1、前言、版本說(shuō)明3一、界面 菜單 管理52、WEB管理界面5（1）Web管理界面需要瀏覽器支持Flash控件。5（2）輸入用戶名密碼登陸：5（3）儀表盤(pán)首頁(yè)63、菜單目錄8二、接口配置131、接口靜態(tài)IP132、PPPoE143、DHCP15三、路由配置171、靜態(tài)路由172、動(dòng)態(tài)路由17四、區(qū)域設(shè)置Zone19五、策略配置211、策略元素定義212、防火墻策略配置233、安全防護(hù)策略26六、地址轉(zhuǎn)換271、源地址轉(zhuǎn)換-建立地址池272、源地址轉(zhuǎn)換規(guī)則設(shè)置28七、VPN配置311、建立第一階段加密建議IKE Proposal (Phase 1) (或者用默認(rèn)提議)312、建立第一階段IKE策略3

2、23、建立第一階段IKE Gateway334、建立第二階段加密提議IKE Proposal (Phase 2) (或者用默認(rèn)提議)345、建立第一階段IKE策略356、建立VPN策略36八、Screen防攻擊39九、雙機(jī)40十、故障診斷40前言、版本說(shuō)明產(chǎn)品：Juniper SRX240 SH版本：JUNOS Software Release 9.6R1.13注：測(cè)試推薦使用此版本。此版本對(duì)瀏覽速度、保存速度提高了一些，并且CPU占用率明顯下降很多。9.5R2.7版本（CPU持續(xù)保持在60%以上，甚至90%）9.6R1.13版本（對(duì)菜單操作或者保存配置時(shí)，仍會(huì)提升一部分CPU）一、界面 菜單

3、 管理1、管理方式JuniperSRX系列防火墻出廠默認(rèn)狀態(tài)下，登陸用戶名為root密碼為空，所有接口都已開(kāi)啟Web管理，但無(wú)接口地址。終端連接防火墻后，輸入用戶名(root)、密碼(空)，顯示如下：rootsrx240-1%輸入cli命令進(jìn)入JUNOS訪問(wèn)模式：rootsrx240-1% clirootsrx240-1輸入configure進(jìn)入JUNOS配置模式：rootsrx240-1% clirootsrx240-1 configure Entering configuration modeeditrootsrx240-1#防火墻至少要進(jìn)行以下配置才可以正常使用：(1)設(shè)置root密碼（

4、否則無(wú)法保存配置）(2)開(kāi)啟ssh/telnet/http服務(wù)(3)添加用戶（root權(quán)限不能作為遠(yuǎn)程telnet帳戶，可以使用SHH方式）(4)分配新的用戶權(quán)限2、WEB管理界面（1）Web管理界面需要瀏覽器支持Flash控件。（2）輸入用戶名密碼登陸：（3）儀表盤(pán)首頁(yè)SRX防火墻WEB頁(yè)面首頁(yè)主要是儀表信息（Dashboard），其中包含：系統(tǒng)標(biāo)識(shí)System Identification機(jī)箱查看Chassis View（需要Flash控件，設(shè)備圖片可放大縮小，可顯示端口使用情況、但Led信息不會(huì)顯示）資源占用Resource Utilization安全資源Security Resourc

5、es儀表盤(pán)首頁(yè)右上角（Open Preferences Dialog）打開(kāi)首選項(xiàng)對(duì)話框：可以定制儀表盤(pán)首頁(yè)的欄目選擇：右下角可以展開(kāi)日志信息的菜單。儀表盤(pán)首頁(yè)的項(xiàng)目可以任意收縮儀表盤(pán)首頁(yè)的項(xiàng)目欄可以移動(dòng)位置3、菜單目錄橫向菜單標(biāo)簽分別為： 儀表盤(pán) 監(jiān)控 配置 診斷 管理監(jiān)控包含以下內(nèi)容：描述：監(jiān)控頁(yè)面會(huì)直觀的用圖標(biāo)方式 顯示端口、溫度、電源、風(fēng)扇、路由引擎等信息。配置包含以下內(nèi)容描述：配置界面包含了管理防火墻、防火墻配置。診斷包含以下內(nèi)容：在診斷功能中，可以在web界面下進(jìn)行抓包分析，MPLS網(wǎng)絡(luò)探測(cè)，至于CLI Terminal功能，我覺(jué)得將來(lái)可以實(shí)現(xiàn)Java控件的方式連接其他防火墻，但是在

6、這個(gè)版本中，CLI Terminal功能只是打開(kāi)了防火墻的管理界面。管理包含以下內(nèi)容：管理包含：日志文件的導(dǎo)出和刪除、版本升級(jí)、許可管理、重新啟動(dòng)、系統(tǒng)快照（用于快速恢復(fù)系統(tǒng)）、管理防火墻上的文件?？偨Y(jié)：總體來(lái)說(shuō)，SRX JUNOS的初始配置要比ScreenOS復(fù)雜很多，其中包括設(shè)置端口地址、添加管理賬戶等，都要求用戶在出廠狀態(tài)下預(yù)先操作。但SRX JUNOS操作系統(tǒng)的Web界面包含的管理功能更強(qiáng)大一些，比如診斷工具，對(duì)日志、版本的管理等。這一點(diǎn)ScreenOS不及JUNOS。二、接口配置1、接口靜態(tài)IP描述：在Web下端口選項(xiàng)除了定義IP地址、掩碼之外，還可以定義協(xié)商速率、arp、匯聚端口、

7、Vlan標(biāo)記、MTU等信息。相比ScreenOS下的端口管理增強(qiáng)了很多。CLI下定義ip地址：rootsrx240-1# set interfaces ge-0/0/1 unit 0 family inet address /242、PPPoEConfiguration-Quick Configuration-Interface-pp0(edit)-Add-在web下，pppoe設(shè)置隱藏得很深，需要在邏輯接口pp0上配置再綁定到相應(yīng)的物理端口上。配置比較復(fù)雜。（未完）3、DHCPConfiguration-Quick Configuration DHCPDHCP配置選項(xiàng)分為：

8、DHCP服務(wù)端、客戶端、中繼?？勺鰟?dòng)態(tài)地址分配，也可做基于MAC地址的綁定。三、路由配置1、靜態(tài)路由添加靜態(tài)路由2、動(dòng)態(tài)路由四、區(qū)域設(shè)置Zone設(shè)備默認(rèn)包含 trust 、untrust、management（junos-global為隱藏）四個(gè)區(qū)域流量控制可以綁定Screen選項(xiàng)編輯區(qū)域時(shí)，可以選擇此區(qū)域進(jìn)入流量的具體服務(wù)和協(xié)議。接口選項(xiàng)中可以選擇此區(qū)域所包含的端口。五、策略配置1、策略元素定義根據(jù)不同區(qū)域建立地址表地址表名稱不支持中文地址表組系統(tǒng)預(yù)定義的服務(wù)類(lèi)型2、防火墻策略配置SRX240防火墻默認(rèn)帶有上圖中三條策略。與Screen OS不同的是，SRX的默認(rèn)全局策略可以調(diào)整，而Scre

9、enOS默認(rèn)只是Deny-All。上圖建立了一條trust 到 untrust 方向，拒絕mail服務(wù)的策略。策略中可以加入count、log、Scheduler元素。與ScreenOS不同的是，ScreenOS在建立策略時(shí)，可以填寫(xiě)IP地址，而SRX只能調(diào)用地址列表。建立后的策略如下：3、安全防護(hù)策略可增加IDP策略、UTM策略，目前無(wú)license，無(wú)法測(cè)試。六、地址轉(zhuǎn)換SRX防火墻的地址轉(zhuǎn)換功能分為源地址轉(zhuǎn)換、目的地址轉(zhuǎn)換1、源地址轉(zhuǎn)換-建立地址池2、源地址轉(zhuǎn)換規(guī)則設(shè)置七、VPN配置VPN Global Setting包含一些監(jiān)控選項(xiàng)建立IKE階段一1、建立第一階段加密建議IKE Proposal (Phase 1) (或者用默認(rèn)提議)2、建立第一階段IKE策略3、建立第一階段IKE Gateway4、建立第二階段加密提議IKE Proposal (Phase 2) (