Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

J-Web 设置向导

使用 J-Web 设置向导配置 SRX 系列防火墙

使用设置向导,您可以对可安全传递流量的服务网关执行分步配置。

使用 功能资源管理器 确认平台和版本对特定功能的支持。

有关如何启动和访问 J-Web 用户界面的信息,请参阅 访问 J-Web 用户界面

您可以选择以下设置模式之一来配置服务网关:

  • 独立模式 — 将 SRX 系列防火墙配置为在独立模式下运行。在此模式下,您可以配置基本设置,例如设备凭据、时间、管理接口、区域和接口以及 DNS 服务器和默认网关。

  • 群集(高可用性)模式 — 将 SRX 系列防火墙配置为在群集 (高可用性) 模式下运行。在群集模式下,一对设备连接在一起并配置为像单个节点一样运行,从而提供设备、接口和服务级别冗余。

    注意:

    设备处于高可用性模式时,无法配置独立模式。

为了帮助指导您完成整个过程,向导:

  • 根据您的选择确定要呈现给您的配置任务。

  • 在您尝试离开页面时标记任何缺失的必需配置。

要使用 J-Web 安装向导配置 SRX 系列防火墙,请执行以下作:

  1. 选择要设置的配置模式,然后单击 开始

    此时将显示“设置向导”页面。

  2. 对于独立模式,请根据 表 2 中提供的准则完成配置。

    如果选择群集(高可用性)模式,有关配置信息,请参阅 配置群集(高可用性)设置

    注意:

    root 密码在安装向导中是必需的。所有其他选项都是可选的。

  3. 查看配置详细信息。如果要更改配置,请单击 编辑配置,否则单击 完成

    等待配置提交。将整个配置提交到设备后,将显示成功消息。

    注意:

    • 如果提交失败,J-Web 将显示从 CLI 收到的错误消息,您仍会保留在向导的最后一页上。检查配置并根据需要进行更改,以确保提交成功。

    • Junos-FIPS 设备不支持层次结构级别的 [edit system services] 网络管理语句。有关 FIPS 兼容SRX 系列防火墙上 Junos-FIPS 配置限制的详细列表,请参阅 瞻博网络 技术库中的特定于 Junos-FIPS 配置限制。搜索特定的SRX 系列防火墙,然后导航至 系统管理员指南 > FIPS 评估配置指南。Junos-FIPS 模式不支持依赖于 Web 管理 CLI(如 J-Web、防火墙身份验证和瞻博网络安全连接)的应用。

  4. 阅读是否有任何说明,然后单击 打开 J-Web 登录页面

    此时将显示 J-Web 登录页面。

  5. 输入 root 用户名和密码,然后单击登录。

    将显示启动板屏幕,直到加载 J-Web UI。请参阅 J-Web:第一眼

示例:独立模式的 J-Web 向导

在本节中,我们将向您展示用于独立模式作的典型 J-Web 设置向导工作流程。J-Web 界面会随着时间的推移而更新和修改。以下示例代表了典型的工作流程。此具体示例基于 Junos 21.3R1 版本。

表 1 提供了用于初始设置的配置参数的详细信息。

表 1:独立设置向导参数
配置参数示例
Root 密码 "Sample_psswd_for_doc-only!"
主机名 SRX-300
管理接口 ge-0/0/1
管理 IP 和 CIDR 10.102.70.79/24
访问协议 HTTPS、SSH、Ping
静态管理路由 10.0.0.0/8,下一跳 10.102.70.254
NTP 和 DNS

  • NTP:north-america.pool.ntp.org

  • DNS:8.8.8.8 和 8.8.4.4

  • 时区:太平洋标准时间/洛杉矶
远程访问 允许 root 登录的 SSH
非 root 用户(管理员/超级用户帐户) 用户“lab”,密码 "Sample_psswd_for_doc-only!"
安全性策略 默认

有关如何访问 J-Web 界面的信息,请参阅 访问 J-Web 用户界面 。此示例基于 SRX300。根据 表 1 中的信息,管理设备已设置为 DHCP 并连接到 ge-0/0/1 接口。运行出厂默认配置时,ge-0/0/1 接口被配置为 DHCP 服务器,并从 192.168.1.0/24 子网向 PC 分配地址。在此场景中,要访问 J-Web,请将浏览器指向 https://192.168.1.1。

  1. 我们从 J-Web 设置向导屏幕开始。您单击“ 独立模式” 选项,然后单击“ 开始”按钮

    图 1:J-Web 设置向导模式 J-Web Setup Wizard Modes

  2. 在“设备凭据”页面上配置设备名称、root 用户和非 root(管理员)用户登录信息。

    注意:

    为 root 用户启用 SSH
    图 2:J-Web 设置向导设备凭据 J-Web Setup Wizard Device Credentials

  3. 单击 下一步

    时间 ”页面随即打开。

  4. 配置时区、时间源,如果是 NTP,还配置所需的服务器。

    图 3:J-Web 设置向导时间服务器 J-Web Setup Wizard Time Servers

  5. 单击 下一步

    此时将打开 “管理接口” 页面。

  6. 同样,此设置示例基于 SRX 300 系列设备。此 SRX 系列防火墙没有专用的管理接口。在许多情况下,他们在分支机构中的角色导致他们通过 WAN 接口 (ge-0/0/0) 进行远程管理。在较大型的 SRX 系列防火墙上,提供了一个专用管理接口 (fxp0),用于连接到带外 (OOB) 管理网络。在此示例中,您将 ge-0/0/1 接口配置为专用 OOB 管理接口。

    图 4:J-Web 安装向导管理界面 J-Web Setup Wizard Management Interface

    继续之前,单击访问 协议 选项卡,以确认管理接口上允许 HTTPS、SSH 和 Ping(ICMP 回显)。

    图 5:J-Web 设置向导访问协议 J-Web Setup Wizard Access Protocols

  7. 单击 下一步

    区域和接口” 页面随即打开。

  8. 在此示例中,您将保留出厂默认安全策略。回想一下,在完成初始设置后,您始终可以使用 J-Web 在以后修改配置的所有方面,以包括安全性。

    图 6:J-Web 设置向导安全性区域 J-Web Setup Wizard Security Zones

  9. 单击 下一步

    DNS 服务器和默认网关” 页面随即打开。

  10. 配置公共 DNS 服务器 IP 并将默认网关字段留空。如果需要,您可以添加默认路由来访问应可通过管理接口访问的其他网络。

    图 7:J-Web 设置向导 DNS 和默认网关 J-Web Setup Wizard DNS and Default Gateways

  11. 单击 下一步

    设置向导随即打开。本页总结了您的配置。如果需要,您可以使用“编辑配置”选项进行更改。

    图 8:J-Web 设置向导摘要 J-Web Setup Wizard Summary

  12. 对配置感到满意后,单击 “完成”。设置向导将显示一个状态页面,指示正在将初始配置推送到 SRX 系列防火墙。

    图 9:J-Web 设置向导配置推送 J-Web Setup Wizard Configuration Push

    片刻之后,将显示“ 设置成功” 页面。恭喜!您的 SRX 系列防火墙可远程访问,并可使用 J-Web 界面进行持续管理。

    图 10:J-Web 安装向导成功 J-Web Setup Wizard Successful
    注意:

    回想一下,在这个基于 SRX-300 的示例中,管理设备直接连接到 ge-0/0/1 端口上的 SRX。您使用 SRX 系列防火墙使用 DHCP 分配的 192.168.1.0/24 地址执行了初始配置。

    使用安装向导,您将 ge-0/0/1 接口配置为专用管理接口,并分配了静态 IP 地址 10.102.70.89/24。因此,ge-0/0/1 接口不再充当 DHCP 服务器。

    激活新配置后,如果管理设备仍直连到 ge-0/0/1 接口,则必须确保为其配置了兼容的 IP 地址。您使用 https://10.102.70.89 重新登录 J-Web。

恭喜!您已使用 J-Web 完成初始设置。继续访问以下链接:

J-Web 设置向导参数

本部分可作为可使用 J-Web 设置向导配置的模式特定参数的参考。 表 2 提供了可在独立模式下配置的参数的详细信息。有关群集(高可用性)模式下支持的参数的详细信息,请参阅 配置群集(高可用性)设置

表 2:安装向导配置

字段

行动
设备凭证
系统标识

设备名称

输入主机名。

可以使用字母数字字符、特殊字符,例如下划线 (_)、连字符 (-) 或句点 (.);最大长度为 255 个字符。
根帐户

用户名

显示 root 用户。

注意:

建议不要将 root 用户帐户作为管理设备的最佳实践。

密码

输入密码。

可以使用字母数字字符和特殊字符;最小长度为 6 个字符。

SSH 适用于 root 用户

启用此选项以允许使用 SSH 登录(到设备)。
管理员帐户

用户名

输入管理员用户名以管理设备。

密码

输入管理员密码。
时间配置
时间

时区

从列表中选择一个时区。

时间来源

选择 NTP 服务器、计算机时间或手动以配置系统时间:

  • NTP 服务器> NTP 服务器 - 在可用列中选择 NTP 服务器,然后使用向右箭头移动到所选列。系统连接到网络后,系统时间将与 NTP 服务器时间同步。

    此外,要添加新的 NTP 服务器,请单击 + 并输入 NTP 服务器的主机名或 IP 地址,然后单击 确定

    注意:

    如果要添加更多 NTP 服务器,请通过 J-Web 菜单转至设备管理>基本设置>日期和时间详细信息。

  • 计算机时间>计算机时间 - 设备仅在设置期间自动与计算机时间同步。

  • 手动 > 日期和时间 - 选择日期和时间(MM-DD-YYYY 和 HH:MM:SS 24 小时格式)以手动配置系统时间。
管理接口配置
管理接口
注意:

如果更改管理 IP 地址并单击 下一步,则管理接口页面上将显示一条警告消息,提示您需要使用新的管理 IP 地址登录 J-Web,因为您可能会断开与 J-Web 的连接。

管理接口

从列表中选择一个接口。

如果 fxp0 端口是设备的管理端口,则会显示 fxp0 端口。您可以根据需要进行更改,也可以选择“ ”并继续下一页。

注意:

  • 如果您的设备不支持 fxp0 端口,您可以选择收入端口作为管理端口。收入端口是除 fxp0 和 em0 以外的所有端口。

  • 如果您处于独立模式,则可以为管理界面选择 ,然后单击 下一步 进入下一屏幕。
IPv4
注意:

单击“ email to self ”,将新配置的 IPv4 或 IPv6 地址发送到您的收件箱。当您将管理 IP 地址更改为其他网络时断开连接,此功能会很有用。

管理地址

为管理接口输入有效的 IPv4 地址。

注意:

如果 fxp0 端口是您设备的管理端口,则会显示 fxp0 端口的默认 IP 地址。如果需要,可以更改它。

管理子网掩码

输入 IPv4 地址的子网掩码。

如果您更改了管理地址,请使用新的 IP 地址访问 J-Web。

静态路由

输入要路由到其他网络设备的静态路由的 IPv4 地址。

静态路由子网掩码

输入静态路由 IPv4 地址的子网掩码。

下一跳网关

为下一跃点输入有效的 IPv4 地址。
IPv6

管理访问权限

输入管理接口的有效 IPv6 地址。

管理子网前缀

输入 IPv6 地址的子网前缀长度。

静态路由

如果需要通过管理接口到达设备,请输入静态路由的 IPv6 地址。

静态路由子网前缀

输入静态路由 IPv6 地址的子网前缀长度。

下一跳网关

为下一跃点输入有效的 IPv6 地址。
访问协议
注意:

此选项适用于除 fxp0 以外的所有端口。

HTTPS

默认情况下,此选项处于启用状态。

SSH

默认情况下,此选项处于启用状态。

Ping

为 ping 服务启用此选项。

DHCP

为 DHCP 服务启用此选项。

NETCONF

为 NETCONF 服务启用此选项。
区域和接口
安全性策略
注意:

此选项仅适用于独立模式。

发起区

源区域的名称。在独立模式下,允许来自信任区域的所有流量。

到分区

目标区域的名称。在独立模式下,允许从信任区域到非信任区域的所有流量。

原文

策略的源地址(而非 IP 地址)的名称。

最终目标

目标地址的名称。

应用

策略匹配的预配置或自定义应用程序的名称。

行动

按照策略中的指定,发生匹配时采取的作。
区域

— 显示可用的信任和不信任区域配置。
信任区域接口
注意:

此选项仅适用于独立模式。

添加信任区域接口

单击 + 添加信任区域接口。有关这些字段的更多信息,请参阅 表 3

编辑信任区域接口

选择一个接口,然后单击表格右上角的铅笔图标以修改配置。

删除信任区域接口

选择一个接口,然后单击表格右上角的删除图标。

将会显示一个确认窗口。单击 “是 ”删除选定接口,单击 “否” 丢弃。

搜索信任区域接口

单击表格右上角的搜索图标可快速找到区域或接口。

详细视图 信任区域接口

将光标悬停在接口名称上,然后单击详细视图图标,以查看区域和接口详细信息。
信任区域接口 — 区域级别设置

区域名称

查看从设备出厂默认设置中填充的信任区域名称。

注意:

对于独立模式,默认情况下会创建信任和非信任区域,即使这些区域在出厂默认设置中不可用。

描述

输入“信任区段”的说明。

系统服务

对于到达特定接口上的设备的流量类型,启用此选项。

默认情况下,此选项处于启用状态。如果需要,可以禁用。

协议

启用此选项可将设备配置为使用网络流量协议(例如 TCP 和 UDP)对网络数据包执行状态网络流量过滤。

默认情况下,此选项处于启用状态。如果需要,可以禁用。

应用跟踪

启用此选项可收集指定区域中应用流的字节、数据包和持续时间统计信息。

源身份日志

启用此选项,设备可根据安全策略中配置的源区域记录用户身份信息。

不信任区域接口

添加不信任区域接口

单击 + 添加不信任区域接口。有关这些字段的更多信息,请参阅 表 4

编辑不信任区域接口

选择一个接口,然后单击表格右上角的铅笔图标以修改配置。

删除不信任区域接口

选择一个接口,然后单击表格右上角的删除图标。

将会显示一个确认窗口。单击 “是 ”删除选定接口,单击 “否” 丢弃。

搜索不信任区域接口

单击表格右上角的搜索图标可快速找到区域或接口。

详细视图 不信任区域接口

将光标悬停在接口名称上,然后单击详细视图图标,以查看区域和接口详细信息。
不信任区域接口 — 区域级别设置

区域名称

查看从设备出厂默认设置中填充的不信任区域名称。

注意:

对于独立模式,默认情况下会创建信任和非信任区域,即使这些区域在出厂默认设置中不可用。

描述

输入untrust zone的说明。

应用跟踪

启用此选项可收集指定区域中应用流的字节、数据包和持续时间统计信息。

源身份日志

启用此选项,设备可根据安全策略中配置的源区域记录用户身份信息。

DNS 服务器和默认网关
DNS 服务器

DNS 服务器 1

输入主 DNS 的 IPv4 或 IPv6 地址。

DNS 服务器 2

输入辅助 DNS 的 IPv4 或 IPv6 地址。
默认网关

默认网关 (IPv4)

输入任何网络的下一个可能目标的 IPv4 地址。

默认网关 (IPv6)

输入任何网络的下一个可能目的地的 IPv6 地址。
安全性策略和高级服务
注意:

设备必须连接互联网,才能使用 IPS、Web 过滤 瞻博网络 ATP 云和安全性威胁情报服务。

发起区

源区域的名称。在 Tap 模式下,允许来自 Tap 区域的所有流量。

到分区

目标区域的名称。在 Tap 模式下,允许从 TAP 区域到 TAP 区域的所有流量。

原文

策略的源地址(而非 IP 地址)的名称。

最终目标

目标地址的名称。

应用

策略匹配的预配置或自定义应用程序的名称。

行动

按照策略中的指定,发生匹配时采取的作。
内容安全性

内容安全性

启用此选项以配置内容安全性服务。

许可证

输入内容安全性许可证密钥,然后单击 安装许可证以 添加新许可证。

注意:

  • 使用空行分隔多个许可证密钥。

  • 要使用内容安全性服务,您的设备必须通过收入接口连接互联网。

内容安全性类型

选择一个选项以配置内容安全性功能:

  • Web 过滤

  • 防病毒

  • 反垃圾邮件

Web 过滤类型

选择一个选项:

  • 瞻博网络增强型 — 指定瞻博网络增强型 Web 过滤拦截 HTTP 和 HTTPS 请求,并将 HTTP URL 或 HTTPS 源 IP 发送到 Websense ThreatSeeker Cloud (TSC)。

  • 本地 (Local) - 指定本地配置文件类型。

  • Websense 重定向 — 指定 Web 过滤模块拦截 HTTP 请求。然后,请求中的 URL 被发送到外部 Websense 服务器,后者会做出允许或拒绝决定。

  • 瞻博网络新一代 — 拦截 HTTP 和 HTTPS 流量,并将 URL 信息或目标 IP 地址发送到瞻博网络新一代 Web 过滤 (NGWF) 云。NGWF 云对 URL 进行分类并提供站点信誉信息。SRX 系列防火墙将基于这些信息对流量执行作。
IPS

IPS

启用此选项以安装 IPS 签名。

许可证

输入许可证密钥,然后单击 安装许可证以 添加新许可证。

注意:

安装过程可能需要几分钟时间。

IPS 签名

单击浏览以导航到 IPS 签名包文件夹并选择它。单击“安装”以安装选定的 IPS 签名包。

注意:

您可以在 https://support.juniper.net/support/downloads/ 下载IPS签名离线包。
ATP 云

ATP 云

启用此选项以使用瞻博网络 ATP 云服务。

注意:

推送瞻博网络 ATP 云配置后,仅重新启动SRX300系列设备和SRX550M设备。您的设备必须连接互联网,才能通过 J-Web 启用瞻博网络 ATP 云注册流程。
安全性情报

安全性智能

启用此选项以使用安全性智能服务。

注意:

推送 安全性 Intelligence 配置后,仅重新启动设备和SRX550M设备的SRX300线路。您的设备必须连接互联网,才能通过 J-Web 启用瞻博网络 ATP 云注册流程。
用户防火墙

用户防火墙

启用此选项以使用用户防火墙服务。

域名

输入 Active Directory 的域名。

域控制器

输入域控制器 IP 地址。

用户名

输入管理员权限的用户名。

密码

输入管理员权限的密码。
表 3:添加信任区段

字段

行动
常规

类型(系列)

  • 选择 交换。交换接口的字段包括:

    注意:

    此选项仅适用于 SRX300 系列防火墙、SRX550M、SRX1500 防火墙和SRX1600防火墙。对于SRX2300、SRX4100、SRX4120、SRX4200、SRX4300、SRX4600、SRX5000 系列防火墙和vSRX虚拟防火墙,类型(系列)字段不可用。

    • IRB 接口单元 — 输入 IRB 单元。

    • 说明 — 输入接口的说明。

  • 选择 路由。路由接口字段包括:

    对于 SRX5000 系列防火墙、SRX4100、SRX4200、SRX4600 和 vSRX 虚拟防火墙,类型(系列)字段不可用。

    • 接口 — 从列表中选择一个选项。

    • 接口单元 — 输入 Inet 单元。

      注意:

      如果接口单元高于零,则会自动启用 VLAN 标记。

    • 说明 — 输入接口的说明。

    • VLAN ID — 输入 VLAN ID。

      注意:

      如果接口单元高于零,则必须使用 VLAN ID。

接口

从“可用”列中选择一个接口,并将其移动到“选定”列。

注意:

此选项仅适用于交换系列类型。
VLAN
注意:

此选项仅适用于交换系列类型。

姓名

输入 VLAN 的唯一名称。

VLAN ID

输入 VLAN ID。
IPv4

IPv4 地址

为交换接口或路由接口输入有效的 IPv4 地址。

子网掩码

输入 IPv4 地址的子网掩码。
IPv6

IPv6 地址

输入交换接口或路由接口的有效 IPv6 地址。

子网前缀

输入 IPv6 地址的子网前缀。
DHCP 本地服务器

DHCP 本地服务器

启用此选项可将交换机配置为作为扩展的 DHCP 本地服务器运行。

池名称

输入 DHCP 池名称。

池起始地址

输入 DHCP 服务器池地址范围的起始 IPv4 地址。此地址必须位于 IPv4 网络中。

池端地址

输入 DHCP 服务器池地址范围的结束 IPv4 地址。此地址必须位于 IPv4 网络中。

注意:

此地址必须大于池起始地址中指定的地址。

传播设置

从列表中选择一个选项。在充当 DHCP 客户端的设备接口上接收的 TCP/IP 设置(例如 DNS 和网关地址)的传播。
服务和协议

系统服务

从“可用”列的列表中选择系统服务,然后单击向右箭头将其移动到“已选定”列。

可用的选项包括:

  • all - 指定所有系统服务。

  • any-service — 指定整个端口范围内的服务。

  • appqoe — 指定 APPQOE 活动探测服务。

  • bootp — 指定 Bootp 和 DHCP 中继代理服务。

  • DHCP — 指定动态主机配置协议。

  • dhcpv6—为 IPV6 启用动态主机配置协议。

  • dns — 指定 DNS 服务。

  • finger - 指定手指服务。

  • ftp — 指定 FTP 协议。

  • http — 使用 HTTP 指定 Web 管理。

  • https - 使用由 SSL 保护的 HTTP 指定 Web 管理。

  • ident-reset — 指定端口 113 的回传 TCP RST IDENT 请求。

  • IKE — 指定互联网密钥交换。

  • lsping — 指定标签交换路径 ping 服务。

  • netconf — 指定 NETCONF 服务。

  • ntp — 指定网络时间协议。

  • ping — 指定互联网控制消息协议。

  • r2cp — 启用无线电路由器控制协议。

  • reverse-ssh — 指定反向 SSH 服务。

  • reverse-telnet — 指定反向 telnet 服务。

  • rlogin — 指定 rlogin 服务

  • rpm - 指定实时性能监控。

  • rsh — 指定 Rsh 服务。

  • SNMP — 指定简单网络管理协议。

  • snmp-trap — 指定简单网络管理协议陷阱。

  • ssh — 指定 SSH 服务。

  • tcp — encap - 指定 TCP 封装服务。

  • telnet — 指定 Telnet 服务。

  • tftp — 指定 TFTP

  • traceroute—指定 traceroute 服务。

  • webapi-clear-text—使用 http 指定 Webapi 服务。

  • webapi-ssl — 使用由 SSL 保护的 HTTP 指定 Webapi 服务。

  • xnm-clear-text—为 TCP 上的未加密流量指定 JUNOScript API。

  • xnm-ssl—指定通过 SSL 的 JUNOScript API 服务。

协议

从“可用”列的列表中选择协议,然后单击向右箭头将其移动到“已选定”列。

可用的选项包括:

  • all — 指定所有协议。

  • bfd — 双向转发检测。

  • bgp — 边界网关协议。

  • dvmrp — 距离矢量组播路由协议。

  • IGMP — 互联网组管理协议。

  • LDP — 标签分发协议。

  • msdp — 组播源发现协议。

  • NHRP- 下一跳解析协议。

  • ospf — 首先打开最短路径。

  • ospf3 — 开放最短路径优先版本 3。

  • pgm — 实际通用组播。

  • pim — 协议无关组播。

  • rip — 路由信息协议。

  • RIPng — 下一代路由信息协议。

  • 路由器发现 — 路由器发现。

  • RSVP — 资源预留协议。

  • SAP — 会话声明协议。

  • VRRP — 虚拟路由器冗余协议。
表 4:添加不信任区域

字段

行动
常规

接口

从列表中选择一个接口。

接口单元

输入接口单元值。

VLAN ID

输入 VLAN ID。

注意:

如果接口单元高于零,则必须使用 VLAN ID。

描述

输入接口的说明。

地址模式

选择接口的地址模式。可用选项包括 DHCP 客户端、PPPoE (PAP)、PPPoE (CHAP) 和静态 IP。

注意:

SRX5000 系列 Firwall 不支持 PPPoE (PAP) 和 PPPoE (CHAP)。

用户名

输入 PPPoE (PAP) 或 PPPoE (CHAP) 身份验证的用户名。

密码

输入 PPPoE (PAP) 或 PPPoE (CHAP) 身份验证的密码。
IPv4
注意:

此选项仅适用于静态 IP 地址模式。

IPv4 地址

输入接口的有效 IPv4 地址。

子网掩码

输入 IPv4 地址的子网掩码。
IPv6
注意:

此选项仅适用于静态 IP 地址模式。

IPv6 地址

输入接口的有效 IPv6 地址。

子网前缀

输入 IPv6 地址的子网前缀。
服务和协议

系统服务

从“可用”列的列表中选择系统服务,然后单击向右箭头将其移动到“已选定”列。

协议

从“可用”列的列表中选择协议,然后单击向右箭头将其移动到“已选定”列。

也可以看看