Juniper SRX防火墙Web配置说明.docx

Juniper SRX防火墙Web配置说明.docx

《Juniper SRX防火墙Web配置说明.docx》由会员分享，可在线阅读，更多相关《Juniper SRX防火墙Web配置说明.docx（41页珍藏版）》请在冰豆网上搜索。

JuniperSRX防火墙Web配置说明

JuniperSRX防火墙配置说明

1系统配置

1.1配置root帐号密码

首次登陆设备时，需要采用console方式，登陆用户名为：

root，密码为空，登陆到cli下以后，执行如下命令，设置root帐号的密码。

root#setsystemroot-authenticationplain-text-password

root#newpassword:

root123

root#retypenewpassword:

root123

密码将以密文方式显示。

注意：

必须要首先配置root帐号密码，否则后续所有配置的修改都无法提交。

SRX系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在trust区域，配置一个ip地址192.168.1.1，允许ping、telnet、web等管理方式，可以通过该地址登陆设备。

登陆后显示页面如下：

在该页面上，可以看到设备的基本情况，在左边的chassisview中可以看到端口up/down情况，在systemidentification中可以看到设备序列号、设备名称、软件版本等信息，在resourceutilization中可以看到cpu、menory、session、存储空间等信息，在securityresources中可以看到当前的会话统计、策略数量统计等信息。

1.2配置用户名和密码

平时配置设备时，建议不要使用root帐号，可以建立1个拥有配置权限的用户名，首先点击页面上方的“configure”，进入“systemproperties-usermanagement”，点击“edit”后，出现用户帐号编辑对话框，点击“add”，添加一个新帐号。

配置方式如下：

必须要填的选项包括：

username、password、confirmpassword、loginclass，完成后点击“ok”。

注意：

密码必须至少是数字和字母的组合，不可以只配置数字或字母。

配置完成后如下图所示：

1.3系统时间配置

在“configure”菜单下，进入“systemproperties-datetime”，点击“edit”，

⏹Timezone。

在下拉框中选择时区，一般可以选择“asia/shanghai”

⏹Settime。

可以选择与pc时间同步或与ntp服务器同步或手工配置时间

完成配置后点击“ok”提交配置。

1.4设备名称配置

在“configure”下，进入“systemproperties-SystemIdentity”，点击“edit”，

⏹Hostname。

设备的主机名称

⏹Rootpassword。

Root帐号的密码

⏹Dnsservers。

Dns服务器，点击“add”进行添加，可添加多个

完成配置后点击“ok”提交配置。

1.5系统服务配置

系统服务设置包括：

设备loopback接口配置、设备管理方式配置等在“configure”下，进入“systemproperties-SystemIdentity”，点击“edit”，

⏹Loopbackaddress。

配置环回接口的ip地址

⏹Subnetmask。

子网掩码。

设备会自动根据输入的ip地址更改掩码的位数，也可根据实际情况修改

配置完成后，可切换到“services”下继续其它配置。

“services”页面下可以设置设备全局管理选项的。

⏹Services。

配置设备开启“telnet”和“ssh”服务

⏹Junoscript。

配置设备开启脚本服务，一般情况不用选择

⏹Enablehttp。

配置设备开启web服务。

钩选该项后，就在全局上允许通过web来管理设备。

还可以指定具体开启web服务的接口，或选择“enableonallinterfaces”来在所有接口上开启web服务

⏹Enablehttps。

配置设备开启https服务，除了钩选“enablehttps”外，还要在“httpscertificate”下拉框中选择一个证书，默认情况下就可以选择“system-generated-certificate”这个系统自带的证书。

钩选该项后，就在全局上允许通过https来管理设备。

还可以指定具体开启https服务的接口，或选择“enableonallinterfaces”来在所有接口上开启web服务

2接口配置

在SRX防火墙上，不能直接将地址配置在物理接口上，所有接口地址都必须配置在子接口上。

在web页面上，当配置完接口ip地址后，设备会自动创建unit0接口。

2.1IPV4地址配置

在“configure”目录下，点击“interface”，在右边的接口列表中，选择需要的接口，配置页面如下：

在页面中选择“add”，添加接口ip地址，页面如下：

如需要在接口下进行arp和mac绑定，在arpaddress中选择“add”，出现如下界面：

填入相关信息，钩选“publish”后点击“ok”。

完成配置后如下图：

在该页面下，可以对该逻辑接口配置描述信息，配置完成后点击“ok”。

在物理接口配置页面下，在“logicalinterface”下可以配置物理接口描述、修改接口mtu值，在“GigabitEthernetOptions”中可以配置物理接口协商、加入端口聚合组、加入冗余接口组等信息，页面如下：

配置完成后点击“ok”，确认配置。

2.2接口Trunk模式配置

SRX防火墙接口支持trunk模式，编辑对应接口，在“EthernetSwitchingParameters”下钩选“EnableEthernetSwitching”，选择“PortMode”为“trunk”，还可以配置该接口上的“NativeVLANId”。

配置界面如下：

配置完成后点击“ok”，提交配置。

2.3接口Access模式配置

SRX防火墙同样支持接口的access模式。

编辑对应接口，在“EthernetSwitchingParameters”下钩选“EnableEthernetSwitching”，选择“PortMode”为“access”。

配置界面如下：

配置完成后，点击“ok”提交配置。

3VLAN配置

SRX防火墙上的vlan配置与EX系列交换机相同，包括创建vlan、将接口加入vlan、建议3层vlan接口。

3.1创建vlan配置

在“configure”菜单下，选择“switching-vlan”，点击“add”添加一个vlan，如下图：

这里需要填入的包括vlan名称、vlanid，还可以加入vlan描述信息，完成后切换到“ports”选项卡，如下图：

点击“add”，在端口列表中选择需要加入该vlan的端口。

之后切换到“ipaddress”选项卡，如下图：

钩选“ipv4address”选项，填入该vlan的3层接口地址和子网掩码。

在vlan的3层接口下同样可以实现arp和mac的静态绑定，点击“arp/macdetail”可以完成配置，配置方式与接口下的绑定相同。

全部完成后点击“ok”。

出现如下图的页面：

该表会显示该vlan的一些基本信息。

点击“commit”提交配置。

4区域配置

SRX防火墙中区域分为2类：

功能区域和安全区域。

功能区域就是管理接口所处的区域，该区域不能编辑，也不能删除，一般情况下，只需要将管理接口划分到该区域即可。

4.1安全区域配置

安全区域是业务接口所属的区域，系统默认的安全区域包括：

“trust”、“untrust”、“dmz”。

安全区域可以自行添加或删除。

在“configure”下选择“security-zones”，在“securityzone”下点击“add”，增加1个新的安全区域。

⏹Zonename。

区域的名称。

根据需要填写

⏹Systemservices。

该区域允许的系统服务。

选择“allowselectedservices”在下拉框中选择需要的系统服务，点击“add”进行添加

⏹Interface。

定义区域后，需要将需要的接口划分到该区域中。

在右边的列表中选择需要的接口，点击向左的箭头，加入到该区域中

配置完成后点击“ok”提交配置。

5路由配置

SRX防火墙支持静态路由，rip、ospf、bgp动态路由协议以及策略路由。

5.1静态路由配置

静态路由的配置与其它网络设备相同，需要配置的项包括：

目的地址、子网掩码、下一跳地址。

路由查找的原则同样是明细路由优先，直连路由优先级最高，静态路由次之。

当设备配置了接口地址后，在路由表中会生成一个/32的local路由，还会自动生成一个与子网掩码相同的直连路由。

配置页面如下图，在“configure”中选择“routing-staticrouting”，点击“add”，在弹出的窗口中选择添加ipv4路由，在“nexthop”中选择“add”，填入下一跳地址。

6自定义应用配置

6.1自定义服务配置

SRX防火墙中预定义了很多服务，在“configure-security-policyelements-applications-predefinedapplication”中，可以看到很多以“junos”开头的服务，这些都是防火墙中预定义的服务，预定义的服务不能修改，也不能删除。

当需要添加一个自定义的服务时，在“configure-security-policyelements-applications-cumstomapplications”中，选择“add”，需要配置的部分包括：

应用的名称、匹配的协议（tcp/udp等）、目的端口、源端口（一般选择1-65535），应用超时的时间。

注意：

应用超时时间单位是秒，建议根据应用的实际情况设置一个合理的数值，而千万不要选择“never”。

6.2应用组配置

同样，可以将多个应用（预定义的或是自定义的）归纳到一个应用组中。

选择“configure-security-policyelements-applications-applicationsets”，点击“add”，新建一个应用组，需要填写的内容包括：

应用组的名称，然后在左边的应用中选择需要的应用，点击向右箭头，将选中的应用加入到右边的应用组中。

如果选择右边的应用，点击向左的箭头，则在该应用组中删除选中的应用。

全部完成后选择“ok”，保存配置。

完成配置后如下图，可以看到其中也包含很多系统预定义的应用组。

7地址组配置

7.1地址簿配置

在“configure-security-policyelements-addressbook”中，可以定义地址簿和地址组。

在“address”中定义地址簿，点击“add”，需要填写的内容包括：

地址所属的区域、地址簿的名称、选择填写ip地址还是域名，并在对应的ip地址或域名下填入所需内容。

注意：

在完成上述配置后，点击“ok”，设备会对配置进行语法检查，当检查通过后，地址配置窗口不会自动关闭，因此可以继续修改相关内容，添加一个新的地址簿条目。

当完成所有地址簿添加后，点击“cancel”，退出地址簿配置页面。

注意：

为了防止误配，如果不准备将新添加的地址加入某个地址组，则不要在“addresssets”中点击任何地址组，否则设备会自动将该地址加入到该地址组中。

7.2地址组配置

在SRX中可以将多个同类型的地址簿归纳到一个地址组中，在“configure-security-policyelements-addresssets”中，点击“add”，需要填写的内容包括：

地址组所处的区域、地址组的名称，在左边的窗口中