1、二、ISG1000操作1、登陆方式 一般有三种登陆方式:CONSOLE、HTTP、MGT,用得较多也比较方便的方式是HTTP方式,下面我们具体介绍HTTP登陆方式。2、HTTP登陆方式设备出厂默认设置是192.168.1.1/24,用HTTP登陆如下图(2):4、 操作界面输入用户名和密码后我们经进入图(3)操作界面 左边是主配置菜单。 右边最上方是系统启动以及时间信息,右上角显示主机名。 Device information:设备信息,显示设备硬软件版本、序列号以及主机名。 Interface link status:接口链路状态,显示接口所属区和链路UP/DOWN信息。 Resources
2、 Status:资源状况,显示系统CPU和内存使用率以及目前的会话和策略是系统满负荷的比例。(其中注意内存使用率是不真实的,在系统空负荷的情况下内存占用率也会很高,是系统本身设计的问题)。 The most recent alarms:系统最近的报警信息 The most recent events:系统最近的通告信息从这个界面我们可以看出防火墙的运行情况,并通过Resources Status:资源状况,可以计算出我们所需要的CPU使用率、内存使用率、对话连接数使用率。5、 主菜单配置在图3的左边是主菜单,分别由如下选项 home Configuration:Date/Time;Update
3、;Admin;Auth;Report Settings Network:Zones;Interfaces;Routing;NSRP Security Policy: Policies VPNS Objects:Addresses;Services Reports: Systems Log Wizards Help其实只要掌握Configuration、Network 、Policey、Reports这几个就能够应付我们日常的维护和管理了。4.1 Configuration4.1.1 Date/Time 日期和时间准确设置Juniper防火墙的时钟主要是为了使LOG信息都带有正确的时间以便于分析
4、和排错,设置时钟主要有三种方法。1. 用CLI命令行设置:set clock mm/dd/yyyy hh:mm:ss 。2. 用WEB界面使用和客户端本机的时钟同步:简单实用。3. 用WEB界面配置NTP和NTP服务器的时钟同步。4.1.2 Update更新系统镜像和配置文件更新ScreenOS系统镜像,如图(5)更新config file配置文件,如图(6) 在这个菜单中我们可以查看目前文本形式的配置文件,把目前的配置文件导出进行备份,以及替换和更新目前的配置。 注意单选框默认是点选在“Merge to Current Configration”即和目前配置融合的位置,而我们一般是要完全替换
5、目前的配置文件的,因此一定要注意把单选框点击到“Replace Current Configration”。 当进行配置替换的之后系统会自动重起使新配置生效。4.1.3 Admin 管理Administrator管理员账号管理,如图(7) 只有用根ROOT用户才能够创建管理员账户。 可以进行ROOT用户账户用户名和密码的更改,但此账户不能被删除。 可以创建只读账户和读写账户,其中读写账户可以对设备的大部分配置进行更改。4.2 Networks 配置菜单4.2.1 Interfaces接口配置 查看接口状态的概要信息接口概要显示接口的IP地址信息,所属安全区,接口类型和链路的状态。其中接口类型除
6、非是防火墙使用透明模式,否则都会是Layer3三层的。具体如下图(8)所示 设置interface接口的基本信息接口基本配置包括接口的IP地址掩码,是否可以被管理,接口的模式以及接口的管理特性选项。具体如图(9) 最上面的几个链接是配置NAT地址转换以及IP跟踪等高级特性的。 下面那个其中需要大家配置的地方是设置此物理接口属于哪个安全区,从下拉框中点选,其他选项保持不变即可。 Staitc IP选择框是设置接口的IP地址和掩码信息的,其中有一个Mangeable的选项,只有选中我们才可以通过WEB或TELNET登陆此地址进行管理。Manage IP框保持为空的时候系统会自动把实际IP作为管理I
7、P自动加上。 接口模式有路由模式和NAT模式:NAT模式:从此接口进入从其他口流出的流量源地址都会做转换,即使我们在策略中不引用转换地址池,源地址都会转换为出站的接口地址。路由模式:除非我们在策略定义中明确引用了转换地址池,否则源地址都不会做转换。由于路由模式比NAT模式更灵活,所以我们一般都会用路由模式。 ETH1口默认是NAT模式,一定要注意把其更改为Route路由模式。 Service options服务选项:设置此接口是否允许被PING,WEB或TELNET等方式进行管理,默认情况下ETH1(内网口)的都是打开的,而ETH4口(外网口)的WEB和TELNET管理选项是关闭的,也就是说如
8、果我们想从外网登陆ETH4口的IP进行管理,必须把相应的WEB或TELNET选项点中。 最后的配置框可以保持默认值。4.3 Policy 策略设置4.3.1 查看目前策略设置 可以选择查看从某个源安全区到某个目的安全区的策略,也可以选择从ALL到ALL来查看所有的策略。 Service是系统预定义或我们自定义的服务端口号。 Action动作是指策略是允许或拒绝,允许是一个对勾,拒绝是一个X,另外如果是绿色图表说明没有做源地址转换,蓝色图表说明做了源地址转换。 在Option下如果有一个小记事本的图表,说明我们要记录此数据流,当数据流通过时可以看到详细的地址转换情况。 生效:可以通过取消对勾让本
9、策略暂时失效。 移动:可以调整策略查找的顺序,策略的查找和匹配默认是从上到下,我们可以通过移动来控制策略生效的顺序。4.3.2 创建策略 源地址和目的地址如果以前曾经设置过,可以用下拉菜单进行选择,否则需要在New Address新地址栏进行输入。 如果地址曾经输入过,做策略时我们仍在New Address栏中进行输入,点击确定的时候系统会出现重复IP地址条目的提示信息,但不影响策略的设置。 入侵检测的配置如果自己不是特别了解应用的特性建议不要做任何配置,保持原有默认配置不变。 在进行调试时建议打开LOG记录,看是否有数据流通过及地址转换情况。 如果要进行源或目的地址的转换需要点击高级选项进入
10、二级配置菜单。 源地址转换点击DIP下拉菜单后前面的选择框会自动选中。 目的地址转换必须手工点击选中前面的目标地址转换的选择框。4.4 Reports4.4.1 查看防火墙日志从上图可以看到防火墙生成的日志,点击SAVE 按钮可以保存日志。 ISG1000防火墙就基本降到这里了,只要掌握了这些,基本的防火墙维护和管理就没太大的问题了,如果要更加深入研究的,大家可以找些资料来看,谢谢。IC4000操作指南Juniper UAC统一访问控制解决方案,采用了业界公认的标准(包括802.1x和TNC等),将用户终端的身份标识、网络标识和终端安全状况进行集中的认证和授权,并且将用户权限和策略自动的下发到
11、网络当中的执行点(包括防火墙、交换机和无线接入点等)上,实现了统一的接入控制和访问控制IC 4000 每台设备支持最多3000个并发的用户 高可用性 双机集群一、IC4000操作1、HTTP登陆方式2、操作界面 右边有两个选项:Overview、Active Users Overview:显示设备的具体信息 System Version :设备系统版本信息,点击 Download Package 选项可以下载当然系统版本文件 Last Reboot :说明设备到目前为止运行时间 Member Status :说明组成员设备运行情况 Enforce Status :指连接的设备接口运行状态 Sy
12、stem Capacity Utilization :系统容量利用率,这个设备包含了4种利用率,分别是Users(用户数)、Hits Per Second(每秒点击次数)、CPU and Virtual (Swap) Memory Utilization(CPU和内存使用率)、Throughput(吞吐率) Active Users: 显示当前认证用户的情况3、 主菜单配置 System:Configuration、Network、Clustaring、Log/Montoring Authentication:Signing In、Endpoint Security、Auth .server
13、Administrators:admin realms、admin roles Users:users realms、users roles Uac: Maintenance:System、Inport/Export、Push config 其中我们只要掌握System、Authentication、Administrators、Maintenance这些就可以应付我们日常的故障处理和基本设备管理了。下面来详细介绍这几点。4.1 System4.1.1 Configuration这个选项主要是加入设备的Lices如图(4)4.1.2 Network主要对设备的用户名、DNS、接口信息、路由、等
14、信息进行设备,具体见4.1.3 Clustaring主要设置组成员,也就是说备份成员,如图(5)4.1.4 Log/Montoring 主要是显示日志信息,具体如图(6)4.2 Authentication4.2.1 Auth .server这个选项主要是新建我们的本地认证用户,如图(7)点击Auth .serverSystem LocalUSERS点击News 和 Delete我们可以新建和删除本地认证用户4.3 Users4.3.1 users realms主要用来创建我们的用户目录,如图(8)4.4 Maintenance4.4.1 System这里则是组成成员的信息,在这里可以通过一些按钮来对组成员进行重新启动、ShutDown、备份配置文件等。4.4.2 Inport/Export这里可以为系统配置文件设备密码,并且更换配置文件,点击User Accounts则为用户设置登陆密码。以上就是IC4000基本的操作方法,写得不是很具体,如果有意愿深入学习的同事,可以找一些这样的资料自己学习交流。总结 以上是针对防火墙设备ISG1000和IC4000所做的以一些操作文档,由于自己水平有限,写得不是很完整具体或者写的不是很正确的地方,希望读者给予诚恳的意见和批评。 易黎明 2010年01月18日
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2