juniper FW售后培训

《juniper FW售后培训》由会员分享，可在线阅读，更多相关《juniper FW售后培训（349页珍藏版）》请在金锄头文库上搜索。

1、Juniper FWV基础售后培训 IEDU-JUNIP-FWV-BEG,2,目标,登录防火墙 基本系统配置 基础概念 基本网络设置,3,目标,登录防火墙 基本系统配置 基础概念 基本网络设置,Tables Buffers Running Config ScreenOS (active),ScreenOS Image Saved Config Certs, etc.,RAM,Flash,Interf.,Interf.,Interf.,TFTP, PwrUp/ Reset,Telnet,NetScreen,DNS/ Syslog,Webui,Serial.,Console,4,登录防火墙-Log

2、 in from Console I,防火墙可以通过Console访问方式进行管理 最为安全的登录方式 无须网络支持就可以登录 无须IP地址就可以登录 可以看到启动的信息 可以看到实时的debug信息,5,登录防火墙-Log in from Console II,a.连接电源线，启动防火墙；整个启动过程约2分钟左右 Console线缆随机自带，为直通网线加转接头（DB9转RJ45）。 b.通过Console线缆来连接防火墙的Console端口 设备正常启动后，Power LED（电源灯）常绿；Status LED（状态灯）闪烁绿色。 c.使用PC的终端连接工具，访问防火墙的Console进程。

3、,6,登录防火墙-Log in from Console III,安全网关的默认管理员用户名/密码都是 netscreen,采用Windows系统超级终端的默认值参数即可,选择正确的串口,7,登录防火墙-Log in from Console IV,防火墙的默认管理员用户名/密码都是“netscreen” Console方式的配置采用CLI（命令行）方式进行,8,安全网关可以通过图形化模式进行管理 最为直观的配置界面，所见即所得。 绝大多数的配置都可以通过WebUI来完成。 真正简捷、高效地图形化配置工具。 只需要很少的配置 (打开防火墙接口的web访问权限即可),登录防火墙-Log in f

4、rom WebUI I,9,登录防火墙-Log in from WebUI II,a.为要访问的接口配置IP地址x.x.x.x/x，并打开该接口的WebUI管理权限。 出厂状态下，Trust Zone的Interface的IP地址是192.168.1.1/24，开放了WebUI管理权限。 b.通过直通网线连接PC与防火墙的特定端口 出厂状态下，连接防火墙Trust Zone的端口。 c.将PC的网卡地址设置成与a.中接口的同一网段IP地址。 出厂状态下，将PC网卡地址设置为192.168.1.X/24。 d.在PC的网页浏览器中输入 ,出现登录界面。 出厂状态下，输入。,10,登录防火墙-Lo

5、g in from WebUI III,如果初次配置防火墙（或者对其进行了恢复出厂值操作），当通过WebUI登录防火墙时，配置向导就会出现。 配置向导可以帮助不熟悉防火墙的用户对系统进行基本配置。高级用户不建议使用该向导进行系统配置。,默认的用户名/密码都是netscreen。,11,登录防火墙-Log in from WebUI IV,首页可以读到设备的序列号、OS版本、主机名、时间、运行时间等。 可以阅读到实时状态下的系统CPU、内存、会话数、策略数。,12,登录防火墙-Log in from WebUI V,可以阅读到系统产生的警报。 可以阅读到系统产生的日志。,13,目标,登录防火墙

6、基本系统配置 基础概念 基本网络设置,14,基本系统配置-ScreenOS升级,选中Firmware Update项。 点击“浏览”按钮，在客户端文件目录下寻找ScreenOS升级文件。 点击“Apply”按钮，进行升级。系统将跳出警告提示。 升级文件导入后，系统重启；整个过程大概需要3分钟。,Configuration Update ScreenOS/Keys,15,基本系统配置-配置文件管理,ConfigurationUpdateConfig File,上传配置 选中Replace Current Configuration项。 点击“浏览”按钮，在客户端文件目录下寻找需要上传的配置文件，

7、然后点击“Apply”进行上传， 系统将弹出警告。 下载配置 点击“Save To File”按钮，进行下载。系统将提示你选择文件目录。,16,基本系统配置-管理员帐号管理,Configuration Admin Administrators,Root管理员由系统定义，不能删除；但可以修改其名称和密码。 Root管理员可以创建或删除本地管理员帐号。 本地管理员帐号分为Read-Only和Read-Write两种权限。,17,管理员帐号管理-创建新的系统管理员帐号,Configuration Admin Administrators Configuration,18,管理员帐号管理-修改系统管理

8、员帐号用户名/密码,Configuration Admin Administrators Edit,19,基本系统配置-配置Permitted IPs,可以通过设置Permitted-IPs来限制访问防火墙的源地址。 Permitted-IPs地址可以一个主机地址，也可以是一个网段。,Configuration Admin Permitted IPs,20,基本系统配置-系统管理设置,Enable Web Management Idle Timeout 用来设置Webui登录的空闲超时时限。 各种 Port用来设置该种方式登录的端口；建议在外网访问WEB的时候，修改默认端口。,Configur

9、ation Admin Management,21,基本系统配置-系统时钟设置,Configuration Date/Time,最简捷的设置时间的方法是按“Sync Clock With Client”按钮。系统将自身时钟与网管客户端的本地时钟作同步。 如果用户网络中有NTP服务器存在，也可在此页面设置。,22,基本系统配置-系统DNS设置,Network DNS Host,该处设置的DNS仅供防火墙本身对外进行访问时使用。 防火墙下联的客户端无法继承该处的DNS配置。 可以通过Host Name项，改变防火墙的系统主机名称。,23,基本系统配置- License Key管理,License

10、Key提供的功能： Capacity License Key UTM Subscription License Key 扩展许可（extended ） 防病毒（Anti-Virus） 高级许可（advanced） 网页过滤（URL filtering） 入侵防御许可（IDP） 防垃圾邮件（Anti-Spam） 虚拟系统许可（VSYS) 深层检测（Deep Inspection/IPS,Configuration Update ScreenOS/Keys,24,License Key管理 -Capacity License Key管理,Configuration Update ScreenOS/

11、Keys,选中“License Key Update”，点击“浏览”按钮，在客户端文件目录中选择license文件；再点击 “Apply”按钮。系统将弹出告警提示；确认后，license被导入。 License所支持的功能在重启后才真正生效。,25,License Key管理 -UTM Subscription Key管理,Configuration Update ScreenOS/Keys,点击“Retrieve Subscriptions Now”按钮，主机将自动到Juniper数据中心下载相关许可。 下载成功与否的关键，是保证系统时间及DNS的正确设置。,26,基本系统配置-恢复出厂值/

12、默认密码,密码丢失是无法恢复的 只有通过恢复出厂默认配置的方法来重新获得管理权限 原来配置的参数、证书等都将被删除 两种办法恢复出厂默认配置 在Console模式下，用设备的序列号作为用户名/密码进行登录。 成功后系统出现警告提示，将擦去现有配置，确认后系统开始恢复默认配置，随后重启。整个过程约3分钟。 使用设备面板上的针孔（pinhole） 按下按钮直到系统指示灯变成红色 等待指示灯恢复到绿色 再按前述步骤来一次 系统进入初始化状态,27,基本系统配置-灾难恢复,当系统文件被破坏时，需要做灾难恢复 表征：无法通过Webui、Telnet等方法访问系统。 原因：系统文件（ScreenOS）意外

13、损坏或丢失。 恢复方法：通过Console方式进入系统的Boot模式，通过TFTP的方式 向系统FLASH上灌制可用的OS。,TFTP灌制ScreenOS的注意事项 TFTP服务器必须与系统的Self IP在同一子网 TFTP服务器必须连接在: 系统的Trust区端口 或系统的eth0/0、eth0/1、eth1端口 或系统的管理端口,28,灾难恢复-恢复系统文件 I,启动设备，当出现“Hit any key to run loader”时，按任意键进入boot模式。 在“Boot ”栏填入系统OS的文件名。 在“Self IP Address”栏填入一个临时地址供TFTP通信使用。 在“T

14、Address”栏填入TFTP服务器的地址，也就是PC的地址。 输入完毕后，按回车键开始通过TFTP传送系统OS到设备。,29,灾难恢复-恢复系统文件 II,30,灾难恢复-恢复系统文件 III,当出现“Save to on-board flash disk？”提示时，按“Y”键将OS存入FLASH。 当出现“Run download system image？”提示时，按“Y”键运行新的OS。,31,灾难恢复-恢复系统文件 IV,当出现“The device successfully completed the operation“，整个系统恢复的过程结束。,32,目标,登录防火墙 基本系统

15、配置 基础概念 基本网络设置,33,基础概念Virtual Router/Zone/ Interface,严格的逻辑层次结构 安全区从属于虚拟路由器 安全区默认都从属于trust-vr 接口从属于安全区 一个接口只能从属于一个安全区 IP地址从属于接口,Int.,Zone,Zone,Virtual Router,IP,虚拟路由器的路由表各自独立 安全区之间的访问受策略控制 接口是一个逻辑概念，它可以包含若干个物理端口，也可以不包括任何物理端口,34,虚拟路由器 预定义: trust-vr:系统的default VR。 untrust-vr: 自定义: 在高端型号上，需要license支持方可使

16、用,动态路由协议的全局配置在VR菜单下,基础概念Virtual Router,NetworkRoutingVirtualRouters,35,安全区 预定义: Trust:一般放置内网接口 Untrust:一般放置外网接口 DMZ:一般放置服务器接口 用户自定义：,功能安全区 Null：放置未配置的接口 MGT：放置网管用接口 HA： Self VLAN,基础概念Security Zone,36,基础概念Interface I,接口 逻辑接口: sub interface、loopback interface、HA interface、VSI interface、etc. 物理接口：百兆铜缆、千