Juniper防火墙维护手册
精品文档
目录
1.
日常维护内容................................................. 4 1.1. 配置主机名 ................................................. 4 1.2. 接口配置 ................................................... 4 1.3. 路由配置 ................................................... 5 1.4. 高可用性配置(双机配置) ................................... 7 1.5. 配置MIP(通过图形界面配置) ............................... 9 1.6. 配置访问策略(通过图形界面配置) .......................... 11 2. NetScreen的管理 ............................................ 15
2.1. 访问方式 .................................................. 15 2.2. 用户 ...................................................... 18 2.3. 日志 ...................................................... 19 2.4. 性能 ...................................................... 20 2.5. 其他常用维护命令 .......................................... 22 3. 其他的配置.................................................. 22
。 3欢迎下载
精品文档
1. 日常维护内容
1.1. 配置主机名
NetScreen防火墙出厂配置的机器名为netscreen,为了便于区分设备和维护,在对防火墙进行配置前先对防火墙进行命名: Netscreen-> set hostname FW-1-M FW-1-M >
1.2. 接口配置
配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段,用于专门对接口进行管理时用。在双机的工作状态下,因为接口的地址只存在于主防火墙上,如果不配置管理IP,则不能对备用防火墙进行登录了。一般在单机时,不需要配置接口的管理IP,但在双机时,建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。
注意:接口的工作模式可以工作在路由模式,NAT模式和透明模式。在产品线应用中,透明模式很少用,而NAT模式只有在trust到untrust的数据流才起作用,建议把防火墙的所有接口都配置成route的工作模式,用命令
set interface接口
名 route配置即可,缺省情况下需要在trust区段中的接口使用此命令。 本例子中,配置接口ethernet2属于Untrust区,IP地址为202.38.12.23/28,如设置管理方式是Http,命令如下:
Ns204 -> set interface ethernet1 zone Trust
Ns204 -> set interface ethernet1 ip 10.243.194.194/29 Ns204 -> set interface ethernet1 nat
Ns204 -> set interface ethernet1 zone Untrust
Ns204 -> set interface ethernet2 ip 202.38.12.23/28 Ns204 -> set interface ethernet1 nat
。 4欢迎下载
精品文档
选择接口后按 Edit 键后进入以下页面进行配置接口特性:
透明模式只需要将防火墙的接口配置为V1-Untrust或V1-Trust等二层的区段,不需要配置接口的IP,设置的命令如下:
FW-1-M -> set interface ethernet1/1 zone V1-Unrust FW-1-M -> set interface ethernet1/2 zone V1-Trust
1.3. 路由配置
NetScreen防火墙有路由功能,缺省情况下,内部有Untrust-vr和Trust-vr两个路由器,为了能与外部通讯,需要在这两个虚拟路由器上配置路由。如果untrust-vr没有使用的话,不需要在untrust-vr上配置路由。一般应用中,配
。
5欢迎下载
精品文档
置静态路由即可满足要求。配置静态路由时,需要配置目的网络、下一跳及出去的接口。透明模式的防火墙不需要设置路由信息。
本例中,在trust-vr上配置默认的路由下一跳通过Untrust接口指向网关202.38.12.17
Ns204 -> set route 0.0.0.0/0 interface ethernet2 gateway 211.136.202.9 用WebUI的方式配置接口,菜单:Network->routing->routing entries
按New按钮可以配置一个新的路由:
。 6欢迎下载
Juniper防火墙日常维护手册
