Juniper防火墙日常维护手册.docx
- 文档编号:28375612
- 上传时间:2023-07-10
- 格式:DOCX
- 页数:23
- 大小:1.76MB
Juniper防火墙日常维护手册.docx
《Juniper防火墙日常维护手册.docx》由会员分享,可在线阅读,更多相关《Juniper防火墙日常维护手册.docx(23页珍藏版)》请在冰豆网上搜索。
Juniper防火墙日常维护手册
防火墙维护手册
1.日常维护内容3
1.1.配置主机名3
1.2.接口配置4
1.3.路由配置5
1.4.高可用性配置(双机配置)6
1.5.配置(通过图形界面配置)9
1.6.配置访问策略(通过图形界面配置)11
2.的管理15
2.1.访问方式15
2.2.用户17
2.3.日志18
2.4.性能20
2.5.其他常用维护命令21
3.其他的配置21
1.日常维护内容
1.1.配置主机名
防火墙出厂配置的机器名为,为了便于区分设备和维护,在对防火墙进行配置前先对防火墙进行命名:
>1
1>
1.2.接口配置
配置接口的工作包括配置接口属于什么区域、接口的地址、管理地址、接口的工作模式、接口的一些管理特性。
接口的管理与接口在同一网段,用于专门对接口进行管理时用。
在双机的工作状态下,因为接口的地址只存在于主防火墙上,如果不配置管理,则不能对备用防火墙进行登录了。
一般在单机时,不需要配置接口的管理,但在双机时,建议对区域的接口配置管理。
接口的一些管理特性包括是否允许对本接口的进行、、等操作。
注意:
接口的工作模式可以工作在路由模式,模式和透明模式。
在产品线应用中,透明模式很少用,而模式只有在到的数据流才起作用,建议把防火墙的所有接口都配置成的工作模式,用命令接口名配置即可,缺省情况下需要在区段中的接口使用此命令。
本例子中,配置接口2属于区,地址为202.38.12.23/28,如设置管理方式是,命令如下:
204->1
204->110.243.194.194/29
204->1
204->1
204->2202.38.12.23/28
204->1
选择接口后按键后进入以下页面进行配置接口特性:
透明模式只需要将防火墙的接口配置为V1或V1等二层的区段,不需要配置接口的,设置的命令如下:
1->1/1V1
1->1/2V1
1.3.路由配置
防火墙有路由功能,缺省情况下,内部有和两个路由器,为了能与外部通讯,需要在这两个虚拟路由器上配置路由。
如果没有使用的话,不需要在上配置路由。
一般应用中,配置静态路由即可满足要求。
配置静态路由时,需要配置目的网络、下一跳及出去的接口。
透明模式的防火墙不需要设置路由信息。
本例中,在上配置默认的路由下一跳通过接口指向网关202.38.12.17
204->0.0.0.0/02211.136.202.9
用的方式配置接口,菜单:
>>
按按钮可以配置一个新的路由:
1.4.高可用性配置(双机配置)
双机的基本配置步骤:
1、检查双机的版本是否一致,原则上两台防火墙的版本要求相同。
如果版本不同,建议升级到相同的版本。
防火墙版本的检查命令:
1->
:
1000
:
0136,:
00000000
:
3010(0)-(04),:
00000000,1(0.0.0.0)
:
5.3.0r7.0,:
2、连接线,把接口划分到区段中。
线是防火墙的心跳线,1000没有专门的接口,必须设置接口来并划分到区段中。
如果心跳线采用光纤则只需要设置一个口和一根心跳线,如果采用双绞线作为心跳线,则需要设置两个口和两条双胶线,接口之间采用交叉线相连接。
本例将1/3及1/4设置为接口:
1->"1/3"""
1->"1/4"""
3、配置号
防火墙双机也叫,同一个双机的号应相同。
在两台防火墙上都用命令配置成同一个:
(M)->1
则两台防火墙一台会变成1(M),另一台会变成1(B),(M)表示主用,(B)表示备用,(I)表示初始化。
注意:
在(I)状态下,防火墙是不能正常工作的,出现此状态时一定要注意。
用方式配置双机的,菜单:
>>
4、配置组及优先级
虚拟安全设备组用于防火墙工作在方式下,缺省情况下两台防火墙都属于组0,可以设置组的优先级,优先级数值越小,则越优先。
1(M)->050
用的方式配置组的优先级,菜单:
>>,选择或菜单则可。
5、配置双机同步
配置成双机后,把在防火墙上新增加的配置会自动同步到另一台防火墙上:
注意:
在配置成双机前的防火墙上的配置不会主动同步到另一台机器上;如果在防火墙1上做配置时,防火墙2是的,则此时在防火墙1上做的配置,是不会主动同步到另一台防火墙上的。
如果要同步这些异常情况下的配置,则需要在备机上运行相应的命令。
配置,相当于防火墙上的连接信息,在两台防火墙上分别配置:
1(M)->
1(B)->
用的方式配置同步,菜单:
>>
1.5.配置(通过图形界面配置)
1、命令行
204(M)->0/2211.136.202.1910.243.194.195255.255.255.255
方式
选择菜单:
>,选择0/2,按按钮:
再选择进入:
选择选项,配置一个新的:
1.6.配置访问策略(通过图形界面配置)
通过配置访问策略来控制通过防火墙的访问,
1、配置地址
配置地址的对象,可以是单个或一个网段。
选择>>,再选择你配置源的安全区(或目的地址的安全区),
设置单个:
设置段:
2、配置访问
防火墙中内置了许多的,如,等,你可以在策略中直接选择需要访问的,如果你需要设置自定义的,可按如下步骤:
进入>>>,本例设置的是7001端口(用于)
当然,你也可以配置地址的组,将你需要的地址放入组中,并在策略中引用组。
4、配置策略
本例配置从到区允许访问172.16.1.122服务器的7001服务,已定义172.16.1.122地址为。
进入,选择源安全区到目的安全区,并点击有上角
6、配置访问策略
步骤与上相同,本例是从访问地址202.38.12.17。
2.的管理
2.1.访问方式
防火墙支持多种的管理方式:
、、、、防火墙管理软件等。
常用的有、和。
是通过直接的串口线连接防火墙,对防火墙进行管理和配置;是通过终端仿真协议登录到防火墙上的可管理地址,对防火墙进行管理和配置;是通过或登录到防火墙的可管理地址,对防火墙进行管理和配置。
通过串口直接登录到防火墙时,超级终端的端口配置如下:
串行通讯9600
8位
无奇偶校验
1停止位
无信息流控制
或登录后的命令行界面如下:
登录的界面如下:
注意:
如果要通过或登录和管理防火墙,所登录的防火墙的接口需要打开或的功能;如果防火墙的接口配置了管理,一般只能对接口的管理进行或,而不能直接对接口地址进行或(版本不支持)。
用命令行的方式检查接口是否打开或功能的方式:
204->2
2:
2
5,10280,0,
,
0,1500,1500
*211.136.202.10/300014642475
*211.136.202.10,0014642475
4
,,
,
,p0.0.0.0
:
:
100000,[00]
0,0
0
:
128052,0
用的方式检查接口是否打开或功能的方式:
选择菜单:
>
选择对应接口的菜单:
2.2.用户
设备支持多个管理用户级别。
这些级别的可用性取决于设备的模式。
根管理员具有完全的管理权限。
每个设备只有一个根管理员。
缺省情况下根管理员的用户名和密码为。
在进行防火墙配置时,务必先修改防火墙根用户的默认用户名和默认口令。
用命令行的方式修改根用户的用户名和口令的命令:
(M)->
其中为根用户的用户名,为根用户的密码。
用的方式修改根用户名和密码的方式
选择菜单:
>>:
选择按钮后可出现以下菜单,可以输入新的根用户和口令:
注意:
防火墙在启用后,强烈建议修改缺省密码。
同时在上线后,每次修改防火墙的配置,都建议对配置作备份。
因为防火墙密码丢失后,恢复密码的操作会把防火墙所有的配置丢掉。
2.3.日志
防火墙有各种日志,常用的有告警日志和事件日志,这些日志信息对于维护防火墙时是非常有用的。
用命令行的方式查看告警日志的命令:
5001(M)->
=44
2004-12-0715:
14:
26000158319360
0
.
2004-12-0715:
14:
25000718318976
(0)
.
用命令行的方式查看事件日志的命令:
(M)->
=41
2007-01-0112:
27:
4400767
.
2007-01-0112:
21:
1300515
172.16.1.119:
2667
2007-01-0112:
21:
1300515
172.16.1.119:
2667()
2007-01-0112:
21:
0800518:
'':
通过方式查看告警日志和事件日志的方法:
通过登录到防火墙上即可:
2.4.性能
维护时检查防火墙的性能主要是查看防火墙和的使用情况。
通过命令行的方式查看防火墙的使用情况:
(M)->
:
1%
1:
2%,5:
2%,15:
2%
(M)->
:
1%
60:
59:
258:
257:
256:
255:
254:
2
53:
252:
251:
250:
249:
248:
2
47:
246:
245:
244:
243:
242:
2
41:
240:
239:
238:
237:
236:
2
35:
234:
233:
232:
231:
230:
2
29:
228:
227:
226:
225:
224:
2
23:
222:
221:
220:
219:
218:
2
17:
216:
215:
214:
213:
212:
2
11:
210:
29:
28:
27:
26:
2
5:
24:
23:
22:
21:
20:
2
60:
59:
258:
257:
256:
255:
254:
2
53:
252:
251:
250:
249:
248:
2
47:
246:
245:
244:
243:
242:
2
41:
240:
239:
238:
237:
236:
2
35:
234:
233:
232:
231:
230:
2
通过命令行方式查看的使用情况:
(M)->
164064,0,0,0
0,64063
64054**000000040/0080/0021320002180,0
0
6(800601):
172.16.1.119/2667->172.16.1.1/23,6,0015c51302
40005
3(0010):
172.16.1.119/2667<-172.16.1.1/23,6,08
0000
1
上述表明现在防火墙有1个。
通过的方式查看防火墙的及的使用情况:
登录到首页:
2.5.其他常用维护命令
防火墙其他常用维护命令有:
✓:
收集当前系统的运行状态信息,供远程支持人员或厂商进行故障分析;
✓:
查看当前防火墙的软件版本、硬件版本,接口的配置和状态的信息;
✓:
查看各种计数器的统计值,后面需要加上相应的类型参数;
✓:
查看防火墙的地址映射;
✓:
查看防火墙的策略信息;
✓:
查看防火墙的路由的信息;
✓:
查看防火墙的信息;
✓:
查看防火墙的时间。
3.其他的配置
4.1、配置
主要用于对网络设置进行监控和管理的协议,防火墙的之策V1和V2C,你可以进入菜单>>>
4.2、配置
可以通过设置来接收防火墙的,可以包括和,的设置进入菜单:
>>
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Juniper 防火墙 日常 维护 手册