Juniper NetScreen防火牆新人指南（WEB、CLI）

http://blog.chinaunix.net/uid-53895-id-2098019.html

 

[貼教程]Juniper NetScreen防火牆新人指南（WEB、CLI）

 

 

NetScreen防火牆支持多種管理方式：WEB管理，CLI (Telnet) 管理等，由於一般調試工作中，我們最常用的也就是前面兩種。（ScreenOS 4.0） }

首先，使用CONSOLE口進行配置

1.把配送的線的一端插在防火牆的CONSOLE口，線的另一端插在轉換插頭後插在PC的串行口上。

2.打開WINDOWS的附件-》通訊-》超級終端 ，選擇插有CONSOLE線的串口連接。（設置串口屬性：9600-8-無-硬件） 
3.出現提示符號後輸入帳號密碼進入設置命令行界面。（默認帳號：Netscreen；密碼Netscreen）

4．進入Netscreen命令行管理界面

　Web管理連接設置
1.設置接口IP；  
　　若所有接口均未配置IP（Netscreen設備初始化設置），需設置一個端口IP，用於連接web管理界面，這裏設置trust端口；在命令行模式下輸入： 
　　ns5XT－>set int trust ip <A.B.C.D/E>
命令說明： A.B.C.D爲IP地址，通常設置爲一個內網地址，E 爲IP地址的掩碼位，通常設爲24。

　　此時通過get interface命令可以看到端口狀態的信息（類似CISCO SHOW　接口命令）  
2.啓動接口的web管理功能；
　　ns5XT－>set int trust manage web  
3.連通PC和防火牆間的網絡，通過瀏覽器的web界面進行具體功能設置

　　建立對於NS-5,NS-10,NS-100防火牆，PC與trust口，DMZ口採用直通電纜連接，PC與untrust口的連接採用交叉線。對於NS-25，NS-200及以上產品，PC與防火牆所有端口的連接都採用直通電纜。

　　注意：將PC網卡的IP地址設置成與防火牆相應端口的管理IP同一個網段內；
　　打開IE瀏覽器，鍵入防火牆的管理IP，打開登陸畫面； 　防火牆基本設置：
　1.設置訪問超時時間：

　Web:  
　在Web中的Configuration>Admin>Management中的Enabel Web Management Idle Timeout 中填入訪問超時的分鐘數，並在前面打勾。
　CLI: 
  NS5XT－>set admin auth timeout <minute> 

  2.Netscreen的管理權限:  
  設置超級管理員(Root)  
  WEB： 5 \NfLsn+  
  進入Configuration>Admin>Administrators ，在這裏可以管理所有的管理員。 

  CLI： 
  NS5XT－>set admin name <login name>
    NS5XT－>set admin password <password> 

  添加本地管理員 

  WEB：

  點擊New鏈接，打開配置頁。輸入管理員登錄名和密碼，指定權限（可選ALL或Read_ONLY，ALL表示該管理員具有更改配置的權限，READ_ONLY表示該管理員只能查看配置，無權更改）。 
  CLI:
    NS5XT－>set admin user <login name> password <password> privilege <all|read-only   
  3.設置DNS
  Web： 

  打開Network>DNS頁面，可配置Host Name（主機名），Domain Name（域名），Primary DNS Server（主域名服務器），Second DNS Server（副哉名服務器），還有DNS每天更新的時間。配置完後按Apply按鍵實施。
  CLI：   
　NS5XT－>set hostname <HostName>

　NS5XT－>set domain <DominName>

　NS5XT－>set DNS host <dns1|dns2> <a.b.c.d>

　4.設置Zone（安全區域）
　 Web：

  打開Network>Zones頁面，可配置已存在於Netscreen設備的所有Zone(並不是所有Zone都可以配置，有許多默認的Zone是不允許配置的，在Configure中不會出現Edit)。按New按鍵可以新增一個Zone。 
  CLI：
  NS5XT－>set zone <zone name> vrouter <vrouter name> 

  5.設置Interface(接口) 
  WEB： 
  打開Network>Interfaces，選擇需要配置的接口對應的屬性頁（有四個可選接口Trust、Untrust、DMZ和Tunnel，其中Trust、Untrust和DMZ爲物理接口，Tunnel接口爲邏輯接口，用於***。對於ns-5系列防火牆，無DMZ端口）。 
  點擊對應接口Configure列中的Edit鏈接，打開接口配置窗口。（對於不同模式的Interface，進入後的配置會不同，這裏用NAT模式做例子，透明模式會少一些配置的內容）
  Zone name: 設置從屬的安全區域； 
  IP Address/Netmask：設置接口的IP和掩碼； 
  Manage IP：設置該接口的管理用IP，該IP必須與接口IP處在同一個網絡段中，如果系統IP被設爲0..0.0.0，則該Manage IP默認爲接口IP。

　 Interface Mode：設置接口模式，僅trust接口具有該項。可以選擇NAT模式或Route模式。當trust接口工作在NAT模式時，任何進入該接口的數據包都會被強制做地址轉換。當接口工作在Route模式時，防火牆的默認工作相當與一臺路由器，如果要將防火牆實現基於策略的NAT功能，請將trust接口設置成此模式。

　 Management Services：選中或清除web、telnet、snmp等複選框可以啓用或禁止該接口的相應管理功能。如清除web複選框，再點擊save按鈕後，該接口的web管理功能關閉，用戶無法通過該接口的管理ip進入web管理界面，同時在該接口上的所有web管理連接都將丟失。

　 設置完成後點擊Apply按鈕記錄設置。 
  CLI：   設置接口IP： 
NS5XT－>set interface <trust|untrust|dmz> ip <a.b.c.d> <netmask> 
  設置接口網關：
NS5XT－>set interface < trust|untrust|dmz > gateway <a.b.c.d> <mcfo -=C  
  啓動接口的管理功能：

NS5XT－>set interface <trust|untrust|dmz> manage <web|telnet|snmp|ssl…> ;  
  關閉接口的管理功能：
NS5XT－>unset interface <trust|untrust|dmz> manage <web|telnet|snmp|ssl…>

 
  設置Trust接口工作模式：
NS5XT－>set interface trust <nat|route>

　　結合CLI和WEB方式，我們能很輕鬆的將NS搞定