13.JuniperSRXWEB配置实验手册

1、 SRX WEB模式 实验手册 前言、版本说明 . 3 一、界面 菜单 管理 . 42、WEB管理界面 . 5（1）Web管理界面需要浏览器支持Flash控件。 . 5 （2）输入用户名密码登陆： . 5 （3）仪表盘首页 . 6 3、菜单目录. 9 二、接口配置 . 14 1、接口静态IP. 14 2、PPPoE . 15 3、DHCP . 16 三、路由配置 . 18 1、静态路由. 18 2、动态路由. 18 四、区域设置Zone . 20 五、策略配置 . 22 1、策略元素定义. 22 2、防火墙策略配置. 24 3、安全防护策略. 27 六、地址转换 . 28 1、源地址转换-建立

2、地址池. 28 2、源地址转换规则设置. 29 七、VPN配置 . 32 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) . 32 2、建立第一阶段IKE策略. 33 3、建立第一阶段IKE Gateway . 34 4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) . 35 5、建立第一阶段IKE策略. 36 6、建立VPN策略 . 37 八、Screen防攻击 . 40 前言、版本说明产品：Juniper SRX240 SH 版本：JUNOS Software Release 9.6R1.13 注：测试推荐使

3、用此版本。此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。 9.5R2.7版本（CPU持续保持在60%以上，甚至90%）9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU） 一、界面 菜单 管理1、管理方式 JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：rootsrx240-1% 输入cli命令进入JUNOS访问模式：rootsrx240-1% cli rootsrx240-1 输入configure进入JUNOS配置模式

4、：rootsrx240-1% cli rootsrx240-1 configure Entering configuration mode edit rootsrx240-1# 防火墙至少要进行以下配置才可以正常使用： (1)设置root密码（否则无法保存配置） (2)开启ssh/telnet/http服务(3)添加用户（root权限不能作为远程telnet帐户，可以使用SHH方式） (4)分配新的用户权限 2、WEB管理界面（1）Web管理界面需要浏览器支持Flash控件。（2）输入用户名密码登陆：（3）仪表盘首页SRX防火墙WEB页面首页主要是仪表信息（Dashboard），其中包含： 系

5、统标识System Identification 机箱查看Chassis View（需要Flash控件，设备图片可放大缩小，可显示端口使用情况、但Led信息不会显示）资源占用Resource Utilization 安全资源Security Resources 仪表盘首页右上角（Open Preferences Dialog）打开首选项对话框：可以定制仪表盘首页的栏目选择：右下角可以展开日志信息的菜单。仪表盘首页的项目可以任意收缩仪表盘首页的项目栏可以移动位置3、菜单目录横向菜单标签分别为： 仪表盘 监控 配置 诊断 管理 监控包含以下内容：描述：监控页面会直观的用图标方式配置包含以下内容 显

6、示端口、温度、电源、风扇、路由引擎等信息。描述：配置界面包含了管理防火墙、防火墙配置。 诊断包含以下内容：在诊断功能中，可以在web界面下进行抓包分析，MPLS网络探测，至于CLI Terminal功能，我觉得将来可以实现Java控件的方式连接其他防火墙，但是在这个版本中，CLI Terminal功能只是打开了防火墙的管理界面。 管理包含以下内容：管理包含：日志文件的导出和删除、版本升级、许可管理、重新启动、系统快照（用于快速恢复系统）、管理防火墙上的文件。 总结：总体来说，SRX JUNOS的初始配置要比ScreenOS复杂很多，其中包括设置端口地址、添加管理账户等，都要求用户在出厂状态下预

7、先操作。但SRX JUNOS操作系统的Web界面包含的管理功能更强大一些，比如诊断工具，对日志、版本的管理等。这一点ScreenOS不及JUNOS。 二、接口配置1、接口静态IP 描述：在Web下端口选项除了定义IP地址、掩码之外，还可以定义协商速率、arp、汇聚端口、Vlan标记、MTU等信息。相比ScreenOS下的端口管理增强了很多。 CLI下定义ip地址：rootsrx240-1# set interfaces ge-0/0/1 unit 0 family inet address /24 2、PPPoE Configuration-Quick Configurati

8、on-Interface-pp0(edit)-Add- 在web下，pppoe设置隐藏得很深，需要在逻辑接口pp0上配置再绑定到相应的物理端口上。配置比较复杂。 3、DHCP Configuration-Quick Configuration DHCP DHCP配置选项分为：DHCP服务端、客户端、中继。可做动态地址分配，也可做基于MAC地址的绑定。 三、路由配置1、静态路由 添加静态路由 2、动态路由 四、区域设置Zone 设备默认包含 trust 、untrust、management（junos-global为隐藏）四个区域 流量控制可以绑定Screen选项编辑区域时，可以选择此区域进入

9、流量的具体服务和协议。 接口选项中可以选择此区域所包含的端口。 五、策略配置1、策略元素定义根据不同区域建立地址表地址表名称不支持中文 地址表组 系统预定义的服务类型2、防火墙策略配置SRX240防火墙默认带有上图中三条策略。与Screen OS不同的是，SRX的默认全局策略可以调整，而ScreenOS默认只是Deny-All。 上图建立了一条trust 到 untrust 方向，拒绝mail服务的策略。 策略中可以加入count、log、Scheduler元素。与ScreenOS不同的是，ScreenOS在建立策略时，可以填写IP地址，而SRX只能调用地址列表。 建立后的策略如下： 3、安全防护策略可增加IDP策略、UTM策略，目前无license，无法测试。 六、地址转换SRX防火墙的地址转换功能分为源地址转换、目的地址转换1、源地址转换-建立地址池2、源地址转换规则设置 七、VPN配置VPN Global Setting包含一些监控选项 建立IKE阶段一 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) 2、建立第一阶段IKE策略3、建立第一阶段IKE Gateway 4、建立第二阶段加密提议IKE Proposal