本篇要介紹的是Juniper SRX 防火牆備份及還原Junos的方法。

[備份Junos]
(1)、準備一個比防火牆內建空間大的隨身碟(建議16GB)
(2)、將隨身碟格式化成FAT32格式
(3)、將隨身碟插入要備份系統(韌體)的SRX防火牆設備上
(4)、透過下方指令進行系統(韌體)備份
指令語法：

root> request system snapshot media usb

檢查備份是否有成功
指令語法：

root> show system snapshot media usb

[還原Junos]
(1)、將備份好的USB隨身碟插入要還原系統(韌體)的防火牆
(2)、檢查系統是否可以順利讀取到USB隨身碟
指令語法：

root> show system snapshot media usb

(3)、指令系統改由USB隨身碟進行系統開機
指令語法：

root> request system reboot media usb
Reboot the system ? [yes,no] (no) yes

(4)、確認系統已是透過USB隨身碟進行開機
指令語法：

root> show system storage partitions

(5)、再將目前運作的系統備份至防火牆內建的儲存空間
指令語法：

root> show system storage partitions

(6)、查看系統(韌體)備份是否有成功
指令語法：

root> show system snapshot media internal

(7)、設定防火牆改由內建的儲存空間開機
指令語法：

root> request system reboot media internal
Reboot the system ? [yes,no] (no) yes

※當風扇運作很大聲的時候代表設備已重新開機，將插在設備上的隨身碟拔掉。

(8)、確認系統已是透過防火牆設備的內建空間進行開機
※當防火牆系統可以順利開機，且版本跟USB隨身碟一致，代表系統(韌體)已還原成功。

本篇要介紹的是Juniper SRX 防火牆基礎設定。

[環境說明]
Juniper SRX設備型號：Juniper SRX320
韌體版本：18.4R3-S4.2
WAN端IP設定方式：採用固定IP

[硬體介面說明]

5號介面為網路介面：ge-0/0/0~ge-0/0/5
ge-0/0/1~ge-0/0/5預設為vlan-trust介面，預設IP為192.168.1.1/24並具有DHCP服務會動發送192.168.1.X的網段IP。

[步驟01]、設定root密碼
預設初始值root密碼為空值，因此要先設定root的密碼，否則無法套用設定值。
該步驟建議透過console進行設定會比較快速。
指令語法：

set system root-authentication plain-text-password
commit

[步驟02]、登入防火牆
(1)、電腦網路卡設定為自動取得IP，並接到Juniper SRX320的ge-0/0/1。
(2)、電腦端透過瀏覽器登入https://192.168.1.1

[步驟03]、選擇網路環境模式

[步驟04]、開始透過精靈模式設定防火牆

[步驟05]、設定「hostname」及「password」

[步驟06]、設定「管理Port」IP資訊、「預設閘道」及管理Port可以提供的存取服務

[步驟07]、設定「wan介面Port」、「IP」、「DNS」等資訊

[步驟08]、依據環境需求設定「系統時間及時區」

[步驟09]、如系統有需要多個帳號管理，可以在此步驟新增帳號

[步驟10]、確定設定無誤後，點選「OK」套用設定

[步驟11]、套用設定成功的畫面

[步驟12]、測試PC端是否可以上網

本篇要介紹的是如何reset JunOS(Junos OS)的root密碼，透過該方式重新設定密碼，原本的設定檔案並不會消失，請放心服用。

[步驟一]：進入「loader」模式
透過console模式在開機過程：
看到「Hit [Enter] to boot immediately, or space bar for command prompt」就趕快按下空白按鍵，接著就可以看到「loader>」的等待畫面

[步驟二]：進入「單人模式」
指令語法：

boot -s

[步驟三]：進入「還原模式」
指令語法：

recovery

[步驟四]：進入「設定模式」
指令語法：

configure

[步驟五]：重新設定密碼
指令語法：

set system root-authentication plain-text-password

※過程會要求輸入新的root密碼

[步驟六]：確認設定
指令語法：

commit

[步驟七]：離開設定模式並重新開機
指令語法：

exit

※連續輸入兩次exit後，即可離開設定模式，並且重新開機。

[步驟八]：使用新的root密碼登入設備

一、情境
Pfsense：2.2.4-RELEASE

二、IP情資來源
官網
https://github.com/herrbischoff

國家IP專案頁面：
https://github.com/herrbischoff/country-ip-blocks/tree/master/ipv4

舉例幾個範例國別的連結：
[Japan]
https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/jp.cidr

[Taiwan]
https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/tw.cidr

三、Pfsense設定國別IP清單
01、點選「Firewall」→「Aliases」

02、點選「URLs」頁面

03、輸入設定值
Name：
輸入可識別的名稱

Description：
輸入註解名稱

Type：
選擇URL Table (IPs)

在「URL Table (IPs)」欄位輸入參考網址所取得的url：
https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/tw.cidr

Update Freq. (days)：
選擇資料來源的更新頻率(以天為單位)

04、資料確認無誤的話，點選「Apply Changes」套用設定

05、接著到「Firewall」→「Rules」或「NAT」

06、在Source欄位，將「Type」選擇「Single host or alias」，在「Address」欄位輸入先前Aliases步驟所新增的物件名稱

07、防火牆規則設定完畢的狀態

EOO(End of Order Date)：
中止接受訂單日期，不過這是原廠的日期，通常SI或代理商會把日期往前推，避免遇到無法出貨的狀況。

LSED(Last Service Extension Date)：
最後服務展延日期，指的是如果有購買維護合約這是日期是最後可以下單的日期，且購買的延伸保固服務日期不得超過EOS日期。

EOS(End of Support Date)：
產品服務中止日期，也就是宣告這個產品的中止了，如果遇到設備故障或有Bug，那就只能重新採購新產品而無法得到相關服務了。

FortiGate防火牆設備產品生命週期(2022-10-15更新)
※如資訊有誤以原廠資訊為主

原廠產品生命週期查詢網頁(需要登入帳號才可查詢)
https://support.fortinet.com/Information/ProductLifeCycle.aspx

小編今天要來介紹如何啟動VMware Esxi Host Server的內建防火牆，以確保管理服務只有被授權的IP存取。

環境：VMware Esxi 7.0.2

Set01、確認防火牆狀態
指令：

esxcli network firewall get

Set02、啟動防火牆

指令：

esxcli network firewall set --enabled true

Set03、設定服務可連線的IP
(a).點選ESXi主機左方選單的「網路」。

(b).點選右邊畫面的「防火牆規則」頁面，接著搜尋要設定防火牆的服務(本範例是設定443Port的Web管理畫面連線)，透過選取確認要設定的服務，接著點選「編輯設定」。

(c).點選「僅允許從下列的網路連線」，輸入要放行的IP，完成IP輸入後點選「確定」套用設定。

(d).最後檢查該服務的防火牆規則是否有「啟用」， 滑鼠指著要確認的服務，接著按下滑鼠右鍵，如果有看見「啟用」選項，就點選「啟用」。
如果看見「停用」，代表防火牆規則已啟用無須變更設定。

補充說明：
如果防火牆規則有誤設定，導致無法連入VMware ESXi主機，此時需要到實體Server機的Console面前設定ESXi Server啟動「Troubleshooting Options」。

選擇「Enable ESXi Shell」

接著在鍵盤輸入「Ctrl」+「Alt」+「F1」，切換到本機的Console命令提示畫面，通過管理者帳號密碼驗證後，接著透過指令將防火牆關閉，即可重新連線ESXi Server並重新設定防火牆規則。
關閉防火牆指令：

esxcli network firewall set --enabled false

01、登入系統後點選「System」→「Update」

02、點選「Confirm」進行系統更新
※由下圖畫面可得知，目前系統的版本為「2.4.5_1」，可更新的版本為「2.5.1」

03、下圖為系統更新過程畫面，畫面上有提示更新過程會耗費數分鐘，並請勿關閉視畫面窗或重新整理該視窗畫面

04、該畫面表示系統正在做背景更新，請稍後。

如果此時到Pfsense系統的Console畫面可以看到正在努力的跑更新中。

04、當畫面自動變更為系統登入畫面時，代表系統已順利更新完畢。

05、登入系統後確認版本
※下圖為順利完成更新至2.5.1的畫面

假設情境網路架構圖

01、第一次開機時畫面，此時詢問是否設定VLAN，輸入「n」後按下Enter
※注意畫面中的資訊，系統有偵測到兩張網路卡分別為「hn0」及「hn1」，該資訊下一步驟設定會使用到

02、接著設定WAN端(外部網路)的網路卡介面代號，輸入系統畫面上偵測到的網路卡代號，哪一張做為WAN端網路卡都沒關係，但網路線別接錯就好，這一個介面通常是連接到外端設備，例如：ATUR(小烏龜設備)。
本範例採用hn0當作WAN網路介面，因此輸入「hn0」後按下Enter繼續設定步驟。
※不同的網路卡晶片會有不同的網路卡代號，請自行變更為相對應的設定值，勿直接跟著本範例輸入hn0

03、接著設定LAN端(內部網路)的網路卡介面代號，輸入系統畫面上偵測到的網路卡代號，這一個介面通常是連接到內部的設備，例如：Switch或Wifi AP設備上。
本範例採用hn1當作WAN網路介面，因此輸入「hn1」後按下Enter繼續設定步驟。
※不同的網路卡晶片會有不同的網路卡代號，請自行變更為相對應的設定值，勿直接跟著本範例輸入hn1

04、再次確認網路卡相關配置，沒問題後輸入「y」後按下Enter繼續

05、該畫面為登入系統後的Console主選單畫面。

各項功能如下：
0)、登入(透過SSH登入時使用)
1)、定義網路介面卡
2)、設定網路介面的IP
3)、重置網頁設定的密碼
4)、還原為原廠/出廠設定值
5)、重開機
6)、關機
7)、ping測試其他電腦
8)、進入Shell命令提示字元模式
9)、執行Pf客製TOP
10)、過濾log
11)、重新啟動網頁設定
12)、執行PHP命令及pfSense工具
13)、在命令提示字元下更新系統
14)、啟動SSH服務
15)、恢復近期的設定值
16)、重新啟動PHP-FPM

06、輸入「2」後按下Enter，進行網路介面IP設定

07、輸入「2」後按下Enter，設定LAN的網路介面IP

08、輸入LAN網路介面所配置的IP，本範例輸入「192.168.168.254」後按下Enter繼續設定
※192.168.168.254為本範例情境LAN網路介面所配置的IP，請自行變更為實際狀況所需的LAN(內部網路)介面IP，勿直接跟著本範例輸入

09、以CIDR格式輸入LAN網路介面所配置的子遮罩，本範例輸入「24」後按下Enter繼續設定
※24為本範例情境的子遮罩，請自行變更為實際狀況所需的LAN(內部網路)介面IP，勿直接跟著本範例輸入
CIDR數字所代表的子遮罩
24 = 255.255.255.0 (通常居家環境都是選這個)
25 = 255.255.255.128
26 = 255.255.255.192
27 = 255.255.255.224
28 = 255.255.255.240
29 = 255.255.255.248
30 = 255.255.255.252
31 = 255.255.255.254
32 = 255.255.255.255

10、輸入LAN(內部網路)的gateway閘道IP，直接按下Enter略過設定，之後有需要在web介面再進行設定

11、輸入LAN(內部網路)的IPv6 IP，直接按下Enter略過設定，之後有需要在web介面再進行設定

12、詢問是否設定內部網路的DHCP自動配發IP服務，輸入「y」後按下Enter繼續設定
※內部網路是否需要啟動DHCP服務，請自行依據實際狀況進行設定，勿直接跟著本範例，通常內部網路只會啟動一個DHCP服務，如果您的內部網路已有DHCP服務，就不該再啟動另一台DHCP服務避免IP配發衝突的狀況。

13、輸入DHCP服務發放IP區間的起始值，本範例輸入「192.168.168.1」，該範圍可以依據實際狀況上去設定範圍

14、輸入DHCP服務發放IP區間的結束值，本範例輸入「192.168.168.10」，該範圍可以依據實際狀況上去設定範圍

15、輸入「y」套用LAN網路介面的新IP

16、提示LAN網路介面新IP已生效，可以透過瀏覽器連線該IP進行系統登入，按下「enter」後可以返回Console功能選單畫面。

17、到該步驟已完成LAN內部網路介面IP的設定，並提供內部網路DHCP服務自動派送 192.168.168.1~10區間的IP

18、到網路架構圖的PC端，驗證是否有自動取得IP

19、測試PC端透過ping測試是否可以連線到Pfsense的Lan段IP
ping 192.168.168.254
※192.168.168.254為本範例Pfsense的Lan端IP，請自行變更為實際狀況的IP進行測試。

20、透過瀏覽器登入pfsense系統，推薦使用Google Chrome或Firefox瀏覽器

21、輸入預設的帳號密碼登入pfsense系統
預設帳號：admin
預設密碼：pfsense

22、變更管理者密碼
(1)、登入後系統上方的功能選單下，會有變更管理者密碼的提示，點選「Change the password in the User Manager」變更密碼。

(2)、輸入admin帳號新的密碼

(3)、點選最下方的「SAVE」進行密碼變更儲存

23、變更WAN介面卡IP
(1)、點選「Interfaces」→「WAN」

(2)、設定WAN網路介面為固定IP方式
a.確認「EnableInterface」有勾選
b.將「IPv4 Configuration Type」選項變更為「Static IPv4」
c.將「IPv6 Configuration Type」選項變更為「None」

(3)、在下方「Static IPv4 Configuration」區域設定WAN網路介面的固定IP資訊
a.在「IPv4 Address」欄位輸入「192.192.205.205」，後方「/」下拉選項選擇「24」
b.點選「IPv4 Upstream gateway」後方的「Add a new gateway」新增WAN端得預設閘道IP

(4)、在「Gateway IPv4」欄位輸入本範例的WAN預設閘道IP「192.192.205.254」，並點選「Add」完成新增步驟

(5)、確認「IPv4 Upstream gateway」欄位有順利完成設定

(6)、在該設定頁面最下方點選「Save」

(7)、在該設定頁面最上方點選選「Apply Changes」完成設定

24、設定DNS
(1)、點選「System」→「General Setup」

(2)、在「DNS Server Settings」新增一組DNS資訊。
在DNS Servers後方依序輸入「168.95.1.1」、「Hinet」、選擇「WAN端的預設閘道」，並點選「Add DNS Server」新增次要DNS設定
※該設定並非固定值，請自行依據實際的狀況輸入主要DNS資訊

(3)、在新增的欄位後方依序輸入「8.8.8.8」、「google」、選擇「WAN端的預設閘道」
※該設定並非固定值，請自行依據實際的狀況輸入次要DNS資訊

(4)、在該頁面的最下方點選「Save」，進行DNS設定存檔

(5)、看見「The changes have been applied successfully.」代表DNS設定已順利完成變更

官網：
https://www.pfsense.org/

軟體下載快速連結：
https://www.pfsense.org/download/

適合安裝的平台(無論是實體機或是虛擬機，均需要準備兩張網路卡)：
個人電腦(PC)、伺服器硬體(HP、Dell、Lenovo等Server)、VMware ESXi、Microsoft Hyper-V、Linux KVM

小編為何會特別說該系統的「硬體移轉特性」十分的良好，是因為如果時體機硬體發生故障時，將系統移轉到其他硬體後，只要可以順利開機、網路卡可以被pfsense識別的到，接著重新定義LAN(內部網路介面)及WAN(外部網路介面)的網路卡就可以恢復服務瞜。

小編最近忙翻了，詞窮……廢話不多說，趕快開始。

01、連線到官網，點選「Download」切換到軟體下載頁面

02、小編安裝時最新的版本是2.4.5，安裝平台選擇「AMD64」即是64位元的系統，安裝媒體選擇ISO檔案格式，下載來源就採用預設不特別挑選了。
※該ISO檔下載後即可安裝在X86的硬體平台上

03、選擇光碟開機後的安裝歡迎畫面

04、按下「Accept」繼續安裝步驟

05、用鍵盤上下按鍵挑選「Install」選項，並用鍵盤Tab鍵切換到「OK」後，按下鍵盤「Enter」繼續

06、鍵盤設定不變更，採用預設值「default keymap」，並用鍵盤Tab鍵切換到「Select」後，按下鍵盤「Enter」繼續

07、磁碟格式選擇，採用預設的「Auto (UFS)」選項，並用鍵盤Tab鍵切換到「OK」後，按下鍵盤「Enter」繼續

08、開始安裝的過程畫面

09、等待系統安裝的過程畫面

10、詢問是否有要手動設定系統，用鍵盤Tab鍵切換到「No」後，按下鍵盤「Enter」繼續

11、用鍵盤Tab鍵切換到「Reboot」，按下鍵盤「Enter」後會進行重新開機，並完成Pfsense安裝步驟。

※下一單元
跟小編一起學-Pfsense防火牆-網路介面設定
https://ailog.tw/lifelog/2021/05/23/interface-config/

[1]、安裝防火牆軟體(一般來說預設都是有安裝的)
sudo apt-get install ufw

[2]、不限制IP來源的狀況下開放服務Port
sudo ufw allow ssh
sudo ufw allow http
sudo ufw allow https
sudo ufw allow 5432

[3]、限制來源IP並允許任何Port
sudo ufw allow from 192.168.0.1/32
sudo ufw allow from 192.168.1.200/32
sudo ufw allow from 192.168.3.11/32

[4]、限制來源IP並允許特定Port
sudo ufw allow from 192.168.33.55 to any port 22
sudo ufw allow from 192.168.7.5 to any port 80

[5]、啟動防火牆
sudo ufw enable

[6]、關閉防火牆
sudo ufw disable

[7]、查看防火牆設定狀態
sudo ufw status

帶出防火牆設定狀態並帶出編號的指令
sudo ufw status numbered

[8]、刪除防火牆第3條規則
sudo ufw delete 3

[9]、刪除所有防火牆設定
sudo ufw reset

[10]、防火牆預設規則是封鎖還是放行設定(其實就是正向表列跟負向表列的用途)
10.1、設定為預設放行
sudo ufw default allow
備註說明：使用在負向表列的情境，規則中都是設定「拒絕連線」的條列，不在規則定義的，通通都是「允許」。

10.2、設定為預設封鎖
sudo ufw default deny
備註說明：使用在正向表列的情境，規則中都是設定「允許」連線的條列，不在規則定義的，通通都是「拒絕連線」。

[11]、訪火牆設定規則補充
上述的所有防火牆規則設定只要有「allow」跟「deny」的地方都可以互換，就看情境的需求是什麼，這個就讓大家自己動動腦搂!