Juniper防火墙新手教程(全本)

防火墙基本配置步骤
防火墙的基本配置分三个步骤：
1、配置接口的IP地址和接口模式。

2、配置默认路由！
3、配置允许策略，TRUST到UNTRUST的策略！
这个是接口栏的截图：单击EDIT即可进行编辑！这里需要编辑trust口和untrust口！
这是点击trust口的edit后进入的配置界面，您只要输入IP地址和掩码位即可！注意：Manage ip* 对应的空白框一定不要填入内容，截图里的是自动生成的！其他保持默认，单击下面的OK即可完成！
下图是点击untrust口的edit进入编辑，选择static ip ,填入IP地址和掩码位，这里的IP是公网IP地址，manage ip那依然保持空白，模式为route,然后在service options选项栏中，将web ui,telnet,ping；三处打勾，如图！
然后点击OK即可完成！
点击左栏的Destination选项即可出现路由界面：新建点击NEW即可！
下图为点击NEW后出现的画面：如图填入内容，ip address/netmask填入0.0.0.0/0,
Next hop处选择gateway，在interface 处的下拉菜单中选择出口，gateway ip address填入UNTRUST口IP地址的下一跳网关即可！其他默认单击OK完成！
trust,TO处选择untrust，然后点击NEW！
点击new后的配置界面，如图配置即可！source address,destination address,service三处都选择ANY，action选permit, 在logging处打勾，其他保持默认，点击OK即可！
下图为蓝影标出的这条策略就是如上图配置完成后看到的结果！。

Juniper防火墙新手教程10：Juniper 防火墙使用固定IP接入上网分类: Juniper学习作者: 刘苏平Juniper防火墙有多种上网接入方法：固定IP，DHCP自动获取IP，ADSL拨号。

这三种接入方式基本涵盖了目前所有的上网接入方法，是Juniper防火墙具有很强的网络适应能力。

首先介绍Juniper防火墙使用固定IP接入上网的配置方法进入防火墙的Web界面，设置接口地址Trust接口Network > Interfaces > Edit （对于Trust Interface）Zone Name: TrustStatic IP: IP Address/Netmask: 192.168.1.1/24 （内网IP，可以根据自己的需要修改，默认IP为192.168.1.1/24 ）Interface Mode: NAT默认的管理地址（Manage IP）与接口地址相同，但也可以更改，但管理地址必须与接口地址在同一网段中。

Untrust接口Network > Interfaces > Edit （对于Untrust Interface）Zone Name: UntrustStatic IP: IP Address/Netmask: 外网IP （输入接入商给的外网IP 及掩码地址）Interface Mode: Route设置路由只有对于使用固定IP地址线路接入方式，才需要设置默认路由。

其他两种接入方式，防火墙会自动添加默认路由的。

Network > Routing > Destination选择trust-vr，NewIP Address/Netmask: 0.0.0.0/0.0.0.0选择Gageway，Interface选择Untrust接口，Gateway IP Address填写接入商提供的网关IP。

设置策略部分低端的防火墙中默认有一条From Trust To Untrust，原地址为ANY，目标地址为ANY，服务为ANY的允许策略。

Juniper防火墙日常工作手册深圳市奥怡轩实业有限公司SZ Net Security Co., Ltd2010年01月目录1、ISG1000操作指南 (3)2、IC4000操作指南 (13)3、总结 (23)ISG1000操作指南一、ISG1000概述JUNIPER公司的ISG1000是全面集成的防火墙/VPN系统的高端网络设备，它是面向大型企业、数据中心和运营商网络的理想解决方案。

最多并发会话数：500000每秒新建会话数：20000最多安全策略数：1000如图（1）：二、ISG1000操作1、登陆方式一般有三种登陆方式：CONSOLE、HTTP、MGT，用得较多也比较方便的方式是HTTP方式，下面我们具体介绍HTTP登陆方式。

2、HTTP登陆方式设备出厂默认设置是192.168.1.1/24，用HTTP登陆如下图（2）：4、操作界面输入用户名和密码后我们经进入图（3）操作界面左边是主配置菜单。

右边最上方是系统启动以及时间信息，右上角显示主机名。

Device information：设备信息，显示设备硬软件版本、序列号以及主机名。

Interface link status：接口链路状态，显示接口所属区和链路UP/DOWN信息。

Resources Status：资源状况，显示系统CPU和内存使用率以及目前的会话和策略是系统满负荷的比例。

（其中注意内存使用率是不真实的，在系统空负荷的情况下内存占用率也会很高，是系统本身设计的问题）。

The most recent alarms：系统最近的报警信息The most recent events：系统最近的通告信息从这个界面我们可以看出防火墙的运行情况，并通过Resources Status：资源状况，可以计算出我们所需要的CPU使用率、内存使用率、对话连接数使用率。

5、主菜单配置在图3的左边是主菜单，分别由如下选项homeConfiguration：Date/Time；Update；Admin；Auth；Report SettingsNetwork：Zones；Interfaces；Routing；NSRPSecurityPolicy: PoliciesVPNSObjects：Addresses；ServicesReports： Systems LogWizardsHelp其实只要掌握Configuration、Network 、Policey、Reports这几个就能够应付我们日常的维护和管理了。

Juniper操作手册防火墙设备样式与接口简介：所选用Juniper设备正面为9个网口（AUX，CONSOLE，0/0，0/1，0/2，0/3，0/4，0/5，0/6）我们需要用到的网口主要为：0/0与0/1两者之一，0/2、0/3、0/4、0/5与0/6四者之一。

（注明：0/0与0/1为接外网网口，如：10.195.56.5；0/2、0/3、0/4、0/5与0/6为接内网网口，如：192.168.0.5）。

对防火墙进行初步配置：首先将防火墙通上电，设备约有一分钟的启动时间。

将外网网线接到口0/0或者0/1(本次配置选用0/1口)，将内网某一台PC与防火墙内网接口之一相连（本次配置选用0/2。

该PC主要用于来配置，可以是内网中任一PC）。

在内网PC上：首先通过运行进行测试，以确定防火墙已启动（Ping 命令成功即可, 若设备为出厂新设备，默认内网IP为：192.168.0.1.若已配置过，内网IP需资询相关技术人员。

），下图所示：确定设备与内网PC（即用于配置防火墙的PC）连接正常后。

打开IE，输入防火墙内网IP：192.168.0.1Admin Name: netscreen. Password: netscreen登陆成功界面如上图所示（IE主要分为左右两部分，配置之初，右侧参数可不必在意）：据网络要求，我们对防火墙配置主要分为六部分。

主要配置过程：一、内网、外网接口配置由路径Network>Interfaces(list)（所见参数部分说明：在下图所示界面上，主要操作包括内网_Trust、外网_Untrust接口配置。

此处需要注意Untrust所对应的接口：ethemet0/0或ethemet0/1 up。

）a)内网接口配置Trust对应内网，点击其对应的Edit，进入内网配置界面。

上图红线标示处需注意。

参数设置Zone Name : TrustStatic Ip:IP Adress/Netmask: 内网IP（通常设为内网网关地址）“/”后为子网掩码Manage IP 若无特殊要求，一般与“IP Adress/Netmask”相同Interface Mode : NATManagement Services(此项根据需要):推荐->WEB UI TELNET PING内网接口配置完成，OK 。

juniper防火墙详细配置手册Juniper防火墙简明实用手册（版本号：V1.0）目录1juniper中文参考手册重点章节导读 (4)1.1第二卷：基本原理41.1.1第一章：ScreenOS 体系结构41.1.2第二章：路由表和静态路由41.1.3第三章：区段41.1.4第四章：接口41.1.5第五章：接口模式51.1.6第六章：为策略构建块51.1.7第七章：策略51.1.8第八章：地址转换51.1.9第十一章：系统参数61.2第三卷：管理61.2.1第一章：管理61.2.2监控NetScreen 设备61.3第八卷：高可用性61.3.1...................................................... NSRP61.3.2故障切换72Juniper防火墙初始化配置和操纵 (8)3查看系统概要信息 (9)4主菜单常用配置选项导航 (10)5Configration配置菜单 (11)5.1Date/Time:日期和时间115.2Update更新系统镜像和配置文件125.2.1更新ScreenOS系统镜像125.2.2更新config file配置文件135.3Admin管理155.3.1Administrators管理员账户管理155.3.2Permitted IPs：允许哪些主机可以对防火墙进行管理166Networks配置菜单 (17)6.1Zone安全区176.2Interfaces接口配置196.2.1查看接口状态的概要信息196.2.2设置interface接口的基本信息196.2.3设置地址转换216.2.4设置接口Secondary IP地址256.3Routing路由设置266.3.1查看防火墙路由表设置266.3.2创建新的路由条目277Policy策略设置 (28)7.1查看目前策略设置287.2创建策略298对象Object设置 (31)9策略Policy报告Report (33)1juniper中文参考手册重点章节导读版本：Juniper防火墙5.0中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

JUNIPER 防火墙快速安装手册Juniper防火墙配置教程V1.0联强国际（香港）有限公司2011目录1、前言 (4)1.1、J UNIPER防火墙配置概述 (4)1.2、J UNIPER防火墙管理配置的基本信息 (4)1.3、J UNIPER防火墙的常用功能 (5)2、JUNIPER防火墙三种部署模式及基本配置 (6)2.1、NAT模式 (6)2.2、R OUTE-路由模式 (7)2.3、透明模式 (8)2.4、基于向导方式的NAT/R OUTE模式下的基本配置 (8)2.5、基于非向导方式的NAT/R OUTE模式下的基本配置 (17)2.5.1、NS-5GT NAT/Route模式下的基本配置 (18)2.5.2、NS-25-208 NAT/Route模式下的基本配置 (19)2.6、基于非向导方式的透明模式下的基本配置 (20)3、JUNIPER防火墙几种常用功能的配置 (21)3.1、MIP的配置 (21)3.1.1、使用Web浏览器方式配置MIP (22)3.1.2、使用命令行方式配置MIP (24)3.2、VIP的配置 (24)3.2.1、使用Web浏览器方式配置VIP (25)3.2.2、使用命令行方式配置VIP (26)3.3、DIP的配置 (27)3.3.1、使用Web浏览器方式配置DIP (27)3.3.2、使用命令行方式配置DIP (29)4、JUNIPER防火墙IPSEC VPN的配置 (29)4.1、站点间IPS EC VPN配置：STAIC IP-TO-STAIC IP (29)4.1.1、使用Web浏览器方式配置 (30)4.1.2、使用命令行方式配置 (34)4.2、站点间IPS EC VPN配置：STAIC IP-TO-DYNAMIC IP (36)4.2.1、使用Web浏览器方式配置 (37)4.2.1、使用命令行方式配置 (40)5、JUNIPER中低端防火墙的UTM功能配置 (42)5.1、防病毒功能的设置 (43)5.1.1、Scan Manager的设置 (43)5.1.2、Profile的设置 (44)5.1.3、防病毒profile在安全策略中的引用 (46)5.2、防垃圾邮件功能的设置 (48)5.2.1、Action 设置 (49)5.2.2、White List与Black List的设置 (49)5.2.3、防垃圾邮件功能的引用 (51)5.3、WEB/URL过滤功能的设置 (51)5.3.1、转发URL过滤请求到外置URL过滤服务器 (51)5.3.2、使用内置的URL过滤引擎进行URL过滤 (53)5.3.3、手动添加过滤项 (54)5.4、深层检测功能的设置 (58)5.4.1、设置DI攻击特征库自动更新 (58)5.4.2、深层检测（DI）的引用 (59)6、JUNIPER防火墙的HA（高可用性）配置 (61)6.1、使用W EB浏览器方式配置 (62)6.2、使用命令行方式配置 (64)7、JUNIPER防火墙一些实用工具 (65)7.1、防火墙配置文件的导出和导入 (65)7.1.1、配置文件的导出 (66)7.1.2、配置文件的导入 (66)7.2、防火墙软件（S CREEN OS）更新 (67)7.3、防火墙恢复密码及出厂配置的方法 (68)8、JUNIPER防火墙的一些概念 (68)关于本手册的使用：①本手册更多的从实际使用的角度去编写，如果涉及到的一些概念上的东西表述不够透彻、清晰，请使用者自行去找一些资料查证；②本手册在编写的过程中对需要使用者特别注的地方，都有“注”标识，请大家仔细阅读相关内容；对于粗体、红、蓝色标注的地方也需要多注意；③本着技术共享的原则，我们编写了该手册，希望对在销售、使用Juniper防火墙的相应技术人员有所帮助，大家在使用过程中有任何建议可反馈到：chuang_li@；jiajun_xiong@；④本手册归“联强国际（香港）有限公司”所有，严禁盗版。

Juniper防火墙新手教程13：Juniper 防火墙DHCP服务器配置
分类: Juniper学习作者: 刘苏平
Juniper防火墙集成了路由功能，自然是可以作为DHCP服务器的，Juniper防火墙可以自动为局域网中的主机分配IP地址、子网掩码、网关和DNS服务器地址。

下面介绍一下如何配置Juniper防火墙的DHCP服务器。

进入防火墙的Web界面，在Network > DHCP 页面中，如下图所示：
点击trust接口或子接口的编辑（Edit）按钮。

进入设置页面。

在编辑页面中，选择DHCP Server。

Server Mode: Enable
Lease: 1 day 0 hours 0 minutes （根据用户的需求，建议设为12小时）Gateway: 192.168.1.1 （填写相应的trust接口地址）
Netmask: 255.255.255.0 （填写相应的trust接口子网掩码）
DNS#1: xxx.xxx.xxx.xxx （根据不同的地区填写相应的DNS）
点击Advanced Options
DNS#2: xxx.xxx.xxx.xxx
可以根据自己的环境设置其他参数。

OK，退到上一级页面。

点击Addresses
点击New
可以填写一个动态的DHCP 地址池范围，局域网中的主机将自动获得这个地址池中的地址。

也可以根据主机的MAC地址，设置保留地址。

点击OK，保存退出。

经过上面几步Juniper防火墙的的DHCP就可以正常使用了。