juniper埠
Ⅰ juniper防火牆埠如何設置為10M全雙工模式急!!!!!!
http://www.netscreen.net.cn/
Ⅱ juniper 5631埠
埠的分類:
在Internet上,按照協議類型分類,埠被分為TCP埠和埠兩類,雖然他們都用正整數標識,但這並不會引起歧義,比如TCP的80埠和UDP的80埠,因為數據報在標明埠的同時,還將標明埠的類型。
從埠的分配來看,埠被分為固定埠和動態埠兩大類(一些教程還將極少被用到的高埠劃分為第三類:私有埠):
固定埠(0-1023):
使用集中式管理機制,即服從一個管理機構對埠的指派,這個機構負責發布這些指派。由於這些埠緊綁於一些服務,所以我們會經常掃描這些埠來判斷對方是否開啟了這些服務,如TCP的21(ftp),80(http),139(netbios),UDP的7(echo),69(tftp)等等一些大家熟知的埠;
動態埠(1024-49151):
這些埠並不被固定的捆綁於某一服務,操作系統將這些埠動態的分配給各個進程,同一進程兩次分配有可能分配到不同的埠。不過一些應用程序並不願意使用操作系統分配的動態埠,他們有其自己的『商標性』埠,如oicq客戶端的4000埠,木馬冰河的7626埠等都是固定而出名的。
埠在入侵中的作用:
有人曾經把伺服器比作房子,而把埠比作通向不同房間(服務)的門,如果不考慮細節的話,這是一個不錯的比喻。入侵者要佔領這間房子,勢必要破門而入(物理入侵另說),那麼對於入侵者來說,了解房子開了幾扇門,都是什麼樣的門,門後面有什麼東西就顯得至關重要。
入侵者通常會用掃描器對目標主機的埠進行掃描,以確定哪些埠是開放的,從開放的埠,入侵者可以知道目標主機大致提供了哪些服務,進而猜測可能存在的漏洞,因此對埠的掃描可以幫助我們更好的了解目標主機,而對於管理員,掃描本機的開放埠也是做好安全防範的第一步。
常見埠的介紹
由於本人知識有限,在這里只介紹一些淺顯的內容。
1)21 ftp
此埠開放表示伺服器提供了FTP服務,入侵者通常會掃描此埠並判斷是否允許匿名登陸,如果能找到可寫目錄,還可以上傳一些黑客程序做近一步入侵。要想關閉此埠,需要關閉FTP服務。
2)23 Telnet
此埠開放表示伺服器提供了遠程登陸服務,如果你有管理員的用戶名和密碼,可以通過這個服務來完全控制主機(不過要先搞定NTLM身份認證),獲得一個命令行下的shell。許多入侵者喜歡開啟這個服務作為後門。要想關閉此埠,需要關閉Telnet服務。
3)25 smtp
此埠開放表示伺服器提供了SMTP服務,一些不支持身份驗證的伺服器允許入侵者發送郵件到任何地點,SMTP伺服器(尤其是sendmail)也是進入系統的最常用方法之一。要想關閉此埠,需要關閉SMTP服務。
4)69 TFTP(UDP)
此埠開放表示伺服器提供了TFTP服務,它允許從伺服器下載文件,也可以寫入文件,如果管理員錯誤配置,入侵者甚至可以下載密碼文件。許多入侵者通過在自己機器運行此服務來傳文件到目標機器,從而實現文件的傳輸。要想關閉此埠,需要關閉TFTP服務。
5)79 finger
用於獲得用戶信息,查詢操作系統,探測已知的緩沖區溢出錯誤, 回應從自己機器到其它機器finger掃描。
6)80 http
此埠開放表示伺服器提供了HTTP服務,可以讓訪問者瀏覽其網頁等,大部分針對IIS伺服器的溢出攻擊都是通過這個埠的,可以說是入侵者最常攻擊的一個埠了。要想關閉此埠,需要關閉HTTP服務。
7)110 POP3
用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統,成功登陸後還有其它緩沖區溢出錯誤。
8)TCP的139和445
許多人都很關心這兩個埠,那我就來詳細的介紹一下吧:
首先我們來了解一些基礎知識:
1 SMB:(Server Message Block) Windows協議族,用於文件列印共享的服務;
2 NBT:(NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)埠實現基於TCP/IP協議的NETBIOS網路互聯。
3 在WindowsNT中SMB基於NBT實現,即使用139(TCP)埠;而在Windows2000中,SMB除了基於NBT實現,還可以直接通過445埠實現。
有了這些基礎知識,我們就可以進一步來討論訪問網路共享對埠的選擇了:
對於win2000客戶端(發起端)來說:
1 如果在允許NBT的情況下連接伺服器時,客戶端會同時嘗試訪問139和445埠,如果445埠有響應,那麼就發送RST包給139埠斷開連接,用455埠進行會話,當445埠無響應時,才使用139埠,如果兩個埠都沒有響應,則會話失敗;
2 如果在禁止NBT的情況下連接伺服器時,那麼客戶端只會嘗試訪問445埠,如果445埠無響應,那麼會話失敗。
對於win2000伺服器端來說:
1 如果允許NBT, 那麼UDP埠137, 138, TCP 埠 139, 445將開放(LISTENING);
2 如果禁止NBT,那麼只有445埠開放。
我們建立的ipc$會話對埠的選擇同樣遵守以上原則。顯而易見,如果遠程伺服器沒有監聽139或445埠,ipc$會話是無法建立的。那麼如何關閉2000上這兩個埠呢?
139埠可以通過禁止NBT來屏蔽
本地連接-TCP/IT屬性-高級-WINS-選『禁用TCP/IT上的NETBIOS』一項
445埠可以通過修改注冊表來屏蔽
添加一個鍵值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完後重啟機器
9)3389 Terminal Services
此埠開放表示伺服器提供了終端服務,如果你獲得了管理員的用戶名和密碼,那麼你可以通過這個服務在圖形界面下完全控制主機,這的確是一件令人嚮往的事情,但如果你得不到密碼也找不到輸入法漏洞,你會感到束手無策。要想關閉此埠,需要關閉終端服務。
埠的相關工具
1 netstat -an
的確,這並不是一個工具,但他是查看自己所開放埠的最方便方法,在cmd中輸入這個命令就可以了。如下:
C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1027 *:*
UDP 127.0.0.1:1029 *:*
UDP 127.0.0.1:1030 *:*
這是我沒上網的時候機器所開的埠,兩個135和445是固定埠,其餘幾個都是動態埠。
2 fport.exe和mport.exe
這也是兩個命令行下查看本地機器開放埠的小程序,其實與netstat -an這個命令大同小異,只不過它能夠顯示打開埠的進程,信息更多一些而已,如果你懷疑自己的奇怪埠可能是木馬,那就用他們查查吧。
3 activeport.exe(也稱aports.exe)
還是用來查看本地機器開放埠的東東,除了具有上面兩個程序的全部功能外,他還有兩個更吸引人之處:圖形界面以及可以關閉埠。這對菜鳥來說是個絕對好用的東西,推薦使用喔。
4 superscan3.0
它的大名你不會沒聽說過吧,純埠掃描類軟體中的NO.1,速度快而且可以指定掃描的埠,不多說了,絕對必備工具。
保護好自己的埠:
剛接觸網路的朋友一般都對自己的埠很敏感,總怕自己的電腦開放了過多埠,更怕其中就有後門程序的埠,但由於對埠不是很熟悉,所以也沒有解決辦法,上起網來提心吊膽。其實保護自己的埠並不是那麼難,只要做好下面幾點就行了:
1 查看:經常用命令或軟體查看本地所開放的埠,看是否有可疑埠;
2 判斷:如果開放埠中有你不熟悉的,應該馬上查找埠大全或木馬常見埠等資料(網上多的很),看看裡面對你那個可疑埠的作用描述,或者通過軟體查看開啟此埠的進程來進行判斷;
3 關閉:如果真是木馬埠或者資料中沒有這個埠的描述,那麼應該關閉此埠,你可以用防火牆來屏蔽此埠,也可以用本地連接-TCP/IP-高級-選項-TCP/IP篩選,啟用篩選機制來篩選埠;
Ⅲ juniper如何配置埠描述
Juniper ScreenOS的介面,不支持復description參數。
配置制三層介面一般情況下,執行以下幾條命令:
1.設定介面所屬安全域set inter g0/2/2 trust(或其它zone)。
2.設定介面IP地址、掩碼set inter g0/2/2 ip X.X.X.X/X(或X.X.X.X X.X.X.X)。
3.設定介面的管理選項set inter g0/2/2 manage telnet(ping web ssl 等,此處留空,意味著開啟所有服務選項)。
4.命令行下執行完命令別忘記保存save。
Ⅳ Juniper交換機 埠類型 inet ethernet-switching
不知道你的ae口配置了什麼 set interfaces ae0 unit 0 family inet address X.X.X.X/X?
我把我配置的命令給你看看吧 將2個埠聚合到ae1 ae1為trunk 模式
設置支持聚合的數目
set chassis aggregated-devices ethernet device-count 5
edit interface ae1 //進入聚合鏈路ae1
set unit 0 family ethernet-switching
set unit 0 family ethernet-switching port-mode trunk
刪除需要聚合的鏈路的原有屬性(假設是35. 36 2個口聚合)
delete interfaces ge0/0/35 unit 0 family ethernet-switching
delete interfaces ge0/0/36 unit 0 family ethernet-switching
將這2個埠加入到聚合鏈路ae1中
set interfaces ge0/0/35 ether-options 802.3ad ae1
set interfaces ge0/0/36 ether-options 802.3ad ae1
查看配置結果:
show interfaces ae1
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
show interfaces ge-0/0/35
ether-options {
802.3ad ae1;
}
show interfaces ge-0/0/36
ether-options {
802.3ad ae1;
}
希望對你有所幫助!!
Ⅳ juniper 埠映射
你說的主機到底指什麼?
在VIP設置。
進入WEB管理界面,操作如下:
1.增加公網版VIP
Network
Interfaces
ethernet0/2 211.136.199.14/28 Edit
VIP
*ADD Virtual IP Address
2.綁定內網IP、埠權
*New VIP Service
選擇Map to Service 如果沒有需要先添加Service
填寫Map to IP
選擇Server Auto Detection
3.設置策略
Policies
Untrust>Trust
*New
Destination Address 選擇VIP
選擇Service
選擇Logging
#如何添加Service
Objects
Services
Custom
*New
Service Timeout Use protocol default
選擇協議類型 TCP/UDP
Source Port Low 0 High 65535
Destination Port 要映射的埠
同一個公網IP的不同埠可以映射在內網不同IP的埠
要是這個還弄不懂,你就得來ITAA學習組詳細討論了。
Ⅵ 如何更改Juniper防火牆默認的http管理埠
是做untrust(v1-untrust)-dmz(v1-dmz)的限制嗎?
開放策略的時候,比如有一個WEB服務要發布,那麼就只開放80埠版就可權以了,其他埠是默認不開的。
防火牆中已經有很多常用埠可工選擇,如果你是自定義的埠,就創建一個自定義的埠(分清楚是TCP還是UDP的)
juniper防火牆執行策略是從上到下的。建議你可以建立一條默認阻止策略放在最後。
Ⅶ juniper防火牆如何做埠限制
是做untrust(v1-untrust)-dmz(v1-dmz)的限來制嗎?
開放自策略的時候,比如有一個WEB服務要發布,那麼就只開放80埠就可以了,其他埠是默認不開的。
防火牆中已經有很多常用埠可工選擇,如果你是自定義的埠,就創建一個自定義的埠(分清楚是TCP還是UDP的)
juniper防火牆執行策略是從上到下的。建議你可以建立一條默認阻止策略放在最後。
Ⅷ juniper防火牆埠的fe和ge的區別
是做untrust(v1-untrust)-dmz(v1-dmz)的限制嗎?
開放策略的時候,比如有一個WEB服務要專發布,那麼就只開放80埠就屬可以了,其他埠是默認不開的。
防火牆中已經有很多常用埠可工選擇,如果你是自定義的埠,就創建一個自定義的埠(分清楚是TCP還是UDP的)
juniper防火牆執行策略是從上到下的。建議你可以建立一條默認阻止策略放在最後。
Ⅸ ssg20:juniper添加埠方法(好像是防火牆)
你們來公司是否和別的地自方有做VPN呢,感覺192.168.36.1是別的地方的防火牆,不是你們的R860,千萬別亂配啊。。。。另外,如果要映射埠的話,SSG20的Network-Interface下面點擊EDIT WAN口,最上面有VIP,建立新的VIP,然後設定對應埠即可完成埠映射。
Ⅹ juniper交換機怎麼批量修改埠
SUMMARY:
This knowledge base (KB) article provides basic instructions for configuring the "Interface Range" command which was introced in JUNOS Software 10.0 for the EX-series Switches.
PROBLEM OR GOAL:
SOLUTION:
STEPS TO CONFIGURE INTERFACE-RANGE:
Configure a VLAN:
user@# set vlans vlan10 vlan-id 10
Configuring the interface-range "test" to be a part of a vlan (vlan10):
user@juniper# set interfaces interface-range test unit 0 family ethernet-switching vlan members vlan10
Adding member interfaces (actual physical interface) to the interface range:
user@juniper# set interfaces interface-range test member-range ge-0/0/0.0 to ge-0/0/10
user@juniper# commit check
configuration check succeeds
user@juniper# commit
configuration check succeeds
commit complete
Verifying that all physical interfaces in range became part of the member vlan to which interface range 'test' was added:
user@juniper# run show vlans
Name Tag Interfaces
default
ge-0/0/11.0, ge-0/0/12.0, ge-0/0/13.0, ge-0/0/14.0,
ge-0/0/15.0, ge-0/0/16.0*, ge-0/0/17.0, ge-0/0/18.0,
ge-0/0/19.0, ge-0/0/20.0, ge-0/0/21.0, ge-0/0/22.0,
ge-0/0/23.0, ge-0/1/0.0
vlan10 10 <--------Interfaces ge-0/0/0 - ge-0/0/10 in vlan10
ge-0/0/0.0, ge-0/0/1.0, ge-0/0/2.0, ge-0/0/3.0,
ge-0/0/4.0, ge-0/0/5.0, ge-0/0/6.0, ge-0/0/7.0,
ge-0/0/8.0, ge-0/0/9.0, ge-0/0/10.0*
user@juniper# edit interfaces interface-range test
[edit interfaces interface-range test]
user@juniper# show
member-range ge-0/0/0 to ge-0/0/10;
unit 0 {
family ethernet-switching {
vlan {
members 10;
}
}
}