Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置设置向导

您现在在这里:设备管理>重置配置

使用设置向导,可执行可安全传递信息流的服务网关的逐步配置。

注意:

您还可以在出厂默认设置中配置设置模式。在出厂默认设置中将管理设备(便携式计算机或 PC)连接到 SRX 设备,将显示 J-Web 设置向导。有关出厂默认设置中的设置向导详细信息,请参阅 开始 J-Web

您可以选择以下设置模式之一来配置服务网关:

注意:

单击 Cancel 以退出模式选择窗口。

  • 独立模式 — 将 SRX 系列设备配置为在独立模式下运行。在此模式下,您可以配置设备凭据、时间、管理接口、区域和接口、DNS 服务器和默认网关等基本设置。

  • 群集 (高可用性) 模式 — 将 SRX 系列设备配置为在群集 (高可用性) 模式下运行。在群集模式下,一对设备连接在一起并配置为像单个节点一样操作,从而提供设备、接口和服务级别冗余。

    注意:

    如果设备处于"独立"或"被动"高可用性模式。

  • 被动 (Tap) 模式 — 将 SRX 系列设备配置为在 TAP 模式下运行。TAP 模式允许您被动监控整个网络的流量。如果IPS,则 TAP 模式会检测传入和传出流量以检测威胁的数量。

    注意:

    SRX5000 系列设备、SRX4600 和 vSRX 设备不支持被动模式配置。

为了帮助您完成整个过程,向导:

  • 根据您的选择确定将呈现给哪些配置任务。

  • 当您试图离开页面时,标记任何缺少的必需配置。

要使用 J-Web 设置向导配置 SRX 设备,

  1. 单击 重置
  2. 单击 继续 启动 以启动设置向导。
    注意:

    对于独立和被动 (Tap) 模式,在将当前已提交配置的备份保存至本地文件系统之后,启动设置向导将设备重置为出厂默认配置。如果在设置 过程中单击 Cancel, 设备将回滚至其之前提交的状态。

  3. 选择要设置的模式,然后单击 开始
  4. 对于独立模式和被动 (Tap) 模式,请遵循表 1 到 表 3 中提供 的准则完成配置
    注意:
    • 如果选择群集 (高可用性) 模式,有关配置信息,请参阅 配置群集 (高可用性) 设置

    • 在设置向导中,root 密码是必需的,所有其他选项都是可选的。在被动模式下,管理接口、Tap 接口和服务是必需的。

  5. 单击 Finish

    显示成功消息,并且您所选择的设备配置模式已设置。

    注意:
    • 完成配置后,整个配置将提交到设备,并出现成功消息。如果提交失败,CLI将显示一条错误消息,您保留到向导的最后一页。如果需要,可以更改配置,直到提交成功。

    • 对于SRX300系列设备和 SRX550M 设备,如果已启用 atP 云或安全智能服务瞻博网络设备重新启动,将显示其他消息。对于其他 SRX 设备,设备不会重新启动。

表 1:设置向导配置

领域

行动

设备凭证
系统标识

设备名称

输入主机名。

您可以使用字母数字字符,特殊字符,如加号 (_)、连字符 (-) 或期间 (.);最大长度为 255 个字符。

Root 帐户

用户

显示 root 用户。

注意:

建议您不要将 root 用户帐户用作管理设备的最佳做法。

密码

输入密码。

您可以使用字母数字字符和特殊字符;最小长度为六个字符。

root 用户的 SSH

启用此选项以允许使用 SSH 的 root 登录(设备)。

管理员帐户

用户

输入管理员用户名以管理设备。

密码

输入管理员密码。

时间
时间

时区

从列表中选择时区。

时间来源

选择 NTP 服务器、计算机时间或手动来配置系统时间:

  • NTP Server > NTP服务器 — 选择"可用"列中的 NTP 服务器,然后使用右箭头移动到选定列。系统连接到网络后,系统时间与 NTP 服务器时间同步。

    此外,要添加新 NTP 服务器,单击 + 并输入 NTP 服务器的主机名或 IP 地址,然后单击 OK

    注意:

    如果要添加更多 NTP 服务器,请通过 J-Web 菜单>">设置"以访问"设备管理"。

  • 计算机>计算机时间 — 设备仅会在设置过程中自动与计算机时间同步。

  • 手动 > 日期和时间— 选择日期和时间(MM-DD-YYY 和 HH:MM:SS 24 小时),以手动配置系统时间。

管理接口
管理接口
注意:

如果更改管理 IP 地址并单击 Next,则管理接口页面上将出现警告消息,您需要使用新管理 IP 地址登录 J-Web,因为您可能与 J-Web 的连接可能会中断。

管理接口

从列表中选择接口。

如果 fxp0 端口是设备的管理端口,则显示 fxp0 端口。您可以按需要更改,也可以选择 并继续执行下一页。

注意:
  • 如果设备不支持 fxp0 端口,可以选择收入端口作为管理端口。收入端口都是除了 fxp0 和 em0 之外的所有端口。

  • 如果进入独立模式,则管理接口可以选择 ,然后单击 Next 以继续下一屏幕。

  • 如果处于被动 (Tap) 模式,则必须配置管理端口。J-Web 需要一个管理端口,以便查看生成的报告。

IPv4
注意:

单击 电子邮件以将 新配置的 IPv4 或 IPv6 地址发送到您的收件箱。如果您将管理 IP 地址更改为其他网络,但连接中断,这将会很有用。

管理地址

为管理接口输入有效的 IPv4 地址。

注意:

如果 fxp0 端口是设备的管理端口,则显示 fxp0 端口的默认 IP 地址。如果需要,您可以更改。

管理子网掩码

输入 IPv4 地址的子网掩码。

如果更改了管理地址,请使用新 IP 地址访问 J-Web。

静态路由

输入要路由至其他网络设备的静态路由的 IPv4 地址。

静态路由子网掩码

为静态路由 IPv4 地址输入子网掩码。

下一跳网关

输入下一跃点的有效 IPv4 地址。

IPv6

管理访问

为管理接口输入有效的 IPv6 地址。

管理子网前缀

输入 IPv6 地址的子网前缀长度。

静态路由

如果需要通过管理接口到达设备,请为静态路由输入 IPv6 地址。

静态路由子网前缀

为静态路由 IPv6 地址输入子网前缀长度。

下一跳网关

输入下一跳跃的有效 IPv6 地址。

接入协议
注意:

此选项可用于除 fxp0 之外的所有端口。

HTTPS

默认情况下,此选项已启用。

SSH

默认情况下,此选项已启用。

为 ping 服务启用此选项。

DHCP

为 DHCP 服务启用此选项。

NETCONF

为 NETCONF 服务启用此选项。

区域和接口
安全策略
注意:

此选项仅适用于独立模式。对于被动 (Tap) 模式,此选项在"点击设置"下可用。

从区

源区域的名称。在独立模式下,允许来自信任区域的所有流量。

至区域

目标区域的名称。在独立模式下,允许从信任区域到不信任区域的所有流量。

策略的源地址(而非 IP 地址)的名称。

目的地

目标地址的名称。

应用

策略匹配预配置或自定义应用程序的名称。

行动

在策略中指定匹配时采取的操作。

— 显示可用信任区域和不信任区域配置。

信任区域接口
注意:

此选项仅适用于独立模式。

添加信任区域接口

单击 + 以添加信任区域接口。有关字段详细信息,请参阅 表 2

编辑信任区域接口

选择一个接口,然后单击桌面右上角的铅笔图标以修改配置。

删除信任区域接口

选择一个界面,然后单击表右上角的删除图标。

确认窗口将显示。单击 以删除所选接口,或单击 以丢弃。

搜索信任区域接口

单击表右角的搜索图标,快速找到区域或接口。

详细视图信任区域接口

将鼠标光标悬停在接口名称上方,然后单击 详细视图 图标可查看区域和接口详细信息。

信任区域接口 — 区域级别设置

区域名称

查看设备出厂默认设置中填充的信任区域名称。

注意:

对于独立模式,默认情况下会创建信任和不信任区域,即使这些区域在出厂默认设置中不可用。

描述

输入信任区域的说明。

系统服务

为可到达特定接口上的设备的流量类型启用此选项。

默认情况下,此选项已启用。如果需要,可以禁用。

协议

选择此选项可配置设备,以使用网络流量协议(例如 TCP 和 UDP)在网络数据包上执行状态网络流量过滤。

默认情况下,此选项已启用。如果需要,可以禁用。

应用程序跟踪

选择此选项可收集指定区域中的应用程序流的字节、数据包和持续时间统计信息。

源身份日志

启用此选项后,设备可基于在安全策略中配置的源区域记录用户身份信息。

不信任区域接口

添加不信任区域接口

单击 + 以添加不信任区域接口。有关字段详细信息,请参阅表 3

编辑不信任区域接口

选择一个接口,然后单击桌面右上角的铅笔图标以修改配置。

删除不信任区域接口

选择一个界面,然后单击表右上角的删除图标。

确认窗口将显示。单击 以删除所选接口,或单击 以丢弃。

搜索不信任区域接口

单击表右角的搜索图标,快速找到区域或接口。

详细视图 不信任区域接口

将鼠标光标悬停在接口名称上方,然后单击 详细视图 图标可查看区域和接口详细信息。

不信任区域接口 — 区域级别设置

区域名称

查看设备出厂默认设置中填充的不信任区域名称。

注意:

对于独立模式,默认情况下会创建信任和不信任区域,即使这些区域在出厂默认设置中不可用。

描述

输入不信任区域的说明。

应用程序跟踪

选择此选项可收集指定区域中的应用程序流的字节、数据包和持续时间统计信息。

源身份日志

启用此选项后,设备可基于在安全策略中配置的源区域记录用户身份信息。

DNS 服务器和默认网关
DNS 服务器

DNS 服务器 1

输入主 DNS 的 IPv4 或 IPv6 地址。

DNS 服务器 2

输入辅助 DNS 的 IPv4 或 IPv6 地址。

默认网关

默认网关 (IPv4)

输入任何网络下一个可能目的地的 IPv4 地址。

默认网关 (IPv6)

输入任何网络下一个可能目的地的 IPv6 地址。

点击 设置
注意:

此选项仅适用于被动 (Tap) 模式。

点击 设置

点击接口

从列表中选择接口。

IP-IP 隧道检测

为 SRX 系列设备启用此选项以检查通过 IP-IP 隧道的通过流量。

GRE 通道检测

为 SRX 系列设备启用此选项以检查通过 GRE 通道的通过流量。

安全策略和高级服务
注意:

您的设备必须有互联网连接,要使用安全、IPS、Web 过滤、瞻博网络 ATP 云和安全威胁情报服务。

从区

源区域的名称。在 Tap 模式中,允许来自点击区域的所有信息流。

至区域

目标区域的名称。在 Tap 模式中,允许从 TAP 区域到 TAP 区域的所有信息流。

策略的源地址(而非 IP 地址)的名称。

目的地

目标地址的名称。

应用

策略匹配预配置或自定义应用程序的名称。

行动

在策略中指定匹配时采取的操作。

UTM

UTM

启用此选项以配置UTM服务。

许可证

输入UTM许可证密钥,然后单击 安装 许可证 以添加新许可证。

注意:
  • 使用空行分隔多个许可证密钥。

  • 要使用UTM,您的设备必须具有来自收入接口的互联网连接。

UTM类型

选择一个选项来UTM功能:

  • Web 过滤

  • 杀毒

  • 反垃圾邮件

Web 过滤类型

选择一个选项:

  • 增强型 — 指定 瞻博网络 增强型 Web 过滤 拦截 HTTP 和 HTTPS 请求,并将 HTTP URL 或 HTTPS 源 IP 发送到 Websense ThreatSeeker Cloud (TSC)。

  • 本地 — 指定本地配置文件类型。

IPS

IPS

启用此选项以安装 IPS 签名。

许可证

输入许可证密钥,然后单击 安装许可证 以添加新许可证。

注意:

安装过程可能需要几分钟。

IPS签名

单击 浏览 以导航到IPS包文件夹并选择它。单击 安装 以安装所选的 IPS签名包。

注意:

您可以在 IPS 下载 IPS 脱机 https://support.juniper.net/support/downloads/ 包

ATP 云

ATP 云

允许此选项瞻博网络 ATP 云服务。

注意:

推送瞻博网络 ATP 云配置后,仅SRX300系列设备和 SRX550M 设备重新启动。您的设备必须有互联网连接,才能通过 J-web 瞻博网络 ATP 云注册流程。

安全智能

安全智能

启用此选项以使用安全智能服务。

注意:

推送安全智能配置后,仅SRX300系列设备和 SRX550M 设备重新启动。您的设备必须有互联网连接,才能瞻博网络 J-Web 启用 ATP 云注册流程。

用户防火墙

用户防火墙

启用此选项以使用用户防火墙服务。

域名

输入 Active Directory 的域名。

控制器

输入控制器 IP 地址。

用户

输入管理员权限的用户名。

密码

输入管理员权限密码。

表 2:添加信任区域

领域

行动

一般

类型(家族)

  • 选择 交换。交换接口的字段包括:

    注意:

    此选项仅对多SRX300系列设备、SRX550M 和 SRX1500可用。对于 SRX5000 系列设备、SRX4100、SRX4200、SRX4600 和 vSRX 设备,"类型"(系列)字段不可用。

    • IRB 接口单元—输入 IRB 设备。

    • 说明—输入接口说明。

  • 选择 路由。路由接口的字段包括:

    对于 SRX5000 系列设备、SRX4100、SRX4200、SRX4600 和 vSRX 设备,"类型"(系列)字段不可用。

    • 接口—从列表中选择选项。

    • 接口单元—输入 Inet 单元。

      注意:

      如果接口单元高于零,则自动启用 VLAN 标记。

    • 说明—输入接口说明。

    • VLAN ID—输入 VLAN ID。

      注意:

      如果接口单元高于零,则 VLAN ID 是必需的。

接口

从"可用"列选择接口,将其移动到"已选择"列。

注意:

此选项仅适用于交换系列类型。

VLAN
注意:

此选项仅适用于交换系列类型。

名字

输入 VLAN 的唯一名称。

VLAN ID

输入 VLAN ID。

IPv4

IPv4 地址

为交换或路由接口输入有效的 IPv4 地址。

子网掩码

输入 IPv4 地址的子网掩码。

IPv6

IPv6 地址

为交换或路由接口输入有效的 IPv6 地址。

子网前缀

输入 IPv6 地址的子网前缀。

DHCP 本地服务器

DHCP 本地服务器

启用此选项以将交换机配置为用作扩展 DHCP 本地服务器。

池名称

输入 DHCP 池名称。

池启动地址

输入 DHCP 服务器池地址范围的开始 IPv4 地址。此地址必须位于 IPv4 网络中。

池端地址

输入 DHCP 服务器池地址范围的结束 IPv4 地址。此地址必须位于 IPv4 网络中。

注意:

此地址必须大于"池启动地址"中指定的地址。

通过

从列表中选择选项。在设备接口上作为 DHCP 客户端接收的 TCP/IP 设置(如 DNS 和网关地址)传播。

服务和协议

系统服务

从"可用"列的列表中选择系统服务,然后单击右箭头以将其移动到"已选择"列。

可用选项包括:

  • 全部 — 指定所有系统服务。

  • 任意服务 - 指定整个端口范围上的服务。

  • appqoe— 指定 APPQOE 主动探测器服务。

  • bootp —指定 Bootp 和 dhcp 中继代理服务。

  • dhcp—指定动态主机配置协议。

  • dhcpv6— 为 IPV6 启用动态主机配置协议。

  • dns — 指定 DNS 服务。

  • 手指 — 指定手指服务。

  • ftp—指定 FTP 协议。

  • http—使用 HTTP 指定 Web 管理。

  • https— 使用 SSL 保护的 HTTP 指定 Web 管理。

  • 识别重置 — 指定将端口 113 发送回 TCP RST IDENT 请求。

  • ike — 指定互联网密钥交换。

  • ls ping — 指定标签交换系列 ping 服务。

  • netconf — 指定 NETCONF 服务。

  • ntp—指定网络时间协议。

  • ping — 指定互联网控制消息协议。

  • r2cp—启用无线路由器控制协议。

  • 反向 ssh — 指定反向 SSH 服务。

  • 反向 telnet — 指定反向 telnet 服务。

  • rlogin — 指定 Rlogin 服务

  • rpm — 指定实时性能监控。

  • rsh—指定 Rsh 服务。

  • snmp — 指定简单网络管理协议。

  • snmp 陷阱 — 指定简单网络管理协议陷阱。

  • ssh— 指定 SSH 服务。

  • tcp—encap-指定 TCP 封装服务。

  • telnet — 指定 Telnet 服务。

  • tftp — 指定 TFTP

  • traceroute — 指定 traceroute 服务。

  • webapi-clear-text—使用 http 指定 Webapi 服务。

  • webapi-ssl —使用 SSL 保护的 HTTP 指定 Webapi 服务。

  • xnm 清除文本 — 为 TCP 上未加密的流量指定 JUNOScript API。

  • xnm-ssl — 通过 SSL 指定 JUNOScript API 服务。

协议

从"可用"列列表中选择协议,然后单击右箭头以将其移动到"已选择"列。

可用选项包括:

  • 全部 — 指定所有协议。

  • bfd — 双向转发检测。

  • bgp—边界网关协议。

  • dvmrp —距离向量组播路由协议。

  • igmp — 互联网组管理协议。

  • ldp — 标签分发协议。

  • msdp—组播源发现协议。

  • nhrp- 下一跳解析协议。

  • ospf — 开放最短路径为先。

  • ospf3 — 开放最短路径第一版。

  • pgm — 实际通用组播。

  • pim — 协议无关组播。

  • rip —路由信息协议。

  • ripng — 下一代路由信息协议。

  • 路由器发现 — 路由器发现。

  • rsvp—资源预留协议。

  • sap — 会话声明协议。

  • vrrp—虚拟路由器冗余协议。

表 3:添加不信任区域

领域

行动

一般

接口

从列表中选择接口。

接口单元

输入接口单元值。

VLAN ID

输入 VLAN ID。

注意:

如果接口单元高于零,则 VLAN ID 是必需的。

描述

输入接口说明。

地址模式

为接口选择地址模式。可用选项包括 DHCP 客户端、PPPoE (PAP)、PPPoE (CHAP) 和静态 IP。

注意:

SRX5000 系列设备不支持 PPPoE (PAP) 和 PPPoE (CHAP),并且任何设备均处于被动模式。

用户

输入 PPPoE (PAP) 或 PPPoE (CHAP) 认证用户名。

密码

输入 PPPoE (PAP) 或 PPPoE (CHAP) 认证的密码。

IPv4
注意:

此选项仅适用于静态 IP 地址模式。

IPv4 地址

为接口输入有效的 IPv4 地址。

子网掩码

输入 IPv4 地址的子网掩码。

IPv6
注意:

此选项仅适用于静态 IP 地址模式。

IPv6 地址

为接口输入有效的 IPv6 地址。

子网前缀

输入 IPv6 地址的子网前缀。

服务和协议

系统服务

从"可用"列的列表中选择系统服务,然后单击右箭头以将其移动到"已选择"列。

协议

从"可用"列列表中选择协议,然后单击右箭头以将其移动到"已选择"列。