Juniper NetScreen防火墙新人指南（WEB、CLI）

COCO999

贴教程]Juniper NetScreen防火墙新人指南（WEB、CLI） NetScreen防火墙支持多种管理方式：WEB管理，CLI (Telnet) 管理等，由于一般调试工作中，我们最常用的也就是前面两种。（ScreenOS 4.0）
　首先，使用CONSOLE口进行配置
1.把配送的线的一端插在防火墙的CONSOLE口，线的另一端插在转换插头后插在PC的串行口上。
2.打开WINDOWS的附件-》通讯-》超级终端 ，选择插有CONSOLE线的串口连接。（设置串口属性：9600-8-无-硬件）
3.出现提示符号后输入帐号密码进入设置命令行界面。（默认帐号：Netscreen；密码Netscreen）
4．进入Netscreen命令行管理界面
　Web管理连接设置
1.设置接口IP；
　　若所有接口均未配置IP（Netscreen设备初始化设置），需设置一个端口IP，用于连接web管理界面，这里设置trust端口；在命令行模式下输入：
　　ns5XT－>set int trust ip <A.B.C.D/E>
命令说明： A.B.C.D为IP地址，通常设置为一个内网地址，E 为IP地址的掩码位，通常设为24。
　　此时通过get interface命令可以看到端口状态的信息（类似CISCO SHOW　接口命令）
2.启动接口的web管理功能；
　　ns5XT－>set int trust manage web
3.连通PC和防火墙间的网络，通过浏览器的web界面进行具体功能设置
　　建立对于NS-5,NS-10,NS-100防火墙，PC与trust口，DMZ口采用直通电缆连接，PC与untrust口的连接采用交叉线。对于NS-25，NS-200及以上产品，PC与防火墙所有端口的连接都采用直通电缆。
　　注意：将PC网卡的IP地址设置成与防火墙相应端口的管理IP同一个网段内；
　　打开IE浏览器，键入防火墙的管理IP，打开登陆画面；
　防火墙基本设置：
　1.设置访问超时时间：
　Web:
　在Web中的Configuration>Admin>Management中的Enabel Web Management Idle Timeout 中填入访问超时的分钟数，并在前面打勾。
　CLI:
NS5XT－>set admin auth timeout <minute>
2.Netscreen的管理权限:
设置超级管理员(Root)
WEB：
进入Configuration>Admin>Administrators ，在这里可以管理所有的管理员。
CLI：
NS5XT－>set admin name <login name>
NS5XT－>set admin password <password>
添加本地管理员
WEB：
点击New链接，打开配置页。输入管理员登录名和密码，指定权限（可选ALL或Read_ONLY，ALL表示该管理员具有更改配置的权限，READ_ONLY表示该管理员只能查看配置，无权更改）。
CLI:
NS5XT－>set admin user <login name> password <password> privilege <all|read-only
3.设置DNS
Web：
打开Network>DNS页面，可配置Host Name（主机名），Domain Name（域名），Primary DNS Server（主域名服务器），Second DNS Server（副哉名服务器），还有DNS每天更新的时间。配置完后按Apply按键实施。
CLI：
　NS5XT－>set hostname <HostName>
　NS5XT－>set domain <DominName>
　NS5XT－>set DNS host <dns1|dns2> <a.b.c.d>
　4.设置Zone（安全区域）
　 Web：
打开Network>Zones页面，可配置已存在于Netscreen设备的所有Zone(并不是所有Zone都可以配置，有许多默认的Zone是不允许配置的，在Configure中不会出现Edit)。按New按键可以新增一个Zone。
CLI：
NS5XT－>set zone <zone name> vrouter <vrouter name>
5.设置Interface(接口)
WEB：
打开Network>Interfaces，选择需要配置的接口对应的属性页（有四个可选接口Trust、Untrust、DMZ和Tunnel，其中Trust、Untrust和DMZ为物理接口，Tunnel接口为逻辑接口，用于VPN。对于ns-5系列防火墙，无DMZ端口）。
点击对应接口Configure列中的Edit链接，打开接口配置窗口。（对于不同模式的Interface，进入后的配置会不同，这里用NAT模式做例子，透明模式会少一些配置的内容）
Zone name: 设置从属的安全区域；
IP Address/Netmask：设置接口的IP和掩码；
Manage IP：设置该接口的管理用IP，该IP必须与接口IP处在同一个网络段中，如果系统IP被设为0..0.0.0，则该Manage IP默认为接口IP。
　 Interface Mode：设置接口模式，仅trust接口具有该项。可以选择NAT模式或Route模式。当trust接口工作在NAT模式时，任何进入该接口的数据包都会被强制做地址转换。当接口工作在Route模式时，防火墙的默认工作相当与一台路由器，如果要将防火墙实现基于策略的NAT功能，请将trust接口设置成此模式。
　 Management Services：选中或清除web、telnet、snmp等复选框可以启用或禁止该接口的相应管理功能。如清除web复选框，再点击save按钮后，该接口的web管理功能关闭，用户无法通过该接口的管理ip进入web管理界面，同时在该接口上的所有web管理连接都将丢失。
　 设置完成后点击Apply按钮记录设置。
CLI：
设置接口IP：
NS5XT－>set interface <trust|untrust|dmz> ip <a.b.c.d> <netmask>
设置接口网关：
NS5XT－>set interface < trust|untrust|dmz > gateway <a.b.c.d>
启动接口的管理功能：
NS5XT－>set interface <trust|untrust|dmz> manage <web|telnet|snmp|ssl…>
关闭接口的管理功能：
NS5XT－>unset interface <trust|untrust|dmz> manage <web|telnet|snmp|ssl…>
设置Trust接口工作模式：
NS5XT－>set interface trust <nat|route>
　　结合CLI和WEB方式，我们能很轻松的将NS搞定

                               
登录/注册后可看大图

该贴已经同步到 COCO999的微博

COCO999

someboy

http://bbs.hh010.com/forum.php?m ... DU2MHwzODczMA%3D%3D

八宝米缸

好 很好 呵呵呵

toiota

多谢分享！！

huangtidi

yellowyellow

支持楼主

dvjmse

liyi3278

yuanjinx

正在学JUNIPER的防火墙，看看

pli2008

kuang1144

很不错呢

zq982531154

zaochen168

看看先！！

a603469