Juniper_SRX中文配置手册及图解

Juniper_SRX中文配置手册簿及现用图解

前言、版本说明 (3)一、界面菜单管理 (5)2、WEB管理界面 (6)（1）Web管理界面需要浏览器支持Flash控件。

(6)（2）输入用户名密码登陆： (7)（3）仪表盘首页 (7)3、菜单目录 (10)二、接口配置 (16)1、接口静态IP (16)2、PPPoE (17)3、DHCP (18)三、路由配置 (20)1、静态路由 (20)2、动态路由 (21)四、区域设置Zone (23)五、策略配置 (25)1、策略元素定义 (25)2、防火墙策略配置 (29)3、安全防护策略 (31)六、地址转换 (32)1、源地址转换-建立地址池 (33)2、源地址转换规则设置 (35)七、VPN配置 (37)1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (38)2、建立第一阶段IKE策略 (39)3、建立第一阶段IKE Gateway (40)4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (41)5、建立第一阶段IKE策略 (42)6、建立VPN策略 (43)八、Screen防攻击 (46)九、双机 (48)十、故障诊断 (49)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9.6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本（CPU持续保持在60%以上，甚至90%）9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：rootsrx240-1%输入cli命令进入JUNOS访问模式：rootsrx240-1% clirootsrx240-1>输入configure进入JUNOS配置模式：rootsrx240-1% clirootsrx240-1> configureEntering configuration mode[edit]rootsrx240-1#防火墙至少要进行以下配置才可以正常使用：(1)设置root密码（否则无法保存配置）(2)开启ssh/telnet/http服务(3)添加用户（root权限不能作为远程telnet，可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面（1）Web管理界面需要浏览器支持Flash控件。

JuniperSRX高端防火墙简明配置手册

Juniper SRX防火墙简明配置手册目录一、 JUNOS 操作系统介绍 (3)1.1层次化配置结构 (3)1.2 JunOS 配置管理 (4)1.3 SRX 主要配置内容 (4)二、 SRX 防火墙配置说明 (5)2.1初始安装 (5)2.1.1登陆 (5)2.1.2设置 root 用户口令 (9)2.1.3JSRP 初始化配置 (9)2.1.4设置远程登陆管理用户 (14)2.1.5远程管理 SRX相关配置 (15)2.1.6ZONE 及相关接口的配置 (15)2.2 Policy (16)2.3 NAT (17)2.3.1Interface based NAT (18)2.3.2Pool based Source NAT (18)2.3.3Pool base destination NAT (19)2.3.4Pool base Static NAT (20)2.4 IPSEC VPN (21)2.5 Application and ALG (22)三、 SRX 防火墙常规操作与维护 (22)3.1单机设备关机 (22)3.2单机设备重启 (23)3.3单机操作系统升级 (23)3.4双机模式下主备 SRX 关机 (23)3.5双机模式下主备设备重启 (24)3.6双机模式下操作系统升级 (24)3.7双机转发平面主备切换及切换后恢复 (25)3.8双机控制平面主备切换及切换后恢复 (25)3.9双机模式下更换备SRX (25)3.10双机模式下更换主SRX (26)3.11双机模式更换电源 (27)3.12双机模式更换故障板卡 (27)3.13配置备份及还原方法 (27)3.14密码修改方法 (28)3.15磁盘文件清理方法 (28)3.16密码恢复 (28)3.17常用监控维护命令 (29)四、 SRX 防火墙介绍 (31)Juniper SRX防火墙简明配置手册SRX系列防火墙是 Juniper 公司基于 JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

Juniper SRX防火墙简明配置手册

Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper 真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM 等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。

一、JUNOS操作系统介绍1.1 层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。

JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。

在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级。

Juniper-SRX防火墙Web配置手册

Juniper SRX防火墙配置手册1系统配置 (1)1.1配置ROOT帐号密码 (1)1.2配置用户名和密码 (2)2接口配置 (8)2.1IPV4地址配置 (9)2.2接口T RUNK模式配置 (13)2.3接口A CCESS模式配置 (14)3VLAN配置 (15)3.1创建VLAN配置 (15)4路由配置 (19)4.1静态路由配置 (21)5自定义应用配置 (22)5.1自定义服务配置 (22)5.2应用组配置 (23)6地址组配置 (24)6.1地址簿配置 (24)6.2地址组配置 (25)7日程表配置 (27)8NAT配置 (30)8.1S TATIC NAT配置 (30)1 系统配置1.1 配置root帐号密码首次登陆设备时，需要采用console方式，登陆用户名为：root，密码为空，登陆到cli下以后，执行如下命令，设置root帐号的密码。

root# set system root-authentication plain-text-passwordroot# new password : root123root# retype new password: root123密码将以密文方式显示。

注意：必须要首先配置root帐号密码，否则后续所有配置的修改都无法提交。

SRX系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在trust区域，配置一个ip地址192.168.1.1，允许ping、telnet、web等管理方式，可以通过该地址登陆设备。

登陆后显示页面如下：在该页面上，可以看到设备的基本情况，在左边的chassis view中可以看到端口up/down情况，在system identification中可以看到设备序列号、设备名称、软件版本等信息，在resource utilization 中可以看到cpu、menory、session、存储空间等信息，在security resources中可以看到当前的会话统计、策略数量统计等信息。

(完整word版)Juniper_SRX中文配置手册及图解

前言、版本说明 (2)一、界面菜单管理 (4)2、WEB管理界面 (4)（1）Web管理界面需要浏览器支持Flash控件。

(4)（2）输入用户名密码登陆： (4)（3）仪表盘首页 (5)3、菜单目录 (7)二、接口配置 (12)1、接口静态IP (12)2、PPPoE (13)3、DHCP (14)三、路由配置 (16)1、静态路由 (16)2、动态路由 (16)四、区域设置Zone (18)五、策略配置 (20)1、策略元素定义 (20)2、防火墙策略配置 (22)3、安全防护策略 (25)六、地址转换 (26)1、源地址转换-建立地址池 (26)2、源地址转换规则设置 (27)七、VPN配置 (30)1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (30)2、建立第一阶段IKE策略 (31)3、建立第一阶段IKE Gateway (32)4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (33)5、建立第一阶段IKE策略 (34)6、建立VPN策略 (35)八、Screen防攻击 (37)九、双机 (38)十、故障诊断 (38)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9.6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本（CPU持续保持在60%以上，甚至90%）9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：root@srx240-1%输入cli命令进入JUNOS访问模式：root@srx240-1% cliroot@srx240-1>输入configure进入JUNOS配置模式：root@srx240-1% cliroot@srx240-1> configureEntering configuration mode[edit]root@srx240-1#防火墙至少要进行以下配置才可以正常使用：(1)设置root密码（否则无法保存配置）(2)开启ssh/telnet/http服务(3)添加用户（root权限不能作为远程telnet帐户，可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面（1）Web管理界面需要浏览器支持Flash控件。

JuniperSRX高端防火墙简明配置手册

Juniper SRX防火墙简明配置手册目录一、 JUNOS 操作系统介绍 (3)1.1层次化配置结构 (3)1.2 JunOS 配置管理 (4)1.3 SRX 主要配置内容 (4)二、 SRX 防火墙配置说明 (5)2.1初始安装 (5)2.1.1登陆 (5)2.1.2设置 root 用户口令 (9)2.1.3JSRP 初始化配置 (9)2.1.4设置远程登陆管理用户 (14)2.1.5远程管理 SRX相关配置 (15)2.1.6ZONE 及相关接口的配置 (15)2.2 Policy (16)2.3 NAT (17)2.3.1Interface based NAT (18)2.3.2Pool based Source NAT (18)2.3.3Pool base destination NAT (19)2.3.4Pool base Static NAT (20)2.4 IPSEC VPN (21)2.5 Application and ALG (22)三、 SRX 防火墙常规操作与维护 (22)3.1单机设备关机 (22)3.2单机设备重启 (23)3.3单机操作系统升级 (23)3.4双机模式下主备 SRX 关机 (23)3.5双机模式下主备设备重启 (24)3.6双机模式下操作系统升级 (24)3.7双机转发平面主备切换及切换后恢复 (25)3.8双机控制平面主备切换及切换后恢复 (25)3.9双机模式下更换备SRX (25)3.10双机模式下更换主SRX (26)3.11双机模式更换电源 (27)3.12双机模式更换故障板卡 (27)3.13配置备份及还原方法 (27)3.14密码修改方法 (28)3.15磁盘文件清理方法 (28)3.16密码恢复 (28)3.17常用监控维护命令 (29)四、 SRX 防火墙介绍 (31)Juniper SRX防火墙简明配置手册SRX系列防火墙是 Juniper 公司基于 JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

2019年Juniper_SRX中文配置手册及图解

前言、版本说明 .............................................................................................. 错误!未定义书签。

一、界面菜单管理 ...................................................................................... 错误!未定义书签。

2、WEB管理界面 ..................................................................................... 错误!未定义书签。

（1）Web管理界面需要浏览器支持Flash控件。

...................... 错误!未定义书签。

（2）输入用户名密码登陆：......................................................... 错误!未定义书签。

（3）仪表盘首页............................................................................. 错误!未定义书签。

3、菜单目录............................................................................................. 错误!未定义书签。

二、接口配置 .................................................................................................. 错误!未定义书签。

1、接口静态IP........................................................................................ 错误!未定义书签。

Juniper SRX防火墙配置手册-命令行模式

Juniper SRX防火墙简明配置手册目录一、JUNOS操作系统介绍 (3)1.1 层次化配置结构 (3)1.2 JunOS配置管理 (4)1.3 SRX主要配置内容 (5)二、SRX防火墙配置对照说明 (6)2.1 初始安装 (6)2.1.1 登陆 (6)2.1.2 设置root用户口令 (6)2.1.3 设置远程登陆管理用户 (7)2.1.4 远程管理SRX相关配置 (7)2.2 Policy (8)2.3 NAT (8)2.3.1 Interface based NAT (9)2.3.2 Pool based Source NAT (10)2.3.3 Pool base destination NAT (11)2.3.4 Pool base Static NAT (12)2.4 IPSEC VPN (13)2.5 Application and ALG (15)2.6 JSRP (15)三、SRX防火墙常规操作与维护 (19)3.1 设备关机 (19)3.2设备重启 (20)3.3操作系统升级 (20)3.4密码恢复 (21)3.5常用监控维护命令 (22)Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

Juniper junos SRX 安全配置指南(中文)

简略目录关于本指南 (xxxix)第一部分基于流和基于数据包的处理第一章处理概述 (3)第二章基于流的处理 (11)第三章IPV6基于流的处理 (55)第四章基于数据包的处理 (99)第二部分安全区段和接口第五章安全区段和接口 (127)第三部分通讯簿和地址集第六章通讯簿和地址集 (149)第四部分安全策略第七章安全策略 (163)第八章安全全局策略 (191)第九章安全策略时间表 (199)第十章安全策略应用 (205)第五部分应用层网关第十一章ALG (231)第十二章H.323ALG (239)第十三章用于IKE和ESP的ALG (271)第十四章SIP ALG (281)第十五章SCCP ALG (335)第十六章MGCP ALG (355)第十七章RPC ALG (385)第六部分用户认证第十八章防火墙用户认证 (395)第十九章Infranet认证 (425)Junos OS安全配置指南第七部分虚拟专用网第二十章互联网协议安全性 (453)第二十一章证书公开密钥密码术 (637)第二十二章动态VPN (663)第二十三章组VPN (721)第八部分入侵检测和防护第二十四章IDP策略 (765)第二十五章应用级分布式拒绝服务 (823)第二十六章IDP特征数据库 (835)第二十七章IDP应用识别 (851)第二十八章IDP SSL检查 (859)第二十九章IDP服务类别操作 (865)第三十章IDP性能与容量调整 (873)第三十一章IDP日志记录 (875)第九部分统一威胁管理第三十二章统一威胁管理概述 (891)第三十三章反垃圾邮件过滤 (897)第三十四章完全防病毒保护 (915)第三十五章快速防病毒保护 (971)第三十六章Sophos防病毒保护 (991)第三十七章内容过滤 (1009)第三十八章Web过滤 (1023)第三十九章机箱集群中的统一威胁管理支持 (1061)第十部分攻击检测和防护第四十章攻击检测和防护 (1067)第四十一章侦查威慑 (1069)第四十二章可疑数据包属性 (1097)第四十三章拒绝服务攻击 (1107)第十一部分应用标识第四十四章Junos OS应用标识 (1141)第四十五章应用防火墙 (1167)第四十六章AppTrack应用跟踪 (1177)第四十七章应用服务质量 (1183)第十二部分机箱集群第四十八章机箱集群 (1195)简略目录第十三部分IP监控第四十九章IP监控 (1375)第十四部分网络地址转换第五十章网络地址转换 (1381)第十五部分GPRS第五十一章通用分组无线业务 (1483)第五十二章流控制传输协议 (1539)第十六部分索引索引 (1553)Junos OS安全配置指南目录关于本指南 (xxxix)J系列和SRX系列文档和发行说明 (xxxix)目标 (xxxix)读者..............................................................xl支持的路由平台.....................................................xl文档约定...........................................................xl文档反馈.........................................................xlii请求技术支持.....................................................xlii自助在线工具和资源.............................................xlii使用JTAC打开案例.............................................xlii 第一部分基于流和基于数据包的处理第一章处理概述 (3)Juniper Networks设备处理概述 (3)了解基于流的处理 (4)区段和策略 (4)流和会话 (5)了解基于数据包的处理 (5)无状态防火墙过滤器 (5)服务等级功能 (5)筛选 (6)了解SRX系列服务网关中心点架构 (6)组合模式下的负载分布 (7)在组合模式下共享处理能力和内存 (7)按设备扩展会话容量 (7)在SRX3400或SRX3600设备上扩展会话容量 (8)在SRX5800设备上扩展会话容量 (8)了解中心点会话扩展 (9)在SRX5800设备上恢复缺省的会话容量 (9)验证当前的会话容量 (9)了解J系列服务路由器的状态式和无状态数据处理 (10)第二章基于流的处理 (11)SRX系列服务网关的会话 (11)SRX系列服务网关的会话特征 (11)了解SRX系列服务网关的会话特征 (11)示例：控制SRX系列服务网关的会话终止 (12)示例：禁用SRX系列服务网关的TCP数据包安全检查 (13)示例：为SRX系列服务网关的所有TCP会话设置最大片段大小 (14)了解按策略进行TCP会话检查 (15)Junos OS安全配置指南示例：配置按策略进行TCP数据包安全检查 (16)监控SRX系列服务网关会话 (17)了解如何获取SRX系列服务网关的会话信息 (17)显示所有SRX系列服务网关全局会话参数 (20)显示SRX系列服务网关的会话摘要 (20)显示SRX系列服务网关会话和与会话有关的流信息 (21)显示SRX系列服务网关会话和与特定会话有关的流信息 (21)使用过滤器显示SRX系列服务网关的会话和流信息 (22)SRX系列服务网关的会话日志中提供的信息 (22)清除SRX系列服务网关会话 (26)终止SRX系列服务网关会话 (26)终止SRX系列服务网关的特定会话 (26)使用过滤器指定要终止的SRX系列服务网关会话 (27)SRX5600和SRX5800服务网关处理概述 (27)了解第一个数据包的处理 (28)了解快速路径处理 (29)了解单播会话的数据路径 (30)会话查找和数据包匹配标准 (30)了解会话创建：第一个数据包处理 (30)了解快速路径处理 (32)了解数据包处理 (34)了解服务处理单元 (35)了解时间表的特征 (35)了解网络处理器捆绑 (35)网络处理器捆绑限制 (35)SRX1400、SRX3400和SRX3600服务网关处理概述 (36)参与会话设置的组件 (36)了解单播会话的数据路径 (37)会话查找和数据包匹配标准 (37)了解会话创建：第一个数据包处理 (37)了解快速路径处理 (39)服务卸载概述 (39)示例：在策略中启用服务卸载 (40)SRX210服务网关处理概述 (42)了解流处理和会话管理 (42)了解第一个数据包的处理 (42)了解会话创建 (42)了解快速路径处理 (43)了解J系列服务路由器的状态式和无状态数据处理 (44)J系列服务路由器的会话特征 (44)了解J系列服务路由器的会话特征 (44)示例：控制J系列服务路由器的会话终止 (45)示例：禁用J系列服务路由器的TCP数据包安全检查 (47)示例：调节J系列服务路由器的端到端TCP通信 (48)了解J系列服务路由器的数据路径 (50)了解转发处理 (51)了解基于会话的处理 (51)会话查找 (51)第一个数据包路径处理 (51)目录快速路径处理 (52)了解转发功能 (52)了解主动会话超时 (53)第三章IPV6基于流的处理 (55)了解IP版本6(IPv6) (56)关于IPv6地址空间、编址和地址类型 (56)关于IPv6地址类型以及用于SRX系列服务网关和J系列设备的Junos OS如何使用它们 (57)关于IPv6地址格式 (58)IPv6数据包包头和SRX系列与J系列设备概述 (58)关于IPv6基本数据包包头 (59)了解IPv6数据包包头扩展名 (60)关于由SRX系列和J系列设备的流模块执行的IPv6数据包包头验证 (61)IPv6高级流 (62)了解IPv6双栈Lite (63)示例：配置IPv6双栈Lite (66)了解SRX系列和J系列设备处理ICMPv6数据包的方式 (68)了解用于IPv6数据包的路径MTU消息 (69)了解SRX系列和J系列设备如何处理IPv6流的数据包分片 (70)了解IPv6流会话 (71)了解SRX5600和SRX5800架构和流处理 (71)为IPv6信息流启用基于流的处理 (73)使用过滤器显示SRX系列服务网关的IPv6会话和流信息 (75)IPv6NAT (79)IPv6NAT概述 (79)受IPv6NAT支持的源NAT转换 (79)受IPv6NAT支持的目标NAT映射 (80)受IPv6NAT支持的静态NAT映射 (80)IPv6NAT PT概述 (81)IPv6NAT-PT通信概述 (82)示例：使用缺省目标地址前缀静态映射配置由IPv4发起到IPv6节点的连接 (82)示例：使用静态目标地址一对一映射配置由IPv4发起到IPv6节点的连接 (85)示例：使用缺省目标地址前缀静态映射配置由IPv6发起到IPv4节点的连接 (88)示例：使用静态目标地址一对一映射配置由IPv6发起到IPv4节点的连接 (91)IPv6ALG (94)用于路由、NAT和NAT-PT的IPv6DNS ALG (94)NAT模式下的IPv6DNS ALG信息流 (94)NAT-PT模式下的IPv6DNS ALG信息流 (94)用于路由的IPv6FTP ALG (95)针对IPv6的FTP ALG支持 (95)EPRT模式 (96)EPSV模式 (96)TFTP ALG支持IPv6 (96)了解针对ICMP的IPV6ALG支持 (96)ICMP错误消息 (97)ICMP ALG功能 (97)Junos OS安全配置指南第四章基于数据包的处理 (99)了解基于数据包的处理 (99)了解选择性无状态基于数据包的服务 (100)选择性无状态基于数据包的服务配置概述 (101)示例：配置选择性无状态基于数据包的服务，用于端到端基于数据包的转发 (103)示例：配置选择性无状态基于数据包的服务，用于基于数据包到基于流的转发 (112)了解服务卸载解决方案 (120)服务卸载许可证概述 (122)第二部分安全区段和接口第五章安全区段和接口 (127)安全区段和接口概述 (127)了解安全区段接口 (127)了解接口端口 (128)安全区段 (128)了解功能区段 (128)了解安全区段 (129)示例：创建安全区段 (129)主机入站信息流 (131)了解如何根据信息流类型控制入站信息流 (131)支持的主机入站信息流系统服务 (132)示例：根据信息流类型控制入站信息流 (134)协议 (136)了解如何根据协议控制入站信息流 (136)示例：根据协议控制入站信息流 (137)TCP-Reset参数 (139)了解如何使用TCP-Reset参数识别重复的会话 (139)示例：配置TCP-Reset参数 (139)DNS (140)DNS概述 (141)DNS组件 (141)DNS服务器缓存 (141)示例：配置DNS服务器缓存的TTL值 (141)DNSSEC概述 (142)示例：配置DNSSEC (142)示例：配置DNSSEC密钥 (143)示例：配置DNSSEC安全域和可信任密钥 (143)第三部分通讯簿和地址集第六章通讯簿和地址集 (149)了解通讯簿 (149)预定义地址 (149)通讯簿中的网络前缀 (149)通讯簿中的通配符地址 (150)通讯簿中的DNS名称 (150)了解全局通讯簿 (150)了解地址集 (151)目录配置地址和地址集 (151)地址和地址集 (151)通讯簿和安全区段 (152)通讯簿和安全策略 (152)可用于安全策略的地址 (153)将策略应用于地址集 (153)通讯簿和NAT (154)示例：配置通讯簿和地址集 (155)地址和地址集的限制 (159)第四部分安全策略第七章安全策略 (163)安全策略概述 (163)了解安全策略规则 (165)了解通配符地址 (167)了解安全策略元素 (168)了解自信息流的安全策略 (169)安全策略配置概述 (169)使用防火墙向导配置策略 (170)示例：配置安全策略以允许或拒绝所有信息流 (170)示例：配置安全策略以允许或拒绝选定信息流 (174)示例：配置安全策略以允许或拒绝通配符地址信息流 (178)了解安全策略排序 (181)示例：策略重新排序 (182)安全策略故障排除 (183)检查安全策略提交失败 (183)验证安全策略提交 (184)调试策略查找 (184)监控策略统计信息 (184)匹配安全策略 (185)了解审核日志的搜索和排序 (186)了解数据包流报警和审核 (187)示例：在响应策略违规时生成安全报警 (188)第八章安全全局策略 (191)全局策略概述 (191)示例：配置全局策略 (192)在高端SRX系列设备上定义策略的最佳实践 (194)检查内存状态 (196)第九章安全策略时间表 (199)安全策略时间表概述 (199)示例：配置时间表 (200)验证预定的策略 (202)Junos OS安全配置指南第十章安全策略应用 (205)安全策略应用概述 (205)策略应用集概述 (206)示例：配置应用和应用集 (206)定制策略应用 (208)了解定制策略应用 (208)定制应用映射 (208)示例：添加和修改定制策略应用 (209)示例：定义定制ICMP应用 (210)策略应用超时 (212)了解策略应用超时配置和查找 (212)了解策略应用超时意外情况 (213)示例：设置策略应用超时 (214)了解ICMP预定义策略应用 (215)ICMP不可访问错误的缺省行为 (218)了解与互联网相关的预定义策略应用 (219)了解Microsoft预定义策略应用 (220)了解动态路由协议预定义策略应用 (221)了解流视频预定义策略应用 (222)了解Sun RPC预定义策略应用 (222)了解安全和通道预定义策略应用 (223)了解与IP相关的预定义策略应用 (224)了解即时消息传递预定义策略应用 (224)了解管理预定义策略应用 (225)了解邮件预定义策略应用 (226)了解UNIX预定义策略应用 (227)了解其他预定义策略应用 (227)第五部分应用层网关第十一章ALG (231)ALG概述 (231)了解ALG类型 (232)了解VoIP DSCP重写规则 (233)示例：配置VoIP DSCP重写规则 (234)了解DNS修正 (235)禁用DNS修正（CLI过程） (236)第十二章H.323ALG (239)了解H.323ALG (239)了解Avaya H.323ALG (241)Avaya H.323ALG特有功能 (241)Avaya H.323ALG中的呼叫流详细信息 (241)H.323ALG配置概述 (242)H.323ALG端点注册超时 (243)了解H.323ALG端点注册超时 (243)示例：设置H.323ALG端点注册超时 (243)H.323ALG媒体源端口范围 (244)了解H.323ALG媒体源端口范围 (244)示例：设置H.323ALG媒体源端口范围 (245)H.323ALG DoS攻击保护 (246)了解H.323ALG DoS攻击保护 (246)示例：配置H.323ALG DoS攻击保护 (246)H.323ALG未知消息类型 (247)了解H.323ALG未知消息类型 (247)示例：允许未知H.323ALG消息类型 (248)示例：允许H.323ALG信息流通过专用区段中的关守 (249)示例：允许H.323ALG信息流通过外部区段中的关守 (254)示例：结合使用NAT和H.323ALG来启用内向呼叫 (259)示例：结合使用NAT和H.323ALG来启用外向呼叫 (265)第十三章用于IKE和ESP的ALG (271)了解用于IKE和ESP的ALG (271)了解用于IKE和ESP的ALG操作 (272)示例：配置IKE与ESP ALG (272)示例：启用IKE与ESP ALG并设置超时 (277)第十四章SIP ALG (281)了解SIP ALG (281)SIP ALG操作 (282)SDP会话说明 (283)针孔创建 (283)了解SIP ALG请求方法 (285)SIP ALG配置概述 (286)SIP ALG呼叫持续时间和超时 (286)了解SIP ALG呼叫持续时间和超时 (286)示例：设置SIP ALG呼叫持续时间和超时 (287)SIP ALG DoS攻击保护 (288)了解SIP ALG DoS攻击保护 (289)示例：配置SIP ALG DoS攻击保护 (289)SIP ALG未知消息类型 (290)了解SIP ALG未知消息类型 (290)示例：允许未知SIP ALG消息类型 (291)SIP ALG暂停资源 (292)了解SIP ALG暂停资源 (292)保留SIP ALG暂停资源（J-Web过程） (292)保留SIP ALG暂停资源（CLI过程） (293)SIP ALG和NAT (293)了解SIP ALG和NAT (293)外向呼叫 (294)内向呼叫 (294)已转移呼叫 (295)呼叫终止 (295)呼叫Re-INVITE消息 (295)呼叫会话计时器 (295)呼叫取消 (295)分支 (295)SIP消息 (295)SIP包头 (296)SIP正文 (298)SIP NAT场景 (298)SIP响应的类别 (300)了解使用SIP Registrar和NAT的内向SIP ALG呼叫支持 (302)示例：为内向SIP呼叫配置接口源NAT (303)示例：为内向SIP呼叫配置源NAT池 (308)示例：为内向SIP呼叫配置静态NAT (313)示例：配置专用区段中的SIP代理和公共区段中的NAT (318)示例：配置三区段SIP ALG和NAT场景 (323)验证SIP ALG配置 (330)验证SIP ALG (330)验证SIP ALG呼叫 (330)验证SIP ALG呼叫详细信息 (331)验证SIP ALG计数器 (331)验证SIP ALG消息的速率 (332)第十五章SCCP ALG (335)了解SCCP ALG (335)SCCP安全性 (336)SCCP组件 (336)SCCP客户端 (336)呼叫管理器 (337)集群 (337)SCCP事务 (337)客户端初始化 (337)客户端注册 (337)呼叫设置 (338)媒体设置 (338)SCCP控制消息和RTP流 (338)SCCP消息 (339)SCCP ALG配置概述 (340)SCCP ALG静止媒体超时 (340)了解SCCP ALG静止媒体超时 (340)示例：设置SCCP ALG静止媒体超时 (341)SCCP ALG未知消息类型 (342)了解SCCP ALG未知消息类型 (342)示例：允许未知SCCP ALG消息类型 (342)SCCP ALG DoS攻击保护 (343)了解SCCP ALG DoS攻击保护 (343)示例：配置SCCP ALG DoS攻击保护 (344)示例：在专用区段中配置SCCP ALG呼叫管理器或TFTP服务器 (345)验证SCCP ALG配置 (351)验证SCCP ALG (351)验证SCCP呼叫 (352)验证SCCP呼叫详细信息 (352)验证SCCP计数器 (353)第十六章MGCP ALG (355)了解MGCP ALG (355)MGCP安全性 (356)MGCP中的实体 (356)端点 (356)连接 (356)呼叫 (357)呼叫代理 (357)命令 (357)响应代码 (359)MGCP ALG配置概述 (360)MGCP ALG呼叫持续时间和超时 (360)了解MGCP ALG呼叫持续时间和超时 (361)示例：设置MGCP ALG呼叫持续时间 (361)示例：设置MGCP ALG静止媒体超时 (363)示例：设置MGCP ALG事务超时 (364)MGCP ALG DoS攻击保护 (365)了解MGCP ALG DoS攻击保护 (365)示例：配置MGCP ALG DoS攻击保护 (365)MGCP ALG未知消息类型 (366)了解MGCP ALG未知消息类型 (366)示例：允许未知MGCP ALG消息类型 (367)示例：使用MGCP ALG配置用户家中的媒体网关 (368)示例：使用MGCP ALG和NAT配置ISP托管三区段服务 (375)第十七章RPC ALG (385)了解RPC ALG (385)Sun RPC ALG (385)了解Sun RPC ALG (386)启用Sun RPC ALG（J-Web过程） (386)启用Sun RPC ALG（CLI过程） (387)Sun RPC服务和应用程序 (387)了解Sun RPC服务 (387)自定义Sun RPC应用程序（CLI过程） (388)Microsoft RPC ALG (389)了解Microsoft RPC ALG (389)启用Microsoft RPC ALG（J-Web过程） (389)启用Microsoft RPC ALG（CLI过程） (390)Microsoft RPC服务和应用程序 (390)了解Microsoft RPC服务 (390)自定义Microsoft RPC应用程序（CLI过程） (390)验证Microsoft RPC ALG表 (391)第六部分用户认证第十八章防火墙用户认证 (395)防火墙用户认证概述 (395)传递认证 (396)了解传递认证 (396)示例：配置传递认证 (397)Web认证 (402)了解Web认证 (402)示例：配置Web认证 (404)外部认证 (410)了解外部认证服务器 (410)了解SecurID用户认证 (410)示例：配置RADIUS和LDAP用户认证 (411)示例：配置SecurID用户认证 (415)示例：删除SecurID节点机密文件 (418)用于防火墙认证的客户端组 (419)了解用于防火墙认证的客户端组 (419)示例：为客户端组配置本地用户 (420)防火墙认证标题自定义 (421)了解防火墙认证标题自定义 (421)示例：自定义防火墙认证标题 (422)第十九章Infranet认证 (425)UAC和Junos OS (425)了解Junos OS环境中的UAC (425)在Junos OS环境中启用UAC（CLI程序） (427)Junos OS执行器和IC系列UAC设备通信 (427)了解Junos OS执行器和IC系列UAC设备之间的通信 (427)配置Junos OS执行器和IC系列UAC设备之间的通信（CLI程序） (428)Junos OS执行器策略执行 (429)了解Junos OS执行器策略执行 (430)使用仅测试模式测试Junos OS执行器策略访问决定（CLI程序） (431)验证Junos OS执行器策略执行 (431)显示来自Junos OS执行器的IC系列UAC设备认证表条目 (431)显示来自Junos OS执行器的IC系列UAC设备资源访问策略 (431)Junos OS执行器和IPsec (432)了解使用IPsec的Junos OS执行器实施 (432)示例：将设备配置为使用IPsec的Junos OS执行器(CLI) (433)Junos OS执行器和Infranet代理端点安全 (440)了解使用Infranet代理与Junos OS执行器的端点安全 (440)配置使用Infranet代理与Junos OS执行器的端点安全 (440)Junos OS执行器和捕获门户 (440)了解Junos OS执行器上的捕获门户 (441)了解Junos OS执行器上的捕获门户配置 (442)示例：在Junos OS执行器上创建捕获门户策略 (443)了解捕获门户重定向URL选项 (445)示例：配置捕获门户的重定向URL (446)Junos OS执行器和IC系列UAC设备集群故障切换 (447)了解Junos OS执行器与IC系列UAC设备集群之间的通信 (448)配置Junos OS执行器故障切换选项（CLI程序） (448)第七部分虚拟专用网第二十章互联网协议安全性 (453)VPN概述 (453)IPsec VPN拓扑 (454)比较基于策略的VPN与基于路由的VPN (454)安全关联 (455)IPsec密钥管理 (456)手动密钥 (456)自动密钥IKE (456)Diffie-Hellman交换 (457)IPsec安全协议 (457)AH协议 (457)ESP协议 (458)IPsec通道协商 (458)SRX系列服务网关中的分布式VPN (459)了解IKE和IPsec数据包处理 (459)通道模式下的数据包处理 (459)IKE数据包处理 (461)IPsec数据包处理 (464)了解IKE通道协商的阶段1 (466)主模式 (467)积极模式 (467)了解IKE通道协商的阶段2 (468)代理ID (468)完全向前保密 (469)回放攻击保护 (469)了解互联网密钥交换版本2 (469)基于路由的VPN (470)了解基于路由的IPsec VPN (470)示例：配置基于路由的VPN (471)示例：为IKEv2配置基于路由的VPN (487)基于策略的VPN (503)了解基于策略的IPsec VPN (503)示例：配置基于策略的VPN (503)集中星型VPN (520)了解集中星型VPN (520)示例：配置集中星型VPN (521)NAT穿透 (551)了解NAT-T (551)示例：在仅响应方位于NAT之后时配置基于路由的VPN (552)示例：在发起方和响应方均位于NAT设备之后时配置基于策略的VPN (575)使用VPN向导配置IPsec VPN (600)了解IPv6IKE和IPsec数据包处理 (600)IPv66in6通道模式下的数据包处理 (601)IPv6IKE数据包处理 (601)IPv6IPsec数据包处理 (602)IPv6中的AH协议 (602)IPv6中的ESP协议 (603)IPv6中的完整性校验值(ICV)计算 (603)IPv6通道模式下的包头结构 (603)IPv6IPsec配置概述 (604)示例：配置IPv6IPsec手动VPN (605)示例：配置IPv6自动密钥IKE基于策略的VPN (607)全局SPI和VPN监控功能 (623)了解全局SPI和VPN监控功能 (623)示例：配置全局SPI和VPN监控功能 (623)针对基于路由的VPN的虚拟路由器支持 (624)示例：在虚拟路由器中配置st0接口 (625)了解虚拟路由器限制 (629)了解VPN报警和审核 (629)示例：配置FIPS自检 (631)示例：设置声音警报作为安全报警的通知 (633)示例：生成安全报警以响应潜在的违反情况 (634)第二十一章证书公开密钥密码术 (637)了解证书和PKI (637)证书签名和验证 (638)公开密钥基础 (638)PKI管理和实施 (640)互联网密钥交换 (641)数字证书配置概述 (641)在线启用数字证书：配置概述 (642)手动生成数字证书：配置概述 (642)公钥-私钥对 (643)了解公开密钥密码术 (643)示例：生成公钥-私钥对 (643)CA配置文件 (644)了解证书授权机构配置文件 (644)示例：配置CA配置文件 (645)证书注册 (646)了解在线CA证书注册 (646)使用SCEP在线注册CA证书 (646)示例：使用SCEP在线注册本地证书。

junipersrx防火墙配置管理手册

Juniper SRX系列防火墙配置管理手册目录一、JUNOS操作系统介绍 (3)层次化配置结构 (3)JunOS配置管理 (4)SRX主要配置内容 (4)二、SRX防火墙配置操作举例说明 (5)初始安装 (5)设备登陆 (5)设备恢复出厂介绍 (5)设置root用户口令 (5)设置远程登陆管理用户 (6)远程管理SRX相关配置 (6)配置操作实验拓扑 (7)策略相关配置说明 (7)策略地址对象定义 (8)策略服务对象定义 (8)策略时间调度对象定义 (8)添加策略配置举例 (9)策略删除 (10)调整策略顺序 (10)策略失效与激活 (10)地址转换 (10)Interface based NAT 基于接口的源地址转换 (11)Pool based Source NAT基于地址池的源地址转换 (12)Pool base destination NAT基于地址池的目标地址转换 (12)Pool base Static NAT基于地址池的静态地址转换 (13)路由协议配置 (14)静态路由配置 (14)OSPF配置 (15)交换机Firewall限制功能 (22)限制IP地 (22)限制MAC地址 (22)三、SRX防火墙常规操作与维护 (23)设备关机 (23)设备重启 (23)操作系统升级 (24)密码恢复 (24)常用监控维护命令 (25)Juniper SRX Branch系列防火墙配置管理手册说明SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

Juniper_SRX配置手册

Juniper SRX防火墙配置手册一、JUNOS操作系统介绍1.1 层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。

JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。

在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd 命令）,exit命令退回上一级，top命令回到根级。

1.2 JunOS配置管理JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate Config）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX 语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Active config）。

另外，JUNOS 允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。

在执行commit命令前可通过配置模式下show命令查看当前候选配置（Candidate Config），在执行commit后配置模式下可通过run show config命令查看当前有效配置（Active config）。

此外可通过执行show | compare比对候选配置和有效配置的差异。

SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效配置，并可通过执行rolback和commit命令返回到以前配置（如rollback 0/commit可返回到前一commit配置）；也可以直接通过执行save configname.conf手动保存当前配置，并执行load override configname.conf / commit调用前期手动保存的配置。

Juniper SRX防火墙简明配置手册

Juniper SRX防火墙简明配置手册1.登录web管理界面工程师站网卡ip设置为10.5.241.0网段的地址，子网255.255.255.0，网线直连防火墙第一个接口，打开web浏览器输入地址10.5.241.29，输入用户名：root 密码：zaq1@WSX 点击log in如下图：2.配置接口地址点击configure-interfaces-ports-ge0/0/0-add添加ge0/0/0接口地址为10.5.241.29/24,zone选择untrust：点击configure-interfaces-ports-ge0/0/1-add添加ge0/0/1接口地址为10.56.21.29/24,zone选择trust：3.配置静态nat点击nat-staticnat-add 配置rule名称，from选择untrust，rules点击add添加静态路由，如下图：4.配置proxy点击nat-proxy-add，interface选择ge0/0/0,将映射的外网ip地址添加进来，如下图：5.配置静态路由点击Routing-StaticRouting-Add，route配置为0.0.0.0，next-hop配置为10.5.241.1（外网网关地址）6.配置zone策略点击security-zones/screens-add配置zone name为untrust,binding screen选择untrust-screen，interface in the zone选择接口ge0/0/0.0，host inbound traffic-zone里配置好允许访问的服务端口。

点击security-zones/screens-add配置zone name为trust,interface in the zone选择接口ge0/0/1.0，host inbound traffic-zone里配置好允许访问的服务端口。

juniper_srx配置手册()

J u n i p e r S R X防火墙配置手册一、JUNOS操作系统介绍1.1 层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI 两种接口配置方式，本文主要对CLI命令行方式进行配置说明。

JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。

在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级。

1.2 JunOS配置管理JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（CandidateConfig）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Active config）。

另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。

在执行commit命令前可通过配置模式下show命令查看当前候选配置（Candidate Config），在执行commit后配置模式下可通过run show config命令查看当前有效配置（Active config）。

此外可通过执行show | compare比对候选配置和有效配置的差异。

SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效配置，并可通过执行rolback和commit命令返回到以前配置（如rollback 0/commit可返回到前一commit配置）；也可以直接通过执行save configname.conf 手动保存当前配置，并执行load override configname.conf / commit调用前期手动保存的配置。

Juniper SRX基本配置手册

Juniper SRX防火墙基本配置手册1SRX防火墙的PPPoE拔号配置Juniper SRX防火墙支持PPPoE拔号，这样防火墙能够连接ADSL链路，提供给内网用户访问网络的需求。

配置拓扑如下所示：Ge-0/0/4 via PPPoE to obtian IP addressJuniper SRX240防火墙在Juniper SRX防火墙上面设置ADSL PPPoE拔号，可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0，在命令行下面的查看命令如下所示：juniper@HaoPeng# run show interfaces terse | match ppInterface Admin Link Proto Local Remotepp0 up up在WEB界面下，也能够看到PPPoE的拔号接口pp0配置步聚如下所示：第一步：选择接口ge-0/0/4作为PPPoE拔号接口的物理接口，将接口封装成PPPoETo configure PPPoE encapsulation on an Ethernet interface:juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether第二步：配置PPPoE接口PP0.0的参数To create a PPPoE interface and configure PPPoE options:user@host# set interfaces pp0 unit 0 pppoe-options underlying-interfacege-0/0/4.0 auto-reconnect 100 idle-timeout 100 client第三步：配置PPPoE接口的MTU值To configure the maximum transmission unit (MTU) of the IPv4 family:user@host# set interfaces pp0 unit 0 family inet mtu 1492第四步：配置PPPoE接口的地址为negotiate-addressTo configure the PPPoE interface address:user@host# set interfaces pp0 unit 0 family inet negotiate-address第五步：配置PPPoE接口的PAP认证set int pp0 unit 0 ppp-options pap default password 88888878 local-name ****************local-password88888878 passive注意：default password和local password都必须设置成ADSL拔号时所用的密码，local name 必须是ADSL拔号时所用的用户名。

JuniperSRX防火墙配置管理手册

Juniper SRX系列防火墙配置管理手册目录一、JUNOS操作系统介绍 (3)1.1 层次化配置结构 (3)1.2 JunOS配置管理 (4)1.3 SRX主要配置内容 (4)二、SRX防火墙配置操作举例说明 (5)2.1 初始安装 (5)2.1.1 设备登陆 (5)2.1.2 设备恢复出厂介绍 (5)2.1.3 设置root用户口令 (5)2.1.4 设置远程登陆管理用户 (6)2.1.5 远程管理SRX相关配置 (6)2.2 配置操作实验拓扑 (7)2.3 策略相关配置说明 (7)2.3.1 策略地址对象定义 (8)2.3.2 策略服务对象定义 (8)2.3.3 策略时间调度对象定义 (8)2.3.4 添加策略配置举例 (9)2.3.5 策略删除 (10)2.3.6 调整策略顺序 (10)2.3.7 策略失效与激活 (10)2.4 地址转换 (10)2.4.1 Interface based NAT 基于接口的源地址转换 (11)2.4.2 Pool based Source NAT基于地址池的源地址转换 (12)2.4.3 Pool base destination NAT基于地址池的目标地址转换 (12)2.4.4 Pool base Static NAT基于地址池的静态地址转换 (13)2.5 路由协议配置 (14)静态路由配置 (14)OSPF配置 (15)交换机Firewall限制功能 (22)限制IP地 (22)限制MAC地址 (22)三、SRX防火墙常规操作与维护 (23)3.2设备关机 (23)3.3设备重启 (23)3.4操作系统升级 (24)3.5密码恢复 (25)3.6常用监控维护命令 (26)Juniper SRX Branch系列防火墙配置管理手册说明SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

Juniper SRX防火墙配置手册-命令行模式

Juniper SRX防火墙简明配置手册目录一、JUNOS操作系统介绍 (3)1.1 层次化配置结构 (3)1.2 JunOS配置管理 (4)1.3 SRX主要配置内容 (5)二、SRX防火墙配置对照说明 (6)2.1 初始安装 (6)2.1.1 登陆 (6)2.1.2 设置root用户口令 (6)2.1.3 设置远程登陆管理用户 (7)2.1.4 远程管理SRX相关配置 (7)2.2 Policy (8)2.3 NAT (8)2.3.1 Interface based NAT (9)2.3.2 Pool based Source NAT (10)2.3.3 Pool base destination NAT (11)2.3.4 Pool base Static NAT (12)2.4 IPSEC VPN (13)2.5 Application and ALG (15)2.6 JSRP (15)三、SRX防火墙常规操作与维护 (19)3.1 设备关机 (19)3.2设备重启 (20)3.3操作系统升级 (20)3.4密码恢复 (21)3.5常用监控维护命令 (22)Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

Juniper_SRX中文配置手册及图解

前言、版本说明 (2)一、界面菜单管理 (4)2、WEB管理界面 (4)（1）Web管理界面需要浏览器支持Flash控件。

(4)（2）输入用户名密码登陆： (4)（3）仪表盘首页 (5)3、菜单目录 (7)二、接口配置 (12)1、接口静态IP (12)2、PPPoE (13)3、DHCP (14)三、路由配置 (16)1、静态路由 (16)2、动态路由 (16)四、区域设置Zone (18)五、策略配置 (20)1、策略元素定义 (20)2、防火墙策略配置 (22)3、安全防护策略 (25)六、地址转换 (26)1、源地址转换-建立地址池 (26)2、源地址转换规则设置 (27)七、VPN配置 (30)1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (30)2、建立第一阶段IKE策略 (31)3、建立第一阶段IKE Gateway (32)4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (33)5、建立第一阶段IKE策略 (34)6、建立VPN策略 (35)八、Screen防攻击 (37)九、双机 (38)十、故障诊断 (38)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9.6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本（CPU持续保持在60%以上，甚至90%）9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：root@srx240-1%输入cli命令进入JUNOS访问模式：root@srx240-1% cliroot@srx240-1>输入configure进入JUNOS配置模式：root@srx240-1% cliroot@srx240-1> configureEntering configuration mode[edit]root@srx240-1#防火墙至少要进行以下配置才可以正常使用：(1)设置root密码（否则无法保存配置）(2)开启ssh/telnet/http服务(3)添加用户（root权限不能作为远程telnet帐户，可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面（1）Web管理界面需要浏览器支持Flash控件。

JuniperSRX详细配置手册（含注释）

JuniperSRX详细配置手册（含注释）Juniper SRX标准配置第一节系统配置 (3)1.1、设备初始化 (3)1.1.1登陆 (3)1.1.2设置root用户口令 (3)1.1.3设置远程登陆管理用户 (3)2、系统管理 (4)1.2.1 选择时区 (4)1.2.2 系统时间 (4)1.2.3 DNS服务器 (5)1.2.4系统重启 (5)1.2.5 Alarm告警处理 (5)1.2.6 Root密码重置 (6)第二节网络设置 (7)2.1、Interface (7)2.1.1 PPPOE (7)2.1.2 Manual (8)2.1.3 DHCP (8)2.2、Routing (9)Static Route (9)2.3、SNMP (9)第三节高级设置 (9)3.1.1 修改服务端口 (9)3.1.2 检查硬件序列号 (9)3.1.3 内外网接口启用端口服务 (10)3.1.4 创建端口服务 (10)3.1.5 VIP端口映射 (10)3.1.6 MIP映射 (11)3.1.7禁用console口 (12)3.1.8 Juniper SRX带源ping外网默认不通，需要做源地址NAT (12)3.1.9 设置SRX管理IP (12)3.2.0 配置回退 (13)3.2.1 UTM调用 (13)3.2.2 网络访问缓慢解决 (13)第四节VPN设置 (14)4.1、点对点IPSec VPN (14)4.1.1 Route Basiced (14)4.1.2 Policy Basiced (17)4.2、Remote VPN (19)4.2.1 SRX端配置 (19)4.2.2 客户端配置 (20)第一节系统配置1.1、设备初始化1.1.1登陆首次登录需要使用Console口连接SRX，root用户登陆，密码为空login: rootPassword:--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTCroot% cli /***进入操作模式***/root>root> configureEntering configuration mode /***进入配置模式***/[edit]Root#1.1.2设置root用户口令（必须配置root帐号密码，否则后续所有配置及修改都无法提交）root# set system root-authentication plain-text-passwordroot# new password : root123root# retype new password: root123密码将以密文方式显示root# show system root-authenticationencrypted-password"$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA 注意：强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password 加密方式)，此配置参数要求输入的口令应是经加密算法加密后的字符串，采用这种加密方式手工输入时存在密码无法通过验证风险。