在SRX1500上配置 Junos OS |瞻博网络

SRX1500防火墙软件配置概述

SRX1500防火墙随附预装 Junos OS，可在服务网关开机时进行配置。如果您是首次设置服务网关，请使用命令行界面（CLI）执行初始配置。

在配置服务网关之前，请收集以下信息：

根身份验证
管理接口的 IP 地址
默认路由

了解SRX1500防火墙出厂默认设置

您的SRX1500配置了出厂默认配置。默认配置包括以下安全配置：

将创建两个安全区域：信任和不信任。
接口 ge-0/0/0 和 ge-0/0/15 位于不信任区域中，而接口 ge-0/0/1 到 ge-0/0/3 位于信任区域中。
将创建一个安全策略，以允许从信任区域到不信任区域的出站流量。
在信任区域上配置源网络地址转换（NAT）。

如果当前活动配置失败，您可以使用命令 load factory-default 恢复为出厂默认配置。

查看SRX1500防火墙出厂默认设置

要使用 CLI 查看服务网关的出厂默认配置，请执行以下操作：

以 root 用户身份登录并提供您的凭证。
查看默认配置文件列表：

查看所需的默认配置文件。

在 SRX1500 服务网关上访问 J-Web

J-Web 界面是一个基于 Web 的图形界面，允许您在没有命令的情况下操作服务网关。在使用 J-Web 配置设备之前，您必须访问 CLI 以执行初始配置。

注意：

要访问 J-Web 界面，您的管理设备需要以下受支持的浏览器之一：

Microsoft Internet Explorer 版本 8.0、9.0 或 10.0
Mozilla Firefox 版本 23+
谷歌浏览器版本 28+

要访问 J-Web：

在管理设备上打开 Web 浏览器，然后在地址字段中输入设备管理 IP 地址。
将默认用户名指定为 root 并输入密码。

从 CLI 配置根身份验证和管理接口

在使用 J-Web 配置设备之前，您必须访问 CLI 以执行初始配置。

要配置 root 身份验证和管理接口，请执行以下操作：

以 root 身份登录。没有密码。
启动 CLI 并进入配置模式。

通过输入明文密码、加密密码或 SSH 公钥字符串（DSA 或 RSA）来设置 root 身份验证密码。

提交配置以在设备上将其激活。

配置设备上以太网管理接口的 IP 地址和前缀长度。

配置默认路由。

启用 Web 访问以启动 J-Web。

提交配置更改。

使用 J-Web 配置接口、区域和策略

您可以使用 J-Web 配置主机名、接口、区域和安全策略。

准备工作：

确保已配置 IP 地址、根身份验证和默认路由。
在设备上启用 HTTP 以访问 J-Web。

请参阅 从 CLI 配置根身份验证和管理接口。

使用以下过程使用 J-Web 配置设备。

配置主机名
配置接口
配置区域和分配接口
配置安全策略

配置主机名

要配置主机名：

从管理设备启动 Web 浏览器。
在 URL 地址字段中输入设备的 IP 地址。
将默认用户名指定为 root 并输入密码。请参阅使用 J-Web 配置 SRX1500 防火墙。
单击登录。此时将显示 J-Web 仪表板页面。
选择 “配置>系统属性>系统标识”，然后选择 “编辑”。将出现“编辑系统标识”对话框。
输入主机名，然后单击确定。
选择 “提交选项”>“提交 ”以应用配置更改。

您已成功配置系统的主机名。

配置接口

要配置两个物理接口，请执行以下操作：

在 J-Web 仪表板页面中，选择配置>接口，然后选择要配置的物理接口。
选择添加>逻辑接口。此时将显示“添加接口”对话框。
设置单位 = 0。
选中“ IPv4 地址 ”复选框以启用 IPv4 寻址。
单击添加并输入 IPv4 地址。
单击 “确定”。

成功验证配置更改后，将显示一条消息。
单击“确定”。
选择 “提交选项”>“ 提交”以应用配置更改。

成功应用配置更改后，将显示一条消息。
单击“确定”。

您已成功配置物理接口。重复这些步骤，为设备配置第二个物理接口。

配置区域和分配接口

要在信任区域和不信任区域中分配接口，请执行以下操作：

在 J-Web 仪表板页面中，选择配置>安全>区域/屏幕，然后单击添加。此时将显示“添加区域”对话框。
在“主要”选项卡中，输入 trust 区域名称并输入说明。
将区域类型设置为 “安全”。
选择“可用”下列出的接口，然后将其移动到“已选择”下。
单击 “确定”。

成功验证配置更改后，将显示一条消息。
单击“确定”。
选择 “提交选项”>“ 提交”以应用配置更改。

成功应用配置更改后，将显示一条消息。
单击“确定”。
重复步骤 1 到步骤 8 ，并将另一个接口分配给不信任区域。

您已成功在信任区域和不信任区域中配置接口。

配置安全策略

要配置安全策略：

在 J-Web 仪表板页面中，选择配置>安全>安全策略，然后单击添加。此时将显示“添加策略”对话框。
在“策略”选项卡中，输入策略名称并将策略操作设置为允许。然后选择“ 区域 ”并将“从区域”设置为 “信任 ”，将“目标区域”设置为 “不信任”。
通过选择“可用”下列出的任何地址并将其移动到“已选择”下来配置源 IP 地址。
通过选择“可用”下列出的任何地址并将其移动到“已选择”下，来配置目标 IP 地址。
通过选择“可用”下列出的任何应用程序并将其移动到“已选择”下来配置应用程序。
单击 “确定”。

成功验证配置更改后，将显示一条消息。
单击“确定”。
选择 “提交选项”>“提交 ”以应用配置更改。

成功应用配置更改后，将显示一条消息。
单击“确定”。

您已成功配置安全策略。

访问SRX1500防火墙上的 CLI

要访问SRX1500防火墙上的 CLI，请执行以下操作：

将以太网电缆的一端插入 RJ-45 到 DB-9 串行端口适配器。
将 RJ-45 到 DB-9 串行端口适配器插入管理设备上的串行端口。
将以太网电缆的另一端连接到服务网关上的串行控制台端口。

注意：
或者，您可以使用 USB 电缆连接到服务网关上的 mini-USB 控制台端口。要使用 USB 控制台端口，您必须从 Silicon Labs 页面将 USB 驱动程序下载到管理设备。
注意：
我们不再将控制台电缆作为设备包的一部分包含在内。如果设备包装中未包含控制台电缆和适配器，或者您需要不同类型的适配器，则可以单独订购：
- RJ-45 到 DB-9 适配器（JNP-CBL-RJ45-DB9）
- RJ-45 转 USB-A 适配器（JNP-CBL-RJ45-USBA）
- RJ-45 转 USB-C 适配器（JNP-CBL-RJ45-USBC）
如果要使用 RJ-45 到 USB-A 或 RJ-45 到 USB-C 适配器，则必须在电脑上安装 X64（64 位）虚拟 COM 端口（VCP）驱动程序。请参阅 https://ftdichip.com/drivers/vcp-drivers/ 以下载驱动程序。
启动异步终端仿真应用程序（如 Microsoft Windows 超级终端）并选择要使用的相应 COM 端口（例如 COM1）。
使用以下值配置串行端口设置：
- 波特率—9600
- 奇偶校验 - N
- 数据位 - 8
- 停止位 - 1
- 流控制 - 无
打开服务网关的电源。设备启动后，您可以开始在服务网关上执行初始软件配置。

从 CLI 远程连接到SRX1500防火墙

要将服务网关连接到网络以进行带外管理：

将带有 RJ-45 连接器的以太网电缆的一端插入服务网关前面板上的 MGMT 端口。
将电缆的另一端插入管理设备。

使用 CLI 配置 SRX1500 防火墙

此示例过程说明如何使用 CLI 命令创建初始配置以将SRX1500防火墙连接到网络。

验证设备是否已开机。
以 root 用户身份登录。不要输入密码。
启动 CLI。
进入配置模式。

通过输入明文密码、加密密码或 SSH 公钥字符串（DSA 或 RSA）来设置 root 身份验证密码。

在设备上配置管理员帐户。出现提示时，输入管理员帐户的密码。

提交配置以在服务网关上将其激活。
以您在步骤 6 中配置的管理用户身份登录。
配置服务网关的名称。如果名称包含空格，请用引号（“ ”）将名称括起来。

配置服务网关以太网接口的 IP 地址和前缀长度。

配置流量接口。

注意：

ge-0/0/0 接口用于 LAN，ge-0/0/1 接口用于 ISP。

配置默认路由。

配置基本安全区域并将其绑定到流量接口。

配置基本安全策略。

注意：

策略的实际配置取决于您的要求。

检查配置的有效性。

提交配置以在服务网关上将其激活。

（可选）显示配置以验证其是否正确。

注意：

这是一个示例输出。实际输出可能因配置要求而异。

提交配置以在服务网关上将其激活。
（可选）通过添加必要的配置语句来配置其他属性。然后提交更改以在服务网关上激活它们。
配置完服务网关后，退出配置模式。

注意：

要首次使用 J-Web 访问设备，请在 CLI 中进入配置模式，然后使用命令 set system services web-management http设置管理选项。

从管理设备启动 Web 浏览器，并使用 URL http://<设备管理 IP 地址>访问服务网关。将显示 J-Web 登录页面。这表示您已成功完成初始配置，并且您的SRX1500防火墙已准备就绪，可供使用。

在此页面上

在SRX1500上配置 Junos OS