JuniperSRX中文配置手冊(cè)及圖解_第1頁(yè)
JuniperSRX中文配置手冊(cè)及圖解_第2頁(yè)
JuniperSRX中文配置手冊(cè)及圖解_第3頁(yè)
JuniperSRX中文配置手冊(cè)及圖解_第4頁(yè)
JuniperSRX中文配置手冊(cè)及圖解_第5頁(yè)
已閱讀5頁(yè),還剩78頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

前言、版本說(shuō)明1

一、界面菜單管理3

2、WEB管理界面4

(1)Web管理界面需要瀏覽器支持Flash控件。4

(2)輸入用戶(hù)名密碼登陸:4

(3)儀表盤(pán)首頁(yè)5

3、菜單目錄7

二、接口配置12

1、接口靜態(tài)IP12

2、PPPoE13

3、DHCP14

三、路由配置16

1、靜態(tài)路由16

2、動(dòng)態(tài)路由16

四、區(qū)域設(shè)置Zone18

五、策略配置20

1、策略元素定義20

2、防火墻策略配置22

3、安全防護(hù)策略25

六、地址轉(zhuǎn)換26

1、源地址轉(zhuǎn)換-建立地址池26

2、源地址轉(zhuǎn)換規(guī)則設(shè)置27

七、VPN配置30

1、建立第一階段加密建議IKEProposal(Phase1)(或者用默認(rèn)提議)30

2、建立第一階段IKE策略31

3、建立第一階段IKEGateway32

4、建立第二階段加密提議IKEProposal(Phase2)(或者用默認(rèn)提議)33

5、建立第一階段IKE策略34

6、建立VPN策略35

八、Screen防攻擊38

九、雙機(jī)39

十、故障診斷40

前言、版本說(shuō)明

產(chǎn)品:JuniperSRX240SH

版本:JUNOSSoftwareRelease[9.6R1.13]

注:測(cè)試推薦使用此版本。此版本對(duì)瀏覽速度、保存速度提高了一些,并且CPU占用率明顯

下降很多。

9.5R2.7版本(CPU持續(xù)保持在60%以上,甚至90%)

地址也)|<|http://10.104.2.17/login轉(zhuǎn)到梃接》

9.6R1.13版本(對(duì)菜單操作或者保存配置時(shí),仍會(huì)提升一部分CPU)

一、界面菜單管理

1、管理方式

JuniperSRX系列防火墻出廠默認(rèn)狀態(tài)下,登陸用戶(hù)名為root密碼為空,所有接口都已

開(kāi)啟Web管理,但無(wú)接口地址。

終端連接防火墻后,輸入用戶(hù)名(root)、密碼(空),顯示如下:

root@srx240-l%

輸入cli命令進(jìn)入JUNOS訪問(wèn)模式:

root@srx240-l%cli

root@srx240-l>

輸入configure進(jìn)入JUNOS配置模式:

root@srx240-l%cli

root@srx240-l>configure

Enteringconfigurationmode

[edit]

root@srx240-l#

防火墻至少要進(jìn)行以下配置才可以正常使用:

(1)設(shè)置root密碼(否則無(wú)法保存配置)

(2)開(kāi)啟ssh/telnet/http服務(wù)

(3)添加用戶(hù)(root權(quán)限不能作為遠(yuǎn)程telnet帳戶(hù),可以使用SHH方式)

(4)分配新的用戶(hù)權(quán)限

2、WEB管理界面

(1)Web管理界面需要瀏覽器支持Flash控件。

Copyright?2009,JuniperNetworks,Inc.AllRiahtsReserved.TrademarkNotice,Privacy.

(2)輸入用戶(hù)名密碼登陸:

Juniper"

S_NETWORKS「,

Dashboard

SecurityResources

MaximumConfiguredActivated

Sessions131072-8

FW/VPNPolicies400044

IPsecVPNs12800000

(3)儀表盤(pán)首頁(yè)

SRX防火墻WEB頁(yè)面首頁(yè)主要是儀表信息(Dashboard),其中包含:

系統(tǒng)標(biāo)識(shí)SystemIdentification

機(jī)箱查看ChassisView(需要Flash控件,設(shè)備圖片可放大縮小,可顯示端口使用情況、

但Led信息不會(huì)顯示)

資源占用ResourceUtilization

安全資源SecurityResources

儀表盤(pán)首頁(yè)右上角(OpenPreferencesDialog)打開(kāi)首選項(xiàng)對(duì)話框:

可以定制儀表盤(pán)首頁(yè)的欄目選擇:

右下角clear可以展開(kāi)日志信息的菜單。

Z]

儀表盤(pán)首頁(yè)的項(xiàng)目可以任意收縮

儀表盤(pán)首頁(yè)的項(xiàng)目欄可以移動(dòng)位置

Dashboard

SecurityResources

MaximumConfiguredActivated

Sessions131072-8

FW/VPNPolicies400044

IPsecVPNs12800000

3、菜單目錄

橫向菜單標(biāo)簽分別為:

DashboardMonitorConfigurationDiagnoseManage

儀表盤(pán)監(jiān)控配置診斷管理

監(jiān)控包含以下內(nèi)容:

MonitoConfigurationDiagnoseManage^^Juniper

Host:srx240-1(srx240-hm)Loggedin:tootChassisHelpAboutLogout

Dashboard

ChassisView

Zunm

描述:

監(jiān)控頁(yè)面會(huì)直觀的用圖標(biāo)方式?顯示端口、溫度、電源、風(fēng)扇、路由引擎等信息。

配置包含以下內(nèi)容

描述:

配置界面包含了管理防火墻、防火墻配置。

診斷包含以下內(nèi)容:

在診斷功能中,可以在web界面下進(jìn)行抓包分析,MPLS網(wǎng)絡(luò)探測(cè),至于CLITerminal

功能,我覺(jué)得將來(lái)可以實(shí)現(xiàn)Java控件的方式連接其他防火墻,但是在這個(gè)版本中,CLI

Terminal功能只是打開(kāi)了防火墻的管理界面。

管理包含以下內(nèi)容:

管理包含:日志文件的導(dǎo)出和刪除、版本升級(jí)、許可管理、重新啟動(dòng)、系統(tǒng)快照(用于快速

恢復(fù)系統(tǒng))、管理防火墻上的文件。

總結(jié):

總體來(lái)說(shuō),SRXJUNOS的初始配置要比ScreenOS復(fù)雜很多,其中包括設(shè)置端口地址、

添加管理賬戶(hù)等,都要求用戶(hù)在出廠狀態(tài)下預(yù)先操作。

但SRXJUNOS操作系統(tǒng)的Web界面包含的管理功能更強(qiáng)大一些,比如診斷工具,對(duì)日志、

版本的管理等。這一點(diǎn)ScreenOS不及JUNOS。

二、接口配置

1、接口靜態(tài)IP

DashboardMonitorConfigurationDiagnoseManage

Host:srx240-l(srx240-hm)Loggedinas:rootChassisHelpAboutLogout

QuickConfiguration

Interfaces

InterfaceNameLinkStateConfiguredDescription

(je-0/0/0國(guó)YesGigabitEthernetInterface'ge-0/0/0'

LogicalUnit0onGigabitEthernetInterfece

qe-0/0/0.0

國(guó)'ge-0/0/01

ls-0/0/0國(guó)NoLinkServicesInterfacels-0/0/0'

Qe-0/0/1YesGigabitEthernetInterfece'ge-0/0/1'

LogicalUnit0onGigabitEthernetInterfece

ae-0/0/2NoGigabitEthernetInterfece'ge-0/0/2'

ae-0/0/3西gjNoGigabitEthernetInterface'ge-0/0/3'

ae-0/0/4NoGigabitEthernetInterface'ge-0/0/4'

ae-0/0/5NoGigabitEthernetInterfece'ge-O/O/S

ae-0/0/6■NoGigabitEthernetInterface'ge-0/0/6'

oe-0/0/7NoGigabitEthernetInterfece'ge-0/0/7

ae-0/0/8NoGigabitEthernetInterfece'ge-0/0/8'

<je~0/0/9NoGigabitEthernetInterface'ge-0/0/9'

ae-0/0/10■NoGigabitEthernetInterfece'ge-0/0/10'

oe-0/0/11NoGigabitEthernetInterfece'ge-0/0/11'

oe-0/0/12NoGigabitEthernetInterfece'ge-0/0/121

qe-0/0/13NoGigabitEthernetInterface'ge-0/0/131

de-0/0/14NoGigabitEthernetInterfece'ge-0/0/14

tje-0/0/15■NoGigabitEthernetInterfece'ge-0/0/151

loO國(guó)YesLoopbackInterfece'loO'

loO.O國(guó)YesLogicalUnit0onLoopbackInterfece'loO'

k>0.16384國(guó)NoLogicalUnit16384onLoopbackInterfece'loO'

描述:

在Web下端口選項(xiàng)除了定義IP地址、掩碼之外,還可以定義協(xié)商速率、arp>匯聚端口、Vian

標(biāo)記、MTU等信息。相比ScreenOS下的端口管理增強(qiáng)了很多。

CLI下定義ip地址:

root@srx240-l#setinterfacesge-O/O/1unit0familyinetaddress10.10.0.1/24

2、PPPoE

Configuration-QuickConfiguration-Interface-ppO(edit)-Add-

地址?|Ohttp://10.104.2.16/login目轉(zhuǎn)到鏈接

DashboardMonitorConfigurationDiagnoseManage

在web下,pppoe設(shè)置隱藏得很深,需要在邏輯接口ppO上配置再綁定到相應(yīng)的物理端口上。

配置比較復(fù)雜。(未完)

3、DHCP

Configuration-QuickConfiguration-DHCP

QuickConfiguration

DHCP

GlobalSettingsDHCPPoolsStaticBindings

ServerInformation

ServerIdentifier回

DomainName

NextServer□0

PropagateInterfece二回

DomainSearch2!

Add|Delete|

NameServers0

Add|Delete|

GatewayRouters

Add|Delete|

WINSServers回

Add|Delete1

LeaseTimeandBootODtions

LDHCP

LeaseTimeandBootOptions

DHCPServiceMaximumLeaseTime|叵]

DHCPClientDefeultLeaseTime|[J]

Boot/DHCPRelayBootFile|回

DViewandEdit

History

Rescue

|Apply|

DHCP配置選項(xiàng)分為:DHCP服務(wù)端、客戶(hù)端、中繼??勺鰟?dòng)態(tài)地址分配,也可做基于MAC

地址的綁定。

三、路由配置

添加靜態(tài)路由

2、動(dòng)態(tài)路由

DashboardMonitorConfigurationDiagnose

Host:srx240-1(srx240-hm)Loggedinas:rootChassisHelpAboutLogout

QuickConfiguration

▼QuickConfiguration

RoutingandProtocols

SecureAccess

RouterIdentification

Interfaces

RouterIdentifier|ospf

Users

OSPF

SNMP

EnableOSPF

一RoutingandProtocols

OSPFAreaID|o.0.0.0

StaticRouting

AreaType|regular^

RIPRoutingEnableOSPFonAllInterfacesr

O5PF-EnabledInterfacesOSPF-DisabledInterfaces?

ge-0/0/0.0loO.0

ge-0/0/2.0loO.16384

OSPFInterfacesppO.0

四、區(qū)域設(shè)置Zone

設(shè)備默認(rèn)包含trust、untrust>management(junos-global為隱藏)四個(gè)區(qū)域

ConfigurationDiagnoseManage^^JunipeJ

口■ENEfV而.

Host:srx240-1(srx240-hm)Loggedinas:root

±J

TrafficControlOptions

TCPRST[7?]

BindingScreen|三

HostInboundTrafficOption

|SystemServices]

?

Delete

?

V]Add|Delete|

「AnyService0

Protocols

?

「AllowSelectedProtocols

|InterfacesConfiguration|

InterfacesinthezoneInterfacesoutofthezone

ge-0/0/0.0ge-0/0/15.0

ge-0/0/2.0

Interfaces

loO.O

ppO.0

Edit|

OK|Cancel|

流量控制可以綁定Screen選項(xiàng)

編輯區(qū)域時(shí),可以選擇此區(qū)域進(jìn)入流量的具體服務(wù)和協(xié)議。

接口選項(xiàng)中可以選擇此區(qū)域所包含的端口。

五、策略配置

1、策略元素定義

Configuration|

DashboardMonitor

Host:srx240-1(srx240-hm)Loggedinas:root

QuickConfiguration

PolicyElements

SecurityZonesList

Apply|

根據(jù)不同區(qū)域建立地址表

地址表名稱(chēng)不支持中文

QuickConfiguration

PolicyElements

AddressSetInformation

*Address-setName|

AddressesinthissetAddressesoutoftheset\T

iinternel

<—

OKICancel

地址表組

系統(tǒng)預(yù)定義的服務(wù)類(lèi)型

DashboardMonitorConfigurationDiagnoseManage^ia^Juniper

NETWORKS,

Host:srx240-1(srx240-hm)Loggedinas:root

▼QuickConfigurationQuickConfiguration

PolicyElements

SecureAccessPre-definedApplicationsCustom-ApplicationsApplicationSets

Interfaces

Pre-definedApplications

Users

SNMP

DRoutingandProtocolsList|20二|per臼BShowing1to20of118total.(Page1of

page

0ClassofService

Application-IP-

ApplicationNameDestination-port

ProtocolProtocol

RPM

junos-bootpcudp68

DFirewallFilters

junos-bootpsudp67

junos-dhcp-dientudp68

junos-dhcp-serverudp67

PolicyElements

junos-fingertcp79

AddressBooks

junos-ftpftptcp21

junos-httptcp80

junos-httpstcp443

DSecurityPolicies

junos-identtcp113

DVPN

junos-netbios-sessiontcp139

t>DynamicVPNjunos-nntptcp119

0Firewall/NATjunos-ntpudp123

junos-pop3tcp110

Schedulers

junos-rtsprtsptcp554

DAuthentication

junos-smtptcp25

?ALGjunos-sshtcp22

junos-tacacstcp49

DSwitching

junos-tacacs-dstcp65

?DHCP

junos-telnettcp23

ChassisClusterjunos-tftptftpudp69

DIDP

|Apply|

2、防火墻策略配置

SRX240防火墻默認(rèn)帶有上圖中三條策略。

與ScreenOS不同的是,SRX的默認(rèn)全局策略可以調(diào)整,而ScreenOS默認(rèn)只是Deny-All。

DashboardMonitorConfigurationDiagnoseManage

Host:srx240-1($rx240-hm)Loggedinas:rootChassisHelpAboutI

QuickConfiguration

SecurityPoliciesAddaPolicy

Policy

*PolicyName|new-policy

臼MatchCriterias

PolicyAction

*PolicyAction|Deny3

PairPolicy

臼AdditionalPolicyActions

Count

Enablecount

PerMinuteAlarmThresholdTNP?

PerSecondAlarmThresholdla

Log

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論