JuniperSRX防火墙Web配置手册

Juniper SRX 防火墙配置手册Juniper SRX 防火墙配置说明1 系统配置 11.1 配置 ROOT 帐号密码 .11.2 配置用户名和密码 22 接口配置 42.1 IPV4 地址配置 42.2 接口 TRUNK 模式配置 92.3 接口 ACCESS 模式配置 .103 VLAN 配置 .113.1 创建 VLAN 配置 .114 路由配置 154.1 静态路由配置 155 自定义应用配置 165.1 自定义服务配置 165.2 应用组配置 176 地址组配置 186.1 地址簿配置 186.2 地址组配置 197 日程表配置 218 NAT 配置 24Juniper SRX 防火墙配置说明8.1 STATIC NAT 配置 .24Juniper SRX 防火墙配置说明11 系统配置1.1 配置 root 帐号密码首次登陆设备时，需要采用 console 方式，登陆用户名为：root，密码为空，登陆到 cli 下以后，执行如下命令，设置 root 帐号的密码。root# set system root-authentication plain-text-passwordroot# new password : root123root# retype new password: root123密码将以密文方式显示。注意：必须要首先配置 root 帐号密码，否则后续所有配置的修改都无法提交。SRX 系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在 trust 区域，配置一个 ip 地址 ，允许 ping、telnet、web 等管理方式，可以通过该地址登陆设备。登陆后显示页面如下：Juniper SRX 防火墙配置说明2在该页面上，可以看到设备的基本情况，在左边的 chassis view 中可以看到端口 up/down 情况，在 system identification 中可以看到设备序列号、设备名称、软件版本等信息，在 resource utilization 中可以看到 cpu、menory、session 、存储空间等信息，在 security resources 中可以看到当前的会话统计、策略数量统计等信息。1.2 配置用户名和密码平时配置设备时，建议不要使用 root 帐号，可以建立 1 个拥有配置权限的用户名，首先点击页面上方的“ configure”，进入 “system properties-user management”，点击“edit”后，出现用户帐号编辑对话框，点击“add ”，添加一个新帐号。配置方式如下：Juniper SRX 防火墙配置说明3必须要填的选项包括：user name、password、confirm password、login class，完成后点击“ok”。注意：密码必须至少是数字和字母的组合，不可以只配置数字或字母。配置完成后如下图所示：Juniper SRX 防火墙配置说明41.3 系统时间配置在“configure”菜单下，进入“system properties-date time”，点击“edit”，Juniper SRX 防火墙配置说明5 Timezone。在下拉框中选择时区，一般可以选择“asia/shanghai” Set time。可以选择与 pc 时间同步或与 ntp 服务器同步或手工配置时间完成配置后点击“ok”提交配置。1.4 设备名称配置在“configure”下，进入“ system properties-System Identity”，点击“edit”，Juniper SRX 防火墙配置说明6 Hostname。设备的主机名称 Root password。Root 帐号的密码 Dns servers。Dns 服务器，点击“add”进行添加，可添加多个完成配置后点击“ok”提交配置。1.5 系统服务配置系统服务设置包括：设备 loopback 接口配置、设备管理方式配置等在“configure”下，进入“system properties-System Identity”，点击“edit ”，Juniper SRX 防火墙配置说明7 Loopback address。配置环回接口的 ip 地址 Subnet mask。子网掩码。设备会自动根据输入的 ip 地址更改掩码的位数，也可根据实际情况修改配置完成后，可切换到“services”下继续其它配置。Juniper SRX 防火墙配置说明8“services”页面下可以设置设备全局管理选项的。 Services。配置设备开启“ telnet”和“ssh ”服务 Junoscript。配置设备开启脚本服务，一般情况不用选择 Enable http。配置设备开启 web 服务。钩选该项后，就在全局上允许通过 web 来管理设备。还可以指定具体开启 web 服务的接口，或选择“enable on all interfaces”来在所有接口上开启 web 服务 Enable https。配置设备开启 https 服务，除了钩选“enable https”外，还要在“https certificate”下拉框中选择一个证书，默认情况下就可以选择“system-generated-certificate”这个系统自带的证书。钩选该项后，就在全局上允许通过 https 来管理设备。还可以指定具体开启 https 服务的接口，或选择 “enable on all interfaces”来在所有接口上开启 web 服务Juniper SRX 防火墙配置说明92 接口配置在 SRX 防火墙上，不能直接将地址配置在物理接口上，所有接口地址都必须配置在子接口上。在 web 页面上，当配置完接口 ip 地址后，设备会自动创建 unit 0 接口。2.1 IPV4 地址配置在“configure”目录下，点击“interface ”，在右边的接口列表中，选择需要的接口，配置页面如下：在页面中选择“add”，添加接口 ip 地址，页面如下：Juniper SRX 防火墙配置说明10如需要在接口下进行 arp 和 mac 绑定，在 arp address 中选择“add”，出现如下界面：Juniper SRX 防火墙配置说明11填入相关信息，钩选“publish ”后点击“ok”。完成配置后如下图：Juniper SRX 防火墙配置说明12在该页面下，可以对该逻辑接口配置描述信息，配置完成后点击“ok” 。在物理接口配置页面下，在“logical interface”下可以配置物理接口描述、修改接口 mtu 值，在“Gigabit Ethernet Options”中可以配置物理接口协商、加入端口聚合组、加入冗余接口组等信息，页面如下：Juniper SRX 防火墙配置说明13配置完成后点击“ok”，确认配置。2.2 接口 Trunk 模式配置SRX 防火墙接口支持 trunk 模式，编辑对应接口，在“Ethernet Switching Parameters”下钩选“Enable Ethernet Switching”，选择“Port Mode”为“ trunk”，还可以配置该接口上的“Native VLAN Id”。配置界面如下：Juniper SRX 防火墙配置说明14配置完成后点击“ok”，提交配置。2.3 接口 Access 模式配置SRX 防火墙同样支持接口的 access 模式。编辑对应接口，在“Ethernet Switching Parameters”下钩选“Enable Ethernet Switching”，选择“Port Mode”为“ access”。配置界面如下：Juniper SRX 防火墙配置说明15配置完成后，点击“ok”提交配置。3 VLAN 配置SRX 防火墙上的 vlan 配置与 EX 系列交换机相同，包括创建 vlan、将接口加入 vlan、建议 3层 vlan 接口。3.1 创建 vlan 配置在“configure”菜单下，选择“switching-vlan”，点击“add”添加一个 vlan，如下图：Juniper SRX 防火墙配置说明16这里需要填入的包括 vlan 名称、vlan id，还可以加入 vlan 描述信息，完成后切换到“ports ”选项卡，如下图：Juniper SRX 防火墙配置说明17点击“add” ，在端口列表中选择需要加入该 vlan 的端口。之后切换到 “ip address”选项卡，如下图：Juniper SRX 防火墙配置说明18钩选“ipv4 address”选项，填入该 vlan 的 3 层接口地址和子网掩码。在 vlan 的 3 层接口下同样可以实现 arp 和 mac 的静态绑定，点击“ arp/mac detail”可以完成配置，配置方式与接口下的绑定相同。全部完成后点击“ok ”。出现如下图的页面：Juniper SRX 防火墙配置说明19该表会显示该 vlan 的一些基本信息。点击“ commit”提交配置。4 区域配置SRX 防火墙中区域分为 2 类：功能区域和安全区域。功能区域就是管理接口所处的区域，该区域不能编辑，也不能删除，一般情况下，只需要将管理接口划分到该区域即可。4.1 安全区域配置安全区域是业务接口所属的区域，系统默认的安全区域包括：“trust” 、“untrust”、“dmz”。安全区域可以自行添加或删除。在“configure ”下选择“security-zones”，在“security zone”下点击“add”，增加 1 个新的安全区域。Juniper SRX 防火墙配置说明20 Zone name。区域的名称。根据需要填写 System services。该区域允许的系统服务。选择“allow selected services”在下拉框中选择需要的系统服务，点击“add”进行添加Juniper SRX 防火墙配置说明21 Interface。定义区域后，需要将需要的接口划分到该区域中。在右边的列表中选择需要的接口，点击向左的箭头，加入到该区域中配置完成后点击“ok”提交配置。5 路由配置SRX 防火墙支持静态路由，rip、ospf 、bgp 动态路由协议以及策略路由。5.1 静态路由配置静态路由的配置与其它网络设备相同，需要配置的项包括：目的地址、子网掩码、下一跳地址。路由查找的原则同样是明细路由优先，直连路由优先级最高，静态路由次之。当设备配置了Juniper SRX 防火墙配置说明22接口地址后，在路由表中会生成一个/32 的 local 路由，还会自动生成一个与子网掩码相同的直连路由。配置页面如下图，在“configure ”中选择“routing-static routing”，点击“add”，在弹出的窗口中选择添加 ipv4 路由，在“next hop”中选择“add”，填入下一跳地址。6 自定义应用配置6.1 自定义服务配置SRX 防火墙中预定义了很多服务，在“configure-security-policy elements-applications-pre defined application”中，可以看到很多以“ junos”开头的服务，这些都是防火墙中预定义的服务，预定义的服务不能修改，也不能删除。Juniper SRX 防火墙配置说明23当需要添加一个自定义的服务时，在“configure-security-policy elements-applications-cumstom applications”中，选择 “add”，需要配置的部分包括：应用的名称、匹配的协议（tcp/udp等）、目的端口、源端口（一般选择 1-65535），应用超时的时间。注意：应用超时时间单位是秒，建议根据应用的实际情况设置一个合理的数值，而千万不要选择“ never”。6.2 应用组配置同样，可以将多个应用（预定义的或是自定义的）归纳到一个应用组中。选择“configure-security-policy elements-applications- application sets”，点击“add”，新建一个应用组，需要填写的内容包括：应用组的名称，然后在左边的应用中选择需要的应用，点击向右箭头，将选中的应用加入到右边的应用组中。如果选择右边的应用，点击向左的箭头，则在该应用组中删除选中的应用。全部完成后选择“ok ”，保存配置。Juniper SRX 防火墙配置说明24完成配置后如下图，可以看到其中也包含很多系统预定义的应用组。7 地址组配置7.1 地址簿配置在“configure-security-policy elements-address book”中，可以定义地址簿和地址组。在“address”中定义地址簿，点击“add”，需要填写的内容包括：地址所属的区域、地址簿的名称、选择填写 ip 地址还是域名，并在对应的 ip 地址或域名下填入所需内容。Juniper SRX 防火墙配置说明25注意：在完成上述配置后，点击“ok”，设备会对配置进行语法检查，当检查通过后，地址配置窗口不会自动关闭，因此可以继续修改相关内容，添加一个新的地址簿条目。当完成所有地址簿添加后，点击“ cancel”，退出地址簿配置页面。注意：为了防止误配，如果不准备将新添加的地址加入某个地址组，则不要在“address sets”中点击任何地址组，否则设备会自动将该地址加入到该地址组中。7.2 地址组配置在 SRX