Juniper NetScreen密码恢复

1. 密码恢复：
         使用笔记本链接防火墙的console口，用户名和密码都输入机身后面的序列号，此时会警告你要reset configure，两次按"y"后防火墙恢复了出厂设置，并从新启动。（防火墙启动时要把console线拔开，不然将会进入一个tftp传送映像的模式。）

2. 出厂的默认用户名和密码是netscreen，ether1的ip是192.168.1.1，把笔记本的ip地址设置一个192.168.1.0/24网段的IP，用网线链接到ether1，就能够用浏览器访问了。

3. “NetScreen 的接口能以三种不一样模式运行，分别是 : 网络地址转换 (NAT)、路由(Route)和透明。若是绑定到第 3 层（OSI的模型）区段的接口具备 IP 地址，则可为该接口定义 NAT 或路由操做模式。绑定到第 2 层区段 (如预约义的 v1-trust、v1-untrust 和 v1-dmz，或用户定义的第 2 层区段 ) 的接口必须为透明模式。在配置接口时选择操做模式。 vsys 不能处于“透明”模式下。”

4. 初次看到netscreen的接口模式确定有点不知所措（起码本人愚钝，如此反应），其实若是明白有这几种模式就很容易理解了。因为透明网桥是工做在第二层，因此确定是layer2方面的，也就是v1-trust,v1-untrust、v1-dmz这几种了（由于选择好模式后在netscreen的界面中能够看到ineteface的type属性写着"Layer2"，:-)）

5. 理解后就很容易配置了。我选择了ether7做为链接wan的，ether8链接lan（lan内部已经有nat设备了，因此我才用netscreen作网桥）  。ether7链接的是外网，那固然是非信任区域了,ether7->v1-untrust；ether8链接的是内网，ether8->v1-trust。都不用设置ip。

6. 为了能够在内网登陆防火墙，到”network"->"zones"->"v1-trust"，勾上"web ui”，"telnet","ping"这几个（根据本身须要勾上就能够了）。netscreen比较奇特的一个东西是vlan1(对于我来讲是奇特的东东，用惯了固然不会以为）；我以前觉得是extreme中的vlan同样，是802.1q协议构建的虚网，可是却没看见802.1q的tag设置，也没看见有真实的端口在。后来才知道原来那个只是虚拟的东东（理解上还不是很清晰），咱们在vlan1上设置IP后，再勾上“web ui"之类的权限，因而就能够在用这个IP登陆防火墙了（不用对应到某个物理端口）。

7. 最后还要让容许端口间通信，防火墙的规则是——没有明确容许的就是禁止的——因此咱们要设置规则让v1-trust和v1-untrust的数据能够放行。“Polices”->"from v1-trust to v1-untrust"，选择permit(默认就是any)，"from v1-untrust to v1-trust"，选择permit。
   收工，链接好ether7和ether8的网线测试下效果吧。

8. 固然防火墙这样直通的规则是没什么做用的，因此我在“screening"->"screen"中，对于v1-untrust勾选上了一些防止***的选项，如今拦截到一些数据了，也算是起到一点做用了），若是真正要发挥做用的话，关键仍是要有选择的制定放行规则，不然防火墙就只是一个hub，没有任何做用。