Juniper日常操作手冊

Juniper防火墻平常工作手冊深圳市奧怡軒實業(yè)有限企業(yè)SZNetSecurityCo.,Ltd01月目錄ISG1000操作指南……………….3IC4000操作指南……………….13總結……………..23

ISG1000操作指南一、ISG1000概述JUNIPER企業(yè)的ISG1000是全面集成的防火墻/VPN系統(tǒng)的高端網(wǎng)絡設備，它是面向大型企業(yè)、數(shù)據(jù)中心和運行商網(wǎng)絡的理想處理方案。最多并發(fā)會話數(shù)：500000每秒新建會話數(shù)：0最多安全方略數(shù)：1000如圖（1）：二、ISG1000操作1、登陸方式一般有三種登陸方式：CONSOLE、HTTP、MGT，用得較多也比較以便的方式是HTTP方式，下面我們詳細簡介HTTP登陸方式。2、HTTP登陸方式設備出廠默認設置是/24，用HTTP登陸如下圖（2）：操作界面輸入顧客名和密碼后我們經(jīng)進入圖（3）操作界面左邊是主配置菜單。右邊最上方是系統(tǒng)啟動以及時間信息，右上角顯示主機名。Deviceinformation：設備信息，顯示設備硬軟件版本、序列號以及主機名。Interfacelinkstatus：接口鏈路狀態(tài)，顯示接口所屬區(qū)和鏈路UP/DOWN信息。ResourcesStatus：資源狀況，顯示系統(tǒng)CPU和內存使用率以及目前的會話和方略是系統(tǒng)滿負荷的比例。（其中注意內存使用率是不真實的，在系統(tǒng)空負荷的狀況下內存占用率也會很高，是系統(tǒng)自身設計的問題）。Themostrecentalarms：系統(tǒng)近來的報警信息Themostrecentevents：系統(tǒng)近來的通告信息從這個界面我們可以看出防火墻的運行狀況，并通過ResourcesStatus：資源狀況，可以計算出我們所需要的CPU使用率、內存使用率、對話連接數(shù)使用率。主菜單配置在圖3的左邊是主菜單，分別由如下選項homeConfiguration：Date/Time；Update；Admin；Auth；ReportSettingsNetwork：Zones；Interfaces；Routing；NSRPSecurityPolicy:PoliciesVPNSObjects：Addresses；ServicesReports：SystemsLogWizardsHelp其實只要掌握Configuration、Network、Policey、Reports這幾種就可以應付我們平常的維護和管理了。ConfigurationDate/Time日期和時間精確設置Juniper防火墻的時鐘重要是為了使LOG信息都帶有對的的時間以便于分析和排錯，設置時鐘重要有三種措施。用CLI命令行設置：setclockmm/dd/yyyyhh:mm:ss。用WEB界面使用和客戶端本機的時鐘同步：簡樸實用。用WEB界面配置NTP和NTP服務器的時鐘同步。Update更新系統(tǒng)鏡像和配置文獻更新ScreenOS系統(tǒng)鏡像，如圖（5）更新configfile配置文獻，如圖（6）在這個菜單中我們可以查看目前文本形式的配置文獻，把目前的配置文獻導出進行備份，以及替代和更新目前的配置。注意單項選擇框默認是點選在“MergetoCurrentConfigration”即和目前配置融合的位置，而我們一般是要完全替代目前的配置文獻的，因此一定要注意把單項選擇框點擊到“ReplaceCurrentConfigration”。當進行配置替代的之后系統(tǒng)會自動重起使新配置生效。Admin管理Administrator管理員賬號管理，如圖（7）只有用根ROOT顧客才可以創(chuàng)立管理員賬戶?？梢赃M行ROOT顧客賬戶顧客名和密碼的更改，但此賬戶不能被刪除。可以創(chuàng)立只讀賬戶和讀寫賬戶，其中讀寫賬戶可以對設備的大部分派置進行更改。Networks配置菜單Interfaces接口配置查看接口狀態(tài)的概要信息接口概要顯示接口的IP地址信息，所屬安全區(qū)，接口類型和鏈路的狀態(tài)。其中接口類型除非是防火墻使用透明模式，否則都會是Layer3三層的。詳細如下圖（8）所示設置interface接口的基本信息接口基本配置包括接口的IP地址掩碼，與否可以被管理，接口的模式以及接口的管理特性選項。詳細如圖（9）最上面的幾種鏈接是配置NAT地址轉換以及IP跟蹤等高級特性的。下面那個其中需要大家配置的地方是設置此物理接口屬于哪個安全區(qū)，從下拉框中點選，其他選項保持不變即可。StaitcIP選擇框是設置接口的IP地址和掩碼信息的，其中有一種Mangeable的選項，只有選中我們才可以通過WEB或TELNET登陸此地址進行管理。ManageIP框保持為空的時候系統(tǒng)會自動把實際IP作為管理IP自動加上。接口模式有路由模式和NAT模式：

NAT模式：從此接口進入從其他口流出的流量源地址都會做轉換，雖然我們在方略中不引用轉換地址池，源地址都會轉換為出站的接口地址。

路由模式：除非我們在方略定義中明確引用了轉換地址池，否則源地址都不會做轉換。

由于路由模式比NAT模式更靈活，因此我們一般都會用路由模式。ETH1口默認是NAT模式，一定要注意把其更改為Route路由模式。Serviceoptions服務選項：設置此接口與否容許被PING，WEB或TELNET等方式進行管理，默認狀況下ETH1（內網(wǎng)口）的都是打開的，而ETH4口(外網(wǎng)口)的WEB和TELNET管理選項是關閉的，也就是說假如我們想從外網(wǎng)登陸ETH4口的IP進行管理，必須把對應的WEB或TELNET選項點中。最終的配置框可以保持默認值。Policy方略設置查看目前方略設置可以選擇查看從某個源安全區(qū)到某個目的安全區(qū)的方略，也可以選擇從ALL到ALL來查看所有的方略。Service是系統(tǒng)預定義或我們自定義的服務端口號。Action動作是指方略是容許或拒絕，容許是一種對勾，拒絕是一種X，此外假如是綠色圖表闡明沒有做源地址轉換，藍色圖表闡明做了源地址轉換。在Option下假如有一種小記事本的圖表，闡明我們要記錄此數(shù)據(jù)流，當數(shù)據(jù)流通過時可以看到詳細的地址轉換狀況。生效：可以通過取消對勾讓本方略臨時失效。移動：可以調整方略查找的次序，方略的查找和匹配默認是從上到下，我們可以通過移動來控制方略生效的次序。創(chuàng)立方略源地址和目的地址假如此前曾經(jīng)設置過，可以用下拉菜單進行選擇，否則需要在NewAddress新地址欄進行輸入。假如地址曾經(jīng)輸入過，做方略時我們仍在NewAddress欄中進行輸入，點擊確定的時候系統(tǒng)會出現(xiàn)反復IP地址條目的提醒信息，但不影響方略的設置。入侵檢測的配置假如自己不是尤其理解應用的特性提議不要做任何配置，保持原有默認配置不變。在進行調試時提議打開LOG記錄，看與否有數(shù)據(jù)流通過及地址轉換狀況。假如要進行源或目的地址的轉換需要點擊高級選項進入二級配置菜單。源地址轉換點擊DIP下拉菜單后前面的選擇框會自動選中。目的地址轉換必須手工點擊選中前面的目的地址轉換的選擇框。Reports查看防火墻日志從上圖可以看到防火墻生成的日志，點擊SAVE按鈕可以保留日志。ISG1000防火墻就基本降到這里了，只要掌握了這些，基本的防火墻維護和管理就沒太大的問題了，假如要愈加深入研究的，大家可以找些資料來看，謝謝。

IC4000操作指南JuniperUAC統(tǒng)一訪問控制處理方案，采用了業(yè)界公認的原則（包括802.1x和TNC等），將顧客終端的身份標識、網(wǎng)絡標識和終端安全狀況進行集中的認證和授權，并且將顧客權限和方略自動的下發(fā)到網(wǎng)絡當中的執(zhí)行點（包括防火墻、互換機和無線接入點等）上，實現(xiàn)了統(tǒng)一的接入控制和訪問控制IC4000每臺設備支持最多3000個并發(fā)的顧客高可用性雙機集群一、IC4000操作1、HTTP登陸方式設備出廠默認設置是/24，用HTTP登陸如下圖（2）：2、操作界面輸入顧客名和密碼后我們經(jīng)進入圖（3）操作界面左邊是主配置菜單。右邊有兩個選項：Overview、ActiveUsersOverview：顯示設備的詳細信息SystemVersion：設備系統(tǒng)版本信息，點擊DownloadPackage選項可如下載當然系統(tǒng)版本文獻LastReboot：闡明設備到目前為止運行時間MemberStatus：闡明組組員設備運行狀況EnforceStatus：指連接的設備接口運行狀態(tài)SystemCapacityUtilization：系統(tǒng)容量運用率，這個設備包括了4種運用率，分別是Users(顧客數(shù))、HitsPerSecond（每秒點擊次數(shù)）、CPUandVirtual(Swap)MemoryUtilization（CPU和內存使用率）、Throughput（吞吐率）ActiveUsers：顯示目前認證顧客的狀況主菜單配置System：Configuration、Network、Clustaring、Log/MontoringAuthentication：SigningIn、EndpointSecurity、Auth.serverAdministrators：adminrealms、adminrolesUsers：usersrealms、usersrolesUac：…Maintenance：System、Inport/Export、Pushconfig其中我們只要掌握System、Authentication、Administrators、Maintenance這些就可以應付我們平常的故障處理和基本設備管理了。下面來詳細簡介這幾點。SystemConfiguration這個選項重要是加入設備的Lices如圖（4）Network重要對設備的顧客名、DNS、接口信息、路由、等信息進行設備，詳細見如圖（4）Clustaring重要設置組組員，也就是說備份組員，如圖（5）Log/Montoring重要是顯示日志信息，詳細如圖（6）AuthenticationAuth.server這個選項重要是新建我們的當?shù)卣J證顧客，如圖（7）點擊Auth.server——SystemLocal——USERS點擊News和Delete我們可以新建和刪除當?shù)卣J證顧客Usersusersrealms重要用來創(chuàng)立我們的顧客目錄，如圖（8）MaintenanceSystem這里則是構成組員的信息，在這里可以通過某些按鈕來對組組員進行重新啟動、ShutDown、備份配置文獻等。Inport/Export這里可認為系統(tǒng)配置文獻設備密碼，并且更換配置文獻，點擊UserAccounts則為顧客設置登陸密碼。以上就是IC4000基本的操作措施，寫得不是很詳細，假如