Juniper网络安全防火墙配置手册要点.docVIP

Juniper网络安全防火墙设备快速安装手册V1.0 2009-7 目 录 第一章 前 言 4 1.1、Juniper防火墙配置概述 4 1.2、Juniper防火墙管理配置的基本信息 5 1.3、Juniper防火墙的常用功能 5 第二章 软件操作 5 2.1、防火墙配置文件的导出和导入 5 2.1.1、配置文件的导出 6 2.1.2、配置文件的导入 6 2.2、防火墙软件（ScreenOS）更新 7 2.3、防火墙恢复密码及出厂配置的方法 8 2.4、防火墙重启 8 第三章 NS-5000系列（NS5200/NS5400） 9 3.1、NS-5000结构 9 3.2、硬件组件故障检查 10 3.3、设备组件更换 11 第四章 Juniper防火墙部署模式及基本配置 11 4.1、NAT模式 11 4.2、Route路由模式 12 4.3、透明模式 13 4.4、NAT/Route模式下的基本配置 14 4.4.1、NS-5200/5400 NAT/Route模式下的基本配置 14 4.5、透明模式下的基本配置 16 第五章 Juniper防火墙常用功能的配置 17 5.1、MIP的配置 17 5.1.1、使用Web浏览器方式配置MIP 18 5.1.2、使用命令行方式配置MIP 19 5.2、VIP的配置 20 5.2.1、使用Web浏览器方式配置VIP 20 5.2.2、使用命令行方式配置VIP 21 5.3、DIP的配置 21 5.3.1、使用Web浏览器方式配置DIP 22 5.3.2、使用命令行方式配置DIP 23 5.4、聚合接口（aggregate）的配置 24 第六章 Juniper防火墙双机的配置 25 6.1、使用Web浏览器方式配置 25 6.2、使用命令行方式配置 27 第七章 Juniper防火墙的维护命令 28 7.1登录Juniper防火墙的方式 28 7.2查看设备相关日志和工作状态 29 7.3检查设备CPU的占有率 37 7.3.1 原因分析 37 7.3.2采取的措施 37 7.4检查内存占有率 38 7.4.1 原因分析 38 7.4.2 采取的措施 38 7.5双机异常 38 7.5.1原因分析 38 7.5.2采取的措施 39 7.6故障处理工具 39 7.6.1 Debug 40 7.6.2 Snoop 40 第八章 Juniper防火墙的配置优化 41 8.1 ALG优化 41 8.2 防火墙数据包处理性能优化 41 8.3 日志优化 41 8.4 关闭双机会话同步 42 第九章 移动WAP网关配置案例 42 附录、Juniper防火墙的一些概念 51 第一章 前 言 我们制作本安装手册的目的是使维护Juniper网络安全防火墙设备（在本安装手册中简称为“Juniper防火墙”）的NSN公司相关技术人员，可以通过此安装手册完成对Juniper防火墙基本功能的实现、应用和排错。 1.1、Juniper防火墙配置概述 Juniper防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求；但是由于部署模式及功能的多样性使得Juniper防火墙在实际部署时具有一定的复杂性。 在配置Juniper防火墙之前我们通常需要先了解现有网络的规划情况和对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对Juniper防火墙进行配置和管理。 基本配置： 确认防火墙的部署模式：NAT模式、路由模式、或者透明模式； 为防火墙的端口配置IP地址（包括防火墙的管理IP地址），配置路由信息； 配置访问控制策略，完成基本配置。 其它配置： 配置基于端口和基于地址的映射； 配置双机冗余； 修改防火墙默认的用户名、密码以及管理端口。 1.2、Juniper防火墙管理配置的基本信息 Juniper防火墙常用管理方式： 通过Web浏览器方式管理。推荐使用IE浏览器进行登录管理，需要知道防火墙对应端口的管理IP地址； 命令行方式。支持通过Console端口超级终端连接和Telnet、SSH防火墙管理IP地址连接两种命令行登录管理模式。 Juniper防火墙缺省管理端口和IP地址： Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理。缺省IP地址为：/； 缺省IP地址通常设置在防火墙的专用的管理端口上（ISG-1000/2000,NS-5200/5400）。 Juniper防火墙缺省登录管理账号： 用户名：netscreen； 密 码：netscreen。 1.3、Juniper防火墙的常用功能 在一般情况下，防火墙设备的常用功能包括：透明模式的部署、NAT/路由模式的部署、NAT的应用、MIP的应用、DIP的应用、VIP的应用、NSRP