junipersrx100防火墙配置

Junipersrx100防火墙配置指导

#

一、初始化安装

1.1设备登录

Juniper SRX系列防火墙。开机之后，第一次必须通过console 口（通用超级终端缺省配置）连接SRX ,输入root 用户名登陆，密码为空，进入到SRX设备之后可以开始加载基线配置。

特别注意：SRX低端系列防火墙，在第一次登陆时，执行命令“show configuration”你会发现系统本身已经具备一些配置内容（包括DNS名称、DHCP服务器等），建议删除这些配置，重新配置。Delete 删除

设备开机请直接通过console 连接到防火墙设备

Login ：root

Password ：/***初始化第一次登陆的时候，密码为空**/

Root% cli /**进入操作模式**/

Root>

Root> configure /** 进入配置模式**/

Root# delete /***配置模式执行命令“delete”全局删除所有的系统缺省配置***/

1.2 系统基线配置

Set system host-name name

/***配置设备名称“name”***/

Set system time-zone Asia/Chongqing

/***配置系统时区***/

Set system root-authentication plain-text-password 输入命令，回车

New password: 第一次输入新密码，

Retype new password 重新确认新密码

/***配置系统缺省根账号密码，不允许修改根账号名称“root”***/

注意：root帐号不能用于telnet，但是可以用于web和ssh管理登录到设备

S et system login user topsci class super-user authentication plain-text-password New password 输入密码

Retype new password 确认密码

/***创建一个系统本地账号“name“，

set system services ssh

set system services telnet

set system services web-management http interface all

set systhm services web-management http port 81 interface all

set system services web-management https system-generated-certificate

set system services web-management https interface all

/***全局开启系统管理服务，ssh\telnet\http\https***/

set interfacesge-0/0/2unit 0 family inet address 10.10.10.1/24

set security zones security-zone trustinterfaces ge-0/0/2.0host-inbound-traffic system-services all

set security zones security-zone trustinterfacesge-0/0/2.0host-inbound-traffic protocols all

/***定义内网接口同时定义安全区域并将接口加入到安全区域，接口的选择根据实际需求安排***/

★至此系统的基线配置完成，你可以通过PC机连接到防火墙的ge-0/0/2端口配置同网段的IP地址，使用WEB界面或者telnet\SSH方式登录到防火墙，实施生产配置和进一步完善基线配置，比如配置NTP服务器、SYSLOG服务器、SNMP服务器、安全策略、路由协议、地址转换、UTM等功能。

二、应用场景——生产配置实施步骤

2.1 打开浏览器，输入http://Ip地址，输入用户名和密码，点击login进入到WEB管理。

2.2 配置接口IP 地址

首先点击WEB 界面顶端菜单栏的”Configure”按钮，然后点击并展开左边菜单栏的”interface”按钮，

接下来点击ports ，按钮，页面将展示系统在线的所有端口。

然后我们可以开始查看并配置相应的物理接口IP 地址，在本应用场景中，我们将需要在WEB 界面配置

fe-0/0/0/端口(连接公网)和ge-0/0/2端口由于属于内网接口，ge-0/0/2在之前基线配置中已经完成，因此

WEB 界面不再重新说明如何配置，配置方法与接下来的端口配置一致。

在此选择一个你想要配置的物理接口，点击右上角的”ADD”按钮下拉，然后再点击“logical

interface”。

当点击”logicalinterface”之后，系统会自动跳出一个对话框，让你配置接口IP地址、接口描述等信息。

必须填写一个unit数字，比如0(建议)，这个

unit是一个物理接口中逻辑接口的标识，没有

特殊的意义，但是必须要配置。在描述信息中

可以根据实际情况进行填写，一般建议取一个

比较有意义易识别的简单拼音或英语。在

ZONE此处可以暂时不选择，因为后面会配置。

VLAN ID也不需要配置，因为是三层接口，而

并非VLAN接口，接下来就是需要配置一个通

信IP地址和子网掩码。最后点击OK按钮，代

表此接口配置结束，仅仅是结束并不是生效，

后面我们需要根据步骤和系统右上角

的”Actions”按钮会出现闪烁，提醒我们需

要对刚刚完成的配置进行提交和保存，如下图，

我们需要点击右上角的”Actions”按钮下

拉，然后点击commmit按钮，提交和保存配

置，如果配置校验检查失败，将会有告警提醒用户。

三、配置安全区域

首先点击WEB界面顶端菜单栏的”Configure”按钮，然后点击并展开左边菜单栏的”security”按钮，接下来点击zone/screens，按钮，页面将展示已经存在的安全功能区域，如下图配置