juniper端口
Ⅰ juniper防火墙端口如何设置为10M全双工模式急!!!!!!
http://www.netscreen.net.cn/
Ⅱ juniper 5631端口
端口的分类:
在Internet上,按照协议类型分类,端口被分为TCP端口和端口两类,虽然他们都用正整数标识,但这并不会引起歧义,比如TCP的80端口和UDP的80端口,因为数据报在标明端口的同时,还将标明端口的类型。
从端口的分配来看,端口被分为固定端口和动态端口两大类(一些教程还将极少被用到的高端口划分为第三类:私有端口):
固定端口(0-1023):
使用集中式管理机制,即服从一个管理机构对端口的指派,这个机构负责发布这些指派。由于这些端口紧绑于一些服务,所以我们会经常扫描这些端口来判断对方是否开启了这些服务,如TCP的21(ftp),80(http),139(netbios),UDP的7(echo),69(tftp)等等一些大家熟知的端口;
动态端口(1024-49151):
这些端口并不被固定的捆绑于某一服务,操作系统将这些端口动态的分配给各个进程,同一进程两次分配有可能分配到不同的端口。不过一些应用程序并不愿意使用操作系统分配的动态端口,他们有其自己的‘商标性’端口,如oicq客户端的4000端口,木马冰河的7626端口等都是固定而出名的。
端口在入侵中的作用:
有人曾经把服务器比作房子,而把端口比作通向不同房间(服务)的门,如果不考虑细节的话,这是一个不错的比喻。入侵者要占领这间房子,势必要破门而入(物理入侵另说),那么对于入侵者来说,了解房子开了几扇门,都是什么样的门,门后面有什么东西就显得至关重要。
入侵者通常会用扫描器对目标主机的端口进行扫描,以确定哪些端口是开放的,从开放的端口,入侵者可以知道目标主机大致提供了哪些服务,进而猜测可能存在的漏洞,因此对端口的扫描可以帮助我们更好的了解目标主机,而对于管理员,扫描本机的开放端口也是做好安全防范的第一步。
常见端口的介绍
由于本人知识有限,在这里只介绍一些浅显的内容。
1)21 ftp
此端口开放表示服务器提供了FTP服务,入侵者通常会扫描此端口并判断是否允许匿名登陆,如果能找到可写目录,还可以上传一些黑客程序做近一步入侵。要想关闭此端口,需要关闭FTP服务。
2)23 Telnet
此端口开放表示服务器提供了远程登陆服务,如果你有管理员的用户名和密码,可以通过这个服务来完全控制主机(不过要先搞定NTLM身份认证),获得一个命令行下的shell。许多入侵者喜欢开启这个服务作为后门。要想关闭此端口,需要关闭Telnet服务。
3)25 smtp
此端口开放表示服务器提供了SMTP服务,一些不支持身份验证的服务器允许入侵者发送邮件到任何地点,SMTP服务器(尤其是sendmail)也是进入系统的最常用方法之一。要想关闭此端口,需要关闭SMTP服务。
4)69 TFTP(UDP)
此端口开放表示服务器提供了TFTP服务,它允许从服务器下载文件,也可以写入文件,如果管理员错误配置,入侵者甚至可以下载密码文件。许多入侵者通过在自己机器运行此服务来传文件到目标机器,从而实现文件的传输。要想关闭此端口,需要关闭TFTP服务。
5)79 finger
用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误, 回应从自己机器到其它机器finger扫描。
6)80 http
此端口开放表示服务器提供了HTTP服务,可以让访问者浏览其网页等,大部分针对IIS服务器的溢出攻击都是通过这个端口的,可以说是入侵者最常攻击的一个端口了。要想关闭此端口,需要关闭HTTP服务。
7)110 POP3
用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统,成功登陆后还有其它缓冲区溢出错误。
8)TCP的139和445
许多人都很关心这两个端口,那我就来详细的介绍一下吧:
首先我们来了解一些基础知识:
1 SMB:(Server Message Block) Windows协议族,用于文件打印共享的服务;
2 NBT:(NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于TCP/IP协议的NETBIOS网络互联。
3 在WindowsNT中SMB基于NBT实现,即使用139(TCP)端口;而在Windows2000中,SMB除了基于NBT实现,还可以直接通过445端口实现。
有了这些基础知识,我们就可以进一步来讨论访问网络共享对端口的选择了:
对于win2000客户端(发起端)来说:
1 如果在允许NBT的情况下连接服务器时,客户端会同时尝试访问139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,用455端口进行会话,当445端口无响应时,才使用139端口,如果两个端口都没有响应,则会话失败;
2 如果在禁止NBT的情况下连接服务器时,那么客户端只会尝试访问445端口,如果445端口无响应,那么会话失败。
对于win2000服务器端来说:
1 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放(LISTENING);
2 如果禁止NBT,那么只有445端口开放。
我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见,如果远程服务器没有监听139或445端口,ipc$会话是无法建立的。那么如何关闭2000上这两个端口呢?
139端口可以通过禁止NBT来屏蔽
本地连接-TCP/IT属性-高级-WINS-选‘禁用TCP/IT上的NETBIOS’一项
445端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重启机器
9)3389 Terminal Services
此端口开放表示服务器提供了终端服务,如果你获得了管理员的用户名和密码,那么你可以通过这个服务在图形界面下完全控制主机,这的确是一件令人向往的事情,但如果你得不到密码也找不到输入法漏洞,你会感到束手无策。要想关闭此端口,需要关闭终端服务。
端口的相关工具
1 netstat -an
的确,这并不是一个工具,但他是查看自己所开放端口的最方便方法,在cmd中输入这个命令就可以了。如下:
C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1027 *:*
UDP 127.0.0.1:1029 *:*
UDP 127.0.0.1:1030 *:*
这是我没上网的时候机器所开的端口,两个135和445是固定端口,其余几个都是动态端口。
2 fport.exe和mport.exe
这也是两个命令行下查看本地机器开放端口的小程序,其实与netstat -an这个命令大同小异,只不过它能够显示打开端口的进程,信息更多一些而已,如果你怀疑自己的奇怪端口可能是木马,那就用他们查查吧。
3 activeport.exe(也称aports.exe)
还是用来查看本地机器开放端口的东东,除了具有上面两个程序的全部功能外,他还有两个更吸引人之处:图形界面以及可以关闭端口。这对菜鸟来说是个绝对好用的东西,推荐使用喔。
4 superscan3.0
它的大名你不会没听说过吧,纯端口扫描类软件中的NO.1,速度快而且可以指定扫描的端口,不多说了,绝对必备工具。
保护好自己的端口:
刚接触网络的朋友一般都对自己的端口很敏感,总怕自己的电脑开放了过多端口,更怕其中就有后门程序的端口,但由于对端口不是很熟悉,所以也没有解决办法,上起网来提心吊胆。其实保护自己的端口并不是那么难,只要做好下面几点就行了:
1 查看:经常用命令或软件查看本地所开放的端口,看是否有可疑端口;
2 判断:如果开放端口中有你不熟悉的,应该马上查找端口大全或木马常见端口等资料(网上多的很),看看里面对你那个可疑端口的作用描述,或者通过软件查看开启此端口的进程来进行判断;
3 关闭:如果真是木马端口或者资料中没有这个端口的描述,那么应该关闭此端口,你可以用防火墙来屏蔽此端口,也可以用本地连接-TCP/IP-高级-选项-TCP/IP筛选,启用筛选机制来筛选端口;
Ⅲ juniper如何配置端口描述
Juniper ScreenOS的接口,不支持复description参数。
配置制三层接口一般情况下,执行以下几条命令:
1.设定接口所属安全域set inter g0/2/2 trust(或其它zone)。
2.设定接口IP地址、掩码set inter g0/2/2 ip X.X.X.X/X(或X.X.X.X X.X.X.X)。
3.设定接口的管理选项set inter g0/2/2 manage telnet(ping web ssl 等,此处留空,意味着开启所有服务选项)。
4.命令行下执行完命令别忘记保存save。
Ⅳ Juniper交换机 端口类型 inet ethernet-switching
不知道你的ae口配置了什么 set interfaces ae0 unit 0 family inet address X.X.X.X/X?
我把我配置的命令给你看看吧 将2个端口聚合到ae1 ae1为trunk 模式
设置支持聚合的数目
set chassis aggregated-devices ethernet device-count 5
edit interface ae1 //进入聚合链路ae1
set unit 0 family ethernet-switching
set unit 0 family ethernet-switching port-mode trunk
删除需要聚合的链路的原有属性(假设是35. 36 2个口聚合)
delete interfaces ge0/0/35 unit 0 family ethernet-switching
delete interfaces ge0/0/36 unit 0 family ethernet-switching
将这2个端口加入到聚合链路ae1中
set interfaces ge0/0/35 ether-options 802.3ad ae1
set interfaces ge0/0/36 ether-options 802.3ad ae1
查看配置结果:
show interfaces ae1
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
show interfaces ge-0/0/35
ether-options {
802.3ad ae1;
}
show interfaces ge-0/0/36
ether-options {
802.3ad ae1;
}
希望对你有所帮助!!
Ⅳ juniper 端口映射
你说的主机到底指什么?
在VIP设置。
进入WEB管理界面,操作如下:
1.增加公网版VIP
Network
Interfaces
ethernet0/2 211.136.199.14/28 Edit
VIP
*ADD Virtual IP Address
2.绑定内网IP、端口权
*New VIP Service
选择Map to Service 如果没有需要先添加Service
填写Map to IP
选择Server Auto Detection
3.设置策略
Policies
Untrust>Trust
*New
Destination Address 选择VIP
选择Service
选择Logging
#如何添加Service
Objects
Services
Custom
*New
Service Timeout Use protocol default
选择协议类型 TCP/UDP
Source Port Low 0 High 65535
Destination Port 要映射的端口
同一个公网IP的不同端口可以映射在内网不同IP的端口
要是这个还弄不懂,你就得来ITAA学习组详细讨论了。
Ⅵ 如何更改Juniper防火墙默认的http管理端口
是做untrust(v1-untrust)-dmz(v1-dmz)的限制吗?
开放策略的时候,比如有一个WEB服务要发布,那么就只开放80端口版就可权以了,其他端口是默认不开的。
防火墙中已经有很多常用端口可工选择,如果你是自定义的端口,就创建一个自定义的端口(分清楚是TCP还是UDP的)
juniper防火墙执行策略是从上到下的。建议你可以建立一条默认阻止策略放在最后。
Ⅶ juniper防火墙如何做端口限制
是做untrust(v1-untrust)-dmz(v1-dmz)的限来制吗?
开放自策略的时候,比如有一个WEB服务要发布,那么就只开放80端口就可以了,其他端口是默认不开的。
防火墙中已经有很多常用端口可工选择,如果你是自定义的端口,就创建一个自定义的端口(分清楚是TCP还是UDP的)
juniper防火墙执行策略是从上到下的。建议你可以建立一条默认阻止策略放在最后。
Ⅷ juniper防火墙端口的fe和ge的区别
是做untrust(v1-untrust)-dmz(v1-dmz)的限制吗?
开放策略的时候,比如有一个WEB服务要专发布,那么就只开放80端口就属可以了,其他端口是默认不开的。
防火墙中已经有很多常用端口可工选择,如果你是自定义的端口,就创建一个自定义的端口(分清楚是TCP还是UDP的)
juniper防火墙执行策略是从上到下的。建议你可以建立一条默认阻止策略放在最后。
Ⅸ ssg20:juniper添加端口方法(好像是防火墙)
你们来公司是否和别的地自方有做VPN呢,感觉192.168.36.1是别的地方的防火墙,不是你们的R860,千万别乱配啊。。。。另外,如果要映射端口的话,SSG20的Network-Interface下面点击EDIT WAN口,最上面有VIP,建立新的VIP,然后设定对应端口即可完成端口映射。
Ⅹ juniper交换机怎么批量修改端口
SUMMARY:
This knowledge base (KB) article provides basic instructions for configuring the "Interface Range" command which was introced in JUNOS Software 10.0 for the EX-series Switches.
PROBLEM OR GOAL:
SOLUTION:
STEPS TO CONFIGURE INTERFACE-RANGE:
Configure a VLAN:
user@# set vlans vlan10 vlan-id 10
Configuring the interface-range "test" to be a part of a vlan (vlan10):
user@juniper# set interfaces interface-range test unit 0 family ethernet-switching vlan members vlan10
Adding member interfaces (actual physical interface) to the interface range:
user@juniper# set interfaces interface-range test member-range ge-0/0/0.0 to ge-0/0/10
user@juniper# commit check
configuration check succeeds
user@juniper# commit
configuration check succeeds
commit complete
Verifying that all physical interfaces in range became part of the member vlan to which interface range 'test' was added:
user@juniper# run show vlans
Name Tag Interfaces
default
ge-0/0/11.0, ge-0/0/12.0, ge-0/0/13.0, ge-0/0/14.0,
ge-0/0/15.0, ge-0/0/16.0*, ge-0/0/17.0, ge-0/0/18.0,
ge-0/0/19.0, ge-0/0/20.0, ge-0/0/21.0, ge-0/0/22.0,
ge-0/0/23.0, ge-0/1/0.0
vlan10 10 <--------Interfaces ge-0/0/0 - ge-0/0/10 in vlan10
ge-0/0/0.0, ge-0/0/1.0, ge-0/0/2.0, ge-0/0/3.0,
ge-0/0/4.0, ge-0/0/5.0, ge-0/0/6.0, ge-0/0/7.0,
ge-0/0/8.0, ge-0/0/9.0, ge-0/0/10.0*
user@juniper# edit interfaces interface-range test
[edit interfaces interface-range test]
user@juniper# show
member-range ge-0/0/0 to ge-0/0/10;
unit 0 {
family ethernet-switching {
vlan {
members 10;
}
}
}