Juniper SSG5 常用監控維護命令



Juniper SSG5 常用監控維護命令



載入設定檔CLI模式:
首先開啟tftp server !!!!!
載入:save config from tftp 192.168.0.1 os.cfg merge from ethernet1(連接tftp server 的介面)
save config from tftp 192.168.67.11 vlan-3.txt from ethernet0/6.2
或是 save config from usb config.txt to flash

載入設定檔Web模式:
Configuration>Update>Config File ==> Replace Current Configuration
然後點選"瀏覽"按鈕,選擇您要載入的設定檔,最後記得要Apply即可。


儲存設定檔CLI模式:
儲存:save config from flash to tftp 192.168.0.1 os.cfg
或是 save config from flash to usb config.txt





設定Ssg之管理者連線time-out時間

 SSG5-> set console timeout 0
 SSG5-> set admin auth web timeout 0
依預設,主控台會在閒置10分鐘之後逾時並自動終止。
若要移除逾時,請輸入set console timeout 0

添加管理ip
set admin manager-ip 192.168.6.0 255.255.255.0
set admin manager-ip 114.255.150.140 255.255.255.255
set admin manager-ip 219.141.171.130 255.255.255.255
save





IP MAC地址綁定

設置靜態繫結:set arp 192.168.0.1 0000e26e4743 e1
強迫執行ARP目的掃描:set arp always-on-dest
設置一個位址組:group,其中包含所有ARP綁定的位址,設置策略允許這個位址組通過
注意:只有和埠在同一網段的才能進行綁定
很多軟體可以改變電腦資訊包的MAC位址,此時防火牆不具備檢查真偽MAC地址的功能



新建帳戶

Root帳戶:
set admin name username
set admin password password
一般帳戶:
set admin user test password 123456 privilege < all | read-only >

分類
説明
super-user
 All permissions您具有與根帳號相同的許可權, 您可以執行所有操作。
operator
 Clear, reset, trace, view permissionsclear允許命令和進程重新開機show命令也可以執行
read-only
 View permissions不可能執行配置更改或清除, 只能執行顯示命令
unauthorized
 No permissions

set user test password 123456
ssg5-serial-> set user test ?
disable              disable user
enable               enable user
hash-password        set user's hashed password
ike-id               configure dialup (AutoKey IKE)
password             set user password
remote-settings      set remote settings for user
type                 set user type
uid                  user id
ssg5-serial-> set user test type ?
auth                 auth user
ike                  Autokey IKE dialup user
l2tp                 L2TP user
wan                  WAN user
xauth                XAUTH user
ssg5-serial-> set user test type auth ?
<return>
ike                  Autokey IKE dialup user
l2tp                 L2TP user
wan                  WAN user
xauth                XAUTH user


ssg5-serial-> set admin ?
access               specify administrator access details
auth                 admin authentication settings
device-reset         reset device for asset recovery
format               configuration format
http                 http management
hw-reset             hardware reset device for asset recovery
mail                 mail service
manager-ip           management host ip
name                 login name
password             login password
port                 http port
privilege            set admin privilege condition
root                 set properties of root administrator
ssh                  ssh management
telnet               telnet access
user                 admin user
ssg5-serial->

set admin http redirect        HTTP 重新導向至 SSL
unset admin http redirect
set admin root access console     allows access via console
set admin access attempts <number>    預設情況下,在關閉 Telnet 會話之前,裝置最多允許三次不成功的登入嘗試。
set admin ssh password <enable|disable>
set admin ssh port <number>      scs port number (1024-32767)
set admin telnet port <number>      telnet port number (1024-32767)
set admin hw-reset      hardware reset device for asset recovery
set admin device-reset       reset device for asset recovery
設置為禁用帶有序號的初始化 (推薦) SSG5-> unset admin device-reset
set admin format dos
set admin format unix
ssg5-serial-> set admin auth ?
banner               set banner for admin authentication prompt
dial-in              dial-in remote management
remote               remote authentication server
server               set admin auth server
web                  web remote management







ScreenOS 為組態和管理安全性裝置提供了下列選項:
􀂄 WebUI: 選擇此選項以讓介面可以透過 Web 使用者介面 (WebUI) 接收管理的
HTTP 通訊流量。
􀂄 Telnet: TCP/IP 網路 ( 如網際網路) 的終端模擬程式。Telnet 是遠端控制網路
裝置的常見方式。選擇此選項可啟用 Telnet 可管理性。
􀂄 SSH: 您可以使用「安全指令 Shell(SSH),透過「乙太網路」連線或撥接數
據機來管理安全性裝置。您必需具有與 SSH 通訊協定版本 1.5 相容的 SSH
戶端。這些用戶端可用於 Windows 95 及更新版本、Windows NTLinux
UNIX。安全性裝置透過內建的 SSH 伺服器與 SSH 用戶端通訊,該伺服器提供
裝置組態與管理服務。選擇此選項可啟用 SSH 可管理性。
􀂄 SNMP: 安全性裝置同時支援 SNMPv1 SNMPv2c 以及所有相關的管理資訊庫
II (MIB II) 群組,如 RFC-1213 中所定義。選擇此選項則啟用 SNMP 可管理性。
􀂄 SSL: 選擇此選項以讓介面可以透過 WebUI 接收安全性裝置安全管理的 HTTPS
通訊流量。
􀂄 NetScreen-Security Manager: 選擇此選項可允許介面接收 NetScreen-Security
Manager 流量。
􀂄 Ping: 選擇此選項讓安全性裝置可以回應 ICMP 回應要求或 "ping",這會確定
是否可從網路上存取特定的 IP 位址。
􀂄 Ident-Reset: 類似傳送識別要求的「郵件」或 FTP 服務。如果沒有接收到確
認,會再次傳送要求。處理要求時,沒有使用者存取。透過啟用「識別重設」
選項,安全性裝置傳送 TCP 重設通知以回應傳送到連接埠 113 的「識別」要
求,然後將未確認的識別要求阻斷的存取回原。
關於telnet
為了將未授權使用者登入到裝置上的機會減至最低,您可以限制安全性裝置終止Telnet 會話之前所允許的不成功登入的次數。此限制也可以預防某些類型的攻擊,例如自動化的辭典式攻擊。
預設情況下,在關閉 Telnet 會話之前,裝置最多允許三次不成功的登入嘗試。
set admin access attempts 5
為了確保管理員使用者在透過 Telnet 管理安全性裝置時所用的是一個安全的連線,可以要求這類使用者僅透過虛擬私人網路 (VPN) 通道來執行 Telnet 連線。在設定了此限制後,如果有任何人嘗試不透過 VPN 通道進行 Telnet 連線,該裝置將拒絕其存取。要限制透過 VPN 進行 Telnet 存取,請輸入以下指令:
set admin telnet access tunnel
注意: 您必需使用 CLI 來設定此限制。


關於SSH(Security Shell)
##普遍認為SSHv2SSHv1更安全,注意 SSHv1 SSHv2 彼此並不相容。
device> get ssh
SSH V1 is active   ##SSHv1 是作用中,並且在啟用 SSH 時執行。
SSH is not enabled
SSH is not ready for connections
Maximum sessions: 8
Active sessions: 0
device> delete ssh device all   ##如要使用不同的SSH版本,請確定已刪除用前一版本建立的所有金鑰。
SSH disabled for vsys: 1
PKA key deleted from device: 0
Host keys deleted from device: 1
Execute the ‘set ssh version v2’ command to activate SSH v2 for the device
set ssh version v2
set admin ssh port 1024   ##如果不想將連接埠22 ( 預設連接埠) 用於 SSH 用戶端連線
set ssh enable
set interface manage ssh   ##從連線的介面上啟用 SSH


關於SSL
WebUI
Configuration > Admin > Management: 輸入下面的內容,然後按一下 Apply:
SSL: ( 選擇)
Port: 使用預設的連接埠號碼 (443) 或變為其他連接埠號碼。
Certificate: 從下拉式清單選擇您要使用的認證。
Cipher: 從下拉式清單選擇您要使用的加密。
CLI
set ssl port 16449   ##如果不想將連接埠449 ( 預設連接埠) 用於SSL用戶端連線
set ssl cert id_num
set ssl encrypt { { 3des | des } sha-1 | { rc4 | rc4-40 } | md5 }
set ssl enable
save


關於console
為了防止未經授權的使用者透過直接連線主控台或數據機連接埠來管理裝置,可以
輸入下列指令來停用這兩個連接埠:
set console disable
set console aux disable



JUNIPER ntp時間設置
set clock dst-off
set clock ntp
set clock timezone 8
set ntp server "10.47.168.190"
set ntp interval 1440
set ntp max-adjustment 5

  設置警報臨界值(閾值) 設置示例: CPU 利用率、記憶體利用率和會話計數分別設置為 70%, 並設置警報 (如果超出)
 SSG5-> set alarm threshold cpu 70
 SSG5-> set alarm threshold memory 70
 SSG5-> set alarm threshold session percent 70

 
 set dns host dns1 ipaddress src-interface interface
 set dns host dns2 ipaddress src-interface interface

設置為禁用帶有序號的初始化 (推薦) SSG5-> unset admin device-reset
預設情況下, 當您在 "get config" 中得到一個設置時, 在配置獲取過程中您會看到 "-More"
如果鍵入以下命令, 則可以在不顯示 "-More " 的情況下乾淨地獲得配置。
SSG5-> set console page 0
但是, 在輸出所有資訊 (包括配置和狀態) 之前, 此命令
由於輸出在列印資訊之前不會停止, 因此, 在獲得配置之後, 讓我們通過以下命令返回到原始狀態。
SSG5-> unset console page

Useful troubleshooting commands
get event
get av all
get av scan
get av stat
get mem
get session info
get os task
get perf cpu all detail
get perf session detail
get socket
get log sys

這個網誌中的熱門文章

如何測試網路連線--網路斷線了怎麼辦?

筆記電腦刷BIOS失敗無法開機—用CH341A編程器重刷BIOS教學!

查理王的電腦部落格-首頁