最新Juniper防火墙日常维护手册.doc

资源ID：35034567 资源大小：2.82MB 全文页数：59页
资源格式： DOC 下载积分：15金币

快捷下载

会员登录下载

微信登录下载

三方登录下载：

微信扫一扫登录

下载资源需要15金币

邮箱/手机：
温馨提示：	快捷下载时，用户名和密码都是您填写的邮箱或者手机号，方便查询和重复下载（系统自动生成）。如填写123，账号就是123，密码也是123。
支付方式：
验证码：	换一换

账号：
密码：
验证码：	换一换
当日自动登录忘记密码？

友情提示

1、下载资料失败解决办法

2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。

3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。

4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

5、试题试卷类文档，如果标题没有明确说明有答案则都视为没有答案，请知晓。

网站客服

侵权投诉

最新Juniper防火墙日常维护手册.doc

Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateJuniper防火墙日常维护手册中国移动通信集团广东有限公司UAP四期工程Juniper防火墙日常维护Juniper防火墙维护手册目录1.日常维护内容31.1.配置主机名31.2.接口配置41.3.路由配置51.4.高可用性配置（双机配置）61.5.配置MIP（通过图形界面配置）91.6.配置访问策略（通过图形界面配置）112.NetScreen的管理152.1.访问方式152.2.用户172.3.日志182.4.性能202.5.其他常用维护命令213.其他的配置211. 日常维护内容1.1. 配置主机名NetScreen防火墙出厂配置的机器名为netscreen，为了便于区分设备和维护，在对防火墙进行配置前先对防火墙进行命名：Netscreen-> set hostname FW-1-MFW-1-M >1.2. 接口配置配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段，用于专门对接口进行管理时用。在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理IP，则不能对备用防火墙进行登录了。一般在单机时，不需要配置接口的管理IP，但在双机时，建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。注意：接口的工作模式可以工作在路由模式，NAT模式和透明模式。在产品线应用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用，建议把防火墙的所有接口都配置成route的工作模式，用命令set interface接口名 route配置即可，缺省情况下需要在trust区段中的接口使用此命令。本例子中，配置接口ethernet2属于Untrust区，IP地址为202.38.12.23/28，如设置管理方式是Http，命令如下：Ns204 -> set interface ethernet1 zone TrustNs204 -> set interface ethernet1 ip 10.243.194.194/29Ns204 -> set interface ethernet1 natNs204 -> set interface ethernet1 zone UntrustNs204 -> set interface ethernet2 ip 202.38.12.23/28Ns204 -> set interface ethernet1 nat选择接口后按 Edit 键后进入以下页面进行配置接口特性：透明模式只需要将防火墙的接口配置为V1-Untrust或V1-Trust等二层的区段，不需要配置接口的IP，设置的命令如下：FW-1-M -> set interface ethernet1/1 zone V1-UnrustFW-1-M -> set interface ethernet1/2 zone V1-Trust1.3. 路由配置NetScreen防火墙有路由功能，缺省情况下，内部有Untrust-vr和Trust-vr两个路由器，为了能与外部通讯，需要在这两个虚拟路由器上配置路由。如果untrust-vr没有使用的话，不需要在untrust-vr上配置路由。一般应用中，配置静态路由即可满足要求。配置静态路由时，需要配置目的网络、下一跳及出去的接口。透明模式的防火墙不需要设置路由信息。本例中，在trust-vr上配置默认的路由下一跳通过Untrust接口指向网关202.38.12.17Ns204 -> set route 0.0.0.0/0 interface ethernet2 gateway 211.136.202.9用WebUI的方式配置接口，菜单：Network->routing->routing entries按New按钮可以配置一个新的路由：1.4. 高可用性配置（双机配置）NetScreen双机的基本配置步骤：1、检查双机的版本是否一致，原则上两台防火墙的版本要求相同。如果版本不同，建议升级到相同的版本。防火墙版本的检查命令：FW-1-M ->get systemProduct Name: NetScreen-ISG1000Serial Number: 0133102006000136, Control Number: 00000000Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)Software Version: 5.3.0r7.0, Type: Firewall+VPN2、连接HA线，把接口划分到HA 区段中。HA线是防火墙的心跳线，ISG1000没有专门的HA接口，必须设置接口来并划分到HA区段中。如果心跳线采用光纤则只需要设置一个HA口和一根心跳线，如果采用双绞线作为心跳线，则需要设置两个HA口和两条双胶线，HA接口之间采用交叉线相连接。本例将Eth1/3及eth1/4设置为HA接口：FW-1-M -> set interface "ethernet1/3" zone "HA"FW-1-M ->set interface "ethernet1/4" zone "HA"3、配置cluster ID号防火墙双机也叫cluster，同一个双机的cluster号应相同。在两台防火墙上都用命令配置成同一个cluster：GM-Web(M)->set nsrp cluster id 1则两台防火墙一台会变成FW-1-M (M)，另一台会变成FW-1-B (B)，(M)表示主用，(B)表示备用，（I）表示初始化。注意：在（I）状态下，防火墙是不能正常工作的，出现此状态时一定要注意。用WebUI方式配置双机的cluster ID，菜单：Network->NSRP->Cluster4、配置VSD组及优先级虚拟安全设备VSD组用于防火墙工作在active/active方式下，缺省情况下两台NetScreen防火墙都属于VSD组0，可以设置VSD组的优先级，优先级数值越小，则越优先。FW-1-M (M)-> set nsrp vsd-group id 0 priority 50用WebUI的方式配置VSD组的优先级，菜单：Network->NSRP->VSD Group，选择New或Edit菜单则可。5、配置双机同步配置成双机后，把在防火墙上新增加的配置会自动同步到另一台防火墙上：注意：在配置成双机前的防火墙上的配置不会主动同步到另一台机器上；如果在防火墙1上做配置时，防火墙2是down的，则此时在防火墙1上做的配置，是不会主动同步到另一台防火墙上的。如果要同步这些异常情况下的配置，则需要在备机上运行相应的命令。配置RTO，RTO相当于防火墙上的连接信息，在两台防火墙上分别配置：FW-1-M (M)-> set nsrp rto-mirror sycFW-1-B (B)-> set nsrp rto-mirror syc用WebUI的方式配置同步，菜单：Network->NSRP->Synchronization1.5. 配置MIP（通过图形界面配置）1、命令行Ns204 (M)-> set interface eth0/2 mip 211.136.202.19 host 10.243.194.195 netmask 255.255.255.255 WebUI方式选择菜单：Network->interfaces，选择eth0/2，按Edit按钮：再选择MIP进入：选择New选项，配置一个新的MIP：1.6. 配置访问策略（通过图形界面配置）通过配置访问策略来控制通过防火墙的访问，1、配置地址配置地址的对象，可以是单个IP或一个网段。选择Objects>Addresses>Configuration ，再选择你配置源IP的安全区（或目的地址的安全区），设置单个IP：设置IP段：2、配置访问ServiceNetscreen防火墙中内置了许多的Service，如HTTP，FTP等，你可以在策略中直接选择需要访问的Service，如果你需要设置自定义的Service，可按如下步骤：进入Objects>Services>Custom>Edit,本例设置的是7001端口（用于HTTP）当然，你也可以配置地址的组，将你需要的地址放入组中，并在策略中引用组。4、配置策略本例配置从Untrust到Trust区允许Any访问172.16.1.122服务器的HTTP_7001服务，已定义172.16.1.122地址为WebServer。进入Policies，选择源安全区Untrust到目的安全区Trust，并点击有上角New6、配置MIP访问策略步骤与上相同，本例是从Untrust访问MIP地址202.38.12.17。2. NetScreen的管理2.1. 访问方式NetScreen防火墙支持多种的管理方式：WebUI、Telnet、console、ssh、NetScreen防火墙管理软件等。常用的有console、WebUI和Telnet。Console是通过直接的串口线连接防火墙，对防火墙进行管理和配置；telnet是通过终端仿真协议登录到防火墙上的可管理地址，对防火墙进行管理和配置；WebUI是通过IE或Netscape Communicator登录到防火墙的可管理地址，对防火墙进行管理和配置。通过串口直接登录到防火墙时，超级终端的端口配置如下：-串行通讯9600bps-8位-无奇偶校验-1停止位-无信息流控制Telnet或console登录后的命令行界面如下：WebUI登录的界面如下：注意：如果要通过telnet或WebUI登录和管理防火墙，所登录的防火墙的接口需要打开telnet或WebUI的功能；如果防火墙的接口配置了管理IP，一般只能对接口的管理IP进行telnet或WebUI，而不能直接对接口IP地址进行telnet或WebUI(版本不支持)。用命令行的方式检查接口是否打开telnet或WebUI功能的方式：ns204-> get inter eth2Interface ethernet2: description ethernet2 number 5, if_info 10280, if_index 0, mode route link up, phy-link up/full-duplex vsys Root, zone Untrust, vr trust-vr dhcp client disabled PPPoE disabled admin mtu 0, operating mtu 1500, default mtu 1500 *ip 211.136.202.10/30 mac 0014.f642.d475 *manage ip 211.136.202.10, mac 0014.f642.d475 route-deny disable pmtu-v4 disabled ping enabled, telnet enabled, SSH enabled, SNMP disabled web enabled, ident-reset disabled, SSL disabled DNS Proxy disabled, webauth disabled, webauth-ip 0.0.0.0 OSPF disabled BGP disabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured bandwidth: physical 100000kbps, configured egress gbw 0kbps mbw 0kbps configured ingress mbw 0kbps, current bw 0kbps total allocated gbw 0kbps DHCP-Relay disabled DHCP-server disabledNumber of SW session: 128052, hw sess err cnt 0用WebUI的方式检查接口是否打开telnet或WebUI功能的方式：选择菜单：Network->interface选择对应接口的Edit菜单：2.2. 用户NetScreen 设备支持多个管理用户级别。这些级别的可用性取决于 NetScreen 设备的模式。NetScreen根管理员具有完全的管理权限。每个 NetScreen 设备只有一个根管理员。缺省情况下根管理员的用户名和密码为netscreen/netscreen。在进行防火墙配置时，务必先修改防火墙根用户的默认用户名和默认口令。用命令行的方式修改根用户的用户名和口令的命令：GM-Web(M)-> set admin user xxx password yyy其中xxx为根用户的用户名，yyy为根用户的密码。用WebUI的方式修改根用户名和密码的方式选择菜单：Configuration->Admin->Adminstrators：选择Edit按钮后可出现以下菜单，可以输入新的根用户和口令：注意：NetScreen防火墙在启用后，强烈建议修改缺省密码。同时在上线后，每次修改NetScreen防火墙的配置，都建议对配置作备份。因为NetScreen防火墙密码丢失后，恢复密码的操作会把防火墙所有的配置丢掉。2.3. 日志防火墙有各种日志，常用的有告警日志和事件日志，这些日志信息对于维护防火墙时是非常有用的。用命令行的方式查看告警日志的命令：SN-NS500-FW1(M)-> get alarm eventTotal event entries = 44Date Time Module Level Type Description2004-12-07 15:14:26 system crit 00015 Peer device 8319360 in the Virtual Security Device group 0 changed state from backup to primary backup.2004-12-07 15:14:25 system crit 00071 The local device 8318976 in the Virtual Security Device group (0) changed state from primary backup to master, missing master.用命令行的方式查看事件日志的命令：GM-Web(M)-> get eventTotal event entries = 41Date Time Module Level Type Description2007-01-01 12:27:44 system notif 00767 Alarm log was reviewed by admin netscreen.2007-01-01 12:21:13 system warn 00515 Admin user netscreen has logged on via Telnet from 172.16.1.119:26672007-01-01 12:21:13 system warn 00515 Login attempt to system by admin netscreen via Telnet from 172.16.1.119: 2667 has failed (Incorrect password)2007-01-01 12:21:08 system warn 00518 ADM: Local admin authentication failed for login name 'netscreen': invalid password通过WebUI方式查看告警日志和事件日志的方法：通过WebUI登录到防火墙上即可：2.4. 性能维护时检查防火墙的性能主要是查看防火墙CPU和Session的使用情况。通过命令行的方式查看防火墙的CPU使用情况：GM-Web(M)-> get performance cpuAverage System Utilization: 1%Last 1 minute: 2%, Last 5 minutes: 2%, Last 15 minutes: 2%GM-Web(M)-> get performance cpu detail Average System Utilization: 1%Last 60 seconds:59: 2 58: 2 57: 2 56: 2 55: 2 54: 2 53: 2 52: 2 51: 2 50: 2 49: 2 48: 2 47: 2 46: 2 45: 2 44: 2 43: 2 42: 2 41: 2 40: 2 39: 2 38: 2 37: 2 36: 2 35: 2 34: 2 33: 2 32: 2 31: 2 30: 2 29: 2 28: 2 27: 2 26: 2 25: 2 24: 2 23: 2 22: 2 21: 2 20: 2 19: 2 18: 2 17: 2 16: 2 15: 2 14: 2 13: 2 12: 2 11: 2 10: 2 9: 2 8: 2 7: 2 6: 2 5: 2 4: 2 3: 2 2: 2 1: 2 0: 2 Last 60 minutes:59: 2 58: 2 57: 2 56: 2 55: 2 54: 2 53: 2 52: 2 51: 2 50: 2 49: 2 48: 2 47: 2 46: 2 45: 2 44: 2 43: 2 42: 2 41: 2 40: 2 39: 2 38: 2 37: 2 36: 2 35: 2 34: 2 33: 2 32: 2 31: 2 30: 2通过命令行方式查看Session的使用情况：GM-Web(M)-> get sessionalloc 1/max 64064, alloc failed 0, mcast alloc 0, di alloc failed 0total reserved 0, free sessions in shared pool 64063id 64054/s*,vsys 0,flag 00000040/0080/0021,policy 320002,time 180, dip 0 module 0 if 6(nspflag 800601):172.16.1.119/2667->172.16.1.1/23,6,0015c5130cb2,sess token 4,vlan 0,tun 0,vsd 0,route 5 if 3(nspflag 0010):172.16.1.119/2667<-172.16.1.1/23,6,000000000000,sess token 8,vlan 0,tun 0,vsd 0,route 0Total 1 sessions shown上述表明现在防火墙有1个Session。通过WebUI的方式查看防火墙的cpu及session的使用情况：登录到WebUI首页：2.5. 其他常用维护命令NetScreen防火墙其他常用维护命令有：ü get tech-support：收集当前系统的运行状态信息，供远程支持人员或厂商进行故障分析；ü get system：查看当前防火墙的软件版本、硬件版本，接口的配置和状态的信息；ü get counter：查看各种计数器的统计值，后面需要加上相应的类型参数；ü get mip：查看防火墙的MIP地址映射；ü get policy：查看防火墙的策略信息；ü get route：查看防火墙的路由的信息；ü get arp：查看防火墙的arp信息；ü get clock：查看防火墙的时间。3. 其他的配置4.1、SNMP配置SNMP主要用于对网络设置进行监控和管理的协议，Netscreen防火墙的SNMP之策V1和V2C,你可以进入菜单Configuration>Report>SNMP>Community Edit4.2、Syslog配置可以通过设置来接收防火墙的Syslog，Syslog可以包括Event Log和TrafficLog，Syslog的设置进入菜单：Configuration>Report Settings>Syslog-

注意事项

本文（最新Juniper防火墙日常维护手册.doc）为本站会员（1595****071）主动上传，淘文阁 - 分享文档赚钱的网站仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知淘文阁 - 分享文档赚钱的网站（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。