Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von Junos OS auf dem SRX1500

SRX1500 Übersicht über die Softwarekonfiguration der Firewall

Im Lieferumfang der SRX1500-Firewall ist Junos OS vorinstalliert und kann beim Einschalten des Services Gateways konfiguriert werden. Wenn Sie das Services Gateway zum ersten Mal einrichten, verwenden Sie die Befehlszeilenschnittstelle (CLI), um die Erstkonfiguration durchzuführen.

Sammeln Sie die folgenden Informationen, bevor Sie das Services Gateway konfigurieren:

  • Root-Authentifizierung

  • IP-Adresse der Management-Schnittstelle

  • Standardroute

Grundlegendes zu den werkseitigen Einstellungen SRX1500 Firewall

Ihr SRX1500 wird mit einer werkseitigen Standardkonfiguration konfiguriert. Die Standardkonfiguration umfasst die folgende Sicherheitskonfiguration:

  • Es werden zwei Sicherheitszonen erstellt: vertrauenswürdig und nicht vertrauenswürdig.

  • Die Schnittstellen ge-0/0/0 und ge-0/0/15 befinden sich in der nicht vertrauenswürdigen Zone, während sich die Schnittstellen ge-0/0/1 bis ge-0/0/3 in der vertrauenswürdigen Zone befinden.

  • Es wird eine Sicherheitsrichtlinie erstellt, die ausgehenden Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zulässt.

  • Quellnetzwerk-Adressübersetzung (NAT) wird in der Vertrauenszone konfiguriert.

Wenn die aktuell aktive Konfiguration fehlschlägt, können Sie den load factory-default Befehl verwenden, um die werkseitige Standardkonfiguration wiederherzustellen.

Anzeigen SRX1500 Firewall (werkseitige Standardeinstellungen)

So zeigen Sie die werkseitige Standardkonfiguration des Services Gateways mithilfe der CLI an:

  1. Melden Sie sich als Root-Benutzer an und geben Sie Ihre Anmeldeinformationen ein.
  2. Zeigen Sie die Liste der Standardkonfigurationsdateien an:

  3. Zeigen Sie die erforderliche Standardkonfigurationsdatei an.

Zugriff auf J-Web auf dem SRX1500 Services Gateway

Die J-Web-Schnittstelle ist eine webbasierte grafische Oberfläche, mit der Sie ein Services Gateway ohne Befehle bedienen können. Bevor Sie J-Web zum Konfigurieren Ihres Geräts verwenden können, müssen Sie auf die CLI zugreifen, um die Erstkonfiguration durchzuführen.

Hinweis:

Für den Zugriff auf die J-Web-Schnittstelle benötigt Ihr Verwaltungsgerät einen der folgenden unterstützten Browser:

  • Microsoft Internet Explorer Version 8.0, 9.0 oder 10.0

  • Mozilla Firefox Version 23+

  • Google Chrome Version 28+

So greifen Sie auf J-Web zu:

  1. Öffnen Sie einen Webbrowser auf dem Verwaltungsgerät und geben Sie die IP-Adresse für die Geräteverwaltung in das Adressfeld ein.
  2. Geben Sie den Standardbenutzernamen als root an und geben Sie das Kennwort ein.

Konfigurieren der SRX1500 Firewall mit J-Web

Konfigurieren der Root-Authentifizierung und der Verwaltungsschnittstelle über die CLI

Bevor Sie J-Web zum Konfigurieren Ihres Geräts verwenden können, müssen Sie auf die CLI zugreifen, um die Erstkonfiguration durchzuführen.

So konfigurieren Sie die Root-Authentifizierung und die Verwaltungsoberfläche:

  1. Melden Sie sich als root an. Es gibt kein Passwort.
  2. Starten Sie die CLI und wechseln Sie in den Konfigurationsmodus.
  3. Legen Sie das Kennwort für die Stammauthentifizierung fest, indem Sie ein Klartextkennwort, ein verschlüsseltes Kennwort oder eine SSH-Zeichenfolge für den öffentlichen Schlüssel (DSA oder RSA) eingeben.
  4. Bestätigen Sie die Konfiguration, um sie auf dem Gerät zu aktivieren.
  5. Konfigurieren Sie die IP-Adresse und die Präfixlänge für die Ethernet-Verwaltungsschnittstelle auf dem Gerät.
  6. Konfigurieren Sie die Standardroute.
  7. Aktivieren Sie den Webzugriff, um J-Web zu starten.
  8. Übernehmen Sie die Konfigurationsänderungen.

Konfigurieren von Schnittstellen, Zonen und Richtlinien mit J-Web

Sie können Hostnamen, Schnittstellen, Zonen und Sicherheitsrichtlinien mit J-Web konfigurieren.

Bevor Sie beginnen:

Konfigurieren Sie das Gerät mit J-Web wie folgt.

Konfigurieren des Hostnamens

So konfigurieren Sie den Hostnamen:

  1. Starten Sie einen Webbrowser vom Verwaltungsgerät aus.
  2. Geben Sie die IP-Adresse des Geräts in das Feld URL-Adresse ein.
  3. Geben Sie den Standardbenutzernamen als root an und geben Sie das Kennwort ein. Weitere Informationen finden Sie unter Konfigurieren der SRX1500 Firewall mit J-Web.
  4. Klicken Sie auf Anmelden. Die Seite "J-Web Dashboard" wird angezeigt.
  5. Wählen Sie Konfigurieren>Systemeigenschaften>Systemidentität und dann Bearbeiten aus. Das Dialogfeld "Systemidentität bearbeiten" wird angezeigt.
  6. Geben Sie den Hostnamen ein und klicken Sie auf OK.
  7. Wählen Sie Commit-Optionen>Commit aus, um die Konfigurationsänderungen zu übernehmen.

Sie haben den Hostnamen für das System erfolgreich konfiguriert.

Schnittstellen konfigurieren

So konfigurieren Sie zwei physische Schnittstellen:

  1. Wählen Sie auf der Seite J-Web Dashboard die Option Configure>Interfaces (KonfigurierenSchnittstellen) und dann eine physische Schnittstelle aus, die Sie konfigurieren möchten.
  2. Wählen Sie Add>Logical Interface (HinzufügenLogische Schnittstelle) aus. Das Dialogfeld Schnittstelle hinzufügen wird angezeigt.
  3. Einheit einstellen = 0.
  4. Aktivieren Sie das Kontrollkästchen für IPv4-Adresse , um die IPv4-Adressierung zu aktivieren.
  5. Klicken Sie auf Hinzufügen und geben Sie die IPv4-Adresse ein.
  6. Klicken Sie auf OK.

    Eine Meldung wird angezeigt, nachdem Ihre Konfigurationsänderungen erfolgreich überprüft wurden.

  7. Klicken Sie auf OK.
  8. Wählen Sie Commit-Optionen>Commit aus, um die Konfigurationsänderungen zu übernehmen.

    Nachdem die Konfigurationsänderungen erfolgreich angewendet wurden, wird eine Meldung angezeigt.

  9. Klicken Sie auf OK.

Sie haben die physikalische Schnittstelle erfolgreich konfiguriert. Wiederholen Sie diese Schritte, um die zweite physische Schnittstelle für das Gerät zu konfigurieren.

Konfigurieren von Zonen und Zuweisen von Schnittstellen

So weisen Sie Schnittstellen innerhalb einer Vertrauenszone und einer nicht vertrauenswürdigen Zone zu:

  1. Wählen Sie auf der Seite J-Web Dashboard die Option Configure>Security>Zones/Screens (KonfigurierenSicherheitZonen/Bildschirme) aus und klicken Sie auf Add. Das Dialogfeld Zone hinzufügen wird angezeigt.
  2. Geben Sie auf der Registerkarte Main den trust Zonennamen und die Beschreibung ein.
  3. Legen Sie den Zonentyp auf Sicherheit fest.
  4. Wählen Sie die unter Verfügbar aufgeführten Schnittstellen aus und verschieben Sie sie unter Ausgewählt.
  5. Klicken Sie auf OK.

    Eine Meldung wird angezeigt, nachdem Ihre Konfigurationsänderungen erfolgreich überprüft wurden.

  6. Klicken Sie auf OK.
  7. Wählen Sie Commit-Optionen>Commit aus, um die Konfigurationsänderungen zu übernehmen.

    Nachdem die Konfigurationsänderungen erfolgreich angewendet wurden, wird eine Meldung angezeigt.

  8. Klicken Sie auf OK.
  9. Wiederholen Sie die Schritte 1 bis 8 und weisen Sie einer nicht vertrauenswürdigen Zone eine weitere Schnittstelle zu.

Sie haben Schnittstellen in einer Vertrauenszone und in einer nicht vertrauenswürdigen Zone erfolgreich konfiguriert.

Konfigurieren von Sicherheitsrichtlinien

So konfigurieren Sie Sicherheitsrichtlinien:

  1. Wählen Sie auf der Seite "J-Web Dashboard" die Option "Konfigurieren>Sicherheit>Sicherheitsrichtlinie" aus, und klicken Sie auf "Hinzufügen". Das Dialogfeld "Richtlinie hinzufügen" wird angezeigt.
  2. Geben Sie auf der Registerkarte Richtlinie den Richtliniennamen ein, und legen Sie die Richtlinienaktion auf Zulassen fest. Wählen Sie dann Zone aus, und legen Sie die Von-Zone auf vertrauenswürdig und die Bis-Zone auf nicht vertrauenswürdig fest.
  3. Konfigurieren Sie die Quell-IP-Adresse, indem Sie eine der unter "Verfügbar" aufgeführten IP-Adressen auswählen und unter "Ausgewählt" verschieben.
  4. Konfigurieren Sie die Ziel-IP-Adresse, indem Sie eine der unter "Verfügbar" aufgeführten IP-Adressen auswählen und sie unter "Ausgewählt" verschieben.
  5. Konfigurieren Sie die Anwendung, indem Sie eine der unter "Verfügbar" aufgeführten Anwendungen auswählen und sie unter "Ausgewählt" verschieben.
  6. Klicken Sie auf OK.

    Eine Meldung wird angezeigt, nachdem Ihre Konfigurationsänderungen erfolgreich überprüft wurden.

  7. Klicken Sie auf OK.
  8. Wählen Sie Commit-Optionen>Commit aus, um die Konfigurationsänderungen zu übernehmen.

    Nachdem die Konfigurationsänderungen erfolgreich angewendet wurden, wird eine Meldung angezeigt.

  9. Klicken Sie auf OK.

Sie haben die Sicherheitsrichtlinie erfolgreich konfiguriert.

Zugriff auf die CLI auf der SRX1500 Firewall

So greifen Sie auf die CLI der SRX1500-Firewall zu:

  1. Stecken Sie ein Ende des Ethernet-Kabels in den Adapter für serielle Anschlüsse RJ-45 auf DB-9.
  2. Stecken Sie den Adapter für serielle RJ-45-auf-DB-9-Schnittstelle in die serielle Schnittstelle des Verwaltungsgeräts.
  3. Verbinden Sie das andere Ende des Ethernet-Kabels mit dem seriellen Konsolenport des Services Gateway.
    Hinweis:

    Alternativ können Sie das USB-Kabel verwenden, um eine Verbindung zum Mini-USB-Konsolenanschluss des Services Gateways herzustellen. Um den USB-Konsolenanschluss verwenden zu können, müssen Sie einen USB-Treiber von der Silicon Labs-Seite auf das Verwaltungsgerät herunterladen.

    Hinweis:

    Das Konsolenkabel ist nicht mehr im Lieferumfang enthalten. Wenn das Konsolenkabel und der Adapter nicht im Lieferumfang des Geräts enthalten sind oder Sie einen anderen Adaptertyp benötigen, können Sie Folgendes separat bestellen:

    • RJ-45 auf DB-9 Adapter (JNP-CBL-RJ45-DB9)

    • RJ-45-auf-USB-A-Adapter (JNP-CBL-RJ45-USBA)

    • RJ-45-auf-USB-C-Adapter (JNP-CBL-RJ45-USBC)

    Wenn Sie RJ-45 auf USB-A oder RJ-45 auf USB-C Adapter verwenden möchten, müssen Sie den X64 (64-Bit) Virtual COM Port (VCP)-Treiber auf Ihrem PC installiert haben. Weitere Informationen finden Sie unter https://ftdichip.com/drivers/vcp-drivers/ zum Herunterladen des Treibers.

  4. Starten Sie die Anwendung für die asynchrone Terminalemulation (z. B. Microsoft Windows HyperTerminal), und wählen Sie den entsprechenden COM-Port aus (z. B. COM1).
  5. Konfigurieren Sie die Einstellungen für die serielle Schnittstelle mit den folgenden Werten:
    • Baudrate—9600

    • Parität—N

    • Datenbits: 8

    • Stoppbits—1

    • Flusskontrolle – keine

  6. Schalten Sie das Services-Gateway ein. Sie können mit der ersten Softwarekonfiguration auf dem Services Gateway beginnen, nachdem das Gerät betriebsbereit ist.

Herstellen einer Remoteverbindung mit der SRX1500-Firewall über die CLI

So verbinden Sie das Services Gateway mit einem Netzwerk für die Out-of-Band-Verwaltung:

  1. Stecken Sie ein Ende eines Ethernet-Kabels mit RJ-45-Steckern in den MGMT-Anschluss an der Vorderseite des Services Gateway.
  2. Stecken Sie das andere Ende des Kabels in das Verwaltungsgerät.

Konfigurieren der SRX1500-Firewall mithilfe der CLI

In diesem Beispielverfahren wird erläutert, wie Sie eine Erstkonfiguration mithilfe von CLI-Befehlen erstellen können, um die SRX1500 Firewall mit dem Netzwerk zu verbinden.

  1. Vergewissern Sie sich, dass das Gerät eingeschaltet ist.
  2. Melden Sie sich als Root-Benutzer an. Geben Sie kein Passwort ein.
  3. Starten Sie die CLI.
  4. Wechseln Sie in den Konfigurationsmodus.
  5. Legen Sie das Kennwort für die Stammauthentifizierung fest, indem Sie ein Klartextkennwort, ein verschlüsseltes Kennwort oder eine SSH-Zeichenfolge für den öffentlichen Schlüssel (DSA oder RSA) eingeben.
  6. Konfigurieren Sie ein Administratorkonto auf dem Gerät. Wenn Sie dazu aufgefordert werden, geben Sie das Kennwort für das Administratorkonto ein.
  7. Bestätigen Sie die Konfiguration, um sie auf dem Services Gateway zu aktivieren.
  8. Melden Sie sich als Administrator an, den Sie in Schritt 6 konfiguriert haben.
  9. Konfigurieren Sie den Namen des Services Gateways. Wenn der Name Leerzeichen enthält, schließen Sie den Namen in Anführungszeichen (" ") ein.
  10. Konfigurieren Sie die IP-Adresse und die Präfixlänge für die Ethernet-Schnittstelle des Services Gateways.
  11. Konfigurieren Sie die Datenverkehrsschnittstelle.
    Hinweis:

    Die ge-0/0/0-Schnittstelle ist für das LAN und die ge-0/0/1-Schnittstelle für den ISP.

  12. Konfigurieren Sie die Standardroute.
  13. Konfigurieren Sie grundlegende Sicherheitszonen und binden Sie sie an Datenverkehrsschnittstellen.
  14. Konfigurieren Sie grundlegende Sicherheitsrichtlinien.
    Hinweis:

    Die tatsächliche Konfiguration der Richtlinien hängt von Ihren Anforderungen ab.

  15. Überprüfen Sie die Konfiguration auf Gültigkeit.
  16. Bestätigen Sie die Konfiguration, um sie auf dem Services Gateway zu aktivieren.
  17. Zeigen Sie optional die Konfiguration an, um zu überprüfen, ob sie korrekt ist.
    Hinweis:

    Dies ist eine Beispielausgabe. Die tatsächliche Ausgabe kann je nach Ihren Konfigurationsanforderungen variieren.

  18. Bestätigen Sie die Konfiguration, um sie auf dem Services Gateway zu aktivieren.
  19. Konfigurieren Sie optional zusätzliche Eigenschaften, indem Sie die erforderlichen Konfigurationsanweisungen hinzufügen. Führen Sie dann einen Commit für die Änderungen durch, um sie auf dem Services Gateway zu aktivieren.
  20. Wenn Sie die Konfiguration des Services Gateways abgeschlossen haben, beenden Sie den Konfigurationsmodus.
Hinweis:

Um zum ersten Mal über J-Web auf das Gerät zuzugreifen, rufen Sie den Konfigurationsmodus in der CLI auf und legen Sie die Verwaltungsoption mit dem Befehl set system services web-management httpfest.

Starten Sie einen Webbrowser auf dem Verwaltungsgerät, und greifen Sie über die URL http://<IP-Adresse für die Geräteverwaltung> auf das Services Gateway zu. Die J-Web-Anmeldeseite wird angezeigt. Dies zeigt an, dass Sie die Erstkonfiguration erfolgreich abgeschlossen haben und Ihre SRX1500 Firewall einsatzbereit ist.