最新JuniperSRX中文配置手册及图解.doc

Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateJuniperSRX中文配置手册及图解Juniper SRX 测试报告前言、版本说明3一、界面 菜单 管理52、WEB管理界面5（1）Web管理界面需要浏览器支持Flash控件。5（2）输入用户名密码登陆：5（3）仪表盘首页63、菜单目录8二、接口配置131、接口静态IP132、PPPoE143、DHCP15三、路由配置171、静态路由172、动态路由17四、区域设置Zone19五、策略配置211、策略元素定义212、防火墙策略配置233、安全防护策略26六、地址转换271、源地址转换-建立地址池272、源地址转换规则设置28七、VPN配置311、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议)312、建立第一阶段IKE策略323、建立第一阶段IKE Gateway334、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议)345、建立第一阶段IKE策略356、建立VPN策略36八、Screen防攻击39九、双机40十、故障诊断40前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release 9.6R1.13注：测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。9.5R2.7版本（CPU持续保持在60%以上，甚至90%）9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面 菜单 管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：rootsrx240-1%输入cli命令进入JUNOS访问模式：rootsrx240-1% clirootsrx240-1>输入configure进入JUNOS配置模式：rootsrx240-1% clirootsrx240-1> configure Entering configuration modeeditrootsrx240-1#防火墙至少要进行以下配置才可以正常使用：(1)设置root密码（否则无法保存配置）(2)开启ssh/telnet/http服务(3)添加用户（root权限不能作为远程telnet帐户，可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面（1）Web管理界面需要浏览器支持Flash控件。（2）输入用户名密码登陆：（3）仪表盘首页SRX防火墙WEB页面首页主要是仪表信息（Dashboard），其中包含：系统标识System Identification机箱查看Chassis View（需要Flash控件，设备图片可放大缩小，可显示端口使用情况、但Led信息不会显示）资源占用Resource Utilization安全资源Security Resources仪表盘首页右上角（Open Preferences Dialog）打开首选项对话框：可以定制仪表盘首页的栏目选择：右下角可以展开日志信息的菜单。仪表盘首页的项目可以任意收缩仪表盘首页的项目栏可以移动位置3、菜单目录横向菜单标签分别为： 仪表盘 监控 配置 诊断 管理监控包含以下内容：描述：监控页面会直观的用图标方式 显示端口、温度、电源、风扇、路由引擎等信息。配置包含以下内容描述：配置界面包含了管理防火墙、防火墙配置。诊断包含以下内容：在诊断功能中，可以在web界面下进行抓包分析，MPLS网络探测，至于CLI Terminal功能，我觉得将来可以实现Java控件的方式连接其他防火墙，但是在这个版本中，CLI Terminal功能只是打开了防火墙的管理界面。管理包含以下内容：管理包含：日志文件的导出和删除、版本升级、许可管理、重新启动、系统快照（用于快速恢复系统）、管理防火墙上的文件。总结：总体来说，SRX JUNOS的初始配置要比ScreenOS复杂很多，其中包括设置端口地址、添加管理账户等，都要求用户在出厂状态下预先操作。但SRX JUNOS操作系统的Web界面包含的管理功能更强大一些，比如诊断工具，对日志、版本的管理等。这一点ScreenOS不及JUNOS。二、接口配置1、接口静态IP描述：在Web下端口选项除了定义IP地址、掩码之外，还可以定义协商速率、arp、汇聚端口、Vlan标记、MTU等信息。相比ScreenOS下的端口管理增强了很多。CLI下定义ip地址：rootsrx240-1# set interfaces ge-0/0/1 unit 0 family inet address 10.10.0.1/242、PPPoEConfiguration-Quick Configuration-Interface-pp0(edit)-Add-在web下，pppoe设置隐藏得很深，需要在逻辑接口pp0上配置再绑定到相应的物理端口上。配置比较复杂。（未完）3、DHCPConfiguration-Quick Configuration DHCPDHCP配置选项分为：DHCP服务端、客户端、中继。可做动态地址分配，也可做基于MAC地址的绑定。三、路由配置1、静态路由添加静态路由2、动态路由四、区域设置Zone设备默认包含 trust 、untrust、management（junos-global为隐藏）四个区域流量控制可以绑定Screen选项编辑区域时，可以选择此区域进入流量的具体服务和协议。接口选项中可以选择此区域所包含的端口。五、策略配置1、策略元素定义根据不同区域建立地址表地址表名称不支持中文地址表组系统预定义的服务类型2、防火墙策略配置SRX240防火墙默认带有上图中三条策略。与Screen OS不同的是，SRX的默认全局策略可以调整，而ScreenOS默认只是Deny-All。上图建立了一条trust 到 untrust 方向，拒绝mail服务的策略。策略中可以加入count、log、Scheduler元素。与ScreenOS不同的是，ScreenOS在建立策略时，可以填写IP地址，而SRX只能调用地址列表。建立后的策略如下：3、安全防护策略可增加IDP策略、UTM策略，目前无license，无法测试。六、地址转换SRX防火墙的地址转换功能分为源地址转换、目的地址转换1、源地址转换-建立地址池2、源地址转换规则设置七、VPN配置VPN Global Setting包含一些监控选项建立IKE阶段一1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议)2、建立第一阶段IKE策略3、建立第一阶段IKE Gateway4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议)5、建立第一阶段IKE策略6、建立VPN策略Pair Policy 旁边的显示应该为选项，但这个版本却是可以填写的框。只能手动添加一个反向策略。最后，调整vpn策略的顺序。Vpn配置完成八、Screen防攻击SRX中Screen选项仍然是按照不同的区域设置九、双机十、故障诊断-