Juniper防火墙命令配置界面配置中文解释对照表.docx
《Juniper防火墙命令配置界面配置中文解释对照表.docx》由会员分享,可在线阅读,更多相关《Juniper防火墙命令配置界面配置中文解释对照表.docx(42页珍藏版)》请在冰点文库上搜索。
Juniper防火墙命令配置界面配置中文解释对照表
参数
时区设置
虚构路由器设置
ALG
认证和管理员属性
ZONE设置
接口设置
Flow设置
HA设置
SYSLOG
SNMP
VPN
命令
setclockdst-off
setclockntp
setclocktimezone8
setntpserverbackup1"x.x.x.x"
setntpserverbackup2"x.x.x.x"
setntpmax-adjustment0
setvroutertrust-vrsharable
unsetvrouter"trust-vr"auto-route-export
unsetalgsipenable
unsetalgmgcpenable
unsetalgsccpenable
unsetalgsunrpcenable
unsetalgmsrpcenable
unsetalgrtspenable
unsetalgh323enable
setauth-server"Local"id0
setauth-server"Local"server-name"Local"
setauth-server"XXXX"id1
setauth-server"XXXX"server-name"x.x.x.x"
setauth-server"XXXX"account-typeadmin
setauthdefaultauthserver"Local"
setauth-server"XXXX"radiussecret"xxxx"
setauth-server"ACS"radiusport1646
setadminname"ccb"
setadminpassword"xxxxxxxxx"
setadminauthtimeout10
setadminauthserver"XXXX"
setadminauthbannerconsolelogin"Accessis⋯.ly"
setadminprivilegeget-external
setadminformatdos
setzone"Trust"vrouter"untrust-vr"
setzone"Untrust"vrouter"untrust-vr"
setzone"DMZ"vrouter"untrust-vr"
unsetzone"Trust"tcp-rst
setzone"Trust"block
unsetzone"Untrust"tcp-rst
setzone"Untrust"block
setzone"Untrust"screentear-drop
setzone"Untrust"screensyn-flood
setzone"Untrust"screenping-death
setzone"Untrust"screenip-filter-src
setzone"Untrust"screenland
setzone"Untrust"screenalarm-without-drop
setinterface"ethernet1/1"zone"xxx"
setinterfaceethernet1/1route
setinterfaceethernet1/1manage-ip
setinterfaceethernet1/1ipmanageable
setinterfaceethernet1/1managexxxx
unsetflowtcp-syn-check
setflowtcp-syn-bit-check
setflowsyn-proxysyn-cookie
setflowreverse-routeclear-textpefer
setflowreverse-routetunnelalways
setflowno-tcp-seq-check
setnsrpclusterid1
setnsrprto-mirrorsync
setnsrprto-mirrorsessionageout-ack
unsetnsrprto-mirrorsessionping
setnsrpvsd-groupid0priority20
setnsrpvsd-groupid0monitorinterfaceethernet1/1setnsrpmonitortrack-ipip
setnsrpmonitortrack-ipipx.x.x.xthreshold10
setnsrpvsd-groupmaster-always-exist
setntpno-ha-sync
setsyslogenable
setsyslogconfig"x.x.x.x"
setsyslogconfig"x.x.x.x"facilitieslocal0local0
setsnmpcommunity"xxx"Read-OnlyTrap-onversionv1
setsnmphost"bbb"y.y.y.y255.255.255.255trapv2
setsnmpnamexxxx
setsnmpportlisten161
setsnmpporttrap162
setpkiauthoritydefaultscepmode"auto"
setpkix509defaultcert-pathpartial
setikerespond-bad-spi1
unsetikeikeid-enumeration
unsetikedos-protection
unsetipsecaccess-sessionenable
setipsecaccess-sessionmaximum5000
setipsecaccess-sessionupper-threshold0
setipsecaccess-sessionlower-threshold0
setipsecaccess-sessiondead-p2-sa-timeout0
unsetipsecaccess-sessionlog-error
unsetipsecaccess-sessioninfo-exch-connected
unsetipsecaccess-sessionuse-error-log
setinterfacetunnel.1zoneuntrust
setinterfacetunnel.1ipunnumberedinterfaceethernet3
setikegatewayTo_Parisaddress2.2.2.2mainoutgoing-interfaceethernet3preshareh1p8A24nG5proposalpre-g2-3des-sha
web
Configuration>Date/Time>
Configuration>Date/Time>
Configuration>Date/Time>Set
TimeZone_hours_minutesfromGMT
Configuration>Date/Time>Primary
Configuration>Date/Time>Backup
Configuration>Date/Time>Backup
Configuration>
Date/Time>Automaticallysynchronize
withanInternetTimeServer(NTP):
(选择)Maximumtimeadjustment
seconds:
0
Network>Routing>VirtualRouters
>Edit(关于trust-vr):
Sharedandaccessiblebyothervsys
(选择)
Network>Routing>VirtualRouter
>Edit(关于trust-vr):
撤消选择
AutoExportRoutetoUntrust-VR,然
后单击OK。
Security>ALG>BasicSecurity>ALG>BasicSecurity>ALG>BasicSecurity>ALG>BasicSecurity>ALG>BasicSecurity>ALG>BasicSecurity>ALG>Basic
撤消选中
撤消选中
撤消选中
撤消选中
撤消选中
撤消选中
撤消选中
Configuration>Auth>AuthServers
(系统默认)
Configuration>Auth>AuthServers
(系统默认)
Configuration>Auth>AuthServers
>new
Configuration>Auth>AuthServers
>new
Configuration>Auth>AuthServers
>new
Configuration>Auth>AuthServers
(系统默认)
Configuration>Auth>AuthServers
>new要选中RADIUS
Configuration>Auth>AuthServers
>new要选中RADIUS
Configuration>Admin>
Administrators>new
Configuration>Admin>
Administrators>new
Configuration>Auth>AuthServers
>new
Configuration>Admin>
Administrators>new
Configuration>Admin>Banners
Network>Zones>Edit(关于Trust)
Network>Zones>Edit(关于unrust)
Network>Zones>Edit(关于DMZ)
Network>Zones>Edit(关于Trust),
撤消选中IfTCPnonSYN,sendRESET
back
Network>Zones>Edit(关于Trust),
选中BlockIntra-ZoneTraffic
Network>Zones>Edit(关于Untrust)
撤消选中IfTCPnonSYN,sendRESET
back
Network>Zones>Edit(关于
Untrust),选中BlockIntra-Zone
Traffic
Security>Screening>Screen(关于
Untrust),选中TeardropAttack
Protection
Security>Screening>Screen(关于
Untrust),选中SYNFloodProtection
Security>Screening>Screen(关于
Untrust),选中PingofDeathAttack
Protection
Security>Screening>Screen(关于
Untrust),选中IPSourceRouteOption
Filter
Security>Screening>Screen(关于
Untrust),选中LandAttackProtection
Security>Screening>Screen(关于
Untrust),选中GenerateAlarms
withoutDroppingPacket
Network>Interfaces>Edit(关于接
口E1/1),选择zonename
Network>Interfaces>Edit(关于接
口E1/1),输入IP/mask
Network>Interfaces>Edit(关于接
口E1/1),InterfaceMode选中ROUTE
Network>Interfaces>Edit(关于接
口E1/1)输入ManageIP
Network>Interfaces>Edit(关于接
口E1/1)选中Manageable
Network>Interfaces>Edit(关于接
口E1/1)选中需要管理的服务
Screening>Screen
Screening>Screen
Security>Screening>Flow
Protection
Screening>Screen
Screening>Screen
Screening>Screen
Network>NSRP>Cluster
Network>NSRP>
Network>NSRP>
Network>NSRP>
Network>NSRP>VSDGroup>
Configuration
Network>NSRP>VSDGroup>
Configuration
Network>NSRP>Monitor>
Network>NSRP>
Network>NSRP>
Network>NSRP>Synchronization
Configuration>ReportSettings>
Syslog
Configuration>ReportSettings>
Syslog
Configuration>ReportSettings>
Syslog
Configuration>ReportSettings>
SNMP>NewCommunity
Configuration>ReportSettings>
SNMP
Configuration>ReportSettings>
SNMP
Configuration>ReportSettings>
SNMP
Configuration>ReportSettings>
SNMP
Objects>Certificates>New
Objects>Certificates>New
Network>Zones>Edit
Network>Zones>Edit
VPNs>AutoKeyAdvanced>Gateway>
new
VPNs>AutoKeyIKE>Edit
VPNs>AutoKeyIKE>Edit
VPNs>AutoKeyIKE>Edit
解说
封闭夏时制
启用ntp服务
设置防火墙时区为东8区,北京时间为东8时区
设置ntp服务器地点
设置备份ntp服务器地点
设置备份ntp服务器地点
同意随意时钟偏差状况下都进行时间更新
设置trust-vr虚构路由器为共享路由器,trust-vr作为根虚构路由器,能够被其余虚构系统(VSYS)接见
封闭将trust-vr中接口路由自动导入到Untrust-vr中(系统默认)
封休会话初始协议(SIP)的应用层网关功能
封闭媒体网关控制协议(MGCP)的应用层网关功能
封闭瘦客户端呼喊控制协议(SCCP)的应用层网关功能封闭SUN远程进度调用(SUNRPC)的应用层网关功能封闭微软远程进度调用(MSRPC)的应用层网关功能封闭及时流媒体协议(RTSP)的应用层网关功能封闭协议应用层网关功能
设置当地认证服器的ID为0(系统默认)
设置当地认证服器的名字为local(系统默认)
设置ACS认证服器的ID为1
设置ACS认证服器IP地点
设置ACS认证服器的帐号种类为管理员
设置默认的认证服务器为当地(系统默认)
设置ACS认证服器共享密钥
设置认证服器通信端口
设置登录防火墙的管理员名称
设置登录防火墙的超级用户名的密码
设置可管理防火墙主机的网段地点
设置管理员登录防火墙WEB页面时的超不时间(系统默认)
设置管理员认证服务器的名称
设置用户使用TELNET和SSH登录防火墙时看到的表记语设置防火墙管理员的权限以RADIUS服务器为准
设置防火墙产生的配置文件的格式为DOS格式(系统默认)
设置trust地区归属于untrust虚构路由器
设置untrust地区归属于untrust虚构路由器
设置DMZ地区归属于untrust虚构路由器
设置Trust地区封闭tcp-rst功能,当防火墙收到第一个报文不带有syn标记位时,防火墙不再向源端发送reset报文
设置trust地区开启Block功能,当多个接口均位于Untrust地区时,接口间的流量必要经Policy明确同意才能经过防火墙
设置Trust地区封闭tcp-rst功能,如要启用,当防火墙收到第一个报文不带有syn标记位时,防火墙给源端发送reset报文(对UntrustZone为系统默认)
设置trust地区开启Block功能,当多个接口均位于Untrust地区时,接口间的流量必要经Policy明确同意才能经过防火墙(对UntrustZone为系统默认)
Untrust地区开启tear-drop泪滴攻击防守功能(对UntrustZone为系统默认)
Untrust地区开启syn-flood攻击防守功能(对UntrustZone为系统默认)
Untrust地区开启ping-death攻击防守功能(对UntrustZone为系统默认)
Untrust地区开启ip-filter-src攻击防守功能(对UntrustZone为系统默认)
Untrust地区开启Land陆地攻击防守功能(对UntrustZone为系统默认)
Untrust地区Screen启用只告警不丢包功能
设置接口所属ZONE
设置e1/1接口IP地点
设置接口为路由模式
设置接口的管理IP地点
设置接口同意管理
设置接口的管理服务方式(仅内网口建议开启管理服务)
封闭防火墙在查找policy前检查该首包能否带有Syn标记位,如没有则抛弃该报文功能。
建议用setflowtcp-syn-bit-check来翻开Syn检查功能
防火墙在查找policy前检查该首包能否带有Syn标记位,如没有则抛弃该报文功能
设置防火墙采纳syn-cookie方式防守针对目的地点+端口号的syn-flood攻击
设置防火墙成立会话前需要进行反向路由查找,假如有路由,使用路由做返回信息通道,假如没有路由,则使用信息流抵达防火墙所使用的MAC地点(系统默认)
设置防火墙成立VPN通道的会话前需要进行反向路由查找,假如没有路由,则会被防火墙直接抛弃(系统默认)
设置防火墙收到一条带分段的TCP信息时,不检查其分段的序列号的次序
设置防火墙NSRPCluster集群ID号为1,最大值为7设置NSRPCluster集群同步RTO对象
设置备防火墙session表项超时前会向主防火墙进行能否超时确认(除网银防火墙,其余
业务地区防火墙开启该参数)
撤消ICMPsession的同步
设置NSRP虚构设施组id为0有效级(低值优先)
设置NSRP的监控接口,一旦监控的接口Down掉,防火墙即进行切换启用track-ip功能
设置track-ip地点和连续丢包的阈值为5,降低误报的可能性
在主备都存在故障状况下强迫选择出一个主防火墙
封闭NSRP主备间的NTP同步
启用syslog
功能
设置syslog
服务器IP地点
设置syslog
服务器均采纳通道
0来传输systemlog
和trafficlog
(详细管理值需要与用户
syslog
管理员约定)
设置SNMP服务器xxx有关属性值
设置SNMP服务器的地点、版本号
设置防火墙SNMPclient的名称
设置SNMP侦听端口为UDP161(系统默认)
设置SNMP发送trap信息的端口为UDP162(系统默认)
设置PKI数字证书缺省考证方式为自动(系统默认)
设置PKI数字证书考证缺省路径为(系统默认)
禁用CPE网关设施的IAS功能,
设置可限制并发活动的最大并发IAS数
IAS上限临界值,指定在触发SNMP圈套前,设施所同意的最小并发IAS数。
缺省值为1000个会话,该值一定大于下限临界值
IAS下限临界值,指定在触发SNMP圈套前,设施所同意的最小并发IAS数。
缺省值为1000个会话,该值一定小于上限临界值
将Tunnel接口放到UNTRUSTZONE里
设置Tunn