junipersrx100防火墙配置选读.docx

Junipersrx100防火墙配置指导#一、初始化安装1.1设备登录Juniper SRX系列防火墙。开机之后，第一次必须通过console 口（通用超级终端缺省配置）连接SRX, 输入root 用户名登陆，密码为空，进入到SRX设备之后可以开始加载基线配置。特别注意：SRX低端系列防火墙，在第一次登陆时，执行命令 “show configuration” 你会发现系统本身已经具备一些配置内容（包括DNS名称、DHCP服务器等），建议删除这些配置，重新配置。 Delete 删除 设备开机请直接通过console 连接到防火墙设备Login ： rootPassword ： /***初始化第一次登陆的时候，密码为空**/Root% cli /**进入操作模式**/RootRoot configure /** 进入配置模式**/Root# delete /***配置模式执行命令“delete” 全局删除所有的系统缺省配置***/1.2 系统基线配置Set system host-name name/***配置设备名称“name”***/Set system time-zone Asia/Chongqing/***配置系统时区***/Set system root-authentication plain-text-password 输入命令，回车New password: 第一次输入新密码，Retype new password 重新确认新密码/***配置系统缺省根账号密码，不允许修改根账号名称“root” ***/注意：root帐号不能用于telnet，但是可以用于web和ssh管理登录到设备Set system login user topsci class super-user authentication plain-text-passwordNew password 输入密码Retype new password 确认密码/***创建一个系统本地账号“name“， set system services sshset system services telnetset system services web-management http interface allsetsysthm services web-management http port 81 interface allset system services web-management https system-generated-certificateset system services web-management https interface all/***全局开启系统管理服务，ssh\telnet\http\https***/set interfacesge-0/0/2unit 0 family inet address /24set security zones security-zone trustinterfaces ge-0/0/2.0host-inbound-traffic system-services allset security zones security-zone trustinterfacesge-0/0/2.0host-inbound-traffic protocols all/***定义内网接口同时定义安全区域并将接口加入到安全区域，接口的选择根据实际需求安排***/★至此系统的基线配置完成，你可以通过PC机连接到防火墙的ge-0/0/2端口配置同网段的IP地址，使用WEB界面或者telnet\SSH方式登录到防火墙，实施生产配置和进一步完善基线配置，比如配置NTP服务器、SYSLOG服务器、SNMP服务器、安全策略、路由协议、地址转换、UTM等功能。二、应用场景——生产配置实施步骤2.1 打开浏览器，输入http://Ip地址，输入用户名和密码，点击login进入到WEB管理。2.2 配置接口IP地址首先点击WEB界面顶端菜单栏的”Configure”按钮，然后点击并展开左边菜单栏的”interface”按钮，接下来点击ports，按钮，页面将展示系统在线的所有端口。然后我们可以开始查看并配置相应的物理接口IP地址，在本应用场景中，我们将需要在WEB界面配置fe-0/0/0/端口(连接公网)和ge-0/0/2端口由于属于内网接口，ge-0/0/2在之前基线配置中已经完成，因此WEB界面不再重新说明如何配置，配置方法与接下来的端口配置一致。在此选择一个你想要配置的物理接口，点击右上角的”ADD”按钮下拉，然后再点击“logical interface”。当点击”logic