JuniperSRX中文配置手冊及圖解_第1頁
JuniperSRX中文配置手冊及圖解_第2頁
JuniperSRX中文配置手冊及圖解_第3頁
JuniperSRX中文配置手冊及圖解_第4頁
JuniperSRX中文配置手冊及圖解_第5頁
已閱讀5頁,還剩78頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

前言、版本說明1

一、界面菜單管理3

2、WEB管理界面4

(1)Web管理界面需要瀏覽器支持Flash控件。4

(2)輸入用戶名密碼登陸:4

(3)儀表盤首頁5

3、菜單目錄7

二、接口配置12

1、接口靜態(tài)IP12

2、PPPoE13

3、DHCP14

三、路由配置16

1、靜態(tài)路由16

2、動態(tài)路由16

四、區(qū)域設(shè)置Zone18

五、策略配置20

1、策略元素定義20

2、防火墻策略配置22

3、安全防護策略25

六、地址轉(zhuǎn)換26

1、源地址轉(zhuǎn)換-建立地址池26

2、源地址轉(zhuǎn)換規(guī)則設(shè)置27

七、VPN配置30

1、建立第一階段加密建議IKEProposal(Phase1)(或者用默認提議)30

2、建立第一階段IKE策略31

3、建立第一階段IKEGateway32

4、建立第二階段加密提議IKEProposal(Phase2)(或者用默認提議)33

5、建立第一階段IKE策略34

6、建立VPN策略35

八、Screen防攻擊38

九、雙機39

十、故障診斷40

前言、版本說明

產(chǎn)品:JuniperSRX240SH

版本:JUNOSSoftwareRelease[9.6R1.13]

注:測試推薦使用此版本。此版本對瀏覽速度、保存速度提高了一些,并且CPU占用率明顯

下降很多。

9.5R2.7版本(CPU持續(xù)保持在60%以上,甚至90%)

地址也)|<|http://10.104.2.17/login轉(zhuǎn)到梃接》

9.6R1.13版本(對菜單操作或者保存配置時,仍會提升一部分CPU)

一、界面菜單管理

1、管理方式

JuniperSRX系列防火墻出廠默認狀態(tài)下,登陸用戶名為root密碼為空,所有接口都已

開啟Web管理,但無接口地址。

終端連接防火墻后,輸入用戶名(root)、密碼(空),顯示如下:

root@srx240-l%

輸入cli命令進入JUNOS訪問模式:

root@srx240-l%cli

root@srx240-l>

輸入configure進入JUNOS配置模式:

root@srx240-l%cli

root@srx240-l>configure

Enteringconfigurationmode

[edit]

root@srx240-l#

防火墻至少要進行以下配置才可以正常使用:

(1)設(shè)置root密碼(否則無法保存配置)

(2)開啟ssh/telnet/http服務(wù)

(3)添加用戶(root權(quán)限不能作為遠程telnet帳戶,可以使用SHH方式)

(4)分配新的用戶權(quán)限

2、WEB管理界面

(1)Web管理界面需要瀏覽器支持Flash控件。

Copyright?2009,JuniperNetworks,Inc.AllRiahtsReserved.TrademarkNotice,Privacy.

(2)輸入用戶名密碼登陸:

Juniper"

S_NETWORKS「,

Dashboard

SecurityResources

MaximumConfiguredActivated

Sessions131072-8

FW/VPNPolicies400044

IPsecVPNs12800000

(3)儀表盤首頁

SRX防火墻WEB頁面首頁主要是儀表信息(Dashboard),其中包含:

系統(tǒng)標(biāo)識SystemIdentification

機箱查看ChassisView(需要Flash控件,設(shè)備圖片可放大縮小,可顯示端口使用情況、

但Led信息不會顯示)

資源占用ResourceUtilization

安全資源SecurityResources

儀表盤首頁右上角(OpenPreferencesDialog)打開首選項對話框:

可以定制儀表盤首頁的欄目選擇:

右下角clear可以展開日志信息的菜單。

Z]

儀表盤首頁的項目可以任意收縮

儀表盤首頁的項目欄可以移動位置

Dashboard

SecurityResources

MaximumConfiguredActivated

Sessions131072-8

FW/VPNPolicies400044

IPsecVPNs12800000

3、菜單目錄

橫向菜單標(biāo)簽分別為:

DashboardMonitorConfigurationDiagnoseManage

儀表盤監(jiān)控配置診斷管理

監(jiān)控包含以下內(nèi)容:

MonitoConfigurationDiagnoseManage^^Juniper

Host:srx240-1(srx240-hm)Loggedin:tootChassisHelpAboutLogout

Dashboard

ChassisView

Zunm

描述:

監(jiān)控頁面會直觀的用圖標(biāo)方式?顯示端口、溫度、電源、風(fēng)扇、路由引擎等信息。

配置包含以下內(nèi)容

描述:

配置界面包含了管理防火墻、防火墻配置。

診斷包含以下內(nèi)容:

在診斷功能中,可以在web界面下進行抓包分析,MPLS網(wǎng)絡(luò)探測,至于CLITerminal

功能,我覺得將來可以實現(xiàn)Java控件的方式連接其他防火墻,但是在這個版本中,CLI

Terminal功能只是打開了防火墻的管理界面。

管理包含以下內(nèi)容:

管理包含:日志文件的導(dǎo)出和刪除、版本升級、許可管理、重新啟動、系統(tǒng)快照(用于快速

恢復(fù)系統(tǒng))、管理防火墻上的文件。

總結(jié):

總體來說,SRXJUNOS的初始配置要比ScreenOS復(fù)雜很多,其中包括設(shè)置端口地址、

添加管理賬戶等,都要求用戶在出廠狀態(tài)下預(yù)先操作。

但SRXJUNOS操作系統(tǒng)的Web界面包含的管理功能更強大一些,比如診斷工具,對日志、

版本的管理等。這一點ScreenOS不及JUNOS。

二、接口配置

1、接口靜態(tài)IP

DashboardMonitorConfigurationDiagnoseManage

Host:srx240-l(srx240-hm)Loggedinas:rootChassisHelpAboutLogout

QuickConfiguration

Interfaces

InterfaceNameLinkStateConfiguredDescription

(je-0/0/0國YesGigabitEthernetInterface'ge-0/0/0'

LogicalUnit0onGigabitEthernetInterfece

qe-0/0/0.0

國'ge-0/0/01

ls-0/0/0國NoLinkServicesInterfacels-0/0/0'

Qe-0/0/1YesGigabitEthernetInterfece'ge-0/0/1'

LogicalUnit0onGigabitEthernetInterfece

ae-0/0/2NoGigabitEthernetInterfece'ge-0/0/2'

ae-0/0/3西gjNoGigabitEthernetInterface'ge-0/0/3'

ae-0/0/4NoGigabitEthernetInterface'ge-0/0/4'

ae-0/0/5NoGigabitEthernetInterfece'ge-O/O/S

ae-0/0/6■NoGigabitEthernetInterface'ge-0/0/6'

oe-0/0/7NoGigabitEthernetInterfece'ge-0/0/7

ae-0/0/8NoGigabitEthernetInterfece'ge-0/0/8'

<je~0/0/9NoGigabitEthernetInterface'ge-0/0/9'

ae-0/0/10■NoGigabitEthernetInterfece'ge-0/0/10'

oe-0/0/11NoGigabitEthernetInterfece'ge-0/0/11'

oe-0/0/12NoGigabitEthernetInterfece'ge-0/0/121

qe-0/0/13NoGigabitEthernetInterface'ge-0/0/131

de-0/0/14NoGigabitEthernetInterfece'ge-0/0/14

tje-0/0/15■NoGigabitEthernetInterfece'ge-0/0/151

loO國YesLoopbackInterfece'loO'

loO.O國YesLogicalUnit0onLoopbackInterfece'loO'

k>0.16384國NoLogicalUnit16384onLoopbackInterfece'loO'

描述:

在Web下端口選項除了定義IP地址、掩碼之外,還可以定義協(xié)商速率、arp>匯聚端口、Vian

標(biāo)記、MTU等信息。相比ScreenOS下的端口管理增強了很多。

CLI下定義ip地址:

root@srx240-l#setinterfacesge-O/O/1unit0familyinetaddress10.10.0.1/24

2、PPPoE

Configuration-QuickConfiguration-Interface-ppO(edit)-Add-

地址?|Ohttp://10.104.2.16/login目轉(zhuǎn)到鏈接

DashboardMonitorConfigurationDiagnoseManage

在web下,pppoe設(shè)置隱藏得很深,需要在邏輯接口ppO上配置再綁定到相應(yīng)的物理端口上。

配置比較復(fù)雜。(未完)

3、DHCP

Configuration-QuickConfiguration-DHCP

QuickConfiguration

DHCP

GlobalSettingsDHCPPoolsStaticBindings

ServerInformation

ServerIdentifier回

DomainName

NextServer□0

PropagateInterfece二回

DomainSearch2!

Add|Delete|

NameServers0

Add|Delete|

GatewayRouters

Add|Delete|

WINSServers回

Add|Delete1

LeaseTimeandBootODtions

LDHCP

LeaseTimeandBootOptions

DHCPServiceMaximumLeaseTime|叵]

DHCPClientDefeultLeaseTime|[J]

Boot/DHCPRelayBootFile|回

DViewandEdit

History

Rescue

|Apply|

DHCP配置選項分為:DHCP服務(wù)端、客戶端、中繼??勺鰟討B(tài)地址分配,也可做基于MAC

地址的綁定。

三、路由配置

添加靜態(tài)路由

2、動態(tài)路由

DashboardMonitorConfigurationDiagnose

Host:srx240-1(srx240-hm)Loggedinas:rootChassisHelpAboutLogout

QuickConfiguration

▼QuickConfiguration

RoutingandProtocols

SecureAccess

RouterIdentification

Interfaces

RouterIdentifier|ospf

Users

OSPF

SNMP

EnableOSPF

一RoutingandProtocols

OSPFAreaID|o.0.0.0

StaticRouting

AreaType|regular^

RIPRoutingEnableOSPFonAllInterfacesr

O5PF-EnabledInterfacesOSPF-DisabledInterfaces?

ge-0/0/0.0loO.0

ge-0/0/2.0loO.16384

OSPFInterfacesppO.0

四、區(qū)域設(shè)置Zone

設(shè)備默認包含trust、untrust>management(junos-global為隱藏)四個區(qū)域

ConfigurationDiagnoseManage^^JunipeJ

口■ENEfV而.

Host:srx240-1(srx240-hm)Loggedinas:root

±J

TrafficControlOptions

TCPRST[7?]

BindingScreen|三

HostInboundTrafficOption

|SystemServices]

?

Delete

?

V]Add|Delete|

「AnyService0

Protocols

?

「AllowSelectedProtocols

|InterfacesConfiguration|

InterfacesinthezoneInterfacesoutofthezone

ge-0/0/0.0ge-0/0/15.0

ge-0/0/2.0

Interfaces

loO.O

ppO.0

Edit|

OK|Cancel|

流量控制可以綁定Screen選項

編輯區(qū)域時,可以選擇此區(qū)域進入流量的具體服務(wù)和協(xié)議。

接口選項中可以選擇此區(qū)域所包含的端口。

五、策略配置

1、策略元素定義

Configuration|

DashboardMonitor

Host:srx240-1(srx240-hm)Loggedinas:root

QuickConfiguration

PolicyElements

SecurityZonesList

Apply|

根據(jù)不同區(qū)域建立地址表

地址表名稱不支持中文

QuickConfiguration

PolicyElements

AddressSetInformation

*Address-setName|

AddressesinthissetAddressesoutoftheset\T

iinternel

<—

OKICancel

地址表組

系統(tǒng)預(yù)定義的服務(wù)類型

DashboardMonitorConfigurationDiagnoseManage^ia^Juniper

NETWORKS,

Host:srx240-1(srx240-hm)Loggedinas:root

▼QuickConfigurationQuickConfiguration

PolicyElements

SecureAccessPre-definedApplicationsCustom-ApplicationsApplicationSets

Interfaces

Pre-definedApplications

Users

SNMP

DRoutingandProtocolsList|20二|per臼BShowing1to20of118total.(Page1of

page

0ClassofService

Application-IP-

ApplicationNameDestination-port

ProtocolProtocol

RPM

junos-bootpcudp68

DFirewallFilters

junos-bootpsudp67

junos-dhcp-dientudp68

junos-dhcp-serverudp67

PolicyElements

junos-fingertcp79

AddressBooks

junos-ftpftptcp21

junos-httptcp80

junos-httpstcp443

DSecurityPolicies

junos-identtcp113

DVPN

junos-netbios-sessiontcp139

t>DynamicVPNjunos-nntptcp119

0Firewall/NATjunos-ntpudp123

junos-pop3tcp110

Schedulers

junos-rtsprtsptcp554

DAuthentication

junos-smtptcp25

?ALGjunos-sshtcp22

junos-tacacstcp49

DSwitching

junos-tacacs-dstcp65

?DHCP

junos-telnettcp23

ChassisClusterjunos-tftptftpudp69

DIDP

|Apply|

2、防火墻策略配置

SRX240防火墻默認帶有上圖中三條策略。

與ScreenOS不同的是,SRX的默認全局策略可以調(diào)整,而ScreenOS默認只是Deny-All。

DashboardMonitorConfigurationDiagnoseManage

Host:srx240-1($rx240-hm)Loggedinas:rootChassisHelpAboutI

QuickConfiguration

SecurityPoliciesAddaPolicy

Policy

*PolicyName|new-policy

臼MatchCriterias

PolicyAction

*PolicyAction|Deny3

PairPolicy

臼AdditionalPolicyActions

Count

Enablecount

PerMinuteAlarmThresholdTNP?

PerSecondAlarmThresholdla

Log

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論