前言、版本说明 3一、界面 菜单 管理 52、WEB管理界面 5(1)Web管理界面需要浏览器支持Flash控件 5(2)输入用户名密码登陆: 5(3)仪表盘首页 63、菜单目录 8二、接口配置 131、接口静态IP 132、PPPoE 143、DHCP 15三、路由配置 171、静态路由 172、动态路由 17四、区域设置Zone 19五、策略配置 211、策略元素定义 212、防火墙策略配置 233、安全防护策略 26六、地址转换 271、源地址转换-建立地址池 272、源地址转换规则设置 28七、VPN配置 311、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) 312、建立第一阶段IKE策略 323、建立第一阶段IKE Gateway 334、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) 345、建立第一阶段IKE策略 356、建立VPN策略 36八、Screen防攻击 39九、双机 40十、故障诊断 40前言、版本说明产品:Juniper SRX240 SH版本:JUNOS Software Release [9.6R1.13]注:测试推荐使用此版本。
此版本对浏览速度、保存速度提高了一些,并且CPU占用率明显下降很多9.5R2.7版本(CPU持续保持在60%以上,甚至90%)9.6R1.13版本(对菜单操作或者保存配置时,仍会提升一部分CPU)一、界面 菜单 管理1、管理方式 JuniperSRX系列防火墙出厂默认状态下,登陆用户名为root密码为空,所有接口都已开启Web管理,但无接口地址终端连接防火墙后,输入用户名(root)、密码(空),显示如下:root@srx240-1%输入cli命令进入JUNOS访问模式:root@srx240-1% cliroot@srx240-1>输入configure进入JUNOS配置模式:root@srx240-1% cliroot@srx240-1> configure Entering configuration mode[edit]root@srx240-1#防火墙至少要进行以下配置才可以正常使用:(1)设置root密码(否则无法保存配置)(2)开启ssh/telnet/http服务(3)添加用户(root权限不能作为远程telnet帐户,可以使用SHH方式)(4)分配新的用户权限2、WEB管理界面(1)Web管理界面需要浏览器支持Flash控件。
2)输入用户名密码登陆:(3)仪表盘首页SRX防火墙WEB页面首页主要是仪表信息(Dashboard),其中包含:系统标识System Identification机箱查看Chassis View(需要Flash控件,设备图片可放大缩小,可显示端口使用情况、但Led信息不会显示)资源占用Resource Utilization安全资源Security Resources仪表盘首页右上角(Open Preferences Dialog)打开首选项对话框:可以定制仪表盘首页的栏目选择:右下角可以展开日志信息的菜单仪表盘首页的项目可以任意收缩仪表盘首页的项目栏可以移动位置3、菜单目录横向菜单标签分别为: 仪表盘 监控 配置 诊断 管理监控包含以下内容:描述:监控页面会直观的用图标方式 显示端口、温度、电源、风扇、路由引擎等信息配置包含以下内容描述:配置界面包含了管理防火墙、防火墙配置诊断包含以下内容:在诊断功能中,可以在web界面下进行抓包分析,MPLS网络探测,至于CLI Terminal功能,我觉得将来可以实现Java控件的方式连接其他防火墙,但是在这个版本中,CLI Terminal功能只是打开了防火墙的管理界面。
管理包含以下内容:管理包含:日志文件的导出和删除、版本升级、许可管理、重新启动、系统快照(用于快速恢复系统)、管理防火墙上的文件总结:总体来说,SRX JUNOS的初始配置要比ScreenOS复杂很多,其中包括设置端口地址、添加管理账户等,都要求用户在出厂状态下预先操作但SRX JUNOS操作系统的Web界面包含的管理功能更强大一些,比如诊断工具,对日志、版本的管理等这一点ScreenOS不及JUNOS二、接口配置1、接口静态IP描述:在Web下端口选项除了定义IP地址、掩码之外,还可以定义协商速率、arp、汇聚端口、Vlan标记、MTU等信息相比ScreenOS下的端口管理增强了很多CLI下定义ip地址:root@srx240-1# set interfaces ge-0/0/1 unit 0 family inet address 10.10.0.1/242、PPPoEConfiguration-Quick Configuration-Interface-pp0(edit)-Add-在web下,pppoe设置隐藏得很深,需要在逻辑接口pp0上配置再绑定到相应的物理端口上配置比较复杂。
未完)3、DHCPConfiguration-Quick Configuration –DHCP DHCP配置选项分为:DHCP服务端、客户端、中继可做动态地址分配,也可做基于MAC地址的绑定三、路由配置1、静态路由添加静态路由2、动态路由四、区域设置Zone设备默认包含 trust 、untrust、management(junos-global为隐藏)四个区域流量控制可以绑定Screen选项编辑区域时,可以选择此区域进入流量的具体服务和协议接口选项中可以选择此区域所包含的端口五、策略配置1、策略元素定义根据不同区域建立地址表地址表名称不支持中文地址表组系统预定义的服务类型2、防火墙策略配置SRX240防火墙默认带有上图中三条策略与Screen OS不同的是,SRX的默认全局策略可以调整,而ScreenOS默认只是Deny-All上图建立了一条trust 到 untrust 方向,拒绝mail服务的策略策略中可以加入count、log、Scheduler元素与ScreenOS不同的是,ScreenOS在建立策略时,可以填写IP地址,而SRX只能调用地址列表建立后的策略如下:3、安全防护策略可增加IDP策略、UTM策略,目前无license,无法测试。
六、地址转换SRX防火墙的地址转换功能分为源地址转换、目的地址转换1、源地址转换-建立地址池2、源地址转换规则设置七、VPN配置VPN Global Setting包含一些监控选项建立IKE阶段一1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议)2、建立第一阶段IKE策略3、建立第一阶段IKE Gateway4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议)5、建立第一阶段IKE策略6、建立VPN策略Pair Policy 旁边的显示应该为选项,但这个版本却是可以填写的框只能手动添加一个反向策略最后,调整vpn策略的顺序Vpn配置完成八、Screen防攻击SRX中Screen选项仍然是按照不同的区域设置九、双机十、故障诊断。