juniper防火墙培训优质PPT.pptx
《juniper防火墙培训优质PPT.pptx》由会员分享,可在线阅读,更多相关《juniper防火墙培训优质PPT.pptx(188页珍藏版)》请在冰豆网上搜索。
出厂状态下,TrustZone的Interface的IP地址是192.168.1.1/24,开放了WebUI管理权限。
b.通过直通网线连接PC与防火墙的特定端口出厂状态下,连接防火墙TrustZone的端口。
c.将PC的网卡地址设置成与a.中接口的同一网段IP地址。
出厂状态下,将PC网卡地址设置为192.168.1.X/24。
d.在PC的网页浏览器中输入http:
/x.x.x.x,出现登录界面。
出厂状态下,输入http:
/192.168.1.1。
10,登录防火墙-LoginfromWebUIIII,如果初次配置防火墙(或者对其进行了恢复出厂值操作),当通过WebUI登录防火墙时,配置向导就会出现。
配置向导可以帮助不熟悉防火墙的用户对系统进行基本配置。
高级用户不建议使用该向导进行系统配置。
默认的用户名/密码都是netscreen。
11,登录防火墙-LoginfromWebUIIV,首页可以读到设备的序列号、OS版本、主机名、时间、运行时间等。
可以阅读到实时状态下的系统CPU、内存、会话数、策略数。
12,登录防火墙-LoginfromWebUIV,可以阅读到系统产生的警报。
可以阅读到系统产生的日志。
13,目标,登录防火墙基本系统配置基础概念基本网络设置,14,基本系统配置-ScreenOS升级,选中FirmwareUpdate项。
点击“浏览”按钮,在客户端文件目录下寻找ScreenOS升级文件。
点击“Apply”按钮,进行升级。
系统将跳出警告提示。
升级文件导入后,系统重启;
整个过程大概需要3分钟。
ConfigurationUpdateScreenOS/Keys,15,基本系统配置-配置文件管理,ConfigurationUpdateConfigFile,上传配置选中ReplaceCurrentConfiguration项。
点击“浏览”按钮,在客户端文件目录下寻找需要上传的配置文件,然后点击“Apply”进行上传,系统将弹出警告。
下载配置点击“SaveToFile”按钮,进行下载。
系统将提示你选择文件目录。
16,基本系统配置-管理员帐号管理,ConfigurationAdminAdministrators,Root管理员由系统定义,不能删除;
但可以修改其名称和密码。
Root管理员可以创建或删除本地管理员帐号。
本地管理员帐号分为Read-Only和Read-Write两种权限。
17,管理员帐号管理-创建新的系统管理员帐号,ConfigurationAdminAdministratorsConfiguration,18,管理员帐号管理-修改系统管理员帐号用户名/密码,ConfigurationAdminAdministratorsEdit,19,基本系统配置-配置PermittedIPs,可以通过设置Permitted-IPs来限制访问防火墙的源地址。
Permitted-IPs地址可以一个主机地址,也可以是一个网段。
ConfigurationAdminPermittedIPs,20,基本系统配置-系统管理设置,EnableWebManagementIdleTimeout用来设置Webui登录的空闲超时时限。
各种Port用来设置该种方式登录的端口;
建议在外网访问WEB的时候,修改默认端口。
ConfigurationAdminManagement,21,基本系统配置-系统时钟设置,ConfigurationDate/Time,最简捷的设置时间的方法是按“SyncClockWithClient”按钮。
系统将自身时钟与网管客户端的本地时钟作同步。
如果用户网络中有NTP服务器存在,也可在此页面设置。
22,基本系统配置-系统DNS设置,NetworkDNSHost,该处设置的DNS仅供防火墙本身对外进行访问时使用。
防火墙下联的客户端无法继承该处的DNS配置。
可以通过HostName项,改变防火墙的系统主机名称。
23,基本系统配置-LicenseKey管理,LicenseKey提供的功能:
CapacityLicenseKeyUTMSubscriptionLicenseKey扩展许可(extended)防病毒(Anti-Virus)高级许可(advanced)网页过滤(URLfiltering)入侵防御许可(IDP)防垃圾邮件(Anti-Spam)虚拟系统许可(VSYS)深层检测(DeepInspection/IPS,ConfigurationUpdateScreenOS/Keys,24,LicenseKey管理-CapacityLicenseKey管理,ConfigurationUpdateScreenOS/Keys,选中“LicenseKeyUpdate”,点击“浏览”按钮,在客户端文件目录中选择license文件;
再点击“Apply”按钮。
系统将弹出告警提示;
确认后,license被导入。
License所支持的功能在重启后才真正生效。
25,LicenseKey管理-UTMSubscriptionKey管理,ConfigurationUpdateScreenOS/Keys,点击“RetrieveSubscriptionsNow”按钮,主机将自动到Juniper数据中心下载相关许可。
下载成功与否的关键,是保证系统时间及DNS的正确设置。
26,基本系统配置-恢复出厂值/默认密码,密码丢失是无法恢复的只有通过恢复出厂默认配置的方法来重新获得管理权限原来配置的参数、证书等都将被删除两种办法恢复出厂默认配置在Console模式下,用设备的序列号作为用户名/密码进行登录。
成功后系统出现警告提示,将擦去现有配置,确认后系统开始恢复默认配置,随后重启。
整个过程约3分钟。
使用设备面板上的针孔(pinhole)按下按钮直到系统指示灯变成红色等待指示灯恢复到绿色再按前述步骤来一次系统进入初始化状态,27,基本系统配置-灾难恢复,当系统文件被破坏时,需要做灾难恢复表征:
无法通过Webui、Telnet等方法访问系统。
原因:
系统文件(ScreenOS)意外损坏或丢失。
恢复方法:
通过Console方式进入系统的Boot模式,通过TFTP的方式向系统FLASH上灌制可用的OS。
TFTP灌制ScreenOS的注意事项TFTP服务器必须与系统的SelfIP在同一子网TFTP服务器必须连接在:
系统的Trust区端口或系统的eth0/0、eth0/1、eth1端口或系统的管理端口,28,灾难恢复-恢复系统文件I,启动设备,当出现“Hitanykeytorunloader”时,按任意键进入boot模式。
在“BootFileName”栏填入系统OS的文件名。
在“SelfIPAddress”栏填入一个临时地址供TFTP通信使用。
在“TFTPIPAddress”栏填入TFTP服务器的地址,也就是PC的地址。
输入完毕后,按回车键开始通过TFTP传送系统OS到设备。
29,灾难恢复-恢复系统文件II,30,灾难恢复-恢复系统文件III,当出现“Savetoon-boardflashdisk?
”提示时,按“Y”键将OS存入FLASH。
当出现“Rundownloadsystemimage?
”提示时,按“Y”键运行新的OS。
31,灾难恢复-恢复系统文件IV,当出现“Thedevicesuccessfullycompletedtheoperation“,整个系统恢复的过程结束。
32,目标,登录防火墙基本系统配置基础概念基本网络设置,33,基础概念VirtualRouter/Zone/Interface,严格的逻辑层次结构安全区从属于虚拟路由器安全区默认都从属于trust-vr接口从属于安全区一个接口只能从属于一个安全区IP地址从属于接口,Int.,Zone,Zone,VirtualRouter,IP,虚拟路由器的路由表各自独立安全区之间的访问受策略控制接口是一个逻辑概念,它可以包含若干个物理端口,也可以不包括任何物理端口,34,虚拟路由器预定义:
trust-vr:
系统的defaultVR。
untrust-vr:
自定义:
在高端型号上,需要license支持方可使用,动态路由协议的全局配置在VR菜单下,基础概念VirtualRouter,NetworkRoutingVirtualRouters,35,安全区预定义:
Trust:
一般放置内网接口Untrust:
一般放置外网接口DMZ:
一般放置服务器接口用户自定义:
功能安全区Null:
放置未配置的接口MGT:
放置网管用接口HA:
SelfVLAN,基础概念SecurityZone,36,基础概念InterfaceI,接口逻辑接口:
subinterface、loopbackinterface、HAinterface、VSIinterface、etc.物理接口:
百兆铜缆、千兆铜缆、百兆光纤、千兆光纤、万兆光纤等,设备的可网管配置也在接口菜单完成当我们谈论的是设备的物理连接口的时候,使用的术语是Port(端口),37,基础概念SubInterface,Sub-IF的用途是在一个物理接口上承接来自某个或者多个VLAN的数据。
Sub-IF与其物理接口并无逻辑上的联系。
Eth0/0在TrustZone,eth0/0.1在DMZZone这种情况是允许的。
38,基础概念TunnelInterface,TunnelIF的用途是建立一个隧道接口供VPN使用;
GRE、IPSec。
TunnelIF可以选择使用一个额外的
升级会员 