(完整word版)JuniperSRX防火墙Web配置说明
2023年8月23日发(作者:中文文秘专业知识)
房产税2020实施细则-
(完整word版)JuniperSRX防火墙Web配置说明
Juniper SRX防火墙配置说明
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
1 系统配置 ......................................................... 1
1.1 配置ROOT帐号密码 .............................................. 1
1。2 配置用户名和密码 .............................................. 2
2 接口配置 ......................................................... 7
2.1 IPV4地址配置 .................................................. 8
2。2 接口TRUNK模式配置 ............................................ 12
2。3 接口ACCESS模式配置 ............................................ 13
3 VLAN配置 ........................................................ 14
3.1 创建VLAN配置 ................................................. 14
4 路由配置 ........................................................ 18
4.1 静态路由配置 ................................................. 20
5 自定义应用配置 .................................................. 21
5.1 自定义服务配置 ............................................... 21
5.2 应用组配置 ................................................... 22
6 地址组配置 ...................................................... 23
6。1 地址簿配置 ................................................... 23
6。2 地址组配置 ................................................... 24
7 日程表配置 ...................................................... 26
8 NAT配置 ......................................................... 29
8.1 STATIC NAT配置 ................................................. 29
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
1
系统配置
1.1
配置root帐号密码
首次登陆设备时,需要采用console方式,登陆用户名为:root,密码为空,登陆到cli下以后,执行如下命令,设置root帐号的密码。
root# set system root-authentication plain-text—password
root# new password : root123
root# retype new password: root123
密码将以密文方式显示.
注意:必须要首先配置root帐号密码,否则后续所有配置的修改都无法提交。
SRX系列低端设备在开机后,系统会加载一个默认配置,设备的第一个接口被划分在trust区域,配置一个ip地址192。168.1。1,允许ping、telnet、web等管理方式,可以通过该地址登陆设备。登陆后显示页面如下:
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
在该页面上,可以看到设备的基本情况,在左边的chassis view中可以看到端口up/down情况,在system identification中可以看到设备序列号、设备名称、软件版本等信息,在resource utilization中可以看到cpu、menory、session、存储空间等信息,在security
resources中可以看到当前的会话统计、策略数量统计等信息。
1.2
配置用户名和密码
平时配置设备时,建议不要使用root帐号,可以建立1个拥有配置权限的用户名,首先点击页面上方的“configure”,进入“system properties—user management”,点击“edit”后,出现用户帐号编辑对话框,点击“add”,添加一个新帐号.配置方式如下:
必须要填的选项包括:user name、password、confirm password、login class,完成后点击“ok”。
注意:密码必须至少是数字和字母的组合,不可以只配置数字或字母。
配置完成后如下图所示:
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
1.3
系统时间配置
在“configure”菜单下,进入“system properties-date time",点击“edit”,
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
Timezone。在下拉框中选择时区,一般可以选择“asia/shanghai”
Set time。可以选择与pc时间同步或与ntp服务器同步或手工配置时间
完成配置后点击“ok”提交配置。
1.4
设备名称配置
在“configure”下,进入“system properties—System Identity”,点击“edit”,
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
Hostname。设备的主机名称
Root password。Root帐号的密码
Dns servers。Dns服务器,点击“add"进行添加,可添加多个
完成配置后点击“ok”提交配置。
1.5
系统服务配置
系统服务设置包括:设备loopback接口配置、设备管理方式配置等在“configure”下,进入“system properties—System Identity”,点击“edit”,
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
Loopback address。配置环回接口的ip地址
Subnet mask。子网掩码。设备会自动根据输入的ip地址更改掩码的位数,也可根据实际情况修改
配置完成后,可切换到“services”下继续其它配置。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
“services"页面下可以设置设备全局管理选项的。
Services。配置设备开启“telnet"和“ssh”服务
Junoscript.配置设备开启脚本服务,一般情况不用选择
Enable http。配置设备开启web服务。钩选该项后,就在全局上允许通过web来管理设备。还可以指定具体开启web服务的接口,或选择“enable on all interfaces”来在所有接口上开启web服务
Enable https.配置设备开启https服务,除了钩选“enable https"外,还要在“https
certificate”下拉框中选择一个证书,默认情况下就可以选择“system—generated—certificate”这个系统自带的证书。钩选该项后,就在全局上允许通过https来管理设备.还可以指定具体开启https服务的接口,或选择“enable on all interfaces"来在所有接口上开启web服务
2
接口配置
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
在SRX防火墙上,不能直接将地址配置在物理接口上,所有接口地址都必须配置在子接口上。在web页面上,当配置完接口ip地址后,设备会自动创建unit 0接口。
2.1
IPV4地址配置
在“configure”目录下,点击“interface”,在右边的接口列表中,选择需要的接口,配置页面如下:
在页面中选择“add”,添加接口ip地址,页面如下:
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
如需要在接口下进行arp和mac绑定,在arp address中选择“add”,出现如下界面:
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
填入相关信息,钩选“publish”后点击“ok”。完成配置后如下图:
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
在该页面下,可以对该逻辑接口配置描述信息,配置完成后点击“ok”.
在物理接口配置页面下,在“logical interface”下可以配置物理接口描述、修改接口mtu值,在“Gigabit Ethernet Options”中可以配置物理接口协商、加入端口聚合组、加入冗余接口组等信息,页面如下:
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
配置完成后点击“ok”,确认配置。
2.2
接口Trunk模式配置
SRX防火墙接口支持trunk模式,编辑对应接口,在“Ethernet Switching Parameters”下钩选“Enable Ethernet Switching”,选择“Port Mode"为“trunk”,还可以配置该接口上的“Native VLAN Id”。配置界面如下:
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
配置完成后点击“ok",提交配置。
2.3
接口Access模式配置
SRX防火墙同样支持接口的access模式。编辑对应接口,在“Ethernet Switching
Parameters"下钩选“Enable Ethernet Switching”,选择“Port Mode”为“access”。配置界面如下:
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
配置完成后,点击“ok”提交配置。
3
VLAN配置
SRX防火墙上的vlan配置与EX系列交换机相同,包括创建vlan、将接口加入vlan、建议3层vlan接口.
3.1
创建vlan配置
在“configure”菜单下,选择“switching—vlan",点击“add”添加一个vlan,如下图:
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
这里需要填入的包括vlan名称、vlan id,还可以加入vlan描述信息,完成后切换到“ports”选项卡,如下图:
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
点击“add”,在端口列表中选择需要加入该vlan的端口。之后切换到“ip address”选项卡,如下图:
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
钩选“ipv4 address”选项,填入该vlan的3层接口地址和子网掩码.在vlan的3层接口下同样可以实现arp和mac的静态绑定,点击“arp/mac detail"可以完成配置,配置方式与接口下的绑定相同.全部完成后点击“ok”。出现如下图的页面:
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
该表会显示该vlan的一些基本信息。点击“commit"提交配置.
4
区域配置
SRX防火墙中区域分为2类:功能区域和安全区域。功能区域就是管理接口所处的区域,该区域不能编辑,也不能删除,一般情况下,只需要将管理接口划分到该区域即可。
4.1
安全区域配置
安全区域是业务接口所属的区域,系统默认的安全区域包括:“trust"、“untrust"、“dmz”。安全区域可以自行添加或删除。在“configure”下选择“security-zones”,在“security zone”下点击“add”,增加1个新的安全区域。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
Zone name。区域的名称。根据需要填写
System services.该区域允许的系统服务。选择“allow selected services”在下拉框中选择需要的系统服务,点击“add”进行添加
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
Interface.定义区域后,需要将需要的接口划分到该区域中.在右边的列表中选择需要的接口,点击向左的箭头,加入到该区域中
配置完成后点击“ok”提交配置。
5
路由配置
SRX防火墙支持静态路由,rip、ospf、bgp动态路由协议以及策略路由。
5.1
静态路由配置
静态路由的配置与其它网络设备相同,需要配置的项包括:目的地址、子网掩码、下一跳地址。路由查的原则同样是明细路由优先,直连路由优先级最高,静态路由次之。当设备配置了接口地址后,在路由表中会生成一个/32的local路由,还会自动生成一个与子网掩码相同的直连路由。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
配置页面如下图,在“configure”中选择“routing-static routing",点击“add”,在弹出的窗口中选择添加ipv4路由,在“next hop"中选择“add”,填入下一跳地址。
6
自定义应用配置
6.1
自定义服务配置
SRX防火墙中预定义了很多服务,在“configure—security—policy elements—applications—pre defined application”中,可以看到很多以“junos”开头的服务,这些都是防火墙中预定义的服务,预定义的服务不能修改,也不能删除。
当需要添加一个自定义的服务时,在“configure—security—policy elements—applications—cumstom applications”中,选择“add",需要配置的部分包括:应用的名称、匹配的协议(tcp/udp等)、目的端口、源端口(一般选择1—65535),应用超时的时间.
注意:应用超时时间单位是秒,建议根据应用的实际情况设置一个合理的数值,而千万不要选择“never"。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
6.2
应用组配置
同样,可以将多个应用(预定义的或是自定义的)归纳到一个应用组中.选择“configure—security-policy elements—applications— application sets”,点击“add",新建一个应用组,需要填写的内容包括:应用组的名称,然后在左边的应用中选择需要的应用,点击向右箭头,将选中的应用加入到右边的应用组中。如果选择右边的应用,点击向左的箭头,则在该应用组中删除选中的应用。全部完成后选择“ok”,保存配置。
完成配置后如下图,可以看到其中也包含很多系统预定义的应用组。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
7
地址组配置
7.1
地址簿配置
在“configure-security-policy elements—address book”中,可以定义地址簿和地址组。在“address"中定义地址簿,点击“add”,需要填写的内容包括:地址所属的区域、地址簿的名称、选择填写ip地址还是域名,并在对应的ip地址或域名下填入所需内容。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
注意:在完成上述配置后,点击“ok",设备会对配置进行语法检查,当检查通过后,地址配置窗口不会自动关闭,因此可以继续修改相关内容,添加一个簿条目。当完成所有地址簿添加后,点击“cancel”,退出地址簿配置页面。
注意:为了防止误配,如果不准备将新添加的地址加入某个地址组,则不要在“address sets”中点击任何地址组,否则设备会自动将该地址加入到该地址组中。
7.2
地址组配置
在SRX中可以将多个同类型的地址簿归纳到一个地址组中,在“configure-security-policy
elements-address sets"中,点击“add”,需要填写的内容包括:地址组所处的区域、地址组的名称,在左边的窗口中选择需要加入该地址组的地址,点击向右的箭头,将该地址加入地址组中。同样,在右边的窗口选择一个地址,点击向左的箭头,则可以将该地址从地址组中删除。
当定义了地址组后,在新建地址簿时,在“address sets"中会出现所有该区域下的地址组,可以在新建地址时就选择对应的地址组进行加入。而不用再切换到“address sets"中进行配置。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
8
日程表配置
SRX防火墙支持在策略中引用日程表,来控制策略生效的时间.在“configure—security-policy elements-scheduler”中,点击“add”新建1个日程表,需要填写的内容包括:日程表的名称,控制的时间点.
在日程表中,选择“scheduler date”是按照具体的日期来定义,在定义时必须有至少1个开始时间和1个结束时间。选择“daily"则是按照星期来定义日程表,在“daily option”下拉框中可以选择“period”或是“none”,选择“period”表示该日程表会每天执行定制的时间,选择“none"表示非循环执行。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
还可以为1周的每一天定义不同的日程表,在为每1天定义日程表前,需要将“daily option”中配置为“none”.然后切换到“monday”,在“daily option”中可以有4个选项:“all-day”“exclude"“period”“none"。
“all-day”表示一整天,则无需定义具体时间
“exclude"表示排出下面定义的时间段
“period"表示循环,即每个周一都会执行定义的时间段
“none”表示将周一排出在外,不使用日程表
定义完日程表后,如下图所示,点击对应的日程表,在“scheduler detail”中可以看到该日程表的详细情况.
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
9
NAT配置
在SRX防火墙中,nat是独立配置的,与策略无关。设备在处理nat时,首先处理static nat,然后处理destination nat,最后处理source nat。所有的nat配置都在“configure—nat”中。
9.1
Static nat配置
Static nat即一对一的地址映射,在“configure”下选择“nat-destination nat”
9.2
Destination nat配置
在“configure”下选择“nat-destination nat”,在“Destination Address Pool"下点击“add”,
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
需要配置的内容包括:
Name配置“pool"的名称.根据需要配置
Ip address range配置地址池。可以写一个段,如果只有1个地址,则开始和结束地址写同一个即可
配置完成后点击“ok"提交配置。
在“Destination Rule Sets”下点击“add”,新增一个nat规则。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
需要配置的内容包括:
Name。规则的名称。根据需要填写
From.起始区域.在“zone”对应的下拉框中选择,点击“add”进行添加。可以选择多个
此处只是配置了nat规则的起始和终止区域,并没有配置详细的nat规则,再次点击该规则,在“rule"下点击“add”,继续配置。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
需要配置的内容包括
Name。规则的名称。根据需要配置
Match。匹配条件。在“destination address”下填入地址段,如要基于端口进行地址转换,则在“port”中填入需要的端口号
Then。执行动作.“turn off destination nat”表示停止目的地址转换,“pool name”下拉框中可以选择定义好的地址池进行引用
配置完成后点击“ok”提交配置。
注意:同一个“rule sets”下的“rule"名称不能相同。
9.3
Source nat配置
在“configure”下选择“nat-source nat",基本配置页面如下:
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
“Address Persistent”是指地址附着,设备会将相同的 IP 地址分配给主机的多个同时会话,即保证在一段时间内,设备在给同一个客户端在进行源地址转换时,会替换成同一个源地址,以保证部分应用的正常
“Pool Utilization Alarm”中可以配置地址池的利用率告警阀值
在源地址转换的“rule sets”配置中需要指定“from”和“to”区域,并在该前提下配置具体的“rule”。因此,可以根据防火墙实际使用的区域,来进行排列组合,将同一个“from"和“to”区域nat的配置写在一个“rule sets”下,根据不同的“rule”来进行区分。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
在源地址转换中,可以配置一个地址池用来进行源地址转换,也可以使用接口地址作为地址池。需要配置的地方包括:
Name.地址池的名称,根据需要填写
Port。用户地址转换的范围。默认为使用1024—63487.选择“no translation”则表示保持数据包的源端口不变,即不进行端口转换,如需要指定端口转换的范围,则选择“translation”,然后在“port range”中配置端口转换的范围,绝大多数情况下,该选项保持默认即可
Source addresses。填入用于该地址池的地址,可以填前缀+子网掩码的方式,也可以填一段地址,如只有1个地址,则在range中填写同样的地址即可
完成配置后点击“ok”提交配置。
接下来需要配置nat的规则,在“Source Rule Sets”下点击“add",添加1条nat规则
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
需要配置的部分包括:
Name.规则的名称.根据需要填写
From.选择soucre nat的起始区域。起始区域可以是路由实例、接口或是安全区域
To。选择source nat的终止区域。终止区域可以是路由实例、接口或是安全区域,也可以与起始区域相同
完成配置后点击“ok”确认配置。
此处只是配置了nat规则的起始和终止区域,并没有配置详细的nat规则,再次点击该规则,继续配置。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
“source nat rule”中需要配置的内容包括:
Name。规则名称.根据需要填写
Source address。源地址段.填入需要的地址段后点击“add"进行添加。可添加多个
Destination address.目的地址段.填入需要的地址段后点击“add”进行添加.可添加多个
Then。匹配后的动作.可以选择停止nat、使用接口地址作为地址池、使用已定义好的地址池
完成配置后点击“ok”提交配置.
注意:同一个“rule sets”下的“rule”名称不能相同。
9.4
Proxy arp配置
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
10
策略配置
默认情况下,设备中会有缺省配置的策略。策略的配置仍然是基于区域的.策略的匹配顺序为按显示顺序从上往下匹配。在“configure— Security-policy-fw policies”中,在“from
zone”和“to zone”中选择合适的区域,点击“add”,添加1条策略。
需要配置的内容包括:
Policy name。策略的名称.根据需要填写
From zone。起始区域。根据需要填写
To zone.终止区域。根据需要填写
Source address.策略的源地址段。在左边的地址簿中选择需要的地址,点击向右箭头进行添加
Destination address.策略的目的地址段。在左边的地址簿中选择需要的地址,点击向右箭头进行添加
Application。匹配的应用.根据需要填写
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
Policy action。策略的动作。可选“permit”、“deny”、“reject”
注意:策略的源地址和目的地址必须要事先通过定义地址簿的方式配置好,如没有事先添加,可点击“add new source address"和“add new destination address"来进行添加。
上述各项为策略的必须配置项,完成上述配置项后,就可以提交该策略.如需继续配置其它内容,可以切换到“loggint/count”来进一步配置策略。
可选的配置包括:
Enable count。开启策略计数。同时可以配置匹配该策略的流量告警阀值
Log options。开启策略日志。“log at session close time”表示在会话结束时记录日志.“log at session init time”表示在会话开始建立时记录日志
切换到“Scheduler”,配置该策略生效的日程表。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
在下拉框中选择合适的日程表即可.
切换到“permit action”中,可以配置额外的允许选项。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
Tunnel。如果配置基于策略的ipsec vpn,则需要在“vpn”下拉框中选择对应的vpn配置.如需要对匹配该策略的用户进行认证,则需要在“firewall authentication”中的“access profile”中选择对应的配置文件。
切换到“application services"菜单,可以配置“idp"或“utm"相关内容。
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
Idp。启用idp相关配置
Redirect.配置防火墙将流量重定向到wx设备或配置防火墙将流量反向重定向到wx
Utm policy。配置防火墙启用utm配置
完成所有配置后,点击“ok”提交配置。全部配置完成后如下图所示:
专业知识分享 (完整word版)JuniperSRX防火墙Web配置说明
在策略页面的左上角,有一些功能按钮,可以快速修改策略的一些设置
Add。添加1条策略
Edit。编辑1条策略
Delete.删除1条策略
Clone。克隆,新建1条与选中的策略配置完全一样的策略,通过“clone”可以快速建立同一类型的策略
Deactive。暂停1条策略。点击1条策略并选择“deactive"后,该策略会临时被关闭
Move。移动策略的排列顺序。使用“move"可以快速调整策略的顺序
专业知识分享