juniper防火墙命令切换华为

Juniper防火墙基本命令 常用查看命令 Get int查看接口配置信息

Get int ethx/x查看指定接口配置信息 Get mip查看映射ip关系 Get route查看路由表 Get policy id x查看指定策略

Get nsrp查看nsrp信息，后可接参数查看具体vsd组、端口监控设置等 Get per cpu de查看cpu利用率信息

Get per sessionde查看每秒新建会话信息 Get session查看当前会话信息，后可匹配源地址、源端口、目的地址、目的端口、协议等选项 Get session info查看当前会话数量

Get system查看系统信息，包括当前os版本，接口信息，设备运行时间等 Get chaiss查看设备及板卡序列号，查看设备运行温度 Get counter stat查看所有接口计数信息 Get counter stat ethx/x查看指定接口计数信息

Get counter flow zone trust/untrust查看指定区域数据流信息

Get counter screen zone untrust/trust查看指定区域攻击防护统计信息

华为路由器和防火墙配置命令总结

一、access-list 用于创建访问规则。

（1）创建标准访问列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

（2）创建扩展访问列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

（3）删除访问列表

no access-list { normal | special } { all | listnumber [ subitem ] }

【参数说明】

normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。

listnumber1

Juniper防火墙知识培训

Juniper 防火墙的 防火墙的MIP/VIP/DIPJuniper防火墙的几种常用功能主要是指基于策略的NAT的实现，包括：MIP、VIP和DIP,这三种常用 功能主要应用于防火墙所保护服务器提供对外服务。 MIP MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是：当你有若干个公网IP地址，又存在若 干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器， 可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过 策略实现对服务器所提供服务进行访问控制。 VIP MIP是一个公网IP地址对应一个私有IP地址，是一对一的映射关系；而VIP是一个公网IP地址的不同端 口(协议端口如：21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在 只有很少的公网IP地址，却拥有多个私有IP地址的服务器，并且，这些服务器是需要对外提供各种服 务的。 DIP DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下，通过防火墙由内网 对外网的访问会自动转换为防火墙设备的外网端口IP地址，并实现

Juniper防火墙日常维护手册

（v 20131112）

作者 分类 关键字 Juniper、NetScreen、防火墙、日常维护、ScreenOS、JunOS、NS、ISG、SSG、SRX 苏毅 审核 子类 指导手册 其他 更新时间 2013-11-12 摘要 此手册用于指导Juniper防火墙驻场工程师常规操作，驻场工程师可以按照日常工作内容从文档中选取相应的命令。此手册基本涵盖了常规操作、巡检操作等驻场维护工作所需要的操作指导，各工程师也可根据自身驻场项目特点确定日常巡检的内容。 Juniper防火墙运维工作 Juniper ScreenOS防火墙包括产品型号有： 主要适NS系列、ISG系列、SSG系列 用环境 Juniper JunOS防火墙包括产品型号有： SRX系列（SRX Branch系列包含SRX650及以下型号，SRX High-end系列包含SRX1K、3K和SRX5K）

《Juniper防火墙日常维护手册-v20131112》 第 1页 共59页

版本说明

版本号 V20131112

拟制/修改责任人 苏毅

拟制/修改日期 2013-11-12 修

Juniper的防火墙基本都集成了VPN功能，VPN功能是企业网络非常常用的功能，建立VPN后可以确保数据传输的安全性。这里就介绍一下Juniper防火墙配置两端都是固定IP的IPsec VPN的步骤，关于IPsec VPN的介绍可以参考 [IPSec VPN的详细介绍] 。 在左侧的菜单栏下VPN菜单可以看到配置VPN需要用到的一些配置元素 1、建立VPN网关

首先需要在 VPNs >AutoKey Advanced > Gateway 下新建一个VPN网关，如下图所示，

这个界面下我已经建立了多个VPN网关，这台Juniper防火墙是放在上海的办公室的，需要和北京的办公室建立一个IPsec VPN。其中“Peer Type”表示VPN的类型，Dialup是拨号VPN，Dynamic是一端是动态地址的VPN，static是两端都是固定IP的VPN。

Gateway name 起个容易记得住的名称，因为如果VPN多了就分部清是到哪里的VPN网关了 Remote gateway 填远端防火墙的外网IP地址

Dynamic IP Address 如果对端是adsl拨号这样的动态IP，需要填写远端的Peer ID，该 Peer ID需要在远端预设，

Juniper防火墙日常维护手册

（v 20131112）

作者 分类 关键字 Juniper、NetScreen、防火墙、日常维护、ScreenOS、JunOS、NS、ISG、SSG、SRX 苏毅 审核 子类 指导手册 其他 更新时间 2013-11-12 摘要 此手册用于指导Juniper防火墙驻场工程师常规操作，驻场工程师可以按照日常工作内容从文档中选取相应的命令。此手册基本涵盖了常规操作、巡检操作等驻场维护工作所需要的操作指导，各工程师也可根据自身驻场项目特点确定日常巡检的内容。 Juniper防火墙运维工作 Juniper ScreenOS防火墙包括产品型号有： 主要适NS系列、ISG系列、SSG系列 用环境 Juniper JunOS防火墙包括产品型号有： SRX系列（SRX Branch系列包含SRX650及以下型号，SRX High-end系列包含SRX1K、3K和SRX5K）

《Juniper防火墙日常维护手册-v20131112》 第 1页 共59页

版本说明

版本号 V20131112

拟制/修改责任人 苏毅

拟制/修改日期 2013-11-12 修

Juniper防火墙产品培训+

Juniper Networks 防火墙 VPN 产品

李铭 13488853737

Juniper防火墙产品培训+

议 程 Juniper简介 Juniper防火墙/VPN产品线 Juniper ISG 集成安全网关系列 Juniper SSG 安全业务网关系列 产品对比 案例分析

Juniper防火墙产品培训+

Juniper(瞻博)网络公司 一家不断成长的公司 在我们所有的关键市场上，市场份额前三名 全球5,000+ 员工 中国150+员工 关注从网络中转化策略价值的客户

Juniper 全球业务分布

亚太成功方式 出色的财务业绩 投入大量资金用于研发 不断增加的市场份额 广泛的业界认可

北美

欧洲

Juniper防火墙产品培训+

Juniper(瞻博)发展

2008

M-Series

#78 9

2007

2006 2005 2004 2002 1996 1998 1999 2000

UACIncorporated Acorn

T1600 T-SeriesSSG

JUNOS w/Integrated Security

Revenue Employees

$500M 1000

$1.3B 1500 250

.. . . ..

学习参考华为USG防火墙运维命令大全

1查会话

使用场合

针对可以建会话的报文，可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。

命令介绍（命令类）

display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ]

使用方法（工具类）

首先确定该五元组是否建会话，

华为USG防火墙运维命令大全

1查会话

使用场合

针对可以建会话的报文，可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。 命令介绍（命令类）

display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ] 使用方法（工具类）

首先确定该五元组是否建会话，对于TCP/

表29-1：手动同步配置命令列表；HA同步信息show命令手动同步命令；配置信息showconfigurationexe；文件信息showfileexechasyncfi；ARP表项showarpexechasyncrd；DNS配置信息showiphostsexecha；DHCP配置信息showdhcpexechasy；MAC地址表showmacexecha

表 29-1：手动同步配置命令列表 HA 同步信息 show 命令 手动同步命令

配置信息show configuration exec ha sync configuration 文件信息 show file exec ha sync file file-name ARP 表项show arp exec ha sync rdoarp

DNS 配置信息show ip hosts exec ha sync rdodns DHCP 配置信息show dhcp exec ha sync rdodhcp MAC 地址表show mac exec ha sync rdo mac showpki key PKI 配置信息

showpki trust-domain exec ha sync rdopk