juniper防火墙配置手册,juniper防火墙命令大全中文
juniper路由器具体怎么设置,详细的来
Juniper SSG-5(NS-5GT)防火墙配置手册
初始化设置 2
Internet网络设置 6
一般策略设置 15
VPN连接设置 27
初始化设置
1.将防火墙设备通电,连接网线从防火墙e0\2口连接到电脑网卡。
2.电脑本地连接设置静态IP地址,IP地址192.168.1.2(在192.168.1.0/24都可以),子网掩码255.255.255.0,默认网关192.168.1.1,如下图:
3.设置好IP地址后,测试连通,在命令行ping 192.168.1.1,如下图:
4.从IE浏览器登陆防火墙web页面,在地址栏输入192.168.1.1,如下图向导选择最下面No, skip——,然后点击下面的Next:
5.在登录页面输入用户名,密码,初始均为netscreen,如下图:
6.登陆到web管理页面,选择Configuration – Date/Time,然后点击中间右上角Sync Clock With Client选项,如下图:
7.选择Interfaces – List,在页面中间点击bgroup0最右侧的Edit,如下图:
8.此端口为Trust类型端口,建议IP设置选择Static IP,IP Address输入规划好的本地内网IP地址,如192.168.22.1/24,Manage IP 192.168.22.1。之后勾选Web UI,Telnet,SSH,SNMP,SSL,Ping。如下图:
Internet网络设置
1.修改本地IP地址为本地内网IP地址,如下图:
2.从IE浏览器打开防火墙web页面,输入用户名密码登陆,如下图:
3.选择Interfaces – List,点击页面中ethernet0/0最右侧的Edit选项,如下图:
4.此端口为Untrust类型端口,设置IP地址有以下三种方法:(根据ISP提供的网络服务类型选择)
A.第一种设置IP地址是通过DHCP端获取IP地址,如下图:
B.第二种设置IP地址的方法是通过PPPoE拨号连接获取IP,如下图,然后选择Create new pppoe setting,
在如下图输入本地ADSL pppoe拨号账号,PPPoE Instance输入名称,Bound to Interface选择ethernet0/0,Username和Password输入ADSL账号密码,之后OK,如下图:
PPPoE拨号设置完毕之后,点击Connect,如下图:
回到Interface – List,可以看到此拨号连接的连接状态,如下图:ethernet0/0右侧PPPoE一栏有一个红叉,表示此连接已经设置但未连接成功,如连接成功会显示绿勾。
C.第三种设置IP地址方法是设置固定IP地址,如下图:选择Static IP,输入IP地址和Manage IP:10.10.10.1/30,勾选Web UI,Telnet,SSH,然后点OK。
设置之后显示如下图:
设置静态IP地址之后,需要设置一个路由下一跳才能正常使用,选择Routing – Destination,点击右上角New,如下图:
IP Address/Newmask设置0.0.0.0/0,Next Hop选择Gateway,Interface选择ethernet0/0,Gateway IP Address输入ISP网关地址,此处例如为:10.10.10.2,如下图:
设置完路由如下图:
5.设置DNS服务器(如果是DHCP或PPPoE可能无需设置此项),选择Network – DNS – Host,在如下图可以输入主机名称和DNS服务器地址。
6.设置本地内网DHCP功能,选择Network – DHCP,如下图:点击bgroup0右侧的Edit
7.选择DHCP Server,其他默认即可,如下图:
8.设置之后显示如下图,还未分配地址池,
9.再选择Network – DHCP,点击Address,出现如下图,输入分配地址池:
10.设置完成之后如下图:
一般策略设置
1.首先可以指定IP地址,根据IP地址作策略,选择Policy – Policy Elements – Addresses – List,然后在中间页面选择Trust,然后点击New,如下图:
2.在Address Name为指定IP地址设置识别名称,然后在下面输入具体IP,如下图:
3.设置之后如下图:
4.再设置一个指定IP地址,如下图:
5.设置之后两个都可以显示出来,如下图:
6.设置多个指定IP组,选择Policy – Policy Elements – Addresses – Groups,如下图:中间页面的Zone选择Trust,点击右侧的New。
7.为此IP组起识别名称,下面将需要加入组的IP添加到组里,点OK,如下图:
8.根据需求可以自定义服务,选择Policy – Policy Elements – Services – Customs,如下图:点击右侧New
9.输入此自定义服务的识别名称,然后下面可以选择服务类型和服务端口,如下图:
10.设置完之后如下图:
11.定制多个服务组,选择Policy – Policy Elements – Services – Groups,点击页面中间右侧的New,如下图:
12.为此定制服务组设置识别名称,将需要的服务添加进入,点击OK。
13.设置完成之后如下图:
14.策略设置,此处可以直接使用之前设置的指定IP地址(组),自定义服务(组)。选择Policy – Polices,如下图:选择From Untrust to Trust(可根据需要修改),点击右侧New,
15.如也可以设置From Trust to Untrust,如下图:
16.策略设置页面如下图,设置名称,选择源地址和目的地址,服务类型等,最后选择允许还是拒绝。
17.设置之后如下图:
18.也可以设置一个全拒绝的策略,如下图:
19.设置之后如下图:
20.可以点击ID为1的策略右侧的双箭头符号,出现脚本提示点确定,
21.这样可以把ID为1的策略放到下面,如下图策略含义为从Trust口到Untrust口的流量中,来自IT组的IP地址到任意目的地,服务类型属于CTG-APP中的流量允许通过,其他所有流量都拒绝。
22.可以为策略设置时间表,选择Policy – Schedules,如下图:点击New
23.输入时间表名称worktime,设置周期时间。
24.设置之后如下图:
VPN连接设置
设置VPN网络连接,根据具体情况有多种方法可选:
A.方法一,通讯双方端口均为静态IP地址,配置如下:
1.设置对端网关信息,和本地Local ID(可选),如下图:IP地址为对端公网IP,之后点击Advanced
2.Preshared Key输入一串共享密钥,对端需要设置同样密钥才可成功连接,其他默认即可,点击下面OK
3.设置双端IKE VPN端口认证,选择VPNs – AutoKey IKE,输入VPN名称,之后Predefined选择已经设置好的Gateway,之后点Advanced,里面设置logging即可,之后点OK。
4.设置完成之后显示如下图:
5.设置VPN连接策略,选择Policy – Polices,From Trust to Untrust,点击右侧New,之后在如下页面输入源地址,目的地址,服务类型,Action选择Tunnel,Tunnel VPN选择设置好的VPN IKE,下面勾选Modify matching bidirectional VPN policy,勾选Logging,勾选Position at Top,之后点Advanced
6.在下面勾选Counting,其他默认,点击OK,
7.设置完策略如下图:
B.方法二,通讯双方有一个端口为静态IP地址,另一个端口IP地址为动态。
1.如果本地IP为ADSL,IP地址会发生变化,则需要使用Local ID设置Gateway,选择VPNs – AutoKey Advanced – Gateway,输入对端公网IP地址,选择ACVPN-Dynamic,Local ID输入本地名称(如bj)
2.则对端设置Gateway时,需要如下图设置,不输入对端IP地址,选择Dynamic IP
Address,Peer ID输入对端Local ID(如bj)。之后步骤同方法一中的2-7步骤。
C.通过向导设置VPN连接
1.选择Wizards – Router-based,出现如下图向导页面,选择源端口和目的端口类型
2.选择Make new tunnel interface,选择ethernet0/0 (trust-vr),选择Next
3.选择LAN-to-LAN,如下图:
4.根据通讯双方端口类型,如静态,动态IP地址,选择下面类型,如Local Static IP – Remote Static IP
5.输入对端公网IP地址,如192.168.25.1
6.选择通道加密类型,之后下面输入通讯密钥,双方端口要求一致
7.选择或者输入源地址和目的地址
8.选择服务类型和策略双向通讯
9.根据需要可以设置带宽限制,默认为不做限制
10.根据需要是否选择定制好的Schedule应用到此VPN策略
11.向导设置完毕,明细如下表:
12.配置确认。点击Finish完成。
13.根据向导做完VPN策略后,可以在路由表中看到自动添加了一条路由,选择Network – Routing – Destination,Interface为tunnel 1,说明此为向导制作的VPN链路。
uniper防火墙如何配置
juniper防火墙安装
对于一个局域网络,它与外界的网络相互隔开就必须要用防火墙设备。具体的连接方式就是网猫接通防火墙,防火墙在接通路由器。当然如果路由器带有防火墙功能那就更简单了。
juniper防火墙准备
对于这个Juniper防火墙NAT以及路由模式配置,一般都是利用Web浏览器来进行相关的配置完成的。一般来讲要启动这个配置向导的话,一定要保证防火墙是出厂的状态。其相关的操作步骤如下:
第一步利用Web浏览器登录防火墙,相关的缺省管理参数是:①缺省IP:192.168.1.1/255.255.255.0;②缺省用户名/密码:netscreen/netscreen;
第二步防火墙配置与规划:对于这个防火墙一般是在网络Internet出口进行位置的。对于内网使用的IP就是192.168.1.0/255.255.255.0这个网段,对于内网计算机网关就是防火墙IP,也就是192.168.1.1;对于防火墙外网IP地址就是10.10.10.1/255.255.255.0,相应的网关是:10.10.10.251。
juniper防火墙如何配置
第一步就是利用IE浏览器登陆防火墙缺省IP。
第二步在其登录界面,可以执行配置向导,依照提示进行选择。
第三步利用向导配置这个防火墙,然后点击Next。
第四步点击欢迎使用配置向导后选择Next。
第五步打开页面进行用户名以及密码的修改。
第六步就是修改完防火墙登录用户名以及密码之后就需要选择防火墙设备的工作模式。如果选EnableNAT,那么相应的防火墙就是在NAT模式;相反的那么防火墙就在路由模式工作。
第七步在工作模式选择Trust-UntrustMode模式,它是应用最普遍的模式。
第八步选择完模式点击Next,并进行防火墙外网端口IP的配置。这个时候外网端口IP配置一共会有三个选项,它们就是DHCP自动获取IP地址;还有利用PPPoE拨号获得IP地址;以及手工设置静态IP地址,还有就是需要配置相应的子网掩码以及相关的网关IP地址。
第九步选择静态IP地址,并且配置相应的外网端口IP:10.10.10.1/255.255.255.0,其相应的网关为:10.10.10.251。
第十步就是配置完外网端口IP并点击Next,然后进行内网端口IP的配置。
第十一步完成相关的配置之后点Next进行DHCP服务器配置,然后点击完成。
Juniper防火墙基本命令
常用查看命令
Get int
查看接口配置信息
Get int ethx/x
查看指定接口配置信息
Get mip
查看映射ip关系
Get route 查看路由表
Get policy id x 查看指定策略
Get nsrp
查看nsrp信息,后可接参数查看具体vsd组、端口监控设置等
Get per cpu de 查看cpu利用率信息
Get per session de 查看每秒新建会话信息
Get session
查看当前会话信息,后可匹配源地址、源端口、目的地址、目的端口、协议等选项
Get session info 查看当前会话数量
Get system
查看系统信息,包括当前os版本,接口信息,设备运行时间等
Get chaiss
查看设备及板卡序列号,查看设备运行温度
Get counter stat 查看所有接口计数信息
Get counter stat ethx/x 查看指定接口计数信息
Get counter flow zone trust/untrust 查看指定区域数据流信息
Get counter screen zone untrust/trust 查看指定区域攻击防护统计信息
Get tech-support
查看设备状态命令集,一般在出现故障时,收集该信息寻求JTAC支持
如何通过Juniper防火墙设置网络连接
大概分以下几个步骤: 1.管理电脑:把用作配置设备的电脑配制成192.168.1.x/255.255.255.0的地址(192.168.1.1除外),用网线连接电脑以及设备的后四个接口(从左向右数)中任意一个,打开IE浏览器,输入,使用账号netscreen,口令netscreen登录,进入管理界面; 2.到network-interface中给外接口“untrust”配置IP地址,如果是ADSL拨号,则需要先到network-pppoe中设置一个pppoe拨号的实例,这个实例中只需填写adsl拨号的账号和口令即可,然后再到network-interface-untrust下去调用这个pppoe实例; 3.如果是出厂状态下的设备,只需做上面一步就行了,因为地址转换和策略都是默认就有的,路由会在adsl拨号成功后自动生成。上面设置完毕,将电脑和设备连接好,电脑IP配置为192.168.1.x,子网掩码255.255.255.0,默认网关192.168.1.1,DNS配置为当地ISP的DNS地址,即可实现上网了。 4.如果上面还搞不定,可以到我的博客上找些Juniper设置的资料: 可以到下面链接现在Juniper中文操作手册:
juniper 防火墙命令行配置详解
虚拟路由器,
防火墙是IP必须属于接口,接口必须属于一个zone,zone必须属于一个vroute,
默认都是在一个trust-vr里面,
说白了就是这三个zone里面的路由都是在trust-vr这个虚拟路由器里面,是一张大的路由表,
如果需要做负载均衡和多链路,就必须创建多个VR,也就是多张路由表。