JuniperSRX防火墙Web配置说明
Juniper SRX防火墙配置说明
1系统配置 (1)
1.1配置ROOT帐号密码 (1)
1.2配置用户名和密码 (2)
1.3系统时间配置 (4)
1.4设备名称配置 (5)
1.5系统服务配置 (6)
2接口配置 (8)
2.1IPV4地址配置 (9)
2.2接口T RUNK模式配置 (13)
2.3接口A CCESS模式配置 (14)
3VLAN配置 (15)
3.1创建VLAN配置 (15)
4区域配置 (19)
4.1安全区域配置 (19)
5路由配置 (21)
5.1静态路由配置 (21)
6自定义应用配置 (22)
6.1自定义服务配置 (22)
6.2应用组配置 (23)
7地址组配置 (24)
7.1地址簿配置 (24)
7.2地址组配置 (25)
8日程表配置 (27)
9NAT配置 (30)
9.1S TATIC NAT配置 (30)
9.2D ESTINATION NA T配置 (30)
9.3S OURCE NA T配置 (33)
9.4P ROXY ARP配置 (38)
10策略配置 (39)
1 系统配置
1.1 配置root帐号密码
首次登陆设备时,需要采用console方式,登陆用户名为:root,密码为空,登陆到cli下以后,执行如下命令,设置root帐号的密码。
root# set system root-authentication plain-text-password
root# new password : root123
root# retype new password: root123
密码将以密文方式显示。
注意:必须要首先配置root帐号密码,否则后续所有配置的修改都无法提交。
SRX系列低端设备在开机后,系统会加载一个默认配置,设备的第一个接口被划分在trust区域,配置一个ip地址192.168.1.1,允许ping、telnet、web等管理方式,可以通过该地址登陆设备。登陆后显示页面如下:
在该页面上,可以看到设备的基本情况,在左边的chassis view中可以看到端口up/down情况,在system identification中可以看到设备序列号、设备名称、软件版本等信息,在resource utilization 中可以看到cpu、menory、session、存储空间等信息,在security resources中可以看到当前的会话统计、策略数量统计等信息。
1.2 配置用户名和密码
平时配置设备时,建议不要使用root帐号,可以建立1个拥有配置权限的用户名,首先点击页面上方的“configure”,进入“system properties-user management”,点击“edit”后,出现用户帐号编辑对话框,点击“add”,添加一个新帐号。配置方式如下:
必须要填的选项包括:user name、password、confirm password、login class,完成后点击“ok”。
注意:密码必须至少是数字和字母的组合,不可以只配置数字或字母。
配置完成后如下图所示:
1.3 系统时间配置
在“configure”菜单下,进入“system properties-date time”,点击“edit”,
?Timezone。在下拉框中选择时区,一般可以选择“asia/shanghai”
?Set time。可以选择与pc时间同步或与ntp服务器同步或手工配置时间
完成配置后点击“ok”提交配置。
1.4 设备名称配置
在“configure”下,进入“system properties-System Identity”,点击“edit”,
?Hostname。设备的主机名称
?Root password。Root帐号的密码
?Dns servers。Dns服务器,点击“add”进行添加,可添加多个
完成配置后点击“ok”提交配置。
1.5 系统服务配置
系统服务设置包括:设备loopback接口配置、设备管理方式配置等在“configure”下,进入“system properties-System Identity”,点击“edit”,
?Loopback address。配置环回接口的ip地址
?Subnet mask。子网掩码。设备会自动根据输入的ip地址更改掩码的位数,也可根据实际
情况修改
配置完成后,可切换到“services”下继续其它配置。
“services”页面下可以设置设备全局管理选项的。
?Services。配置设备开启“telnet”和“ssh”服务
?Junoscript。配置设备开启脚本服务,一般情况不用选择
?Enable http。配置设备开启web服务。钩选该项后,就在全局上允许通过web来管理设
备。还可以指定具体开启web服务的接口,或选择“enable on all interfaces”来在所有接口上开启web服务
?Enable https。配置设备开启https服务,除了钩选“enable https”外,还要在“https
certificate”下拉框中选择一个证书,默认情况下就可以选择“system-generated-certificate”
这个系统自带的证书。钩选该项后,就在全局上允许通过https来管理设备。还可以指定具体开启https服务的接口,或选择“enable on all interfaces”来在所有接口上开启web 服务
2 接口配置
在SRX防火墙上,不能直接将地址配置在物理接口上,所有接口地址都必须配置在子接口上。在web页面上,当配置完接口ip地址后,设备会自动创建unit 0接口。
2.1 IPV4地址配置
在“configure”目录下,点击“interface”,在右边的接口列表中,选择需要的接口,配置页面如下:
在页面中选择“add”,添加接口ip地址,页面如下:
如需要在接口下进行arp和mac绑定,在arp address中选择“add”,出现如下界面:
填入相关信息,钩选“publish”后点击“ok”。完成配置后如下图:
在该页面下,可以对该逻辑接口配置描述信息,配置完成后点击“ok”。
在物理接口配置页面下,在“logical interface”下可以配置物理接口描述、修改接口mtu值,在“Gigabit Ethernet Options”中可以配置物理接口协商、加入端口聚合组、加入冗余接口组等信息,页面如下:
配置完成后点击“ok”,确认配置。
2.2 接口Trunk模式配置
SRX防火墙接口支持trunk模式,编辑对应接口,在“Ethernet Switching Parameters”下钩选“Enable Ethernet Switching”,选择“Port Mode”为“trunk”,还可以配置该接口上的“Native VLAN Id”。配置界面如下:
配置完成后点击“ok”,提交配置。
2.3 接口Access模式配置
SRX防火墙同样支持接口的access模式。编辑对应接口,在“Ethernet Switching Parameters”下钩选“Enable Ethernet Switching”,选择“Port Mode”为“access”。配置界面如下:
配置完成后,点击“ok”提交配置。
3 VLAN配置
SRX防火墙上的vlan配置与EX系列交换机相同,包括创建vlan、将接口加入vlan、建议3层vlan接口。
3.1 创建vlan配置
在“configure”菜单下,选择“switching-vlan”,点击“add”添加一个vlan,如下图:
这里需要填入的包括vlan名称、vlan id,还可以加入vlan描述信息,完成后切换到“ports”选项卡,如下图:
点击“add”,在端口列表中选择需要加入该vlan的端口。之后切换到“ip address”选项卡,如下图: