1、Juniper防火墙命令配置界面配置中文解释对照表参数时区设置虚构路由器设置ALG认证和管理员属性ZONE设置接口设置Flow设置HA设置SYSLOGSNMPVPN命令set clock dst-offset clock ntpset clock timezone 8set ntp server backup1 x.x.x.xset ntp server backup2 x.x.x.xset ntp max-adjustment 0set vrouter trust-vr sharableunset vrouter trust-vr auto-route-exportunset alg sip
2、 enableunset alg mgcp enableunset alg sccp enableunset alg sunrpc enableunset alg msrpc enableunset alg rtsp enableunset alg h323 enableset auth-server Local id 0set auth-server Local server-name Localset auth-server XXXX id 1set auth-server XXXX server-name x.x.x.xset auth-server XXXX account-type
3、adminset auth default auth server Localset auth-server XXXX radius secret xxxxset auth-server ACS radius port 1646set admin name ccbset admin password xxxxxxxxxset admin auth timeout 10set admin auth server XXXXset admin auth banner console login Access is .lyset admin privilege get-externalset admi
4、n format dosset zone Trust vrouter untrust-vrset zone Untrust vrouter untrust-vrset zone DMZ vrouter untrust-vrunset zone Trust tcp-rstset zone Trust blockunset zone Untrust tcp-rstset zone Untrust blockset zone Untrust screen tear-dropset zone Untrust screen syn-floodset zone Untrust screen ping-de
5、athset zone Untrust screen ip-filter-srcset zone Untrust screen landset zone Untrust screen alarm-without-dropset interface ethernet1/1 zone xxxset interface ethernet1/1 routeset interface ethernet1/1 manage-ipset interface ethernet1/1 ip manageableset interface ethernet1/1 manage xxxxunset flow tcp
6、-syn-checkset flow tcp-syn-bit-checkset flow syn-proxy syn-cookieset flow reverse-route clear-text peferset flow reverse-route tunnel alwaysset flow no-tcp-seq-checkset nsrp cluster id 1set nsrp rto-mirror syncset nsrp rto-mirror session ageout-ackunset nsrp rto-mirror session pingset nsrp vsd-group
7、 id 0 priority 20set nsrp vsd-group id 0 monitor interface ethernet1/1 set nsrp monitor track-ip ipset nsrp monitor track-ip ip x.x.x.x threshold 10set nsrp vsd-group master-always-existset ntp no-ha-syncset syslog enableset syslog config x.x.x.xset syslog config x.x.x.x facilities local0 local0set
8、snmp community xxx Read-Only Trap-on version v1set snmp host bbb y.y.y.y 255.255.255.255 trap v2set snmp name xxxxset snmp port listen 161set snmp port trap 162set pki authority default scep mode autoset pki x509 default cert-path partialset ike respond-bad-spi 1unset ike ikeid-enumerationunset ike
9、dos-protectionunset ipsec access-session enableset ipsec access-session maximum 5000set ipsec access-session upper-threshold 0set ipsec access-session lower-threshold 0set ipsec access-session dead-p2-sa-timeout 0unset ipsec access-session log-errorunset ipsec access-session info-exch-connectedunset
10、 ipsec access-session use-error-logset interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3set ike gateway To_Paris address 2.2.2.2 main outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shawebConfiguration Date/Time Configuration Date/Time Conf
11、iguration Date/Time SetTime Zone_hours_minutes from GMTConfiguration Date/TimePrimaryConfiguration Date/TimeBackupConfiguration Date/TimeBackupConfiguration Date/TimeAutomatically synchronizewith an Internet Time Server (NTP):( 选择 )Maximum time adjustmentseconds:0Network Routing Virtual Routers Edit
12、 ( 关于 trust-vr):Shared and accessible by other vsys( 选择)Network Routing Virtual Router Edit ( 关于 trust-vr): 撤消选择Auto Export Route to Untrust-VR ,然后单击 OK。Security ALG Basic Security ALG Basic Security ALG Basic Security ALG Basic Security ALG Basic Security ALG Basic Security ALG Basic撤消选中撤消选中撤消选中撤消选
13、中撤消选中撤消选中撤消选中Configuration Auth Auth Servers(系统默认)Configuration Auth Auth Servers(系统默认)Configuration Auth Auth ServersnewConfiguration Auth Auth ServersnewConfiguration Auth Auth ServersnewConfiguration Auth Auth Servers(系统默认)Configuration Auth Auth Serversnew 要选中 RADIUSConfiguration Auth Auth Serve
14、rsnew 要选中 RADIUSConfiguration Admin AdministratorsnewConfiguration Admin AdministratorsnewConfiguration Auth Auth ServersnewConfiguration Admin AdministratorsnewConfiguration Admin BannersNetwork Zones Edit( 关于 Trust)Network Zones Edit( 关于 unrust)Network Zones Edit( 关于 DMZ)Network Zones Edit( 关于 Tru
15、st) ,撤消选中 If TCP non SYN, send RESETbackNetwork Zones Edit( 关于 Trust) ,选中 Block Intra-Zone TrafficNetwork Zones Edit( 关于 Untrust)撤消选中 If TCP non SYN, send RESETbackNetwork Zones Edit( 关于Untrust) ,选中 Block Intra-ZoneTrafficSecurity Screening Screen( 关于Untrust), 选中 Teardrop AttackProtectionSecurity Sc
16、reening Screen( 关于Untrust), 选中 SYN Flood ProtectionSecurity Screening Screen( 关于Untrust), 选中 Ping of Death AttackProtectionSecurity Screening Screen( 关于Untrust), 选中 IP Source Route OptionFilterSecurity Screening Screen( 关于Untrust), 选中 Land Attack ProtectionSecurity Screening Screen( 关于Untrust), 选中 G
17、enerate Alarmswithout Dropping PacketNetwork Interfaces Edit (关于接口E1/1), 选择 zone nameNetwork Interfaces Edit (关于接口E1/1),输入 IP/maskNetwork Interfaces Edit (关于接口E1/1), Interface Mode 选中 ROUTENetwork Interfaces Edit (关于接口E1/1)输入 Manage IPNetwork Interfaces Edit (关于接口E1/1)选中 ManageableNetwork Interfaces
18、 Edit (关于接口E1/1)选中需要管理的服务Screening ScreenScreening ScreenSecurity Screening FlowProtectionScreening ScreenScreening ScreenScreening ScreenNetwork NSRP ClusterNetwork NSRP Network NSRP Network NSRP Network NSRP VSD Group ConfigurationNetwork NSRP VSD Group ConfigurationNetwork NSRP Monitor Network NS
19、RP Network NSRP Network NSRP SynchronizationConfiguration Report Settings SyslogConfiguration Report Settings SyslogConfiguration Report Settings SyslogConfiguration Report Settings SNMP New CommunityConfiguration Report Settings SNMPConfiguration Report Settings SNMPConfiguration Report Settings SN
20、MPConfiguration Report Settings SNMPObjects Certificates NewObjects Certificates NewNetwork Zones EditNetwork Zones EditVPNs AutoKey Advanced Gateway newVPNs AutoKey IKE EditVPNs AutoKey IKE EditVPNs AutoKey IKE Edit解说封闭夏时制启用 ntp 服务设置防火墙时区为东 8区,北京时间为东 8时区设置 ntp 服务器地点设置备份 ntp 服务器地点设置备份 ntp 服务器地点同意随意时
21、钟偏差状况下都进行时间更新设置 trust-vr 虚构路由器为共享路由器, trust-vr 作为根虚构路由器,能够被其余虚构系统( VSYS)接见封闭将 trust-vr 中接口路由自动导入到 Untrust-vr 中(系统默认)封休会话初始协议 (SIP) 的应用层网关功能封闭媒体网关控制协议 (MGCP)的应用层网关功能封闭瘦客户端呼喊控制协议 (SCCP)的应用层网关功能封闭 SUN远程进度调用 (SUNRPC)的应用层网关功能封闭微软远程进度调用 (MSRPC)的应用层网关功能封闭及时流媒体协议 (RTSP)的应用层网关功能封闭协议应用层网关功能设置当地认证服器的 ID 为0(系统默
22、认)设置当地认证服器的名字为 local (系统默认)设置 ACS认证服器的 ID 为1设置 ACS认证服器 IP 地点设置 ACS认证服器的帐号种类为管理员设置默认的认证服务器为当地(系统默认)设置 ACS认证服器共享密钥设置认证服器通信端口设置登录防火墙的管理员名称设置登录防火墙的超级用户名的密码设置可管理防火墙主机的网段地点设置管理员登录防火墙 WEB页面时的超不时间(系统默认)设置管理员认证服务器的名称设置用户使用 TELNET和SSH登录防火墙时看到的表记语设置防火墙管理员的权限以 RADIUS服务器为准设置防火墙产生的配置文件的格式为 DOS格式 ( 系统默认)设置 trust 地
23、区归属于 untrust 虚构路由器设置 untrust 地区归属于 untrust 虚构路由器设置 DMZ地区归属于 untrust 虚构路由器设置 Trust 地区封闭 tcp-rst 功能,当防火墙收到第一个报文不带有 syn标记位时,防火墙不再向源端发送 reset 报文设置 trust 地区开启 Block 功能,当多个接口均位于 Untrust 地区时,接口间的流量必要经 Policy 明确同意才能经过防火墙设置 Trust 地区封闭 tcp-rst 功能,如要启用 , 当防火墙收到第一个报文不带有 syn标记位时,防火墙给源端发送 reset 报文 ( 对Untrust Zone
24、 为系统默认)设置 trust 地区开启 Block 功能,当多个接口均位于 Untrust 地区时,接口间的流量必要经 Policy 明确同意才能经过防火墙 ( 对Untrust Zone 为系统默认)Untrust 地区开启 tear-drop 泪滴攻击防守功能 ( 对Untrust Zone 为系统默认)Untrust 地区开启 syn-flood 攻击防守功能 ( 对Untrust Zone 为系统默认)Untrust 地区开启 ping-death 攻击防守功能 ( 对Untrust Zone 为系统默认)Untrust 地区开启 ip-filter-src 攻击防守功能 ( 对Un
25、trust Zone 为系统默认)Untrust 地区开启 Land陆地攻击防守功能 ( 对Untrust Zone 为系统默认)Untrust 地区 Screen启用只告警不丢包功能设置接口所属 ZONE设置 e1/1 接口 IP 地点设置接口为路由模式设置接口的管理 IP 地点设置接口同意管理设置接口的管理服务方式(仅内网口建议开启管理服务)封闭防火墙在查找 policy 前检查该首包能否带有 Syn标记位,如没有则抛弃该报文功能。建议用 set flow tcp-syn-bit-check 来翻开 Syn检查功能防火墙在查找 policy 前检查该首包能否带有 Syn标记位,如没有则抛弃
26、该报文功能设置防火墙采纳 syn-cookie 方式防守针对目的地点端口号的 syn-flood 攻击设置防火墙成立会话前需要进行反向路由查找,假如有路由,使用路由做返回信息通道,假如没有路由,则使用信息流抵达防火墙所使用的 MAC地点(系统默认)设置防火墙成立 VPN通道的会话前需要进行反向路由查找,假如没有路由,则会被防火墙直接抛弃(系统默认)设置防火墙收到一条带分段的 TCP信息时,不检查其分段的序列号的次序设置防火墙 NSRP Cluster 集群 ID号为 1,最大值为7设置 NSRP Cluster 集群同步 RTO对象设置备防火墙 session 表项超时前会向主防火墙进行能否超
27、时确认(除网银防火墙,其余业务地区防火墙开启该参数)撤消 ICMP session 的同步设置 NSRP虚构设施组 id 为0有效级 ( 低值优先)设置 NSRP的监控接口,一旦监控的接口 Down掉,防火墙即进行切换启用 track-ip 功能设置 track-ip 地点和连续丢包的阈值为 5 ,降低误报的可能性在主备都存在故障状况下强迫选择出一个主防火墙封闭 NSRP主备间的 NTP同步启用 syslog功能设置 syslog服务器 IP 地点设置 syslog服务器均采纳通道0来传输 system log和traffic log(详细管理值需要与用户syslog管理员约定)设置 SNMP
28、服务器 xxx有关属性值设置 SNMP服务器的地点、版本号设置防火墙 SNMP client 的名称设置 SNMP侦听端口为 UDP161(系统默认)设置 SNMP发送 trap 信息的端口为 UDP162(系统默认)设置 PKI数字证书缺省考证方式为自动(系统默认)设置 PKI数字证书考证缺省路径为(系统默认)禁用 CPE 网关设施的 IAS 功能,设置可限制并发活动 的最大并发 IAS 数IAS上限临界值 , 指定在触发 SNMP圈套前,设施所同意的最小并发 IAS 数。缺省值为 1000 个会话,该值一定大于下限临界值IAS下限临界值 , 指定在触发 SNMP圈套前,设施所同意的最小并发 IAS 数。缺省值为 1000 个会话,该值一定小于上限临界值将Tunnel 接口放到 UNTRUST ZONE里设置 Tunn