juniper防火墙培训优质PPT.pptx

1、出厂状态下，Trust Zone的Interface的IP地址是192.168.1.1/24，开放了WebUI管理权限。b.通过直通网线连接PC与防火墙的特定端口 出厂状态下，连接防火墙Trust Zone的端口。c.将PC的网卡地址设置成与a.中接口的同一网段IP地址。出厂状态下，将PC网卡地址设置为192.168.1.X/24。d.在PC的网页浏览器中输入http:/x.x.x.x,出现登录界面。出厂状态下，输入http:/192.168.1.1。,10,登录防火墙-Log in from WebUI III,如果初次配置防火墙（或者对其进行了恢复出厂值操作），当通过WebUI登录防火墙时

2、，配置向导就会出现。配置向导可以帮助不熟悉防火墙的用户对系统进行基本配置。高级用户不建议使用该向导进行系统配置。,默认的用户名/密码都是netscreen。,11,登录防火墙-Log in from WebUI IV,首页可以读到设备的序列号、OS版本、主机名、时间、运行时间等。可以阅读到实时状态下的系统CPU、内存、会话数、策略数。,12,登录防火墙-Log in from WebUI V,可以阅读到系统产生的警报。可以阅读到系统产生的日志。,13,目标,登录防火墙基本系统配置基础概念基本网络设置,14,基本系统配置-ScreenOS升级,选中Firmware Update项。点击“浏览”按

3、钮，在客户端文件目录下寻找ScreenOS升级文件。点击“Apply”按钮，进行升级。系统将跳出警告提示。升级文件导入后，系统重启；整个过程大概需要3分钟。,Configuration Update ScreenOS/Keys,15,基本系统配置-配置文件管理,ConfigurationUpdateConfig File,上传配置选中Replace Current Configuration项。点击“浏览”按钮，在客户端文件目录下寻找需要上传的配置文件，然后点击“Apply”进行上传，系统将弹出警告。下载配置点击“Save To File”按钮，进行下载。系统将提示你选择文件目录。,16,基本

4、系统配置-管理员帐号管理,Configuration Admin Administrators,Root管理员由系统定义，不能删除；但可以修改其名称和密码。Root管理员可以创建或删除本地管理员帐号。本地管理员帐号分为Read-Only和Read-Write两种权限。,17,管理员帐号管理-创建新的系统管理员帐号,Configuration Admin Administrators Configuration,18,管理员帐号管理-修改系统管理员帐号用户名/密码,Configuration Admin Administrators Edit,19,基本系统配置-配置Permitted IPs,

5、可以通过设置Permitted-IPs来限制访问防火墙的源地址。Permitted-IPs地址可以一个主机地址，也可以是一个网段。,Configuration Admin Permitted IPs,20,基本系统配置-系统管理设置,Enable Web Management Idle Timeout 用来设置Webui登录的空闲超时时限。各种 Port用来设置该种方式登录的端口；建议在外网访问WEB的时候，修改默认端口。,Configuration Admin Management,21,基本系统配置-系统时钟设置,Configuration Date/Time,最简捷的设置时间的方法是按“

6、Sync Clock With Client”按钮。系统将自身时钟与网管客户端的本地时钟作同步。如果用户网络中有NTP服务器存在，也可在此页面设置。,22,基本系统配置-系统DNS设置,Network DNS Host,该处设置的DNS仅供防火墙本身对外进行访问时使用。防火墙下联的客户端无法继承该处的DNS配置。可以通过Host Name项，改变防火墙的系统主机名称。,23,基本系统配置-License Key管理,License Key提供的功能：Capacity License Key UTM Subscription License Key扩展许可（extended）防病毒（Anti-V

7、irus）高级许可（advanced）网页过滤（URL filtering）入侵防御许可（IDP）防垃圾邮件（Anti-Spam）虚拟系统许可（VSYS）深层检测（Deep Inspection/IPS,Configuration Update ScreenOS/Keys,24,License Key管理-Capacity License Key管理,Configuration Update ScreenOS/Keys,选中“License Key Update”，点击“浏览”按钮，在客户端文件目录中选择license文件；再点击“Apply”按钮。系统将弹出告警提示；确认后，license被

8、导入。License所支持的功能在重启后才真正生效。,25,License Key管理-UTM Subscription Key管理,Configuration Update ScreenOS/Keys,点击“Retrieve Subscriptions Now”按钮，主机将自动到Juniper数据中心下载相关许可。下载成功与否的关键，是保证系统时间及DNS的正确设置。,26,基本系统配置-恢复出厂值/默认密码,密码丢失是无法恢复的只有通过恢复出厂默认配置的方法来重新获得管理权限原来配置的参数、证书等都将被删除两种办法恢复出厂默认配置在Console模式下，用设备的序列号作为用户名/密码进行登

9、录。成功后系统出现警告提示，将擦去现有配置，确认后系统开始恢复默认配置，随后重启。整个过程约3分钟。使用设备面板上的针孔（pinhole）按下按钮直到系统指示灯变成红色等待指示灯恢复到绿色再按前述步骤来一次系统进入初始化状态,27,基本系统配置-灾难恢复,当系统文件被破坏时，需要做灾难恢复表征：无法通过Webui、Telnet等方法访问系统。原因：系统文件（ScreenOS）意外损坏或丢失。恢复方法：通过Console方式进入系统的Boot模式，通过TFTP的方式 向系统FLASH上灌制可用的OS。,TFTP灌制ScreenOS的注意事项 TFTP服务器必须与系统的Self IP在同一子网 T

10、FTP服务器必须连接在:系统的Trust区端口 或系统的eth0/0、eth0/1、eth1端口 或系统的管理端口,28,灾难恢复-恢复系统文件 I,启动设备，当出现“Hit any key to run loader”时，按任意键进入boot模式。在“Boot File Name”栏填入系统OS的文件名。在“Self IP Address”栏填入一个临时地址供TFTP通信使用。在“TFTP IP Address”栏填入TFTP服务器的地址，也就是PC的地址。输入完毕后，按回车键开始通过TFTP传送系统OS到设备。,29,灾难恢复-恢复系统文件 II,30,灾难恢复-恢复系统文件 III,当出

11、现“Save to on-board flash disk？”提示时，按“Y”键将OS存入FLASH。当出现“Run download system image？”提示时，按“Y”键运行新的OS。,31,灾难恢复-恢复系统文件 IV,当出现“The device successfully completed the operation“，整个系统恢复的过程结束。,32,目标,登录防火墙基本系统配置基础概念基本网络设置,33,基础概念Virtual Router/Zone/Interface,严格的逻辑层次结构安全区从属于虚拟路由器安全区默认都从属于trust-vr接口从属于安全区一个接口只能从

12、属于一个安全区IP地址从属于接口,Int.,Zone,Zone,Virtual Router,IP,虚拟路由器的路由表各自独立安全区之间的访问受策略控制接口是一个逻辑概念，它可以包含若干个物理端口，也可以不包括任何物理端口,34,虚拟路由器预定义:trust-vr:系统的default VR。untrust-vr:自定义:在高端型号上，需要license支持方可使用,动态路由协议的全局配置在VR菜单下,基础概念Virtual Router,NetworkRoutingVirtualRouters,35,安全区预定义:Trust:一般放置内网接口Untrust:一般放置外网接口 DMZ:一般放置

13、服务器接口用户自定义：,功能安全区Null：放置未配置的接口MGT：放置网管用接口HA：SelfVLAN,基础概念Security Zone,36,基础概念Interface I,接口逻辑接口:sub interface、loopback interface、HA interface、VSI interface、etc.物理接口：百兆铜缆、千兆铜缆、百兆光纤、千兆光纤、万兆光纤等,设备的可网管配置也在接口菜单完成当我们谈论的是设备的物理连接口的时候，使用的术语是Port（端口）,37,基础概念Sub Interface,Sub-IF的用途是在一个物理接口上承接来自某个或者多个VLAN的数据。Sub-IF与其物理接口并无逻辑上的联系。Eth0/0在Trust Zone，eth0/0.1在DMZ Zone这种情况是允许的。,38,基础概念 Tunnel Interface,Tunnel IF的用途是建立一个隧道接口供VPN使用；GRE、IPSec。Tunnel IF可以选择使用一个额外的