Juniper防火墙日常维护手册.docx
《Juniper防火墙日常维护手册.docx》由会员分享,可在线阅读,更多相关《Juniper防火墙日常维护手册.docx(20页珍藏版)》请在冰豆网上搜索。
![Juniper防火墙日常维护手册.docx](https://file1.bdocx.com/fileroot1/2022-10/8/0bb96440-1651-4ea6-aad5-6a6ac7c15aff/0bb96440-1651-4ea6-aad5-6a6ac7c15aff1.gif)
Juniper防火墙日常维护手册
Juniper防火墙维护手册
1.日常维护内容
1.1.配置主机名
NetScreen防火墙出厂配置的机器名为netscreen,为了便于区分设备和维护,在对防火墙进行配置前先对防火墙进行命名:
Netscreen->sethostnameFW-1-M
FW-1-M>
1.2.接口配置
配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。
接口的管理IP及接口IP在同一网段,用于专门对接口进行管理时用。
在双机的工作状态下,因为接口的地址只存在于主防火墙上,如果不配置管理IP,则不能对备用防火墙进行登录了。
一般在单机时,不需要配置接口的管理IP,但在双机时,建议对trust区域的接口配置管理IP。
接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。
注意:
接口的工作模式可以工作在路由模式,NAT模式和透明模式。
在产品线应用中,透明模式很少用,而NAT模式只有在trust到untrust的数据流才起作用,建议把防火墙的所有接口都配置成route的工作模式,用命令setinterface接口名route配置即可,缺省情况下需要在trust区段中的接口使用此命令。
本例子中,配置接口ethernet2属于Untrust区,IP地址为202.38.12.23/28,如设置管理方式是Http,命令如下:
Ns204->setinterfaceethernet1zoneTrust
Ns204->setinterfaceethernet1ip10.243.194.194/29
Ns204->setinterfaceethernet1nat
Ns204->setinterfaceethernet1zoneUntrust
Ns204->setinterfaceethernet2ip202.38.12.23/28
Ns204->setinterfaceethernet1nat
选择接口后按Edit键后进入以下页面进行配置接口特性:
透明模式只需要将防火墙的接口配置为V1-Untrust或V1-Trust等二层的区段,不需要配置接口的IP,设置的命令如下:
FW-1-M->setinterfaceethernet1/1zoneV1-Unrust
FW-1-M->setinterfaceethernet1/2zoneV1-Trust
1.3.路由配置
NetScreen防火墙有路由功能,缺省情况下,内部有Untrust-vr和Trust-vr两个路由器,为了能及外部通讯,需要在这两个虚拟路由器上配置路由。
如果untrust-vr没有使用的话,不需要在untrust-vr上配置路由。
一般应用中,配置静态路由即可满足要求。
配置静态路由时,需要配置目的网络、下一跳及出去的接口。
透明模式的防火墙不需要设置路由信息。
本例中,在trust-vr上配置默认的路由下一跳通过Untrust接口指向网关202.38.12.17
Ns204->setroute0.0.0.0/0interfaceethernet2gateway211.136.202.9
用WebUI的方式配置接口,菜单:
Network->routing->routingentries
按New按钮可以配置一个新的路由:
1.4.高可用性配置(双机配置)
NetScreen双机的基本配置步骤:
1、检查双机的版本是否一致,原则上两台防火墙的版本要求相同。
如果版本不同,建议升级到相同的版本。
防火墙版本的检查命令:
FW-1-M->getsystem
ProductName:
NetScreen-ISG1000
SerialNumber:
0136,ControlNumber:
00000000
HardwareVersion:
3010(0)-(04),FPGAchecksum:
00000000,VLAN1IP(0.0.0.0)
SoftwareVersion:
5.3.0r7.0,Type:
Firewall+VPN
2、连接HA线,把接口划分到HA区段中。
HA线是防火墙的心跳线,ISG1000没有专门的HA接口,必须设置接口来并划分到HA区段中。
如果心跳线采用光纤则只需要设置一个HA口和一根心跳线,如果采用双绞线作为心跳线,则需要设置两个HA口和两条双胶线,HA接口之间采用交叉线相连接。
本例将Eth1/3及eth1/4设置为HA接口:
FW-1-M->setinterface"ethernet1/3"zone"HA"
FW-1-M->setinterface"ethernet1/4"zone"HA"
3、配置clusterID号
防火墙双机也叫cluster,同一个双机的cluster号应相同。
在两台防火墙上都用命令配置成同一个cluster:
GM-Web(M)->setnsrpclusterid1
则两台防火墙一台会变成FW-1-M(M),另一台会变成FW-1-B(B),(M)表示主用,(B)表示备用,(I)表示初始化。
注意:
在(I)状态下,防火墙是不能正常工作的,出现此状态时一定要注意。
用WebUI方式配置双机的clusterID,菜单:
Network->NSRP->Cluster
4、配置VSD组及优先级
虚拟安全设备VSD组用于防火墙工作在active/active方式下,缺省情况下两台NetScreen防火墙都属于VSD组0,可以设置VSD组的优先级,优先级数值越小,则越优先。
FW-1-M(M)->setnsrpvsd-groupid0priority50
用WebUI的方式配置VSD组的优先级,菜单:
Network->NSRP->VSDGroup,选择New或Edit菜单则可。
5、配置双机同步
配置成双机后,把在防火墙上新增加的配置会自动同步到另一台防火墙上:
注意:
在配置成双机前的防火墙上的配置不会主动同步到另一台机器上;如果在防火墙1上做配置时,防火墙2是down的,则此时在防火墙1上做的配置,是不会主动同步到另一台防火墙上的。
如果要同步这些异常情况下的配置,则需要在备机上运行相应的命令。
配置RTO,RTO相当于防火墙上的连接信息,在两台防火墙上分别配置:
FW-1-M(M)->setnsrprto-mirrorsyc
FW-1-B(B)->setnsrprto-mirrorsyc
用WebUI的方式配置同步,菜单:
Network->NSRP->Synchronization
1.5.配置MIP(通过图形界面配置)
1、命令行
Ns204(M)->setinterfaceeth0/2mip211.136.202.19host10.243.194.195netmask255.255.255.255
WebUI方式
选择菜单:
Network->interfaces,选择eth0/2,按Edit按钮:
再选择MIP进入:
选择New选项,配置一个新的MIP:
1.6.配置访问策略(通过图形界面配置)
通过配置访问策略来控制通过防火墙的访问,
1、配置地址
配置地址的对象,可以是单个IP或一个网段。
选择Objects>Addresses>Configuration,再选择你配置源IP的安全区(或目的地址的安全区),
设置单个IP:
设置IP段:
2、配置访问Service
Netscreen防火墙中内置了许多的Service,如HTTP,FTP等,你可以在策略中直接选择需要访问的Service,如果你需要设置自定义的Service,可按如下步骤:
进入Objects>Services>Custom>Edit,本例设置的是7001端口(用于HTTP)
当然,你也可以配置地址的组,将你需要的地址放入组中,并在策略中引用组。
4、配置策略
本例配置从Untrust到Trust区允许Any访问172.16.1.122服务器的HTTP_7001服务,已定义172.16.1.122地址为WebServer。
进入Policies,选择源安全区Untrust到目的安全区Trust,并点击有上角New
6、配置MIP访问策略
步骤及上相同,本例是从Untrust访问MIP地址202.38.12.17。
2.NetScreen的管理
2.1.访问方式
NetScreen防火墙支持多种的管理方式:
WebUI、Telnet、console、ssh、NetScreen防火墙管理软件等。
常用的有console、WebUI和Telnet。
Console是通过直接的串口线连接防火墙,对防火墙进行管理和配置;telnet是通过终端仿真协议登录到防火墙上的可管理地址,对防火墙进行管理和配置;WebUI是通过IE或NetscapeCommunicator登录到防火墙的可管理地址,对防火墙进行管理和配置。
通过串口直接登录到防火墙时,超级终端的端口配置如下:
-----串行通讯9600bps
-----8位
-----无奇偶校验
-----1停止位
-----无信息流控制
Telnet或console登录后的命令行界面如下:
WebUI登录的界面如下:
注意:
如果要通过telnet或WebUI登录和管理防火墙,所登录的防火墙的接口需要打开telnet或WebUI的功能;如果防火墙的接口配置了管理IP,一般只能对接口的管理IP进行telnet或WebUI,而不能直接对接口IP地址进行telnet或WebUI(版本不支持)。
用命令行的方式检查接口是否打开telnet或WebUI功能的方式:
ns204->getintereth2
Interfaceethernet2:
descriptionethernet2
number5,if_info10280,if_index0,moderoute
linkup,phy-linkup/full-duplex
vsysRoot,zoneUntrust,vrtrust-vr
dhcpclientdisabled
PPPoEdisabled
adminmtu0,operatingmtu1500,defaultmtu1500
*ip211.136.202.10/30mac0014.f642.d475
*manageip211.136.202.10,mac0014.f642.d475
route-denydisable
pmtu-v4disabled
pingenabled,telnetenabled,SSHenabled,SNMPdisabled
webenabled,ident-resetdisabled,SSLdisabled
DNSProxydisabled,webauthdisabled,webauth-ip0.0.0.0
OSPFdisabledBGPdisabledRIPdisabledRIPngdisabledmtracedisabled
PIM:
notconfiguredIGMPnotconfigured
bandwidth:
physical100000kbps,configured