Juniper_SRX中文配置手册及图解.docx

《Juniper_SRX中文配置手册及图解.docx》由会员分享，可在线阅读，更多相关《Juniper_SRX中文配置手册及图解.docx（38页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精品word 可编辑资料 - - - - - - - - - - - - -前言、版本说明2一、界面菜单治理42、WEB治理界面4（1） Web治理界面需要浏览器支持Flash控件；4（2）输入用户名密码登陆：4（3）外表盘首页53、菜单目录7二、接口配置121、接口静态IP122、PPPoE133、DHCP14三、路由配置161、静态路由162、动态路由16四、区域设置Zone18五、策略配置201、策略元素定义202、防火墙策略配置223、安全防护策略25六、地址转换261、源地址转换- 建立地址池262、源地址转换规章设置27七、 VPN配置301、建立第一阶段加密建议IKE Propo

2、sal (Phase 1) (或者用默认提议)302、建立第一阶段IKE 策略313、建立第一阶段IKE Gateway324、建立其次阶段加密提议IKE Proposal (Phase 2) (或者用默认提议)335、建立第一阶段IKE 策略346、建立 VPN策略35八、 Screen 防攻击37九、双机38十、故障诊断38第 1 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -前言、版本说明产品： Juniper SRX240 SH版本： JUNOS Software Release 9.6R1.13注：

3、测试举荐使用此版本；此版本对浏览速度、储存速度提高了一些，并且 CPU占用率明显下降许多；9.5 R2.7版本（ CPU连续保持在60%以上，甚至90%）9.6 R1.13版本（对菜单操作或者储存配置时，仍会提升一部分CPU）第 2 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -第 3 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -一、界面菜单治理1、治理方式JuniperSRX 系列防火墙出厂默认状态下，登陆用户名为roo

4、t密码为空 ，全部接口都已开启 Web治理 ，但无接口地址；终端连接防火墙后，输入用户名(root)、密码 ( 空) ，显示如下： rootsrx240-1%输入 cli命令进入JUNOS拜访模式：rootsrx240-1% cli rootsrx240-1输入 configure进入 JUNOS配置模式：rootsrx240-1% cli rootsrx240-1 configure Entering configuration mode editrootsrx240-1#防火墙至少要进行以下配置才可以正常使用：(1) 设置 root密码（否就无法储存配置）(2) 开启 ssh/telnet

5、/http服务(3) 添加用户（ root权限不能作为远程telnet帐户，可以使用SHH方式）(4) 安排新的用户权限2、WEB治理界面（1） Web治理界面需要浏览器支持Flash 控件；（2）输入用户名密码登陆：第 4 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -（3）外表盘首页SRX防火墙 WEB页面首页主要是外表信息（Dashboard ），其中包含：系统标识System Identification机箱查看Chassis View（需要 Flash控件，设备图片可放大缩小，可显示端口使用情形、但

6、 Led 信息不会显示）资源占用Resource Utilization安全资源Security Resources外表盘首页右上角（Open Preferences Dialog）打开首选项对话框：可以定制外表盘首页的栏目挑选：第 5 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -右下角可以绽开日志信息的菜单；外表盘首页的项目可以任意收缩外表盘首页的项目栏可以移动位置第 6 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -3

7、、菜单目录横向菜单标签分别为：外表盘监控配置诊断治理监控 包含以下内容：第 7 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -描述：监控页面会直观的用图标方式显示端口、温度、电源、风扇、路由引擎等信息；配置 包含以下内容第 8 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -描述：配置界面包含了治理防火墙、防火墙配置；诊断包含以下内容：第 9 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 -

8、 - - - - - - - - - - - -在诊断功能中，可以在web 界面下进行抓包分析，MPLS网络探测，至于CLI Terminal功能，我觉得将来可以实现Java控件的方式连接其他防火墙，但是在这个版本中，CLITerminal功能只是打开了防火墙的治理界面；治理包含以下内容：第 10 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -治理包含：日志文件的导出和删除、版本升级、许可治理、重新启动、系统快照（用于快速复原系统）、治理防火墙上的文件；总结：总体来说， SRX JUNOS的初始配置要比Scr

9、eenOS 复杂许多，其中包括设置端口地址、添加治理账户等，都要求用户在出厂状态下预先操作；但 SRXJUNOS操作系统的Web界面包含的治理功能更强大一些，比如诊断工具， 对日志、版本的治理等；这一点ScreenOS 不及 JUNOS；第 11 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -二、接口配置1、接口静态IP第 12 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -描述：在 Web下端口选项除了定义IP 地址、掩码

10、之外， 仍可以定义协商速率、arp 、汇聚端口、 Vlan标记、 MTU等信息；相比ScreenOS 下的端口治理增强了许多； CLI 下定义 ip 地址：rootsrx240-1# set interfaces ge-0/0/1 unit 0 family inet address 10.10.0.1/242、PPPoEConfiguration-Quick Configuration-Interface-pp0(edit)-Add-第 13 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -在 web 下，p

11、ppoe 设置隐匿得很深， 需要在规律接口pp0 上配置再绑定到相应的物理端口上；配置比较复杂； （未完）3、DHCPConfiguration-Quick Configuration DHCP第 14 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -DHCP配置选项分为：DHCP服务端、 客户端、 中继； 可做动态地址安排，也可做基于MAC地址的绑定；第 15 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -三、路由配置1、静

12、态路由添加静态路由2、动态路由第 16 页，共 38 页 - - - - - - - - - -Routing md Protocolsdepute 4sessRutter IdertifonEire OsPFOSPF A ea ID0 0 0ge- 0/ of 0. 0ge-0/0/ 2. 0l0.t6384pp0. 0 sea ToeI OSPF n.efazesD Firewall Fiksrs精品word 可编辑资料 - - - - - - - - - - - - -四、区域设置Zone设备默认包含trust、untrust、 management（junos-global为隐匿）四个

13、区域第 18 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -流量掌握可以绑定Screen 选项编辑区域时，可以挑选此区域进入流量的详细服务和协议；接口选项中可以挑选此区域所包含的端口；第 19 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -五、策略配置1、策略元素定义依据不同区域建立地址表第 20 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - -

14、 -地址表名称不支持中文地址表组第 21 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -系统预定义的服务类型2、防火墙策略配置第 22 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -SRX240防火墙默认带有上图中三条策略；与 Screen OS 不同的是， SRX的默认全局策略可以调整，而ScreenOS 默认只是Deny-All；第 23 页，共 38 页 - - - - - - - - - -精品word 可编辑资料

15、- - - - - - - - - - - - -上图建立了一条trust到 untrust方向，拒绝mail服务的策略；策略中可以加入count 、 log 、Scheduler元素；与 ScreenOS 不同的是， ScreenOS 在建立策略时，可以填写IP 地址，而SRX只能调用地址列表；建立后的策略如下：第 24 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -3、安全防护策略可增加 IDP 策略、 UTM策略，目前无license，无法测试；第 25 页，共 38 页 - - - - - - - -

16、 - -精品word 可编辑资料 - - - - - - - - - - - - -六、地址转换SRX防火墙的地址转换功能分为源地址转换、目的地址转换1、源地址转换- 建立地址池第 26 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -2、源地址转换规章设置第 27 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -第 28 页，共 38 页 - - - - - - - - - -Boixce Address Pool0.0.0.

17、 I/3Z/td4. . .De1st e 9ews Rt8e SetsNo Rule Cor oJrcdAdd. . .De let c 精品word 可编辑资料 - - - - - - - - - - - - -七、 VPN配置VPN Global Setting包含一些监控选项建立 IKE 阶段一1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议)第 30 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -2、建立第一阶段IKE 策略第 31 页，共 38 页 - - -

18、 - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -3、建立第一阶段IKE Gateway第 32 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -4、建立其次阶段加密提议IKE Proposal (Phase 2) (或者用默认提议)第 33 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -5、建立第一阶段IKE 策略第 34 页，共 38 页 - - - - - - - -

19、 - -精品word 可编辑资料 - - - - - - - - - - - - -6、建立 VPN策略第 35 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -Pair Policy旁边的显示应当为选项，但这个版本却是可以填写的框；只能手动添加一个反向策略；最终，调整vpn 策略的次序；Vpn 配置完成第 36 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -八、 Screen防攻击SRX中 Screen 选项仍旧是依据不同的区域设置第 37 页，共 38 页 - - - - - - - - - -精品word 可编辑资料 - - - - - - - - - - - - -九、双机十、故障诊断第 38 页，共 38 页 - - - - - - - - - -