JuniperSRX中文配置手册及图解

前言、版本说明 3一、界面 菜单 管理 52、WEB 管理界面 .5（1）Web 管理界面需要浏览器支持 Flash 控件。 .5（2）输入用户名密码登陆： 5（3）仪表盘首页 63、菜单目录 8二、接口配置 131、接口静态 IP.132、PPPoE 143、DHCP 15三、路由配置 171、静态路由 172、动态路由 17四、区域设置 Zone.19五、策略配置 211、策略元素定义 212、防火墙策略配置 233、安全防护策略 26六、地址转换 271、源地址转换-建立地址池 272、源地址转换规则设置 28七、VPN 配置 .311、建立第一阶段加密建议 IKE Proposal (Phase 1) (或者用默认提议) .312、建立第一阶段 IKE 策略 323、建立第一阶段 IKE Gateway.334、建立第二阶段加密提议 IKE Proposal (Phase 2) (或者用默认提议) .345、建立第一阶段 IKE 策略 356、建立 VPN 策略 36八、Screen 防攻击 .39九、双机 40十、故障诊断 40前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release 9.6R1.13注：测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些，并且 CPU 占用率明显下降很多。9.5R2.7 版本（CPU 持续保持在 60%以上，甚至 90%）9.6R1.13 版本（对菜单操作或者保存配置时，仍会提升一部分 CPU）一、界面 菜单 管理1、管理方式JuniperSRX 系列防火墙出厂默认状态下，登陆用户名为 root 密码为空，所有接口都已开启 Web 管理，但无接口地址。终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：rootsrx240-1%输入 cli 命令进入 JUNOS 访问模式：rootsrx240-1% clirootsrx240-1输入 configure 进入 JUNOS 配置模式：rootsrx240-1% clirootsrx240-1 configure Entering configuration modeeditrootsrx240-1#防火墙至少要进行以下配置才可以正常使用：(1)设置 root 密码（否则无法保存配置）(2)开启 ssh/telnet/http 服务(3)添加用户（root 权限不能作为远程 telnet 帐户，可以使用 SHH 方式）(4)分配新的用户权限2、WEB 管理界面（1）Web 管理界面需要浏览器支持 Flash 控件。（2）输入用户名密码登陆：（3）仪表盘首页SRX 防火墙 WEB 页面首页主要是仪表信息（Dashboard） ，其中包含：系统标识 System Identification机箱查看 Chassis View（需要 Flash 控件，设备图片可放大缩小，可显示端口使用情况、但 Led 信息不会显示）资源占用 Resource Utilization安全资源 Security Resources仪表盘首页右上角（Open Preferences Dialog）打开首选项对话框：可以定制仪表盘首页的栏目选择：右下角 可以展开日志信息的菜单。仪表盘首页的项目可以任意收缩仪表盘首页的项目栏可以移动位置3、菜单目录横向菜单标签分别为：仪表盘 监控 配置 诊断 管理监控包含以下内容：描述：监控页面会直观的用图标方式 显示端口、温度、电源、风扇、路由引擎等信息。配置包含以下内容描述：配置界面包含了管理防火墙、防火墙配置。诊断包含以下内容：在诊断功能中，可以在 web 界面下进行抓包分析，MPLS 网络探测，至于 CLI Terminal功能，我觉得将来可以实现 Java 控件的方式连接其他防火墙，但是在这个版本中，CLI Terminal 功能只是打开了防火墙的管理界面。管理包含以下内容：管理包含：日志文件的导出和删除、版本升级、许可管理、重新启动、系统快照（用于快速恢复系统） 、管理防火墙上的文件。总结：总体来说，SRX JUNOS 的初始配置要比 ScreenOS 复杂很多，其中包括设置端口地址、添加管理账户等，都要求用户在出厂状态下预先操作。但 SRX JUNOS 操作系统的 Web 界面包含的管理功能更强大一些，比如诊断工具，对日志、版本的管理等。这一点 ScreenOS 不及 JUNOS。二、接口配置1、接口静态 IP描述：在 Web 下端口选项除了定义 IP 地址、掩码之外，还可以定义协商速率、arp、汇聚端口、Vlan 标记、MTU 等信息。相比 ScreenOS 下的端口管理增强了很多。CLI 下定义 ip 地址：rootsrx240-1# set interfaces ge-0/0/1 unit 0 family inet address /242、PPPoEConfiguration-Quick Configuration-Interface-pp0(edit)-Add-在 web 下，pppoe 设置隐藏得很深，需要在逻辑接口 pp0 上配置再绑定到相应的物理端口上。配置比较复杂。 （未完）3、DHCPConfiguration-Quick Configuration DHCPDHCP 配置选项分为：DHCP 服务端、客户端、中继。可做动态地址分配，也可做基于MAC 地址的绑定。三、路由配置1、静态路由添加静态路由2、动态路由四、区域设置 Zone设备默认包含 trust 、untrust、management（junos-global 为隐藏）四个区域流量控制可以绑定 Screen 选项编辑区域时，可以选择此区域进入流量的具体服务和协议。接口选项中可以选择此区域所包含的端口。五、策略配置1、策略元素定义根据不同区域建立地址表地址表名称不支持中文地址表组系统预定义的服务类型2、防火墙策略配置SRX240 防火墙默认带有上图中三条策略。与 Screen OS 不同的是，SRX 的默认全局策略可以调整，而 ScreenOS 默认只是 Deny-All。上图建立了一条 trust 到 untrust 方向，拒绝 mail 服务的策略。策略中可以加入 count、log、Scheduler 元素。与 ScreenOS 不同的是，ScreenOS 在建立策略时，可以填写 IP 地址，而 SRX 只能调用地址列表。建立后的策略如下：3、安全防护策略可增加 IDP 策略、UTM 策略，目前无 license，无法测试。六、地址