J-Web 安装向导
使用 J-Web 设置向导配置 SRX 系列防火墙
使用设置向导,您可以对可以安全传递流量的服务网关执行分步配置。
有关如何启动和访问 J-Web 用户界面的信息,请参阅 访问 J-Web 用户界面。
您可以选择以下设置模式之一来配置服务网关:
-
独立模式 — 将 SRX 系列防火墙配置为在独立模式下运行。在此模式下,您可以配置基本设置,例如设备凭据、时间、管理界面、区域和接口以及 DNS 服务器和默认网关。
-
群集 (HA) 模式 — 将 SRX 系列防火墙配置为在群集 (HA) 模式下运行。在群集模式中,一对设备连接在一起并配置为像单个节点一样运行,从而提供设备、接口和服务级别冗余。
注意:当设备处于 HA 模式时,您无法配置独立或被动模式。
-
被动 (Tap) 模式 — 将 SRX 系列防火墙配置为在 TAP 模式下运行。TAP 模式允许您被动监控网络上的流量。如果启用了 IPS,则 TAP 模式会检查传入和传出的流量,以检测威胁数量。
注意:-
SRX5000 系列设备、SRX4600和vSRX 虚拟防火墙设备不支持被动模式配置。
-
从 Junos OS 23.4R1 版本开始,J-Web 支持SRX1600和SRX2300防火墙。
-
从 Junos OS 24.2R1 版本开始,J-Web 可支持SRX4300防火墙。
-
从 Junos OS 24.4R1 版本开始,J-Web 可支持SRX4700防火墙。
-
为了帮助指导您完成此过程,向导:
-
根据您的选择确定要呈现给您的配置任务。
-
在您尝试离开页面时标记任何缺少的必需配置。
要使用 J-Web 设置向导配置 SRX 系列防火墙,请执行以下作:
-
选择要设置的配置模式,然后单击 “开始”。
此时将显示 Setup Wizard 页面。
-
对于独立和被动 (Tap) 模式,请按照 表 2 中提供的指南完成配置。
如果选择群集 (HA) 模式,有关配置信息,请参阅 配置群集 (HA) 设置。
注意:在安装向导中,root 密码是必需的。所有其他选项都是可选的。在被动模式下,必须配置管理接口、Tap 接口和服务。
-
查看配置详细信息。如果要更改配置,请单击 “编辑配置”,否则单击 “完成”。
等到配置完成。将整个配置提交到设备后,将显示一条成功消息。
注意:-
如果提交失败,J-Web 将向您显示从 CLI 收到的错误消息,并且您仍停留在向导的最后一页。检查您的配置并根据需要进行更改,以便提交成功。
-
对于处于被动模式的 SRX300 系列设备和SRX550M设备,如果已启用瞻博网络 ATP 云或安全智能服务,则会显示一条关于设备重新启动的附加消息。对于其他 SRX 系列防火墙,设备将不会重新启动。
Junos-FIPS 设备不支持 [编辑系统服务] 层次结构级别的 Web 管理语句。有关符合 FIPS 标准的 SRX 系列防火墙上的 Junos-FIPS 配置限制的详细列表,请参阅 瞻博网络技术库中的特定于平台的 Junos-FIPS 配置限制。搜索特定的SRX 系列防火墙,然后导航到 “系统管理员指南 ”> “FIPS 评估配置指南”。Junos-FIPS 模式不支持依赖于 Web 管理 CLI 的应用,如 J-Web、防火墙身份验证和瞻博网络安全连接。
-
-
阅读是否有任何说明,然后单击 打开 J-Web 登录页面。
此时将显示 J-Web 登录页面。
-
输入 root 用户名和密码,然后单击 登录。
在加载 J-Web UI 之前,将出现 Launch Pad 屏幕。参见 J-Web:抢先看。
示例:独立模式的 J-Web 向导
在本节中,我们将向您展示用于独立模式作的典型 J-Web 设置向导工作流程。J-Web 界面会随着时间的推移而更新和修改。以下示例是典型工作流的代表。此具体示例基于 Junos 21.3R1 版本。
表 1 提供了用于初始设置的配置参数的详细信息。
| 配置参数 | 示例值 |
|---|---|
| Root 密码 | "Sample_psswd_for_doc-only!" |
| 主机名 | SRX-300 |
| 管理界面 | ge-0/0/1 |
| 管理 IP 和 CIDR | 10.102.70.79/24 |
| 访问协议 | HTTPS、SSH、Ping |
| 用于管理的静态路由 | 10.0.0.0/8,下一跃点 10.102.70.254 |
| NTP 和 DNS |
|
| 远程访问 | 允许 root 登录的 SSH |
| 非 root 用户(管理员/超级用户帐户) | 用户“lab”,密码 "Sample_psswd_for_doc-only!" |
| 安全策略 | 违约 |
有关如何访问 J-Web 界面的信息,请参阅访问 J-Web 用户界面 。此示例基于 SRX300。根据 表 1 中的信息,将管理设备设置为 DHCP 是并连接到 ge-0/0/1 接口。运行出厂默认配置时,ge-0/0/1 接口配置为 DHCP 服务器,并将 192.168.1.0/24 子网中的地址分配给 PC。在此方案中,要访问 J-Web,请将浏览器指向 https://192.168.1.1。
-
我们从 J-Web 设置向导屏幕开始。单击 “独立模式 ”选项,然后单击“ 开始”按钮。
图 1:J-Web 设置向导模式
-
在“设备凭据”页面上配置设备名称、root 用户和非 root(管理员)用户登录信息。
注意:为 root 用户启用 SSH。
图 2:J-Web 安装向导设备凭据
-
单击 “下一步”。
此时将打开“ 时间 ”页面。
-
配置时区、时间源,如果是 NTP,则配置所需的服务器。
图 3:J-Web 安装向导时间服务器
-
单击 “下一步”。
此时将打开 “管理界面” 页面。
-
同样,此设置示例基于 SRX 300 系列设备。此 SRX 系列防火墙没有专用的管理界面。在许多情况下,他们在分支机构中的角色导致他们通过 WAN 接口 (ge-0/0/0) 进行远程管理。在较大的 SRX 系列防火墙上,提供了一个专用管理接口 (fxp0),用于连接到带外 (OOB) 管理网络。在此示例中,您可将 ge-0/0/1 接口配置为专用 OOB 管理接口。
图 4:J-Web 安装向导管理界面
在继续作之前,请单击 “访问协议 ”选项卡以确认管理接口上允许 HTTPS、SSH 和 Ping(ICMP 回显)。
图 5:J-Web 安装向导访问协议
-
单击 “下一步”。
此时将打开 Zones & Interfaces 页面。
-
在此示例中,您维护出厂默认安全策略。回想一下,在完成初始设置后,您始终可以使用 J-Web 修改配置的所有方面,以包括安全性。
图 6:J-Web 安装向导安全区域
-
单击 “下一步”。
此时将打开 “DNS 服务器和默认网关” 页面。
-
配置公共 DNS 服务器 IP,并将默认网关字段留空。如果需要,您可以添加默认路由来访问应可通过管理接口访问的其他网络。
图 7:J-Web 安装向导 DNS 和默认网关
-
单击 “下一步”。
“设置向导”(Setup Wizard) 将打开。此页面总结了您的配置。如果需要,可以使用“编辑配置”选项进行更改。
图 8:J-Web 安装向导摘要
-
对配置感到满意后,单击 “完成”。设置向导将显示一个状态页面,指示正在将初始配置推送到 SRX 系列防火墙。
图 9:J-Web 安装向导配置推送
稍后,将显示 “设置成功 ”页面。祝贺!您的 SRX 系列防火墙可远程访问,并可使用 J-Web 界面进行持续管理。
图 10:J-Web 安装向导成功
注意:回想一下,在这个基于 SRX-300 的示例中,管理设备直接连接到 ge-0/0/1 端口上的 SRX。您使用 SRX 系列防火墙通过 DHCP 分配的 192.168.1.0/24 地址执行了初始配置。
使用设置向导,您将 ge-0/0/1 接口配置为专用管理接口,并分配了静态 IP 地址 10.102.70.89/24。因此,ge-0/0/1 接口不再用作 DHCP 服务器。
激活新配置后,如果管理设备保持直接连接到 ge-0/0/1 接口,则必须确保为其配置了兼容的 IP 地址。您可以使用 https://10.102.70.89 重新登录 J-Web。
祝贺!您已使用 J-Web 完成初始设置。通过访问以下链接继续前进:
- 快速了解 J-Web 用户界面: 探索 J-Web
- 访问设备仪表板: 仪表板概述
- 监控设备流量: 监控流量映射
- 配置设备: 配置基本设置
- 使用“入门”面板: 安全性 J-Web 入门
J-Web 安装向导参数
本部分将参考可使用 J-Web 设置向导配置的模式特定参数。 表 2 提供了可在独立和被动 (Tap) 模式下配置的参数的详细信息。有关群集 (HA) 模式支持的参数的详细信息,请参阅 配置群集 (HA) 设置。
| 田 |
行动 |
|---|---|
| 设备凭据 | |
| 系统标识 | |
| 设备名称 |
输入主机名。 您可以使用字母数字字符、特殊字符,例如下划线 (_)、连字符 (-) 或句点 (.);最大长度为 255 个字符。 |
| Root 帐户 | |
| 用户名 |
显示 root 用户。
注意:
我们建议您不要使用 root 用户帐户作为管理设备的最佳做法。 |
| 密码 |
输入密码。 您可以使用字母数字字符和特殊字符;最小长度为 6 个字符。 |
| root 用户的 SSH |
启用此选项以允许使用 SSH 进行 root 登录(到设备)。 |
| 管理员帐户 | |
| 用户名 |
输入用于管理设备的管理员用户名。 |
| 密码 |
输入管理员密码。 |
| 时间配置 | |
| 时间 | |
| 时区 |
从列表中选择一个时区。 |
| 时间源 |
选择“NTP 服务器”、“计算机时间”或“手动”以配置系统时间:
|
| 管理接口配置 | |
| 管理界面
注意:
如果更改管理 IP 地址并单击 下一步,则“管理界面”页面上会出现一条警告消息,提示您需要使用新的管理 IP 地址登录 J-Web,因为您可能会失去与 J-Web 的连接。 |
|
| 管理界面 |
从列表中选择一个接口。 如果 fxp0 端口是设备的管理端口,则会显示 fxp0 端口。您可以根据需要对其进行更改,也可以选择 “无 ”并继续下一页。
注意:
|
| IPv4
注意:
单击 电子邮件给自己 ,将新配置的 IPv4 或 IPv6 地址发送到您的收件箱。如果在将管理 IP 地址更改为其他网络时断开连接,这将非常有用。 |
|
| 管理地址 |
输入管理接口的有效 IPv4 地址。
注意:
如果 fxp0 端口是设备的管理端口,则会显示 fxp0 端口的默认 IP 地址。如果需要,您可以更改它。 |
| 管理子网掩码 |
输入 IPv4 地址的子网掩码。 如果您更改了管理地址,请使用新的 IP 地址访问 J-Web。 |
| 静态路由 |
输入静态路由的 IPv4 地址,以便路由到其他网络设备。 |
| 静态路由子网掩码 |
输入静态路由 IPv4 地址的子网掩码。 |
| 下一跳网关 |
输入下一跃点的有效 IPv4 地址。 |
| IPv6 | |
| 管理访问权限 |
输入管理接口的有效 IPv6 地址。 |
| 管理子网前缀 |
输入 IPv6 地址的子网前缀长度。 |
| 静态路由 |
如果需要通过管理接口到达设备,请输入静态路由的 IPv6 地址。 |
| 静态路由子网前缀 |
输入静态路由 IPv6 地址的子网前缀长度。 |
| 下一跳网关 |
输入下一跃点的有效 IPv6 地址。 |
| 访问协议
注意:
此选项可用于除 fxp0 以外的所有端口。 |
|
| HTTPS |
默认情况下,此选项处于启用状态。 |
| SSH |
默认情况下,此选项处于启用状态。 |
| 乒 |
为 ping 服务启用此选项。 |
| DHCP |
为 DHCP 服务启用此选项。 |
| NETCONF |
为 NETCONF 服务启用此选项。 |
| 区域和接口 | |
| 安全策略
注意:
此选项仅适用于独立模式。对于被动 (Tap) 模式,此选项在“点击设置”下可用。 |
|
| 从区域 |
源区域的名称。在独立模式下,允许来自信任区域的所有流量。 |
| 到分区 |
目标区域的名称。在独立模式下,允许从信任区域到不信任区域的所有流量。 |
| 源 |
策略的源地址(而非 IP 地址)的名称。 |
| 目的地 |
目标地址的名称。 |
| 应用 |
策略匹配的预配置或自定义应用程序的名称。 |
| 行动 |
按照策略中的规定发生匹配时执行的作。 |
| 区 - 显示可用的信任和不信任区域配置。 |
|
| 信任区域接口
注意:
此选项仅适用于独立模式。 |
|
| 添加信任区域接口 |
单击 “+ ”添加信任区域接口。有关字段的详细信息,请参阅 表 3。 |
| 编辑信任区域接口 |
选择一个界面,点击表格右上角的铅笔图标,修改配置。 |
| 删除信任区域接口 |
选择一个接口,然后单击表格右上角的删除图标。 此时将显示一个确认窗口。单击 “是 ”删除所选接口,或单击 “否 ”丢弃。 |
| 搜索信任区接口 |
单击表格右上角的搜索图标可快速找到区域或接口。 |
| 详细视图 信任区域接口 |
将鼠标悬停在接口名称上,然后单击详细视图图标可查看区域和接口详细信息。 |
| 信任区域接口 - 区域级别设置 | |
| 区域名称 |
查看从设备出厂默认设置填充的信任区域名称。
注意:
对于独立模式,默认情况下会创建信任和不信任区域,即使这些区域在出厂默认设置中不可用。 |
| 描述 |
输入信任区域的描述。 |
| 系统服务 |
对于可以到达特定接口上设备的流量类型,请启用此选项。 默认情况下,此选项处于启用状态。如果需要,您可以禁用。 |
| 协议 |
启用此选项可将设备配置为使用网络流量协议(例如 TCP 和 UDP)对网络数据包执行有状态网络流量过滤。 默认情况下,此选项处于启用状态。如果需要,您可以禁用。 |
| 应用跟踪 |
启用此选项可收集指定区域中应用程序流的字节、数据包和持续时间统计信息。 |
| 源身份日志 |
为设备启用此选项,可根据安全策略中配置的源区域记录用户身份信息。 |
| 不信任区域接口 | |
| 添加不信任区域接口 |
单击 + 添加不信任区域接口。有关字段的更多信息,请参阅 表 4。 |
| 编辑不信任区域接口 |
选择一个界面,点击表格右上角的铅笔图标,修改配置。 |
| 删除不信任区域接口 |
选择一个接口,然后单击表格右上角的删除图标。 此时将显示一个确认窗口。单击 “是 ”删除所选接口,或单击 “否 ”丢弃。 |
| 搜索不信任区域 接口 |
单击表格右上角的搜索图标可快速找到区域或接口。 |
| 详细视图 不信任区域接口 |
将鼠标悬停在接口名称上,然后单击详细视图图标可查看区域和接口详细信息。 |
| 不信任区域接口 - 区域级别设置 | |
| 区域名称 |
查看从设备出厂默认设置填充的不信任区域名称。
注意:
对于独立模式,默认情况下会创建信任和不信任区域,即使这些区域在出厂默认设置中不可用。 |
| 描述 |
输入“不信任”区域的描述。 |
| 应用跟踪 |
启用此选项可收集指定区域中应用程序流的字节、数据包和持续时间统计信息。 |
| 源身份日志 |
为设备启用此选项,可根据安全策略中配置的源区域记录用户身份信息。 |
| DNS服务器和默认网关 | |
| DNS 服务器 | |
| DNS 服务器 1 |
输入主 DNS 的 IPv4 或 IPv6 地址。 |
| DNS 服务器 2 |
输入辅助 DNS 的 IPv4 或 IPv6 地址。 |
| 默认网关 | |
| 默认网关 (IPv4) |
输入任何网络的下一个可能目标的 IPv4 地址。 |
| 默认网关 (IPv6) |
输入任何网络的下一个可能目标的 IPv6 地址。 |
| 点按“设置”图标
注意:
此选项仅适用于被动 (Tap) 模式。 |
|
| 点按“设置”图标 | |
| Tap 接口 |
从列表中选择接口。 |
| IP-IP 隧道检测 |
为 SRX 系列防火墙启用此选项,以检查通过 IP-IP 隧道的流量。 |
| GRE 隧道检测 |
为 SRX 系列防火墙启用此选项,以检查通过 GRE 隧道的直通流量。 |
| 安全策略和高级服务
注意:
您的设备必须具有互联网连接,才能使用 IPS、Web 过滤、瞻博网络 ATP 云和安全威胁情报服务。 |
|
| 从区域 |
源区域的名称。在 Tap 模式下,允许来自 Tap 区域的所有流量。 |
| 到分区 |
目标区域的名称。在 Tap 模式下,允许从 TAP 区域到 TAP 区域的所有流量。 |
| 源 |
策略的源地址(而非 IP 地址)的名称。 |
| 目的地 |
目标地址的名称。 |
| 应用 |
策略匹配的预配置或自定义应用程序的名称。 |
| 行动 |
按照策略中的规定发生匹配时执行的作。 |
| 内容安全 | |
| 内容安全 |
启用此选项以配置内容安全服务。 |
| 许可证 |
输入“内容安全许可证密钥”,然后单击 “安装许可证” 以添加新的许可证。
注意:
|
| 内容安全类型 |
选择一个选项以配置内容安全功能:
|
| Web 过滤类型 |
选择一个选项:
|
| IPS | |
| IPS |
启用此选项可安装 IPS 签名。 |
| 许可证 |
输入许可证密钥,然后单击 安装许可证以 添加新的许可证。
注意:
安装过程可能需要几分钟时间。 |
| IPS 签名 |
单击 “浏览” 以导航到 IPS 签名包文件夹并选择它。单击 “安装 ”以安装选定的 IPS 签名包。
注意:
您可以在 https://support.juniper.net/support/downloads/ 下载 IPS 签名离线包。 |
| ATP 云 | |
| ATP 云 |
启用此选项以使用瞻博网络 ATP 云服务。
注意:
推送瞻博网络 ATP 云配置后,仅重新启动 SRX300 系列设备和 SRX550M 设备。您的设备必须具有互联网连接,才能通过 J-Web 启用瞻博网络 ATP 云注册流程。 |
| 安全情报 | |
| 安全智能 |
启用此选项可使用安全智能服务。
注意:
推送安全智能配置后,仅重新启动 SRX300 系列设备和 SRX550M 设备。您的设备必须具有互联网连接,才能通过 J-Web 启用瞻博网络 ATP 云注册流程。 |
| 用户防火墙 | |
| 用户防火墙 |
启用此选项可使用用户防火墙服务。 |
| 域名 |
输入 Active Directory 的域名。 |
| 域控制器 |
输入域控制器 IP 地址。 |
| 用户名 |
输入管理员权限的用户名。 |
| 密码 |
输入管理员权限的密码。 |
| 田 |
行动 |
|---|---|
| 常规 | |
| 类型(系列) |
|
| 接口 |
从“可用”列中选择一个接口,并将其移动到“已选择”列。
注意:
此选项仅适用于交换系列类型。 |
| VLAN
注意:
此选项仅适用于交换系列类型。 |
|
| 名字 |
输入 VLAN 的唯一名称。 |
| VLAN ID |
输入 VLAN ID。 |
| IPv4 | |
| IPv4 地址 |
输入交换或路由接口的有效 IPv4 地址。 |
| 子网掩码 |
输入 IPv4 地址的子网掩码。 |
| IPv6 | |
| IPv6 地址 |
输入交换或路由接口的有效 IPv6 地址。 |
| 子网前缀 |
输入 IPv6 地址的子网前缀。 |
| DHCP 本地服务器 | |
| DHCP 本地服务器 |
启用此选项可将交换机配置为扩展 DHCP 本地服务器。 |
| 池名称 |
输入 DHCP 池名称。 |
| 池起始地址 |
输入 DHCP 服务器池地址范围的起始 IPv4 地址。此地址必须位于 IPv4 网络内。 |
| 池端地址 |
输入 DHCP 服务器池地址范围的结束 IPv4 地址。此地址必须位于 IPv4 网络内。
注意:
此地址必须大于“池起始地址”中指定的地址。 |
| 传播设置 |
从列表中选择一个选项。在充当 DHCP 客户端的设备接口上接收的 TCP/IP 设置(例如 DNS 和网关地址)的传播。 |
| 服务和协议 | |
| 系统服务 |
从“可用”列的列表中选择“系统服务”,然后单击右箭头将其移动到“已选择”列。 可用选项包括:
|
| 协议 |
从“可用”列的列表中选择协议,然后单击向右箭头将其移动到“已选择”列。 可用选项包括:
|
| 田 |
行动 |
|---|---|
| 常规 | |
| 接口 |
从列表中选择一个接口。 |
| 接口单元 |
输入接口单元值。 |
| VLAN ID |
输入 VLAN ID。
注意:
如果接口单元大于零,则 VLAN ID 为必需项。 |
| 描述 |
输入接口的描述。 |
| 地址模式 |
为接口选择地址模式。可用选项包括 DHCP 客户端、PPPoE (PAP)、PPPoE (CHAP) 和静态 IP。
注意:
SRX5000 系列冷杉墙不支持 PPPoE (PAP) 和 PPPoE (CHAP),并且任何设备处于被动模式。 |
| 用户名 |
输入 PPPoE (PAP) 或 PPPoE (CHAP) 身份验证的用户名。 |
| 密码 |
输入 PPPoE (PAP) 或 PPPoE (CHAP) 身份验证的密码。 |
| IPv4
注意:
此选项仅适用于静态 IP 地址模式。 |
|
| IPv4 地址 |
输入接口的有效 IPv4 地址。 |
| 子网掩码 |
输入 IPv4 地址的子网掩码。 |
| IPv6
注意:
此选项仅适用于静态 IP 地址模式。 |
|
| IPv6 地址 |
输入接口的有效 IPv6 地址。 |
| 子网前缀 |
输入 IPv6 地址的子网前缀。 |
| 服务和协议 | |
| 系统服务 |
从“可用”列的列表中选择“系统服务”,然后单击右箭头将其移动到“已选择”列。 |
| 协议 |
从“可用”列的列表中选择协议,然后单击向右箭头将其移动到“已选择”列。 |