转换 5 1.1.9第十一章:系统参数 6 1.2第三卷:管理 6 1.2.1第一章:管理 6 1.2.2监控NetScreen 设备 6 1.3第八卷:高可用性
6 1.3.1...................................................... NSRP 6 1.3.2故障切换 7 2Juniper防火墙初始化配置和操纵 (8) 3查看系统概要信息 (9) 4主菜单常用配置选项导航 (10) 5Configration配置菜单 (11) 5.1Date/Time:日期和时间 11 5.2Update更新系统镜像和配置文件 12 5.2.1更新ScreenOS系统镜像 12 5.2.2更新config file配置文件 13 5.3Admin管理 15 5.3.1Administrators管理员账户管理 15 5.3.2Permitted IPs:允许哪些主机可以对防火墙进行管理 16 6Networks配置菜单 (17) 6.1Zone安全区 17 6.2Interfaces接口配置 19 6.2.1查看接口状态的概要信息 19