Juniper SSG5防火墙安装配置指南
安全产品
SSG 5 硬件安装和配置指南
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089
USA
408-745-2000
https://www.360docs.net/doc/191857178.html,
编号: 530-015647-01-SC,修订本 02
Copyright Notice
Copyright ? 2006 Juniper Networks, Inc. All rights reserved.
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures:
Reorient or relocate the receiving antenna.
Increase the separation between the equipment and receiver.
Consult the dealer or an experienced radio/TV technician for help.
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
2
目录
关于本指南5
组织结构 (6)
WebUI 约定 (6)
CLI 约定 (7)
获取文档和技术支持 (7)
第 1 章硬件概述9
端口和电源连接器 (9)
前面板 (10)
系统状态 LED (10)
端口说明 (12)
以太网端口 (12)
控制台端口 (12)
AUX 端口 (13)
后面板 (13)
电源适配器 (13)
无线电收发器 (14)
接地片 (14)
天线类型 (14)
USB 端口 (14)
第 2 章安装和连接设备15
准备工作 (16)
安装设备 (16)
将接口电缆连接到设备 (17)
连接电源 (18)
将设备连接到网络 (18)
将设备连接到不可信网络 (18)
以太网端口 (19)
串行 (AUX/控制台) 端口 (19)
WAN 端口 (19)
将设备连接到内部网络或工作站 (20)
以太网端口 (20)
无线天线 (20)
目录 3
SSG 5 硬件安装和配置指南
第 3 章配置设备21
访问设备 (22)
使用控制台连接 (22)
使用 WebUI (23)
使用 Telnet (24)
缺省设备设置 (24)
基本设备配置 (26)
根 Admin 名称和密码 (26)
日期和时间 (27)
桥接组接口 (27)
管理存取 (28)
管理服务 (28)
主机名和域名 (28)
缺省路由 (29)
管理接口地址 (29)
备份 Untrust 接口配置 (29)
基本无线配置 (30)
WAN 配置 (33)
ISDN 接口 (33)
V.92 调制解调器接口 (34)
基本防火墙保护 (35)
验证外部连通性 (35)
将设备重置为出厂缺省值 (36)
第 4 章维护设备37
需要的工具和部件 (37)
升级内存 (37)
附录A规格41
物理 (41)
电气 (41)
环境忍耐力 (42)
证书 (42)
安全 (42)
EMC 辐射 (42)
EMC 抗扰度 (42)
ETSI (43)
连接器 (43)
附录B初始配置向导45
索引 (59)
4 目录
关于本指南
Juniper Networks 安全服务网关 (SSG)5 设备是一种集成路由器和防火墙平台,可
为分公司或零售渠道提供“互联网协议安全”(IPSec)、“虚拟专用网”(VPN) 和防
火墙服务。
Juniper Networks 提供六种型号的 SSG 5 设备:
SSG 5 串行
SSG 5 串行 WLAN
SSG 5 V.92
SSG 5 V.92-WLAN
SSG 5 ISDN
SSG 5 ISDN-WLAN
所有 SSG 5 设备都支持通用串行总线 (USB) 主机模块。这些设备还提供局域网
(LAN) 和广域网 (W AN) 之间的协议转换,其中三种型号支持无线局域网 (WLAN)。
注意:本文档中的配置说明和范例均指运行 ScreenOS 5.4 的设备所具有的功能。根据运
行的 ScreenOS 版本的不同,设备的功能也可能有所不同。有关最新设备文档的
信息,请参阅 Juniper Networks 技术出版物网站
https://www.360docs.net/doc/191857178.html,/techpubs/hardware。要查看设备当前可用的 ScreenOS 版
本,请访问 Juniper Networks 支持网站
https://www.360docs.net/doc/191857178.html,/customers/support/。
5
SSG 5 硬件安装和配置指南
6 组织结构
组织结构
本指南包含以下部分:
第1 章,“硬件概述”介绍 SSG 5 设备的机箱和组件。 第2 章,“安装和连接设备”介绍如何安装 SSG 5 设备,以及如何将其连接到
网络上。
第3 章,“配置设备”介绍如何配置和管理 SSG 5 设备以及如何执行某些基本配置任务。
第4 章,“维护设备”介绍 SSG 5 设备的保养和维护过程。
附录A ,“规格”提供 SSG 5 设备的通用系统规格。
附录B ,“初始配置向导”提供有关 SSG 5 设备的初始配置向导 (ICW) 的详细信息。WebUI 约定
要用 WebUI 执行任务,首先导航到相应的对话框,然后在该对话框中定义对象和设置参数。 V 形符号 ( > ) 指示在 WebUI 中导航的顺序,使用时单击菜单选项和链接即可。 每个任务的指令集都分为导航路径和配置设置。
下图列出进入地址配置对话框的路径,采用的是下面的示例配置设置:
Objects > Addresses > List > New: 输入以下内容,然后单击 OK :
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (选择), 10.2.2.5/32Zone: Untrust
图1:
导航路径和配置设置
CLI 约定
在范例和文本中出现 CLI 命令的语法时,使用下列约定。
在范例中:
在中括号 [ ] 中的任何内容都是可选的。
大括号 { } 中的任何内容都是必需项。
如果有多个选项,则使用竖线 ( | ) 分隔每个选项。例如:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
意思就是“设置 ethernet1、ethernet2 或 ethernet3 接口的管理选项”。
变量为斜体形式:
set admin user name1 password xyz
在文本中:
命令为粗体形式。
变量为斜体形式。
注意:输入关键字时,只需键入足以唯一标识相关单词的字母即可。例如,要输入命令
set admin user kathleen j12fmt54,只需输入set adm u kath j12fmt54。尽管
输入命令时可以使用此捷径,但本文所述的所有命令都以完整的方式提供。
获取文档和技术支持
要获取任何 Juniper Networks 产品的技术文档,请访问
https://www.360docs.net/doc/191857178.html,/techpubs/。
要获取技术支持,请使用https://www.360docs.net/doc/191857178.html,/support/中的 Case Manager 链接
打开支持案例,还可拨打电话 1-888-314-JT AC (美国国内) 或 1-408-745-9500 (美
国以外)。
如果在本文档中发现任何错误或遗漏,请通过下面的电子邮件地址与我们联系:
techpubs-comments@https://www.360docs.net/doc/191857178.html,
CLI 约定 7
SSG 5 硬件安装和配置指南8 获取文档和技术支持
端口和电源连接器 9
第 1 章
硬件概述
本章提供了有关 SSG 5 机箱及其组件的详细说明。其中包括以下部分:
第9 页上的“端口和电源连接器”
第10 页上的“前面板” 第13 页上的“后面板”
端口和电源连接器
本节介绍和显示内置端口和电源连接器的位置。
图2: 内置端口位置STATUS POWER
0123456TX/RX LIN K TX/RX LIN K TX/R X LIN K TX/RX LIN K TX/R X LIN K TX/R X LIN K TX/RX LIN K 10/10010/10010/10010/10010/10010/10010/100
或 V.92
SSG 5 硬件安装和配置指南
10 前面板
表 1 显示了 SSG 5 设备上的端口和电源连接器。
表 1: SSG 5 端口和电源连接器
前面板
本节介绍 SSG 5 设备前面板上的以下元素:
系统状态 LED 端口说明
系统状态 LED
系统状态 LED 显示有关主要设备功能的信息。图 3 说明了 SSG 5 V.92-WLAN 设备前面板上各状态 LED 的位置。系统 LED 根据 SSG 5 设备的版本而有所不同。图3: 状态 LED 端口
说明连接器速度/协议0/0-0/6通过交换机或集线器实现至工作站的直接连接或
LAN 连接。此连接也可通过 Telnet 会话或 WebUI
来管理设备。
RJ-4510/100 Mbps 以太网自动检测双工和自动 MDI/MDIX USB 实现与系统之间的 1.1 USB 连接。
不适用12M (全速) 或 1.5M (低速)控制台实现与系统之间的串行连接。用于终端仿真连接以
启动 CLI 会话。
RJ-459600 bps/RS-232C 串行AUX 通过外部调制解调器实现备份 RS-232 异步串行互
联网连接。
RJ-459600 bps - 115 Kbps/RS-232C 串行V.92 调制解调器实现到服务提供商的主要互联网连接或备份互联网
连接,或者主要不可信网络连接或备份不可信网络
连接。
RJ-119600 bps - 115 Kbps/RS-232 串行自动检测双工和极性ISDN 可将 ISDN 线路用作不可信或备份接口。(S/T)RJ-45 B 信道为 64 Kbps
租用线路为 128 Kbps
天线 A 和天线 B (SSG 5-WLAN)
在无线电连接附近实现到工作站的直接连接。RPSMA 802.11a (无线电波段为 5 GHz 时传输速
度为 54 Mbps)
802.11b (无线电波段为 2.4 GHz 时传输
速度为 11 Mbps)
802.11g (无线电波段为 2.4 GHz 时传输
速度为 54 Mbps)
802.11 superG (无线电波段为 2.4 GHz 和
5 GHz 时传输速度为 108 Mbps)
启动系统后,POWER LED 从关闭状态变为闪烁绿色状态,而 ST A TUS LED 则按以
下顺序发生变化: 红色、绿色、闪烁绿色。完成启动这一过程大约需要两分钟时
间。如果要在关闭系统后重新启动系统,建议在关闭之后和重新启动之前稍候几
秒。表2 提供了各系统状态 LED 的类型、名称、颜色、状态和说明。
表 2: 状态 LED 说明
类型名称颜色状态说明
POWER绿色始终为开表示系统已通电。
关表示系统没有通电。
红色始终为开表示设备未正常运行。
关表示设备正常运行。
ST A TUS绿色始终为开表示系统正在启动或正在执行诊断。
闪烁表示设备正常运行。
红色闪烁表示检测到错误。
ISDN 设备CH B1绿色始终为开表示 B 信道 1 处于活动状态。
关表示 B 信道 1 处于非活动状态。
CH B2绿色始终为开表示 B 信道 2 处于活动状态。
关表示 B 信道 2 处于非活动状态。
V.92 设备HOOK绿色始终为开表示链接处于活动状态。
关表示串行接口处于非服务状态。
TX/RX绿色闪烁表示正在交换信息流。
关表示没有交换信息流。
WLAN 设备802.11A绿色始终为开表示已建立无线连接,但无链接活动。
闪烁表示已建立无线连接。波特率与链接活动成
比例。
关表示未建立无线连接。
B/G绿色始终为开表示已建立无线连接,但无链接活动。
闪烁表示已建立无线连接。波特率与链接活动成
比例。
关表示未建立无线连接。
前面板 11
SSG 5 硬件安装和配置指南
12 端口说明端口说明
本节介绍以下端口的目的和功能: 以太网端口 控制台端口 AUX 端口以太网端口七个 10/100 以太网端口提供了到集线器、交换机、本地服务器和工作站的 LAN 连接。也可指定一个以太网端口来管理信息流。各端口被标记为 0/0 到 0/6。有关各以太网端口缺省区段绑定的信息,请参阅第24 页上的“缺省设备设置”。配置各端口时,请参考与端口位置相对应的接口名称。前面板上从左至右,端口的接口名称依次为 ethernet0/0 到 ethernet0/6。图 4 显示了各以太网端口上 LED 的位置。图4: 活动链接 LED 表 3 介绍以太网端口 LED 。表 3: 以太网端口 LED 控制台端口控制台端口为 RJ-45 串行端口,将充当数据电路终端设备 (DCE),用于进行本地管理。进行终端连接时,请使用直通电缆;连接到另一 DCE 设备时,请使用交叉电缆。提供了 RJ-45 到 DB-9 适配器。有关 RJ-45 连接器插脚引线的信息,请参阅第43 页上的“连接器”。名称颜色
状态说明LINK 绿色始终为开关端口在线。端口离线。TX/RX 绿色闪烁关信息流正在通过。波特率与链接活动成比例。端口可能正在使用中,但并未接收数据。LINK TX/RX
后面板 13
AUX 端口
辅助 (AUX) 端口为 RJ-45 串行端口,将充当数据终端设备 (DTE),通过将其连接到调制调解器可实现远程管理。建议不要将此端口用于进行日常远程管理。通常将 AUX 端口指定为备份串行接口。可以调节波特率,范围从 9600 bps 到 115200bps ,并且需要使用硬件流程控制。连接到调制解调器时,请使用直通电缆;连接到另一 DTE 设备时,请使用交叉电缆。
有关 RJ-45 连接器插脚引线的信息,请参阅第43 页上的“连接器”。
后面板
本节介绍 SSG 5 设备后面板上的以下元素:
电源适配器
无线电收发器
接地片
天线类型 USB 端口
图5: SSG 5 设备的后面板
电源适配器
设备前面板上的 POWER LED 呈绿色或为关闭状态。绿色表示运行正常,关闭表示电源适配器故障或设备处于关闭状态。
注意:仅 SSG 5-WLAN 设备有天线连接器。USB 适配器针孔
A 天线 B
SSG 5 硬件安装和配置指南
14 后面板无线电收发器
SSG 5-WLAN 设备包含两个具有无线连通性的无线电收发器,这些收发器支持 802.11a/b/g 标准。第一个收发器 (WLAN 0) 使用 2.4 GHz 无线电波段,它在传输速度为 11 Mbps 时支持 802.11b 标准,在传输速度为 54 Mbps 时支持 802.11g 标准。第二个无线电收发器 (WLAN1) 使用 5 GHz 无线电波段,它在传输速度为 54 Mbps 时支持 802.11a 标准。两个无线电波段可以同时使用。有关配置无线电波段的信息,请参阅第30 页上的“基本无线配置”。接地片
机箱后部提供一个单孔接地片,可使用此接地片将设备接地 (请参阅图5)。要在连接电源前将设备接地,请将接地电缆连接到地面,然后将电缆连接到机箱后部的接地片上。天线类型
SSG 5-WLAN 设备支持三种类型的定制无线电天线: 分集天线 - 分集天线可提供 2dBi 定向覆盖,并且覆盖区域内的信号强度电平相当均衡,适合大部分安装。设备随带有此类天线。 外部全向天线 - 外部天线可提供 2dBi 全向覆盖。与成对运行的分集天线不同,外部天线用于消除某些时候在使用两个天线时由信号的些微延迟特性所产生的回波效应。 外部定向天线 - 外部定向天线可提供 2dBi 单向覆盖,适合安装在诸如走廊和外墙之类的位置 (天线朝内)。USB 端口
SSG 5 设备后面板上的 USB 端口接受安装有袖珍闪存盘的通用串行总线 (USB) 存储设备或 USB 存储设备适配器 (如 CompactFlash 协会发布的 CompactFlash 规格中所定义)。安装和配置 USB 存储设备后,它会在主袖珍闪存盘无法启动时自动充当第二启动设备。USB 端口允许文件在外部 USB 存储设备与安全设备中的内部闪存之间传输各种数据,如设备配置、用户证书和更新版本映像等信息。USB 端口在低速 (1.5M) 或全速 (12M) 文件传输时均支持 USB 1.1 规格。要在 USB 存储设备和 SSG 5 之间传输文件,请执行以下步骤:1.将 USB 存储设备插入安全设备上的 USB 端口中。2.使用 save {software | config | image-key } from usb 文件名 to flash CLI 命令将文件从 USB 存储设备保存到设备的内部闪存中。3.取出 USB 存储设备前,使用 exec usb-device stop CLI 命令停止 USB 端口。4.现在可安全取出 USB 存储设备。如果要从 USB 存储设备删除文件,请使用 delete file usb:/文件名 CLI 命令。如果要查看 USB 存储设备或内部闪存上保存的文件信息,请使用 get file CLI 命令。
第 2 章
安装和连接设备
本章介绍如何安装 SSG 5 设备以及如何将电缆和电源连接到本设备。其中包括以下
各节:
第16 页上的“准备工作”
第16 页上的“安装设备”
第17 页上的“将接口电缆连接到设备”
第18 页上的“连接电源”
第18 页上的“将设备连接到网络”
注意:有关安全警告和说明,请参阅Juniper Networks Security Products Safety Guide。在
使用任何设备之前,应注意由电路引发的危险以及熟悉标准操作以防止意外事故
的发生。
15
SSG 5 硬件安装和配置指南
16 准备工作
准备工作
机箱位置、安装设备的布局以及布线间的安全对于系统的正常运行而言均至关重要。
遵守以下预防措施可防止出现关机、设备故障以及人身伤害:
安装前,请务必确定此设备电源与任何电源断开连接。
确保运行设备的房间保持良好的通风状况,并且室温不超过 104 °F (40 °C)。 请勿将设备放置在会阻塞设备进气口或排气口的设备机架中。确保封闭式机架
具有风扇且各面装有百叶窗板。
执行任何安装前,请改善并消除以下危险状况: 地面潮湿、存在渗漏、电缆未接地或已磨损,或者未进行安全接地。安装设备
可以前置安装、壁式安装或桌面安装的方式安装 SSG 5 设备。可单独购买安装套件。
要安装 SSG 5 设备,您需要一个 2 号十字螺丝起子 (未提供) 和若干与设备机架相匹配的螺丝 (已包括在套件中)。
要以机架安装的方式安装 SSG 5 设备,请执行以下步骤:
1.用十字螺丝起子松开底盘的安装支架。
2.将设备底部和底盘的基准孔对齐。
3.前拉设备将其锁入底盘的基准孔里。
4.使用螺丝将安装支架连接到设备和底盘上。
5.将电源放入电源支架,然后将电源适配器插入设备。
6.要安装第二个 SSG 5 设备,请重复步骤 1 到 5
,然后继续。
警告: 为防止未经授权人员的误用和侵入,应将 SSG 5 设备安装在安全的环境中。注意:安装设备时,请确保可将此设备连接到电源插座。
注意:拥有可选天线的 SSG 5-WLAN 用户必须移除现有的天线,然后通过侧孔连接新的天线。
图6: SSG 5 机架安装
电源支架
电源支架
7.使用提供的螺丝将底盘安装到机架上。
8.将电源插入电源插座。
要以桌面安装的方式安装 SSG 5 设备,请执行以下步骤:
1.将桌面支架安装到设备一侧。建议使用靠近电源适配器的一侧。
2.将装有桌面支架的设备放置在桌面上。
图7: SSG 5 桌面安装
3.插入电源适配器,并将电源连接到电源插座。
将接口电缆连接到设备
要将接口电缆连接到设备,请执行以下步骤:
1.准备一段适用于接口的电缆。
2.将电缆连接器插入设备的电缆连接器端口中。
3.按以下方式排列电缆以防止其移动或成为受力点:
a.固定电缆,使其在悬挂到地板时不用承受其自身的重量。
b.将多余电缆整齐地盘绕成圆环状。
c.将紧固件放在环上以保持其形状。
将接口电缆连接到设备 17
SSG 5 硬件安装和配置指南
18 连接电源
连接电源
要将电源连接到设备,请执行以下步骤:
1.将电缆的 DC 连接器端插入设备后面的 DC 电源插座。
2.将电缆的 AC 适配器端插入 AC 电源。
将设备连接到网络
当将 SSG 5 设备放置在内部网络和不可信网络之间时,它可为网络提供防火墙和通用安全保障。本节介绍以下内容:
将设备连接到不可信网络 将设备连接到内部网络或工作站
将设备连接到不可信网络
可通过以下方法中的一种将 SSG 5 设备连接到不可信网络:
以太网端口
串行 (AUX/控制台) 端口 W AN 端口
图8 显示了带有基本网络电缆连接的 SSG 5,其中 10/100 以太网端口的电缆连接方式如下:
将标记为 0/0 的端口 (ethernet0/0 接口) 连接到不可信网络。
将标记为 0/1 的端口 (ethernet0/1 接口) 连接到 DMZ 安全区段中的工作站。
将标记为 0/2 的端口 (bgroup0 接口) 连接到 Trust 安全区段中的工作站。
将控制台端口连接到串行终端以进行管理访问。
警告: 建议将电涌保护器用于电源连接。
将设备连接到网络 19
图8: 基本网络连接范例
以太网端口
要建立高速连接,请将提供的以太网电缆从 SSG 5 设备上标记为 0/0 的以太网端口连接到外部路由器。设备将自动检测正确的速度、双工和 MDI/MDIX 设置。串行 (AUX /控制台) 端口
可通过 RJ-45 直通串行电缆和外部调制解调器连接到不可信网络。
WAN 端口
1.准备一段适用于接口的电缆。
2.将电缆连接器插入设备的电缆连接器端口中。
3.按以下方式排列电缆以防止其移动或成为受力点:
a.
固定电缆,使其在悬挂到地板时不用承受其自身的重量。b.
将所有多余电缆整齐地盘绕成圆环状。c.使用紧固件以保持电缆线圈的形状。
STATUS POWER
0123456TX/RX LIN TX/RX LIN TX/LIN TX/RX LIN TX/LIN TX/LIN TX/RX LIN 10/10010/10010/10010/0010/0010/0010/00
802警告: 请勿因疏忽而将设备上的“控制台”、"AUX" 或“以太网”端口连接到电话接口。
SSG 5 硬件安装和配置指南
将设备连接到内部网络或工作站
可将局域网 (LAN) 或工作站与以太网和/或无线接口相连。
以太网端口
SSG 5 设备包含七个以太网端口。可使用这些端口中的一个或多个通过交换机或集
线器连接到 LAN。也可以直接将一个或所有的端口连接到工作站,从而消除对集
线器或交换机的需求。可使用交叉电缆或直通电缆将以太网端口连接到其它设备。
有关缺省接口到区段绑定的信息,请参阅第24 页上的“缺省设备设置”。
无线天线
如果要使用无线接口,需连接所提供的设备上的天线。如果有标准 2dB 分集天
线,请使用螺丝将它们安装到设备背面标记为 A 和 B 的接头上。在各天线弯曲处
顺势弯曲,以免使隔板连接器受压。
图9: SSG 5-WLAN 天线位置
天线 B A
USB
如果要使用可选的外部天线,请遵循此天线附带的连接说明。
20 将设备连接到网络
juniper防火墙配置手册
JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置:STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置:STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)
Juniper_SRX基本配置手册
Juniper SRX防火墙基本配置手册
1SRX防火墙的PPPoE拔号配置 Juniper SRX防火墙支持PPPoE拔号,这样防火墙能够连接ADSL链路,提供给内网用户访问网络的需求。 配置拓扑如下所示: Juniper SRX240防火墙 在Juniper SRX防火墙上面设置ADSL PPPoE拔号,可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0,在命令行下面的查看命令如下所示: juniper@HaoPeng# run show interfaces terse | match pp Interface Admin Link Proto Local Remote pp0 up up 在WEB界面下,也能够看到PPPoE的拔号接口pp0 配置步聚如下所示: 第一步:选择接口ge-0/0/4作为PPPoE拔号接口的物理接口,将接口封装成PPPoE To configure PPPoE encapsulation on an Ethernet interface: juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether 第二步:配置PPPoE接口PP0.0的参数 To create a PPPoE interface and configure PPPoE options: user@host# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/4.0 auto-reconnect 100 idle-timeout 100 client
Juniper SRX防火墙简明配置手册-090721
Juniper SRX防火墙简明配置手册 卞同超 Juniper 服务工程师 Juniper Networks, Inc. 北京市东城区东长安街1号东方经贸城西三办公室15层1508室 邮编:100738 目录 一、JUNOS操作系统介绍 ............................................................................................................. 1.1 层次化配置结构........................................................................................................................ 1.2 JunOS配置管理......................................................................................................................... 1.3 SRX主要配置内容.................................................................................................................... 二、SRX防火墙配置对照说明...................................................................................................... 2.1 初始安装.................................................................................................................................... 2.1.1 登陆............................................................................................................................... 2.1.2 设置root用户口令..................................................................................................... 2.1.3 设置远程登陆管理用户............................................................................................... 2.1.4 远程管理SRX相关配置............................................................................................... 2.2 Policy .......................................................................................................................................... 2.3 NAT ............................................................................................................................................ 2.3.1 Interface based NAT................................................................................................. 2.3.2 Pool based Source NAT............................................................................................. 2.3.3 Pool base destination NAT..................................................................................... 2.3.4 Pool base Static NAT............................................................................................... 2.4 IPSEC VPN................................................................................................................................. 2.5 Application and ALG .................................................................................................................. 2.6 JSRP............................................................................................................................................ 三、SRX防火墙常规操作与维护.......................................................................................................... 3.1 设备关机................................................................................................................................ 3.2设备重启............................................................................................................................... 3.3操作系统升级 (15) 3.4密码恢复............................................................................................................................... 3.5常用监控维护命令............................................................................................................... Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
防火墙设备技术要求 一、防火墙参数要求: 1性能方面: 11网络吞吐量
防火墙设备技术要求 一、防火墙参数要求: 1.性能方面: 1.1网络吞吐量>10Gbps,应用层吞吐率>2Gbps,最大并发连接数>400万(性能要求真实可靠,必须在设备界面显示最大并发连接数不少于400万),每秒新建连接>15万。 1.2万兆级防火墙,网络接口数量不少于12个接口,其中千兆光口不少于4个、千兆电口不少于6个、万兆光接口不少于2个,另外具有不少于2个通用扩展插槽。 1.3冗余双电源,支持HA、冗余或热备特性。 1.4具备外挂日志存储系统,用于存储防火墙日志文件等相关信息,另外支持不同品牌网络设备、服务器等符合标准协议的日志格式,日志存储数量无限制。 1.5内置硬盘,不小于600G,用于日志存储。 2.功能方面(包含并不仅限于以下功能): 2.1具有静态路由功能,包括基于接口、网关、下一跳IP地址的静态路由功能。 2.2具有OSPF动态路由功能,符合行业通用的OSPF协议标准。 2.3具有网络地址转换功能,支持一对一、多对一、多对多的网络地址转换功能。
2.4具有OSI网络模型三层至七层访问控制功能,可基于IP、端口号、应用特征、数据包大小、URL、文件格式、内容、时间段等进行安全访问控制和过滤。 2.5具有基于资源和对象的流量分配功能,包括基于单个IP、网段、IP组、访问源地址及目标地址、应用等的流量管理、分配。 2.6完善的日志及审计系统,防火墙内所有功能均具备相应的日志可供查看和审计。 2.7具有内置或第三方CA证书生成、下发及管理功能。 2.8具有身份认证、身份审计功能,支持用户ID与用户IP 地址、MAC地址的绑定,支持基于CA证书、AD域、短信、微信等多种身份认证方式。 2.9具有入侵检测模块,支持入侵防护、DoS/DDoS防护,包含5年特征库升级服务。 2.10具有上网行为管理模块,支持上网行为检测、内容过滤等功能,包含5年应用特征库升级服务。 2.11具有病毒防护模块,可包含5年病毒库升级服务。 2.12具备基于WEB页面的管理、配置功能,可通过WEB 页面实现所有功能的配置、管理和实时状态查看。 2.13具有SSL VPN模块,含不低于50人的并发在线数。针对手机和电脑,有专门的SSL VPN客户端。 3.质保和服务
Juniper防火墙日常维护手册
Juniper防火墙维护手册
目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置(双机配置) (7) 1.5.配置MIP(通过图形界面配置) (9) 1.6.配置访问策略(通过图形界面配置) (11) https://www.360docs.net/doc/191857178.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)
1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen,为了便于区分设备和维护,在对防火墙进行配置前先对防火墙进行命名: Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段,用于专门对接口进行管理时用。在双机的工作状态下,因为接口的地址只存在于主防火墙上,如果不配置管理IP,则不能对备用防火墙进行登录了。一般在单机时,不需要配置接口的管理IP,但在双机时,建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意:接口的工作模式可以工作在路由模式,NAT模式和透明模式。在产品线应用中,透明模式很少用,而NAT模式只有在trust到untrust的数据流才起作用,建议把防火墙的所有接口都配置成route的工作模式,用命令set interface接口名 route配置即可,缺省情况下需要在trust区段中的接口使用此命令。 本例子中,配置接口ethernet2属于Untrust区,IP地址为202.38.12.23/28,如设置管理方式是Http,命令如下: Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat
juniper防火墙详细配置手册
Juniper防火墙简明实用手册 (版本号:)
目录 1juniper中文参考手册重点章节导读.................................... 错误!未定义书签。 第二卷:基本原理 ...................................................... 错误!未定义书签。 第一章:ScreenOS 体系结构 .......................... 错误!未定义书签。 第二章:路由表和静态路由............................ 错误!未定义书签。 第三章:区段.................................................... 错误!未定义书签。 第四章:接口.................................................... 错误!未定义书签。 第五章:接口模式............................................ 错误!未定义书签。 第六章:为策略构建块.................................... 错误!未定义书签。 第七章:策略.................................................... 错误!未定义书签。 第八章:地址转换............................................ 错误!未定义书签。 第十一章:系统参数........................................ 错误!未定义书签。 第三卷:管理 .............................................................. 错误!未定义书签。 第一章:管理.................................................... 错误!未定义书签。 监控NetScreen 设备........................................ 错误!未定义书签。 第八卷:高可用性 ...................................................... 错误!未定义书签。 NSRP ................................................................... 错误!未定义书签。 故障切换............................................................ 错误!未定义书签。2Juniper防火墙初始化配置和操纵........................................ 错误!未定义书签。3查看系统概要信息................................................................. 错误!未定义书签。4主菜单常用配置选项导航..................................................... 错误!未定义书签。5Configration配置菜单 ........................................................... 错误!未定义书签。 Date/Time:日期和时间 ............................................... 错误!未定义书签。 Update更新系统镜像和配置文件 ............................. 错误!未定义书签。 更新ScreenOS系统镜像 .................................. 错误!未定义书签。 更新config file配置文件.................................. 错误!未定义书签。 Admin管理 .................................................................. 错误!未定义书签。 Administrators管理员账户管理....................... 错误!未定义书签。 Permitted IPs:允许哪些主机可以对防火墙进行管理错误!未定
华为USG6000系列防火墙性能参数表
华为USG6000系列下一代防火墙详细性能参数表
能,与Agile Controller配合可以实现微信认证。 应用安全●6000+应用协议识别、识别粒度细化到具体动作,自定义协议类型,可与阻断、限流、审计、统计等多种手段自由结合在线协议库升 级。注:USG6320可识别1600+应用。 ●应用识别与病毒扫描结合,发现隐藏于应用中的病毒,木马和恶意软件,可检出超过500多万种病毒。 ●应用识别与内容检测结合,发现应用中的文件类型和敏感信息,防范敏感信息泄露。 入侵防御●基于特征检测,支持超过3500漏洞特征的攻击检测和防御。 ●基于协议检测,支持协议自识别,基于协议异常检测。 ●支持自定义IPS签名。 APT防御与沙箱联动,对恶意文件进行检测和阻断。 Web安全●基于云的URL分类过滤,支持8500万URL库,80+分类。 ●提供专业的安全URL分类,包括钓鱼网站库分类和恶意URL库分类。 ●基于Web的防攻击支持,如跨站脚本攻击、SQL注入攻击。 ●提供URL关键字过滤,和URL黑白名单。 邮件安全●实时反垃圾邮件功能,在线检测,防范钓鱼邮件。 ●本地黑、白名单,远程实时黑名单、内容过滤、关键字过滤、附件类型、大小、数量。 ●支持对邮件附件进行病毒检查和安全性提醒。 数据安全●基于内容感知数据防泄露,对邮件,HTTP,FTP,IM、SNS等传输的文件和文本内容进行识别过滤。 ●20+文件还原和内容过滤,如Word、Excel、PPT、PDF等),60+文件类型过滤。 安全虚拟化安全全特性虚拟化,转发虚拟化、用户虚拟化、管理虚拟化、视图虚拟化、资源虚拟化(带宽、会话等)。 网络安全●DDoS攻击防护,防范多种类型DDoS攻击,如SYN flood、UDP flood、ICMP flood、HTTP flood、DNS flood、ARP flood和ARP 欺骗等。 ●丰富的VPN特性,IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等。 路由特性●IPv4:静态路由、RIP、OSPF、BGP、IS-IS。 ●IPv6:RIPng、OSPFv3、BGP4+、IPv6 IS-IS、IPv6RD、ACL6。 部署及可靠性透明、路由、混合部署模式,支持主/主、主/备HA特性。 智能管理●支持根据应用场景模板生成安全策略,智能对安全策略进行优化,自动发现冗余和长期不使用的策略。 ●全局配置视图和一体化策略管理,配置可在一个页面中完成。 ●可视化多维度报表呈现,支持用户、应用、内容、时间、流量、威胁、URL等多维度呈现报表。 标准服务●USG6300-AC:SSL VPN 100用户。 ●USG6300-BDL-AC:IPS-AV-URL功能集升级服务时间12个月,SSL VPN 100用户。 可选服务●IPS升级服务:12个月/36个月 ●URL过滤升级服务:12个月/36个月●反病毒升级服务:12个月/36个月 ●IPS-AV-URL功能集:12个月/36个月 注:√表示为支持此项功能,—表示为不支持此项功能。
Juniper防火墙故障情况下的快速恢复
为防止Juniper防火墙设备故障情况下造成网络中断,保障用户业务不间断运行,现针对Juniper防火墙故障情况下的快速恢复做具体描述。 一、设备重启动:Juniper防火墙在工作期间出现运行异常时,如需进行系统复位,可通过console线缆使用reset命令对防火墙进行重启,重启动期间可以在操作终端上查看防火墙相关启动信息。 二、操作系统备份:日常维护期间可将防火墙操作系统ScreenOS备份到本地设备,操作方式为:启动tftp 服务器并在命令行下执行:save software from flash to tftp x.x.x.x filename。 三、操作系统恢复:当防火墙工作发生异常时,可通过两种方式快速恢复防火墙操作系统,命令行方式:save software from tftp x.x.x.x filename to flash,或通过web方式:Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项,并在Load File栏选中保存在本地的ScreenOS文件,然后点击apply按钮,上传ScreenOS后防火墙将自动进行重启。 四、配置文件备份: 日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复,操作方式有三种: 1、启动tftp 服务器并在命令行下执行:save config from flash to tftp x.x.x.x filename。 2、通过超级终端远程telnet/ssh到防火墙,通过log记录方式将get config配置信息记录到本地。 3、通过web页面进行配置文件备份:Configuration > Update > Config File,点击save to file。 五、配置文件恢复: 防火墙当前配置信息若存在错误,需进行配置信息快速恢复,操作方式有三种: 1、启动tftp 服务器并在命令行下执行:save config from tftp x.x.x.x filename to flash,配置文件上传后需执行reset命令进行重启。 2、通过web页面进行配置文件恢复:Configuration > Update > Config File,选中Replace Current Configuration,并从本地设备中选中供恢复的备份配置文件,点击apply后系统将进行重启动使新配置生效。 3、通过超级终端远程telnet/ssh到防火墙,通过unset all 命令清除防火墙配置,并进行重启,重启后将备份的配置命令粘贴到防火墙中。 六、恢复出厂值:console线缆连接到防火墙,通过reset命令对防火墙进行重启,并使用防火墙的16位序列号作为账号/口令进行登陆,可将防火墙配置快速恢复为出厂值。 七、硬件故障处理: 当防火墙出现故障时,且已经排除配置故障和ScreenOS软件故障,可通过NSRP切换到备用设备来恢复网络运行,并进一步定位硬件故障。切换方式为1、拔掉主用防火墙的上下行网线(仅在设备关闭电源的情况下,才需要拔掉该设备的HA连线),防火墙将自动进行主备切换。2、或在主用设备上执行:exec nsrp vsd-group id 0 mode backup,手动执行防火墙主备切换。 八、设备返修(RMA):如经Juniper公司确认防火墙发生硬件故障,请及时联系设备代理商。设备代理商将根据报修流程,由Juniper公司对保修期内的损坏部件或设备进行RMA(设备返修)。
Juniper SRX防火墙的PPPoE拔号配置
SRX防火墙的PPPoE拔号配置 Juniper SRX防火墙支持PPPoE拔号,这样防火墙能够连接ADSL链路,提供给内网用户访问网络的需求。 配置拓扑如下所述:Ge-0/0/4 via PPPoE to obtian IP address Juniper SRX240防火墙 在Juniper SRX防火墙上面设置ADSL PPPoE拔号,可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0,在命令行下面的查看命令如下所示:juniper@HaoPeng# run show interfaces terse | match pp Interface Admin Link Proto Local Remote pp0 up up 在WEB界面下,也能够看到PPPoE的拔号接口pp0 配置步聚如下所示: 第一步:选择接口ge-0/0/4作为PPPoE拔号接口的物理接口,将接口封装成PPPoE To configure PPPoE encapsulation on an Ethernet interface: juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether 第二步:配置PPPoE接口PP0.0的参数To create a PPPoE interface and configure PPPoE options: user@host# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/4.0 auto-reconnect 100 idle-timeout 100 client 第三步:配置PPPoE接口的MTU值To configure the maximum transmission unit (MTU) of the IPv4 family: user@host# set interfaces pp0 unit 0 family inet mtu 1492
Juniper_SRX防火墙Web配置手册
Juniper SRX防火墙配置手册
Juniper SRX防火墙配置说明 1系统配置 (1) 1.1配置ROOT帐号密码 (1) 1.2配置用户名和密码 (2) 2接口配置 (8) 2.1IPV4地址配置 (9) 2.2接口T RUNK模式配置 (13) 2.3接口A CC ESS模式配置 (14) 3VLAN配置 (15) 3.1创建VLAN配置 (15) 4路由配置 (19) 4.1静态路由配置 (21) 5自定义应用配置 (22) 5.1自定义服务配置 (22) 5.2应用组配置 (23) 6地址组配置 (24) 6.1地址簿配置 (24) 6.2地址组配置 (25) 7日程表配置 (27) 8NAT配置 (30) 8.1S TA TIC NA T配置 (30)
1 系统配置 1.1 配置root帐号密码 首次登陆设备时,需要采用console方式,登陆用户名为:root,密码为空,登陆到cli下以后,执行如下命令,设置root帐号的密码。 root# set system root-authentication plain-text-password root# new password : root123 root# retype new password: root123 密码将以密文方式显示。 注意:必须要首先配置root帐号密码,否则后续所有配置的修改都无法提交。 SRX系列低端设备在开机后,系统会加载一个默认配置,设备的第一个接口被划分在trust区域,配置一个ip地址192.168.1.1,允许ping、telnet、web等管理方式,可以通过该地址登陆设备。登陆后显示页面如下:
junipersrx100防火墙配置
Junipersrx100防火墙配置指导 # 一、初始化安装 1.1设备登录 Juniper SRX系列防火墙。开机之后,第一次必须通过console 口(通用超级终端缺省配置)连接SRX ,输入root 用户名登陆,密码为空,进入到SRX设备之后可以开始加载基线配置。 特别注意:SRX低端系列防火墙,在第一次登陆时,执行命令“show configuration”你会发现系统本身已经具备一些配置内容(包括DNS名称、DHCP服务器等),建议删除这些配置,重新配置。Delete 删除 设备开机请直接通过console 连接到防火墙设备 Login :root Password :/***初始化第一次登陆的时候,密码为空**/ Root% cli /**进入操作模式**/ Root> Root> configure /** 进入配置模式**/ Root# delete /***配置模式执行命令“delete”全局删除所有的系统缺省配置***/ 1.2 系统基线配置 Set system host-name name /***配置设备名称“name”***/ Set system time-zone Asia/Chongqing /***配置系统时区***/ Set system root-authentication plain-text-password 输入命令,回车 New password: 第一次输入新密码, Retype new password 重新确认新密码 /***配置系统缺省根账号密码,不允许修改根账号名称“root”***/ 注意:root帐号不能用于telnet,但是可以用于web和ssh管理登录到设备 S et system login user topsci class super-user authentication plain-text-password New password 输入密码 Retype new password 确认密码 /***创建一个系统本地账号“name“, set system services ssh set system services telnet
防火墙技术参数
防火墙技术参数: 网络端口8GE+4SFP VPN支持支持丰富高可靠性的VPN特性,如IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等 入侵检测超过5000种漏洞特征的攻击检测和防御。第一时间获取最新威胁信息,准确检测并防御针对漏洞的攻击。可防护各种针对web的攻击,包括SQL注入攻击和跨站脚本攻击。管理预置常用防护场景模板,快速部署安全策略,降低学习成本 自动评估安全策略存在的风险,智能给出优化建议 支持策略冲突和冗余检测,发现冗余的和长期未使用策略,有效控制策略规模 一般参数 电源选配冗余电源100-240V,最大功率170W 产品尺寸442×421×44.4mm 产品重量7.9kg 适用环境温度:0-45℃(不含硬盘)/5℃-40℃ (包含硬盘) 湿度:5%-95%(不含硬盘)/ 5%-90% (包含硬盘) 其他性能产品形态:1U 带宽管理与QoS优化:在识别业务应用的基础上,可管理每用户/IP使用的带宽, 确保关键业务和关键用户的网络体验。管控方式包括:限制最大带宽或保障最小带宽、应用的策略路由、修改应用转发优先级等 数据防泄漏:对传输的文件和内容进行识别过滤,可准确识别常见文件的真实类型,如Word、Excel、PPT、PDF等,并对敏感内容进行过滤 应用识别与管控:可识别6000+应用,访问控制精度到应用功能,例如区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合,提高检测性能和准确率 接口扩展:可扩展千兆电口/千兆光口/万兆光口,支持BYPASS插卡 软件认证:ICSA Labs: Firewall,IPS,IPSec VPN,SSL VPN CC:EAL4+ NSS Labs:推荐级 硬件认证:CB,CCC,CE-SDOC,ROHS,REACH&WEEE(EU),C-TICK,ETL,FCC&IC,VCCI,BSMI
JuniperSRX中文配置手册及图解
前言、版本说明 (1) 一、界面菜单管理 (3) 2、WEB管理界面 (4) (1)Web管理界面需要浏览器支持Flash控件。 (4) (2)输入用户名密码登陆: (4) (3)仪表盘首页 (5) 3、菜单目录 (7) 二、接口配置 (12) 1、接口静态IP (12) 2、PPPoE (13) 3、DHCP (14) 三、路由配置 (16) 1、静态路由 (16) 2、动态路由 (16) 四、区域设置Zone (18) 五、策略配置 (20) 1、策略元素定义 (20) 2、防火墙策略配置 (22) 3、安全防护策略 (25) 六、地址转换 (26) 1、源地址转换-建立地址池 (26) 2、源地址转换规则设置 (27) 七、VPN配置 (30) 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (30) 2、建立第一阶段IKE策略 (31) 3、建立第一阶段IKE Gateway (32) 4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (33) 5、建立第一阶段IKE策略 (34) 6、建立VPN策略 (35) 八、Screen防攻击 (38) 九、双机 (39) 十、故障诊断 (39) 前言、版本说明
产品:Juniper SRX240 SH 版本:JUNOS Software Release [9.6R1.13] 注:测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些,并且CPU占用率明显下降很多。 9.5R2.7版本(CPU持续保持在60%以上,甚至90%) 9.6R1.13版本(对菜单操作或者保存配置时,仍会提升一部分CPU)
juniper防火墙详细配置手册
juniper防火墙详细配置手册
Juniper防火墙简明实用手册 (版本号:V1.0)
目录 1juniper中文参考手册重点章节导读 (4) 1.1第二卷:基本原理 4 1.1.1第一章:ScreenOS 体系结构 4 1.1.2第二章:路由表和静态路由 4 1.1.3第三章:区段 4 1.1.4第四章:接口 4 1.1.5第五章:接口模式 5 1.1.6第六章:为策略构建块 5 1.1.7第七章:策略 5 1.1.8第八章:地址转换 5 1.1.9第十一章:系统参数 6 1.2第三卷:管理 6 1.2.1第一章:管理 6 1.2.2监控NetScreen 设备 6 1.3第八卷:高可用性
6 1.3.1...................................................... NSRP 6 1.3.2故障切换 7 2Juniper防火墙初始化配置和操纵 (8) 3查看系统概要信息 (9) 4主菜单常用配置选项导航 (10) 5Configration配置菜单 (11) 5.1Date/Time:日期和时间 11 5.2Update更新系统镜像和配置文件 12 5.2.1更新ScreenOS系统镜像 12 5.2.2更新config file配置文件 13 5.3Admin管理 15 5.3.1Administrators管理员账户管理 15 5.3.2Permitted IPs:允许哪些主机可以对防火墙进行管理 16 6Networks配置菜单 (17) 6.1Zone安全区 17 6.2Interfaces接口配置 19 6.2.1查看接口状态的概要信息 19
防火墙技术指标
技术要求采购数量:1台
服务要求 1、提供标的产品免费全国范围内现场安装服务和售后服务; 2、提供厂商出具的标的产品三年硬件保修服务证明,备品备件保障证明; 3、投标人至少有2名以上工程师,并指定专人工程师为项目接口工程师,提供标的产品的技术服务支持; 4、硬件故障处理 a)乙方提供三年产品保修服务。若出现硬件故障问题,从甲方报修开始至厂维修完毕返还给用户应不超过10个工作日,维修产品的运费及运输保险费由乙方承担; 5、技术咨询服务 b)乙方免费为用户提供产品咨询服务,协助用户进行新需求规划; c)甲方在系统相关环境上进行研发测试过程中,遇到技术难题时,提供技术咨询服务,包括远程电话支持和现场研讨支持; 6、系统配置管理 d) 建立所有维保设备的配置统计文档,在维保期间随时更新设备硬件或系统软件配置变更的情况。 7、不间断服务 e) 7×24小时响应的电话、传真、E-MAIL方式等日常售后技术服务;提供7×24小时的支持服务,设备出现故障进行实时电话响应; f)设备出现故障,如电话、远程等方式不能解决,全国范围内6小时内赶到现场,12小时内排除由设备问题造成的网络故障; 8、疑难问题升级处理 g) 就维保设备在用户日常管理中遇到的疑难杂症进行升级处理,疑难问题不限于设备故障; 9、定期巡检 h) 提供产品定期巡检服务:乙方在服务期内提供12人次/年的定期巡检服务(每月1次),对本次合同购买的设备的运行状态、安全策略等进行检测,确保其安全稳定的运行,巡检后3个工作日内向甲方提交检查总结报告; 10、系统升级、补丁安装服务
i)提供三年软件版本及补丁免费升级服务,特征库升级授权,供用户自行升级以及提供技术支持服务; 11、系统及相关环境重建服务 j) 设备维保期间,提供系统及相关环境的重新搭建服务; 12、重要事件服务 k)服务期内若甲方有特殊需求(如网络架构调整需求等),乙方技术支持工程师须在甲方提出需求的8个工作小时内到达甲方现场配合讨论方案和进行现场配置和调试; 13、紧急处理服务 l)对于紧急支持服务需求(例如系统瘫痪等严重问题),乙方须在接到甲方服务要求后2个小时内作出反应,在4个小时内到达甲方现场; m)服务期内,若因设备硬件/系统问题影响甲方正常生产环境,乙方须在4个小时内调拨备机到甲方现场,并确保备机的策略/运行状态正常,提供的备机服务应符合现在管理平台的要求,提供的备机应为同等档次或高于目前使用的型号; 14、硬件设备移机服务 n) 根据甲方实际需求提供硬件设备的物理搬迁服务。在搬迁过程中,提供相当于搬迁设备同样配置的备机在甲方本地(单次搬迁设备超过4台时,提供一半以上的备机,保证对故障设备进行及时替换),保障设备移机前后的正常运行;搬迁过程中如设备有任何损坏,其造成的损失在得到甲方认可的前提下,全部由乙方负责赔偿; 15、辅助故障定位服务 o) 在甲方使用主流品牌的硬件、软件产品出现兼容性问题时,积极配合,与有关硬件、软件厂商和采购人接洽,及时定位问题原因、寻求解决方案; 16、产品关联服务 p) 提供其他与产品相关联的服务,如产品过期EOL(End of life),提前一年通知甲方。 17、培训服务 q)提供标的产品2人/次原厂技术培训(非现场培训); 18、续约 r) 维保服务合同到期后1个月内,如果甲方提出需求,继续提供上述技术服务;18、提供厂商出具的五年内备品备件保障证明;