Juniper防火墙维护手册目录1.日常维护内容 (4)1.1.配置主机名 (4)1.2.接口配置 (4)1.3.路由配置 (5)1.4.高可用性配置（双机配置） (7)1.5.配置MIP（通过图形界面配置） (9)1.6.配置访问策略（通过图形界面配置） (11)Screen的管理 (15)2.1.访问方式 (15)2.2.用户 (18)2.3.日志 (19)2.4.性能 (20)2.5.其他常用维护命令 (22)3.其他的配置 (22)1.日常维护内容1.1.配置主机名NetScreen防火墙出厂配置的机器名为netscreen，为了便于区分设备和维护，在对防火墙进行配置前先对防火墙进行命名：Netscreen-> set hostname FW-1-MFW-1-M >1.2.接口配置配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。

接口的管理IP与接口IP在同一网段，用于专门对接口进行管理时用。

在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理IP，则不能对备用防火墙进行登录了。

一般在单机时，不需要配置接口的管理IP，但在双机时，建议对trust区域的接口配置管理IP。

接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。

注意：接口的工作模式可以工作在路由模式，NAT模式和透明模式。

在产品线应用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用，建议把防火墙的所有接口都配置成route的工作模式，用命令set interface接口名 route配置即可，缺省情况下需要在trust区段中的接口使用此命令。

本例子中，配置接口ethernet2属于Untrust区，IP地址为202.38.12.23/28，如设置管理方式是Http，命令如下：Ns204 ->set interface ethernet1 zone TrustNs204 ->set interface ethernet1 ip 10.243.194.194/29Ns204 ->set interface ethernet1 natNs204 ->set interface ethernet1 zone UntrustNs204 ->set interface ethernet2 ip202.38.12.23/28Ns204 ->set interface ethernet1 nat选择接口后按 Edit 键后进入以下页面进行配置接口特性：透明模式只需要将防火墙的接口配置为V1-Untrust或V1-Trust等二层的区段，不需要配置接口的IP，设置的命令如下：FW-1-M -> set interface ethernet1/1 zone V1-UnrustFW-1-M -> set interface ethernet1/2 zone V1-Trust1.3.路由配置NetScreen防火墙有路由功能，缺省情况下，内部有Untrust-vr和Trust-vr 两个路由器，为了能与外部通讯，需要在这两个虚拟路由器上配置路由。

如果untrust-vr没有使用的话，不需要在untrust-vr上配置路由。

一般应用中，配置静态路由即可满足要求。

配置静态路由时，需要配置目的网络、下一跳及出去的接口。

透明模式的防火墙不需要设置路由信息。

本例中，在trust-vr上配置默认的路由下一跳通过Untrust接口指向网关202.38.12.17Ns204 -> set route 0.0.0.0/0 interface ethernet2 gateway 211.136.202.9 用WebUI的方式配置接口，菜单：Network->routing->routing entries按New按钮可以配置一个新的路由：1.4.高可用性配置（双机配置）NetScreen双机的基本配置步骤：1、检查双机的版本是否一致，原则上两台防火墙的版本要求相同。

如果版本不同，建议升级到相同的版本。

防火墙版本的检查命令：FW-1-M ->get systemProduct Name: NetScreen-ISG1000Serial Number: 0133102006000136, Control Number: 00000000Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)Software Version: 5.3.0r7.0, Type: Firewall+VPN2、连接HA线，把接口划分到HA 区段中。

HA线是防火墙的心跳线，ISG1000没有专门的HA接口，必须设置接口来并划分到HA区段中。

如果心跳线采用光纤则只需要设置一个HA口和一根心跳线，如果采用双绞线作为心跳线，则需要设置两个HA口和两条双胶线，HA接口之间采用交叉线相连接。

本例将Eth1/3及eth1/4设置为HA接口：FW-1-M -> set interface "ethernet1/3" zone "HA"FW-1-M ->set interface "ethernet1/4" zone "HA"3、配置cluster ID号防火墙双机也叫cluster，同一个双机的cluster号应相同。

在两台防火墙上都用命令配置成同一个cluster：GM-Web(M)->set nsrp cluster id 1则两台防火墙一台会变成FW-1-M (M)，另一台会变成FW-1-B (B)，(M)表示主用，(B)表示备用，（I）表示初始化。

注意：在（I）状态下，防火墙是不能正常工作的，出现此状态时一定要注意。

用WebUI方式配置双机的cluster ID，菜单：Network->NSRP->Cluster4、配置VSD组及优先级虚拟安全设备VSD组用于防火墙工作在active/active方式下，缺省情况下两台NetScreen防火墙都属于VSD组0，可以设置VSD组的优先级，优先级数值越小，则越优先。

FW-1-M (M)-> set nsrp vsd-group id 0 priority 50用WebUI的方式配置VSD组的优先级，菜单：Network->NSRP->VSD Group，选择New或Edit菜单则可。

5、配置双机同步配置成双机后，把在防火墙上新增加的配置会自动同步到另一台防火墙上：注意：在配置成双机前的防火墙上的配置不会主动同步到另一台机器上；如果在防火墙1上做配置时，防火墙2是down的，则此时在防火墙1上做的配置，是不会主动同步到另一台防火墙上的。

如果要同步这些异常情况下的配置，则需要在备机上运行相应的命令。

配置RTO，RTO相当于防火墙上的连接信息，在两台防火墙上分别配置：FW-1-M (M)-> set nsrp rto-mirror sycFW-1-B (B)-> set nsrp rto-mirror syc用WebUI的方式配置同步，菜单：Network->NSRP->Synchronization1.5.配置MIP（通过图形界面配置）1、命令行Ns204 (M)->set interface eth0/2 mip 211.136.202.19 host 10.243.194.195 netmask 255.255.255.255WebUI方式选择菜单：Network->interfaces，选择eth0/2，按Edit按钮：再选择MIP进入：选择New选项，配置一个新的MIP：1.6.配置访问策略（通过图形界面配置）通过配置访问策略来控制通过防火墙的访问，1、配置地址配置地址的对象，可以是单个IP或一个网段。

选择Objects>Addresses>Configuration ，再选择你配置源IP的安全区（或目的地址的安全区），设置单个IP：设置IP段：2、配置访问ServiceNetscreen防火墙中内置了许多的Service，如HTTP，FTP等，你可以在策略中直接选择需要访问的Service，如果你需要设置自定义的Service，可按如下步骤：进入Objects>Services>Custom>Edit,本例设置的是7001端口（用于HTTP）当然，你也可以配置地址的组，将你需要的地址放入组中，并在策略中引用组。

4、配置策略本例配置从Untrust到Trust区允许Any访问172.16.1.122服务器的HTTP_7001服务，已定义172.16.1.122地址为WebServer。

进入Policies，选择源安全区Untrust到目的安全区Trust，并点击有上角New6、配置MIP访问策略步骤与上相同，本例是从Untrust访问MIP地址202.38.12.17。

Screen的管理2.1.访问方式NetScreen防火墙支持多种的管理方式：WebUI、Telnet、console、ssh、NetScreen防火墙管理软件等。

常用的有console、WebUI和Telnet。

Console是通过直接的串口线连接防火墙，对防火墙进行管理和配置；telnet 是通过终端仿真协议登录到防火墙上的可管理地址，对防火墙进行管理和配置；WebUI是通过IE或Netscape Communicator登录到防火墙的可管理地址，对防火墙进行管理和配置。

通过串口直接登录到防火墙时，超级终端的端口配置如下：-----串行通讯9600bps-----8位-----无奇偶校验-----1停止位-----无信息流控制Telnet或console登录后的命令行界面如下：WebUI登录的界面如下：注意：如果要通过telnet或WebUI登录和管理防火墙，所登录的防火墙的接口需要打开telnet或WebUI的功能；如果防火墙的接口配置了管理IP，一般只能对接口的管理IP进行telnet或WebUI，而不能直接对接口IP地址进行telnet 或WebUI(版本不支持)。

用命令行的方式检查接口是否打开telnet或WebUI功能的方式：ns204-> get inter eth2Interface ethernet2:description ethernet2number 5, if_info 10280, if_index 0, mode routelink up, phy-link up/full-duplexvsys Root, zone Untrust, vr trust-vrdhcp client disabledPPPoE disabledadmin mtu 0, operating mtu 1500, default mtu 1500*ip 211.136.202.10/30 mac 0014.f642.d475*manage ip 211.136.202.10, mac 0014.f642.d475route-deny disablepmtu-v4 disabledping enabled, telnet enabled, SSH enabled, SNMP disabledweb enabled, ident-reset disabled, SSL disabledDNS Proxy disabled, webauth disabled, webauth-ip 0.0.0.0OSPF disabled BGP disabled RIP disabled RIPng disabled mtrace disabledPIM: not configured IGMP not configuredbandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps]configured ingress mbw 0kbps, current bw 0kbpstotal allocated gbw 0kbpsDHCP-Relay disabledDHCP-server disabledNumber of SW session: 128052, hw sess err cnt 0用WebUI的方式检查接口是否打开telnet或WebUI功能的方式：选择菜单：Network->interface选择对应接口的Edit菜单：2.2.用户NetScreen 设备支持多个管理用户级别。