Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Firewall SRX320 Werkseitige Standardeinstellungen

Das SRX320 wird mit den folgenden Werkseinstellungen ausgeliefert:

Tabelle 1: Sicherheitsrichtlinien

Quellzone

Zielzone

Richtlinien-Maßnahmen

Vertrauen

Vertrauen

Genehmigung

Vertrauen

nicht vertrauenswürdig

Genehmigung
Tabelle 2: NAT-Regeln

Quellzone

Zielzone

Richtlinien-Maßnahmen

Vertrauen

nicht vertrauenswürdig

Quell-NAT für nicht vertrauenswürdige Zonenschnittstelle
Tabelle 3: Ethernet-Schnittstellen

Port-Label

Schnittstelle

Sicherheitszone

DHCP-Status

IP-Adresse

0/0 und 0/7

ge-0/0/0 und ge-0/0/7

nicht vertrauenswürdig

Kunde

Nicht zugewiesen

0/1 bis 0/6

VLAN-Schnittstelle irb.0 (ge-0/0/1 bis ge-0/0/6)

Vertrauen

Server

192.168.1.1/24
Tabelle 4: LTE-Schnittstellen

Schnittstelle

Sicherheitszone

IP-Adresse

cl-1/0/0

Nicht-/A-nen

Nicht-/A-nen

dl0 (logisch)

nicht vertrauenswürdig

ISP zugewiesen*

*Nur, wenn lte Mini-PIM vorhanden ist

Das SRX320 wird standardmäßig mit den folgenden Services und Protokollen ausgeliefert:

Tabelle 5: Services, Protokolle und Startmodus

Dienstleistungen

Protokolle

Gerätestartmodus

SSH

HTTPS

NETCONF über SSH

RSTP (alle Schnittstellen)

Umschalten

Um den sicheren Datenverkehr zu gewährleisten, werden in der Zone nicht vertrauenswürdige Bildschirme konfiguriert. Darüber hinaus blockiert die Standardsicherheitsrichtlinie den Datenverkehr, der von einer schnittstelle nicht vertrauenswürdigen Zone stammt, von der Übertragung in die Trust Zone.

Laden und Anzeigen der Werkseinstellungen

Ihr Gerät wird mit einer Reihe von werksseitigen Konfigurationsdateien ausgeliefert. So zeigen Sie die werksseitigen Einstellungen auf Ihrem Gerät an:

  1. Melden Sie sich als Root-Benutzer an und geben Sie Ihre Anmeldeinformationen ein.

  2. Sehen Sie sich die vollständige Liste der Standardkonfigurationsdateien für verschiedene Hardwareplattformen an:

  3. So zeigen Sie den Inhalt einer bestimmten Standardkonfigurationsdatei an:

Wenn Sie Änderungen an der Konfiguration festlegen, wird eine neue Konfigurationsdatei erstellt, die zur aktiven Konfiguration wird. Sie können immer eine neue Factory-Standardkonfiguration mit dem load factory-default Befehl konfigurationsmodus laden, um auf die werksseitige Standardkonfiguration zurück zu setzen. Die Junos-Software wählt die richtige Standardkonfiguration für die Hardwareplattform aus, wenn Sie den Befehl load-factory-default configuration ausstellen.

Sie verwenden den Befehl für den show configuration Betriebsmodus oder einfach den show Befehl im Konfigurationsmodus, um die Einstellungen anzuzeigen.

Hinweis:

Sie können auch eine werksseitige Standardkonfiguration mit der Schaltfläche RESET CONFIG an der Vorderseite laden. Siehe Verwenden der Schaltfläche RESET CONFIG am Services Gateway SRX320.

Plug-and-Play für cloudbasierte Bereitstellung

In diesem Abschnitt erfahren Sie, wie Sie die werksseitigen SRX320-Standardeinstellungen für Plug-and-Play-Internetkonnektivität nutzen können. Sie verwenden diese Konnektivität, um das SRX320 per Fernzugriff zu verwalten und zu konfigurieren, entweder manuell oder über einen Cloud-basierten Bereitstellungsservice.

Führen Sie diese Schritte aus, um Ihr SRX320 schnell über das Internet zu nutzen, um auf Cloud-basierte Bereitstellungsservices wie Juniper Mist Cloud oder Contrail Service Orchestration (CSO) zuzugreifen. Die Plug-and-Play-Konnektivität des SRX320 mit einer werksseitigen Standardkonfiguration ist unten dargestellt.

Plug and Play for Cloud-Based Provisioning
  1. Verbinden Sie das WAN-Netzwerk mit Port 0/0 (ge-0/0/0). In der Standardkonfiguration ist ge-0/0/0 Ihre WAN-Schnittstelle. In der Standardkonfiguration wird diese Schnittstelle in die zone nicht vertrauenswürdig platziert und als DHCP-Client konfiguriert. Diese Einstellungen ermöglichen es der SRX, eine IP-Adresse und Standardroute vom Service Provider zu erhalten.
  2. Konfigurieren Sie Ihre LAN-Clients (PCs, Notebooks, APs usw.) für die Zuweisung von DHCP-Adressen. Schließen Sie diese Geräte an jeden der LAN-Ports von 0/1 bis 0/6 (ge-0/0/1 bis ge-0/0/6). Das ist es, sie sind fertig!

    In der Standardkonfiguration werden die LAN-Ports in einem Trust-VLAN mit einer zugehörigen IRB-Schnittstelle konfiguriert. DHCP-Services werden dem Trust-VLAN über diese IRB-Schnittstelle bereitgestellt, die auch in die Trust Zone platziert wird. Das Ergebnis ist, dass alle LAN-Ports ein gemeinsames IP-Subnetz mit vollständiger Layer-2-Konnektivität (ohne Tag) über die SRX teilen. Auf Layer 3 ordnet die IRB-Schnittstelle dem LAN ein 192.168.1.0/24-Subnetz zu, wobei die Adresse 192.168.1.1 für sich reserviert ist.

    Den LAN-Geräten wird über DHCP eine IP-Adresse und ein Standard-Gateway aus dem Subnetz 192.168.1.0/24 zugewiesen.

  3. Stellen Sie sicher, dass das SRX320 Internetkonnektivität bereitstellt. Öffnen Sie einen Browser auf einem Gerät, das an einen LAN-Port angeschlossen ist, und zeigen Sie ihn auf http://www.juniper.net. Wenn die Seite nicht geladen wird, überprüfen Sie die Internetverbindung.

    Um Fehler zu isolieren, führen Sie die folgenden Schritte aus:

    • Schalten Sie das WAN-Modem ein. Stellen Sie sicher, dass das Modem korrekt mit dem Service Provider verbunden ist.
    • Ping eines Internetziels vom SRX320 mithilfe der CLI zum Testen der Internetkonnektivität. Stellen Sie sicher, dass das Ziel auf Pings antworten darf, und versuchen Sie, sowohl einen Namen als auch eine IP-Adresse zu verwenden, um DNS von Konnektivitätsproblemen zu isolieren.
    • Generieren Sie einen Ping von einem LAN-Gerät an die 192.168.1.1-Adresse, die der IRB-Schnittstelle auf der SRX zugewiesen ist. Eine erfolgreiche Antwort validiert die DHCP- und Layer 2-Konnektivität zwischen LAN-Geräten und SRX.
    • Verwenden Sie den show dhcp server binding Befehl, um die LAN-seitige DHCP-Serveradressenzuweisungen zu überprüfen.

    Zu diesem Zeitpunkt haben sowohl das SRX320 als auch die LAN-Geräte Internetzugang. Die Standardrichtlinie erlaubt den gesamten Datenverkehr von der vertrauenswürdigen in die zone nicht vertrauenswürdig. Die Standardrichtlinie führt auch SNAT für Datenverkehr aus dem WAN durch. Standardmäßig wird der gesamte Antwortdatenverkehr von der nicht vertrauenswürdigen in die Trust Zone zurückgelassen. Datenverkehr, der aus der Zone nicht vertrauenswürdig (WAN) stammt, wird von der Trust Zone blockiert. HTTPS-, TFTP- und DHCP-Datenverkehr darf aus der nicht vertrauenswürdigen Zone stammen und an den lokalen Host gesendet werden.

    Sie können mit J-Web auf die SRX zugreifen, um die Erstkonfiguration sowohl lokal als auch remote durchzuführen. Verwenden Sie für den lokalen Zugriff einen Computer, der an einen LAN-Port angeschlossen ist, und zeigen Sie Ihren Browser auf https://191.168.1.1. Für den Remotezugriff über die WAN-Schnittstelle müssen Sie die IP-Adresse kennen, die dem SRX vom WAN-Anbieter zugewiesen wurde. Im J-Web Setup-Assistenten finden Sie Details zur Durchführung der ersten Einrichtung mit dem J-Web Setup-Assistenten. Sie können jederzeit lokal auf das SRX320 zugreifen, indem Sie den Konsolenport verwenden, um eine zusätzliche Konfiguration durchzuführen. Weitere Informationen zur Verwendung der CLI für die erstkonfiguration finden Sie unter SRX320 Day One+ .

    Hinweis:

    In der Standardkonfiguration wird kein Kennwort benötigt, um auf das SRX320 mit J-Web zuzugreifen, weder lokal noch per Fernzugriff. Sie sollten die SRX so schnell wie möglich in einen Cloud-Bereitstellungsservice integrieren oder ein Root-Kennwort (mithilfe von J-Web oder Junos CLI) manuell konfigurieren, nachdem Sie Ihre SRX an das Internet angeschlossen haben.