【正文】 es Edit ( 對(duì)于 ethernet7): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: HA Network Interfaces Edit ( 對(duì)于 ethernet8): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: HA Network Interfaces Edit ( 對(duì)于 ethernet1): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: Untrust Static IP: ( 出現(xiàn)時(shí)選擇此選項(xiàng)) IP Address/Netmask: Network Interfaces Edit ( 對(duì)于 ethernet3): 輸入以下內(nèi)容，然后單擊 Apply: Zone Name: Trust Static IP: ( 出現(xiàn)時(shí)選擇此選項(xiàng)) IP Address/Netmask: Manage IP: 輸入以下內(nèi)容，然后單擊 OK: Interface Mode: NAT ② NSRP Network NSRP Monitor Interface VSD ID: Device Edit Interface: 輸入 以下內(nèi)容，然后單擊 Apply: ethernet1: ( 選擇)。 Weight: 255 ethernet3: ( 選擇)。 Weight: 255 Network NSRP Synchronization: 選擇 NSRP RTO Synchronization，然后 單擊 Apply。 Network NSRP Cluster: 在 Cluster ID 字段中，鍵入 1，然后單擊 Apply。 WebUI ( 設(shè)備B) ① 接口 Network Interfaces Edit ( 對(duì)于 ethernet7): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: HA Network Interfaces Edit ( 對(duì)于 ethernet8): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: HA Network Interfaces Edit ( 對(duì)于 ethernet1): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: Untrust Static IP: ( 出現(xiàn)時(shí)選擇此選項(xiàng)) IP Address/Netmask: Network Interfaces Edit ( 對(duì)于 ethernet3): 輸入以下內(nèi)容，然后單擊 Apply: Zone Name: Trust Static IP: ( 出現(xiàn)時(shí)選擇此選項(xiàng)) IP Address/Netmask: Manage IP: 輸入以下內(nèi)容，然后單擊 OK: Interface Mode: NAT ② NSRP Network NSRP Monitor Interface VSD ID: Device Edit Interface: 輸入 以下內(nèi)容，然后單擊 Apply: ethernet1: ( 選擇)。 Weight: 255 ethernet3: ( 選擇)。 Weight: 255 Network NSRP Synchronization: 選擇 NSRP RTO Synchronization，然后 單擊 Apply。 Network NSRP Cluster: 在 Cluster ID 字段中，鍵入 1，然后單擊 Apply。 、使用命令行方式配置 CLI ( 設(shè)備A) ① 接口 set interface ethernet7 zone ha set interface ethernet8 zone ha set interface ethernet1 zone untrust set interface ethernet1 ip set interface ethernet3 zone trust set interface ethernet3 ip set interface ethernet3 manageip set interface ethernet3 nat ② NSRP set nsrp rtomirror sync set nsrp monitor interface ethernet1 set nsrp monitor interface ethernet3 set nsrp cluster id 1 save CLI ( 設(shè)備B) ① 接口 set interface ethernet7 zone ha set interface ethernet8 zone ha set interface ethernet1 zone untrust set interface ethernet1 ip set interface ethernet3 zone trust set interface ethernet3 ip set interface ethernet3 manageip set interface ethernet3 nat ② NSRP set nsrp rtomirror sync set nsrp monitor interface ethernet1 set nsrp monitor interface ethernet3 set nsrp cluster id 1 save 注：基于主主方式的HA應(yīng)用的說(shuō)明：詳見(jiàn)《概念與范例 screenOS參考指南》可以在：。 Juniper防火墻一些實(shí)用工具 、防火墻配置文件的導(dǎo)出和導(dǎo)入 Juniper防火墻的配置文件的導(dǎo)入導(dǎo)出功能為用戶提供了一個(gè)快速恢復(fù)當(dāng)前配置的有效的手段。一旦用戶不小心因?yàn)椴僮魇д`或設(shè)備損壞更換，都可以利用該功能，實(shí)現(xiàn)快速的防火墻配置的恢復(fù)，在最短的時(shí)間內(nèi)恢復(fù)設(shè)備和網(wǎng)絡(luò)正常工作。 、配置文件的導(dǎo)出 配置文件的導(dǎo)出（WebUI）：在Configuration Update Config File位置，點(diǎn)選：Save to file，將當(dāng)前的防火墻設(shè)備的配置文件導(dǎo)出為一個(gè)無(wú)后綴名的可編輯文本文件。 配置文件的導(dǎo)出（CLI）：ns208 save config from flash to tftp 、配置文件的導(dǎo)入 配置文件的導(dǎo)入（WebUI）：在Configuration Update Config File位置，點(diǎn)選：Merge to Current Configuration，覆蓋當(dāng)前配置并保留不同之處；點(diǎn)選：Replace Current Configuration 替換當(dāng)前配置文件。導(dǎo)入完成之后，防火墻設(shè)備會(huì)自動(dòng)重新啟動(dòng)，讀取新的配置文件并運(yùn)行。 配置文件的導(dǎo)入（CLI）：ns208 save config from tftp to flash 或者ns208save config from tftp merge 、防火墻軟件（ScreenOS）更新 關(guān)于ScreenOS： Juniper防火墻的OS軟件是可以升級(jí)的，一般每一到兩個(gè)月會(huì)有一個(gè)新的OS版本發(fā)布，OS版本如：，這個(gè)版本號(hào)的變化代表著功能的變化；，這個(gè)號(hào)碼的變化代表著B(niǎo)UG的完善，因此一般建議，在大版本號(hào)確定的情況下，選擇小版本號(hào)大的OS作為當(dāng)前設(shè)備的OS。 關(guān)于OS升級(jí)注意事項(xiàng)： 升級(jí)OS需要一定的時(shí)間，根據(jù)設(shè)備性能的不同略有差異，一般情況下大約需要5分鐘的時(shí)間。在升級(jí)的過(guò)程中，一定要保持電源的供應(yīng)、網(wǎng)線連接的穩(wěn)定，最好是將防火墻從網(wǎng)絡(luò)中暫時(shí)取出，待OS升級(jí)完成后再將防火墻設(shè)備接入網(wǎng)絡(luò)。 ScreenOS升級(jí)（WebUI）：Configuration Update ScreenOS/Keys。 ScreenOS升級(jí)（CLI）: ns208 save software from tftp newimage to flash 、防火墻恢復(fù)密碼及出廠配置的方法 當(dāng)防火墻密碼遺失的情況下，我們只能將防火墻恢復(fù)到出廠配置，方法是： ① 記錄下防火墻的序列號(hào)（又稱(chēng)Serial Number，在防火墻機(jī)身上面可找到）； ② 使用控制線連接防火墻的Console端口并重起防火墻； ③ 防火墻正常啟動(dòng)到登錄界面，是用記錄下來(lái)的序列號(hào)作為登錄的用戶名/密碼，根據(jù)防火墻的提示恢復(fù)到出廠配置。 Juniper防火墻的一些概念 安全區(qū)（Security Zone）： Juniper 防火墻增加了全新的安全區(qū)域（Security Zone）的概念，安全區(qū)域是一個(gè)邏輯的結(jié)構(gòu)，是多個(gè)處于相同屬性區(qū)域的物理接口的集合。當(dāng)不同安全區(qū)域之間相互通訊時(shí)，必須通過(guò)事先定義的策略檢查才能通過(guò)；當(dāng)在同一個(gè)安全區(qū)域進(jìn)行通訊時(shí)，默認(rèn)狀態(tài)下允許不通過(guò)策略檢查，經(jīng)過(guò)配置后也可以強(qiáng)制進(jìn)行策略檢查以提高安全性。 安全區(qū)域概念的出現(xiàn)，使防火墻的配置能更靈活同現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)相結(jié)合。以下圖為例，通過(guò)實(shí)施安全區(qū)域的配置，內(nèi)網(wǎng)的不同部門(mén)之間的通訊也必須通過(guò)策略的檢查，進(jìn)一步提高的系統(tǒng)的安全。 接口（Interface）： 信息流可通過(guò)物理接口和子接口進(jìn)出安全區(qū)（Security Zone）。為了使網(wǎng)絡(luò)信息流能流入和流出安全區(qū)，必須將一個(gè)接口綁定到一個(gè)安全區(qū)，如果屬于第3 層安全區(qū)，則需要給接口分配一個(gè) IP地址。 虛擬路由器（Virtual Router）： Juniper防火墻支持虛擬路由器技術(shù)，在一個(gè)防火墻設(shè)備里，將原來(lái)單一路由方式下的單一路由表，進(jìn)化為多個(gè)虛擬路由器以及相應(yīng)的多張獨(dú)立的路由表，提高了防火墻系統(tǒng)的安全性以及IP地址配置的靈活性。 安全策略（Policy）： Juniper防火墻在定義策略時(shí)，主要需要設(shè)定源IP地址、目的IP地址、網(wǎng)絡(luò)服務(wù)以及防火墻的動(dòng)作。在設(shè)定網(wǎng)絡(luò)服務(wù)時(shí)，Juniper防火墻已經(jīng)內(nèi)置預(yù)設(shè)了大量常見(jiàn)的網(wǎng)絡(luò)服務(wù)類(lèi)型，同時(shí)，也可以由客戶自行定義網(wǎng)絡(luò)服務(wù)。 在客戶自行定義通過(guò)防火墻的服務(wù)時(shí)，需要選擇網(wǎng)絡(luò)服務(wù)的協(xié)議，是UDP、TCP還是其它，需要定義源端口或端口范圍、目的端口或端口范圍、網(wǎng)絡(luò)服務(wù)在無(wú)流量情況下的超時(shí)定義等。因此，通過(guò)對(duì)網(wǎng)絡(luò)服務(wù)的定義，以及IP地址的定義，使Juniper防火墻的策略細(xì)致程度大大加強(qiáng)，安全性也提高了。 除了定義上述這些主要參數(shù)以外，在策略中還可以定義用戶的認(rèn)證、在策略里定義是否要做地址翻譯、帶寬管理等功能。通過(guò)這些主要的安全元素和附加元素的控制，可以讓系統(tǒng)管理員對(duì)進(jìn)出防火墻的數(shù)據(jù)流量進(jìn)行嚴(yán)格的訪問(wèn)控制，達(dá)到保護(hù)內(nèi)網(wǎng)系統(tǒng)資源安全的目的。 映射IP（MIP）： MIP是從一個(gè) IP 地址到另一個(gè) IP 地址雙向的一對(duì)一映射。當(dāng)防火墻收到一個(gè)目標(biāo)地址為 MIP 的內(nèi)向數(shù)據(jù)流時(shí)，通過(guò)策略控制防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)至MIP 指向地址的主機(jī)；當(dāng)MIP映射的主機(jī)發(fā)起出站數(shù)據(jù)流時(shí)，通過(guò)策略控制防火墻將該主機(jī)的源 IP 地址轉(zhuǎn)換成 MIP 地址。 虛擬IP（VIP）： VIP是一個(gè)通過(guò)防火墻外網(wǎng)端口可用的公網(wǎng)IP地址的不同端口（協(xié)議端口如：22110等）與內(nèi)部多個(gè)私有IP地址的不同服務(wù)端口的映射關(guān)系。通常應(yīng)用在只有很少的公網(wǎng)IP地址，卻擁有多個(gè)私有IP地址的服務(wù)器，并且這些服務(wù)器是需要對(duì)外提供各種服務(wù)的。