【正文】 。 虛擬IP（VIP）： VIP是一個通過防火墻外網(wǎng)端口可用的公網(wǎng)IP地址的不同端口（協(xié)議端口如：22110等）與內(nèi)部多個私有IP地址的不同服務端口的映射關系。 映射IP（MIP）： MIP是從一個 IP 地址到另一個 IP 地址雙向的一對一映射。 除了定義上述這些主要參數(shù)以外，在策略中還可以定義用戶的認證、在策略里定義是否要做地址翻譯、帶寬管理等功能。 在客戶自行定義通過防火墻的服務時，需要選擇網(wǎng)絡服務的協(xié)議，是UDP、TCP還是其它，需要定義源端口或端口范圍、目的端口或端口范圍、網(wǎng)絡服務在無流量情況下的超時定義等。 安全策略（Policy）： Juniper防火墻在定義策略時，主要需要設定源IP地址、目的IP地址、網(wǎng)絡服務以及防火墻的動作。為了使網(wǎng)絡信息流能流入和流出安全區(qū)，必須將一個接口綁定到一個安全區(qū)，如果屬于第3 層安全區(qū)，則需要給接口分配一個 IP地址。以下圖為例，通過實施安全區(qū)域的配置，內(nèi)網(wǎng)的不同部門之間的通訊也必須通過策略的檢查，進一步提高的系統(tǒng)的安全。當不同安全區(qū)域之間相互通訊時，必須通過事先定義的策略檢查才能通過；當在同一個安全區(qū)域進行通訊時，默認狀態(tài)下允許不通過策略檢查，經(jīng)過配置后也可以強制進行策略檢查以提高安全性。 ScreenOS升級（CLI）: ns208 save software from tftp newimage to flash 、防火墻恢復密碼及出廠配置的方法 當防火墻密碼遺失的情況下，我們只能將防火墻恢復到出廠配置，方法是： ① 記錄下防火墻的序列號（又稱Serial Number，在防火墻機身上面可找到）； ② 使用控制線連接防火墻的Console端口并重起防火墻； ③ 防火墻正常啟動到登錄界面，是用記錄下來的序列號作為登錄的用戶名/密碼，根據(jù)防火墻的提示恢復到出廠配置。在升級的過程中，一定要保持電源的供應、網(wǎng)線連接的穩(wěn)定，最好是將防火墻從網(wǎng)絡中暫時取出，待OS升級完成后再將防火墻設備接入網(wǎng)絡。 配置文件的導入（CLI）：ns208 save config from tftp to flash 或者ns208save config from tftp merge 、防火墻軟件（ScreenOS）更新 關于ScreenOS： Juniper防火墻的OS軟件是可以升級的，一般每一到兩個月會有一個新的OS版本發(fā)布，OS版本如：，這個版本號的變化代表著功能的變化；，這個號碼的變化代表著BUG的完善，因此一般建議，在大版本號確定的情況下，選擇小版本號大的OS作為當前設備的OS。 配置文件的導出（CLI）：ns208 save config from flash to tftp 、配置文件的導入 配置文件的導入（WebUI）：在Configuration Update Config File位置，點選：Merge to Current Configuration，覆蓋當前配置并保留不同之處；點選：Replace Current Configuration 替換當前配置文件。一旦用戶不小心因為操作失誤或設備損壞更換，都可以利用該功能，實現(xiàn)快速的防火墻配置的恢復，在最短的時間內(nèi)恢復設備和網(wǎng)絡正常工作。 、使用命令行方式配置 CLI ( 設備A) ① 接口 set interface ethernet7 zone ha set interface ethernet8 zone ha set interface ethernet1 zone untrust set interface ethernet1 ip set interface ethernet3 zone trust set interface ethernet3 ip set interface ethernet3 manageip set interface ethernet3 nat ② NSRP set nsrp rtomirror sync set nsrp monitor interface ethernet1 set nsrp monitor interface ethernet3 set nsrp cluster id 1 save CLI ( 設備B) ① 接口 set interface ethernet7 zone ha set interface ethernet8 zone ha set interface ethernet1 zone untrust set interface ethernet1 ip set interface ethernet3 zone trust set interface ethernet3 ip set interface ethernet3 manageip set interface ethernet3 nat ② NSRP set nsrp rtomirror sync set nsrp monitor interface ethernet1 set nsrp monitor interface ethernet3 set nsrp cluster id 1 save 注：基于主主方式的HA應用的說明：詳見《概念與范例 screenOS參考指南》可以在：。 Weight: 255 Network NSRP Synchronization: 選擇 NSRP RTO Synchronization，然后 單擊 Apply。 WebUI ( 設備B) ① 接口 Network Interfaces Edit ( 對于 ethernet7): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: HA Network Interfaces Edit ( 對于 ethernet8): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: HA Network Interfaces Edit ( 對于 ethernet1): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: Untrust Static IP: ( 出現(xiàn)時選擇此選項) IP Address/Netmask: Network Interfaces Edit ( 對于 ethernet3): 輸入以下內(nèi)容，然后單擊 Apply: Zone Name: Trust Static IP: ( 出現(xiàn)時選擇此選項) IP Address/Netmask: Manage IP: 輸入以下內(nèi)容，然后單擊 OK: Interface Mode: NAT ② NSRP Network NSRP Monitor Interface VSD ID: Device Edit Interface: 輸入 以下內(nèi)容，然后單擊 Apply: ethernet1: ( 選擇)。 Weight: 255 Network NSRP Synchronization: 選擇 NSRP RTO Synchronization，然后 單擊 Apply。 防火墻HA網(wǎng)絡拓撲圖（主備模式）： 、使用Web瀏覽器方式配置 WebUI ( 設備A) ① 接口 Network Interfaces Edit ( 對于 ethernet7): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: HA Network Interfaces Edit ( 對于 ethernet8): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: HA Network Interfaces Edit ( 對于 ethernet1): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: Untrust Static IP: ( 出現(xiàn)時選擇此選項) IP Address/Netmask: Network Interfaces Edit ( 對于 ethernet3): 輸入以下內(nèi)容，然后單擊 Apply: Zone Name: Trust Static IP: ( 出現(xiàn)時選擇此選項) IP Address/Netmask: Manage IP: 輸入以下內(nèi)容，然后單擊 OK: Interface Mode: NAT ② NSRP Network NSRP Monitor Interface VSD ID: Device Edit Interface: 輸入 以下內(nèi)容，然后單擊 Apply: ethernet1: ( 選擇)。Juniper防火墻提供了三種高可用性的應用配置模式：主備方式、主主方式和雙主冗余方式。 ⑤ VPN的訪問控制策略，和在”static iptostatic ip”模式下相同。 在擁有靜態(tài)公網(wǎng)IP地址的防火墻一端，在VPN階段一的配置中，需要按照如下圖所 示的配置：“Remote Gateway Type”應該選擇“Dynamic IP Address”，同時設置 Peer ID（和在動態(tài)IP地址一端設置的Local ID相同）。 ② VPN第一階段的高級配置：動態(tài)公網(wǎng)IP地址端。 VPN的發(fā)起必須由本端開始，動態(tài)地址端可以確定對端防火墻的IP地址，因此在VPN 階段一的配置中，需指定對端VPN設備的靜態(tài)IP地址。 和站點兩端都具備靜態(tài)IP地址的配置的不同之處在于VPN第一階段的相關配置，在主動發(fā)起端（只有動態(tài)公網(wǎng)IP地址一端）需要指定VPN網(wǎng)關地址，需配置一個本地ID，配置VPN發(fā)起模式為：主動模式；在站點另外一端（擁有靜態(tài)公網(wǎng)IP地址一端）需要指定VPN網(wǎng)關地址為對端設備的ID信息，不需要配置本地ID，其它部分相同。 VPN組網(wǎng)拓撲圖：staic iptostaic ip 、使用Web瀏覽器方式配置 ① 登錄防火墻設備，配置防火墻為三層部署模式； ② 定義VPN第一階段的相關配置：VPNs=Autokey Adwanced=Gateway 配置VPN gateway部分，定義VPN網(wǎng)關名稱、定義“對端VPN設備的公網(wǎng)IP地址” 為本地VPN設備的網(wǎng)關地址、定義預共享密鑰、選擇發(fā)起VPN服務的物理端口； ③ 在VPN gateway的高級（Advanced）部分，定義相關的VPN隧道協(xié)商的加密算法、選擇VPN的發(fā)起模式； ④ 配置VPN第一階段完成顯示列表如下圖； ⑤ 定義VPN第二階段的相關配置：VPNs=Autokey IKE 在Autokey IKE部分，選擇第一階段的VPN配置； ⑥ 在VPN第二階段高級（Advances）部分，選擇VPN的加密算法； ⑦ 配置VPN第二階段完成顯示列表如下圖； ⑧ 定義VPN策略，選擇地址和服務信息，策略動作選擇為：隧道模式；VPN隧道選擇為：剛剛定義的隧道，選擇是否設置為雙向策略； 、使用命令行方式配置 CLI ( 東京) ① 配置接口參數(shù) set interface ethe