J-Web 设置向导
使用 J-Web 设置向导配置 SRX 系列防火墙
使用设置向导,您可以分步配置可以安全传递流量的服务网关。
有关如何启动和访问 J-Web 用户界面的信息,请参阅 访问 J-Web 用户界面。
您可以选择以下设置模式之一来配置服务网关:
-
独立模式 — 将 SRX 系列防火墙配置为在独立模式下运行。在此模式下,您可以配置基本设置,例如设备凭据、时间、管理接口、区域和接口以及 DNS 服务器和默认网关。
-
群集 (HA) 模式 — 将 SRX 系列防火墙配置为在群集 (HA) 模式下运行。在群集模式下,一对设备连接在一起并配置为像单个节点一样运行,从而提供设备、接口和服务级别冗余。
注意:当设备处于 HA 模式时,您无法配置独立或被动模式。
-
被动(分路)模式 — 将 SRX 系列防火墙配置为在分路模式下运行。TAP 模式允许您被动监控网络中的流量。如果启用了 IPS,则 TAP 模式会检查传入和传出流量以检测威胁数量。
注意:-
SRX5000系列设备、SRX4600 和 vSRX 虚拟防火墙设备不支持被动模式配置。
-
从 Junos OS 23.4R1 版开始,J-Web 支持 SRX1600 防火墙和SRX2300防火墙。
-
从 Junos OS 24.2R1 版开始,J-Web 支持SRX4300防火墙。
-
为了帮助指导您完成此过程,向导:
-
根据您的选择确定要呈现给您的配置任务。
-
在尝试离开页面时标记任何缺少的必需配置。
要使用 J-Web 设置向导配置 SRX 系列防火墙,请执行以下操作:
-
选择要设置的配置模式,然后单击 启动。
此时将显示“安装向导”页。
-
对于独立和被动 (Tap) 模式,请根据 表 2 中提供的指南完成配置。
如果选择群集 (HA) 模式,有关配置信息,请参阅 配置群集 (HA) 设置。
注意:root 密码在安装向导中是必需的。所有其他选项都是可选的。在被动模式下,必须配置管理接口、分路接口和服务。
-
查看配置详细信息。如果要更改配置,请单击 编辑配置,否则单击 完成。
等待配置提交。将整个配置提交到设备后,将显示一条成功消息。
注意:-
如果提交失败,J-Web 将显示从 CLI 收到的错误消息,而您仍保留在向导的最后一页。检查配置并根据需要进行更改,以便提交成功。
-
对于 SRX300 系列设备和被动模式下的 SRX550M 设备,如果启用了瞻博网络 ATP 云或安全智能服务,则会显示一条有关设备重新启动的附加消息。对于其他 SRX 系列防火墙,设备将不会重新启动。
-
-
阅读是否有任何说明可用,然后单击 打开 J-Web 登录页面。
此时将显示“J-Web 登录”页面。
-
输入根用户名和密码,然后单击 登录。
将出现“启动板”屏幕,直到加载 J-Web UI。参见 J-Web:初见。
示例:适用于独立模式的 J-Web 向导
在本节中,我们将向您展示用于独立模式操作的典型 J-Web 设置向导工作流程。J-Web 界面会随着时间的推移而更新和修改。以下示例代表了典型工作流。此特定示例基于 Junos 21.3R1 版本。
表 1 提供了用于初始设置的配置参数的详细信息。
配置参数 | 示例值 |
---|---|
根密码 | "Sample_psswd_for_doc-only!" |
主机名 | SRX-300 |
管理接口 | ge-0/0/1 |
管理 IP 和 CIDR | 10.102.70.79/24 |
访问协议 | HTTPS、SSH、Ping |
用于管理的静态路由 | 10.0.0.0/8,下一跳 10.102.70.254 |
NTP 和 DNS |
|
远程访问 | 允许根登录的 SSH |
非 root 用户(管理员/超级用户帐户) | 用户“实验室”,密码 "Sample_psswd_for_doc-only!" |
安全策略 | 违约 |
有关如何访问 J-Web 界面的信息,请参阅 访问 J-Web 用户界面 。此示例基于 SRX300。根据 表 1 中的信息,管理设备已设置为 DHCP 并连接到 ge-0/0/1 接口。运行出厂默认配置时,ge-0/0/1 接口配置为 DHCP 服务器,并从 192.168.1.0/24 子网为 PC 分配地址。要在此场景中访问 J-Web,请将浏览器指向 https://192.168.1.1。
-
我们从 J-Web 设置向导屏幕开始。单击 “独立模式 ”选项,然后单击 “开始”按钮。
图 1:J-Web 安装向导模式 -
在设备凭据页面上配置设备名称、root 用户和非 root(管理员)用户登录信息。
注意:为 root 用户启用 SSH。
图 2:J-Web 安装向导设备凭据 -
单击 下一步。
此时将打开 “时间 ”页面。
-
配置时区、时间源,如果是 NTP,则配置所需的服务器。
图 3:J-Web 设置向导时间服务器 -
单击 下一步。
此时将打开 “管理接口 ”页面。
-
同样,此设置示例基于 SRX 300 系列设备。此 SRX 系列防火墙没有专用管理接口。在许多情况下,他们在分支机构中的角色会导致他们通过 WAN 接口 (ge-0/0/0) 进行远程管理。在较大的 SRX 系列防火墙上,提供了专用管理接口 (fxp0),用于连接到带外 (OOB) 管理网络。在此示例中,您将 ge-0/0/1 接口配置为专用 OOB 管理接口。
图 4:J-Web 安装向导管理界面在继续之前,请单击 访问协议 选项卡以确认管理接口上允许 HTTPS、SSH 和 Ping(ICMP 回显)。
图 5:J-Web 安装向导访问协议 -
单击 下一步。
此时将打开 “区域和接口 ”页面。
-
在此示例中,您将维护出厂默认安全策略。回想一下,在完成初始设置后,您始终可以使用 J-Web 修改配置的所有方面,以包括安全性。
图 6:J-Web 安装向导安全区域 -
单击 下一步。
此时将打开“ DNS 服务器和默认网关” 页面。
-
配置公共 DNS 服务器 IP,并将默认网关字段留空。如果需要,您可以添加默认路由来访问应可通过管理接口访问的其他网络。
图 7:J-Web 安装向导 DNS 和默认网关 -
单击 下一步。
将打开安装向导。此页面汇总了您的配置。如果需要,可以使用“编辑配置”选项进行更改。
图 8:J-Web 安装向导摘要 -
对配置满意后,单击 完成。安装向导将显示一个状态页面,指示初始配置正在推送到 SRX 系列防火墙。
图 9:J-Web 安装向导配置推送稍后,将显示“ 安装成功” 页。祝贺!您的 SRX 系列防火墙可远程访问,并可使用 J-Web 界面进行持续管理。
图 10:J-Web 安装向导成功注意:回想一下,在这个基于 SRX-300 的示例中,管理设备直接连接到 ge-0/0/1 端口上的 SRX。您使用 SRX 系列防火墙使用 DHCP 分配的 192.168.1.0/24 地址执行了初始配置。
使用设置向导,您将 ge-0/0/1 接口配置为专用管理接口,并分配静态 IP 地址 10.102.70.89/24。因此,ge-0/0/1 接口不再用作 DHCP 服务器。
激活新配置后,如果管理设备仍直接连接到 ge-0/0/1 接口,则必须确保为其配置兼容的 IP 地址。您可以使用 https://10.102.70.89 重新登录 J-Web。
祝贺!您已完成使用 J-Web 的初始设置。通过访问以下链接继续前进:
- 快速了解 J-Web 用户界面: 探索 J-Web
- 访问设备仪表板: 仪表板概述
- 监控设备流量: 监控流量映射
- 配置设备: 配置基本设置
- 使用“入门”面板: 安全性 J-Web 入门
J-Web 安装向导参数
本节可作为可使用 J-Web 设置向导配置的模式特定参数的参考。 表 2 提供了可在独立和被动 (Tap) 模式下配置的参数的详细信息。有关群集 (HA) 模式下支持的参数的详细信息,请参阅 配置群集 (HA) 设置。
田 |
行动 |
---|---|
设备凭据 | |
系统标识 | |
设备名称 |
输入主机名。 您可以使用字母数字字符、特殊字符,例如下划线 (_)、连字符 (-) 或句点 (.);最大长度为 255 个字符。 |
根账户 | |
用户名 |
显示根用户。
注意:
我们建议您不要使用 root 用户帐户作为管理设备的最佳实践。 |
密码 |
输入密码。 您可以使用字母数字字符和特殊字符;最小长度为 6 个字符。 |
根用户的 SSH |
启用此选项以允许使用 SSH 进行 root 登录(到设备)。 |
管理员帐户 | |
用户名 |
输入管理员用户名以管理设备。 |
密码 |
输入管理员密码。 |
时间配置 | |
时间 | |
时区 |
从列表中选择一个时区。 |
时间源 |
选择 NTP 服务器、计算机时间或手动以配置系统时间:
|
管理接口配置 | |
管理接口
注意:
如果更改管理 IP 地址并单击 下一步,则管理界面页面上将显示一条警告消息,指出您需要使用新的管理 IP 地址登录 J-Web,因为您可能会失去与 J-Web 的连接。 |
|
管理接口 |
从列表中选择一个接口。 如果 fxp0 端口是设备的管理端口,则会显示 fxp0 端口。您可以根据需要进行更改,也可以选择 “无 ”并继续下一页。
注意:
|
IPv4
注意:
单击 “通过电子邮件发送给自己 ”,将新配置的 IPv4 或 IPv6 地址发送到您的收件箱。如果在将管理 IP 地址更改为另一个网络时断开连接,这将非常有用。 |
|
管理地址 |
为管理接口输入有效的 IPv4 地址。
注意:
如果 fxp0 端口是设备的管理端口,则会显示 fxp0 端口的默认 IP 地址。如果需要,您可以更改它。 |
管理子网掩码 |
输入 IPv4 地址的子网掩码。 如果您更改了管理地址,请使用新的 IP 地址访问 J-Web。 |
静态路由 |
输入要路由到其他网络设备的静态路由的 IPv4 地址。 |
静态路由子网掩码 |
输入静态路由 IPv4 地址的子网掩码。 |
下一跃点网关 |
为下一跃点输入有效的 IPv4 地址。 |
IPv6 | |
管理访问 |
为管理接口输入有效的 IPv6 地址。 |
管理子网前缀 |
输入 IPv6 地址的子网前缀长度。 |
静态路由 |
如果需要通过管理接口到达设备,请输入静态路由的 IPv6 地址。 |
静态路由子网前缀 |
输入静态路由 IPv6 地址的子网前缀长度。 |
下一跃点网关 |
为下一跃点输入有效的 IPv6 地址。 |
访问协议
注意:
此选项可用于除 fxp0 之外的所有端口。 |
|
HTTPS |
默认情况下,此选项处于启用状态。 |
SSH |
默认情况下,此选项处于启用状态。 |
乒 |
为 ping 服务启用此选项。 |
DHCP |
为 DHCP 服务启用此选项。 |
网络会议 |
为 NETCONF 服务启用此选项。 |
区域和接口 | |
安全策略
注意:
此选项仅适用于独立模式。对于被动(点击)模式,此选项在点击设置下可用。 |
|
从区域 |
源区域的名称。在独立模式下,允许来自信任区域的所有流量。 |
到区域 |
目标区域的名称。在独立模式下,允许从信任区域到不信任区域的所有流量。 |
源 |
策略的源地址(不是 IP 地址)的名称。 |
目的地 |
目标地址的名称。 |
应用 |
策略匹配的预配置或自定义应用程序的名称。 |
行动 |
发生策略中指定的匹配时执行的操作。 |
区 - 显示可用的信任和不信任区域配置。 |
|
信任区域接口
注意:
此选项仅适用于独立模式。 |
|
添加信任区域接口 |
单击 + 添加信任区域接口。有关字段的详细信息,请参阅 表 3。 |
编辑信任区域接口 |
选择一个接口,然后单击表格右上角的铅笔图标以修改配置。 |
删除信任区域接口 |
选择一个接口,然后单击表格右上角的删除图标。 将出现一个确认窗口。单击 “是 ”删除所选接口,或单击 “否 ”放弃。 |
搜索信任区域接口 |
单击表格右上角的搜索图标可快速找到区域或接口。 |
详细视图信任区域界面 |
将鼠标悬停在接口名称上,然后单击详细视图图标以查看区域和接口详细信息。 |
信任区域接口 — 区域级别设置 | |
区域名称 |
查看从设备出厂默认设置填充的信任区域名称。
注意:
对于独立模式,默认情况下会创建信任和不信任区域,即使这些区域在出厂默认设置中不可用也是如此。 |
描述 |
输入信任区域的说明。 |
系统服务 |
为可到达特定接口上的设备的流量类型启用此选项。 默认情况下,此选项处于启用状态。如果需要,您可以禁用。 |
协议 |
启用此选项可将设备配置为使用网络流量协议(例如 TCP 和 UDP)对网络数据包执行有状态网络流量筛选。 默认情况下,此选项处于启用状态。如果需要,您可以禁用。 |
应用程序跟踪 |
启用此选项可收集指定区域中应用程序流的字节、数据包和持续时间统计信息。 |
源标识日志 |
启用此选项,以便设备根据安全策略中配置的源区域记录用户身份信息。 |
不信任区域接口 | |
添加不信任区域接口 |
单击 + 添加不信任区域接口。有关字段的详细信息,请参阅 表 4。 |
编辑不信任区域接口 |
选择一个接口,然后单击表格右上角的铅笔图标以修改配置。 |
删除不信任区域接口 |
选择一个接口,然后单击表格右上角的删除图标。 将出现一个确认窗口。单击 “是 ”删除所选接口,或单击 “否 ”放弃。 |
搜索不信任区域接口 |
单击表格右上角的搜索图标,可快速找到区域或接口。 |
详细视图 不信任区域接口 |
将鼠标悬停在接口名称上,然后单击详细视图图标以查看区域和接口详细信息。 |
不信任区域接口 — 区域级别设置 | |
区域名称 |
查看从设备出厂默认设置填充的不信任区域名称。
注意:
对于独立模式,默认情况下会创建信任和不信任区域,即使这些区域在出厂默认设置中不可用也是如此。 |
描述 |
输入不信任区域的说明。 |
应用程序跟踪 |
启用此选项可收集指定区域中应用程序流的字节、数据包和持续时间统计信息。 |
源标识日志 |
启用此选项,以便设备根据安全策略中配置的源区域记录用户身份信息。 |
DNS 服务器和默认网关 | |
DNS 服务器 | |
DNS 服务器 1 |
输入主 DNS 的 IPv4 或 IPv6 地址。 |
DNS 服务器 2 |
输入辅助 DNS 的 IPv4 或 IPv6 地址。 |
默认网关 | |
默认网关 (IPv4) |
输入任何网络的下一个可能目标的 IPv4 地址。 |
默认网关 (IPv6) |
输入任何网络的下一个可能目标的 IPv6 地址。 |
点按“设置”图标
注意:
此选项仅适用于被动(点击)模式。 |
|
点按“设置”图标 | |
分路接口 |
从列表中选择接口。 |
IP-IP 隧道检测 |
为 SRX 系列防火墙启用此选项,以检查通过 IP-IP 隧道的直通流量。 |
GRE 隧道检测 |
为 SRX 系列防火墙启用此选项,以检查通过 GRE 隧道的直通流量。 |
安全政策与高级服务
注意:
您的设备必须具有互联网连接才能使用 IPS、Web 过滤、瞻博网络 ATP 云和安全威胁情报服务。 |
|
从区域 |
源区域的名称。在分路模式下,允许来自分路区域的所有流量。 |
到区域 |
目标区域的名称。在分路模式下,允许从 TAP 区域到 TAP 区域的所有流量。 |
源 |
策略的源地址(不是 IP 地址)的名称。 |
目的地 |
目标地址的名称。 |
应用 |
策略匹配的预配置或自定义应用程序的名称。 |
行动 |
发生策略中指定的匹配时执行的操作。 |
内容安全 | |
内容安全 |
启用此选项以配置内容安全服务。 |
许可证 |
输入内容安全许可证密钥,然后单击 安装许可证 以添加新许可证。
注意:
|
内容安全类型 |
选择一个选项以配置内容安全功能:
|
Web 过滤类型 |
选择一个选项:
|
IPS | |
IPS |
启用此选项可安装 IPS 签名。 |
许可证 |
输入许可证密钥,然后单击 安装许可证 以添加新许可证。
注意:
安装过程可能需要几分钟时间。 |
IPS 签名 |
单击 “浏览 ”导航到 IPS 签名包文件夹并选择它。单击 “安装 ”以安装选定的 IPS 特征码包。
注意:
您可以在 https://support.juniper.net/support/downloads/ 下载 IPS 签名离线软件包。 |
ATP 云 | |
ATP 云 |
启用此选项可使用瞻博网络 ATP 云服务。
注意:
推送瞻博网络 ATP 云配置后,仅重新启动 SRX300 系列设备和 SRX550M 设备。您的设备必须具有互联网连接,才能通过 J-Web 启用瞻博网络 ATP 云注册流程。 |
安全情报 | |
安全智能 |
启用此选项可使用安全智能服务。
注意:
推送安全智能配置后,仅重新启动 SRX300 系列设备和 SRX550M 设备。您的设备必须具有互联网连接,才能通过 J-Web 启用瞻博网络 ATP 云注册流程。 |
用户防火墙 | |
用户防火墙 |
启用此选项可使用用户防火墙服务。 |
域名 |
输入活动目录的域名。 |
域控制器 |
输入域控制器 IP 地址。 |
用户名 |
输入管理员权限的用户名。 |
密码 |
输入管理员权限的密码。 |
田 |
行动 |
---|---|
常规 | |
类型(家族) |
|
接口 |
从“可用”列中选择一个接口,然后将其移动到“已选择”列。
注意:
此选项仅适用于交换族类型。 |
虚拟帧
注意:
此选项仅适用于交换族类型。 |
|
名字 |
输入 VLAN 的唯一名称。 |
虚拟帧 ID |
输入 VLAN ID。 |
IPv4 | |
IPv4 地址 |
为交换或路由接口输入有效的 IPv4 地址。 |
子网掩码 |
输入 IPv4 地址的子网掩码。 |
IPv6 | |
IPv6 地址 |
为交换接口或路由接口输入有效的 IPv6 地址。 |
子网前缀 |
输入 IPv6 地址的子网前缀。 |
DHCP 本地服务器 | |
DHCP 本地服务器 |
启用此选项可将交换机配置为扩展 DHCP 本地服务器。 |
池名称 |
输入 DHCP 池名称。 |
池开始地址 |
输入 DHCP 服务器池地址范围的起始 IPv4 地址。此地址必须在 IPv4 网络中。 |
池结束地址 |
输入 DHCP 服务器池地址范围的结束 IPv4 地址。此地址必须在 IPv4 网络中。
注意:
此地址必须大于池开始地址中指定的地址。 |
从以下位置传播设置 |
从列表中选择一个选项。在充当 DHCP 客户端的设备接口上接收的 TCP/IP 设置(如 DNS 和网关地址)的传播。 |
服务与协议 | |
系统服务 |
从“可用”列的列表中选择“系统服务”,然后单击向右箭头将其移动到“已选择”列。 可用的选项包括:
|
协议 |
从“可用”列的列表中选择协议,然后单击向右箭头将其移动到“已选择”列。 可用的选项包括:
|
田 |
行动 |
---|---|
常规 | |
接口 |
从列表中选择一个接口。 |
接口单元 |
输入接口单元值。 |
虚拟帧 ID |
输入 VLAN ID。
注意:
如果接口单元大于零,VLAN ID 是必需的。 |
描述 |
输入接口的说明。 |
地址模式 |
选择接口的地址模式。可用选项包括 DHCP 客户端、PPPoE (PAP)、PPPoE (CHAP) 和静态 IP。
注意:
SRX5000系列防火墙以及任何设备处于被动模式,则不支持 PPPoE (PAP) 和 PPPoE (CHAP)。 |
用户名 |
输入用于 PPPoE (PAP) 或 PPPoE (CHAP) 身份验证的用户名。 |
密码 |
输入用于 PPPoE (PAP) 或 PPPoE (CHAP) 身份验证的密码。 |
IPv4
注意:
此选项仅适用于静态 IP 地址模式。 |
|
IPv4 地址 |
输入接口的有效 IPv4 地址。 |
子网掩码 |
输入 IPv4 地址的子网掩码。 |
IPv6
注意:
此选项仅适用于静态 IP 地址模式。 |
|
IPv6 地址 |
输入接口的有效 IPv6 地址。 |
子网前缀 |
输入 IPv6 地址的子网前缀。 |
服务与协议 | |
系统服务 |
从“可用”列的列表中选择“系统服务”,然后单击向右箭头将其移动到“已选择”列。 |
协议 |
从“可用”列的列表中选择协议,然后单击向右箭头将其移动到“已选择”列。 |