Juniper SSG5 常用監控維護命令

-


Juniper SSG5 常用監控維護命令



載入設定檔CLI模式:
首先開啟tftp server !!!!!
載入:save config from tftp 192.168.0.1 os.cfg merge from ethernet1(連接tftp server 的介面)
save config from tftp 192.168.67.11 vlan-3.txt from ethernet0/6.2
或是 save config from usb config.txt to flash

載入設定檔Web模式:
Configuration>Update>Config File ==> Replace Current Configuration
然後點選"瀏覽"按鈕,選擇您要載入的設定檔,最後記得要Apply即可。


儲存設定檔CLI模式:
儲存:save config from flash to tftp 192.168.0.1 os.cfg
或是 save config from flash to usb config.txt





設定Ssg之管理者連線time-out時間

 SSG5-> set console timeout 0
 SSG5-> set admin auth web timeout 0
依預設,主控台會在閒置10分鐘之後逾時並自動終止。
若要移除逾時,請輸入set console timeout 0

添加管理ip
set admin manager-ip 192.168.6.0 255.255.255.0
set admin manager-ip 114.255.150.140 255.255.255.255
set admin manager-ip 219.141.171.130 255.255.255.255
save





IP MAC地址綁定

設置靜態繫結:set arp 192.168.0.1 0000e26e4743 e1
強迫執行ARP目的掃描:set arp always-on-dest
設置一個位址組:group,其中包含所有ARP綁定的位址,設置策略允許這個位址組通過
注意:只有和埠在同一網段的才能進行綁定
很多軟體可以改變電腦資訊包的MAC位址,此時防火牆不具備檢查真偽MAC地址的功能



新建帳戶

Root帳戶:
set admin name username
set admin password password
一般帳戶:
set admin user test password 123456 privilege < all | read-only >

分類
説明
super-user
 All permissions您具有與根帳號相同的許可權, 您可以執行所有操作。
operator
 Clear, reset, trace, view permissionsclear允許命令和進程重新開機show命令也可以執行
read-only
 View permissions不可能執行配置更改或清除, 只能執行顯示命令
unauthorized
 No permissions

set user test password 123456
ssg5-serial-> set user test ?
disable              disable user
enable               enable user
hash-password        set user's hashed password
ike-id               configure dialup (AutoKey IKE)
password             set user password
remote-settings      set remote settings for user
type                 set user type
uid                  user id
ssg5-serial-> set user test type ?
auth                 auth user
ike                  Autokey IKE dialup user
l2tp                 L2TP user
wan                  WAN user
xauth                XAUTH user
ssg5-serial-> set user test type auth ?
<return>
ike                  Autokey IKE dialup user
l2tp                 L2TP user
wan                  WAN user
xauth                XAUTH user


ssg5-serial-> set admin ?
access               specify administrator access details
auth                 admin authentication settings
device-reset         reset device for asset recovery
format               configuration format
http                 http management
hw-reset             hardware reset device for asset recovery
mail                 mail service
manager-ip           management host ip
name                 login name
password             login password
port                 http port
privilege            set admin privilege condition
root                 set properties of root administrator
ssh                  ssh management
telnet               telnet access
user                 admin user
ssg5-serial->

set admin http redirect        HTTP 重新導向至 SSL
unset admin http redirect
set admin root access console     allows access via console
set admin access attempts <number>    預設情況下,在關閉 Telnet 會話之前,裝置最多允許三次不成功的登入嘗試。
set admin ssh password <enable|disable>
set admin ssh port <number>      scs port number (1024-32767)
set admin telnet port <number>      telnet port number (1024-32767)
set admin hw-reset      hardware reset device for asset recovery
set admin device-reset       reset device for asset recovery
設置為禁用帶有序號的初始化 (推薦) SSG5-> unset admin device-reset
set admin format dos
set admin format unix
ssg5-serial-> set admin auth ?
banner               set banner for admin authentication prompt
dial-in              dial-in remote management
remote               remote authentication server
server               set admin auth server
web                  web remote management







ScreenOS 為組態和管理安全性裝置提供了下列選項:
􀂄 WebUI: 選擇此選項以讓介面可以透過 Web 使用者介面 (WebUI) 接收管理的
HTTP 通訊流量。
􀂄 Telnet: TCP/IP 網路 ( 如網際網路) 的終端模擬程式。Telnet 是遠端控制網路
裝置的常見方式。選擇此選項可啟用 Telnet 可管理性。
􀂄 SSH: 您可以使用「安全指令 Shell(SSH),透過「乙太網路」連線或撥接數
據機來管理安全性裝置。您必需具有與 SSH 通訊協定版本 1.5 相容的 SSH
戶端。這些用戶端可用於 Windows 95 及更新版本、Windows NTLinux
UNIX。安全性裝置透過內建的 SSH 伺服器與 SSH 用戶端通訊,該伺服器提供
裝置組態與管理服務。選擇此選項可啟用 SSH 可管理性。
􀂄 SNMP: 安全性裝置同時支援 SNMPv1 SNMPv2c 以及所有相關的管理資訊庫
II (MIB II) 群組,如 RFC-1213 中所定義。選擇此選項則啟用 SNMP 可管理性。
􀂄 SSL: 選擇此選項以讓介面可以透過 WebUI 接收安全性裝置安全管理的 HTTPS
通訊流量。
􀂄 NetScreen-Security Manager: 選擇此選項可允許介面接收 NetScreen-Security
Manager 流量。
􀂄 Ping: 選擇此選項讓安全性裝置可以回應 ICMP 回應要求或 "ping",這會確定
是否可從網路上存取特定的 IP 位址。
􀂄 Ident-Reset: 類似傳送識別要求的「郵件」或 FTP 服務。如果沒有接收到確
認,會再次傳送要求。處理要求時,沒有使用者存取。透過啟用「識別重設」
選項,安全性裝置傳送 TCP 重設通知以回應傳送到連接埠 113 的「識別」要
求,然後將未確認的識別要求阻斷的存取回原。
關於telnet
為了將未授權使用者登入到裝置上的機會減至最低,您可以限制安全性裝置終止Telnet 會話之前所允許的不成功登入的次數。此限制也可以預防某些類型的攻擊,例如自動化的辭典式攻擊。
預設情況下,在關閉 Telnet 會話之前,裝置最多允許三次不成功的登入嘗試。
set admin access attempts 5
為了確保管理員使用者在透過 Telnet 管理安全性裝置時所用的是一個安全的連線,可以要求這類使用者僅透過虛擬私人網路 (VPN) 通道來執行 Telnet 連線。在設定了此限制後,如果有任何人嘗試不透過 VPN 通道進行 Telnet 連線,該裝置將拒絕其存取。要限制透過 VPN 進行 Telnet 存取,請輸入以下指令:
set admin telnet access tunnel
注意: 您必需使用 CLI 來設定此限制。


關於SSH(Security Shell)
##普遍認為SSHv2SSHv1更安全,注意 SSHv1 SSHv2 彼此並不相容。
device> get ssh
SSH V1 is active   ##SSHv1 是作用中,並且在啟用 SSH 時執行。
SSH is not enabled
SSH is not ready for connections
Maximum sessions: 8
Active sessions: 0
device> delete ssh device all   ##如要使用不同的SSH版本,請確定已刪除用前一版本建立的所有金鑰。
SSH disabled for vsys: 1
PKA key deleted from device: 0
Host keys deleted from device: 1
Execute the ‘set ssh version v2’ command to activate SSH v2 for the device
set ssh version v2
set admin ssh port 1024   ##如果不想將連接埠22 ( 預設連接埠) 用於 SSH 用戶端連線
set ssh enable
set interface manage ssh   ##從連線的介面上啟用 SSH


關於SSL
WebUI
Configuration > Admin > Management: 輸入下面的內容,然後按一下 Apply:
SSL: ( 選擇)
Port: 使用預設的連接埠號碼 (443) 或變為其他連接埠號碼。
Certificate: 從下拉式清單選擇您要使用的認證。
Cipher: 從下拉式清單選擇您要使用的加密。
CLI
set ssl port 16449   ##如果不想將連接埠449 ( 預設連接埠) 用於SSL用戶端連線
set ssl cert id_num
set ssl encrypt { { 3des | des } sha-1 | { rc4 | rc4-40 } | md5 }
set ssl enable
save


關於console
為了防止未經授權的使用者透過直接連線主控台或數據機連接埠來管理裝置,可以
輸入下列指令來停用這兩個連接埠:
set console disable
set console aux disable



JUNIPER ntp時間設置
set clock dst-off
set clock ntp
set clock timezone 8
set ntp server "10.47.168.190"
set ntp interval 1440
set ntp max-adjustment 5

  設置警報臨界值(閾值) 設置示例: CPU 利用率、記憶體利用率和會話計數分別設置為 70%, 並設置警報 (如果超出)
 SSG5-> set alarm threshold cpu 70
 SSG5-> set alarm threshold memory 70
 SSG5-> set alarm threshold session percent 70

 
 set dns host dns1 ipaddress src-interface interface
 set dns host dns2 ipaddress src-interface interface

設置為禁用帶有序號的初始化 (推薦) SSG5-> unset admin device-reset
預設情況下, 當您在 "get config" 中得到一個設置時, 在配置獲取過程中您會看到 "-More"
如果鍵入以下命令, 則可以在不顯示 "-More " 的情況下乾淨地獲得配置。
SSG5-> set console page 0
但是, 在輸出所有資訊 (包括配置和狀態) 之前, 此命令
由於輸出在列印資訊之前不會停止, 因此, 在獲得配置之後, 讓我們通過以下命令返回到原始狀態。
SSG5-> unset console page

Useful troubleshooting commands
get event
get av all
get av scan
get av stat
get mem
get session info
get os task
get perf cpu all detail
get perf session detail
get socket
get log sys

這個網誌中的熱門文章

如何測試網路連線--網路斷線了怎麼辦?

-
圖片
如何測試網路連線--網路斷線了怎麼辦? 如何測試網路連線 -- 網路不通了 DIY 自行檢測網路連線 當我們打開電腦,卻發現無法上網了,這時候我們該怎麼辦呢 ? 如果在公司的話,我們可以請電腦人員來處理,而若是在家裡,我們就必須 DIY 先自行檢查一遍,如果檢查後仍然不能上網的話,我們也只能請朋友或是廠商來維修了。 而我們又要如何 DIY 先自行檢查呢 ? 請您依照下列步驟來進行: 第一步:進入 DOS 命令列模式。 按 " 視窗鍵 +R 鍵 " ,開啟執行視窗並輸入 " cmd " 後按 enter 鍵來進入 DOS 命令列模式。 第二步:檢查 ip 是否正常。 請輸入 " ipconfig " 來 檢查有無取得正常 IP 或是 IP 設定是否正確。 若電腦要上網,則每台電腦 一 定都要配有一個 IP 位址才行,本例的 IP 位址為 192.168.1.11 。 而 IP 位址分成 公共 IP 與 私有 IP 兩種, 只有公共 IP 才能上網 ( 網際網路 ) ,私有 IP 是無法直接上網的,私有 IP 只能在區域網路中使用 。而因為公共 IP 太少,所以要搭配私有 IP 來上網才行,這樣就可以達到以 100 台電腦,或是以 10000 台電腦,使用私有 IP 經過網路設備的轉換而達成只需使用 1 個公共 IP 就能讓大家一起上網的目的了。 私有 IP 無法直接連接網際網路,需要使用 網絡地址轉換( Network Address Translator , NAT ) 或者 代理伺服器   ( proxy server ) 來實現。與公網 IP 相比,私有 IP 是免費的,同時節省了 IP 位址資源,適合在區域網使用。私有 IP 常被用於家庭,學校和企業的區域網。 私有 IP 的範圍: 192.168.XX. XX 172.16. XX.XX – - 172.31. XX.XX 10. XX.XX.XX 我們只要看到 IP 位址開頭為上述範圍的 IP ,就表示您的 IP 為私有 IP 。 還有一種 ip 位址為 169.254. X.X , 這種
閱讀完整內容

筆記電腦刷BIOS失敗無法開機—用CH341A編程器重刷BIOS教學!

-
圖片
ASUS 筆記電腦更新 BIOS 失敗無法開機 —用 CH341A 編程 器重刷 BIOS 教學! 前一陣子買了一台新的筆記電腦 (∩_∩) ,因此讓跟了我多年的 ASUS A42JA 筆電因此就被束之高閣沒有再被使用了 ヽ (´ ー ` )┌ ,後來想說反正放著不用也是浪費,乾脆就整理一下拿到拍賣網站給便宜賣掉算了 (¬ ‿ ¬) ,於是便動手開始移除個人的資料, 把 WINDOWS 7 系統還原到出廠狀態,順便一起更新 BIOS 的版本 ,而更新的過程很順利,在寫入 100% 後便自行重開機,重開機後小弟發現電源燈與硬碟燈皆恆亮,且螢幕沒有畫面,但小弟當然得等著它繼續開機更新 BIOS ,可是 2 分鐘 .. , 5 分鐘過了 .. ,情況還是一樣,此時心中不禁起了疑惑   (• ิ _• ิ )? ,不會吧 ! 會不會更新失敗了 ? 難道這麼倒楣的事都讓小弟我給碰上了 ? 一直等到十分鐘過後,小弟我終於失去耐性了,便下定決心長按電源鍵來讓筆記電腦強行關機   ( ╯‵ □′) ╯ ︵ ╧═╧ ,然後再開機,結果依然還是沒有畫面,電源燈與硬碟燈都恆亮的情況,小弟仍不死心的又重試了幾次,問題最後終於明朗化了,他媽的 BIOS 真的更新失敗了,對小弟來說一直是傳說中的問題竟被我給遇上了 !!!   。゜゜ (´ O `) ゜゜。 因為這台 ASUS A42JA 筆電已購置多年,早就過保固了,因此小弟先上網 GOOGLE 下,發現這類問題 ASUS 原廠通常是換主機板(這是在論壇上討論的內容),且一片要價 $5000 元   ( ⊙ _ ⊙ ) ,所以送回原廠維修的方案小弟就不考慮了(超出了筆電的價值沒有維修的必要),小弟接著再努力的 GOOGLE 幾下,終於發現 BIOS 更新失敗後似乎可以自行使用燒錄器來重刷 BIOS  (¬_¬;) ,於是這便成為小弟唯一可行的解決方案了。 從網路上找到的刷 BIOS 案例中,發現大多是使用 ”CH341A 編程器 ( 燒錄器 ) ” 來進行燒錄作業,其基本作法是用烙鐵將主機板上的 BIOS 晶片( 芯片 ) 拆下,再用 CH341A 燒錄器將原廠下載的 BIOS 檔案燒入芯片中,最後再將 BIOS 芯片焊接回筆電主機板上。而因為小弟也是電子相關科系出身,也曾拿烙鐵來焊接電子零件,所以
閱讀完整內容

INTEL XTU使用教學以及對筆電應具備的XTU設定概念

-
圖片
INTEL XTU 使用教學以及對筆電應具備的 XTU 設定概念 這篇文章除了教您如何使用 Intel XTU 之外,還告訴您許多 XTU 設定上的觀念,以及如何使用 XTU 來優化您的筆電等,在文中還有新、舊版本的 Intel XTU 開機自啟動相關的設定方法提供給大家來參考看看。 本篇文章主要是從初學者的角度出發來撰寫的,所以內容較為初淺,且繁雜,尚請各位大大多多體諒 ! 內容多為網路上蒐集而來,由小弟加以整理並加入個人的看法,若有校稿不力或是觀念錯誤的地方,尚請各位大大不吝指正,小弟必盡速更正 ! 在此先萬分感謝各位大大的愛護與支持,感謝您 !   內文開始   Intel 原廠網站是這樣說明的: Intel® 極致調整公用程式( Intel ® Extreme Tuning Utility - Intel® XTU )是一種簡易的 Windows 效能調整應用程式,可讓新手和經驗豐富的愛好者超頻、監控和壓力系統。軟體介面有一系列強大的功能,在大部分玩家平臺中都很常見。這種介面在新的 Intel® 處理器和主機板上也有特殊功能。 PS:上面這段話的意思是 -- Intel XTU 是 Intel 所推出的 一種簡易的 Windows 效能調整應用程式,透過對 CPU 電壓與功耗限制等的調整,可讓新手和經驗豐富的愛好者來對 Intel CPU 進行 超頻 、 監控 和 做壓力測試 。以小弟的電腦來說, CPU 經過 XTU 適當的調教之後,可以憑空增加約 30% 左右的效能,這可是得多花好幾千塊錢買更好的電腦才辦的到的事哦 ! 適用於下列產品。     Intel® Core™ i3-7350K 處理器 ( 4M 快取記憶體, 4.20 GHz)     Intel® Core™ i3-8350K 處理器( 8M 快取記憶體, 4.00 GHz )     Intel® Core™ i3-9350K 處理器( 8M 快取記憶體,最高 4.60 GHz )     Intel® Core™ i3-9350KF 處理器( 8M 快取記憶體,最高 4.60 GHz )     Intel® Core™ i5-3570K 處理器 ( 6M 快取記憶體,最高 3.80 GHz)     I
閱讀完整內容