配置安装向导
您在这里: 设备管理 > 重置配置。
使用设置向导,您可以分步配置可以安全传递流量的服务网关。
您还可以在出厂默认设置中配置设置模式。将您的管理设备(笔记本电脑或 PC)连接到 SRX 系列防火墙 在出厂默认设置下,将出现 J-Web 设置向导。有关出厂默认设置中的设置向导的详细信息,请参阅 启动 J-Web。
您可以选择以下设置模式之一来配置服务网关:
单击 取消 退出模式选择窗口。
独立模式 — 将 SRX 系列设备配置为在独立模式下运行。在此模式下,您可以配置基本设置,例如设备凭据、时间、管理接口、区域和接口以及 DNS 服务器和默认网关。
集群 (HA) 模式 — 将 SRX 系列设备配置为在集群 (HA) 模式下运行。在群集模式下,一对设备连接在一起并配置为像单个节点一样运行,从而提供设备、接口和服务级别冗余。
注意:当设备处于 HA 模式时,您无法配置独立或被动模式。
被动(分路)模式 — 将 SRX 系列设备配置为在分路模式下运行。TAP 模式允许您被动监控网络中的流量。如果启用了 IPS,则 TAP 模式会检查传入和传出流量以检测威胁数量。
注意:SRX5000系列设备、SRX4600 和 vSRX 设备不支持被动模式配置。
为了帮助指导您完成此过程,向导:
根据您的选择确定要呈现给您的配置任务。
在尝试离开页面时标记任何缺少的必需配置。
要使用 J-Web 设置向导配置 SRX 系列防火墙,请执行以下操作:
领域 |
行动 |
|---|---|
| 设备凭据 | |
| 系统标识 | |
设备名称 |
输入主机名。 您可以使用字母数字字符、特殊字符,例如下划线 (_)、连字符 (-) 或句点 (.);最大长度为 255 个字符。 |
| 根账户 | |
用户 |
显示根用户。
注意:
我们建议您不要使用 root 用户帐户作为管理设备的最佳实践。 |
密码 |
输入密码。 您可以使用字母数字字符和特殊字符;最小长度为 6 个字符。 |
根用户的 SSH |
启用此选项以允许使用 SSH 进行 root 登录(到设备)。 |
| 管理员帐户 | |
用户 |
输入管理员用户名以管理设备。 |
密码 |
输入管理员密码。 |
| 时间 | |
| 时间 | |
时区 |
从列表中选择一个时区。 |
时间源 |
选择 NTP 服务器、计算机时间或手动以配置系统时间:
|
| 管理接口 | |
| 管理接口
注意:
如果更改管理 IP 地址并单击 下一步,则管理界面页面上将显示一条警告消息,指出您需要使用新的管理 IP 地址登录 J-Web,因为您可能会失去与 J-Web 的连接。 |
|
管理接口 |
从列表中选择一个接口。 如果 fxp0 端口是设备的管理端口,则会显示 fxp0 端口。您可以根据需要进行更改,也可以选择 “无 ”并继续下一页。
注意:
|
| IPv4
注意:
单击 “通过电子邮件发送给自己 ”,将新配置的 IPv4 或 IPv6 地址发送到您的收件箱。如果在将管理 IP 地址更改为另一个网络时断开连接,这将非常有用。 |
|
管理地址 |
为管理接口输入有效的 IPv4 地址。
注意:
如果 fxp0 端口是设备的管理端口,则会显示 fxp0 端口的默认 IP 地址。如果需要,您可以更改它。 |
管理子网掩码 |
输入 IPv4 地址的子网掩码。 如果您更改了管理地址,请使用新的 IP 地址访问 J-Web。 |
静态路由 |
输入要路由到其他网络设备的静态路由的 IPv4 地址。 |
静态路由子网掩码 |
输入静态路由 IPv4 地址的子网掩码。 |
下一跃点网关 |
为下一跃点输入有效的 IPv4 地址。 |
| IPv6 | |
管理访问 |
为管理接口输入有效的 IPv6 地址。 |
管理子网前缀 |
输入 IPv6 地址的子网前缀长度。 |
静态路由 |
如果需要通过管理接口到达设备,请输入静态路由的 IPv6 地址。 |
静态路由子网前缀 |
输入静态路由 IPv6 地址的子网前缀长度。 |
下一跃点网关 |
为下一跃点输入有效的 IPv6 地址。 |
| 访问协议
注意:
此选项可用于除 fxp0 之外的所有端口。 |
|
HTTPS |
默认情况下,此选项处于启用状态。 |
Ssh |
默认情况下,此选项处于启用状态。 |
坪 |
为 ping 服务启用此选项。 |
Dhcp |
为 DHCP 服务启用此选项。 |
网络会议 |
为 NETCONF 服务启用此选项。 |
| 区域和接口 | |
| 安全策略
注意:
此选项仅适用于独立模式。对于被动(点击)模式,此选项在点击设置下可用。 |
|
从区域 |
源区域的名称。在独立模式下,允许来自信任区域的所有流量。 |
到区域 |
目标区域的名称。在独立模式下,允许从信任区域到不信任区域的所有流量。 |
源 |
策略的源地址(不是 IP 地址)的名称。 |
目的地 |
目标地址的名称。 |
应用 |
策略匹配的预配置或自定义应用程序的名称。 |
行动 |
发生策略中指定的匹配时执行的操作。 |
| 区 - 显示可用的信任和不信任区域配置。 |
|
| 信任区域接口
注意:
此选项仅适用于独立模式。 |
|
添加信任区域接口 |
单击 + 添加信任区域接口。有关字段的详细信息,请参阅 表 2。 |
编辑信任区域接口 |
选择一个接口,然后单击表格右上角的铅笔图标以修改配置。 |
删除信任区域接口 |
选择一个接口,然后单击表格右上角的删除图标。 将出现一个确认窗口。单击“ 是 ”删除所选接口,或单击 “否 ”放弃。 |
搜索信任区域接口 |
单击表格右上角的搜索图标可快速找到区域或接口。 |
详细视图信任区域界面 |
将鼠标悬停在接口名称上,然后单击详细视图图标以查看区域和接口详细信息。 |
| 信任区域接口 — 区域级别设置 | |
区域名称 |
查看从设备出厂默认设置填充的信任区域名称。
注意:
对于独立模式,默认情况下会创建信任和不信任区域,即使这些区域在出厂默认设置中不可用也是如此。 |
描述 |
输入信任区域的说明。 |
系统服务 |
为可到达特定接口上的设备的流量类型启用此选项。 默认情况下,此选项处于启用状态。如果需要,您可以禁用。 |
协议 |
启用此选项可将设备配置为使用网络流量协议(例如 TCP 和 UDP)对网络数据包执行有状态网络流量筛选。 默认情况下,此选项处于启用状态。如果需要,您可以禁用。 |
应用程序跟踪 |
启用此选项可收集指定区域中应用程序流的字节、数据包和持续时间统计信息。 |
源标识日志 |
启用此选项,以便设备根据安全策略中配置的源区域记录用户身份信息。 |
| 不信任区域接口 | |
添加不信任区域接口 |
单击 + 添加不信任区域接口。有关字段的详细信息,请参阅 表 3。 |
编辑不信任区域接口 |
选择一个接口,然后单击表格右上角的铅笔图标以修改配置。 |
删除不信任区域接口 |
选择一个接口,然后单击表格右上角的删除图标。 将出现一个确认窗口。单击“ 是 ”删除所选接口,或单击 “否 ”放弃。 |
搜索不信任区域接口 |
单击表格右上角的搜索图标可快速找到区域或接口。 |
详细视图 不信任区域接口 |
将鼠标悬停在接口名称上,然后单击详细视图图标以查看区域和接口详细信息。 |
| 不信任区域接口 — 区域级别设置 | |
区域名称 |
查看从设备出厂默认设置填充的不信任区域名称。
注意:
对于独立模式,默认情况下会创建信任和不信任区域,即使这些区域在出厂默认设置中不可用也是如此。 |
描述 |
输入不信任区域的说明。 |
应用程序跟踪 |
启用此选项可收集指定区域中应用程序流的字节、数据包和持续时间统计信息。 |
源标识日志 |
启用此选项,以便设备根据安全策略中配置的源区域记录用户身份信息。 |
| DNS 服务器和默认网关 | |
| DNS 服务器 | |
DNS 服务器 1 |
输入主 DNS 的 IPv4 或 IPv6 地址。 |
DNS 服务器 2 |
输入辅助 DNS 的 IPv4 或 IPv6 地址。 |
| 默认网关 | |
默认网关 (IPv4) |
输入任何网络的下一个可能目标的 IPv4 地址。 |
默认网关 (IPv6) |
输入任何网络的下一个可能目标的 IPv6 地址。 |
| 点按“设置”图标
注意:
此选项仅适用于被动(点击)模式。 |
|
| 点按“设置”图标 | |
分路接口 |
从列表中选择接口。 |
IP-IP 隧道检测 |
为 SRX 系列设备启用此选项以检查通过 IP-IP 隧道的直通流量。 |
GRE 隧道检测 |
为 SRX 系列设备启用此选项以检查通过 GRE 隧道的直通流量。 |
| 安全政策与高级服务
注意:
您的设备必须具有互联网连接才能使用 IPS、Web 过滤、瞻博网络 ATP 云和安全威胁情报服务。 |
|
从区域 |
源区域的名称。在分路模式下,允许来自分路区域的所有流量。 |
到区域 |
目标区域的名称。在分路模式下,允许从 TAP 区域到 TAP 区域的所有流量。 |
源 |
策略的源地址(不是 IP 地址)的名称。 |
目的地 |
目标地址的名称。 |
应用 |
策略匹配的预配置或自定义应用程序的名称。 |
行动 |
发生策略中指定的匹配时执行的操作。 |
| Utm | |
Utm |
启用此选项以配置 UTM 服务。 |
许可证 |
输入 UTM 许可证密钥,然后单击 安装 许可证以添加新许可证。
注意:
|
UTM 类型 |
选择一个选项以配置 UTM 功能:
|
Web 过滤类型 |
选择一个选项:
|
| Ip | |
Ip |
启用此选项可安装 IPS 签名。 |
许可证 |
输入许可证密钥,然后单击安装许可证以添加新 许可证 。
注意:
安装过程可能需要几分钟时间。 |
IPS 签名 |
单击 “浏览 ”导航到 IPS 签名包文件夹并选择它。单击 “ 安装”以安装选定的 IPS 特征码包。
注意:
您可以在 https://support.juniper.net/support/downloads/ 下载 IPS 签名离线软件包。 |
| ATP 云 | |
ATP 云 |
启用此选项可使用瞻博网络 ATP 云服务。
注意:
推送瞻博网络 ATP 云配置后,仅重新启动 SRX300 系列设备和 SRX550M 设备。您的设备必须具有互联网连接,才能通过 J-Web 启用瞻博网络 ATP 云注册流程。 |
| 安全情报 | |
安全智能 |
启用此选项可使用安全智能服务。
注意:
推送安全智能配置后,仅重新启动 SRX300 系列设备和 SRX550M 设备。您的设备必须具有互联网连接,才能通过 J-Web 启用瞻博网络 ATP 云注册流程。 |
| 用户防火墙 | |
用户防火墙 |
启用此选项可使用用户防火墙服务。 |
域名 |
输入活动目录的域名。 |
域控制器 |
输入域控制器 IP 地址。 |
用户 |
输入管理员权限的用户名。 |
密码 |
输入管理员权限的密码。 |
领域 |
行动 |
|---|---|
| 一般 | |
类型(家族) |
|
接口 |
从“可用”列中选择一个接口,然后将其移动到“已选择”列。
注意:
此选项仅适用于交换族类型。 |
| Vlan
注意:
此选项仅适用于交换族类型。 |
|
名字 |
输入 VLAN 的唯一名称。 |
虚拟帧 ID |
输入 VLAN ID。 |
| IPv4 | |
IPv4 地址 |
为交换或路由接口输入有效的 IPv4 地址。 |
子网掩码 |
输入 IPv4 地址的子网掩码。 |
| IPv6 | |
IPv6 地址 |
为交换接口或路由接口输入有效的 IPv6 地址。 |
子网前缀 |
输入 IPv6 地址的子网前缀。 |
| DHCP 本地服务器 | |
DHCP 本地服务器 |
启用此选项可将交换机配置为扩展 DHCP 本地服务器。 |
池名称 |
输入 DHCP 池名称。 |
池开始地址 |
输入 DHCP 服务器池地址范围的起始 IPv4 地址。此地址必须在 IPv4 网络中。 |
池结束地址 |
输入 DHCP 服务器池地址范围的结束 IPv4 地址。此地址必须在 IPv4 网络中。
注意:
此地址必须大于池开始地址中指定的地址。 |
从以下位置传播设置 |
从列表中选择一个选项。在充当 DHCP 客户端的设备接口上接收的 TCP/IP 设置(如 DNS 和网关地址)的传播。 |
| 服务与协议 | |
系统服务 |
从“可用”列的列表中选择“系统服务”,然后单击向右箭头将其移动到“已选择”列。 可用的选项包括:
|
协议 |
从“可用”列的列表中选择协议,然后单击向右箭头将其移动到“已选择”列。 可用的选项包括:
|
领域 |
行动 |
|---|---|
| 一般 | |
接口 |
从列表中选择一个接口。 |
接口单元 |
输入接口单元值。 |
虚拟帧 ID |
输入 VLAN ID。
注意:
如果接口单元大于零,VLAN ID 是必需的。 |
描述 |
输入接口的说明。 |
地址模式 |
选择接口的地址模式。可用选项包括 DHCP 客户端、PPPoE (PAP)、PPPoE (CHAP) 和静态 IP。
注意:
SRX5000系列设备以及任何设备处于被动模式,则不支持 PPPoE (PAP) 和 PPPoE (CHAP)。 |
用户 |
输入用于 PPPoE (PAP) 或 PPPoE (CHAP) 身份验证的用户名。 |
密码 |
输入用于 PPPoE (PAP) 或 PPPoE (CHAP) 身份验证的密码。 |
| IPv4
注意:
此选项仅适用于静态 IP 地址模式。 |
|
IPv4 地址 |
输入接口的有效 IPv4 地址。 |
子网掩码 |
输入 IPv4 地址的子网掩码。 |
| IPv6
注意:
此选项仅适用于静态 IP 地址模式。 |
|
IPv6 地址 |
输入接口的有效 IPv6 地址。 |
子网前缀 |
输入 IPv6 地址的子网前缀。 |
| 服务与协议 | |
系统服务 |
从“可用”列的列表中选择“系统服务”,然后单击向右箭头将其移动到“已选择”列。 |
协议 |
从“可用”列的列表中选择协议,然后单击向右箭头将其移动到“已选择”列。 |