Juniper SRX防火墙Web配置说明

资源描述

Juniper SRX 防火墙配置说明 Juniper SRX 防火墙配置说明 1 系统配置 1 1 1 配置 ROOT 帐号密码 1 1 2 配置用户名和密码 2 2 接口配置 4 2 1 IPV4 地址配置 4 2 2 接口 TRUNK 模式配置 9 2 3 接口 ACCESS 模式配置 10 3 VLAN 配置 11 3 1 创建 VLAN 配置 11 4 路由配置 15 4 1 静态路由配置 15 5 自定义应用配置 16 5 1 自定义服务配置 16 5 2 应用组配置 17 6 地址组配置 18 6 1 地址簿配置 18 6 2 地址组配置 19 7 日程表配置 21 8 NAT 配置 24 8 1 STATIC NAT 配置 24 Juniper SRX 防火墙配置说明 1 1 系统配置 1 1 配置 root 帐号密码首次登陆设备时需要采用 console 方式登陆用户名为 root 密码为空登陆到 cli 下以后执行如下命令设置 root 帐号的密码 root set system root authentication plain text password root new password root123 root retype new password root123 密码将以密文方式显示注意必须要首先配置 root 帐号密码否则后续所有配置的修改都无法提交 SRX 系列低端设备在开机后系统会加载一个默认配置设备的第一个接口被划分在 trust 区域配置一个 ip 地址 192 168 1 1 允许 ping telnet web 等管理方式可以通过该地址登陆设备登陆后显示页面如下 Juniper SRX 防火墙配置说明 2 在该页面上可以看到设备的基本情况在左边的 chassis view 中可以看到端口 up down 情况在 system identification 中可以看到设备序列号设备名称软件版本等信息在 resource utilization 中可以看到 cpu menory session 存储空间等信息在 security resources 中可以看到当前的会话统计策略数量统计等信息 1 2 配置用户名和密码平时配置设备时建议不要使用 root 帐号可以建立 1 个拥有配置权限的用户名首先点击页面上方的 configure 进入 system properties user management 点击 edit 后出现用户帐号编辑对话框点击 add 添加一个新帐号配置方式如下 Juniper SRX 防火墙配置说明 3 必须要填的选项包括 user name password confirm password login class 完成后点击 ok 注意密码必须至少是数字和字母的组合不可以只配置数字或字母配置完成后如下图所示 Juniper SRX 防火墙配置说明 4 1 3 系统时间配置在 configure 菜单下进入 system properties date time 点击 edit Juniper SRX 防火墙配置说明 5 Timezone 在下拉框中选择时区一般可以选择 asia shanghai Set time 可以选择与 pc 时间同步或与 ntp 服务器同步或手工配置时间完成配置后点击 ok 提交配置 1 4 设备名称配置在 configure 下进入 system properties System Identity 点击 edit Juniper SRX 防火墙配置说明 6 Hostname 设备的主机名称 Root password Root 帐号的密码 Dns servers Dns 服务器点击 add 进行添加可添加多个完成配置后点击 ok 提交配置 1 5 系统服务配置系统服务设置包括设备 loopback 接口配置设备管理方式配置等在 configure 下进入 system properties System Identity 点击 edit Juniper SRX 防火墙配置说明 7 Loopback address 配置环回接口的 ip 地址 Subnet mask 子网掩码设备会自动根据输入的 ip 地址更改掩码的位数也可根据实际情况修改配置完成后可切换到 services 下继续其它配置 Juniper SRX 防火墙配置说明 8 services 页面下可以设置设备全局管理选项的 Services 配置设备开启 telnet 和 ssh 服务 Junoscript 配置设备开启脚本服务一般情况不用选择 Enable http 配置设备开启 web 服务钩选该项后就在全局上允许通过 web 来管理设备还可以指定具体开启 web 服务的接口或选择 enable on all interfaces 来在所有接口上开启 web 服务 Enable https 配置设备开启 https 服务除了钩选 enable https 外还要在 https certificate 下拉框中选择一个证书默认情况下就可以选择 system generated certificate 这个系统自带的证书钩选该项后就在全局上允许通过 https 来管理设备还可以指定具体开启 https 服务的接口或选择 enable on all interfaces 来在所有接口上开启 web 服务 2 接口配置 Juniper SRX 防火墙配置说明 9 在 SRX 防火墙上不能直接将地址配置在物理接口上所有接口地址都必须配置在子接口上在 web 页面上当配置完接口 ip 地址后设备会自动创建 unit 0 接口 2 1 IPV4 地址配置在 configure 目录下点击 interface 在右边的接口列表中选择需要的接口配置页面如下在页面中选择 add 添加接口 ip 地址页面如下 Juniper SRX 防火墙配置说明 10 如需要在接口下进行 arp 和 mac 绑定在 arp address 中选择 add 出现如下界面 Juniper SRX 防火墙配置说明 11 填入相关信息钩选 publish 后点击 ok 完成配置后如下图 Juniper SRX 防火墙配置说明 12 在该页面下可以对该逻辑接口配置描述信息配置完成后点击 ok 在物理接口配置页面下在 logical interface 下可以配置物理接口描述修改接口 mtu 值在 Gigabit Ethernet Options 中可以配置物理接口协商加入端口聚合组加入冗余接口组等信息页面如下 Juniper SRX 防火墙配置说明 13 配置完成后点击 ok 确认配置 2 2 接口 Trunk 模式配置 SRX 防火墙接口支持 trunk 模式编辑对应接口在 Ethernet Switching Parameters 下钩选 Enable Ethernet Switching 选择 Port Mode 为 trunk 还可以配置该接口上的 Native VLAN Id 配置界面如下 Juniper SRX 防火墙配置说明 14 配置完成后点击 ok 提交配置 2 3 接口 Access 模式配置 SRX 防火墙同样支持接口的 access 模式编辑对应接口在 Ethernet Switching Parameters 下钩选 Enable Ethernet Switching 选择 Port Mode 为 access 配置界面如下 Juniper SRX 防火墙配置说明 15 配置完成后点击 ok 提交配置 3 VLAN 配置 SRX 防火墙上的 vlan 配置与 EX 系列交换机相同包括创建 vlan 将接口加入 vlan 建议 3 层 vlan 接口 3 1 创建 vlan 配置在 configure 菜单下选择 switching vlan 点击 add 添加一个 vlan 如下图 Juniper SRX 防火墙配置说明 16 这里需要填入的包括 vlan 名称 vlan id 还可以加入 vlan 描述信息完成后切换到 ports 选项卡如下图 Juniper SRX 防火墙配置说明 17 点击 add 在端口列表中选择需要加入该 vlan 的端口之后切换到 ip address 选项卡如下图 Juniper SRX 防火墙配置说明 18 钩选 ipv4 address 选项填入该 vlan 的 3 层接口地址和子网掩码在 vlan 的 3 层接口下同样可以实现 arp 和 mac 的静态绑定点击 arp mac detail 可以完成配置配置方式与接口下的绑定相同全部完成后点击 ok 出现如下图的页面 Juniper SRX 防火墙配置说明 19 该表会显示该 vlan 的一些基本信息点击 commit 提交配置 4 区域配置 SRX 防火墙中区域分为 2 类功能区域和安全区域功能区域就是管理接口所处的区域该区域不能编辑也不能删除一般情况下只需要将管理接口划分到该区域即可 4 1 安全区域配置安全区域是业务接口所属的区域系统默认的安全区域包括 trust untrust dmz 安全区域可以自行添加或删除在 configure 下选择 security zones 在 security zone 下点击 add 增加 1 个新的安全区域 Juniper SRX 防火墙配置说明 20 Zone name 区域的名称根据需要填写 System services 该区域允许的系统服务选择 allow selected services 在下拉框中选择需要的系统服务点击 add 进行添加 Juniper SRX 防火墙配置说明 21 Interface 定义区域后需要将需要的接口划分到该区域中在右边的列表中选择需要的接口点击向左的箭头加入到该区域中配置完成后点击 ok 提交配置 5 路由配置 SRX 防火墙支持静态路由 rip ospf bgp 动态路由协议以及策略路由 5 1 静态路由配置静态路由的配置与其它网络设备相同需要配置的项包括目的地址子网掩码下一跳地址路由查找的原则同样是明细路由优先直连路由优先级最高静态路由次之当设备配置了接口地址后在路由表中会生成一个 32 的 local 路由还会自动生成一个与子网掩码相同的直连路由 Juniper SRX 防火墙配置说明 22 配置页面如下图在 configure 中选择 routing static routing 点击 add 在弹出的窗口中选择添加 ipv4 路由在 next hop 中选择 add 填入下一跳地址 6 自定义应用配置 6 1 自定义服务配置 SRX 防火墙中预定义了很多服务在 configure security policy elements applications pre defined application 中可以看到很多以 junos 开头的服务这些都是防火墙中预定义的服务预定义的服务不能修改也不能删除当需要添加一个自定义的服务时在 configure security policy elements applications cumstom applications 中选择 add 需要配置的部分包括应用的名称匹配的协议 tcp udp 等目的端口源端口一般选择 1 65535 应用超时的时间 Juniper SRX 防火墙配置说明 23 注意应用超时时间单位是秒建议根据应用的实际情况设置一个合理的数值而千万不要选择 never 6 2 应用组配置同样可以将多个应用预定义的或是自定义的归纳到一个应用组中选择 configure security policy elements applications application sets 点击 add 新建一个应用组需要填写的内容包括应用组的名称然后在左边的应用中选择需要的应用点击向右箭头将选中的应用加入到右边的应用组中如果选择右边的应用点击向左的箭头则在该应用组中删除选中的应用全部完成后选择 ok 保存配置完成配置后如下图可以看到其中也包含很多系统预定义的应用组 Juniper SRX 防火墙配置说明 24 7 地址组配置 7 1 地址簿配置在 configure security policy elements address book 中可以定义地址簿和地址组在 address 中定义地址簿点击 add 需要填写的内容包括地址所属的区域地址簿的名称选择填写 ip 地址还是域名并在对应的 ip 地址或域名下填入所需内容 Juniper SRX 防火墙配置说明 25 注意在完成上述配置后点击 ok 设备会对配置进行语法检查当检查通过后地址配置窗口不会自动关闭因此可以继续修改相关内容添加一个新的地址簿条目当完成所有地址簿添加后点击 cancel 退出地址簿配置页面注意为了防止误配如果不准备将新添加的地址加入某个地址组则不要在 address sets 中点击任何地址组否则设备会自动将该地址加入到该地址组中 7 2 地址组配置在 SRX 中可以将多个同类型的地址簿归纳到一个地址组中在 configure security policy elements address sets 中点击 add 需要填写的内容包括地址组所处的区域地址组的名称在左边的窗口中选择需要加入该地址组的地址点击向右的箭头将该地址加入地址组中同样在右边的窗口选择一个地址点击向左的箭头则可以将该地址从地址组中删除当定义了地址组后在新建地址簿时在 address sets 中会出现所有该区域下的地址组可以在新建地址时就选择对应的地址组进行加入而不用再切换到 address sets 中进行配置 Juniper SRX 防火墙配置说明 26 Juniper SRX 防火墙配置说明 27 8 日程表配置 SRX 防火墙支持在策略中引用日程表来控制策略生效的时间在 configure security policy elements scheduler 中点击 add 新建 1 个日程表需要填写的内容包括日程表的名称控制的时间点在日程表中选择 scheduler date 是按照具体的日期来定义在定义时必须有至少 1 个开始时间和 1 个结束时间选择 daily 则是按照星期来定义日程表在 daily option 下拉框中可以选择 period 或是 none 选择 period 表示该日程表会每天执行定制的时间选择 none 表示非循环执行 Juniper SRX 防火墙配置说明 28 还可以为 1 周的每一天定义不同的日程表在为每 1 天定义日程表前需要将 daily option 中配置为 none 然后切换到 monday 在 daily option 中可以有 4 个选项 all day exclude period none all day 表示一整天则无需定义具体时间 exclude 表示排出下面定义的时间段 period 表示循环即每个周一都会执行定义的时间段 none 表示将周一排出在外不使用日程表定义完日程表后如下图所示点击对应的日程表在 scheduler detail 中可以看到该日程表的详细情况 Juniper SRX 防火墙配置说明 29 Juniper SRX 防火墙配置说明 30 9 NAT 配置在 SRX 防火墙中 nat 是独立配置的与策略无关设备在处理 nat 时首先处理 static nat 然后处理 destination nat 最后处理 source nat 所有的 nat 配置都在 configure nat 中 9 1 Static nat 配置 Static nat 即一对一的地址映射在 configure 下选择 nat destination nat 9 2 Destination nat 配置在 configure 下选择 nat destination nat 在 Destination Address Pool 下点击 add Juniper SRX 防火墙配置说明 31 需要配置的内容包括 Name 配置 pool 的名称根据需要配置 Ip address range 配置地址池可以写一个段如果只有 1 个地址则开始和结束地址写同一个即可配置完成后点击 ok 提交配置在 Destination Rule Sets 下点击 add 新增一个 nat 规则 Juniper SRX 防火墙配置说明 32 需要配置的内容包括 Name 规则的名称根据需要填写 From 起始区域在 zone 对应的下拉框中选择点击 add 进行添加可以选择多个此处只是配置了 nat 规则的起始和终止区域并没有配置详细的 nat 规则再次点击该规则在 rule 下点击 add 继续配置 Juniper SRX 防火墙配置说明 33 需要配置的内容包括 Name 规则的名称根据需要配置 Match 匹配条件在 destination address 下填入地址段如要基于端口进行地址转换则在 port 中填入需要的端口号 Then 执行动作 turn off destination nat 表示停止目的地址转换 pool name 下拉框中可以选择定义好的地址池进行引用配置完成后点击 ok 提交配置注意同一个 rule sets 下的 rule 名称不能相同 9 3 Source nat 配置在 configure 下选择 nat source nat 基本配置页面如下 Juniper SRX 防火墙配置说明 34 Address Persistent 是指地址附着设备会将相同的 IP 地址分配给主机的多个同时会话即保证在一段时间内设备在给同一个客户端在进行源地址转换时会替换成同一个源地址以保证部分应用的正常 Pool Utilization Alarm 中可以配置地址池的利用率告警阀值在源地址转换的 rule sets 配置中需要指定 from 和 to 区域并在该前提下配置具体的 rule 因此可以根据防火墙实际使用的区域来进行排列组合将同一个 from 和 to 区域 nat 的配置写在一个 rule sets 下根据不同的 rule 来进行区分 Juniper SRX 防火墙配置说明 35 在源地址转换中可以配置一个地址池用来进行源地址转换也可以使用接口地址作为地址池需要配置的地方包括 Name 地址池的名称根据需要填写 Port 用户地址转换的范围默认为使用 1024 63487 选择 no translation 则表示保持数据包的源端口不变即不进行端口转换如需要指定端口转换的范围则选择 translation 然后在 port range 中配置端口转换的范围绝大多数情况下该选项保持默认即可 Source addresses 填入用于该地址池的地址可以填前缀子网掩码的方式也可以填一段地址如只有 1 个地址则在 range 中填写同样的地址即可完成配置后点击 ok 提交配置接下来需要配置 nat 的规则在 Source Rule Sets 下点击 add 添加 1 条 nat 规则 Juniper SRX 防火墙配置说明 36 Juniper SRX 防火墙配置说明 37 需要配置的部分包括 Name 规则的名称根据需要填写 From 选择 soucre nat 的起始区域起始区域可以是路由实例接口或是安全区域 To 选择 source nat 的终止区域终止区域可以是路由实例接口或是安全区域也可以与起始区域相同完成配置后点击 ok 确认配置此处只是配置了 nat 规则的起始和终止区域并没有配置详细的 nat 规则再次点击该规则继续配置 Juniper SRX 防火墙配置说明 38 source nat rule 中需要配置的内容包括 Name 规则名称根据需要填写 Source address 源地址段填入需要的地址段后点击 add 进行添加可添加多个 Destination address 目的地址段填入需要的地址段后点击 add 进行添加可添加多个 Then 匹配后的动作可以选择停止 nat 使用接口地址作为地址池使用已定义好的地址池完成配置后点击 ok 提交配置注意同一个 rule sets 下的 rule 名称不能相同 9 4 Proxy arp 配置 Juniper SRX 防火墙配置说明 39 10 策略配置默认情况下设备中会有缺省配置的策略策略的配置仍然是基于区域的策略的匹配顺序为按显示顺序从上往下匹配在 configure Security policy fw policies 中在 from zone 和 to zone 中选择合适的区域点击 add 添加 1 条策略需要配置的内容包括 Policy name 策略的名称根据需要填写 From zone 起始区域根据需要填写 To zone 终止区域根据需要填写 Source address 策略的源地址段在左边的地址簿中选择需要的地址点击向右箭头进行添加 Juniper SRX 防火墙配置说明 40 Destination address 策略的目的地址段在左边的地址簿中选择需要的地址点击向右箭头进行添加 Application 匹配的应用根据需要填写 Policy action 策略的动作可选 permit deny reject 注意策略的源地址和目的地址必须要事先通过定义地址簿的方式配置好如没有事先添加可点击 add new source address 和 add new destination address 来进行添加上述各项为策略的必须配置项完成上述配置项后就可以提交该策略如需继续配置其它内容可以切换到 loggint count 来进一步配置策略可选的配置包括 Enable count 开启策略计数同时可以配置匹配该策略的流量告警阀值 Log options 开启策略日志 log at session close time 表示在会话结束时记录日志 log at session init time 表示在会话开始建立时记录日志 Juniper SRX 防火墙配置说明 41 切换到 Scheduler 配置该策略生效的日程表在下拉框中选择合适的日程表即可切换到 permit action 中可以配置额外的允许选项 Juniper SRX 防火墙配置说明 42 Tunnel 如果配置基于策略的 ipsec vpn 则需要在 vpn 下拉框中选择对应的 vpn 配置如需要对匹配该策略的用户进行认证则需要在 firewall authentication 中的 access profile 中选择对应的配置文件切换到 application services 菜单可以配置 idp 或 utm 相关内容 Juniper SRX 防火墙配置说明 43 Idp 启用 idp 相关配置 Redirect 配置防火墙将流量重定向到 wx 设备或配置防火墙将流量反向重定向到 wx Utm policy 配置防火墙启用 utm 配置完成所有配置后点击 ok 提交配置全部配置完成后如下图所示 Juniper SRX 防火墙配置说明 44 在策略页面的左上角有一些功能按钮可以快速修改策略的一些设置 Add 添加 1 条策略 Edit 编辑 1 条策略 Delete 删除 1 条策略 Clone 克隆新建 1 条与选中的策略配置完全一样的策略通过 clone 可以快速建立同一类型的策略 Deactive 暂停 1 条策略点击 1 条策略并选择 deactive 后该策略会临时被关闭 Move 移动策略的排列顺序使用 move 可以快速调整策略的顺序

展开阅读全文