Juniper_SRX配置手册

前言、版本说明 (3)一、界面菜单管理 (5)2、WEB管理界面 (6)（1）Web管理界面需要浏览器支持Flash控件。

(6)（2）输入用户名密码登陆： (7)（3）仪表盘首页 (7)3、菜单目录 (10)二、接口配置 (16)1、接口静态IP (16)2、PPPoE (17)3、DHCP (18)三、路由配置 (20)1、静态路由 (20)2、动态路由 (21)四、区域设置Zone (23)五、策略配置 (25)1、策略元素定义 (25)2、防火墙策略配置 (29)3、安全防护策略 (31)六、地址转换 (32)1、源地址转换-建立地址池 (33)2、源地址转换规则设置 (35)七、VPN配置 (37)1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (38)2、建立第一阶段IKE策略 (39)3、建立第一阶段IKE Gateway (40)4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (41)5、建立第一阶段IKE策略 (42)6、建立VPN策略 (43)八、Screen防攻击 (46)九、双机 (48)十、故障诊断 (49)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9.6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本（CPU持续保持在60%以上，甚至90%）9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：rootsrx240-1%输入cli命令进入JUNOS访问模式：rootsrx240-1% clirootsrx240-1>输入configure进入JUNOS配置模式：rootsrx240-1% clirootsrx240-1> configureEntering configuration mode[edit]rootsrx240-1#防火墙至少要进行以下配置才可以正常使用：(1)设置root密码（否则无法保存配置）(2)开启ssh/telnet/http服务(3)添加用户（root权限不能作为远程telnet，可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面（1）Web管理界面需要浏览器支持Flash控件。

Juniper SRX系列防火墙配置管理手册目录一、JUNOS操作系统介绍 (3)1.1 层次化配置结构 (3)1.2 JunOS配置管理 (4)1.3 SRX主要配置内容 (4)二、SRX防火墙配置操作举例说明 (5)2.1 初始安装 (5)2.1.1 设备登陆 (5)2.1.2 设备恢复出厂介绍 (5)2.1.3 设置root用户口令 (5)2.1.4 设置远程登陆管理用户 (6)2.1.5 远程管理SRX相关配置 (6)2.2 配置操作实验拓扑 (7)2.3 策略相关配置说明 (7)2.3.1 策略地址对象定义 (8)2.3.2 策略服务对象定义 (8)2.3.3 策略时间调度对象定义 (8)2.3.4 添加策略配置举例 (9)2.3.5 策略删除 (10)2.3.6 调整策略顺序 (10)2.3.7 策略失效与激活 (10)2.4 地址转换 (10)2.4.1 Interface based NAT 基于接口的源地址转换 (11)2.4.2 Pool based Source NAT基于地址池的源地址转换 (12)2.4.3 Pool base destination NAT基于地址池的目标地址转换 (12)2.4.4 Pool base Static NAT基于地址池的静态地址转换 (13)2.5 路由协议配置 (14)静态路由配置 (14)OSPF配置 (15)交换机Firewall限制功能 (22)限制IP地 (22)限制MAC地址 (22)三、SRX防火墙常规操作与维护 (23)3.2设备关机 (23)3.3设备重启 (23)3.4操作系统升级 (24)3.5密码恢复 (25)3.6常用监控维护命令 (26)Juniper SRX Branch系列防火墙配置管理手册说明SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

前言、版本说明 (2)一、界面菜单管理 (4)2、WEB管理界面 (4)（1）Web管理界面需要浏览器支持Flash控件。

(4)（2）输入用户名密码登陆： (4)（3）仪表盘首页 (5)3、菜单目录 (7)二、接口配置 (12)1、接口静态IP (12)2、PPPoE (13)3、DHCP (14)三、路由配置 (16)1、静态路由 (16)2、动态路由 (16)四、区域设置Zone (18)五、策略配置 (20)1、策略元素定义 (20)2、防火墙策略配置 (22)3、安全防护策略 (25)六、地址转换 (26)1、源地址转换-建立地址池 (26)2、源地址转换规则设置 (27)七、VPN配置 (30)1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (30)2、建立第一阶段IKE策略 (31)3、建立第一阶段IKE Gateway (32)4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (33)5、建立第一阶段IKE策略 (34)6、建立VPN策略 (35)八、Screen防攻击 (37)九、双机 (38)十、故障诊断 (38)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9.6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本（CPU持续保持在60%以上，甚至90%）9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：root@srx240-1%输入cli命令进入JUNOS访问模式：root@srx240-1% cliroot@srx240-1>输入configure进入JUNOS配置模式：root@srx240-1% cliroot@srx240-1> configureEntering configuration mode[edit]root@srx240-1#防火墙至少要进行以下配置才可以正常使用：(1)设置root密码（否则无法保存配置）(2)开启ssh/telnet/http服务(3)添加用户（root权限不能作为远程telnet帐户，可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面（1）Web管理界面需要浏览器支持Flash控件。

Juniper SRX系列防火墙配置管理手册目录一、JUNOS操作系统介绍31。

1 层次化配置结构31.2 JunOS配置管理31。

3 SRX主要配置内容4二、SRX防火墙配置操作举例说明52.1 初始安装52。

1。

1 设备登陆52.1。

2 设备恢复出厂介绍52.1。

3 设置root用户口令52.1。

4 设置远程登陆管理用户62。

1。

5 远程管理SRX相关配置62。

2 配置操作实验拓扑72.3 策略相关配置说明72.3.1 策略地址对象定义82。

3.2 策略服务对象定义82.3.3 策略时间调度对象定义82.3。

4 添加策略配置举例92.3.5 策略删除102.3。

6 调整策略顺序102.3。

7 策略失效与激活102.4 地址转换112.4.1 Interface based NAT 基于接口的源地址转换112。

4。

2 Pool based Source NAT基于地址池的源地址转换122。

4。

3 Pool base destination NAT基于地址池的目标地址转换13 2。

4。

4 Pool base Static NAT基于地址池的静态地址转换142.5 路由协议配置14静态路由配置14OSPF配置15交换机Firewall限制功能22限制IP地22限制MAC地址23三、SRX防火墙常规操作与维护233。

2设备关机233.3设备重启243。

4操作系统升级243。

5密码恢复253.6常用监控维护命令26Juniper SRX Branch系列防火墙配置管理手册说明SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础.基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

美河学习在线 仅学习参考Juniper SRX防火墙简明配置手册第 1 页共18 页美河学习在线 仅学习参考第 2 页 共 18 页目录一、JUNOS 操作系统介绍 (3)1.1 层次化配置结构 (3)1.2 JunOS 配置管理 (4)1.3 SRX 主要配置内容 (5)二、SRX 防火墙配置对照说明 (5)2.1 初始安装 (5)2.1.1 登陆 (5)2.1.2 设置root 用户口令 (6)2.1.3 设置远程登陆管理用户 (6)2.1.4 远程管理SRX 相关配置 (6)2.2 Policy (7)2.3 NAT (7)2.3.1 Interface based NAT (8)2.3.2 Pool based Source NAT (9)2.3.3 Pool base destination NAT (9)2.3.4 Pool base Static NAT (10)2.4 IPSEC VPN (11)2.5 Application and ALG (13)2.6 JSRP (13)三、SRX 防火墙常规操作与维护 (15)3.1 设备关机 (15)3.2 设备重启 (16)3.3 操作系统升级 (16)3.4 密码恢复 (16)3.5 常用监控维护命令 (17)Juniper SRX行添加进系统里1.2 JunOS配置管理第 5 页 共SRX 通过set nat / delete1.3 SRX 部署SRX System ：Interface:Security: 是如NAT 、Application二、2.1 2.1.1 登陆Console 口(login: rootPassword:root% cli root>root> [edit]第 6 页 共 18 页Root#2.1.2 设置设置root 用户口令root# 方式)注：root 2.1.3 root# 注：此lab2.1.4 /***或/***的子接口），通常使用逻辑接口美河学习在线 仅学习参考第 8 页 共 18 页SRX 中不再使用MIP/VIP/DIP 这些概念，其中MIP 被Static 静态地址转换取代，两者在功能上完全一致；DIP 被Source NA T 取代；基于Policy 的目的地址转换及VIP 被 Destination NA T 取代。

Juniper SRX防火墙简明配置手册目录一、 JUNOS 操作系统介绍 (3)1.1层次化配置结构 (3)1.2 JunOS 配置管理 (4)1.3 SRX 主要配置内容 (4)二、 SRX 防火墙配置说明 (5)2.1初始安装 (5)2.1.1登陆 (5)2.1.2设置 root 用户口令 (9)2.1.3JSRP 初始化配置 (9)2.1.4设置远程登陆管理用户 (14)2.1.5远程管理 SRX相关配置 (15)2.1.6ZONE 及相关接口的配置 (15)2.2 Policy (16)2.3 NAT (17)2.3.1Interface based NAT (18)2.3.2Pool based Source NAT (18)2.3.3Pool base destination NAT (19)2.3.4Pool base Static NAT (20)2.4 IPSEC VPN (21)2.5 Application and ALG (22)三、 SRX 防火墙常规操作与维护 (22)3.1单机设备关机 (22)3.2单机设备重启 (23)3.3单机操作系统升级 (23)3.4双机模式下主备 SRX 关机 (23)3.5双机模式下主备设备重启 (24)3.6双机模式下操作系统升级 (24)3.7双机转发平面主备切换及切换后恢复 (25)3.8双机控制平面主备切换及切换后恢复 (25)3.9双机模式下更换备SRX (25)3.10双机模式下更换主SRX (26)3.11双机模式更换电源 (27)3.12双机模式更换故障板卡 (27)3.13配置备份及还原方法 (27)3.14密码修改方法 (28)3.15磁盘文件清理方法 (28)3.16密码恢复 (28)3.17常用监控维护命令 (29)四、 SRX 防火墙介绍 (31)Juniper SRX防火墙简明配置手册SRX系列防火墙是 Juniper 公司基于 JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

前言、版本说明 .............................................................................................. 错误!未定义书签。

一、界面菜单管理 ...................................................................................... 错误!未定义书签。

2、WEB管理界面 ..................................................................................... 错误!未定义书签。

（1）Web管理界面需要浏览器支持Flash控件。

...................... 错误!未定义书签。

（2）输入用户名密码登陆：......................................................... 错误!未定义书签。

（3）仪表盘首页............................................................................. 错误!未定义书签。

3、菜单目录............................................................................................. 错误!未定义书签。

二、接口配置 .................................................................................................. 错误!未定义书签。

1、接口静态IP........................................................................................ 错误!未定义书签。

Juniper SRX防火墙配置手册1系统配置 (1)1。

1 配置ROOT帐号密码 (1)1。

2 配置用户名和密码 (2)2接口配置 (7)2。

1 IPV4地址配置 (8)2.2 接口T RUNK模式配置 (12)2。

3 接口A CCESS模式配置 (13)3VLAN配置 (14)3。

1 创建VLAN配置 (14)4路由配置 (18)4。

1 静态路由配置 (20)5自定义应用配置 (21)5。

1 自定义服务配置 (21)5。

2 应用组配置 (22)6地址组配置 (23)6。

1 地址簿配置 (23)6.2 地址组配置 (24)7日程表配置 (26)8NAT配置 (29)8.1 S TATIC NAT配置 (29)1 系统配置1.1 配置root帐号密码首次登陆设备时，需要采用console方式，登陆用户名为:root，密码为空，登陆到cli下以后,执行如下命令，设置root帐号的密码。

root＃ set system root—authentication plain-text—passwordroot# new password ： root123root＃ retype new password： root123密码将以密文方式显示。

注意：必须要首先配置root帐号密码，否则后续所有配置的修改都无法提交。

SRX系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在trust 区域，配置一个ip地址192。

168.1.1,允许ping、telnet、web等管理方式，可以通过该地址登陆设备.登陆后显示页面如下:在该页面上，可以看到设备的基本情况,在左边的chassis view中可以看到端口up/down 情况，在system identification中可以看到设备序列号、设备名称、软件版本等信息，在resource utilization中可以看到cpu、menory、session、存储空间等信息，在security resources中可以看到当前的会话统计、策略数量统计等信息。