搜索
JuniperFWV基础售后培训IEDU-JUNIP-FWV-BEG2目标•登录防火墙•基本系统配置•基础概念•基本网络设置3目标•登录防火墙•基本系统配置•基础概念•基本网络设置TablesBuffersRunningConfigScreenOS(active)ScreenOSImageSavedConfigCerts,etc.RAMFlashInterf.Interf.Interf.TFTP@PwrUp/ResetTelnetNetScreenDNS/SyslogWebuiSerial.Console4登录防火墙-----LoginfromConsoleI•防火墙可以通过Console访问方式进行管理–最为安全的登录方式–无须网络支持就可以登录–无须IP地址就可以登录–可以看到启动的信息–可以看到实时的debug信息5登录防火墙-----LoginfromConsoleII•a.连接电源线,启动防火墙;整个启动过程约2分钟左右Console线缆随机自带,为直通网线加转接头(DB9转RJ45)。•b.通过Console线缆来连接防火墙的Console端口设备正常启动后,PowerLED(电源灯)常绿;StatusLED(状态灯)闪烁绿色。•c.使用PC的终端连接工具,访问防火墙的Console进程。6登录防火墙-----LoginfromConsoleIII•安全网关的默认管理员用户名/密码都是netscreen采用Windows系统超级终端的默认值参数即可选择正确的串口7登录防火墙-----LoginfromConsoleIV•防火墙的默认管理员用户名/密码都是“netscreen”•Console方式的配置采用CLI(命令行)方式进行8•安全网关可以通过图形化模式进行管理–最为直观的配置界面,所见即所得。–绝大多数的配置都可以通过WebUI来完成。–真正简捷、高效地图形化配置工具。–只需要很少的配置(打开防火墙接口的web访问权限即可)登录防火墙-----LoginfromWebUII9登录防火墙-----LoginfromWebUIII•a.为要访问的接口配置IP地址x.x.x.x/x,并打开该接口的WebUI管理权限。出厂状态下,TrustZone的Interface的IP地址是192.168.1.1/24,开放了WebUI管理权限。•b.通过直通网线连接PC与防火墙的特定端口出厂状态下,连接防火墙TrustZone的端口。•c.将PC的网卡地址设置成与a.中接口的同一网段IP地址。出厂状态下,将PC网卡地址设置为192.168.1.X/24。•d.在PC的网页浏览器中输入出现登录界面。出厂状态下,输入。10登录防火墙-----LoginfromWebUIIII•如果初次配置防火墙(或者对其进行了恢复出厂值操作),当通过WebUI登录防火墙时,配置向导就会出现。•配置向导可以帮助不熟悉防火墙的用户对系统进行基本配置。高级用户不建议使用该向导进行系统配置。•默认的用户名/密码都是netscreen。11登录防火墙-----LoginfromWebUIIV•首页可以读到设备的序列号、OS版本、主机名、时间、运行时间等。•可以阅读到实时状态下的系统CPU、内存、会话数、策略数。12登录防火墙-----LoginfromWebUIV•可以阅读到系统产生的警报。•可以阅读到系统产生的日志。13目标•登录防火墙•基本系统配置•基础概念•基本网络设置14基本系统配置-----ScreenOS升级•选中FirmwareUpdate项。•点击“浏览”按钮,在客户端文件目录下寻找ScreenOS升级文件。•点击“Apply”按钮,进行升级。系统将跳出警告提示。•升级文件导入后,系统重启;整个过程大概需要3分钟。ConfigurationUpdateScreenOS/Keys15基本系统配置-----配置文件管理ConfigurationUpdateConfigFile上传配置•选中ReplaceCurrentConfiguration项。•点击“浏览”按钮,在客户端文件目录下寻找需要上传的配置文件,然后点击“Apply”进行上传,系统将弹出警告。下载配置•点击“SaveToFile”按钮,进行下载。系统将提示你选择文件目录。16基本系统配置-----管理员帐号管理•ConfigurationAdminAdministrators创建新的管理员帐号编辑管理员帐号Root管理员由系统定义,不能删除;但可以修改其名称和密码。Root管理员可以创建或删除本地管理员帐号。本地管理员帐号分为Read-Only和Read-Write两种权限。17管理员帐号管理-----创建新的系统管理员帐号•ConfigurationAdminAdministratorsConfiguration18管理员帐号管理-----修改系统管理员帐号用户名/密码•ConfigurationAdminAdministratorsEdit19基本系统配置-----配置PermittedIPs•可以通过设置Permitted-IPs来限制访问防火墙的源地址。•Permitted-IPs地址可以一个主机地址,也可以是一个网段。•ConfigurationAdminPermittedIPs20基本系统配置-----系统管理设置•EnableWebManagementIdleTimeout用来设置Webui登录的空闲超时时限。•各种Port用来设置该种方式登录的端口;建议在外网访问WEB的时候,修改默认端口。ConfigurationAdminManagement21基本系统配置-----系统时钟设置•ConfigurationDate/Time最简捷的设置时间的方法是按“SyncClockWithClient”按钮。系统将自身时钟与网管客户端的本地时钟作同步。如果用户网络中有NTP服务器存在,也可在此页面设置。22基本系统配置-----系统DNS设置•NetworkDNSHost该处设置的DNS仅供防火墙本身对外进行访问时使用。防火墙下联的客户端无法继承该处的DNS配置。可以通过HostName项,改变防火墙的系统主机名称。23基本系统配置-----LicenseKey管理•LicenseKey提供的功能:CapacityLicenseKeyUTMSubscriptionLicenseKey扩展许可(extended)防病毒(Anti-Virus)高级许可(advanced)网页过滤(URLfiltering)入侵防御许可(IDP)防垃圾邮件(Anti-Spam)虚拟系统许可(VSYS)深层检测(DeepInspection/IPSConfigurationUpdateScreenOS/Keys24LicenseKey管理-----CapacityLicenseKey管理ConfigurationUpdateScreenOS/Keys选中“LicenseKeyUpdate”,点击“浏览”按钮,在客户端文件目录中选择license文件;再点击“Apply”按钮。系统将弹出告警提示;确认后,license被导入。License所支持的功能在重启后才真正生效。25LicenseKey管理-----UTMSubscriptionKey管理ConfigurationUpdateScreenOS/Keys点击“RetrieveSubscriptionsNow”按钮,主机将自动到Juniper数据中心下载相关许可。下载成功与否的关键,是保证系统时间及DNS的正确设置。26基本系统配置-----恢复出厂值/默认密码•密码丢失是无法恢复的•只有通过恢复出厂默认配置的方法来重新获得管理权限–原来配置的参数、证书等都将被删除•两种办法恢复出厂默认配置–在Console模式下,用设备的序列号作为用户名/密码进行登录。•成功后系统出现警告提示,将擦去现有配置,确认后系统开始恢复默认配置,随后重启。整个过程约3分钟。–使用设备面板上的针孔(pinhole)•按下按钮直到系统指示灯变成红色•等待指示灯恢复到绿色•再按前述步骤来一次•系统进入初始化状态27基本系统配置-----灾难恢复•当系统文件被破坏时,需要做灾难恢复表征:无法通过Webui、Telnet等方法访问系统。原因:系统文件(ScreenOS)意外损坏或丢失。恢复方法:通过Console方式进入系统的Boot模式,通过TFTP的方式向系统FLASH上灌制可用的OS。•TFTP灌制ScreenOS的注意事项TFTP服务器必须与系统的SelfIP在同一子网TFTP服务器必须连接在:系统的Trust区端口或系统的eth0/0、eth0/1、eth1端口或系统的管理端口28灾难恢复-----恢复系统文件I•启动设备,当出现“Hitanykeytorunloader”时,按任意键进入boot模式。•在“BootFileName”栏填入系统OS的文件名。•在“SelfIPAddress”栏填入一个临时地址供TFTP通信使用。•在“TFTPIPAddress”栏填入TFTP服务器的地址,也就是PC的地址。•输入完毕后,按回车键开始通过TFTP传送系统OS到设备。29灾难恢复-----恢复系统文件II30灾难恢复-----恢复系统文件III•当出现“Savetoon-boardflashdisk?”提示时,按“Y”键将OS存入FLASH。•当出现“Rundownloadsystemimage?”提示时,按“Y”键运行新的OS。31灾难恢复-----恢复系统文件IV•当出现“Thedevicesuccessfullycompletedtheoperation“,整个系统恢复的过程结束。32目标•登录防火墙•基本系统配置•基础概念•基本网络设置VRZoneInt.33基础概念---VirtualRouter/Zone/Interface•严格的逻辑层次结构–安全区从属于虚拟路由器•安全区默认都从属于trust-vr–接口从属于安全区•一个接口只能从属于一个安全区–IP地址从属于接口Int.ZoneZoneVirtualRouterVRZoneInt.IP•虚拟路由器的路由表各自独立•安全区之间的访问受策略控制•接口是一个逻辑概念,它可以包含若干个物理端口,也可以不包括任何物理端口34•虚拟路由器预定义:•trust-vr:系统的defaultVR。•untrust-vr:自定义:在高端型号上,需要license支持方可使用•动态路由协议的全局配置在VR菜单下基础概念---VirtualRouterNetworkRoutingVirtualRouters35•安全区–预定义:•Trust:一般放置内网接口•Untrust:一般放置外网接口•DMZ:一般放置服务器接口用户自定义:•功能安全区–Null:放置未配置的接口–MGT:放置网管用接口–HA:–Self–VLAN基础概念---SecurityZone36基础概念---InterfaceI•接口–逻辑接口:subinterface、loopbackinterface、HAinterface、VSIinterface、etc.–物理接口:百兆铜缆、千兆铜缆、百兆光纤、千兆光纤、万兆光纤等•设备的可网管配置也在接口菜单完成•当我们谈论的是设备的物理连接口的时候,使用的术语是Port(端口)37基础概念---SubInterface•Sub-IF的用途是在一个物理接口上承接来自某个或者多个VLAN的数据。•Sub-IF与其物理接口并无逻辑上的联系。Eth0/0在TrustZone,eth0/0.1在DMZZone这种情况是允许的。38基础概念---TunnelInterface•TunnelIF的用途是建立一个隧道接口供VPN使用;GRE、IPSec。•TunnelIF可以选择使用一个额外的