2022年Juniper-SRX中文配置手冊及圖解

1、前言、版本說明 . 2一、界面 菜單 治理 . 42、WEB治理界面 . 4（1）Web治理界面需要瀏覽器支持Flash 控件； . 4（2）輸入用戶名密碼登陸：. 4（3）外表盤首頁 . 5 3、菜單目錄 . 7 二、接口配置 . 12 1、接口靜態(tài) IP . 12 2、PPPoE . 13 3、DHCP . 14 三、路由配置 . 16 1、靜態(tài)路由 . 16 2、動態(tài)路由 . 16 四、區(qū)域設(shè)置 Zone . 18 五、策略配置 . 20 1、策略元素定義 . 20 2、防火墻策略配置 . 22 3、安全防護(hù)策略 . 25 六、地址轉(zhuǎn)換 . 26 1、源地址轉(zhuǎn)換 - 建立地址池 . 26

2、 2、源地址轉(zhuǎn)換規(guī)章設(shè)置. 27 七、 VPN配置 . 30 1、建立第一階段加密建議 IKE Proposal Phase 1 或者用默認(rèn)提議 . 30 2、建立第一階段 IKE 策略 . 31 3、建立第一階段 IKE Gateway . 32 4、建立其次階段加密提議 IKE Proposal Phase 2 或者用默認(rèn)提議 . 33 5、建立第一階段 IKE 策略 . 34 6、建立 VPN策略 . 35 八、 Screen 防攻擊 . 37 九、雙機(jī) . 38 十、故障診斷 . 38 前言、版本說明產(chǎn)品： Juniper SRX240 SH 版本： JUNOS Software Re

3、lease 9.6R1.13 注：測試舉薦使用此版本；此版本對瀏覽速度、儲存速度提高了一些,并且 CPU占用率明顯下降很多；9.5R2.7 版本（ CPU連續(xù)保持在 60%以上,甚至 90%）9.6R1.13 版本（對菜單操作或者儲存配置時(shí),仍會提升一部分 CPU）一、界面菜單治理1、治理方式JuniperSRX 系列防火墻出廠默認(rèn)狀態(tài)下,登陸用戶名為root 密碼為空 ,全部接口都已開啟 Web治理 ,但無接口地址；終端連接防火墻后,輸入用戶名root、密碼 空 ,顯示如下：rootsrx240-1% 輸入 cli 命令進(jìn)入 JUNOS拜望模式：rootsrx240-1% cli roots

4、rx240-1 輸入 configure 進(jìn)入 JUNOS配置模式：rootsrx240-1% cli rootsrx240-1 configure Entering configuration mode edit rootsrx240-1# 防火墻至少要進(jìn)行以下配置才可以正常使用：1 設(shè)置 root 密碼（否就無法儲存配置）2 開啟 ssh/telnet/http服務(wù)telnet帳戶,可以使用SHH方式）3 添加用戶（ root 權(quán)限不能作為遠(yuǎn)程4 支配新的用戶權(quán)限2、WEB治理界面（1）Web治理界面需要瀏覽器支持 Flash 控件；（2）輸入用戶名密碼登陸：（3）外表盤首頁SRX防火墻

5、WEB頁面首頁主要是外表信息（系統(tǒng)標(biāo)識 System Identification Dashboard ）,其中包含：機(jī)箱查看 Chassis View （需要 Flash 控件,設(shè)備圖片可放大縮小,可顯示端口使用情形、但 Led 信息不會顯示）資源占用 Resource Utilization 安全資源 Security Resources 外表盤首頁右上角（Open Preferences Dialog）打開首選項(xiàng)對話框：可以定制外表盤首頁的欄目選擇：右下角 可以開放日志信息的菜單；外表盤首頁的項(xiàng)目可以任意收縮外表盤首頁的項(xiàng)目欄可以移動位置3、菜單目錄 橫向菜單標(biāo)簽分別為：外表盤監(jiān)控配置診

6、斷治理監(jiān)控 包含以下內(nèi)容：描述：監(jiān)控頁面會直觀的用圖標(biāo)方式配置 包含以下內(nèi)容顯示端口、溫度、電源、風(fēng)扇、路由引擎等信息；描述：配置界面包含了治理防火墻、防火墻配置；診斷包含以下內(nèi)容：在診斷功能中,可以在 web 界面下進(jìn)行抓包分析,MPLS網(wǎng)絡(luò)探測,至于 CLI Terminal功能,我覺得將來可以實(shí)現(xiàn) Java 控件的方式連接其他防火墻,但是在這個(gè)版本中,CLI Terminal 功能只是打開了防火墻的治理界面；治理包含以下內(nèi)容：治理包含：日志文件的導(dǎo)出和刪除、版本升級、許可治理、重新啟動、系統(tǒng)快照（用于快速 復(fù)原系統(tǒng)）、治理防火墻上的文件；總結(jié)：總體來說, SRX JUNOS的初始配置要比

7、ScreenOS 復(fù)雜很多,其中包括設(shè)置端口地址、添加治理賬戶等,都要求用戶在出廠狀態(tài)下預(yù)先操作；但 SRX JUNOS操作系統(tǒng)的 Web界面包含的治理功能更強(qiáng)大一些,比如診斷工具, 對日志、版本的治理等；這一點(diǎn) ScreenOS 不及 JUNOS；二、接口配置 1、接口靜態(tài) IP 描述：在 Web下端口選項(xiàng)除了定義 IP 地址、掩碼之外, 仍可以定義協(xié)商速率、arp 、匯聚端口、 Vlan 標(biāo)記、 MTU等信息；相比 ScreenOS 下的端口治理增強(qiáng)了很多；CLI 下定義 ip 地址：rootsrx240-1# set interfaces ge-0/0/1 unit 0 family i

8、net address /24 2、PPPoE Configuration-Quick Configuration-Interface-pp0edit-Add- 在 web 下,pppoe 設(shè)置隱匿得很深, 需要在規(guī)律接口 配置比較復(fù)雜； （未完）3、DHCP Configuration-Quick Configuration DHCP pp0 上配置再綁定到相應(yīng)的物理端口上；DHCP配置選項(xiàng)分為： DHCP服務(wù)端、 客戶端、 中繼； 可做動態(tài)地址支配,也可做基于MAC地址的綁定；三、路由配置 1、靜態(tài)路由添加靜態(tài)路由2、動態(tài)路由四、區(qū)域設(shè)置Zone 、 management（junos-gl

9、obal為隱匿）四個(gè)區(qū)域設(shè)備默認(rèn)包含 trust 、untrust流量把握可以綁定 Screen 選項(xiàng)編輯區(qū)域時(shí),可以選擇此區(qū)域進(jìn)入流量的具體服務(wù)和協(xié)議；接口選項(xiàng)中可以選擇此區(qū)域所包含的端口；五、策略配置 1、策略元素定義依據(jù)不同區(qū)域建立地址表地址表名稱不支持中文地址表組系統(tǒng)預(yù)定義的服務(wù)類型2、防火墻策略配置SRX240防火墻默認(rèn)帶有上圖中三條策略；與 Screen OS 不同的是, SRX的默認(rèn)全局策略可以調(diào)整,而ScreenOS 默認(rèn)只是 Deny-All ；上圖建立了一條 trust 到 untrust 方向,拒絕 mail 服務(wù)的策略；策略中可以加入 count 、 log 、Sche

10、duler 元素；與 ScreenOS 不同的是, ScreenOS 在建立策略時(shí),可以填寫 IP 地址,而 SRX只能調(diào)用地址列表；建立后的策略如下：3、安全防護(hù)策略可增加 IDP 策略、 UTM策略,目前無license,無法測試；六、地址轉(zhuǎn)換 SRX防火墻的地址轉(zhuǎn)換功能分為源地址轉(zhuǎn)換、目的地址轉(zhuǎn)換1、源地址轉(zhuǎn)換 - 建立地址池2、源地址轉(zhuǎn)換規(guī)章設(shè)置七、 VPN配置 VPN Global Setting 包含一些監(jiān)控選項(xiàng)建立 IKE 階段一1、建立第一階段加密建議IKE Proposal Phase 1 或者用默認(rèn)提議 2、建立第一階段 IKE 策略3、建立第一階段 IKE Gateway 4、建立其次階段加密提議IKE Proposal Phase