Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

执行 SRX5600 的初始软件配置

SRX5600 防火墙软件配置概述

防火墙随附的 Junos作系统 (Junos OS) 已预装,可在设备开机时进行配置。该软件有三个副本:一个位于路由引擎的 CompactFlash 卡(如果已安装)上,一个位于路由引擎的硬盘上,另一个位于可插入路由引擎面板插槽的 USB 闪存驱动器上。

注意:

2025 年 9 月之后发货的硬件设备包可能不包含可启动 USB 驱动器。如果您的设备包不包含可启动 USB 驱动器,我们建议您按照从 可启动 USB 升级/降级的最佳实践中提供的说明创建可启动 USB 驱动器。

您可以从任何商业来源获得 USB 驱动器。USB 驱动器必须具有:

  • 至少 16 GB 的存储空间

  • 无安全功能,如密钥启动分区

设备启动时,首先会尝试启动 USB 闪存驱动器上的映像。如果未将 USB 闪存驱动器插入路由引擎或尝试失败,设备接下来会尝试 CompactFlash 卡(如果已安装),最后尝试硬盘。

您可以通过发出 Junos OS 命令行界面 (CLI) 命令来配置防火墙,这些命令可以在连接到路由引擎上 CONSOLE 端口的控制台设备上,也可以通过 telnet 连接连接到连接到路由引擎上 以太网 端口的网络。

在配置设备之前,请收集以下信息:

  • 设备将在网络上使用的名称

  • 设备将使用的域名

  • 以太网接口的 IP 地址和前缀长度信息

  • 默认路由器的 IP 地址

  • DNS 服务器的 IP 地址

  • root 用户密码

最初配置 SRX5600 防火墙

此过程会将设备连接到网络,但不允许其转发流量。有关启用设备转发流量的完整信息(包括示例),请参阅相应的 Junos OS 配置指南。

要配置软件,请执行以下作:

  1. 验证设备是否已开机。
  2. 以 root 用户的身份登录。没有密码。
  3. 启动 CLI。
  4. 进入配置模式。
  5. 通过输入明文密码、加密密码或 SSH 公钥字符串(DSA 或 RSA)来设置 root 身份验证密码。
  6. 在设备上配置管理员帐户。出现提示时,输入管理员帐户的密码。
  7. 提交配置以便在设备上将其激活。
  8. 以您在步骤 6 中配置的管理用户身份登录。
  9. 配置设备的名称。如果名称中包含空格,请用引号 (“ ”) 将名称括起来。
  10. 防火墙的路由引擎上配置以太网管理接口的 IP 地址和前缀长度。
  11. 配置流量接口。
  12. 配置默认路由。
  13. 配置基本安全区域并将其绑定到流量接口。
  14. 配置基本安全策略。
  15. 检查配置是否有效。
  16. 提交配置以便在设备上将其激活。
  17. (可选)显示配置以验证其是否正确。
  18. 提交配置以便在设备上将其激活。
  19. (可选)通过添加必要的配置语句来配置其他属性。然后提交更改以在设备上激活它们。
  20. 完成设备配置后,退出配置模式。

使用 J-Web 执行初始软件配置

从 CLI 配置 root 身份验证和管理接口

在使用 J-Web 配置设备之前,必须访问 CLI 来执行初始配置。

要配置 root 身份验证和管理接口,请执行以下作:

  1. 以 root 身份登录。没有密码。
  2. 启动 CLI 并进入配置模式。
  3. 通过输入明文密码、加密密码或 SSH 公钥字符串(DSA 或 RSA)来设置 root 身份验证密码。
  4. 提交配置以便在设备上将其激活。
  5. 配置设备上以太网管理接口的 IP 地址和前缀长度。
  6. 配置默认路由。
  7. 启用 Web 访问以启动 J-Web。
  8. 提交配置更改。

使用 J-Web 配置接口、区域和策略

您可以使用 J-Web 配置主机名、接口、区域和安全策略。

注意:

您无法使用 J-Web 在 Junos OS 15.1X49-D10 版中配置 SRX5400、SRX5600 和 SRX5800 防火墙。

开始之前:

使用以下过程使用 J-Web 配置设备。

配置主机名

要配置主机名,请执行以下作:

  1. 从管理设备启动 Web 浏览器。
  2. 在 URL 地址字段中输入设备的 IP 地址。
  3. 将默认用户名指定为 root 并输入密码。请参阅 使用 J-Web 执行初始软件配置
  4. 单击 登录。此时将显示 J-Web 仪表板页面。
  5. 选择 “配置”>“系统属性”>“系统标识”,然后选择 “编辑”。此时将显示“编辑系统标识”对话框。
  6. 输入主机名,然后单击 确定
  7. 选择 “提交选项>提交 ”以应用配置更改。

您已成功配置系统的主机名。

配置接口

要配置两个物理接口,请执行以下作:

  1. 从 J-Web 仪表板页面中,选择 配置>接口 并选择要配置的物理接口。
  2. 选择 添加>逻辑接口。此时将显示“添加接口”对话框。
  3. 设置 单位 = 0
  4. 选中“ IPv4 地址” 复选框以启用 IPv4 寻址。
  5. 单击 添加 并输入 IPv4 地址。
  6. 单击 确定

    成功验证配置更改后,将显示一条消息。

  7. 单击 确定
  8. 选择 “提交选项>提交 ”以应用配置更改。

    成功应用配置更改后,将显示一条消息。

  9. 单击 确定

物理接口配置成功后。重复这些步骤,为设备配置第二个物理接口。

配置区域和分配接口

要在信任区域和非信任区域中分配接口,请执行以下作:

  1. 从 J-Web 仪表板页面中,选择 Configure>安全性>Zones/Screens ,然后单击 Add。此时将显示“添加区域”对话框。
  2. 在“主”选项卡中,输入 trust “区域名称”并输入说明。
  3. 将区域类型设置为 “安全性”
  4. 选择“可用”下列出的接口,然后将其移动到“已选择”下。
  5. 单击 确定

    成功验证配置更改后,将显示一条消息。

  6. 单击 确定
  7. 选择 “提交选项>提交 ”以应用配置更改。

    成功应用配置更改后,将显示一条消息。

  8. 单击 确定
  9. 重复步骤 1 到步骤 8 ,然后将另一个接口分配给不信任区域。

您已成功配置信任区域和非信任区域中的接口。

配置安全性策略

要配置安全策略:

  1. 从 J-Web 仪表板页面中,选择 Configure>安全性>安全性 Policy ,然后单击 Add。此时将显示“添加策略”对话框。
  2. 在“策略”选项卡中,输入策略名称并将策略作设置为 允许。然后选择 “区域” ,并将“从区域”设置为 “信任 ”,将“至区域”设置为 “不信任”。
  3. 配置源 IP 地址,方法是选择“可用”下列出 的任何地址 ,然后将其移动到“已选择”下。
  4. 配置目标 IP 地址,方法是选择“可用”下列出 的任何地址 ,然后将其移动到“已选择”下。
  5. 配置应用程序,方法是选择“可用”下列出 的任何应用程序 ,然后将其移动到“已选择”下。
  6. 单击 确定

    成功验证配置更改后,将显示一条消息。

  7. 单击 确定
  8. 选择 “提交选项>提交 ”以应用配置更改。

    成功应用配置更改后,将显示一条消息。

  9. 单击 确定

您已成功配置安全策略。