JuniperSRX防火墙Web配置手册.docx

JuniperSRX防火墙Web配置手册.docx

《JuniperSRX防火墙Web配置手册.docx》由会员分享，可在线阅读，更多相关《JuniperSRX防火墙Web配置手册.docx（86页珍藏版）》请在冰豆网上搜索。

JuniperSRX防火墙Web配置手册

JuniperSRX防火墙配置手册

1系统配置1

1.1配置ROOT帐号密码1

1.2配置用户名和密码2

2接口配置8

2.1IPV4地址配置9

2.2接口TRUNK模式配置13

2.3接口ACCESS模式配置14

3VLAN配置15

3.1仓【J建VLAN配置15

4路由配置19

4.1静态路由配置21

5自定义应用配置22

5.1自定义服务配置22

5.2应用组配置23

6地址组配置24

6.1地址簿配置24

6.2地址组配置25

7日程表配置27

8NAT配置30

8.1STATICNAT配置30

1系统配置

1.1配置root帐号密码

首次登陆设备时，需要采用console方式，登陆用户名为：

root,密码为空，登陆到cli下以后，执行如下命令，设置root帐号的密码。

root#setsystemroot-authenticationplain-text-password

root#newpassword:

root123

root#retypenewpassword:

root123

密码将以密文方式显示。

注意：

必须要首先配置root帐号密码，否则后续所有配置的修改都无法提交。

SRX系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在trust区

域，配置一个ip地址192.168.1.1，允许ping、telnet、web等管理方式，可以通过该地址登陆设备。

登陆后显示页面如下：

-Jcinipe^V/#ti-ievi.e^diager-陛拆；LitoO

文fNE测燮L；ttKW工SCO帚毗业

ehttpy/10.4.7J46/lGgin

Dashboard

C^rwfigxc

Montot

Trnjar+iMT

eJuniperWehDevice._x

bvstcm皿豐mtihc我ton

ftX

5erai

MQ£tNH,r!

e

0j'zJEtn!

JJNCS立pFve站fc=d吐IlT-OSJl10；

EystrrUpTrne：

CD：

oe：

3?

的JCHM应（K：

23：

01JTC

iystErr"ire;

u.dlO：

L£ZO?

!

37i3aJFZ

$工h:

cl

-血"

Lha%•呂敦pm

securutviRescxjims

ftstx

MivnunOirrf^.rrdAr^'^irriSC55IMJ13JO72・囚

IFWJVPII4®0

wtuwni^aoa

Ti

bIKI-ffilOO%

•甲©・虽■幣i

在该页面上，可以看到设备的基本情况，在左边的chassisview中可以看到端口up/down情况,在systemidentification中可以看到设备序列号、设备名称、软件版本等信息，在resourceutilization中可以看至Ucpu、menory、session、存储空间等信息，在securityresources中可以看至U当前的会话统计、策略数量统计等信息。

1.2配置用户名和密码

平时配置设备时，建议不要使用root帐号，可以建立1个拥有配置权限的用户名，首先点击页

面上方的bonfigure”，进入s“stemproperties-usermanagement”，点击edit”后，出现用户帐号编

辑对话框，点击“add”，添加一个新帐号。

配置方式如下：

文闫E翔輯⑥>W（V）TJ5©WttSH]

可區

-Junicf!

-V/*tdevice^tanacier-邑序芒址

O

fJuniperWebGevlce._*

I生r"诃/旷彷广

■r..旷孑

IlTiU-A

guFati

CfiKluif

AddUM-r

uwi-：

Fuln-sme:

Pdibv.^rL.

LuU-ll

□pe"atcr

■p®--on^

.nsthnrrzTd

-ICO%

必须要填的选项包括：

username>password、confirmpassword、loginclass，完成后点击’Ok”。

注意：

密码必须至少是数字和字母的组合，不可以只配置数字或字母。

配置完成后如下图所示：

•JuniL-e-V^*bJevi^elager-世押芒址G

刃列/呱気匚岂m灯収■画usm希此（也

ln：

T^/-J-4J.246/!

ccin

1.3系统时间配置

在“onfigure”菜单下，进入systemproperties-datetime”，点击edit”，

*Junrpe^DeviceManager-世挥之渤

如E）«ME}TM©Wto（H）Id叵曲

◎^丿-X峠|检*_令1臣tittps//!

加LA246/login

♦JuniperNierworks"Cu^.»羟」uniperWebDevice_X

站”X

W

r'-ir-'i-

i?

v^h!

：

•S=1■-：

_fe£

CL2rMl£：

sjuniper

tditOatsandihtieLemnos-

EMtenndTEtrnf

Tmemn兰

^W^-snahj

Tgacnc

duTenttfete；time:

201J-01-21:

1S:

QLU_C

ser叶!

:

a^dTirize>!

ifi化fltie

Itn*：

CK］：

.

1-#._

hjiwihertlQf.

imi

°ME

Timezone。

在下拉框中选择时区，一般可以选择“asia/shanghai”

Settime。

可以选择与pc时间同步或与ntp服务器同步或手工配置时间完成配置后点击“ok”提交配置。

1.4设备名称配置

在“onfigure”下，进入systemproperties-SystemIdentity”，点击edit”，

、Junipe-Uevi；eManager-世錚Kit

・.:

iriperNetiwcrkst匚lk__r.jr:

p^rIVebDewire-..

S3

juniper

Jra-a匕帖oerrai

•J.100%•

G

33le

d匚上

尸http^/W.4,7l24&/lQgin

文件迥«S（V）ra-A）TSI）«C（WWU］寻

Mestrs-^g

Idcnttv

DenvihQ

L：

.''d;=t-a：

u

昭悼*:

曲Mb

Hostname。

设备的主机名称

Rootpassword。

Root帐号的密码

Dnsservers。

Dns服务器，点击“add”进行添加，可添加多个

完成配置后点击“ok”提交配置。

1.5系统服务配置

系统服务设置包括：

设备loopback接口配置、设备管理方式配置等在“configure”下，进入

systemproperties-SystemIdentity”，点击edit”，

-Junpe-讥etDeviceManager-邑亦之直

文闫E砂（号SBQOttS（AJrs：

r）嵯灯LI

IJT

fJuniperMetworks™Cu^.._j*」uniperWebDevice__

*nt4jy/10.^1.7.246/lQgin

EdiEwilt

njiiK^jrmrnr

IDOptuiEhaddtKi

juniper

HsyzmentAqcci

La-iubdL1.ftddr-ti；

SJbn^t厂菲g：

1?

S0

H"T*rifl■决的

5^-E-~B：

3!

^C

JUNOScriptwerSSB

UK

LSritd

□JTMte

u-八100%-

塾riwuaib..

一!

3丁・iwY

H■-击狂

Loopbackaddress。

配置环回接口的ip地址

Subnetmask。

子网掩码。

设备会自动根据输入的ip地址更改掩码的位数，也可根据实际情况修改

配置完成后，可切换到“services”下继续其它配置。

*JuniperV/ebDeviceManager-世:

界.之帖:

lnt^j?

/U.4./.246/lcgin

juniper

sr+w"

bi-^>100%-

fJuniperNeTiworks™Cu^.._e」uniperWebDevice_x

Availablekitcrf

正!

3；"1诋"闵■马”xn=i

frrIrlmph

1innagemetitApccs

_L呼dL_tS-=,

广阿汕itfej

H~3PS步巾C51B

JUlJQScripfD^crS

JUNQQsrvttKcrSSH

Mrmces

-JUNOScnpt

1/E"ib«

ErablaJUHOSoWqzde副text

[7E啦*SSH

□Ens^lfJUNDSnr*wrSSL

jurio^fp-

<9lViGit9；

WgMCK副商甘Be

鬥E*abean剖n_er+ac65

HTTP

Irrtrd

qe-C.0,.14-Cge-Cr0/15uC

牛-工匚.D.O

hp2.0

MtnabkHTTPs

HTTP!

C*rtffflttE巧氐・rr叫UpltlkdWt/]ErabieansinTerraces

UK.

Caned

文闫巳禰司s®（y）«»（a）ra©wwiftnr^-~£igg

services”页面下可以设置设备全局管理选项的。

Services。

配置设备开启“telnet”和sS'h”服务

Junoscript。

配置设备开启脚本服务，一般情况不用选择

Enablehttp。

配置设备开启web服务。

钩选该项后，就在全局上允许通过web来管理设备。

还可以指定具体开启web服务的接口，或选择“enableonallinterfaces”来在所有接口上开启web服务

Enablehttps。

配置设备开启https服务，除了钩选Bnablehttps”夕卜还要在httpscertificate”下拉框中选择一个证书，默认情况下就可以选择“system-generated-certificate”这个系统自带的证书。

钩选该项后，就在全局上允许通过https来管理设备。

还可以指定具体开启https服务的接口，或选择“enableonallinterfaces”来在所有接口上开启web服务

2接口配置

在SRX防火墙上，不能直接将地址配置在物理接口上，所有接口地址都必须配置在子接口上

在web页面上，当配置完接口ip地址后，设备会自动创建unit0接口。

2.1IPV4地址配置

在“onfigure”目录下，点击interface”在右边的接口列表中，选择需要的接口，配置页面如下:

•Juri'L-e*-Device^anacjer-世拆土lit

G

-

1乩W

Ghttp^/1014.7J46/login▼

>1

擁Gq口gig尸

文冃Ejlhq}wm百药巫

（?

JuniperWebDevice*x

■>

PWUntSchedukr

H0f3c-

罢.

Ao：

0宅®加ICf

Montan

juniper1-

GigabitEthernetOptions

Phvsicdlimterracn；WOAO/O'*

Logicalinterfacellrtiiir

LinkM««r

Gcmfgred

n

[Add.

..DtLvU

■

l-DgkdlLkitOb花？

丽1EthprnHinsrfas"qePQiD

Loqkal[fiterfaiDes

Phfji'gcal[■nteffaceDHescrtytcn

M7XJ（bytotil

EYeaNd?

sigPrctDCDlID

[¥1

I~lVk1Ho?

nri

n?

|4da|OeLete

Autohv.otLU-RemoteFiit

5CUTCMACAddresiFltws

Ir*3?

MAC丄amng

RwdurdarrtP山谑nt

oJ"法100%-

在页面中选择“add”，添加接口ip地址，页面如下:

丈冃L嘶sq殳m门收ndIS©WMXbDr^__£lS£

&htpy/13.4.7uT46/lcgin

r

MMP1■

F…

•亂.

•JuniperDevi:

e'Onager-陛錚;tJft

如需要在接口下进行arp和mac绑定，在arpaddress中选择add”，出现如下界面:

-kmipt*-DeviceManager-世序;jjfi

文闫u啦同口sfl（v）ttsffiitm）m（H]

►I'Mgw

Lht^'U^J^/Iccin

'+1%4

土：

"x

.]ftjrifigjFC1^^...|

」uniper

fJuniperWehDevicm._a

ConFigiir*

PU：

l5r

y|[T|

A{JdanAKPAddHM5

OKCar.cel

t•-'■ICO%

。

腔d酉巳1*»

7巧皐專J星HE

填入相关信息，钩选“publish”后点击ok”。

完成配置后如下图:

-Junle*-V^*tDeviceeager-世錚；Lit

OO7

DesIlb&Hid

（EtfeemctSwMcIwng旳ranw4er^

E^beEthernet5w

文冃E«S（A）Til©r^__El[S

Ln：

^j?

/u.4.7.24£>/tc^in

止JuniperWebDevicm._：

•■

juniper

也maif

Cunligu

QjMguiE

I口taiaces

LogicalInterface:

ge-O/Oj/O.Da

interfacfjnlormation

鹹CtMKititOniLtw1；鉉r«u叫

IPv4Addrti^iandPr^rna.

AddrniRrefix,

LiticAR.PEntm

□

13乙丄电却E.kM

19211&E.2QD>1QDra^EtoMA3accessaa^bsccddhBBdlff^ubksh）

D-Lt-te

Pent

[Caciccl

|剛・Lj闿-塔

爭丨£1-SMOO%•

0?

i^0-）l_n：

J*

在该页面下，可以对该逻辑接口配置描述信息，配置完成后点击“ok

在物理接口配置页面下，在“logicalinteface”下可以配置物理接口描述、修改接口mtu值，在

GigabitEthernetOptions”中可以配置物理接口协商、加入端口聚合组、加入冗余接口组等信息，页

面如下：

•JuniperV/#tdeviceManager-陛悴之筈

亡http^/10.4,7l24&/lGigin

UHkA占

mamain

I

TidiuE曰hcxrt.

fJuniperWebDwlce._乳

liitefldLifiF

PlrTikdlInLerfjte.ye-0/0lj'0,

二Aiuidnenhuiim

Lx^icalIIIterfaceMfime

Link

Msec

rwilfgmrrd

OPhrriphKMi

Ingral硏

qe-o/o/a.o

先!

S

1&；V.3jrittlflrh05bttHBrrn--t

Intelfa

tMJ

◎Scclotk

Add....

Urlrlr

pwriasuAAi

PhydcalMaibaiMKi^tjon

M^LI^bytesj

PeiUitScnsdttar

-■R*sr«a

文闫r.丽国is©iftto百"riiffi

•ClaesofE=£r7CE

；&,rrriPFflr¥,rC5

■-S=r/ce£,

□

「：

T[£丨ho?

Lnoptbacc

AUtt>NHOHW'

TagPrtrtDCDlE

M气匚-eamcrta

）qJ'*'■1C

二ra•勺內疔

（aigabrrirbftflrtOpt»M

配置完成后点击“ok”，确认配置

2.2接口Trunk模式配置

SRX防火墙接口支持trunk模式，编辑对应接口，在“EthernetSwitchingParameters”下钩选EnableEthernetSwitching”选择PortMode”为rUnk”还可以配置该接口上的“NativeVLANId”。

配置界面如下：

戈:

冃[：

倉W：

L；«S（A）TJ!

©WttO

juniper

•Junipe-Uevi.e-世錚之Jfa

lbCMid

隔mah

Logical[ntBrlacei：

ge-O/Oji^.D-

mtertflcemiormaitiori

fJuniperVu'ehDevicm._i

CtHnligure

InteHacs

LQQJl[XKJttn

IPv4AddrCsw-and

Ad4..

Lthtmet、wlt£hiFi打faranucters

EatseEthernet5叭旳血±

dnrtP'd5

irorik仃

PK[C；aaDftl

」QJ--1门比

配置完成后点击“ok”，提交配置。

2.3接口Access模式配置

SRX防火墙同样支持接口的access模式。

编辑对应接口，在EthernetSwitchingParameters下钩选EnableEthernetSwitching”，选择PortMode”为access”。

配置界面如下：

•Junipe*Oevi.eManager-世界芒壷

尸n丄4.7.24&/lQgin

£JuniperVi/ebDevic己._r

DoJilxwid

文件E励W：

L：

^S（V）«S（AJ工貝D裙吐＜LT

juniper

附meir

Cunligure

Int^TLlaces

tntertflceirniormatiori

Logiol[rteiftcaIX組讥训

[Rw4Ad

Ad4.b

Lthcm«tMrttchtngrarameters

ErabeEthemet5叭Ein$上

PortMDdr

aazesz仃?

LogicalIntBrlacei：

ge-O/OJ1.Q'

配置完成后，点击“ok”提交配置。

3VLAN配置

SRX防火墙上的vlan配置与EX系列交换机相同，包括创建vlan、将接口加入vlan、建议3

层vian接口。

3.1创建vlan配置

在configure”菜单下，选择sWitching-vlan”，点击add”添加一个vian，如下图:

-Junipe*V/#bUevireManager-电錚之直

文冃r«s（a）us©ffwxtn百肓區

lhtpy/13.4.7.246/icgin

亡Ji.nlper*VehDe\rlce._x

'/lAHEnhgwmtKMH

VLAhUai：

AddVIAM

阿19"

需宅n«Fdd

5

t忖4

juniper

ra£e-ip诃

hpjlFta

ViaUlL汕匪！

4VLANJD：

2Q

_ILAh悔邓：

destrpTidh：

心丁_伽

inp虫Tte*：

Nqnty

VL^HNam#：

bbh20

O.tpuTfiter

flare

CLTDLlntsf

3r:

这里需要填入的包括vlan名称、vlanid，还可以加入vlan描述信息，完成后切换到“ports”选项卡，如下图：

•Jcnipe*-V/#tJevi^eManager-世痒；LieoO'x

文住®mi）«s（a）is©ifttor^~Ei[S

£JuniperWebDe%rlce._罠

王八X

DuhIXMd"•佃[.WrT

j—T^-*^―iluruppri*

**|-j4

Aid

户h:

qj^/iJ.4.7.24£>/lcgin

'/IMIcnhgwrnlrwwi

MJ

FGVPcmrp

:

Raultic

卜,Mra

Pe&LtuLc

DCTdg于VL-N-ufen^O

L-SyefIjHTb:

--■pirt5L

Sedvic&

GL-Tcwfe

L：

pjLrt-i

CLT3L：

IltSf

*巨

-1C€%-

点击add”，在端口列表中选择需要加入该vlan的端口。

之后切换到“ipaddress”选项卡，如下

图：

-Junpe*Device^ta