当前位置：文档之家› juniper路由器的安全性配置

juniper路由器的安全性配置

JUNOS
Pejhan Peymani
Matt Kolon
Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 888 JUNIPER 408 745 2000 https://www.doczj.com/doc/ca3289269.html,
350013-003SC 05/2003

................................................................................................................................................................ 3 ................................................................................................................................................................ 3 ................................................................................................................................................ 3 JUNOS ........................................................................................................................................... 4 ........................................................................................................................................ 5 ................................................................................................................................................ 5 ................................................................................................................................................ 5 ................................................................................................................................................ 5 ................................................................................................................................................ 5 ........................................................................................................................................ 6 ........................................................................................................................................................ 6 ............................................................................................................................................ 8 ............................................................................................................................ 9 ................................................................................................ 9 ................................................................................................................................ 9 ICMP IP VPN ...................................................................................................................... 10 SYN ........................................................................................................................................ 11 .................................................................................................................. 12 ................................................................................................................ 13
....................................................................................................................................... 14 ................................................................................................. 15 VPN ............................................................................................................ 16 ........................................................................................................................................................ 16 .................................................................................................................... 17 ............................................................................................................................ 17 ........................................................................................................................ 17 ........................................................................................................................................ 18
........................................................................................................................................................ 18 A ............................................................................................................................................................ 18 B ............................................................................................................................................................ 19
Copyright ? 2003, Juniper Networks, Inc.

IP Juniper Juniper Juniper
3
--
-Juniper
Copyright ? 2003, Juniper Networks, Inc.
3

4
IPv4 JUNOS
IPv6
https://www.doczj.com/doc/ca3289269.html,/techpubs/
JUNOS
JUNOS
■
JUNOS 200.0.0.255 200.0.0.0/24 ping (DoS) 254 ping --
JUNOS ping ping ping
■
telnet
■
ftp
ssh SNMP -
JUNOS JUNOS
SNMP
JUNOS
■
ARP ARP storm ARP (policer) martian , ARP
■
Martian routing-options { martians { destination-prefix match-type; } } JUNOS martian
0.0.0.0/8 127.0.0.0/8 128.0.0.0/16 191.255.0.0/16 192.0.0.0/24 223.255.255.0/24 240.0.0.0/4
4 Copyright ? 2003, Juniper Networks, Inc.

JUNOS
Juniper (fxp0) EIA-232 DoS ISP
■
■
telnet
ssh (
)
ssh
telnet
JUNOS JUNOS DoS ssh ssh
ssh ssh
ssh ssh SYN
system { services { ssh connection-limit 10 rate-limit 4; } }
Copyright ? 2003, Juniper Networks, Inc.
5

ssh system { services { ssh { root-login deny; protocol-version v2; } } } deny ssh ssh ssh 2 1 2 1 1 2
ssh
deny-password ssh
(secure copy protocol SCP) JUNOS file copy
ssh SCP
file copy router.config user@https://www.doczj.com/doc/ca3289269.html,/destdir/ router.config destdir scp https://www.doczj.com/doc/ca3289269.html, ftp
SecureID
JUNOS (TACACS+) RADIUS TACACS+ RADIUS
-IETF
(RADIUS)
RADIUS RADIUS TACACS+ JUNOS
6
Copyright ? 2003, Juniper Networks, Inc.

system { authentication-order [ radius ]; radius-server { 10.1.2.1 { secret "XXXXXXXXXXXXXXXXXXXX"; # SECRET-DATA timeout 5; } 10.1.2.2{ secret "XXXXXXXXXXXXXXXXXXXX"; # SECRET-DATA timeout 5; } } } RADIUS authentication-order ( RADIUS ( ( ( ) ) ) )
RADIUS
(
)
login { */ /* class observation { idle-timeout 5; permissions [ configure firewall interface network routing snmp system trace view]; } */ /* class operation { idle-timeout 5; permissions [admin clear configure interface interface-control network reset routing routing-control snmp snmp-control trace-control firewall-control rollback]; } */ /* class engineering { idle-timeout 5; permissions all; } } RADIUS RSA/DSA telnet
Copyright ? 2003, Juniper Networks, Inc.
7

login { /* */ user admin { uid 1000; class engineering; authentication { ssh-dsa "XXXXXXXXXXXXX"; # Secure shell (ssh) RSA public key string } } */ /* user observation { uid 1001; class observation; } user operation { uid 1002; class operation; } user engineering { uid 1003; class engineering; } } RADIUS JUNOS
( ) JUNOS BGP OSPF IS-IS RIP RSVP HMAC-MD5 HMAC-MD5
BGP instance (
internalpeers BGP ) BGP
neighbor
routing-
protocols { bgp { group internalpeers { authentication-key XXXXXXX; } } }
8
Copyright ? 2003, Juniper Networks, Inc.

JUNOS IGP OSPF IS-IS DOS IS-IS OSPF
IGP OSPF
IGP MPLS IP
(RE) RE Juniper (CPU ) RE Juniper
lo0
protect-RE
interfaces { lo0 { unit 0 { family inet { filter { input protect-RE; } address 10.10.5.1/32; }
} } }
■ ■ ■ ■ ■ ■
(BGP (SSH
OSPF DNS
RSVP NTP )
)
(ICMP
traceroute
)
RE
Copyright ? 2003, Juniper Networks, Inc.
9

■
B (policer) (policer) firewall { filter protect-RE { */ /* term ssh { from { source-prefix-list { ssh-addresses; } protocol tcp; port [ ssh telnet ]; } then { policer ssh-policer; accept; } } term bgp { from { source-prefix-list { bgp-sessions-addresses; } protocol tcp; port bgp; } then accept; } /* term everything-else { then { syslog; log; discard; } } } }
*/
ICMP
SYN
ICMP ICMP ICMP ICMP
10
Copyright ? 2003, Juniper Networks, Inc.

TCP SYN TCP TCP SYN ICMP firewall { filter protect-RE { term police-init { from { source-prefix-list { ssh-addresses; bgp-addresses; } protocol tcp; tcp-flags "(syn & !ack) | fin | rst "; } then { policer tcp-init-policer; accept; } } term icmp { from { protocol icmp; icmp-type [ echo-request echo-reply unreachable time-exceeded ]; } then { policer small-policer; accept; } } } (policer) SYN ICMP A ICMP ( SYN ) SYN (protect-RE ) TCP SYN 500 Kbps
IP RFC 1858 JUNOS DOS RFC
IP
TCP
term bgp{ from { protocol tcp; destination-port bgp;
Copyright ? 2003, Juniper Networks, Inc.
11

source-address ; } then { accept; } term default { then discard; } ( RE ( bgp ) ) ( lo0 )
term small-fragments { from { fragment-offset [1-5]; } then { syslog; discard; } term fragments { from { source-prefix-list { trusted-sources } is-fragment; } then { accept; } small-fragments 4 (TCP UDP )
IP
IP IP
IP IP MPLS RSVP lo0 -Copyright ? 2003, Juniper Networks, Inc.
12

RSVP 1. RSVP 2. MPLS RSVP RSVP ( LSP) 400 200 / * LSP LSP * 4 320000 IP ) LSP RSVP RSVP ( 400
policer option-policer { if-exceeding { bandwidth-limit 3m; burst-size-limit 320000; } then discard; filter filter-optioned { term one { from { ip-options any; } then { count option-packets; policer option-policer; } } term default { then accept; } }
ICMP
ICMP
Copyright ? 2003, Juniper Networks, Inc.
13

IP dsc { unit 0 { family inet { filter { input log-discard; } address 10.10.5.1/32 { destination 10.1.1.2; } } } } filter log-discard { term one { then { syslog; discard; } } } static { route 0.0.0.0/0 next-hop 10.1.1.2 ; }
VPN
VPN MPLS IP VPN CE ( VPN PE 4 OSPF PE-CE PE-CE CE 3 IP OSPF OSPF LAN CE PE -VPN BGP OSPF RIP VPN PE CE BGP RIP ) PE ( PE ) IP VPN
14
Copyright ? 2003, Juniper Networks, Inc.

PE filter protect-PE { term one { from { destination-address { 192.1.1.1/32; # PE } protocol bgp; # PE } then { log; discard; } } } VPN VPN CE PE PE / PE CE VPN / PC
CE
vpna { routing-options { maximum-routes { 100; threshold 80; } } } VPN VPN VPN PE ( CPU PE ICMP ) VPN PE CE PE
VPN VPN VRF ping JUNOS ) PE CE ( PE VRF
Copyright ? 2003, Juniper Networks, Inc.
15

VPN VPN VPN CE PE
DoS
CPU (policer) firewall { filter protect-RE { policer ssh-police { if-exceeding { bandwidth-limit 1m; burst-size-limit 15k; } then discard; } policer tcp-init-policer { if-exceeding { bandwidth-limit 500k; burst-size-limit 15k; } then discard; } */ /* B (policer)
16
Copyright ? 2003, Juniper Networks, Inc.

(syslog)
Syslog
syslog
syslog syslog { user * { any emergency; } host 10.1.3.1 { authorization any; daemon info; kernel notice; interactive-commands any; } host 10.1.3.2 { authorization any; daemon info; kernel notice; user notice; interactive-commands any; }
Copyright ? 2003, Juniper Networks, Inc.
syslog
17

(NTP) NTP NTP ntp { authentication-key 2 type md5 value "XXXXXXXXXXXX"; # SECRET-DATA boot-server 10.1.4.1; server 10.1.4.2; } server NTP HMAC-MD5
(
)
A
DoS ( DDoS) http:// https://www.doczj.com/doc/ca3289269.html, / threats/DDoS.php http:// https://www.doczj.com/doc/ca3289269.html, / securitybasics / dos.php http:// https://www.doczj.com/doc/ca3289269.html, / techcenter/app_note / 350001.html
18
Copyright ? 2003, Juniper Networks, Inc.

B
system { host-name Secure-Router; domain-name https://www.doczj.com/doc/ca3289269.html,; default-address-selection; /* */ authentication-order [ radius ]; root-authentication { encrypted-password “ XXXXXXXXXXXXXXXXXXXXX”; # SECRET-DATA } name-server { 10.1.1.1; 10.1.1.2; } /* RADIUS */ radius-server { 10.1.2.1 { secret “XXXXXXXXXXXXXXXXXXXXXXXXXXXXX”; # SECRET-DATA timeout 5; 10.1.2.2 { secret “XXXXXXXXXXXXXXXXXXXXXXXXXXXXX”; # SECRET-DATA timeout 5; } /* */ login { /* class provisioning { idle-timeout 5; permissions [ configure firewall interface network routing snmp system trace view]; */ RADIUS RADIUS RADIUS
Copyright ? 2003, Juniper Networks, Inc.
19

} /* class operation { idle-timeout 5; permissions [admin clear configure interface interface-control network reset routing routing-control snmp snmp-control trace-control firewall-control rollback]; } /* class engineering { idle-timeout 5; permissions all; } /* */ user admin { uid 1000; class engineering; authentication { encrypted-password } } /* RADIUS user observation { uid 1001; class observation; } user operation { uid 1002; class operation; } user engineering { uid 1003; class engineering; */ ; # SECRET-DATA RADIUS */ */
20
Copyright ? 2003, Juniper Networks, Inc.

Juniper SRX路由器命令配置手册

Juniper SRX配置手册

目录一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (12) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (15) 3.3 操作系统升级 (15) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)

Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate

juniper防火墙配置手册

JUNIPER 防火墙快速安装手册目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置：STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置：STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)

Juniper防火墙日常维护手册

Juniper防火墙维护手册

目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置（双机配置） (7) 1.5.配置MIP（通过图形界面配置） (9) 1.6.配置访问策略（通过图形界面配置） (11) https://www.doczj.com/doc/ca3289269.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)

1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen，为了便于区分设备和维护，在对防火墙进行配置前先对防火墙进行命名： Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段，用于专门对接口进行管理时用。在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理IP，则不能对备用防火墙进行登录了。一般在单机时，不需要配置接口的管理IP，但在双机时，建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。注意：接口的工作模式可以工作在路由模式，NAT模式和透明模式。在产品线应用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用，建议把防火墙的所有接口都配置成route的工作模式，用命令set interface接口名 route配置即可，缺省情况下需要在trust区段中的接口使用此命令。本例子中，配置接口ethernet2属于Untrust区，IP地址为202.38.12.23/28，如设置管理方式是Http，命令如下： Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat

Juniper_SRX防火墙Web配置手册

Juniper SRX防火墙配置手册

Juniper SRX防火墙配置说明 1系统配置 (1) 1.1配置ROOT帐号密码 (1) 1.2配置用户名和密码 (2) 2接口配置 (8) 2.1IPV4地址配置 (9) 2.2接口T RUNK模式配置 (13) 2.3接口A CC ESS模式配置 (14) 3VLAN配置 (15) 3.1创建VLAN配置 (15) 4路由配置 (19) 4.1静态路由配置 (21) 5自定义应用配置 (22) 5.1自定义服务配置 (22) 5.2应用组配置 (23) 6地址组配置 (24) 6.1地址簿配置 (24) 6.2地址组配置 (25) 7日程表配置 (27) 8NAT配置 (30) 8.1S TA TIC NA T配置 (30)

1 系统配置 1.1 配置root帐号密码首次登陆设备时，需要采用console方式，登陆用户名为：root，密码为空，登陆到cli下以后，执行如下命令，设置root帐号的密码。 root# set system root-authentication plain-text-password root# new password : root123 root# retype new password: root123 密码将以密文方式显示。注意：必须要首先配置root帐号密码，否则后续所有配置的修改都无法提交。 SRX系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在trust区域，配置一个ip地址192.168.1.1，允许ping、telnet、web等管理方式，可以通过该地址登陆设备。登陆后显示页面如下：

Juniper路由器安装和调测手册

Juniper T系列路由器安装和调测手册

1. Juniper T系列路由器体系结构 Juniper T系列路由器包括T320、T640、TX Matrix三种型号，具体的参数见下表： 1.1. T320路由器 T320路由器设计用于机架空间有限但需要各种接口速率的地方。T320的大小只有标准19英寸设备机架的1/3，并使用更少的功耗来支持高效的小型核心应用。然而，与同类高端平台相比，T320路由器仍可提供无与伦比的密度，同时提供双倍功效。每个T320 路由器可支持多达16 个10-Gbps端口 (OC-192c/STM-64或10-Gbps千兆以太网)，同时允许在同一个机箱中建立低至信道化时隙倍数的低速连接。T320 路由器的功耗低， -48VDC时只要求60 A，最高功率为2,880瓦特，在一般配置中甚至更低。 T320平台可提供320Gbps的吞吐量和385Mpps的转发速率，可通过在多个接口上实现大量特性来提供无阻塞的任意连接以及卓越性能。它的密度、速度和规模使其非常适合用于中小型核心以及接入路由器、对等及城域以太网应用等。 T320路由器与所有M-系列、J-系列和T-系列平台一样，都使用相同的JUNOS软件，并能够共享通用的PIC, 是T640路由节点的理想辅助产品，可更好地保护投资。 T320的前面板： T320的后面板： 1.2. T640路由节点 T640路由节点的大小为19英寸宽、半机架高，虽然这个尺寸比同类产品小许多，但却可满足高可扩展的高性能核心路由需求。T640路由节点可支持多达32个10-Gbps 端口、128个OC-48c/STM-16端口，以及320个业界领先的千兆以太网端口。T640路由

Juniper防火墙故障情况下的快速恢复

为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。一、设备重启动：Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。二、操作系统备份：日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。三、操作系统恢复：当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统，命令行方式：save software from tftp x.x.x.x filename to flash，或通过web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。四、配置文件备份：日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。 2、通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config配置信息记录到本地。 3、通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。五、配置文件恢复：防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。 2、通过web页面进行配置文件恢复：Configuration > Update > Config File，选中Replace Current Configuration，并从本地设备中选中供恢复的备份配置文件，点击apply后系统将进行重启动使新配置生效。 3、通过超级终端远程telnet/ssh到防火墙，通过unset all 命令清除防火墙配置，并进行重启，重启后将备份的配置命令粘贴到防火墙中。六、恢复出厂值：console线缆连接到防火墙，通过reset命令对防火墙进行重启，并使用防火墙的16位序列号作为账号/口令进行登陆，可将防火墙配置快速恢复为出厂值。七、硬件故障处理：当防火墙出现故障时，且已经排除配置故障和ScreenOS软件故障，可通过NSRP切换到备用设备来恢复网络运行，并进一步定位硬件故障。切换方式为1、拔掉主用防火墙的上下行网线（仅在设备关闭电源的情况下，才需要拔掉该设备的HA连线），防火墙将自动进行主备切换。2、或在主用设备上执行：exec nsrp vsd-group id 0 mode backup,手动执行防火墙主备切换。八、设备返修（RMA）:如经Juniper公司确认防火墙发生硬件故障，请及时联系设备代理商。设备代理商将根据报修流程，由Juniper公司对保修期内的损坏部件或设备进行RMA（设备返修）。

Juniper_SRX基本配置手册

Juniper SRX防火墙基本配置手册

1SRX防火墙的PPPoE拔号配置 Juniper SRX防火墙支持PPPoE拔号，这样防火墙能够连接ADSL链路，提供给内网用户访问网络的需求。配置拓扑如下所示： Juniper SRX240防火墙在Juniper SRX防火墙上面设置ADSL PPPoE拔号，可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0，在命令行下面的查看命令如下所示： juniper@HaoPeng# run show interfaces terse | match pp Interface Admin Link Proto Local Remote pp0 up up 在WEB界面下，也能够看到PPPoE的拔号接口pp0 配置步聚如下所示：第一步：选择接口ge-0/0/4作为PPPoE拔号接口的物理接口，将接口封装成PPPoE To configure PPPoE encapsulation on an Ethernet interface: juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether 第二步：配置PPPoE接口PP0.0的参数 To create a PPPoE interface and configure PPPoE options: user@host# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/4.0 auto-reconnect 100 idle-timeout 100 client

Juniper SSG5防火墙安装配置指南

安全产品 SSG 5 硬件安装和配置指南 Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000 https://www.doczj.com/doc/ca3289269.html, 编号: 530-015647-01-SC，修订本 02

Copyright Notice Copyright ? 2006 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice. FCC Statement The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device. Disclaimer THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY. 2

Juniper 防火墙策略路由配置

Juniper 防火墙策略路由配置一、网络拓扑图要求： 1、默认路由走电信； 2、源地址为192.168.1.10 的pc 访问电信1.0.0.0/8 的地址，走电信，访问互联网走网通；二、建立extended acl 1、选择network---routing---pbr---extended acl list,点击new 添加：

Extended acl id:acl 编号Sequence No.：条目编号源地址：192.168.1.10/32 目的地址：1.0.0.0/8 Protocol：选择为any 端口号选择为：1-65535 点击ok：

2、点击add seg No.再建立一条同样的acl，但protocol 为icmp，否则在trace route 的时候仍然后走默认路由:

3、建立目的地址为0.0.0.0 的acl：切记添加一条协议为icmp 的acl；命令行： set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol

juniper防火墙详细配置手册

Juniper防火墙简明实用手册（版本号：V1.0）

目录 1 juniper中文参考手册重点章节导读 (4) 1.1第二卷：基本原理 (4) 1.1.1第一章：ScreenOS 体系结构 (4) 1.1.2第二章：路由表和静态路由 (4) 1.1.3第三章：区段 (4) 1.1.4第四章：接口 (5) 1.1.5第五章：接口模式 (5) 1.1.6第六章：为策略构建块 (5) 1.1.7第七章：策略 (6) 1.1.8第八章：地址转换 (6) 1.1.9第十一章：系统参数 (6) 1.2第三卷：管理 (6) 1.2.1第一章：管理 (6) 1.2.2监控NetScreen 设备 (7) 1.3第八卷：高可用性 (7) 1.3.1NSRP (7)

1.3.2故障切换 (8) 2Juniper防火墙初始化配置和操纵 (9) 3查看系统概要信息 (10) 4主菜单常用配置选项导航 (10) 5Configration配置菜单 (12) 5.1Date/Time:日期和时间 (12) 5.2Update更新系统镜像和配置文件 (13) 5.2.1更新ScreenOS系统镜像 (13) 5.2.2更新config file配置文件 (14) 5.3Admin管理 (15) 5.3.1Administrators管理员账户管理 (15) 5.3.2Permitted IPs：允许哪些主机可以对防火墙进行管理 (16) 6Networks配置菜单 (17) 6.1Zone安全区 (17) 6.2Interfaces接口配置 (18) 6.2.1查看接口状态的概要信息 (18)

Juniper 常用配置

Juniper 常用配置一、基本操作 1、登录设备系统初始化用户名是roo t，密码是空。在用户模式下输入configure或者是edit可以进入配置模式。 2、设置用户名：set host-name EX4200。 3、配置模式下运行用户模式命令，则需要在命令前面加一个run，如：run show interface 。 4、在show 后面使用管道符号加上display set将其转换成set 格式命令show protocols ospf | display set 。 5、在需要让配置生效需要使用commit命令，在commit之前使用commit check来对配置进行语法检查。如果提交之后，可以使用rollback进行回滚，rollback 1回滚上一次提前之前的配置，rollback 2则是回滚上 2 次提交之前的配置。 6、交换机重启：request system reboot 7、交换机关机：request system halt 二、交换机基本操作 2.1 设置root密码交换机初始化用户名是root 是没有密码的，在进行commit 之前必须修改root 密码。明文修改方式只是输入的时候是明文，在交换机中还是以密文的方式存放的。实例：明文修改方式： lab@EX4200-1# top [edit] lab@EX4200-1# edit system [edit system] lab@EX4200-1# set root-authentication plain-text-password 2.2 设置删除主机名实例：

#"设置主机名为EX4200" lab@EX4200-1# edit system [edit system] lab@EX4200-1# set host-name EX4200 #”删除命令”# lab@EX4200-1# edit system [edit system] lab@EX4200-1# delete host-name EX4200 2.3 开启Telnet登陆服务说明：在默认缺省配置下，EX 交换机只是开放了http 远程登陆方式，因此如果想通过telnet登陆到交换机上，必须在系统中打开telnet 服务。实例： lab@EX4200-1# edit system service [edit system services] #打开Telnet 服务 lab@EX4200-1# set telnet #同时telnet 的最大连接数范围1-250 lab@EX4200-1# set telnet connection-limit 10 #每分钟同时最大连接数范围1-250 lab@EX4200-1# set telnet rate-limit 10 #删除telnet服务 lab@EX4200-1# edit system service [edit system services] lab@EX4200-1# delete telnet 2.4 开启远程ssh登陆 EX 交换机默认是没有开启SSH 服务，当你打开了SSH 服务而没有制定SSH 的版本，系统自动支持V1和V2 版本。如果你指定了SSH 的版本，则系统只允许你指定版本的SSH 登陆。实例： lab@EX4200-1# edit system service

juniper配置命令大全中英文对照版

#---表示翻译不一定准确 *---表示常用命令 >get ？ Address show address book显示地址信息 admin show admin information 显示管理员信息 alarm show alarm info 显示报警信息 alg application layer gateway information 应用层网关信息 alg-portnum get ALG port num 获得ALG接口号码 alias get alias definitions 得到别名定义 arp show ARP entries 显示ARP记录 asp asp attack show attacks 显示攻击信息 auth show authentication information 显示登陆信息认证信息 auth-server authentication server settings 认证服务器设置 backu4p backup information 备份信息 chassis show chassis information 显示机架信息（机架温度….） clock show system clock 显示系统时钟 config show system configuration 显示系统配置信息 console show console parameters 显示控制台参数设置 counter show counters 显示计数器仪表 di get deep inspection parameters 深入检测参数 dialer get dialer information 得到拨号器信息 dip show all dips in a vsys or root 显示所有dip里的虚拟系统或者根dip-in show incoming dip table info 显示进入DIP表的信息 dns show dns info 显示DNS信息 domain show domain name 显示域名 dot1x display global configuration 显示全局配置 driver show driver info 显示驱动信息 envar show environment variables 显示环境变量信息 event show event messages 显示事件消息 file show file information 显示文件信息 firewall show firewall protection information 显示防火墙保护信息 gate show gate info 阀门信息显示 global-pro global-pro settings 全局设置 # group show groups 显示组信息 group-expression group expressions details 组的表达方式详细信息 hostname show host name 显示主机名 igmp IGMP ike get IKE info 得到密钥信息 infranet Infranet Controller configuration Infranet控制器配置interface show interfaces 显示接口信息 ip get ip parameters 获得IP参数 ip-classification Show IP classification 显示IP分类 ippool get ippool info 得到IP地址池信息 ipsec get ipsec information 得到安全协议的信息 irdp show IRDP status 显示IRDP的状态地位 l2tp get l2tp information 得到L2TP的信息 license-key get license key info 得到许可证密钥信息 log show log info 显示日志信息 mac-learn show mac learning table 透明模式下显示MAC地址信息

juniper路由器配置

juniper路由器配置一．路由器网络服务安全配置：默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务 1． SNMP服务使用如下命令来停止SNMP服务： setsystemprocessessnmpdisable 使用如下命令来设置SNMP通讯字符串：setsnmpcommunitymysnmpauthorizationread-only 使用如下命令来在接口上设备SNMP通讯字符串： setsnmpinterfacefxp0communitymysnmp 使用如下命令来在接口上禁止SNMP服务trap： setinterfacesfxp0unit0trapsdisable 使用如下命令来限制SNMP的访问客户端：setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务 2．停止接口广播转发：广播转发容易造成smurf攻击，因此应该使用如下命令停止： setsystemno-redirects 接口级别停止广播转发使用如下命令： setinterfacesfxp0unit0familyinetno-redirects 3．停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp 服务器，如果没有使用，则应该使用如下命令停止： setsystemdhcp-relaydisable 4．禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolsigmpinterfacealldisable 5．禁止PIM服务（？），PIM服务如果在没有使用的情况下应该使用如下命令禁止： setprotocolspimdisable 6．禁止SAP服务（？），SAP服务如果在没有使用的情况下应该使用如下命令禁止： setprotocolssapdisable 7．禁止IPSourceRouting源路由 setchassisno-source-route 二．路由器登录控制： 1．设置系统登录Banner: setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW! 2．设置登录超时时间：默认情况下，系统登录没有登录超时时间限制，应该将登录超时时间设置为15分钟： setcliidle-timeout15

juniper路由器配置

ist: ignore">增加端口配置模板（1）需要子接口的端口配置 set interfaces fe-2/0/1 vlan-tagging ――――在配置接口启用封装VLAN set interfaces fe-2/0/1 unit 424 vlan-id 424 ―――――配置子接口，VLAN 424 set interfaces fe-2/0/1 unit 424 family inet address 192.168.254.146/30 ――配置子接口地址（2）无需子接口配置 set interfaces fe-2/0/23 unit 0 family inet address 222.60.11.154/29 ――直接配置地址（3）E1口配置 set interfaces e1-3/0/0 encapsulation ppp 封装链路类型，包含PPP,HDLC，根据实际情况配置 set interfaces e1-3/0/0 e1-options framing unframed 封装帧格式，参数包含unframed,g704, g704-no-crc4 set interfaces e1-3/0/0 unit 0 family inet address 192.168.1.126/30 配置地址（4）CE1配置 set interfaces ce1-4/0/0 clocking external set interfaces ce1-4/0/0 e1-options framing g704-no-crc4 set interfaces ce1-4/0/0 partition 1 timeslots 1-31 ――――设置信道1及时隙1－31 set interfaces ce1-4/0/0 partition 1 interface-type ds ――――子接口类型DS set interfaces ds-4/0/0:1 encapsulation ppp ―――――配置子接口封装ppp set interfaces ds-4/0/0:1 unit 0 family inet filter input NYYH set interfaces ds-4/0/0:1 unit 0 family inet address 10.238.173.197/30 ――――配置地址（5）策略配置 set firewall filter shigonganjuMAS term 1 from source-address 10.238.173.180/30 set firewall filter shigonganjuMAS term 1 then accept set firewall filter shigonganjuMAS term 2 from source-address 10.238.173.0/24 set firewall filter shigonganjuMAS term 2 from source-address 10.238.179.0/24 set firewall filter shigonganjuMAS term 2 then discard set firewall filter shigonganjuMAS term 3 then accept set interfaces fe-2/0/0 unit 44 family inet filter input jiaotongyinhangduan xin―――将策略应用至子接口。