Juniper初始配置及管理.ppt

Juniper FWV基础售后培训 IEDU-JUNIP-FWV-BEG,2,目标,ISG 2000 介绍登录防火墙基本系统配置基础概念基本网络设置,ISG 2000 硬件介绍,ISG2000集中转发架构,系统性能为设计值整机4Gbps防火墙处理能力(大包) 2Gbps防火墙处理能力(64bytes小包)整机2Gbps 3DES或 AES VPN能力整机1百万并发连接最多支持10000 IPSec VPN tunnels最多支持16个千兆接口或28个百兆接口最多支持250个虚拟防火墙系统最多支持4094个VLANs,3,4,ISG 2000 硬件介绍,IDP 安全模块,5,ISG 2000 硬件介绍,ISG 2000 硬件,ISG 2000 接口,6,7,目标,,,,,,TablesBuffersRunningConfigScreenOS(active),ScreenOSImageSaved ConfigCerts, etc.,RAM,Flash,,Interf.,,Interf.,,Interf.,,TFTP,,,,,,,@PwrUp/Reset,Telnet,NetScreen,,,DNS/Syslog,,,,,,,,Webui,,Serial.,,,,Console,ISG 2000 介绍登录防火墙基本系统配置基础概念基本网络设置,8,登录防火墙-----Log in from Console I,防火墙可以通过Console访问方式进行管理最为安全的登录方式无须网络支持就可以登录无须IP地址就可以登录可以看到启动的信息可以看到实时的debug信息,9,登录防火墙-----Log in from Console II,,a.连接电源线，启动防火墙；整个启动过程约2分钟左右 Console线缆随机自带，为直通网线加转接头（DB9转RJ45）。

b.通过Console线缆来连接防火墙的Console端口 设备正常启动后，Power LED（电源灯）常绿；Status LED（状态灯）闪烁绿色 c.使用PC的终端连接工具，访问防火墙的Console进程10,登录防火墙-----Log in from Console III,,安全网关的默认管理员用户名/密码都是 netscreen,采用Windows系统超级终端的默认值参数即可采用SecureCRT 也可以连接设备,,选择正确的串口,11,登录防火墙-----Log in from Console IV,防火墙的默认管理员用户名/密码都是“netscreen”Console方式的配置采用CLI（命令行）方式进行,12,安全网关可以通过图形化模式进行管理最为直观的配置界面，所见即所得绝大多数的配置都可以通过WebUI来完成真正简捷、高效地图形化配置工具只需要很少的配置 (打开防火墙接口的web访问权限即可),登录防火墙-----Log in from WebUI I,13,登录防火墙-----Log in from WebUI II,,a.为要访问的接口配置IP地址x.x.x.x/x，并打开该接口的WebUI管理权限。

出厂状态下，Trust Zone的Interface的IP地址是192.168.1.1/24，开放了WebUI管理权限b.通过直通网线连接PC与防火墙的特定端口 出厂状态下，连接防火墙Trust Zone的端口c.将PC的网卡地址设置成与a.中接口的同一网段IP地址 出厂状态下，将PC网卡地址设置为192.168.1.X/24d.在PC的网页浏览器中输入http://x.x.x.x ,出现登录界面 出厂状态下，输入http://192.168.1.114,登录防火墙-----Log in from WebUI III,如果初次配置防火墙（或者对其进行了恢复出厂值操作），当通过WebUI登录防火墙时，配置向导就会出现配置向导可以帮助不熟悉防火墙的用户对系统进行基本配置高级用户不建议使用该向导进行系统配置默认的用户名/密码都是netscreen15,登录防火墙-----Log in from WebUI IV,首页可以读到设备的序列号、OS版本、主机名、时间、运行时间等可以阅读到实时状态下的系统CPU、内存、会话数、策略数16,登录防火墙-----Log in from WebUI V,可以阅读到系统产生的警报。

可以阅读到系统产生的日志17,目标,登录防火墙基本系统配置基础概念基本网络设置,18,基本系统配置-----ScreenOS升级,选中Firmware Update项点击“浏览”按钮，在客户端文件目录下寻找ScreenOS升级文件点击“Apply”按钮，进行升级系统将跳出警告提示升级文件导入后，系统重启；整个过程大概需要3分钟Configuration > Update > ScreenOS/Keys,,,,19,基本系统配置-----配置文件管理,Configuration>Update>Config File,上传配置选中Replace Current Configuration项点击“浏览”按钮，在客户端文件目录下寻找需要上传的配置文件，然后点击“Apply”进行上传， 系统将弹出警告下载配置点击“Save To File”按钮，进行下载系统将提示你选择文件目录20,基本系统配置-----管理员帐号管理,Configuration > Admin > Administrators,Root管理员由系统定义，不能删除；但可以修改其名称和密码Root管理员可以创建或删除本地管理员帐号。

本地管理员帐号分为Read-Only和Read-Write两种权限21,管理员帐号管理-----创建新的系统管理员帐号,Configuration > Admin > Administrators > Configuration,22,管理员帐号管理-----修改系统管理员帐号用户名/密码,Configuration > Admin > Administrators > Edit,23,基本系统配置-----配置Permitted IPs,可以通过设置Permitted-IPs来限制访问防火墙的源地址Permitted-IPs地址可以一个主机地址，也可以是一个网段Configuration > Admin > Permitted IPs,24,基本系统配置-----系统管理设置,Enable Web Management Idle Timeout 用来设置Webui登录的空闲超时时限各种 Port用来设置该种方式登录的端口；建议在外网访问WEB的时候，修改默认端口Configuration > Admin > Management,25,基本系统配置-----系统时钟设置,Configuration > Date/Time,最简捷的设置时间的方法是按“Sync Clock With Client”按钮。

系统将自身时钟与网管客户端的本地时钟作同步如果用户网络中有NTP服务器存在，也可在此页面设置26,基本系统配置-----系统DNS设置,Network > DNS > Host,该处设置的DNS仅供防火墙本身对外进行访问时使用防火墙下联的客户端无法继承该处的DNS配置可以通过Host Name项，改变防火墙的系统主机名称27,基本系统配置----- License Key管理,License Key提供的功能：Capacity License Key UTM Subscription License Key虚拟系统许可（VSYS) 防病毒（Anti-Virus）入侵防御许可（IDP） 网页过滤（URL filtering） 防垃圾邮件（Anti-Spam） 深层检测（Deep Inspection/IPS,Configuration > Update > ScreenOS/Keys,28,License Key管理 -----Capacity License Key管理,Configuration > Update > ScreenOS/Keys,选中“License Key Update”，点击“浏览”按钮，在客户端文件目录中选择license文件；再点击“Apply”按钮。

系统将弹出告警提示；确认后，license被导入License所支持的功能在重启后才真正生效29,License Key管理 -----UTM Subscription Key管理,Configuration > Update > ScreenOS/Keys,点击“Retrieve Subscriptions Now”按钮，主机将自动到Juniper数据中心下载相关许可下载成功与否的关键，是保证系统时间及DNS的正确设置30,基本系统配置-----恢复出厂值/默认密码,密码丢失是无法恢复的只有通过恢复出厂默认配置的方法来重新获得管理权限原来配置的参数、证书等都将被删除两种办法恢复出厂默认配置在Console模式下，用设备的序列号作为用户名/密码进行登录成功后系统出现警告提示，将擦去现有配置，确认后系统开始恢复默认配置，随后重启整个过程约3分钟使用设备面板上的针孔（pinhole）按下按钮直到系统指示灯变成红色等待指示灯恢复到绿色再按前述步骤来一次系统进入初始化状态,31,基本系统配置-----灾难恢复,当系统文件被破坏时，需要做灾难恢复表征：无法通过Webui、Telnet等方法访问系统。

原因：系统文件（ScreenOS）意外损坏或丢失恢复方法：通过Console方式进入系统的Boot模式，通过TFTP的方式 向系统FLASH上灌制可用的OSTFTP灌制ScreenOS的注意事项 TFTP服务器必须与系统的Self IP在同一子网 TFTP服务器必须连接在: 系统的Trust区端口 或系统的eth0/0、eth0/1、eth1端口 或系统的管理端口,32,灾难恢复-----恢复系统文件 I,,启动设备，当出现“Hit any key to run loader”时，按任意键进入boot模式在“Boot File Name”栏填入系统OS的文件名在“Self IP Address”栏填入一个临时地址供TFTP通信使用在“TFTP IP Address”栏填入TFTP服务器的地址，也就是PC的地址输入完毕后，按回车键开始通过TFTP传送系统OS到设备33,灾难恢复-----恢复系统文件 II,34,灾难恢复-----恢复系统文件 III,当出现“Save to on-board flash disk？”提示时，按“Y”键将OS存入FLASH。

当出现“Run download system image？”提示时，按“Y”键运行新的OS35,灾难恢复-----恢复系统文件 IV,当出现“The device successfully completed the operation“，整个系统恢复的过程结束36,目标,ISG 2000 介绍登录防火墙基本系统配置基础概念基本网络设置,。