juniper防火墙常用命令

华为路由器和防火墙配置命令总结

一、access-list 用于创建访问规则。

（1）创建标准访问列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

（2）创建扩展访问列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

（3）删除访问列表

no access-list { normal | special } { all | listnumber [ subitem ] }

【参数说明】

normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。

listnumber1

Juniper防火墙基本命令 常用查看命令 Get int查看接口配置信息

Get int ethx/x查看指定接口配置信息 Get mip查看映射ip关系 Get route查看路由表 Get policy id x查看指定策略

Get nsrp查看nsrp信息，后可接参数查看具体vsd组、端口监控设置等 Get per cpu de查看cpu利用率信息

Get per sessionde查看每秒新建会话信息 Get session查看当前会话信息，后可匹配源地址、源端口、目的地址、目的端口、协议等选项 Get session info查看当前会话数量

Get system查看系统信息，包括当前os版本，接口信息，设备运行时间等 Get chaiss查看设备及板卡序列号，查看设备运行温度 Get counter stat查看所有接口计数信息 Get counter stat ethx/x查看指定接口计数信息

Get counter flow zone trust/untrust查看指定区域数据流信息

Get counter screen zone untrust/trust查看指定区域攻击防护统计信息

juniper防火墙常用维护指南

etscreen防火墙日常维护指南

一、综述. 3

二、Netscreen防火墙日常维护. 3

常规维护：. 3

应急处理. 7

总结改进. 8

故障处理工具. 9

三、Netscreen冗余协议（NSRP）. 10

NSRP部署建议. 10

NSRP常用维护命令. 11

四、策略配置与优化（Policy）. 12

五、攻击防御（Screen）. 13

五、特殊应用处理. 15

长连接应用处理. 15

不规范TCP应用处理. 16

VOIP应用处理. 16

附录：JUNIPER防火墙Case信息表. 17

一、综述

防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。

NetScreen防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对Netscreen防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。

二、Netscreen防火墙日常维护

围绕防火墙可靠运行和

juniper防火墙常用维护指南

etscreen防火墙日常维护指南

一、综述. 3

二、Netscreen防火墙日常维护. 3

常规维护：. 3

应急处理. 7

总结改进. 8

故障处理工具. 9

三、Netscreen冗余协议（NSRP）. 10

NSRP部署建议. 10

NSRP常用维护命令. 11

四、策略配置与优化（Policy）. 12

五、攻击防御（Screen）. 13

五、特殊应用处理. 15

长连接应用处理. 15

不规范TCP应用处理. 16

VOIP应用处理. 16

附录：JUNIPER防火墙Case信息表. 17

一、综述

防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。

NetScreen防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对Netscreen防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。

二、Netscreen防火墙日常维护

围绕防火墙可靠运行和

Juniper防火墙知识培训

Juniper 防火墙的 防火墙的MIP/VIP/DIPJuniper防火墙的几种常用功能主要是指基于策略的NAT的实现，包括：MIP、VIP和DIP,这三种常用 功能主要应用于防火墙所保护服务器提供对外服务。 MIP MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是：当你有若干个公网IP地址，又存在若 干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器， 可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过 策略实现对服务器所提供服务进行访问控制。 VIP MIP是一个公网IP地址对应一个私有IP地址，是一对一的映射关系；而VIP是一个公网IP地址的不同端 口(协议端口如：21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在 只有很少的公网IP地址，却拥有多个私有IP地址的服务器，并且，这些服务器是需要对外提供各种服 务的。 DIP DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下，通过防火墙由内网 对外网的访问会自动转换为防火墙设备的外网端口IP地址，并实现

Juniper防火墙日常维护手册

（v 20131112）

作者 分类 关键字 Juniper、NetScreen、防火墙、日常维护、ScreenOS、JunOS、NS、ISG、SSG、SRX 苏毅 审核 子类 指导手册 其他 更新时间 2013-11-12 摘要 此手册用于指导Juniper防火墙驻场工程师常规操作，驻场工程师可以按照日常工作内容从文档中选取相应的命令。此手册基本涵盖了常规操作、巡检操作等驻场维护工作所需要的操作指导，各工程师也可根据自身驻场项目特点确定日常巡检的内容。 Juniper防火墙运维工作 Juniper ScreenOS防火墙包括产品型号有： 主要适NS系列、ISG系列、SSG系列 用环境 Juniper JunOS防火墙包括产品型号有： SRX系列（SRX Branch系列包含SRX650及以下型号，SRX High-end系列包含SRX1K、3K和SRX5K）

《Juniper防火墙日常维护手册-v20131112》 第 1页 共59页

版本说明

版本号 V20131112

拟制/修改责任人 苏毅

拟制/修改日期 2013-11-12 修

Juniper的防火墙基本都集成了VPN功能，VPN功能是企业网络非常常用的功能，建立VPN后可以确保数据传输的安全性。这里就介绍一下Juniper防火墙配置两端都是固定IP的IPsec VPN的步骤，关于IPsec VPN的介绍可以参考 [IPSec VPN的详细介绍] 。 在左侧的菜单栏下VPN菜单可以看到配置VPN需要用到的一些配置元素 1、建立VPN网关

首先需要在 VPNs >AutoKey Advanced > Gateway 下新建一个VPN网关，如下图所示，

这个界面下我已经建立了多个VPN网关，这台Juniper防火墙是放在上海的办公室的，需要和北京的办公室建立一个IPsec VPN。其中“Peer Type”表示VPN的类型，Dialup是拨号VPN，Dynamic是一端是动态地址的VPN，static是两端都是固定IP的VPN。

Gateway name 起个容易记得住的名称，因为如果VPN多了就分部清是到哪里的VPN网关了 Remote gateway 填远端防火墙的外网IP地址

Dynamic IP Address 如果对端是adsl拨号这样的动态IP，需要填写远端的Peer ID，该 Peer ID需要在远端预设，

Juniper防火墙日常维护手册

（v 20131112）

作者 分类 关键字 Juniper、NetScreen、防火墙、日常维护、ScreenOS、JunOS、NS、ISG、SSG、SRX 苏毅 审核 子类 指导手册 其他 更新时间 2013-11-12 摘要 此手册用于指导Juniper防火墙驻场工程师常规操作，驻场工程师可以按照日常工作内容从文档中选取相应的命令。此手册基本涵盖了常规操作、巡检操作等驻场维护工作所需要的操作指导，各工程师也可根据自身驻场项目特点确定日常巡检的内容。 Juniper防火墙运维工作 Juniper ScreenOS防火墙包括产品型号有： 主要适NS系列、ISG系列、SSG系列 用环境 Juniper JunOS防火墙包括产品型号有： SRX系列（SRX Branch系列包含SRX650及以下型号，SRX High-end系列包含SRX1K、3K和SRX5K）

《Juniper防火墙日常维护手册-v20131112》 第 1页 共59页

版本说明

版本号 V20131112

拟制/修改责任人 苏毅

拟制/修改日期 2013-11-12 修

Juniper防火墙产品培训+

Juniper Networks 防火墙 VPN 产品

李铭 13488853737

Juniper防火墙产品培训+

议 程 Juniper简介 Juniper防火墙/VPN产品线 Juniper ISG 集成安全网关系列 Juniper SSG 安全业务网关系列 产品对比 案例分析

Juniper防火墙产品培训+

Juniper(瞻博)网络公司 一家不断成长的公司 在我们所有的关键市场上，市场份额前三名 全球5,000+ 员工 中国150+员工 关注从网络中转化策略价值的客户

Juniper 全球业务分布

亚太成功方式 出色的财务业绩 投入大量资金用于研发 不断增加的市场份额 广泛的业界认可

北美

欧洲

Juniper防火墙产品培训+

Juniper(瞻博)发展

2008

M-Series

#78 9

2007

2006 2005 2004 2002 1996 1998 1999 2000

UACIncorporated Acorn

T1600 T-SeriesSSG

JUNOS w/Integrated Security

Revenue Employees

$500M 1000

$1.3B 1500 250

表29-1：手动同步配置命令列表；HA同步信息show命令手动同步命令；配置信息showconfigurationexe；文件信息showfileexechasyncfi；ARP表项showarpexechasyncrd；DNS配置信息showiphostsexecha；DHCP配置信息showdhcpexechasy；MAC地址表showmacexecha

表 29-1：手动同步配置命令列表 HA 同步信息 show 命令 手动同步命令

配置信息show configuration exec ha sync configuration 文件信息 show file exec ha sync file file-name ARP 表项show arp exec ha sync rdoarp

DNS 配置信息show ip hosts exec ha sync rdodns DHCP 配置信息show dhcp exec ha sync rdodhcp MAC 地址表show mac exec ha sync rdo mac showpki key PKI 配置信息

showpki trust-domain exec ha sync rdopk