juniper防火墙配置手册

作者：大肚蝈蝈

折腾无数次软路由，iKuai 、LEDE 、openwrt

X86架构下的软路由性能无法发挥

公司倒闭的时候还留下一堆破设备，索性拿一台SRX300防火墙来折腾  （可能就是喜欢瞎折腾，公司才破产的）

  Juniper审美还是可以的，符合我的口味。应该比那些1U软路由好很多吧 

机柜没有整理，等整理好再更新图片，先讲一下使用 Junos 系统的感受，还有一些配置命令

目前实现的功能有：NAT 端口映射、PPPOE拨号（最基础的了）IPV4一切正常，但是IPV6 DHCP PD还没有折腾明白，总获取不到前缀、P2P下载、IPTV（组播或者转发，还在折腾中。。。）

网上可以找到的技术资料不多，而且很多资料不够全，下面我会一步步讲解怎么配置，不足之处请大家不吝赐教。

一、恢复出厂配置、升级固件

习惯使用命令行去配置，最直观而且响应快，Junos支持web配置，但是那UI看看就行了。。。真心不好用

SRX300支持Microusb的console  也支持RJ45  console，我用的Microusb，需要先安装驱动

搜索 Juniper Networks BX Series System Console 

如果不知道root密码，可以捅屁股恢复出厂

root用户下 输入cli 进入

继续输入con 进入编辑模式

恢复出厂在cli模式下（quit  退出至cli）

request system zeroize

回复出厂后重启设备

request system reboot

启动后要设置root密码，不设置密码无法保存编辑

root@Amnestic% cli 

root@Amnestic> configure 

root@Amnestic# set system root-authentication plain-text-passwordNew password: # 输入新密码Retype new password: # 重复输入新密码r

oot@Amnestic# commit    #保存命令

Junos固件很难找，官网现在注册不到账号，国外论坛蹲了好几天，要到了最新固件 22.4R1 版本

升级固件可以使用FTP  也可以使用U盘

两种方法都用过，都差不多，无非就是拷贝固件的方式不同

FTP升级

SRX300默认接口1的ip 192.16.1.1

可以使用ftp升级

搭建FTP服务器就不多说了，

root> ftp 192.168.1.100      

输入用户名密码

ftp>lcd /var/tmp

ftp>bin

ftp> get jjunos-srxsme-22.4R1.10.tgzt

ftp> bye

root> request system software add no-validate /var/tmp/junos-srxsme-22.4R1.10.tgz

开始升级  耐心等

USB升级

U盘格式化fat32格式   压缩包放U盘根目录

傅刮哲4281juniper防火墙加在两个内网之间的设置 -
侯步转17622353692 ______ 最简单的实现方式是把你的防火墙当成交换机来用,这种接入模式一般称为桥接,新建一个桥组,桥组包含多个接口,然后按需求建立访问控制策略,或者不需要访问控制,直接any到any全通就可以了.不知道juniper防火墙有没有这个功能.还有就是有点麻烦的.把连接无线路由的接口设置为UNTRUST,地址可以配置成为自动获取(也不知道juniper防火墙能不能配置自动获取)或者局域网里没人用的IP地址,添加缺省路由为你无线路由的IP地址.然后建立TRUST到UNTRUST的NAT.最后建立访问控制规则.

傅刮哲4281juniper ssg - 520m - sh如何配置 -
侯步转17622353692 ______ 楼主的要求写的过于简单,从字面上看,你的要求任何防火墙都可以满足,如果不懂如何操作,可以参考Netscreenos 的技术文档: http://www.juniper.net/techpubs/software/screenos/screenos6.0.0/translated/ 请注意,SSG-520M 也可以运行Junos系统(需要更换CF卡),上述文档仅适用于运行Netscreenos操作系统的SSG-520M.

傅刮哲4281向高手请教!Juniper 的防火墙 有三种模式 分别是NAT模式 路由模式 透明模式 分别在什么情况下使用啊! -
侯步转17622353692 ______ NAT模式就是接在防火墙上的内网端口在出防火墙后会被转换成一个外网端口的IP.这个是解决外网IP少,但是需要上网的人多的好方法. 路由模式是防火墙会像路由器那样根据包里的路由信息把数据发往相应端口.就是想路由器一样负责路由,并且有包过滤功能的意思. 透明模式就是数据包通过防火墙时不会被扫描检测,除了防火墙定义的policy之外不做任何操作. Juniper网络公司(中文名:瞻博网络)致力于实现网络商务模式的转型.作为全球领先的联网和安全性解决方案供应商,Juniper网络公司对依赖网络获得战略性收益的客户一直给予密切关注.

傅刮哲4281juniper防火墙是在防火墙前还是后? -
侯步转17622353692 ______ 应该是后 因为 第一个防火墙是你电脑上自带的 防火墙 如果他被工破了 其他的防火墙才会运行

傅刮哲4281juniper防火墙的两个接口是否可以设置成同一网段地址 -
侯步转17622353692 ______ 上述回答是有误的,默认情况下,防火墙是路由模式,是个三层设备,所以每个接口必须要配置成不同网段(才可以路由).当然,防火墙是可以做成2层透明防火墙,这样的话你就可以配置几个接口在同一网段下.

傅刮哲4281juniper防火墙 VIP设置 -
侯步转17622353692 ______ 首先明确,你做做的是目的地址NAT,ScreenOS上定义为dst-nat,带有端口转换利用VIP来实现. 如果你防火墙的外网的地址为219.80.65.77/30 服务器地址为192.168.5.3/24 按照你做的策略,任何地址在访问219.80.65.77:8080这个地址的这个端...

傅刮哲4281juniper ssg 怎么输入命令 -
侯步转17622353692 ______ 在控制台CONSOL连接情况下先挂起防火墙,命令reset—>unset,可以错位试一下,先重设再重启即可.在reset重启后登入netscreen ,密码:netscreen,然后自己慢慢重设所要的配置.还可以用条形码登入方式,但要先备份一下防火墙上的所有配置,包括策略和NAT、VIP、DIP、MIP之类的.这是出厂初始化.然后重启即可.回答不容易,希望能帮到您,满意请帮忙采纳一下,谢谢 !

傅刮哲4281两台 Juniper NS 5400 防火墙 做主备 如何配置 -
侯步转17622353692 ______ 建议: 点击“插入→图表”菜单命令,或者点击工具栏中的“图表向导”按钮,就可以打开“图表向导”,在它的指引下一步步建立图表.下面以建立60090105d^4的分析结果图表为例,说明图表向导的操作方法:

傅刮哲4281Juniper防火墙配置问题
侯步转17622353692 ______ 是说你10.1.12.0 和13.0这两个网段路由是在trust-vr这个虚拟路由里面的,并且优先级一样.防火墙每个接口属于一个ZONE,每个ZONE必须属于一个VR,而防火墙默认有两个VR,一个trust-vr,一个untrust-vr,基本一般只会用到一个VR,也就是说,在一个VR里面的所有路由是一张路由表,里面的路由可以互相通信 .

傅刮哲4281JUNIPER的防火墙是SSG系列的好用还是SRX系列的好用? -
侯步转17622353692 ______ 你这种情况比较复杂!SRX系列是下一代安全网关,是juniper现在主推的产品,也是自己研发的产品,采用的junos系统也是跟路由器和交换机统一平台.SRX的路由交换以及安全功能都可以说是同行中首屈一指的.现在运营商也在大批使用...