Juniper-SRX中文配置手册及图解

1、 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 前言、版本说明 2 HYPERLINK l bookmark11 o Current Document 一、界面 菜单 管理 42、WEBf理界面4（1） Web管理界面需要浏览器支持 Flash控件。4（2）输入用户名密码登陆： 4（ 3）仪表盘首页 5 HYPERLINK l bookmark23 o Current Document 3、菜单目录 7 HYPERLINK l bookmark39 o Current Document 二、接口配置 121、接口静态IP 12PP

2、PoE 13DHCP 14 HYPERLINK l bookmark47 o Current Document 三、路由配置 16 HYPERLINK l bookmark49 o Current Document 1、静态路由 16 HYPERLINK l bookmark51 o Current Document 2、动态路由 16 HYPERLINK l bookmark53 o Current Document 四、区域设置Zone 18 HYPERLINK l bookmark59 o Current Document 五、策略配置 20 HYPERLINK l bookmark61

3、 o Current Document 1、策略元素定义 20 HYPERLINK l bookmark67 o Current Document 2、防火墙策略配置 22 HYPERLINK l bookmark74 o Current Document 3、安全防护策略 25 HYPERLINK l bookmark78 o Current Document 六、地址转换 26 HYPERLINK l bookmark82 o Current Document 1、源地址转换- 建立地址池 26 HYPERLINK l bookmark84 o Current Document 2、源地址

4、转换规则设置 27 HYPERLINK l bookmark90 o Current Document 七、VPN配置301、建立第一阶段加密建议IKE Proposal （Phase 1） （或者用默认提议） 30 HYPERLINK l bookmark92 o Current Document 2、建立第一阶段IKE策略 313、建立第一阶段IKEGateway 324、建立第二阶段加密提议IKE Proposal （Phase 2） （或者用默认提议） 335、建立第一阶段IKE策略 34 HYPERLINK l bookmark94 o Current Document 6、建立VP

5、N策略35 HYPERLINK l bookmark109 o Current Document 八、Screen 防攻击 37 HYPERLINK l bookmark111 o Current Document 九、双机 38 HYPERLINK l bookmark113 o Current Document 十、故障诊断 38前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release 9.6R1.13并且CPU占用率明显注：测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些, 下降很多。9.5R2.7版本（CPUI续保持在60%,甚至

6、90%）aJuniperMDTuinr地址 UP li hltp7/10. 104. 2.1T/Ia 输入configure 进入JUNOS!已置模式：rootsrx240-1% clirootsrx240-1 configureEntering configuration modeedit rootsrx240-1# 防火墙至少要进行以下配置才可以正常使用： (1)设置root密码(否则无法保存配置) (2)开启 ssh/telnet/http 服务(3)添加用户(root权限不能作为远程telnet帐户，可以使用 SHHT式)(4)分配新的用户权限2、WEBf理界面(1) Web管理界面需

7、要浏览器支持Flash控件。3|；孙 I口BE3H C 2DC% jinpe* Me/tq+s. Inc /UtTradEmark Mhce Pmacv.(2)输入用户名密码登陆：(3)仪表盘首页SRXB火墙 WEBC面首页主要是仪表信息( Dashboard),其中包含：系统标识 System Identification机箱查看Chassis View (需要Flash控件，设备图片可放大缩小，可显示端口使用情况、但Led信息不会显示)资源占用 Resource Utilization安全资源 Security Resources仪表盘首页右上角(Open Preferences Dial

8、og )打开首选项对话框：可以定制仪表盘首页的栏目选择:I9A.4C027Resource Utilizstkani Soft; are Release 9, 5R2,705s-ze 200g-3 Firewall Filters四、区域设置ZoneDdsHxwdTiirii!匕Coiigw-stidriCothfigLireZdiw NafneZone TypeEdfiaqemeini:Fijtk banal15petZane 汕ameNmi电 TyperIe;上Searit/rwhrurtSecurity弓白口ug Zone设备默认包含trustuntrust 、management （j

9、unos-global 为隐藏）四个区域流量控制可以绑定 Screen选项编辑区域时，可以选择此区域进入流量的具体服务和协议。接口选项中可以选择此区域所包含的端口。五、策略配置1、策略元素定义SetupSecure AccessInterFacesUsersSNMPb Routing and ProtocolsD Class of ServiceRPMD Firewall filtersZonesApplications / Application Sets;Quick Configuration Policy ElementsSecurity Zones ListList per pageZ

10、ane Mame tru5t entrust |11口-(10。己1即口心|根据不同区域建立地址表Quick ConfigurationPolicy ElementsAddress Information地址表名称不支持中文AddressesAddress 5etsAddress Name1P-P refiw/Do main namerinter10,104.2.1/32List | 15司 per pageAdd,.OKQuick ConfigurationPolicy Elements* Address-set NameOKddre55或 M 口F the 4 internelAddres

11、s Set InformationAddresses in this set地址表组系统预定义的服务类型iQijiCk 函喃眄il趾1日Pcfty EhmijE当Pre defined 由ppbcwtlonwP*e-defined AfllCiatlwisGj5tm即声以55却pk城 ton SetsApplication NameAfipllr.itlan ProtocDlipPtutlH-UlDeitvfuitMn-pDrtILFbQS-butpC-必龈XB-tXXXp5-odt67luws-dxp-cbert:-udp的TOfchcpf*fV9r-心67jjTDSn ITOBT-必79K

12、TUf-fhPf-rtflPZLJunw-bttp-出lunos-httiK-tPW-3:-忡LL3jjios net bicB 以 ram-际139Vuc-nntp-回H9jino5-rtp-U*LS3TJXd-pOpl-t=p1LDJinos-rUprtap5&IjircB-siTitp-回25TbU-h回君-tflp49KTO5 TAeKSdf-t=P5Junos-tehrt-top23JLTKK-tFtpIftp吐的！LI能圆二 叱 Page.* ITVI 1 SH&LtiTOofllBtrtel. (P*Jt PJfle| 加ply |2、防火墙策略配置 Quick Ccnfigur

13、ationsetupeojre AttestPolicy Action匚OtiKiard二CorftgurationDiagnoseHuSt：X,Q-N*u LoeaMCdiTMtChassis nn|pAboJ: 3 i.tConfigiratianSecurity PoliciesInterfaces Routing and ProtocolsStow Policies白 Class of ServiceAdd 也 PalieyDefault Paley AEtcn |DenyAll三) ?LfeersZone Dilrectian5mpFrom Zone | ( ALL )Io Wonc

14、 | ( ALL )?PDlkiK卜 Frewdl FtersZonesD Polky Ekmerts，Security PaiiaesFrom Zorie: trustId Zone: trustToMI: 1ffiFrom Zone:： trustTo mn虺 unfcriustTotal: 1田From Zgne:：urtrusETo Zane;皿优Tatak 1list三per pageDelete ISRX240防火墙默认带有上图中三条策略。与Screen OS不同的是，SRX的默认全局策略可以调整，而ScreenOS默认只是Deny-All。上图建立了一条trust 到untrus

15、t 方向，拒绝mail服务的策略。策略中可以加入 count、log、Scheduler元素。与ScreenOS不同的是，ScreenOS在建立策略时，可以填写IP地址，而SRX只能调用地址列表。建立后的策略如下:PoliciesListper pageQuick ConfigurationSetupSecure AccessActive IDP PoltyNameSource AddressDestinationAddressApplicationsActionMovernew-口 ulginternelanyjunos-maildenyrdefault； permitanyanyanype

16、rmitFrom Zone: trustTo Zone： untrustDelete |3、安全防护策略Quick ConfigurationSecurity PoliciesInterf 凯 e占UsersSKIMP口 Routing and ProtocolsConfigured IDP Policies ListNo IDP policies have been defined. Oick. on Add button to configure a policy,Add.|D Class of ServiceApply |RPMt Firewall FiltersZones口 Polic

17、y 日已Securfcy PoliciesFWVPN PoliciesIDP PoliciesUTM Policies可增加IDP策略、UT原略，目前无license ,无法测试。六、地址转换SRXB火墙的地址转换功能分为源地址转换、目的地址转换iConigmdtknDtagnoHManage-QjfckCanFiqhraflsnCtNifigijrf!Firrwdill/NATScore Accessixirce NATUsriAdd ess PerstentUStiXi 间加巾Raise ThrsshoWCiear TkfHbzWD touting aid PratSource Addke

18、si RodIlow P*y EltfW*f。5eturit Pokfct VPNa DvrwmicWJScheddent& ALGG 5tMUhfiaP DHCPb UTM FH莉#皿Nd SQUrce-r4at Aad oorfigired.Freiwd FitersSnjTC? 5TacrnChdtbis- CtuStSr弓tNirri; Ruh*总比兰Nd鱼Ndt Rufe 55讨收江日乩1、源地址转换-建立地址池Source Address PoolNameSource Addressr5nirg7口口口 1/32Add. I Delete2、源地址转换规则设置- QvXonfjju

19、riWonSetupSeare AccessInterfacwUc$SWEPD Ro/ngarxl Protocols OassofSefVKeRPMMeritorG Zonet rustsateccae。沙 &Md aticaiT Sa EZerfdOSiEChdQnoseM4nwZWEiEIJ5oRouting!nUanceroutr9rKtonceDwtnabanNATD CH：PI ChwCh5U Vew也HistcfyRescuenterfacefluntrurtRulesNo Me of the Soiree 3 Rate Sets corfred.OK | Cancel IMBJ

20、Source Address PoolNameSource Addressr/3ZAdd. | Delete ISource RJe SetsNameRulesrKuhNo Rufe Cor/QuredAdd. . I Delete IApply七、VPN配置VPN Global Setting包含一些监控选项建立IKE阶段一1、建立第一阶段加密建议IKE Proposal (Phase 1)(或者用默认提议)ConfigureVPNIKE Proposal (Phase 1)* Name* Authentication algorithm* Authenticatian methodDesc

21、riptionDh groupEncryption algorithmLifetime secondsOK Cancel2、建立第一阶段IKE策略3、建立第一阶段 IKE Gateway4、建立第二阶段加密提议IKE Proposal (Phase 2)(或者用默认提议)IPSec Proposal (Phae 2)OK | Cancel5、建立第一阶段IKE策略MargtfComiQweWNAdd jn JFec AutoKry PNCPSec AutoKcv vm* vmI Avt pF9y-F2同 HeecAh qdtwayGwt avay-nauan-P | 一 丁w cmbi我al

22、HE审函2金曲C* / JBgK”* IPSoc pofcy |PolicjP2 VOtMbte ant中熔 TUss mw kJaYlty1-卜Lnnl P/Matrrud：Rj9fmgSfir已1d，&rd to tnjmi Intaffdco- |p-tcn!t Ragrnant hit |国Estahl室 bLFinck | iraLedj. atgly中EruUs VPN rnorMc?Des-tinaJUcpn pOpbfrtred ESoltcb htiraci酬 | -eeI |6、建立VPN策略ConfigureSecurity Pul idesPolicy ActionDe

23、fault Policy Actbn |DenyAll Vj ?Zone DirectionFrom Zone t rust To Zone |urctrustShov PoliciesAdd a PolicyPoliciesList一三I per pageraFrom Zone： trustTo Zone: trustTotal: 1田From Zone: trustTa Zone: untrustTotal: 1sFrom Zane: untrustTo Zone: trustTotal; 1DeleteApply |口小L心dCaiiau-fltkn*!.brdt cr rd小占5% c

24、m-AppfccafcBn/Et1zJPoacv Action* Poky AcaonIPSec-VPN TurWP* PdrCM, QJqk CanFigbraTianFW fyPNMeMMtrmM AddrKSjurws-aol jurws-bcp juiws-bitf joiws-bootpc juMt-bootps(DP Pokte“)p上触 on SerflCB 1DPUTMPokfFirw 对AuthEHtjcaUon现加ss4gPVPN呼 DrynameHUtunt 心meU FreivdTWeb-n.eckKttdTsiJcr-5CliEntManw ftuthertKJtEE

25、iMeb-aufthcnticahant SHtdwqEnaiJe coirrt:Log M SdDti nit TrneSchcdulH5checuiar riarre叵 Addltlmiai Qllcy Ac tiansCouitP声 Mrute Alarm TlTBshoW TNP阳 Sec end Alarm TUr eshoidLagLog at Seston Oose TrnePair Policy旁边的显示应该为选项，但这个版本却是可以填写的框。只能手动添加一个反向策略。最后，调整vpn策略的顺序。From Zone: trustTo one: untrustNameSource AddressDestmation AddressApplicationsActionMover也叱口0耻口internslBxternelanypermitr加fdtllt- 112rmitanyanyanypermitVpn配置完成八、Screen防攻击SRX中Screen选项仍然是按照不同的区域设置DdsbboardICMP I rdtpoEfit PratectKHi PiiW ol Cedih AU-duk PrdedJonN ?强岬