Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

启动 J-Web

使用 J-Web 的先决条件

要访问适用于所有平台的 J-Web 界面,您的管理设备需要以下软件:

  • 支持的浏览器 - Mozilla Firefox、Google Chrome 和 Microsoft Internet Explorer。

    注意:

    默认情况下,您可以通过支持 HTTPS 的 Web 浏览器建立 J-Web 会话。

  • 语言支持 — 英文版浏览器。

登录 J-Web

要登录 J-Web 界面,请执行以下步骤:

  1. 使用 RJ-45 电缆将设备的网络端口连接到管理设备(笔记本电脑或 PC)上的以太网端口。
    注意:

    以下是可用于相应设备的网络:

    • 对于 SRX300 和 SRX320 设备,请使用编号为 0/10/6 的网络端口。

    • 对于SRX550M,请使用编号为 0/10/5 的网络端口。

    • 对于其他 SRX 系列防火墙,请使用标记为 MGMT 的管理端口。
  2. 确保管理设备从设备获取 IP 地址。
    注意:

    服务网关充当 DHCP 服务器,并将 IP 地址分配给管理设备。这仅适用于 SRX300 系列设备和 SRX550M 设备。如果管理设备未分配 IP 地址,请手动配置 IP 地址。
  3. 打开浏览器,在地址栏中输入 https://<IP address>

    其中, <IP address> 是 SRX 系列设备的 IP 地址。

    此时将打开“J-Web 设置向导”页面。请参阅 图 1

    图 1:安装向导页面 Setup Wizard Page

使用 J-Web 设置向导配置 SRX 系列防火墙

使用设置向导,您可以对可以安全传递流量的服务网关执行分步配置。

您可以选择以下设置模式之一来配置服务网关:

  • 独立模式 — 将 SRX 系列设备配置为在独立模式下运行。在此模式下,您可以配置基本设置,例如设备凭据、时间、管理界面、区域和接口以及 DNS 服务器和默认网关。

  • 群集 (HA) 模式 — 将 SRX 系列设备配置为在群集 (HA) 模式下运行。在群集模式中,一对设备连接在一起并配置为像单个节点一样运行,从而提供设备、接口和服务级别冗余。

    注意:

    当设备处于 HA 模式时,您无法配置独立或被动模式。

  • 被动 (Tap) 模式 — 将 SRX 系列设备配置为在 TAP 模式下运行。TAP 模式允许您被动监控网络上的流量。如果启用了 IPS,则 TAP 模式会检查传入和传出的流量,以检测威胁数量。

    注意:

    SRX5000 系列设备、SRX4600和 vSRX 设备不支持被动模式配置。

为了帮助指导您完成此过程,向导:

  • 根据您的选择确定要呈现给您的配置任务。

  • 在您尝试离开页面时标记任何缺少的必需配置。

要使用 J-Web 设置向导配置 SRX 系列防火墙,请执行以下作:

  1. 选择要设置的配置模式,然后单击 “开始”

    此时将显示 Setup Wizard 页面。

    注意:

    如果您不想执行初始配置,则:

    1. 单击 跳过设置

      此时将显示 J-Web 设备密码屏幕。参见 图 2

      图 2:设备密码 Device Password

    2. 输入 root 密码。

    3. 单击 “确定”

      密码将提交到设备,并显示 J-Web 登录页面。

    4. 再次输入用户名和密码,然后单击 登录

      此时将显示 J-Web 应用程序窗口。

      注意:

      您可以通过 J-Web 菜单选择“设备管理”>“重置配置”来配置 SRX 设备。

  2. 对于独立模式和被动 (Tap) 模式,请按照 表 1 中提供的指南完成配置。

    注意:

    • 如果选择群集 (HA) 模式,有关配置信息,请参阅 配置群集 (HA) 设置

    • 在安装向导中,root 密码是必需的,所有其他选项都是可选的。在被动模式下,管理界面、Tap 接口和服务是必需的。

  3. 查看配置详细信息。如果要更改配置,请单击 “编辑配置”,否则单击 “完成”

    等到配置完成。将整个配置提交到设备后,将显示一条成功消息。

    注意:

    • 如果提交失败,J-Web 将向您显示从 CLI 收到的错误消息,并且您仍停留在向导的最后一页。检查您的配置并根据需要进行更改,以便提交成功。

    • 对于处于被动模式的 SRX300 系列设备和SRX550M设备,如果已启用瞻博网络 ATP 云或安全智能服务,则将显示有关设备重新启动的附加消息。对于其他 SRX 系列防火墙,设备将不会重新启动。

  4. 阅读是否有任何说明,然后单击 打开 J-Web 登录页面

    此时将显示 J-Web 登录页面。

  5. 输入 root 用户名和密码,然后单击 登录

    在加载 J-Web UI 之前,将出现 Launch Pad 屏幕。

表 1:安装向导配置

行动
设备凭据
系统标识

设备名称

输入主机名。

您可以使用字母数字字符、特殊字符,例如下划线 (_)、连字符 (-) 或句点 (.);最大长度为 255 个字符。
Root 帐户

用户名

显示 root 用户。

注意:

我们建议您不要使用 root 用户帐户作为管理设备的最佳做法。

密码

输入密码。

您可以使用字母数字字符和特殊字符;最小长度为 6 个字符。

root 用户的 SSH

启用此选项以允许使用 SSH 进行 root 登录(到设备)。
管理员帐户

用户名

输入用于管理设备的管理员用户名。

密码

输入管理员密码。
时间
时间

时区

从列表中选择一个时区。

时间源

选择“NTP 服务器”、“计算机时间”或“手动”以配置系统时间:

  • NTP 服务器> NTP 服务器 - 在可用列中选择 NTP 服务器,然后使用向右箭头移动到所选列。系统连接到网络后,系统时间将与 NTP 服务器时间同步。

    此外,要添加新的 NTP 服务器,请单击 + 并输入 NTP 服务器的主机名或 IP 地址,然后单击 确定

    注意:

    如果要添加更多 NTP 服务器,请通过 J-Web 菜单转到“设备管理”>“基本设置”>“日期和时间详细信息”。

  • 计算机时间 > 计算机时间 - 设备仅在设置过程中自动与您的计算机时间同步。

  • 手动 > 日期和时间 - 选择日期和时间(采用 MM-DD-YYYY 和 HH:MM:SS 24 小时格式)以手动配置系统时间。
管理界面
管理界面
注意:

如果更改管理 IP 地址并单击 下一步,则“管理界面”页面上会出现一条警告消息,提示您需要使用新的管理 IP 地址登录 J-Web,因为您可能会失去与 J-Web 的连接。

管理界面

从列表中选择一个接口。

如果 fxp0 端口是设备的管理端口,则会显示 fxp0 端口。您可以根据需要对其进行更改,也可以选择 “无 ”并继续下一页。

注意:

  • 如果您的设备不支持 fxp0 端口,则可以选择收入端口作为管理端口。收入端口是指除 fxp0 和 em0 之外的所有端口。

  • 如果处于独立模式,则可以选择 “无 ”作为管理界面,然后单击 “下一步 ”进入下一个屏幕。

  • 如果您处于被动 (Tap) 模式,则必须配置管理端口。J-Web 需要一个管理端口来查看生成的报告。
IPv4
注意:

单击 电子邮件给自己 ,将新配置的 IPv4 或 IPv6 地址发送到您的收件箱。如果在将管理 IP 地址更改为其他网络时断开连接,这将非常有用。

管理地址

输入管理接口的有效 IPv4 地址。

注意:

如果 fxp0 端口是设备的管理端口,则会显示 fxp0 端口的默认 IP 地址。如果需要,您可以更改它。

管理子网掩码

输入 IPv4 地址的子网掩码。

如果您更改了管理地址,请使用新的 IP 地址访问 J-Web。

静态路由

输入静态路由的 IPv4 地址,以便路由到其他网络设备。

静态路由子网掩码

输入静态路由 IPv4 地址的子网掩码。

下一跳网关

输入下一跃点的有效 IPv4 地址。
IPv6

管理访问权限

输入管理接口的有效 IPv6 地址。

管理子网前缀

输入 IPv6 地址的子网前缀长度。

静态路由

如果需要通过管理接口到达设备,请输入静态路由的 IPv6 地址。

静态路由子网前缀

输入静态路由 IPv6 地址的子网前缀长度。

下一跳网关

输入下一跃点的有效 IPv6 地址。
访问协议
注意:

此选项可用于除 fxp0 以外的所有端口。

HTTPS

默认情况下,此选项处于启用状态。

SSH

默认情况下,此选项处于启用状态。

为 ping 服务启用此选项。

DHCP

为 DHCP 服务启用此选项。

NETCONF

为 NETCONF 服务启用此选项。
区域和接口
安全策略
注意:

此选项仅适用于独立模式。对于被动 (Tap) 模式,此选项在“点击设置”下可用。

从区域

源区域的名称。在独立模式下,允许来自信任区域的所有流量。

到分区

目标区域的名称。在独立模式下,允许从信任区域到不信任区域的所有流量。

策略的源地址(而非 IP 地址)的名称。

目的地

目标地址的名称。

应用

策略匹配的预配置或自定义应用程序的名称。

行动

按照策略中的规定发生匹配时执行的作。

- 显示可用的信任和不信任区域配置。
信任区域接口
注意:

此选项仅适用于独立模式。

添加信任区域接口

单击 “+ ”添加信任区域接口。有关字段的更多信息,请参阅 表 2

编辑信任区域接口

选择一个界面,点击表格右上角的铅笔图标,修改配置。

删除信任区域接口

选择一个接口,然后单击表格右上角的删除图标。

此时将显示一个确认窗口。单击 “是 ”删除所选接口,或单击 “否 ”丢弃。

搜索信任区接口

单击表格右上角的搜索图标可快速找到区域或接口。

详细视图 信任区域接口

将鼠标悬停在接口名称上,然后单击详细视图图标可查看区域和接口详细信息。
信任区域接口 - 区域级别设置

区域名称

查看从设备出厂默认设置填充的信任区域名称。

注意:

对于独立模式,默认情况下会创建信任和不信任区域,即使这些区域在出厂默认设置中不可用。

描述

输入信任区域的描述。

系统服务

对于可以到达特定接口上设备的流量类型,请启用此选项。

默认情况下,此选项处于启用状态。如果需要,您可以禁用。

协议

启用此选项可将设备配置为使用网络流量协议(例如 TCP 和 UDP)对网络数据包执行有状态网络流量过滤。

默认情况下,此选项处于启用状态。如果需要,您可以禁用。

应用跟踪

启用此选项可收集指定区域中应用程序流的字节、数据包和持续时间统计信息。

源身份日志

为设备启用此选项,可根据安全策略中配置的源区域记录用户身份信息。

不信任区域接口

添加不信任区域接口

单击 + 添加不信任区域接口。有关字段的详细信息,请参阅 表 3

编辑不信任区域接口

选择一个界面,点击表格右上角的铅笔图标,修改配置。

删除不信任区域接口

选择一个接口,然后单击表格右上角的删除图标。

此时将显示一个确认窗口。单击 “是 ”删除所选接口,或单击 “否 ”丢弃。

搜索不信任区域 接口

单击表格右上角的搜索图标可快速找到区域或接口。

详细视图 不信任区域接口

将鼠标悬停在接口名称上,然后单击详细视图图标可查看区域和接口详细信息。
不信任区域接口 - 区域级别设置

区域名称

查看从设备出厂默认设置填充的不信任区域名称。

注意:

对于独立模式,默认情况下会创建信任和不信任区域,即使这些区域在出厂默认设置中不可用。

描述

输入“不信任”区域的描述。

应用跟踪

启用此选项可收集指定区域中应用程序流的字节、数据包和持续时间统计信息。

源身份日志

为设备启用此选项,可根据安全策略中配置的源区域记录用户身份信息。

DNS服务器和默认网关
DNS 服务器

DNS 服务器 1

输入主 DNS 的 IPv4 或 IPv6 地址。

DNS 服务器 2

输入辅助 DNS 的 IPv4 或 IPv6 地址。
默认网关

默认网关 (IPv4)

输入任何网络的下一个可能目标的 IPv4 地址。

默认网关 (IPv6)

输入任何网络的下一个可能目标的 IPv6 地址。
点按“设置”图标
注意:

此选项仅适用于被动 (Tap) 模式。
点按“设置”图标

Tap 接口

从列表中选择接口。

IP-IP 隧道检测

为 SRX 系列设备启用此选项,以检查通过 IP-IP 隧道的直通流量。

GRE 隧道检测

为 SRX 系列设备启用此选项,以检查通过 GRE 隧道的直通流量。
安全策略和高级服务
注意:

您的设备必须具有互联网连接,才能使用 IPS、Web 过滤、瞻博网络 ATP 云和安全威胁情报服务。

从区域

源区域的名称。在 Tap 模式下,允许来自 Tap 区域的所有流量。

到分区

目标区域的名称。在 Tap 模式下,允许从 TAP 区域到 TAP 区域的所有流量。

策略的源地址(而非 IP 地址)的名称。

目的地

目标地址的名称。

应用

策略匹配的预配置或自定义应用程序的名称。

行动

按照策略中的规定发生匹配时执行的作。
UTM

UTM

启用此选项以配置 UTM 服务。

许可证

输入 UTM 许可证密钥,然后单击 安装许可证 以添加新许可证。

注意:

  • 使用空行分隔多个许可证密钥。

  • 要使用 UTM 服务,您的设备必须具有来自收入接口的互联网连接。

UTM 类型

选择配置 UTM 功能的选项:

  • Web 过滤

  • 防毒

  • 反垃圾邮件

Web 过滤类型

选择一个选项:

  • 增强型 — 指定瞻博网络增强型 Web 过滤拦截 HTTP 和 HTTPS 请求,并将 HTTP URL 或 HTTPS 源 IP 发送到 Websense ThreatSeeker Cloud (TSC)。

  • 本地 (Local) - 指定本地截面梁类型。
IPS

IPS

启用此选项可安装 IPS 签名。

许可证

输入许可证密钥,然后单击 安装许可证以 添加新的许可证。

注意:

安装过程可能需要几分钟时间。

IPS 签名

单击 “浏览” 以导航到 IPS 签名包文件夹并选择它。单击 “安装 ”以安装选定的 IPS 签名包。

注意:

您可以在 https://support.juniper.net/support/downloads/ 下载 IPS 签名离线包。
ATP 云

ATP 云

启用此选项以使用瞻博网络 ATP 云服务。

注意:

推送瞻博网络 ATP 云配置后,仅重新启动 SRX300 系列设备和 SRX550M 设备。您的设备必须具有互联网连接,才能通过 J-Web 启用瞻博网络 ATP 云注册流程。
安全情报

安全智能

启用此选项可使用安全智能服务。

注意:

推送安全智能配置后,仅重新启动 SRX300 系列设备和 SRX550M 设备。您的设备必须具有互联网连接,才能通过 J-Web 启用瞻博网络 ATP 云注册流程。
用户防火墙

用户防火墙

启用此选项可使用用户防火墙服务。

域名

输入 Active Directory 的域名。

域控制器

输入域控制器 IP 地址。

用户名

输入管理员权限的用户名。

密码

输入管理员权限的密码。
表 2:添加信任区

行动
常规

类型(系列)

  • 选择 交换。交换接口字段包括:

    注意:

    此选项仅适用于 SRX300 系列设备、SRX550M 和 SRX1500 设备。对于设备、SRX4100、SRX4200、SRX4600和 vSRX 设备的SRX5000 系列,“类型(家族)”字段不可用。

    • IRB 接口单元 — 输入 IRB 单元。

    • 描述 (Description) — 输入接口的描述。

  • 选择 路由。路由接口字段包括:

    对于设备、SRX4100、SRX4200、SRX4600和 vSRX 设备的SRX5000 系列,“类型(家族)”字段不可用。

    • 接口 - 从列表中选择一个选项。

    • 接口单元 - 输入 Inet 单元。

      注意:

      如果接口单元大于零,则会自动启用 VLAN 标记。

    • 描述 (Description) — 输入接口的描述。

    • VLAN ID — 输入 VLAN ID。

      注意:

      如果接口单元大于零,则 VLAN ID 为必需项。

接口

从“可用”列中选择一个接口,并将其移动到“已选择”列。

注意:

此选项仅适用于交换系列类型。
VLAN
注意:

此选项仅适用于交换系列类型。

名字

输入 VLAN 的唯一名称。

VLAN ID

输入 VLAN ID。
IPv4

IPv4 地址

输入交换或路由接口的有效 IPv4 地址。

子网掩码

输入 IPv4 地址的子网掩码。
IPv6

IPv6 地址

输入交换或路由接口的有效 IPv6 地址。

子网前缀

输入 IPv6 地址的子网前缀。
DHCP 本地服务器

DHCP 本地服务器

启用此选项可将交换机配置为扩展 DHCP 本地服务器。

池名称

输入 DHCP 池名称。

池起始地址

输入 DHCP 服务器池地址范围的起始 IPv4 地址。此地址必须位于 IPv4 网络内。

池端地址

输入 DHCP 服务器池地址范围的结束 IPv4 地址。此地址必须位于 IPv4 网络内。

注意:

此地址必须大于“池起始地址”中指定的地址。

传播设置

从列表中选择一个选项。在充当 DHCP 客户端的设备接口上接收的 TCP/IP 设置(例如 DNS 和网关地址)的传播。
服务和协议

系统服务

从“可用”列的列表中选择“系统服务”,然后单击右箭头将其移动到“已选择”列。

可用选项包括:

  • all - 指定所有系统服务。

  • any-service — 指定整个端口范围内的服务。

  • appqoe - 指定 APPQOE 主动探测服务。

  • bootp — 指定 Bootp 和 dhcp 中继代理服务。

  • DHCP — 指定动态主机配置协议。

  • dhcpv6 — 为 IPV6 启用动态主机配置协议。

  • dns - 指定 DNS 服务。

  • finger - 指定手指服务。

  • ftp — 指定 FTP 协议。

  • http - 使用 HTTP 指定 Web 管理。

  • https - 使用 HTTP protected by SSL 指定 Web 管理。

  • ident-reset — 指定端口 113 的发回 TCP RST IDENT 请求。

  • ike - 指定因特网密钥交换。

  • lsping - 指定标签交换路径 ping 服务。

  • netconf - 指定 NETCONF 服务。

  • ntp — 指定网络时间协议。

  • ping — 指定互联网控制消息协议。

  • r2cp — 启用无线路由器控制协议。

  • reverse-ssh - 指定反向 SSH 服务。

  • reverse-telnet — 指定反向 telnet 服务。

  • rlogin - 指定 Rlogin 服务

  • rpm - 指定实时性能监控。

  • rsh - 指定 Rsh 服务。

  • snmp — 指定简单网络管理协议。

  • snmp-trap — 指定简单网络管理协议陷阱。

  • ssh - 指定 SSH 服务。

  • tcp —encap- 指定 TCP 封装服务。

  • telnet - 指定 Telnet 服务。

  • tftp — 指定 TFTP

  • traceroute - 指定 traceroute 服务。

  • webapi-clear-text - 使用 http 指定 Webapi 服务。

  • webapi-ssl - 使用 SSL 保护的 HTTP 指定 Webapi 服务。

  • xnm-clear-text - 为 TCP 上的未加密流量指定 JUNOScript API。

  • xnm-ssl—指定通过 SSL 的 JUNOScript API 服务。

协议

从“可用”列的列表中选择协议,然后单击向右箭头将其移动到“已选择”列。

可用选项包括:

  • all - 指定所有协议。

  • bfd — 双向转发检测。

  • bgp — 边界网关协议。

  • dvmrp — 距离矢量组播路由协议。

  • igmp — 互联网组管理协议。

  • LDP — 标签分发协议。

  • msdp — 组播源发现协议。

  • NHRP- 下一跳解析协议。

  • ospf — 首先打开最短路径。

  • ospf3 - 开放最短路径优先版本 3。

  • pgm - 实际通用组播。

  • pim — 协议无关组播。

  • rip — 路由信息协议。

  • ripng — 下一代路由信息协议。

  • router-discovery — 路由器发现。

  • rsvp - 资源预留协议。

  • sap — 会话声明协议。

  • vrrp — 虚拟路由器冗余协议。
表 3:添加不信任区域

行动
常规

接口

从列表中选择一个接口。

接口单元

输入接口单元值。

VLAN ID

输入 VLAN ID。

注意:

如果接口单元大于零,则 VLAN ID 为必需项。

描述

输入接口的描述。

地址模式

为接口选择地址模式。可用选项包括 DHCP 客户端、PPPoE (PAP)、PPPoE (CHAP) 和静态 IP。

注意:

SRX5000 系列设备不支持 PPPoE (PAP) 和 PPPoE (CHAP),并且任何设备处于被动模式。

用户名

输入 PPPoE (PAP) 或 PPPoE (CHAP) 身份验证的用户名。

密码

输入 PPPoE (PAP) 或 PPPoE (CHAP) 身份验证的密码。
IPv4
注意:

此选项仅适用于静态 IP 地址模式。

IPv4 地址

输入接口的有效 IPv4 地址。

子网掩码

输入 IPv4 地址的子网掩码。
IPv6
注意:

此选项仅适用于静态 IP 地址模式。

IPv6 地址

输入接口的有效 IPv6 地址。

子网前缀

输入 IPv6 地址的子网前缀。
服务和协议

系统服务

从“可用”列的列表中选择“系统服务”,然后单击右箭头将其移动到“已选择”列。

协议

从“可用”列的列表中选择协议,然后单击向右箭头将其移动到“已选择”列。

J-Web 抢先看

J-Web 界面的每个页面都分为以下窗格(参见 图 3):

  • 启动平台 — 显示系统标识、活动用户和接口状态的高级详细信息。

  • 顶部窗格 - 显示标识信息和链接。

  • 侧窗格 — 显示主窗格中当前显示的仪表板、监控、设备管理、网络、安全策略和对象、安全服务和 VPN 任务的子任务。单击一个项目以在主窗格中访问它。

  • 主窗格 - 通过在文本框中输入信息、进行选择和单击按钮,监控、配置、查看或生成报告以及管理瞻博网络设备的位置。

图 3:J-Web 抢先看 J-Web First Look