陈天红™

Juniper防火墙基础教程

备注：本教程是本人从网上收集到的，版权归原作者所有。

本博客也有一些juniper的一些基础知识，大家搜索下。例下本压缩包里面的内容：

1. 5gt 时间控制
2. Juniper Netscreen模拟实例配置PPT
3. Juniper ScreenOS 基于Policy的源地址转换（NAT-SRC）配置示例
   
4. Juniper防火墙case信息收集表
5. Juniper防火墙之图解L2TP over IPSEC
6. juniper防火墙之图解l2tp vpn配置
7. Juniper防火墙之图解用户认证
8. Juniper网络安全防火墙设备快速安装手册V1.0
9. Juniper网络安全防火墙设备快速安装手册V1.0
10. L2TP_VPN_Configuration
11. Netscreen 防火墙维护指南
12. Netscreen_NSRP双机典型配置及维护
13. Netscreen防火墙保护内网安全的一个解决方案
14. Netscreen防火墙使用RADIUS进行用户验证
15. 限制IP流量策略
16. ScreenOS Auth Guide
17. ScreenOS的多链路负载均衡功能实现
18. 点到点的VPN
19. 网络地址翻译方法总结和实验
20. 消除告警灯

    备注：分卷压缩，共三个。

21. juniper.part1
    juniper.part2
    juniper.part3

阅读全文…

       本视频教程包含了5gt的基本操作（定义IP、上网组、策略、VIP策略、时间限制、网速控制等），本视频由德明兄制作，我帮助其发布，感谢德明兄！视频存放在box.net网盘中，如被墙，使用boxcn.net访问。

5GT新建IP做服务参考视频

在全老师和志恒童鞋的帮助下，成功利用5GT封杀开心网等网站，废话少说，步入正题

登陆你的5GT，填入你的管理员帐号和密码（点击图片放大）

第一步：

第二步：策略很关键，注意红色的位置不要选错了，否则未效果

第三步：把建立的这条策略一定要放在你封的那个组前面，置顶就行了

第四步：收工，看下效果

一、上网时间控制
Objects > Schedules
Policies——Advanced Policy Settings——Schedule下拉菜单

二、带宽限制
Network > Interfaces > Edit——Traffic Bandwidth
Policies——选择要求限定的策略——Advanced Policy Settings——Traffic Shaping——Maximum Bandwidth

三、开放Interface的WEB、TELNET、PING
Network > Interfaces > Edit
Service Options：选择相应选项

四、管理页面端口设定
Configuration > Admin > Management
HTTP Port：80（默认端口）    set admin port 80
Telnet Port：23（默认端口）    set admin telnet port 23

五、版本检查
HOME——Firmware Version
Configuration > Update > ScreenOS/Keys——Capacity

六、PPPoP设置
Network > PPPoE > Edit
PPPoE Instance：test
Bound to Interface：ethernet3
Username/Password
Network > DHCP > Edit——DHCP Server——DNS#1：61.144.56.101

七、MIP
Network > Interfaces > Edit > MIP > Configuration——NEW
Mapped IP：映射的IP（公网IP）
Netmask：映射的IP的掩码（公网IP的掩码）
Host IP Address：被映射的IP（私网IP）
Host Virtual Router Name：选择untrust-vr

八、ethernet3接入局域网
Network > Routing > Routing Entries——NEW
Network Address / Netmask ：0.0.0.0 0.0.0.0
选择：Gateway
Interface：ethernet3
Gateway IP Address：选择该局域网的网关
Network > Interfaces > Edit——Static IP

九、新增用户需确认掩码
IP Address/Domain Name——IP/Netmask：IP地址/32
说明：掩码可写成255.255.255.255；掩码不能写成24，“/24”表示整个网段

十、删除用户、用户组
Objects > Addresses > List——处于“In Use”状态
Policies——需先把用户、用户组相关的策略删除

十一、DHCP
Network > DHCP > Edit——DHCP Server
Gateway/Netmask：172.16.88.1/255.255.255.0
Network > DHCP > DHCP Server Address List
NEW——Dynamic：
IP Address Start：172.16.88.60
IP Address End：172.16.88.250

十二、MAC地址绑定
Network > DHCP > DHCP Server Address Edit
Reserved——IP Address：172.16.88.8 / Ethernet Address：ABCD.1234.8E0E（在5GT上绑定DMS服务器MAC地址）

十三、检查ARP攻击
什么是ARP欺骗
ARP攻击的现象
5GT中故障检查：arp －a、telnet——get arp all、WEB——Reports > System Log > Event（举例、图）
对用措施：cmd——arp -s 172.16.88.1 00-10-db-71-f5-72

十四、策略的排序

十五、策略的排错（检查现有的策略）
先添加一条”permit Any to Any”
“permit Any to Any”把并置于首位，检查应用是否正常
然后由高至低把“permit Any to Any”逐一插入原有策略组中，检查应用是否正常

十六、上网用户密码设置
1、创建用户（分派IP）Objects > Addresses > List——NEW
2、MAC地址绑定（IP与MAC绑定）Network > DHCP > DHCP Server Address List——NEW——Reserved：输入IP与MAC
3、建立5GT的本地用户并设定密码 Objects > Users > Local——NEW
User Name：test、Status：Enable
选择Authentication User、User Password、Confirm Password
4、制定Policies
Source Address
Advanced——Authentication：Auth Server——Use：Local
User：用户
5、策略排序

下载地址