系统安全配置技术规范_Juniper防火墙

防火墙基本配置步骤
防火墙的基本配置分三个步骤：
1、配置接口的IP地址和接口模式。

2、配置默认路由！
3、配置允许策略，TRUST到UNTRUST的策略！
这个是接口栏的截图：单击EDIT即可进行编辑！这里需要编辑trust口和untrust口！
这是点击trust口的edit后进入的配置界面，您只要输入IP地址和掩码位即可！注意：Manage ip* 对应的空白框一定不要填入内容，截图里的是自动生成的！其他保持默认，单击下面的OK即可完成！
下图是点击untrust口的edit进入编辑，选择static ip ,填入IP地址和掩码位，这里的IP是公网IP地址，manage ip那依然保持空白，模式为route,然后在service options选项栏中，将web ui,telnet,ping；三处打勾，如图！
然后点击OK即可完成！
点击左栏的Destination选项即可出现路由界面：新建点击NEW即可！
下图为点击NEW后出现的画面：如图填入内容，ip address/netmask填入0.0.0.0/0,
Next hop处选择gateway，在interface 处的下拉菜单中选择出口，gateway ip address填入UNTRUST口IP地址的下一跳网关即可！其他默认单击OK完成！
trust,TO处选择untrust，然后点击NEW！
点击new后的配置界面，如图配置即可！source address,destination address,service三处都选择ANY，action选permit, 在logging处打勾，其他保持默认，点击OK即可！
下图为蓝影标出的这条策略就是如上图配置完成后看到的结果！。

Juniper网络安全防火墙设备快速安装手册V1.02009-7目录第一章前言 (4)1.1、J UNIPER防火墙配置概述 (4)1.2、J UNIPER防火墙管理配置的基本信息 (4)1.3、J UNIPER防火墙的常用功能 (5)第二章软件操作 (5)2.1、防火墙配置文件的导出和导入 (5)2.1.1、配置文件的导出 (5)2.1.2、配置文件的导入 (6)2.2、防火墙软件（S CREEN OS）更新 (7)2.3、防火墙恢复密码及出厂配置的方法 (8)2.4、防火墙重启 (8)第三章 NS-5000系列（NS5200/NS5400） (9)3.1、NS-5000结构 (9)3.2、硬件组件故障检查 (10)3.3、设备组件更换 (11)第四章 JUNIPER防火墙部署模式及基本配置 (11)4.1、NAT模式 (11)4.2、R OUTE路由模式 (12)4.3、透明模式 (13)4.4、NAT/R OUTE模式下的基本配置 (14)4.4.1、NS-5200/5400 NAT/Route模式下的基本配置 (14)4.5、透明模式下的基本配置 (16)第五章 JUNIPER防火墙常用功能的配置 (17)5.1、MIP的配置 (17)5.1.1、使用Web浏览器方式配置MIP (18)5.1.2、使用命令行方式配置MIP (19)5.2、VIP的配置 (20)5.2.1、使用Web浏览器方式配置VIP (20)5.2.2、使用命令行方式配置VIP (21)5.3、DIP的配置 (21)5.3.1、使用Web浏览器方式配置DIP (22)5.3.2、使用命令行方式配置DIP (23)5.4、聚合接口（AGGREGATE）的配置 (24)第六章 JUNIPER防火墙双机的配置 (25)6.1、使用W EB浏览器方式配置 (25)6.2、使用命令行方式配置 (27)第七章 JUNIPER防火墙的维护命令 (28)7.1登录J UNIPER防火墙的方式 (28)7.2查看设备相关日志和工作状态 (29)7.3检查设备CPU的占有率 (37)7.3.1 原因分析 (37)7.3.2采取的措施 (37)7.4检查内存占有率 (38)7.4.1 原因分析 (38)7.4.2 采取的措施 (38)7.5双机异常 (38)7.5.1原因分析 (38)7.5.2采取的措施 (39)7.6故障处理工具 (39)7.6.1 Debug (40)7.6.2 Snoop (40)第八章JUNIPER防火墙的配置优化 (41)8.1ALG优化 (41)8.2防火墙数据包处理性能优化 (41)8.3日志优化 (41)8.4关闭双机会话同步 (42)第九章移动W AP网关配置案例 (42)附录、JUNIPER防火墙的一些概念 (51)第一章前言我们制作本安装手册的目的是使维护Juniper网络安全防火墙设备（在本安装手册中简称为“Juniper防火墙”）的NSN公司相关技术人员，可以通过此安装手册完成对Juniper防火墙基本功能的实现、应用和排错。

防火墙配置简介Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 1 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 2Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 3 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 4Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 5 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 6Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 7 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 8Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 9 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 10Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 11 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 12Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 13 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 14Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 15 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 16Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 17 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 18Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 19 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 20Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 21 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 22Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 23 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 24Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 25 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 26Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 27 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 28Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 29 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 30Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 31 Copyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 32Thank YouCopyright ©2004 Juniper Networks, Inc. Proprietary and Confidential 33。

juniper SRX系列防火墙高级安全设置Part2 security zone and interfaces创建安全zoneuser@host# set interfaces ge-0/0/1 unit 1 family inet address 10.12.12.1/24user@host# set security zones security-zone ABC interfaces ge-0/0/1.1配置接口的管理方式user@host# set security zones security-zone ABC interfaces ge-0/0/1.3host-inbound-traffic system-services ftpuser@host# set security zones security-zone ABC interfaces ge-0/0/1.3host-inbound-traffic system-services telnetuser@host# set security zones security-zone ABC interfaces ge-0/0/1.1host-inbound-traffic system-services snmp或者user@host# set security zones security-zone ABC interfaces ge-0/0/1.1host-inbound-traffic system-services alluser@host# set security zones security-zone ABC interfaces ge-0/0/1.1host-inbound-traffic system-services http exceptuser@host# set security zones security-zone ABC interfaces ge-0/0/1.3host-inbound-traffic system-services ftp except同时可以用protocol替换system-servicesAddress Books and Address Sets每一个安全zone包含一个address book。

【关键字】设置Juniper防火墙简明实用手册（版本号：V1.0）目录1juniper中文参考手册重点章节导读版本：Juniper防火墙5.0中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper 防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

1.1 第二卷：基本原理1.1.1第一章：ScreenOS 体系结构●安全区●安全区接口●策略1.1.2第二章：路由表和静态路由●配置静态路由1.1.3第三章：区段●安全区●配置安全区●功能区段：HA区段1.1.4第四章：接口●接口类型：安全区接口：物理●接口类型：安全区接口：功能区段接口●察看接口●配置安全区接口：将接口绑定到安全区、从安全区解除接口绑定、修改接口、跟踪IP地址●二级IP地址1.1.5第五章：接口模式●透明模式●NAT模式●路由模式1.1.6第六章：为策略构建块●地址：地址条目、地址组●服务：预定义的服务、定制服务●DIP池：端口地址转换、范例：创建带有PAT的DIP池、范例：修改DIP池、扩展接口和DIP●时间表1.1.7第七章：策略●三种类型的策略●策略定义●策略应用1.1.8第八章：地址转换●地址转换简介●源网络地址转换●目的网络地址转换●映射IP 地址●虚拟IP地址1.1.9第十一章：系统参数●下载/上传设置和固件●系统时钟1.2 第三卷：管理1.2.1第一章：管理●通过WEB 用户界面进行管理●通过命令行界面进行管理●管理的级别：根管理员、可读/ 写管理员、只读管理员、定义Admin用户●保证管理信息流的安全：更改端口号、更改Admin 登录名和密码、重置设备到出厂缺省设置、限制管理访问1.2.2监控NetScreen 设备●储存日志信息●事件日志●信息流日志●系统日志1.3 第八卷：高可用性1.3.1NSRP●NSRP 概述●NSRP 和NETSCREEN 的操作模式●NSRP集群●VSD组●同步1.3.2故障切换●设备故障切换(NSRP)●VSD 组故障切换(NSRP)●为设备或VSD 组故障切换配置对象监控2Juniper防火墙初始化配置和操纵对一台空配置的Juniper防火墙我们可以用两种方法去进行操纵：Console 控制台和WEB。

Netscreen 204防火墙/VPN NSRP(HA)冗余设置步骤目录一、网络拓扑结构图 (3)二、设置步骤 (3)三、命令行配置方式 (4)四、图形界面下的配置步骤 (8)设置前请先将在线主防火墙的配置备份一次，具体步骤请参考《维护文档》一、网络拓扑结构图二、设置步骤1、将两台防火墙的第四个端口连接在一起，我们设置将原有防火墙设置为主防火墙，新增加的防火墙为备份的防火墙，备份的防火墙只连接第四个端口，其他的端口将在防火墙配置完毕后才连接上2、使用终端线缆连接到防火墙的Console口，超级终端参数设置为9600-8-无-1-无。

三、命令行配置方式蓝色字体为在超级终端上输入的命令3.1、主防火墙配置，（移动公司在线使用的Netscreen-204防火墙）ns204>unset interface e4 ip将端口4的IP地址删除，ns204>set interface e4 zone ha将端口4和HA区域绑定一起配置NSRPns204->ns204->ns204-> get nsrp查看NSRP配置信息nsrp version: 2.0cluster info:cluster id not set: nsrp is inactive 默认的情况下NSRP没有击活VSD group info:init hold time: 5heartbeat lost threshold: 3heartbeat interval: 1000(ms)group priority preempt holddown inelig master PB other memberstotal number of vsd groups: 0Total iteration=3808,time=2721060,max=880,min=286,average=714RTO mirror info:run time object sync: disabledping session sync: enabledcoldstart sync donensrp link info:no nsrp link has been defined yetNSRP encryption: disabled--- more ---NSRP authentication: disabledNSRP monitor interface: nonenumber of gratuitous arps: 4 (default)track ip: disabledns204-> set nsrp cluster id 1 设置cluster组号ns204(M)-> set nsrp vsd id 0 设置VSD的组号,这条命令可以不用输入，因为Netscreen防火墙的默认的虚拟安全数据库（VSD）的值是0。

Juniper防火墙的配置方法为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。

一、设备重启动：Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。

二、操作系统备份：日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。

三、操作系统恢复：当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统，命令行方式：save software from tftp x.x.x.x filename to flash，或通过web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。

四、配置文件备份：日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种：1、启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。

2、通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config配置信息记录到本地。

3、通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。

五、配置文件恢复：防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种：1、启动tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。

Juniper防火墙简单配置说明Netscreen-25从左向右依次为Trust Interface、DMZ Interface、Untrust Interface、Null。

其中Trust Interface相当于HUB口，下行连接内部网络设备。

Untrust Interface相当于主机口，上行连接上公网的路由器等外部网关设备；两端口速率自适应（10M/100M）。

DMZ Interface、 Null介绍从略。

下文仅简单地以马可尼网管服务器和南瑞通信综合网管系统中一台前置机通信为例。

南瑞综合网管系统前置机地址为192.168.1.4，马可尼传输网管地址为192.168.0.32。

配置完成后，实现马可尼网管只能与192.168.1.4前置机通信，其他192.168.1.X机器都无法访问马可尼网管。

配置前的准备1.先更改控制终端(如果用自己笔记本调试自己笔记本就是控制终端)的IP地址为192.168.1.X，子网255.255.255.0控制终端通过直通网线与Trust Interface相连（也就是第一个口），用IE登录设备主页（最好用IE，其他浏览器可能会出现不兼容的状况）。

在地址栏里输入192.168.1.1。

出现下图：跳跃过初始化防火墙步骤. 选择第三行,点击next.输入缺省登陆帐号: netscreen 密码:netscreen登陆后出现主页面展开左边资源树，单击Interface后，出现下图界面。

首先配置ethernet1口（即第一个口）的IP和子网掩码。

单击上图ethernet1行中的Edit，出现下图：Netscreen-25防火墙默认第一个口为Trust区，即信任区。

选择Static IP输入ethernet1端口的配置地址192.168.1.243/24后点击Apply 后单击OK。

如果不点击OK，设备重启配置则无效。

用同样方法配置第三个口Untrust区，即非信任区。

设置IP为192.168.0.243/24设置完成后点击OK，保存设置。