Juniper NetScreen密碼恢復簡介
責編:admin |2015-01-21 10:29:201.密碼恢復:
使用筆記本連接防火墻的console口,用戶名和密碼都輸入機身后面的序列號,此時會警告你要reset configure,兩次按"y"后防火墻恢復了出廠設置,并重新啟動。(防火墻啟動時要把console線拔開,否則將會進入一個tftp傳送映像的模式。)
2.出廠的默認用戶名和密碼是netscreen,ether1的ip是192.168.1.1,把筆記本的ip地址設置一個192.168.1.0/24網段的IP,用網線連接到ether1,就可以用瀏覽器訪問了。
3.“NetScreen 的接口能以三種不同模式運行,分別是 : 網絡地址轉換 (NAT)、路由(Route)和透明。如果綁定到第 3 層(OSI的模型)區段的接口具有 IP 地址,則可為該接口定義 NAT 或路由操作模式。綁定到第 2 層區段 (如預定義的 v1-trust、v1-untrust 和 v1-dmz,或用戶定義的第 2 層區段 ) 的接口必須為透明模式。在配置接口時選擇操作模式。 vsys 不能處于“透明”模式下。”
4.初次看到netscreen的接口模式肯定有點不知所措(起碼本人愚鈍,如此反應),其實如果明白有這幾種模式就很容易理解了。由于透明網橋是工作在第二層,所以肯定是layer2方面的,也就是v1-trust,v1-untrust、v1-dmz這幾種了(因為選擇好模式后在netscreen的界面中可以看到ineteface的type屬性寫著"Layer2",:-))
5.理解后就很容易配置了。我選擇了ether7作為連接wan的,ether8連接lan(lan內部已經有nat設備了,所以我才用netscreen做網橋) 。ether7連接的是外網,那當然是非信任區域了,ether7->v1-untrust;ether8連接的是內網,ether8->v1-trust。都不用設置ip。
6.為了可以在內網登錄防火墻,到”network"->"zones"->"v1-trust",勾上"web ui”,"telnet","ping"這幾個(根據自己需要勾上就可以了)。netscreen比較奇特的一個東西是vlan1(對于我來說是奇特的東東,用慣了當然不會覺得);我之前以為是extreme中的vlan一樣,是802.1q協議構建的虛網,但是卻沒看見802.1q的tag設置,也沒看見有真實的端口在。后來才知道原來那個只是虛擬的東東(理解上還不是很清晰),我們在vlan1上設置IP后,再勾上“web ui"之類的權限,于是就可以在用這個IP登錄防火墻了(不用對應到某個物理端口)。
7.最后還要讓允許端口間通訊,防火墻的規則是——沒有明確允許的就是禁止的——所以我們要設置規則讓v1-trust和v1-untrust的數據可以放行。“Polices”->"from v1-trust to v1-untrust",選擇permit(默認就是any),"from v1-untrust to v1-trust",選擇permit。
收工,連接好ether7和ether8的網線測試下效果吧。
8.當然防火墻這樣直通的規則是沒什么作用的,所以我在“screening"->"screen"中,對于v1-untrust勾選上了一些防止攻擊的選項,現在攔截到一些數據了,也算是起到一點作用了),如果真正要發揮作用的話,關鍵還是要有選擇的制定放行規則,否則防火墻就只是一個hub,沒有任何作用。