juniper srx100 防火墙配置

Juniper SRX防火墙简明配置手册目录一、 JUNOS 操作系统介绍 (3)1.1层次化配置结构 (3)1.2 JunOS 配置管理 (4)1.3 SRX 主要配置内容 (4)二、 SRX 防火墙配置说明 (5)2.1初始安装 (5)2.1.1登陆 (5)2.1.2设置 root 用户口令 (9)2.1.3JSRP 初始化配置 (9)2.1.4设置远程登陆管理用户 (14)2.1.5远程管理 SRX相关配置 (15)2.1.6ZONE 及相关接口的配置 (15)2.2 Policy (16)2.3 NAT (17)2.3.1Interface based NAT (18)2.3.2Pool based Source NAT (18)2.3.3Pool base destination NAT (19)2.3.4Pool base Static NAT (20)2.4 IPSEC VPN (21)2.5 Application and ALG (22)三、 SRX 防火墙常规操作与维护 (22)3.1单机设备关机 (22)3.2单机设备重启 (23)3.3单机操作系统升级 (23)3.4双机模式下主备 SRX 关机 (23)3.5双机模式下主备设备重启 (24)3.6双机模式下操作系统升级 (24)3.7双机转发平面主备切换及切换后恢复 (25)3.8双机控制平面主备切换及切换后恢复 (25)3.9双机模式下更换备SRX (25)3.10双机模式下更换主SRX (26)3.11双机模式更换电源 (27)3.12双机模式更换故障板卡 (27)3.13配置备份及还原方法 (27)3.14密码修改方法 (28)3.15磁盘文件清理方法 (28)3.16密码恢复 (28)3.17常用监控维护命令 (29)四、 SRX 防火墙介绍 (31)Juniper SRX防火墙简明配置手册SRX系列防火墙是 Juniper 公司基于 JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

美河学习在线 仅学习参考Juniper SRX防火墙简明配置手册第 1 页共18 页美河学习在线 仅学习参考第 2 页 共 18 页目录一、JUNOS 操作系统介绍 (3)1.1 层次化配置结构 (3)1.2 JunOS 配置管理 (4)1.3 SRX 主要配置内容 (5)二、SRX 防火墙配置对照说明 (5)2.1 初始安装 (5)2.1.1 登陆 (5)2.1.2 设置root 用户口令 (6)2.1.3 设置远程登陆管理用户 (6)2.1.4 远程管理SRX 相关配置 (6)2.2 Policy (7)2.3 NAT (7)2.3.1 Interface based NAT (8)2.3.2 Pool based Source NAT (9)2.3.3 Pool base destination NAT (9)2.3.4 Pool base Static NAT (10)2.4 IPSEC VPN (11)2.5 Application and ALG (13)2.6 JSRP (13)三、SRX 防火墙常规操作与维护 (15)3.1 设备关机 (15)3.2 设备重启 (16)3.3 操作系统升级 (16)3.4 密码恢复 (16)3.5 常用监控维护命令 (17)Juniper SRX行添加进系统里1.2 JunOS配置管理第 5 页 共SRX 通过set nat / delete1.3 SRX 部署SRX System ：Interface:Security: 是如NAT 、Application二、2.1 2.1.1 登陆Console 口(login: rootPassword:root% cli root>root> [edit]第 6 页 共 18 页Root#2.1.2 设置设置root 用户口令root# 方式)注：root 2.1.3 root# 注：此lab2.1.4 /***或/***的子接口），通常使用逻辑接口美河学习在线 仅学习参考第 8 页 共 18 页SRX 中不再使用MIP/VIP/DIP 这些概念，其中MIP 被Static 静态地址转换取代，两者在功能上完全一致；DIP 被Source NA T 取代；基于Policy 的目的地址转换及VIP 被 Destination NA T 取代。

Juniper SRX防火墙简明配置手册目录一、 JUNOS 操作系统介绍 (3)1.1层次化配置结构 (3)1.2 JunOS 配置管理 (4)1.3 SRX 主要配置内容 (4)二、 SRX 防火墙配置说明 (5)2.1初始安装 (5)2.1.1登陆 (5)2.1.2设置 root 用户口令 (9)2.1.3JSRP 初始化配置 (9)2.1.4设置远程登陆管理用户 (14)2.1.5远程管理 SRX相关配置 (15)2.1.6ZONE 及相关接口的配置 (15)2.2 Policy (16)2.3 NAT (17)2.3.1Interface based NAT (18)2.3.2Pool based Source NAT (18)2.3.3Pool base destination NAT (19)2.3.4Pool base Static NAT (20)2.4 IPSEC VPN (21)2.5 Application and ALG (22)三、 SRX 防火墙常规操作与维护 (22)3.1单机设备关机 (22)3.2单机设备重启 (23)3.3单机操作系统升级 (23)3.4双机模式下主备 SRX 关机 (23)3.5双机模式下主备设备重启 (24)3.6双机模式下操作系统升级 (24)3.7双机转发平面主备切换及切换后恢复 (25)3.8双机控制平面主备切换及切换后恢复 (25)3.9双机模式下更换备SRX (25)3.10双机模式下更换主SRX (26)3.11双机模式更换电源 (27)3.12双机模式更换故障板卡 (27)3.13配置备份及还原方法 (27)3.14密码修改方法 (28)3.15磁盘文件清理方法 (28)3.16密码恢复 (28)3.17常用监控维护命令 (29)四、 SRX 防火墙介绍 (31)Juniper SRX防火墙简明配置手册SRX系列防火墙是 Juniper 公司基于 JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

JuniperSRX中文配置手册及图解前言、版本说明 (1)一、界面菜单管理 (3)2、WEB管理界面 (4)（1）Web管理界面需要浏览器支持Flash控件。

(4)（2）输入用户名密码登陆： (4)（3）仪表盘首页 (5)3、菜单目录 (7)二、接口配置 (12)1、接口静态IP (12)2、PPPoE (13)3、DHCP (14)三、路由配置 (16)1、静态路由 (16)2、动态路由 (16)四、区域设置Zone (18)五、策略配置 (20)1、策略元素定义 (20)2、防火墙策略配置 (22)3、安全防护策略 (25)六、地址转换 (26)1、源地址转换-建立地址池 (26)2、源地址转换规则设置 (27)七、VPN配置 (30)1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (30)2、建立第一阶段IKE策略 (31)3、建立第一阶段IKE Gateway (32)4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (33)5、建立第一阶段IKE策略 (34)6、建立VPN策略 (35)八、Screen防攻击 (38)九、双机 (39)十、故障诊断 (39)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9.6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本（CPU持续保持在60%以上，甚至90%）9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：root@srx240-1%输入cli命令进入JUNOS访问模式：root@srx240-1% cliroot@srx240-1>输入configure进入JUNOS配置模式：root@srx240-1% cliroot@srx240-1> configureEntering configuration mode[edit]root@srx240-1#防火墙至少要进行以下配置才可以正常使用：(1)设置root密码（否则无法保存配置）(2)开启ssh/telnet/http服务(3)添加用户（root权限不能作为远程telnet帐户，可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面（1）Web管理界面需要浏览器支持Flash控件。

J u n i p e r S R X防火墙简明配置手册卞同超Juniper服务工程师JuniperNetworks,Inc.北京市东城区东长安街1号东方经贸城西三办公室15层1508室邮编:100738目录JuniperSRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS 是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSLVPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。

一、JUNOS操作系统介绍1.1层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI 两种接口配置方式，本文主要对CLI命令行方式进行配置说明。

JUNOSCLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。

Juniper SRX系列防火墙配置管理手册目录一、JUNOS操作系统介绍31.1 层次化配置结构31.2 JunOS配置管理31.3 SRX主要配置容4二、SRX防火墙配置操作举例说明52.1 初始安装52.1.1 设备登陆52.1.2 设备恢复出厂介绍52.1.3 设置root用户口令52.1.4 设置远程登陆管理用户62.1.5 远程管理SRX相关配置62.2 配置操作实验拓扑72.3 策略相关配置说明72.3.1 策略地址对象定义82.3.2 策略服务对象定义82.3.3 策略时间调度对象定义82.3.4 添加策略配置举例92.3.5 策略删除102.3.6 调整策略顺序102.3.7 策略失效与激活102.4 地址转换112.4.1 Interface based NAT 基于接口的源地址转换112.4.2 Pool based Source NAT基于地址池的源地址转换122.4.3 Pool base destination NAT基于地址池的目标地址转换132.4.4 Pool base Static NAT基于地址池的静态地址转换142.5 路由协议配置14静态路由配置14OSPF配置16交换机Firewall限制功能22限制IP地22限制MAC地址23三、SRX防火墙常规操作与维护243.2设备关机243.3设备重启243.4操作系统升级253.5密码恢复253.6常用监控维护命令26Juniper SRX Branch系列防火墙配置管理手册说明SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

Juniper SRX防火墙简明配置手册目录一、JUNOS操作系统介绍 (3)1.1 层次化配置结构 (3)1.2 JunOS配置管理 (4)1.3 SRX主要配置内容 (5)二、SRX防火墙配置对照说明 (6)2.1 初始安装 (6)2.1.1 登陆 (6)2.1.2 设置root用户口令 (6)2.1.3 设置远程登陆管理用户 (7)2.1.4 远程管理SRX相关配置 (7)2.2 Policy (8)2.3 NAT (8)2.3.1 Interface based NAT (9)2.3.2 Pool based Source NAT (10)2.3.3 Pool base destination NAT (11)2.3.4 Pool base Static NAT (12)2.4 IPSEC VPN (13)2.5 Application and ALG (15)2.6 JSRP (15)三、SRX防火墙常规操作与维护 (19)3.1 设备关机 (19)3.2设备重启 (20)3.3操作系统升级 (20)3.4密码恢复 (21)3.5常用监控维护命令 (22)Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

Juniper SRX系列防火墙配置管理手册目录一、JUNOS操作系统介绍 (3)层次化配置结构 (3)JunOS配置管理 (4)SRX主要配置内容 (4)二、SRX防火墙配置操作举例说明 (5)初始安装 (5)设备登陆 (5)设备恢复出厂介绍 (5)设置root用户口令 (5)设置远程登陆管理用户 (6)远程管理SRX相关配置 (6)配置操作实验拓扑 (7)策略相关配置说明 (7)策略地址对象定义 (8)策略服务对象定义 (8)策略时间调度对象定义 (8)添加策略配置举例 (9)策略删除 (10)调整策略顺序 (10)策略失效与激活 (10)地址转换 (10)Interface based NAT 基于接口的源地址转换 (11)Pool based Source NAT基于地址池的源地址转换 (12)Pool base destination NAT基于地址池的目标地址转换 (12)Pool base Static NAT基于地址池的静态地址转换 (13)路由协议配置 (14)静态路由配置 (14)OSPF配置 (15)交换机Firewall限制功能 (22)限制IP地 (22)限制MAC地址 (22)三、SRX防火墙常规操作与维护 (23)设备关机 (23)设备重启 (23)操作系统升级 (24)密码恢复 (24)常用监控维护命令 (25)Juniper SRX Branch系列防火墙配置管理手册说明SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

Juniper SRX防火墙配置手册一、JUNOS操作系统介绍1.1 层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。

JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。

在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd 命令）,exit命令退回上一级，top命令回到根级。

1.2 JunOS配置管理JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate Config）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX 语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Active config）。

另外，JUNOS 允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。

在执行commit命令前可通过配置模式下show命令查看当前候选配置（Candidate Config），在执行commit后配置模式下可通过run show config命令查看当前有效配置（Active config）。

此外可通过执行show | compare比对候选配置和有效配置的差异。

SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效配置，并可通过执行rolback和commit命令返回到以前配置（如rollback 0/commit可返回到前一commit配置）；也可以直接通过执行save configname.conf手动保存当前配置，并执行load override configname.conf / commit调用前期手动保存的配置。

Juniper SRX防火墙简明配置手册1.登录web管理界面工程师站网卡ip设置为10.5.241.0网段的地址，子网255.255.255.0，网线直连防火墙第一个接口，打开web浏览器输入地址10.5.241.29，输入用户名：root 密码：zaq1@WSX 点击log in如下图：2.配置接口地址点击configure-interfaces-ports-ge0/0/0-add添加ge0/0/0接口地址为10.5.241.29/24,zone选择untrust：点击configure-interfaces-ports-ge0/0/1-add添加ge0/0/1接口地址为10.56.21.29/24,zone选择trust：3.配置静态nat点击nat-staticnat-add 配置rule名称，from选择untrust，rules点击add添加静态路由，如下图：4.配置proxy点击nat-proxy-add，interface选择ge0/0/0,将映射的外网ip地址添加进来，如下图：5.配置静态路由点击Routing-StaticRouting-Add，route配置为0.0.0.0，next-hop配置为10.5.241.1（外网网关地址）6.配置zone策略点击security-zones/screens-add配置zone name为untrust,binding screen选择untrust-screen，interface in the zone选择接口ge0/0/0.0，host inbound traffic-zone里配置好允许访问的服务端口。

点击security-zones/screens-add配置zone name为trust,interface in the zone选择接口ge0/0/1.0，host inbound traffic-zone里配置好允许访问的服务端口。

Juniper SRX防火墙配置手册欧阳歌谷（2021.02.01）一、JUNOS操作系统介绍1.1 层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI 命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。

JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。

在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级。

1.2 JunOS配置管理JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（CandidateConfig）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Active config）。

另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。

在执行commit命令前可通过配置模式下show命令查看当前候选配置（Candidate Config），在执行commit后配置模式下可通过run show config命令查看当前有效配置（Active config）。

此外可通过执行show | compare比对候选配置和有效配置的差异。

Juniper SRX防火墙简明配置手册Juniper Networks, Inc.北京市东城区东长安街1号东方经贸城西三办公室15层1508室邮编:100738电话:65288800目录一、JUNOS操作系统介绍 (3)1.1 层次化配置结构 (3)1.2 JunOS配置管理 (3)1.3 SRX主要配置内容 (4)二、SRX防火墙配置对照说明 (5)2.1 初始安装 (5)2.1.1 登陆 (5)2.1.2 设置root用户口令 (5)2.1.3 设置远程登陆管理用户 (5)2.1.4 远程管理SRX相关配置 (6)2.2 Policy (6)2.3 NAT (6)2.3.1 Interface based NAT............................................................. 错误！未定义书签。

2.3.2 Pool based Source NAT......................................................... 错误！未定义书签。

2.3.3 Pool base destination NAT................................................. 错误！未定义书签。

2.3.4 Pool base Static NAT (7)2.4 IPSEC VPN (7)2.5 Application and ALG (8)2.6 JSRP ........................................................................................................ 错误！未定义书签。

三、SRX防火墙常规操作与维护 (9)3.1 设备关机 (9)3.2 设备重启 (9)3.3 操作系统升级 (10)3.4 密码恢复 (10)3.5 常用监控维护命令 (11)Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

Junipersrx100防火墙配置指导#一、初始化安装1.1设备登录Juniper SRX系列防火墙。

开机之后，第一次必须通过console 口（通用超级终端缺省配置）连接SRX , 输入root 用户名登陆，密码为空，进入到SRX设备之后可以开始加载基线配置。

特别注意：SRX低端系列防火墙，在第一次登陆时，执行命令“show configuration”你会发现系统本身已经具备一些配置内容（包括DNS名称、DHCP服务器等），建议删除这些配置，重新配置。

Delete 删除设备开机请直接通过console 连接到防火墙设备Login ： rootPassword ： /***初始化第一次登陆的时候，密码为空**/Root% cli /**进入操作模式**/Root>Root> configure /** 进入配置模式**/Root# delete /***配置模式执行命令“delete”全局删除所有的系统缺省配置***/1.2 系统基线配置Set system host-name name/***配置设备名称“name”***/Set system time-zone Asia/Chongqing/***配置系统时区***/Set system root-authentication plain-text-password 输入命令，回车New password: 第一次输入新密码，Retype new password 重新确认新密码/***配置系统缺省根账号密码，不允许修改根账号名称“root” ***/注意：root帐号不能用于telnet，但是可以用于web和ssh管理登录到设备S et system login user topsci class super-user authentication plain-text-password New password 输入密码Retype new password 确认密码/***创建一个系统本地账号“name“，set system services sshset system services telnetset system services web-management http interface allset systhm services web-management http port 81 interface allset system services web-management https system-generated-certificateset system services web-management https interface all/***全局开启系统管理服务，ssh\telnet\http\https***/set interfacesge-0/0/2unit 0 family inet address 10.10.10.1/24set security zones security-zone trustinterfaces ge-0/0/2.0host-inbound-traffic system-services allset security zones security-zone trustinterfacesge-0/0/2.0host-inbound-traffic protocols all/***定义内网接口同时定义安全区域并将接口加入到安全区域，接口的选择根据实际需求安排***/★至此系统的基线配置完成，你可以通过PC机连接到防火墙的ge-0/0/2端口配置同网段的IP地址，使用WEB 界面或者telnet\SSH方式登录到防火墙，实施生产配置和进一步完善基线配置，比如配置NTP服务器、SYSLOG 服务器、SNMP服务器、安全策略、路由协议、地址转换、UTM等功能。

Junipersrx100防火墙配置指导#一、初始化安装1.1设备登录Juniper SRX系列防火墙。

开机之后，第一次必须通过console 口（通用超级终端缺省配置）连接SRX , 输入root 用户名登陆，密码为空，进入到SRX设备之后可以开始加载基线配置。

特别注意：SRX低端系列防火墙，在第一次登陆时，执行命令“show configuration”你会发现系统本身已经具备一些配置内容（包括DNS名称、DHCP服务器等），建议删除这些配置，重新配置。

Delete 删除设备开机请直接通过console 连接到防火墙设备Login ： rootPassword ： /***初始化第一次登陆的时候，密码为空**/Root% cli /**进入操作模式**/Root>Root> configure /** 进入配置模式**/Root# delete /***配置模式执行命令“delete”全局删除所有的系统缺省配置***/1.2 系统基线配置Set system host-name name/***配置设备名称“name”***/Set system time-zone Asia/Chongqing/***配置系统时区***/Set system root-authentication plain-text-password 输入命令，回车New password: 第一次输入新密码，Retype new password 重新确认新密码/***配置系统缺省根账号密码，不允许修改根账号名称“root” ***/注意：root帐号不能用于telnet，但是可以用于web和ssh管理登录到设备S et system login user topsci class super-user authentication plain-text-password New password 输入密码Retype new password 确认密码/***创建一个系统本地账号“name“，set system services sshset system services telnetset system services web-management http interface allset systhm services web-management http port 81 interface allset system services web-management https system-generated-certificateset system services web-management https interface all/***全局开启系统管理服务，ssh\telnet\http\https***/set interfacesge-0/0/2unit 0 family inet address 10.10.10.1/24set security zones security-zone trustinterfaces ge-0/0/2.0host-inbound-traffic system-services allset security zones security-zone trustinterfacesge-0/0/2.0host-inbound-traffic protocols all/***定义内网接口同时定义安全区域并将接口加入到安全区域，接口的选择根据实际需求安排***/★至此系统的基线配置完成，你可以通过PC机连接到防火墙的ge-0/0/2端口配置同网段的IP地址，使用WEB 界面或者telnet\SSH方式登录到防火墙，实施生产配置和进一步完善基线配置，比如配置NTP服务器、SYSLOG 服务器、SNMP服务器、安全策略、路由协议、地址转换、UTM等功能。

Juniper SRX防火墙配置说明1系统配置 (1)1.1配置ROOT帐号密码 (1)1.2配置用户名和密码 (2)1.3系统时间配置 (4)1.4设备名称配置 (5)1.5系统服务配置 (6)2接口配置 (8)2.1IPV4地址配置 (9)2.2接口T RUNK模式配置 (13)2.3接口A CCESS模式配置 (14)3VLAN配置 (15)3.1创建VLAN配置 (15)4区域配置 (19)4.1安全区域配置 (19)5路由配置 (21)5.1静态路由配置 (21)6自定义应用配置 (22)6.1自定义服务配置 (22)6.2应用组配置 (23)7地址组配置 (24)7.1地址簿配置 (24)7.2地址组配置 (25)8日程表配置 (27)9NAT配置 (30)9.1S TATIC NAT配置 (30)9.2D ESTINATION NA T配置 (30)9.3S OURCE NA T配置 (33)9.4P ROXY ARP配置 (38)10策略配置 (39)1 系统配置1.1 配置root帐号密码首次登陆设备时，需要采用console方式，登陆用户名为：root，密码为空，登陆到cli下以后，执行如下命令，设置root帐号的密码。

root# set system root-authentication plain-text-passwordroot# new password : root123root# retype new password: root123密码将以密文方式显示。

注意：必须要首先配置root帐号密码，否则后续所有配置的修改都无法提交。

SRX系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在trust区域，配置一个ip地址192.168.1.1，允许ping、telnet、web等管理方式，可以通过该地址登陆设备。

登陆后显示页面如下：在该页面上，可以看到设备的基本情况，在左边的chassis view中可以看到端口up/down情况，在system identification中可以看到设备序列号、设备名称、软件版本等信息，在resource utilization 中可以看到cpu、menory、session、存储空间等信息，在security resources中可以看到当前的会话统计、策略数量统计等信息。

Juniper-SRX防火墙Web配置说明Juniper SRX防火墙配置说明1系统配置 (1)1.1配置ROOT帐号密码 (1)1.2配置用户名和密码 (2)2接口配置 (9)2.1IPV4地址配置 (9)2.2接口T RUNK模式配置 (13)2.3接口A CCESS模式配置 (14)3VLAN配置 (15)3.1创建VLAN配置 (15)4路由配置 (19)4.1静态路由配置 (21)5自定义应用配置 (22)5.1自定义服务配置 (22)5.2应用组配置 (23)6地址组配置 (24)6.1地址簿配置 (24)6.2地址组配置 (25)7日程表配置 (27)8NAT配置 (30)8.1S TATIC NAT配置 (30)1 系统配置1.1 配置root帐号密码首次登陆设备时，需要采用console方式，登陆用户名为：root，密码为空，登陆到cli下以后，执行如下命令，设置root帐号的密码。

root# set system root-authentication plain-text-passwordroot# new password : root123root# retype new password: root123密码将以密文方式显示。

注意：必须要首先配置root帐号密码，否则后续所有配置的修改都无法提交。

SRX系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在trust区域，配置一个ip地址192.168.1.1，允许ping、telnet、web等管理方式，可以通过该地址登陆设备。

登陆后显示页面如下：在该页面上，可以看到设备的基本情况，在左边的chassis view 中可以看到端口up/down情况，在system identification中可以看到设备序列号、设备名称、软件版本等信息，在resource utilization 中可以看到cpu、menory、session、存储空间等信息，在security resources中可以看到当前的会话统计、策略数量统计等信息。

Juniper交换机和防火墙批量导入配置方法一：1、以set格式备份原有设备的配置。

root>show configuration | display set | no-more2、使用secureCRT或者超级终端通过console线缆连接新交换机或者防火墙的console口。

3、交换机或者防火墙加电。

4、登陆交换机或者防火墙进入配置模式输入命令“load set terminal”进入配置加载界面。

root# load set terminal[Type ^D at a new line to end input]5、在配置加载界面输入原有设备备份的配置。

（注：输入的配置必须是以set格式开头的配置，可将原配置复制后粘贴）如下所示：root# load set terminal[Type ^D at a new line to end input]set system services web-management http port 806、配置输入完成后使用“ctrl+d”退出配置加载界面。

7、在配置模式使用命令“commit check”检查输入配置的正确性。

8、确认配置无误后在配置模式使用命令“commit”提交。

9、配置恢复完成。

方法二：1、以文件形式备份原有设备的配置。

（filename.txt为文件名）root> show configuration | save filename.txt2、将原有设备备份后的配置文件上传至FTP服务器，如下所示：root>ftp 10.1.1.2ftp> put filename.txt3、将FTP服务器上的配置文件拷入U盘。

4、使用secureCRT或者超级终端通过console线缆连接新交换机或者防火墙的console口。

5、交换机或者防火墙加电。

6、将装有配置文件的U盘插入交换机或防火墙并加载，如下所示：root> start shellroot@% mkdir /tmp/usbroot@% mount -t msdosfs /dev/da1s1 /tmp/usb7、将U盘中的文件拷入交换机或者防火墙。