Juniper防火墙日常维护手册.docxVIP

Juniper 防火墙维护手册 精品文档 精品文档 PAGE PAGE #欢迎。下载 目录 TOC \o 1-5 \h \z \o Current Document 日常维护内容 4 \o Current Document 配置主机名 4 \o Current Document 接口配置 4 \o Current Document 路由配置 5 \o Current Document 高可用性配置（双机配置） 7 \o Current Document 配置MIP （通过图形界面配置） 9 \o Current Document 配置访问策略（通过图形界面配置） 11 \o Current Document NetScreen 的管理 15 \o Current Document 访问方式 15 \o Current Document 用户 18 \o Current Document 日志 19 \o Current Document 性能 20 \o Current Document 其他常用维护命令 22 其他的配置 22 日常维护内容 配置主机名 NetScreen 防火墙出厂配置的机器名为 netscreen ，为了便于区分设备和维 护，在对防火墙进行配置前先对防火墙进行命名： Netscreen- set hostname FW-1-M FW-1-M 接口配置 配置接口的工作包括配置接口属于什么区域、 接口的 IP 地址、管理 IP 地址、 接口的工作模式、接口的一些管理特性。接口的管理 IP 与接口 IP 在同一网段， 用于专门对接口进行管理时用。 在双机的工作状态下， 因为接口的地址只存在于 主防火墙上，如果不配置管理 IP ，则不能对备用防火墙进行登录了。一般在单 机时，不需要配置接口的管理 IP ，但在双机时，建议对 trust 区域的接口配置 管理 IP 。接口的一些管理特性包括是否允许对本接口的 IP 进行 ping 、telnet 、 WebUI等操作。 注意：接口的工作模式可以工作在路由模式，NAT模式和透明模式。在产品线应 用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用， 建议把防火墙的所有接口都配置成 route 的工作模式 ，用命令 set interface 接口 名 route 配置即可，缺省情况下需要在 trust 区段中的接口使用此命令。 本例子中，配置接口 ethernet2 属于 Untrust 区， IP 地址为 3/28 ， 如设置管理方式是 Http ，命令如下： Ns204 - set interface ethernet1 zone Trust Ns204 - set interface ethernet1 ip 94/29 Ns204 - set interface ethernet1 nat Ns204 - set interface ethernet1 zone Untrust Ns204 - set interface ethernet2 ip 3/28 Ns204 - set interface ethernet1 nat 精品文档 精品文档 PAGE PAGE #欢迎下载 精品文档hflrjurk 精品文档 hflrjurk bMtt曲解「Uh PAGE PAGE #欢迎下载 pQL|HTTnRLI■笊 bn lbHlifHtlQftS suiteSeuicc hb-?1ac=UCh^E Pduirig pQL|H TTnRL I■笊 bn lb HlifHtlQft S suite Seuicc hb-?1ac= UCh^E Pduirig .■: PEH VtoU3l 別口0吟 71杯 ]$l1V￥l|hH| PoHki04i MCmI PoIIcImi EH lP/NELm.A3：l￡ Zqiu: T疗u |_ ink 口ariliigiirE 2^2^.12.12^ Irtsx - Edi 172 16 Mtrufit Liyarl W - EAl 孕t窝FPi戟为 0 0 o cw Untrust Lwr D0**n ■ 血 oaoc^j 非 Layera Down ■ Gt 管 Isn L 0 D.D.C^a MLAld Ljfy?r3 Dd**H - Tiktiiul IF v 选择接口后按Edit键后进入以下页面进行配置接口特性: 透明模式只需要将防火墙的接口配置为 V1-Untrust或V1-Trust等二层的区段, 不需要配置接口的IP，设置的命令如下: FW-