Juniper SRX防火墙在拨号环境下如果需要使用动态域名,设备默认只支持dyndns.org和ddo.jp两家动态域名的服务商。
详细日志的关键字可以通过https://apps.juniper.net/syslog-explorer/查询 查询日志可通过命令show log XXX显示 ,其中XXX为文件名 set security log mode streamset security log report 为了记录日志发生时间的准确性,建议首先设置好ntp服务器set system ntp server cn.pool.ntp.org 记录接口up down状态set system syslog file interfaces-logs any anyset system syslog file interfaces-logs match ifOperStatus VPN日志记录set system syslog file kmd-logs daemon infoset system syslog file kmd-logs match KMD 用户命令执行记录set system syslog file interactive-commands interactive-commands any 用户认证记录(所有)set system syslog file auth.log authorization info 用户认证成功记录set system syslog file auth_success.log authorization infoset system syslog file auth_success.log match "Accepted| LOGIN_INFORMATION" 用户修改记录set system syslog file change.log change-log info 记录dynamic vpn用户认证记录Set system syslog file dyn_success.log any anySet system syslog file dyn_success.log match "DYNAMIC_VPN| FWAUTH| KMD_VPN_UP_ALARM_USER" 记录ping对端IP不可达set system syslog file ping_to_GZ any anyset system syslog file ping_to_GZ match "PING_TEST_FAILED| PING_PROBE_FAILED" set services rpm probe prob test ping_test_to_GZ target address 192.168.12.12set services rpm probe prob test ping_test_to_GZ probe-count 5set services rpm probe prob test ping_test_to_GZ probe-interval 1set services rpm probe prob test ping_test_to_GZ test-interval 2set services rpm probe prob test ping_test_to_GZ thresholds successive-loss 2set services rpm probe prob test ping_test_to_GZ thresholds total-loss 4 记录会话日志set system syslog file traffic-log any anyset system syslog file traffic-log match "RT_FLOW_SESSION" 策略中要加上session-init或session-close \ couunt set system syslog file policy_session user infoset system syslog file policy_session match RT_FLOWset system syslog file policy_session archive size 1000kset system syslog file policy_session archive world-readableset system syslog file policy_session structured-data 将syslog发送到远程日志服务器Set system syslog host 192.168.0.123 any any 记录IDP日志 set system syslog file IDP_Log any anyset system syslog file IDP_Log match "RT_IDP"
服务器版本为windows2016数据中心版 客户端为win10 服务管理器添加服务器时提示“ kerberos 身份验证错误 ” 可以通过在服务器管理器上右键 远程桌面连接 远程连接到服务器 查看远程桌面连接中的用户名 在管理方式中重新输入用户名和密码 连接正常
juniper srx系列防火墙的动态VPN又叫dynamic vpn ,可以通过电脑客户端远程拨入到设备所在网络中.目前低端系列的防火墙如srx100 srx210 srx240 srx550 srx650设备默认支持两个动态VPN并发授权,超过两个授权需要开通相应的license .srx300系列需要高版本才能支持,前段时间测试过300系列15.1D49是不支持动态VPN的,好像需要升级到D51版本以上.
端口限速
管理员运行cmd 执行以下 if exist "%SystemRoot%\System32\InputMethod\CHS\ChsIME.exe" (TAKEOWN /F "%SystemRoot%\System32\InputMethod\CHS\ChsIME.exe"icacls "%SystemRoot%\System32\InputMethod\CHS\ChsIME.exe" /deny "NT AUTHORITY\SYSTEM:RX" )
在linux下可以通过ssh 连接远端设备时需要手动输入用户名和密码,免输入用户可以直接通过ssh -l Username 方式实现,但要做免输入密码使用ssh命令无法实现,此时需要用到expect。
juniper srx系列防火墙默认ssh管理的端口是无法更改的,但要想使用其它端口实现ssh管理,可通过将外网的其它端口映射到环回接口的22端口实现
echo > /var/log/wtmp;echo > /var/log/btmp;history -c;echo > ./.bash_history
ASA端口映射 将DMZ区内的主机192.168.169.2映射到防火墙outside接口的interface地址: 设置需要映射的主机 object network server1 host 192.168.169.2 设置需要映射的端口 ciscoasa(config)# object service 3389 ciscoasa(config-service-object)# service tcp source eq 3389 ciscoasa(config)# object service 5000 ciscoasa(config-service-object)# service tcp source eq 5000 端口转换(将外网5000转换成内网8080) ciscoasa(config)# nat (dmz,outside) source static server1 interface server1 interface service 8080 5000 增加访问控制列表 ciscoasa(config)#access-list 100 line 3 extended permit tcp any host 192.168.169.2 eq 5000