Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

执行SRX5400的初始软件配置

SRX5400防火墙软件配置概述

防火墙随附预装Junos作系统 (Junos OS),可在设备开机时进行配置。该软件有三个副本:一个在路由引擎的 CompactFlash 卡(如果已安装)上,一个在路由引擎的硬盘上,一个在可插入路由引擎面板插槽的 USB 闪存驱动器上。

注意:

2025 年 9 月之后发货的硬件设备包可能不包含可启动的 USB 驱动器。如果您的设备包不包含可启动 USB 驱动器,我们建议您按照 从可启动 USB 升级/降级的最佳实践中提供的说明创建可启动 USB 驱动器。

您可以从任何商业来源获得 USB 驱动器。USB 驱动器必须具有:

  • 至少 16 GB 存储空间

  • 无安全功能,如带密钥的启动分区

设备启动时,会首先尝试启动 USB 闪存驱动器上的映像。如果 USB 闪存驱动器未插入路由引擎或尝试失败,设备接下来会尝试使用 CompactFlash 卡(如果已安装),最后尝试硬盘。

通过发出 Junos OS 命令行接口 (CLI) 命令来配置防火墙,可以在连接到路由引擎上 CONSOLE 端口的控制台设备上,或通过与连接到路由引擎上 以太网 端口的网络的 telnet 连接。

在配置设备之前,请收集以下信息:

  • 设备将在网络上使用的名称

  • 设备将使用的域名

  • 以太网接口的 IP 地址和前缀长度信息

  • 默认路由器的 IP 地址

  • DNS 服务器的 IP 地址

  • root 用户的密码

初始配置 SRX5400 防火墙

此过程将设备连接到网络,但不使其能够转发流量。有关启用设备转发流量的完整信息(包括示例),请参阅相应的 Junos OS 配置指南。

要配置软件,请执行以下作:

  1. 验证设备是否已开机。
  2. 以 root 用户身份登录。没有密码。
  3. 启动 CLI。
  4. 进入配置模式。
  5. 通过输入明文密码、加密密码或 SSH 公钥字符串(DSA 或 RSA)来设置 root 身份验证密码。
  6. 在设备上配置管理员帐户。出现提示时,输入管理员帐户的密码。
  7. 提交配置以便在设备上将其激活。
  8. 以您在步骤 6 中配置的管理用户身份登录。
  9. 配置设备的名称。如果名称中包含空格,请用引号 (“ ”) 将名称括起来。
  10. 在防火墙的路由引擎上配置以太网管理接口的 IP 地址和前缀长度。
  11. 配置流量接口。
  12. 配置默认路由。
  13. 配置基本安全区域并将其绑定到流量接口。
  14. 配置基本安全策略。
  15. 检查配置的有效性。
  16. 提交配置以便在设备上将其激活。
  17. (可选)显示配置以验证其是否正确。
  18. 提交配置以便在设备上将其激活。
  19. 或者,通过添加必要的配置语句来配置其他属性。然后提交更改以在设备上激活它们。
  20. 完成设备配置后,退出配置模式。

使用 J-Web 执行初始软件配置

从 CLI 配置 root 身份验证和管理接口

必须先访问 CLI 以执行初始配置,然后才能使用 J-Web 配置设备。

要配置 root 身份验证和管理界面,请执行以下作:

  1. 以 root 身份登录。没有密码。
  2. 启动 CLI 并进入配置模式。
  3. 通过输入明文密码、加密密码或 SSH 公钥字符串(DSA 或 RSA)来设置 root 身份验证密码。
  4. 提交配置以便在设备上将其激活。
  5. 配置设备上以太网管理接口的 IP 地址和前缀长度。
  6. 配置默认路由。
  7. 启用 Web 访问以启动 J-Web。
  8. 提交配置更改。

使用 J-Web 配置接口、区域和策略

您可以使用 J-Web 配置主机名、接口、区域和安全策略。

注意:

不能使用 J-Web 在 Junos OS 15.1X49-D10 版本中配置SRX5400、SRX5600 和 SRX5800 防火墙。

开始之前:

使用以下过程使用 J-Web 配置设备。

配置主机名

要配置主机名,请执行以下作:

  1. 从管理设备启动 Web 浏览器。
  2. 在 URL 地址字段中输入设备的 IP 地址。
  3. 将默认用户名指定为 root 并输入密码。请参阅 使用 J-Web 执行软件初始配置
  4. 单击 登录。此时将显示 J-Web 仪表板页面。
  5. 选择“ 配置”>“系统属性”>“系统标识”,然后选择 “编辑”。此时将显示“编辑系统标识”对话框。
  6. 输入主机名,然后单击 确定
  7. 选择 “提交选项”>“提交 ”以应用配置更改。

您已成功配置系统的主机名。

配置接口

要配置两个物理接口,请执行以下作:

  1. 从 J-Web 仪表板页面中,选择配置 >接口 ,然后选择要配置的物理接口。
  2. 选择 添加>逻辑接口。此时将显示“添加接口”对话框。
  3. 设置 单位 = 0
  4. 选中“ IPv4 地址 ”复选框以启用 IPv4 寻址。
  5. 单击 “添加 ”并输入 IPv4 地址。
  6. 单击 “确定”

    成功验证配置更改后,将显示一条消息。

  7. 单击 “确定”
  8. 选择 “提交选项”>“提交 ”以应用配置更改。

    成功应用配置更改后,将显示一条消息。

  9. 单击 “确定”

您已成功配置物理接口。重复这些步骤,为设备配置第二个物理接口。

配置区域和分配接口

要在信任区域和不信任区域内分配接口:

  1. 在 J-Web 仪表板页面中,选择配置 >安全>区域/屏幕, 然后单击 添加。此时将显示“添加区域”对话框。
  2. 在“主要”选项卡中,输入 trust 区域名称并输入描述。
  3. 将区域类型设置为 “安全”
  4. 选择“可用”下列出的接口,然后将其移动到“选定”下。
  5. 单击 “确定”

    成功验证配置更改后,将显示一条消息。

  6. 单击 “确定”
  7. 选择 “提交选项”>“提交 ”以应用配置更改。

    成功应用配置更改后,将显示一条消息。

  8. 单击 “确定”
  9. 重复步骤 1 到步骤 8 ,并将另一个接口分配给不信任区域。

您已在信任区域和不信任区域中成功配置接口。

配置安全策略

要配置安全策略:

  1. 从 J-Web 仪表板页面中,选择配置 >安全>安全策略 ,然后单击 添加。此时将显示“添加策略”对话框。
  2. 在“策略”选项卡中,输入策略名称并将策略作设置为 允许。然后选择 “区域 ”并将“从区域”设置为 “信任 ”,将“到区域”设置为 “不信任”。
  3. 通过选择“可用”下列出 的任何 地址并将其移动到“选定”下来配置源 IP 地址。
  4. 配置目标 IP 地址,方法是选择“可用”下列出 的任何 地址,并将其移至“选定”下。
  5. 通过选择“可用”下列出 的任何 内容并将其移动到“选定”下来配置应用程序。
  6. 单击 “确定”

    成功验证配置更改后,将显示一条消息。

  7. 单击 “确定”
  8. 选择 “提交选项”>“提交 ”以应用配置更改。

    成功应用配置更改后,将显示一条消息。

  9. 单击 “确定”

您已成功配置安全策略。