Juniper 550M 防火墙配置指导

目录Juniper 550M 防火墙配置指导2双机HA配置21.登陆防火墙22.配置接口IP43.配置默认路由54.配置NSRP65.设置同步选项86.同步配置8配置MIP91.配置映射IP92.配置策略10配置VIP111.配置映射端口服务122.配置映射IP关系133.配置策略14附件114Juniper 550M 防火墙配置指导通过串口登陆，帐号：netscreen 密码：netscreenSSG520- get config -等同于cisco的show run新机器上来默认是无任何配置的，如拿到的机器是有配置的，请清除。注：清除防火墙配置方法（见附件1）双机HA配置配置HA之前，请将HA心跳线拔掉。注：HA配置当中，如无特别说明，以下操作均要在主备两台防火墙上操作。1. 登陆防火墙用普通网线连上防火墙0/0口，将本机IP设为192.168.1.100/24 gw192.168.1.1(现场环境需要做一条到防火墙的默认路由)，打开IE浏览器： 配置主界面： 2. 配置接口IP注：只需在主防火墙上配置即可，后续接口IP会同步到备机。但Manage IP不会同步，需要在配完HA后，自己根据需要进行更改，也可以不设。Network-Interfaces-ehternet0/2-Edit-Basic注：此处0/2口为untrust口，实际应用中，应当为公网IP或网管网、营帐网所对应接口。3. 配置默认路由NetworkRoutingRoutingEntries4. 配置NSRPNetwork NSRP ClusterNetwork NSRP VSD Group点击Edit进入Network NSRP VSD Group ConfigurationNetwork NSRP Monitor Interface将需要监控的端口勾选并保存5. 设置同步选项6. 同步配置上述操作在主备防火墙上完成后，连接好心跳线，用串口线连接备防火墙，并登陆，输入如下命令，并重启防火墙。（同样的操作在主防火墙上操作一遍）exec nsrp sync global-config save配置MIP1. 配置映射IPNetwork-Interfaces-ehternet0/2-Edit-MIPMIP是“一对一”的双向地址翻译（转换）过程。通俗讲，在只有一个公网和一个内网主机的时候，可以选择此种方式。相当于把内网的主机直接映射到公网。（实际应用中，IUH口目前都用的是此方式）注：因为0/0口默认已经是192.168.1.1了，所以无须再设置其端口IP，内网主机我将其设成192.168.1.100。且在实验环境是在公司办公网络，故172.16.6.100体现在现网环境时应该是公网IP（理论上我们在申请资源时，一般都会申请3个或以上，规划好3个IP的用途，尽量做到不浪费）。2. 配置策略Policy Policies (From All zones To All zones)配置VIP简单来说，和MIP的区别就是，MIP是基于IP的一对一映射，而VIP是基于端口的映射，可以将其理解为我们平时在外场做网管网防火墙CISCO所映射端口的那样。1. 配置映射端口服务Policy Policy Elements Services Custom协议：请根据实际情况填写。源端口：一般填0-65535目的端口：所需要映射的内网主机的端口。2. 配置映射IP关系Network Interfaces Edit VIP/VIP Services此IP为外部访问进来时的进口IP。3. 配置策略请参考配置MIP的策略，和它是一样的。附件1清除配置。查找机器上的标签，找到SN：JN120DA18ADA，或者用默认用户密码netscreen登陆防火墙，并用get sys命令找到然后用这个SN当作用户名和密码