【正文】 提供了三種高可用性的應用配置模式：主備方式、主主方式和雙主冗余方式。在這里，我們只對主備方式的配置進行說明。防火墻 HA 網(wǎng)絡拓撲圖（主備模式）：、使用 Web 瀏覽器方式配置WebUI ( 設備A)① 接口Network Interfaces Edit ( 對于 ether7): 輸入以下內容，然后單擊 OK:Zone Name: HANetwork Interfaces Edit ( 對于 ether8): 輸入以下內容，然后單擊 OK:Zone Name: HAJUNIPER 防火墻快速安裝手冊第 45 頁 共 53 頁Network Interfaces Edit ( 對于 ether1): 輸入以下內容，然后單擊 OK:Zone Name: UntrustStatic IP: ( 出現(xiàn)時選擇此選項)IP Address/Netmask: Network Interfaces Edit ( 對于 ether3): 輸入以下內容，然后單擊Apply:Zone Name: TrustStatic IP: ( 出現(xiàn)時選擇此選項)IP Address/Netmask: Manage IP: 輸入以下內容，然后單擊 OK:Interface Mode: NAT② NSRPNetwork NSRP Monitor Interface VSD ID: Device Edit Interface: 輸入以下內容，然后單擊 Apply:ether1: ( 選擇)。 Weight: 255ether3: ( 選擇)。 Weight: 255Network NSRP Synchronization: 選擇 NSRP RTO Synchronization，然后單擊 Apply。Network NSRP Cluster: 在 Cluster ID 字段中，鍵入 1，然后單擊 Apply。WebUI ( 設備B)① 接口Network Interfaces Edit ( 對于 ether7): 輸入以下內容，然后單擊 OK:Zone Name: HANetwork Interfaces Edit ( 對于 ether8): 輸入以下內容，然后單擊 OK:Zone Name: HANetwork Interfaces Edit ( 對于 ether1): 輸入以下內容，然后單擊 OK:Zone Name: UntrustJUNIPER 防火墻快速安裝手冊第 46 頁 共 53 頁Static IP: ( 出現(xiàn)時選擇此選項)IP Address/Netmask: Network Interfaces Edit ( 對于 ether3): 輸入以下內容，然后單擊Apply:Zone Name: TrustStatic IP: ( 出現(xiàn)時選擇此選項)IP Address/Netmask: Manage IP: 輸入以下內容，然后單擊 OK:Interface Mode: NAT② NSRPNetwork NSRP Monitor Interface VSD ID: Device Edit Interface: 輸入以下內容，然后單擊 Apply:ether1: ( 選擇)。 Weight: 255ether3: ( 選擇)。 Weight: 255Network NSRP Synchronization: 選擇 NSRP RTO Synchronization，然后單擊 Apply。Network NSRP Cluster: 在 Cluster ID 字段中，鍵入 1，然后單擊 Apply。、使用命令行方式配置CLI ( 設備A)① 接口set interface ether7 zone haset interface ether8 zone haset interface ether1 zone untrustset interface ether1 ip set interface ether3 zone trustset interface ether3 ip set interface ether3 manageip JUNIPER 防火墻快速安裝手冊第 47 頁 共 53 頁set interface ether3 nat② NSRPset nsrp rtomirror syncset nsrp monitor interface ether1set nsrp monitor interface ether3set nsrp cluster id 1saveCLI ( 設備B)① 接口set interface ether7 zone haset interface ether8 zone haset interface ether1 zone untrustset interface ether1 ip set interface ether3 zone trustset interface ether3 ip set interface ether3 manageip set interface ether3 nat② NSRPset nsrp rtomirror syncset nsrp monitor interface ether1set nsrp monitor interface ether3set nsrp cluster id 1save注：基于主主方式的 HA 應用的說明：詳見《概念與范例 screenOS 參考指南》可以在： 免費獲得。JUNIPER 防火墻快速安裝手冊第 48 頁 共 53 頁Juniper 防火墻一些實用工具、防火墻配置文件的導出和導入Juniper 防火墻的配置文件的導入導出功能為用戶提供了一個快速恢復當前配置的有效的手段。一旦用戶不小心因為操作失誤或設備損壞更換，都可以利用該功能，實現(xiàn)快速的防火墻配置的恢復，在最短的時間內恢復設備和網(wǎng)絡正常工作。、配置文件的導出配置文件的導出（WebUI）：在 Configuration Update Config File 位置，點選：Save to file，將當前的防火墻設備的配置文件導出為一個無后綴名的可編輯文本文件。配置文件的導出（CLI）：ns208 save config from flash to tftp 、配置文件的導入配置文件的導入（WebUI）：在 Configuration Update Config File 位置，點選：Merge to Current Configuration，覆蓋當前配置并保留不同之處；點選：Replace Current JUNIPER 防火墻快速安裝手冊第 49 頁 共 53 頁Configuration 替換當前配置文件。導入完成之后，防火墻設備會自動重新啟動，讀取新的配置文件并運行。配置文件的導入（CLI）：ns208 save config from tftp to flash或者 ns208save config from tftp merge、防火墻軟件（ScreenOS）更新關于 ScreenOS：Juniper 防火墻的 OS 軟件是可以升級的，一般每一到兩個月會有一個新的 OS 版本發(fā)布，OS 版本如： ，其中 R 前面的 是大版本號，這個版本號的變化代表著功能的變化；R 后面的 是小版本號，這個號碼的變化代表著 BUG 的完善，因此一般建議，在大版本號確定的情況下，選擇小版本號大的 OS 作為當前設備的 OS。關于 OS 升級注意事項：升級 OS 需要一定的時間，根據(jù)設備性能的不同略有差異，一般情況下大約需要 5 分鐘的時間。在升級的過程中，一定要保持電源的供應、網(wǎng)線連接的穩(wěn)定，最好是將防火墻從網(wǎng)絡中暫時取出，待 OS 升級完成后再將防火墻設備接入網(wǎng)絡。JUNIPER 防火墻快速安裝手冊第 50 頁 共 53 頁ScreenOS 升級（WebUI）：Configuration Update ScreenOS/Keys。ScreenOS 升級（CLI）: ns208 save software from tftp newimage to flash、防火墻恢復密碼及出廠配置的方法當防火墻密碼遺失的情況下，我們只能將防火墻恢復到出廠配置，方法是：① 記錄下防火墻的序列號（又稱 Serial Number，在防火墻機身上面可找到） ；② 使用控制線連接防火墻的 Console 端口并重起防火墻；③ 防火墻正常啟動到登錄界面，是用記錄下來的序列號作為登錄的用戶名/密碼，根據(jù)防火墻的提示恢復到出廠配置。Juniper 防火墻的一些概念安全區(qū)（Security Zone）：JUNIPER 防火墻快速安裝手冊第 51 頁 共 53 頁Juniper 防火墻增加了全新的安全區(qū)域（Security Zone）的概念，安全區(qū)域是一個邏輯的結構，是多個處于相同屬性區(qū)域的物理接口的集合。當不同安全區(qū)域之間相互通訊時，必須通過事先定義的策略檢查才能通過；當在同一個安全區(qū)域進行通訊時，默認狀態(tài)下允許不通過策略檢查，經(jīng)過配置后也可以強制進行策略檢查以提高安全性。安全區(qū)域概念的出現(xiàn)，使防火墻的配置能更靈活同現(xiàn)有的網(wǎng)絡結構相結合。以下圖為例，通過實施安全區(qū)域的配置，內網(wǎng)的不同部門之間的通訊也必須通過策略的檢查，進一步提高的系統(tǒng)的安全。接口（Interface）：信息流可通過物理接口和子接口進出安全區(qū)（Security Zone）。為了使網(wǎng)絡信息流能流入和流出安全區(qū)，必須將一個接口綁定到一個安全區(qū)，如果屬于第3 層安全區(qū)，則需要給接口分配一個 IP地址。虛擬路由器（Virtual Router）：Juniper 防火墻支持虛擬路由器技術，在一個防火墻設備里，將原來單一路由方式下的單一路由表，進化為多個虛擬路由器以及相應的多張獨立的路由表，提高了防火墻系統(tǒng)的安全性以及 IP 地址配置的靈活性。JUNIPER 防火墻快速安裝手冊第 52 頁 共 53 頁安全策略（Policy）：Juniper防火墻在定義策略時，主要需要設定源IP 地址、目的IP地址、網(wǎng)絡服務以及防火墻的動作。在設定網(wǎng)絡服務時，Juniper防火墻已經(jīng)內置預設了大量常見的網(wǎng)絡服務類型，同時，也可以由客戶自行定義網(wǎng)絡服務。在客戶自行定義通過防火墻的服務時，需要選擇網(wǎng)絡服務的協(xié)議，是UDP、TCP還是其它，需要定義源端口或端口范圍、目的端口或端口范圍、網(wǎng)絡服務在無流量情況下的超時定義等。因此，通過對網(wǎng)絡服務的定義，以及IP地址的定義，使 Juniper防火墻的策略細致程度大大加強，安全性也提高了。除了定義上述這些主要參數(shù)以外，在策略中還可以定義用戶的認證、在策略里定義是否要做地址翻譯、帶寬管理等功能。通過這些主要的安全元素和附加元素的控制，可以讓系統(tǒng)管理員對進出防火墻的數(shù)據(jù)流量進行嚴格的訪問控制，達到保護內網(wǎng)系統(tǒng)資源安全的目的。映射IP（ MIP）：MIP是從一個 IP 地址到另一個 IP 地址雙向的一對一映射。當防火墻收到一個目標地址為 MIP 的內向數(shù)據(jù)流時，通過策略控制防火墻將數(shù)據(jù)轉發(fā)至MIP 指向地址的主機；當MIP映射的主機發(fā)起出站數(shù)據(jù)流時，通過策略控制防火墻將該主機的源 IP 地址轉換成 MIP 地址。虛擬IP（ VIP）：VIP是一個通過防火墻外網(wǎng)端口可用的公網(wǎng)IP地址的不同端口（協(xié)議端口如：225 、110等）與內部多個私有IP地址的不同服務端口的映射關系。通常應用在只有很少的公網(wǎng)IP 地址，卻擁有多個私有IP地址的服務器，并且這些服務器是需要對外提供各種服務的。JUNIPER 防火墻快速安裝手冊第 53 頁 共 53 頁