1、Juniper SRX 防火墙配置说明Juniper SRX 防火墙配置说明1 系统配置 .11.1 配置 ROOT 帐号密码 .11.2 配置用户名和密码 .22 接口配置 .42.1 IPV4 地址配置 .42.2 接口 TRUNK 模式配置 .92.3 接口 ACCESS 模式配置 .103 VLAN 配置 .113.1 创建 VLAN 配置 .114 路由配置 .154.1 静态路由配置 .155 自定义应用配置 .165.1 自定义服务配置 .165.2 应用组配置 .176 地址组配置 .186.1 地址簿配置 .186.2 地址组配置 .197 日程表配置 .218 NAT 配置
2、 .248.1 STATIC NAT 配置 .24Juniper SRX 防火墙配置说明11 系统配置1.1 配置 root 帐号密码首次登陆设备时,需要采用 console 方式,登 陆用户名为:root ,密 码为空,登陆到 cli 下以后,执行如下命令,设置 root 帐号的密码。root# set system root-authentication plain-text-passwordroot# new password : root123root# retype new password: root123密码将以密文方式显示。注意:必须要首先配置 root 帐号密码,否则后续所有
3、配置的修改都无法提交。SRX 系列低端 设备在开机后,系统会加载一个默认配置,设备的第一个接口被划分在 trust 区域,配置一个 ip 地址 192.168.1.1,允 许 ping、telnet、web 等管理方式,可以通 过该地址登陆设备。登陆后显示页面如下:Juniper SRX 防火墙配置说明2在该页面上,可以看到设备的基本情况,在左 边的 chassis view 中可以看到端口 up/down 情况,在 system identification 中可以看到设备序列号、设备名称、软件版本等信息,在 resource utilization 中可以看到 cpu、menory、ses
4、sion、存储 空间等信息,在 security resources 中可以看到当前的会话统计、策略数量 统计等信息。1.2 配置用户名和密码平时配置设备时,建议不要使用 root 帐号,可以建立 1 个拥有配置权限的用户名,首先点击页面上方的“configure” ,进入 “system properties-user management”,点击“edit” 后,出现用户帐号编辑对话框,点 击“ add”,添加一个新 帐号。配置方式如下:Juniper SRX 防火墙配置说明3必须要填的选项包括:user name、password、confirm password、login class
5、,完成后点击“ok”。注意:密码必须至少是数字和字母的组合,不可以只配置数字或字母。配置完成后如下图所示:Juniper SRX 防火墙配置说明41.3 系统时间配置在“configure”菜单下,进入“system properties-date time”,点击“ edit”,Juniper SRX 防火墙配置说明5 Timezone。在下拉框中 选择时区,一般可以选择“asia/shanghai” Set time。可以选择与 pc 时间同步或与 ntp 服务器同步或手工配置时间完成配置后点击“ ok”提交配置。1.4 设备名称配置在“configure”下,进入“system prop
6、erties-System Identity”,点击“edit” ,Juniper SRX 防火墙配置说明6 Hostname。设备的主机名称 Root password。Root 帐号的密码 Dns servers。Dns 服务器,点 击“ add”进行添加,可添加多个完成配置后点击“ ok”提交配置。1.5 系统服务配置系统服务设置包括:设备 loopback 接口配置、设备管理方式配置等在“configure ”下,进入“system properties-System Identity”,点击“edit”,Juniper SRX 防火墙配置说明7 Loopback address。配置
7、环回接口的 ip 地址 Subnet mask。子网掩 码。 设备会自动根据输入的 ip 地址更改掩码的位数,也可根据实际情况修改配置完成后,可切换到“services”下继续其它配置。Juniper SRX 防火墙配置说明8“services”页面下可以设置设备全局管理选项的。 Services。配置设备开启“telnet”和“ ssh”服务 Junoscript。配置设备开启脚本服务,一般情况不用选择 Enable http。配置设备 开启 web 服务。 钩选该项后,就在全局上允许通过 web 来管理设备。还可以指定具体开启 web 服务的接口,或选择“ enable on all interfaces”来在所有接口上开启 web 服务 Enable https。配置设备开启 https 服务,除了 钩选“ enable https”外,还要在“https certificate”下拉框中选择 一个证书,默 认情况下就可以选择“system-generated-certificate ”这个系统自带的证书。钩选该项后,就在全局上允许通过 https 来管理设备。还可以指定具体开启 https 服务的接口,或选择“enable on all interfaces”来在所有接口上开启 web 服务2 接口配置
