Juniper初始配置及管理.ppt

Juniper FWVJuniper FWV基础售后培训基础售后培训 I IEDU-JUNIP-FWV-BEG EDU-JUNIP-FWV-BEG 2目标目标•ISG 2000 介绍•登录防火墙•基本系统配置•基础概念•基本网络设置ISG 2000 ISG 2000 硬件介绍硬件介绍• ISG2000 • 集中转发架构,系统性能为设计值 • 整机4Gbps防火墙处理能力(大包) • 2Gbps防火墙处理能力(64bytes小包) • 整机2Gbps 3DES或 AES VPN能力 • 整机1百万并发连接 • 最多支持10000 IPSec VPN tunnels • 最多支持16个千兆接口或28个百兆接口 • 最多支持250个虚拟防火墙系统 • 最多支持4094个VLANs34ISG 2000 ISG 2000 硬件介绍硬件介绍Slot 3 Mgt cardSlot 2-0 Security Cards（扩展）ASIC CardI/O ModulesFan Card• IDP 安全模块5ISG 2000 ISG 2000 硬件介绍硬件介绍ISG 2000 ISG 2000 硬件硬件• ISG 2000 接口67目标目标Tables BuffersRunning ConfigScreenOS (active)ScreenOS ImageSaved ConfigCerts, etc.RAMFlashInterf.Interf.Interf.TFTP@ PwrUp/ ResetTelnetNetScreenDNS/ SyslogWebuiSerial.Console•ISG 2000 介绍•登录防火墙•基本系统配置•基础概念•基本网络设置8登录防火墙登录防火墙----------Log in from Console ILog in from Console I• 防火墙可以通过Console访问方式进行管理– 最为安全的登录方式 – 无须网络支持就可以登录 – 无须IP地址就可以登录 – 可以看到启动的信息 – 可以看到实时的debug信息9登录防火墙登录防火墙----------Log in from Console IILog in from Console II•a.连接电源线，启动防火墙；整个启动过程约2分钟左右Console线缆随机自带，为直通网线加转接头（DB9转RJ45）。

•b.通过Console线缆来连接防火墙的Console端口设备正常启动后，Power LED（电源灯）常绿；Status LED（状态灯）闪烁绿色 •c.使用PC的终端连接工具，访问防火墙的Console进程10登录防火墙登录防火墙----------Log in from Console IIILog in from Console III• 安全网关的默认管理员用 户名/密码都是 netscreen采用Windows系统超级终端的默认值参数即可采用SecureCRT 也可以连接设备选择正确的串口11登录防火墙登录防火墙----------Log in from Console IVLog in from Console IV•防火墙的默认管理员用户名/密码都是“netscreen”•Console方式的配置采用CLI（命令行）方式进行12• 安全网关可以通过图形化模式进行管理 – 最为直观的配置界面，所见即所得 – 绝大多数的配置都可以通过WebUI来完成 – 真正简捷、高效地图形化配置工具 – 只需要很少的配置 (打开防火墙接口的web访问权限即可)登录防火墙登录防火墙----------Log in from WebUI ILog in from WebUI I13登录防火墙登录防火墙----------Log in from WebUI IILog in from WebUI II•a.为要访问的接口配置IP地址x.x.x.x/x，并打开该接口的WebUI管理权限。

出厂状态下，Trust Zone的Interface的IP地址是192.168.1.1/24，开放了WebUI管理权限•b.通过直通网线连接PC与防火墙的特定端口出厂状态下，连接防火墙Trust Zone的端口•c.将PC的网卡地址设置成与a.中接口的同一网段IP地址出厂状态下，将PC网卡地址设置为192.168.1.X/24•d.在PC的网页浏览器中输入http://x.x.x.x ,出现登录界面出厂状态下，输入http://192.168.1.114登录防火墙登录防火墙----------Log in from WebUI IIILog in from WebUI III•如果初次配置防火墙（或者对其进行了恢复出厂值操作），当通过WebUI登录防火 墙时，配置向导就会出现•配置向导可以帮助不熟悉防火墙的用户对系统进行基本配置高级用户不建议使 用该向导进行系统配置•默认的用户名/密码都是netscreen15登录防火墙登录防火墙----------Log in from WebUI IVLog in from WebUI IV•首页可以读到设备的序列号、OS版本、主机名、时间、运行时间等。

•可以阅读到实时状态下的系统CPU、内存、会话数、策略数16登录防火墙登录防火墙----------Log in from WebUI VLog in from WebUI V•可以阅读到系统产生的警报•可以阅读到系统产生的日志17目标目标•登录防火墙•基本系统配置•基础概念•基本网络设置18基本系统配置基本系统配置----------ScreenOSScreenOS升级升级 •选中Firmware Update项•点击“浏览”按钮，在客户端文件目录下寻找ScreenOS升级文件•点击“Apply”按钮，进行升级系统将跳出警告提示•升级文件导入后，系统重启；整个过程大概需要3分钟Configuration > Update > ScreenOS/Keys 19基本系统配置基本系统配置----------配置文件管理配置文件管理Configuration>Update>Config File上传配置•选中Replace Current Configuration项•点击“浏览”按钮，在客户端文件目录下寻找需要上传的配置文件，然后点击“Apply”进行上传，系统将弹出警告下载配置•点击“Save To File”按钮，进行下载。

系统将提示你选择文件目录20基本系统配置基本系统配置----------管理员帐号管理管理员帐号管理• Configuration > Admin > Administrators创建新的管理员帐号编辑管理员帐号Root管理员由系统定义，不能删除；但可以修改其名称和密码 Root管理员可以创建或删除本地管理员帐号 本地管理员帐号分为Read-Only和Read-Write两种权限21管理员帐号管理管理员帐号管理----------创建新的系统管理员帐号创建新的系统管理员帐号• Configuration > Admin > Administrators > Configuration 22管理员帐号管理管理员帐号管理----------修改系统管理员帐号用户名修改系统管理员帐号用户名/ /密码密码• Configuration > Admin > Administrators > Edit 23基本系统配置基本系统配置----------配置配置Permitted IPsPermitted IPs•可以通过设置Permitted-IPs来限制访问防火墙的源地址•Permitted-IPs地址可以一个主机地址，也可以是一个网段。

• Configuration > Admin > Permitted IPs 24基本系统配置基本系统配置----------系统管理设置系统管理设置•Enable Web Management Idle Timeout 用来设置Webui登录的空闲超时时限•各种 Port用来设置该种方式登录的端口；建议在外网访问WEB的时候，修改默认端口Configuration > Admin > Management 25基本系统配置基本系统配置----------系统时钟设置系统时钟设置• Configuration > Date/Time 最简捷的设置时间的方法是按“Sync Clock With Client”按钮系统将自身时 钟与网管客户端的本地时钟作同步 如果用户网络中有NTP服务器存在，也可在此页面设置26基本系统配置基本系统配置----------系统系统DNSDNS设置设置• Network > DNS > Host 该处设置的DNS仅供防火墙本身对外进行访问时使用 防火墙下联的客户端无法继承该处的DNS配置 可以通过Host Name项，改变防火墙的系统主机名称27基本系统配置基本系统配置----- ----- License KeyLicense Key管理管理 • License Key提供的功能： Capacity License Key UTM Subscription License Key 虚拟系统许可（VSYS) 防病毒（Anti-Virus） 入侵防御许可（IDP） 网页过滤（URL filtering）防垃圾邮件（Anti-Spam）深层检测（Deep Inspection/IPSConfiguration > Update > ScreenOS/Keys 28License KeyLicense Key管理管理----------Capacity License KeyCapacity License Key管理管理Configuration > Update > ScreenOS/Keys 选中“License Key Update”，点击“浏览”按钮，在客户端文件目录中选择license文件；再点击“Apply”按钮。

系统将弹出告警提示；确认后，license被导入License所支持的功能在重启后才真正生效29License KeyLicense Key管理管理----------UTM Subscription KeyUTM Subscription Key管理管理Configuration > Update > ScreenOS/Keys 点击“Retrieve Subscriptions Now”按钮，主机将自动到Juniper数据中心下载相关许可下载成功与否的关键，是保证系统时间及DNS的正确设置30基本系统配置基本系统配置----------恢复出厂值恢复出厂值/ /默认密码默认密码• 密码丢失是无法恢复的• 只有通过恢复出厂默认配置的方法来重新获得管理权限 –原来配置的参数、证书等都将被删除• 两种办法恢复出厂默认配置 –在Console模式下，用设备的序列号作为用户名/密码进行登录• 成功后系统出现警告提示，将擦去现有配置，确认后系统开始恢复默认配 置，随后重启整个过程约3分钟 –使用设备面板上的针孔（pinhole）• 按下按钮直到系统指示灯变成红色 • 等待指示灯恢复到绿色 • 再按前述步骤来一次 • 系统进入初始化状态31基本系统配置基本系统配置----------灾难恢复灾难恢复• 当系统文件被破坏时，需要做灾难恢复 表征：无法通过Webui、Telnet等方法访问系统。

原因：系统文件（ScreenOS）意外损坏或丢失 恢复方法：通过Console方式进入系统的Boot模式，通过TFTP的方式向系统FLASH上灌制可用的OS• TFTP灌制ScreenOS的注意事项TFTP服务器必须与系统的。