★ 分享、传播、open source

http://blog.jnsms.com/article.php?type-blog-itemid-106.html　　4月24日至25日，因新增宽带，为实现双链路，于是对学校网络防火墙进行了重新布署，现将布署过程中利用的几种不同的手段总结如下：  　　ECMP  　　用两条链路接入互联网，则可设置两条静态默认路由 (ScreenO中静态路由cost值默认都为1) 分别指向两个不

升级文件可以自己从官网下载，如SSG 140  6.3.0r10版本，可以从这里 http://www.juniper.net/support/products/screenos/ssg140/6.3/#sw   下载 ，，把下载文件ssg140.6.3.0r10.0.zip解压后就是要升级的文件了。防火墙软件可通过两种方式升级：1，通过WEB页页升级，在WEB管理页面management

使用  Web Filtering功能.Web 过滤使您能够管理互联网访问，阻止对不适当 web 内容的访问。ScreenOS 提供了两种 web 过滤解决方案。这里我只说说集成的 web 过滤的方法。防火墙版本：Firmware Version: 6.3.0r10.0 (Firewall+VPN)查看防火墙设备的license：WebUI ： Configuration >

juniper防火墙里面MIP、DIP、VIP是用来做地址转换使用。但有区别1.MIP 是一对一的地址映射，工作在第三层。   主要应用在公网ip与内网ip的一一映射，内网对互联网提供服务。2.DIP是动态的地址池。   通常用在拥有大量的注册ip，但又拥有大量的非注册ip小多对大多。3.VIP 是端口地址映射，面对的是只有一个注册的公网ip地址，有大量的内

Snoop 是Juniper防火墙另外一个有效的查错工具,它和debug flow basic的区别是: snoop类似于在防火墙的接口上抓包,可以根据具体接口, 数据包的方向, 协议等等要素进行过滤抓包; debug flow basic则对数据包如何穿越防火墙进行分析,将防火墙的对数据包的处理过程显示出来.Snoop的使用举例如下:1. 先设置过滤列表,使得防火墙只对需要的数据

在防火墙：set ffilter src-ip x.x.x.x dst-ip 192.168.1.100     (x.x.x.x是你本机ip)debug flow basic在本机ping 192.168.1.100在防火墙：undebug allget dbuf stream    进行分析都完成之后，在防火墙清除相关设置unset ffiter

转自杜松之家;http://www.juniperbbs.net/在命令行(通过TELNET、SSH或CONSOLE登陆)状态下：防火墙基本信息收集：（以下以NS-500为例）ns500>get system （得到系统基本信息）ns500>get config （得到防火墙配置信息）ns500>get log event （得到防火墙事件日志）如果是网络方面的

http://blog.chinaunix.net/space.php?uid=688106&do=blog&id=2682006 实现: 192.168.2.1和 192.168.2.2 访问公网通过untrust eth2,      192.168.2.1和 192.168.2.2 访问eth3的mip通过eth3的接口地址

http://blog.jnsms.com/article.php?type-blog-itemid-92-.html一．拒绝服务攻击DoS  1. 拒绝服务攻击的目的是用极大量的虚拟信息流耗尽受害者的资源，使其无法处理合法的信息流。攻击的目标可以是防火墙、防火墙所保护的网络资源、个别主机的特定硬件平台或操作系统等。通常DoS攻击中的源地址是欺骗性的。  2. 发自多个源地址的DoS攻

juniper 550M访问自身公网IP回流内部