| 發表者 |
討論內容 |
| (1) 2 3 4 » |
冷日
(冷日) |
發表時間:2012/11/1 8:20 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]NetScreen SSG 5 初始化
- NetScreen SSG 5 初始化
Juniper SSG5 恢復預設密碼
使用以下方法將會遺失設定組態,但也會將裝置的預設值還原。
以 CONSOLE 方式連接(參閱 NetScreen CLI Reference Guide 和安裝程式指南)。
1. 在登入名稱提示下,鍵入裝置的序號。
2. 在密碼提示下,再度鍵入序號。
會出現下面的訊息:
!!!! Lost Password Reset !!!! You have initiated a command to reset the device to factory defaults, clearing all
current configuration, keys and settings. Would you like to continue? y/n
3. 按 Y 鍵。
會出現下面的訊息:
!! Reconfirm Lost Password Reset !! If you continue, the entire configuration of the device will be erased. In
addition, a permanent counter will be incremented to signify that this device has been reset. This is your last
chance to cancel this command. If you proceed, the device will return to factory default configuration, which is: System IP: 192.168.1.1; username: netscreen; password: netscreen. Would you like to continue? y/n
4. 按 Y 鍵以重設裝置。
現在可以用 netscreen 作為預設使用者名稱和密碼來登入
原文出處:Donald IT Share: NetScreen SSG 5 初始化
|
|
|
冷日
(冷日) |
發表時間:2012/11/1 8:24 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]讓遠端用戶通過NetScreen SSG防火牆來存取內部伺服器
- 讓遠端用戶通過NetScreen SSG防火牆來存取內部伺服器
當 架設 NetScreen SSG 防火牆之後,若防火牆內有提供資源分享的伺服器(如 file server、Web server、SQL server 等)時,預設狀態下遠端用戶是無法對內部伺服器作存取的動作,這是因為尚未設定相關的管制條例,以允許外部用戶能夠存取伺服器資源,這樣的設定其實類似寬 頻分享器設定 mapping 或是 virtual sever 的方式,只是多了建立管制條例的步驟。以下內容以設定 SQL server 為例,來說明設定步驟
步驟一:由客戶端了解 server 提供 service 的 port number,並定義此 servic e的 object。
1. 點選左窗格 Objects→Services→Custom→New。
2. 於右窗格輸入 Service Name、Transport protocol、Source 及 Destination Port。
Source port 代表外部的用戶端,故為任一 port,而 destination port 則代表 SQL server,故設定為提供服務的 port number。
步驟二:將對外 IP 位址對映(mapped)給 SQL server。
1. 點選左窗格 Network→Interface。
2. 於右窗格中選取表格中 untrust 列中的 EDIT→MIP→NEW。
輸入:
1. mapped IP(對外 IP)。
2. 子網路遮罩採用預設值。
3. Host IP(SQL server 私有 IP)。
4. virtual router 使用 trust-vr
步驟三:新增允許外部進入存取 SQL server 的管制條例。
1. 於左邊窗格選取 Policies。
2. 於右邊窗格中將「From」設定為 untrust、「To」設定為 trust,之後再按『New』。
3. 設定管制條例內容:
「Source Address」為 Any。
「Destination Address」為對映的 IP(外部 IP)。
「Service」下拉選單,選取在步驟一自訂的 service(SQL server),或點選『Multiple』將欲開放的多個服務移至左邊的欄位內。
「Logging」勾選則可監看管制條例的動作紀錄,只要點選『Options』欄位內的表格圖示即可顯示紀錄表。
以 上步驟設定完成後,外部用戶即可存取防火牆內部的伺服器資源了。若內部還有其它提供資源的伺服器,也是以此方式來設定,但要注意的是對外的 IP 則需使用另一組,不能再使用已對映過的 IP address;如本文範例所示,SQL server 已對映了IP 192.168.0.33,則此組 IP 便不能再對映給其他伺服器了,而必需使用另一組 IP 才行。
原文出處:讓遠端用戶通過NetScreen SSG防火牆來存取內部伺服器
|
|
|
|
|
冷日
(冷日) |
發表時間:2012/11/1 8:26 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]SSG5三十天就上手-Day 1 SSG5 是什麼
- SSG5三十天就上手-Day 1 SSG5 是什麼
要學SSG5之前,當然是要先知道什麼是SSG5,本篇文章,會先對SSG5作間單的介紹讓大家知道SSG5是什麼,它有哪些功能,以及如何運用它。
Juniper Networks SSG5安全服務閘道器是專用型安全設備,將高效能、安全防護、路由,以及LAN/WAN 連結完美地結合在一起,以有效保護小型分支機構、遠端居家工作者,與小型企業網路。利用完整的統一威脅管理功能,包括狀態式防火牆、IPsec VPN、IPS、防毒 ( 包括防間諜軟體、防釣魚攻擊、防廣告軟體)、防垃圾郵件,以及Web 過濾,以阻擋蠕蟲、間諜軟體、木馬、惡意軟體,及其他新發現的攻擊。
SSG5基本規格如下:
已測試之ScreenOS版本: ScreenOS 6.2
防火牆效能 (大型封包): 160 Mbps
防火牆效能 (IMIX)(3): 90 Mbps
每秒防火牆封包 (64 byte): 30,000 PPS
AES256+SHA-1 VPN效能: 40 Mbps
3DES+SHA-1 VPN效能: 40 Mbps
同時連線數: 8,000
每秒新連線數: 2,800
最大政策數: 200
最大用戶數: 無限制
網路連結: 固定I/O 7x 10/100
企業用途;
一般 IT 最常頭痛的莫過於對於外點的支援,有了 SSG5 讓你的外點可以架構簡單又不失安全性外加好支援。讓SSG5替代你外點的 gate,讓它幫你解決 外點 routing 問題。
另外如果你沒有前拉專線,只有要有一條對外線路給SSG5,它可以輕輕鬆鬆幫你建立 site to site 的VPN ,最重要的是這一台台幣不到三萬,好用又不容易外,拍賣網站有時不到一萬就可以買到,保證中小企業用到嚇嚇叫。
原文出處:SSG5三十天就上手-Day 1 SSG5 是什麼
|
|
|
冷日
(冷日) |
發表時間:2012/11/1 8:27 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]SSG5三十天就上手-Day 2 SSG5 如何還原到出廠設定值
- SSG5三十天就上手-Day 2 SSG5 如何還原到出廠設定值
讓你的SSG5從頭開始吧!
不論你是接手前人的設備還是由拍賣買來的舊設備,或是忘記密碼甚至是前輩沒有給你密碼。最誇張還有前人被炒魷魚不肯交出密碼,都不用擔心害怕,本篇舊教您如何還原到出廠的預設值。要還原SSG5 有兩個方法:1.Hardwarw Reset2.Console Reset分別較介紹如下:Hardwarw Reset:在SSG5的後面有一個Reset的針孔,當然如果今天只是要跟你說用針插一下這個孔,那我就遜掉了。當然它絕對不是您所想得這麼簡單,要用Hareward Reset,您需要對該針孔插兩次針,且不是隨便插,您必須配合它的燈號,第一次差大約4秒不動,然後燈號變成一紅一綠,在將針拔出然後間隔約1秒之後,再將針插入約4秒,如此才能完成Reset動作。Console Reset:這就簡單多了,不多道具就要多準備一點,您需要可以連到SSG5的Console,它是一頭為Com port一頭為RJ45,跟Cisco Switch 用的線一樣。將線連接到SSG5的Console port 後,使用超級終端機連線到SSG5,然後帳號密碼都輸入SSG5背後貼紙的序號。接著按下兩次 Y,如此您就可以還原到原廠設定值囉。還原後的SSG5預設帳密為netscreen,如此您就可以開始享用您的SSG5囉!
原文出處:SSG5三十天就上手-Day 2 SSG5 如何還原到出廠設定值
|
|
|
|
|
冷日
(冷日) |
發表時間:2012/11/1 8:30 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]SSG5三十天就上手-Day 3 SSG5 如何進行備份與還原
- SSG5三十天就上手-Day 3 SSG5 如何進行備份與還原
本篇讓你快速 Backup 與 Restore
一般如果有兩台SSG5要互相被援當然最佳的方法是做HA ,可惜在沒有錢的IT界,一定是一台SSG5來當很多台的Backup,此時如果線上的SSG5掛了,如何讓你Backup的SSG5,可以快速還原並上線就非常重要囉!
第一、平時要對你線上的SSG5進行Config的 Backup,請登入您SSG5的Web介面,在左邊的選單中,進入 -->
然後在右邊畫面中,點選
如此就能Backup 您的 Configuration
第二、進行快速還原,請登入您Backup的SSG5的Web介面,在左邊的選單中,進入 --> ,在右邊畫面中Upload Configuration to Device選擇 Replace Current Configuration ,並按下<瀏覽> 挑選出第一步驟中所備出 file。
接著等待SSG5開完機您就可以上線囉!
原文出處:SSG5三十天就上手-Day 3 SSG5 如何進行備份與還原
|
|
|
冷日
(冷日) |
發表時間:2012/11/1 8:33 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]SSG5三十天就上手-Day 4 SSG5 如何進行韌體更新
- SSG5三十天就上手-Day 4 SSG5 如何進行韌體更新
韌體更新讓您的SSG5始終如新
在第一篇中,我們就有提到網路上可能就有很多SSG5可以在拍賣網站找到二手貨。當然您一定會希望您的SSG5 不會一堆不同版本的韌體,且新版任體除了會幫您解掉一些舊版的bug 之外,也會進行 function 的改進,或者說增加一些新功能,因此對SSG5進行任體更新就變成您必備的技能。
下載韌體
您可以拿您SSG5的續號,到Junniper 的網頁,註冊一個帳號,註冊後您可以download 新版 SSG5 的韌體。
更新韌體
準備好韌體檔案後,登入您的SSG5的Web介面,在左邊的選單中,進入 --> --> ,在右邊畫面中選擇 Firmware Update (ScreenOS) ,並按下<瀏覽> 挑選出第一步驟中所備出 file。
接著就等SSG5更新完畢後囉!
Method 二 )
『Juniper』升級Junipe Firewall
主題:升級Juniper(Netscreen)防火牆
因公司工作需要,需升級Firewall的Firmware版本,且是全球防火牆一起升級,藉此次機會把過程記錄下來:
Juniper(netscreen)防火牆每隔一段時間就會發出一個新的OS版本,修復之前版本的bug,增加新的功能,
不過自從Netscreen被Juniper買下後,較舊的硬體如 Netscreen 25 - 5GT 等舊版的設備Release Firmware的速度越來越慢,
不過有些新的版本會極大提高防火牆的性能,因此若是產品在保固期內建議充分利用版本升級服務。
以Web UI的升級非常簡單,不過部份OS版本升級需要升級bootloader,必須透過Command Mode進行TFTP升級
升級Juniper新的 UTM產品SSG550到最新的OS版本ScreenOS6.x就需要作這樣的升級。
請先安裝TFTP Server, 3CDaemon [attach]634[/attach] 是不錯得選擇。
第一步:升級防火牆bootloader文件。
1、下載boot loader image file(ssg5ssg20.6.0r6.0),複製文件到TFTP Server的根目錄下,啟動TFTP server。
2、通過網路線連接TFTP服務器(筆記型電腦或是PC)和SSG 5 的eth 0/0連線;
3、通過console線連接設備console端及筆記電腦。
4.、重新啟動防火牆(在CLI模式下輸入reset命令.)
5、防火牆出現
ScreenOS Saipanloader V1.3.3
Built Jan 19 2006/17:57:03
watchdog_probe, 1046 bus/dev/fn = 0/248 ich = 2640
boot_drive = 80
start1 = 0768, start2 = 3840
Hit 'X' and 'A' to upgrade bootloadermounting
這時候按下大寫的X和A,要大寫,不然會失敗。按完之後出現提示
File Name [boot2.1.0.2]: boot2.1.0.3 ;輸入檔案名稱
Self IP Address [192.168.1.1]: ;輸入防火牆IP位址
TFTP IP Address [192.168.1.2]: ;輸入TFTP伺服器IP,必須和防火牆同一網段
輸入後,出現下列的系統信息:
Save loader config (112 bytes)... Done
Loading file "boot2.1.0.3"...
/
Loaded successfully! (size = 125,512 bytes)
Ignore image authentication!
...
.......................
Done.
升級成功。
重新啟動後,系統出現
ScreenOS Saipanloader V1.0.3mg size = 119912, load = 119959, sig = 47
表示bootloader已經是最新版本。
第二步:升級OS文件。
升級OS可以在Web UI下完成,也可以通過TFTP完成。
TFTP升級同樣是重啟系統,系統啟動過程中出現
Hit any key to load new firmware
這時候按下任意按鍵,會進入OS升級界面,升級過程和bootloader一樣。
----------------------------------------------------------------------------------------------------------------------------------------
Juniper NetsScreen 升級分兩種情況:
1、設備已安裝ScreenOS
2、設備未安裝ScreenOS
一 、設備已安裝 ScreenOS
有兩種升級方式:
1、 WebUI
1)下載最新版本的ScreenOS firmware;
2)打開 web瀏覽器,以具有讀寫權限的管理員身份Login;
3)備份原有Config:Configuration > Update > Config File,點選 Save to File,選擇存放路徑,點選 Save;
[attach]635[/attach]
4)Configuration > Update > ScreenOS/Keys > Firmware Update(ScreenOS),所下圖所示:
5)點選 Browse 選定到新版本 ScreenOS存放的路徑;
6)點選『Apply』;
7)點選OK,Juniper Firewall 設備將自動啟動,升級完成後會看到登錄畫面;
(備註:升級過程請不要中斷網路連線或進行其他行為,避免失敗,後果不堪設想)
8)Login Juniper 設備,驗證設備是否升級到新版本。
2、 CLI
1)下載最新版本的ScreenOS firmware;
2)通過 telnet/ssh 以具有讀寫權限的管理員帳號Login到設備;
3)啟動TFTP Server,並確認TFTP應用是否正常,同時把ScreenOS firmware放置到TFTP Server相應目錄中;
4)保存已有配置,在 CLI命令行模式下輸入:save config to tftp ip_address filename
TFTP Server數據持續寫入
[attach]637[/attach]
備份完成
[attach]639[/attach]
5)至於將Firmware倒入Firewall的方式則是在CLI命令行模式下輸入:save soft from tftp [ip_address] [filename] to flash
備註: [ip_address]:TFTP Server的 IP 地址
[filename]:ScreenOS image檔案名稱
6)當upgrade完成後,必須重新啟動防火牆設備,輸入 reset,選擇 yes;
7)等待幾分鐘,防火牆設備重啟完成後重新Login設備;
8)輸入get system 確認是否升級到新版本。
二 、 設備未裝載 ScreenOS
若是設備未裝 ScreenOS,只能通過Boot/Diag 模式來升級 ScreenOS,步驟如下:
1、用console配置線把PC的com port和NetScreen設備的console port連接;
2、開啟超級終端機,reset或 power up NetScreen設備;
3、在NetScreen設備啟動過程中,當系統提示:
Hit any key to run loader
可按任意鍵進入到Boot/Diag 模式。
4、將會看到以下信息:
Self IP address – enter an IP address that is on the same subnet as the TFTP server
TFTP IP address – enter the IP address of the TFTP server
Boot File name – enter the file name of the ScreenOS version to be upgraded to
根據提示輸入正確的參數。
例如:
Serial Number [0052062002000203]: READ ONLY
HW Version Number [1010]: READ ONLY
Self MAC Address [0010-db20-4e80]: READ ONLY
Boot File Name [ns5xt.5.0.0r8.0]: ns5xt.5.0.0r9.0
Self IP Address [10.100.31.178]: 172.19.50.254
TFTP IP Address [10.100.31.176]: 172.19.50.129
5、輸入正確的參數後,系統將顯示以下類似信息:
Save Boot Info (56 bytes) ... Done
Loading file "loadssg5ssg50v133.d"...
>
rtatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatat
atatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatat
atatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatat
atatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatatat
6、當收到 Loaded successfully 信息後,系統會提示:
Program to on-board flash?(y/[n])
輸入 y
7、當 flash 載入完成後,系統會提示:
Run downloaded program? (y/[n])
輸入 y ,系統開始載入 ScreeOS 啟動
原文出處:SSG5三十天就上手-Day 4 SSG5 如何進行韌體更新
|
|
|
冷日
(冷日) |
發表時間:2012/11/5 5:01 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]SSG5三十天就上手-Day 5 SSG5 Security Zones
- SSG5三十天就上手-Day 5 SSG5 Security Zones
Security Zones-安全區設定
您可以透過 Security Zones 將您的SSG5 切個為多個安全區域,在SSG5中預設會有下列Zones:
Null
Trust
Untrust
Self
Global
HA
MGT
Untrust-Tun
V1-Null
V1-Trust
V1-Untrust
DMZ
V1-DMZ
VLAN
其中建議您最少要使用兩個Security Zones將您的網路進行區隔。
在預設值中會將ethernet0/0放到Untrust,ethernet0/1放到DMZ,其他放到Trust。
假設您只有一條對外線路,建議您將該線路放到 ethernet0/0 (Untrust),內部就放到Trust。
然後再設定SSG5的 Policy 來保護內部網路。
原文出處:Donald IT Share: SSG5三十天就上手-Day 5 SSG5 Security Zones
|
|
|
冷日
(冷日) |
發表時間:2012/11/5 5:03 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]SSG5三十天就上手-Day 6 SSG5 Interface
- SSG5三十天就上手-Day 6 SSG5 Interface
Interface
Interface 是SSG5中實際封包進出的出入口,經由Interface 讓封包來進出security zone。
為了讓網路封包能夠進出security zone,您必須將bind 一個interface到該security zone,
如果您要讓兩個security zone互通封包時,您就必須設定 policies (就像是iptables)。
您可以把多個 Interface bind到同一個security zone,但是一個 Interface只能被 bind 到一個security zone,
也就是說 Interface 跟 security zone 是多對一的關係。
Interface Types
以下是SSG5的 Interface Types:
Physical Interfaces
Bridge Group Interfaces
Subinterfaces
Aggregate Interfaces
Redundant Interfaces
Virtual Security Interfaces
Physical Interfaces 就是您SSG5中的實體網路 port ,您可以對照SSG5機體上的編號:eth0/0 ~ eth0/6 共有七個網路 port
原文出處:Donald IT Share: SSG5三十天就上手-Day 6 SSG5 Interface
|
|
|
冷日
(冷日) |
發表時間:2012/11/5 5:06 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]SSG5三十天就上手-Day 7 SSG5 Interface Modes
- SSG5三十天就上手-Day 7 SSG5 Interface Modes
Interface Modes
在SSG5 Interface 可以以下列種方式運作:
Transparent
Mode
NAT(Network Address Translation) Mode
Route Mode
Interface 被 bind 在 Layer 3 且有設定 IP 時可以選擇使用 NAT 或 Route方式運作。
Interface 被 bind 在 Layer 2 的 Zone 時,Interface 需以Transparent方式運作。
Transparent Mode:
當 Interface 在此模式時,IP address 會設定為 0.0.0.0,此時 SSG5 不會對於封包中的 source 或 destination 資訊做任何的修改。SSG5 此時就像扮演 Layer 2 switch 或 bridge。
NAT Mode:
此時您的 SSG5 就像扮演 Layer 3 Switch 或是 Router,會對封包進行轉譯(translates),他會換掉流向 Untrust zone 封包的 Source IP 跟 Port。
Route Mode:
當 SSG5 的 Interface 在此模式時,他不會對於兩個不同 zone 之間的封包做 Source NAT。
原文出處:Donald IT Share: SSG5三十天就上手-Day 7 SSG5 Interface Modes
|
|
|
|
|
冷日
(冷日) |
發表時間:2012/11/5 5:09 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]SSG5三十天就上手-Day 8 SSG5 Policies
- SSG5三十天就上手-Day 8 SSG5 Policies
Policies 您可以將他想成 iptables
在 SSG5 中,預設會將跨 security zone 的封包(interzone traffic) deny,bind 在同一個 zone 的 interface 的封包(intrazone traffic)預設為 allow
如果您需要對以上預設行為進行調整,那您就必須透過
Policies來進行。
Policies 由下列基本元素所組成:
Direction:這是指封包的流向從 source zone 流向 destination zone
Source Address: 這是封包起始的位址
Destination Address:這是封包要送到的位址
Service:這是封包的服務種類,如 DNS、http 等等
Action:這是當收到封包滿足此 Polices 時要進行的動作。
舉例來說:假設您要設定任何位址都可以由 Trust zone 到 Untrust Zone 中的 10.0.0.1 的 FTP Server,則您的基本policies元素如下:
Direction: 從 Trust 到 Untrust
Source Address: any
Destination Address: 10.0.0.1
Service: ftp (File Transfer Protocol)
Action: permit
Three Types of Policies
您可以透過下列三種型態的Policies 來控制您的封包:
Interzone Policies — 控制一般 Zone 與 zone 之間的封包。
Intrazone Policies — 控制同一 Zone 之間的封包
Global Policies — 套用到所有 zone
原文出處:Donald IT Share: SSG5三十天就上手-Day 8 SSG5 Policies
|
|
|
