JuniperSRX中文配置手册及图解

前言、版本说明1

一、界面菜单管理3

2、WEB管理界面4

(1)Web管理界面需要浏览器支持Flash控件。4

(2)输入用户名密码登陆：4

(3)仪表盘首页5

3、菜单目录7

二、接口配置12

1、接口静态IP12

2、PPPoE13

3、DHCP14

三、路由配置16

1、静态路由16

2、动态路由16

四、区域设置Zone18

五、策略配置20

1、策略元素定义20

2、防火墙策略配置22

3、安全防护策略25

六、地址转换26

1、源地址转换-建立地址池26

2、源地址转换规则设置27

七、VPN配置30

1、建立第一阶段加密建议IKEProposal(Phase1)(或者用默认提议)30

2、建立第一阶段IKE策略31

3、建立第一阶段IKEGateway32

4、建立第二阶段加密提议IKEProposal(Phase2)(或者用默认提议)33

5、建立第一阶段IKE策略34

6、建立VPN策略35

八、Screen防攻击38

九、双机39

十、故障诊断40

前言、版本说明

产品：JuniperSRX240SH

版本：JUNOSSoftwareRelease[9.6R1.13]

注：测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显

下降很多。

9.5R2.7版本（CPU持续保持在60%以上，甚至90%）

地址也）|<|http://10.104.2.17/login转到梃接》

9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）

一、界面菜单管理

1、管理方式

JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已

开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：

root@srx240-l%

输入cli命令进入JUNOS访问模式：

root@srx240-l%cli

root@srx240-l>

输入configure进入JUNOS配置模式：

root@srx240-l%cli

root@srx240-l>configure

Enteringconfigurationmode

[edit]

root@srx240-l#

防火墙至少要进行以下配置才可以正常使用：

(1)设置root密码(否则无法保存配置)

(2)开启ssh/telnet/http服务

(3)添加用户(root权限不能作为远程telnet帐户，可以使用SHH方式)

(4)分配新的用户权限

2、WEB管理界面

(1)Web管理界面需要浏览器支持Flash控件。

Copyright©2009,JuniperNetworks,Inc.AllRiahtsReserved.TrademarkNotice,Privacy.

(2)输入用户名密码登陆：

Juniper"

S_NETWORKS「，

Dashboard

SecurityResources

MaximumConfiguredActivated

Sessions131072-8

FW/VPNPolicies400044

IPsecVPNs12800000

(3)仪表盘首页

SRX防火墙WEB页面首页主要是仪表信息(Dashboard),其中包含：

系统标识SystemIdentification

机箱查看ChassisView(需要Flash控件，设备图片可放大缩小，可显示端口使用情况、

但Led信息不会显示)

资源占用ResourceUtilization

安全资源SecurityResources

仪表盘首页右上角(OpenPreferencesDialog)打开首选项对话框：

可以定制仪表盘首页的栏目选择:

右下角clear可以展开日志信息的菜单。

Z]

仪表盘首页的项目可以任意收缩

仪表盘首页的项目栏可以移动位置

Dashboard

SecurityResources

MaximumConfiguredActivated

Sessions131072-8

FW/VPNPolicies400044

IPsecVPNs12800000

3、菜单目录

横向菜单标签分别为:

DashboardMonitorConfigurationDiagnoseManage

仪表盘监控配置诊断管理

监控包含以下内容:

MonitoConfigurationDiagnoseManage^^Juniper

Host:srx240-1(srx240-hm)Loggedin:tootChassisHelpAboutLogout

Dashboard

ChassisView

Zunm

描述:

监控页面会直观的用图标方式・显示端口、温度、电源、风扇、路由引擎等信息。

配置包含以下内容

描述：

配置界面包含了管理防火墙、防火墙配置。

诊断包含以下内容:

在诊断功能中，可以在web界面下进行抓包分析，MPLS网络探测，至于CLITerminal

功能，我觉得将来可以实现Java控件的方式连接其他防火墙，但是在这个版本中，CLI

Terminal功能只是打开了防火墙的管理界面。

管理包含以下内容:

管理包含：日志文件的导出和删除、版本升级、许可管理、重新启动、系统快照（用于快速

恢复系统）、管理防火墙上的文件。

总结：

总体来说，SRXJUNOS的初始配置要比ScreenOS复杂很多，其中包括设置端口地址、

添加管理账户等，都要求用户在出厂状态下预先操作。

但SRXJUNOS操作系统的Web界面包含的管理功能更强大一些，比如诊断工具，对日志、

版本的管理等。这一点ScreenOS不及JUNOS。

二、接口配置

1、接口静态IP

DashboardMonitorConfigurationDiagnoseManage

Host:srx240-l(srx240-hm)Loggedinas:rootChassisHelpAboutLogout

QuickConfiguration

Interfaces

InterfaceNameLinkStateConfiguredDescription

(je-0/0/0国YesGigabitEthernetInterface'ge-0/0/0'

LogicalUnit0onGigabitEthernetInterfece

qe-0/0/0.0

国'ge-0/0/01

ls-0/0/0国NoLinkServicesInterfacels-0/0/0'

Qe-0/0/1YesGigabitEthernetInterfece'ge-0/0/1'

LogicalUnit0onGigabitEthernetInterfece

ae-0/0/2NoGigabitEthernetInterfece'ge-0/0/2'

ae-0/0/3西gjNoGigabitEthernetInterface'ge-0/0/3'

ae-0/0/4NoGigabitEthernetInterface'ge-0/0/4'

ae-0/0/5NoGigabitEthernetInterfece'ge-O/O/S

ae-0/0/6■NoGigabitEthernetInterface'ge-0/0/6'

oe-0/0/7NoGigabitEthernetInterfece'ge-0/0/7

ae-0/0/8NoGigabitEthernetInterfece'ge-0/0/8'

<je~0/0/9NoGigabitEthernetInterface'ge-0/0/9'

ae-0/0/10■NoGigabitEthernetInterfece'ge-0/0/10'

oe-0/0/11NoGigabitEthernetInterfece'ge-0/0/11'

oe-0/0/12NoGigabitEthernetInterfece'ge-0/0/121

qe-0/0/13NoGigabitEthernetInterface'ge-0/0/131

de-0/0/14NoGigabitEthernetInterfece'ge-0/0/14

tje-0/0/15■NoGigabitEthernetInterfece'ge-0/0/151

loO国YesLoopbackInterfece'loO'

loO.O国YesLogicalUnit0onLoopbackInterfece'loO'

k>0.16384国NoLogicalUnit16384onLoopbackInterfece'loO'

描述：

在Web下端口选项除了定义IP地址、掩码之外，还可以定义协商速率、arp＞汇聚端口、Vian

标记、MTU等信息。相比ScreenOS下的端口管理增强了很多。

CLI下定义ip地址：

root@srx240-l#setinterfacesge-O/O/1unit0familyinetaddress10.10.0.1/24

2、PPPoE

Configuration-QuickConfiguration-Interface-ppO(edit)-Add-

地址⑪|Ohttp://10.104.2.16/login目转到链接

DashboardMonitorConfigurationDiagnoseManage

在web下，pppoe设置隐藏得很深，需要在逻辑接口ppO上配置再绑定到相应的物理端口上。

配置比较复杂。（未完）

3、DHCP

Configuration-QuickConfiguration-DHCP

一

QuickConfiguration

DHCP

GlobalSettingsDHCPPoolsStaticBindings

ServerInformation

ServerIdentifier回

DomainName

NextServer□0

PropagateInterfece二回

DomainSearch2!

Add|Delete|

NameServers0

Add|Delete|

GatewayRouters

Add|Delete|

WINSServers回

Add|Delete1

LeaseTimeandBootODtions

LDHCP

LeaseTimeandBootOptions

DHCPServiceMaximumLeaseTime|叵]

DHCPClientDefeultLeaseTime|[J]

Boot/DHCPRelayBootFile|回

DViewandEdit

History

Rescue

|Apply|

DHCP配置选项分为：DHCP服务端、客户端、中继。可做动态地址分配，也可做基于MAC

地址的绑定。

三、路由配置

添加静态路由

2、动态路由

DashboardMonitorConfigurationDiagnose

Host:srx240-1(srx240-hm)Loggedinas:rootChassisHelpAboutLogout

QuickConfiguration

▼QuickConfiguration

RoutingandProtocols

SecureAccess

RouterIdentification

Interfaces

RouterIdentifier|ospf

Users

OSPF

SNMP

EnableOSPF

一RoutingandProtocols

OSPFAreaID|o.0.0.0

StaticRouting

AreaType|regular^

RIPRoutingEnableOSPFonAllInterfacesr

O5PF-EnabledInterfacesOSPF-DisabledInterfaces?

ge-0/0/0.0loO.0

ge-0/0/2.0loO.16384

OSPFInterfacesppO.0

四、区域设置Zone

设备默认包含trust、untrust>management（junos-global为隐藏）四个区域

ConfigurationDiagnoseManage^^JunipeJ

口■ENEfV而.

Host:srx240-1(srx240-hm)Loggedinas:root

±J

TrafficControlOptions

TCPRST[7?]

BindingScreen|三

HostInboundTrafficOption

|SystemServices]

?

Delete

?

V]Add|Delete|

「AnyService0

Protocols

?

「AllowSelectedProtocols

|InterfacesConfiguration|

InterfacesinthezoneInterfacesoutofthezone

ge-0/0/0.0ge-0/0/15.0

ge-0/0/2.0

Interfaces

loO.O

ppO.0

Edit|

OK|Cancel|

流量控制可以绑定Screen选项

编辑区域时，可以选择此区域进入流量的具体服务和协议。

接口选项中可以选择此区域所包含的端口。

五、策略配置

1、策略元素定义

Configuration|

DashboardMonitor

Host:srx240-1(srx240-hm)Loggedinas:root

QuickConfiguration

PolicyElements

SecurityZonesList

Apply|

根据不同区域建立地址表

地址表名称不支持中文

QuickConfiguration

PolicyElements

AddressSetInformation

*Address-setName|

AddressesinthissetAddressesoutoftheset\T

iinternel

<—

OKICancel

地址表组

系统预定义的服务类型

DashboardMonitorConfigurationDiagnoseManage^ia^Juniper

NETWORKS,

Host:srx240-1(srx240-hm)Loggedinas:root

▼QuickConfigurationQuickConfiguration

PolicyElements

SecureAccessPre-definedApplicationsCustom-ApplicationsApplicationSets

Interfaces

Pre-definedApplications

Users

SNMP

DRoutingandProtocolsList|20二|per臼BShowing1to20of118total.(Page1of

page

0ClassofService

Application-IP-

ApplicationNameDestination-port

ProtocolProtocol

RPM

junos-bootpcudp68

DFirewallFilters

junos-bootpsudp67

junos-dhcp-dientudp68

junos-dhcp-serverudp67

PolicyElements

junos-fingertcp79

AddressBooks

junos-ftpftptcp21

junos-httptcp80

junos-httpstcp443

DSecurityPolicies

junos-identtcp113

DVPN

junos-netbios-sessiontcp139

t>DynamicVPNjunos-nntptcp119

0Firewall/NATjunos-ntpudp123

junos-pop3tcp110

Schedulers

junos-rtsprtsptcp554

DAuthentication

junos-smtptcp25

»ALGjunos-sshtcp22

junos-tacacstcp49

DSwitching

junos-tacacs-dstcp65

»DHCP

junos-telnettcp23

ChassisClusterjunos-tftptftpudp69

DIDP

|Apply|

2、防火墙策略配置

SRX240防火墙默认带有上图中三条策略。

与ScreenOS不同的是，SRX的默认全局策略可以调整，而ScreenOS默认只是Deny-All。

DashboardMonitorConfigurationDiagnoseManage

Host:srx240-1($rx240-hm)Loggedinas:rootChassisHelpAboutI

QuickConfiguration

SecurityPoliciesAddaPolicy

Policy

*PolicyName|new-policy

臼MatchCriterias

PolicyAction

*PolicyAction|Deny3

PairPolicy

臼AdditionalPolicyActions

Count

Enablecount

PerMinuteAlarmThresholdTNP?

PerSecondAlarmThresholdla

Log