Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Firewall SRX320 – Werkseinstellungen

Die SRX320 wird mit den folgenden werkseitigen Standardeinstellungen ausgeliefert:

Tabelle 1: Sicherheitsrichtlinien

Quellzone

Zielzone

Politische Maßnahmen

vertrauen

vertrauen

erlauben

vertrauen

Nicht vertrauenswürdig

erlauben
Tabelle 2: NAT-Regeln

Quellzone

Zielzone

Politische Maßnahmen

vertrauen

Nicht vertrauenswürdig

Quell-NAT an Schnittstelle für nicht vertrauenswürdige Zone
Tabelle 3: Ethernet-Schnittstellen

Port-Label

Schnittstelle

Sicherheitszone

DHCP-Status

IP-Adresse

0/0 und 0/7

GE-0/0/0 und GE-0/0/7

Nicht vertrauenswürdig

Kunde

Unbestimmt

0/1 bis 0/6

VLAN-Schnittstelle IRB.0 (GE-0/0/1 bis GE-0/0/6)

vertrauen

Server

192.168.1.1/24
Tabelle 4: LTE-Schnittstellen

Schnittstelle

Sicherheitszone

IP-Adresse

Kl-1/0/0

N/A

N/A

dl0 (logisch)

Nicht vertrauenswürdig

ISP zugewiesen*

*Nur wenn das LTE Mini-PIM vorhanden ist

Im Lieferumfang der SRX320 sind die folgenden Services und Protokolle standardmäßig aktiviert:

Tabelle 5: Services, Protokolle und Startmodus

Dienste

Protokolle

Startmodus des Geräts

SSH

HTTPS

RSTP (alle Schnittstellen)

Umschaltung
Anmerkung:

Ab Junos OS Version 25.2R1 enthält die werkseitige Gerätekonfiguration die netconf ssh Anweisung auf Hierarchieebene [edit system services] nicht.

Um einen sicheren Datenverkehr zu gewährleisten, wird in der nicht vertrauenswürdigen Zone eine Reihe von Bildschirmen konfiguriert. Darüber hinaus blockiert die Standardsicherheitsrichtlinie Datenverkehr, der von einer Schnittstelle für nicht vertrauenswürdige Zonen stammt, an die Vertrauenszone.

Laden und Anzeigen der werkseitigen Standardeinstellungen

Ihr Gerät wird mit einer Reihe von werkseitigen Konfigurationsdateien ausgeliefert. So zeigen Sie die werkseitigen Standardeinstellungen auf Ihrem Gerät an:

  1. Melden Sie sich als Root-Benutzer an und geben Sie Ihre Anmeldeinformationen ein.

  2. Hier finden Sie die vollständige Liste der Standardkonfigurationsdateien für verschiedene Hardwareplattformen:

  3. So zeigen Sie den Inhalt einer bestimmten Standardkonfigurationsdatei an:

Wenn Sie Änderungen an der Konfiguration vornehmen, wird eine neue Konfigurationsdatei erstellt, die zur aktiven Konfiguration wird. Sie können jederzeit eine neue werkseitige Standardkonfiguration mit dem load factory-default Befehl configuration mode laden, um die werkseitige Konfiguration wiederherzustellen. Die Junos-Software wählt die richtige Standardkonfiguration für die Hardwareplattform aus, wenn Sie den Befehl load factory-default-configuration ausgeben.

Sie verwenden den show configuration Befehl "Betriebsmodus" oder einfach den show Befehl, wenn Sie sich im Konfigurationsmodus befinden, um die Einstellungen anzuzeigen.

Anmerkung:

Sie können auch eine werkseitige Standardkonfiguration laden, indem Sie die RESET CONFIG-Taste auf der Vorderseite verwenden. Weitere Informationen hierzu finden Sie unter Verwenden der Schaltfläche RESET CONFIG am Services Gateway SRX320.

Plug & Play für Cloud-basierte Bereitstellung

In diesem Abschnitt erfahren Sie, wie Sie die SRX320 Werkseinstellungen für Plug & Play-Internetkonnektivität nutzen können. Sie nutzen diese Konnektivität, um die SRX320 entweder manuell oder über einen Cloud-basierten Bereitstellungsservice aus der Ferne zu verwalten und zu konfigurieren.

Führen Sie die folgenden Schritte aus, um Ihre SRX320 schnell mit dem Internet zu verbinden und auf Cloud-basierte Bereitstellungsservices wie Juniper Mist Cloud oder Contrail Service Orchestration (CSO) zuzugreifen. Die Plug-and-Play-Konnektivität der SRX320 mit einer werkseitigen Standardkonfiguration ist unten dargestellt.

Plug and Play for Cloud-Based Provisioning
  1. Verbinden Sie das WAN-Netzwerk mit Port 0/0 (ge-0/0/0). In der Standardkonfiguration ist ge-0/0/0 Ihre WAN-Schnittstelle. In der Standardkonfiguration befindet sich diese Schnittstelle in der nicht vertrauenswürdigen Zone und wird als DHCP-Client konfiguriert. Diese Einstellungen ermöglichen es der SRX, eine IP-Adresse und eine Standardroute vom Service Provider zu erhalten.
  2. Konfigurieren Sie Ihre LAN-Clients (PCs, Notebooks, APs, etc.) für die DHCP-Adressvergabe. Schließen Sie diese Geräte an einen der LAN-Ports von 0/1 bis 0/6 (ge-0/0/1 bis ge-0/0/6) an. Das war's, du bist fertig!

    In der Standardkonfiguration werden die LAN-Ports in einem Trust-VLAN mit einer zugehörigen IRB-Schnittstelle konfiguriert. DHCP-Dienste werden dem Vertrauens-VLAN über diese IRB-Schnittstelle bereitgestellt, die ebenfalls in der Vertrauenszone platziert wird. Das Ergebnis ist, dass sich alle LAN-Ports ein gemeinsames IP-Subnetz mit vollständiger Layer-2-Konnektivität (ohne Tagged) über das SRX teilen. Auf Layer 3 ordnet die IRB-Schnittstelle das LAN einem 192.168.1.0/24-Subnetz zu, wobei die Adresse 192.168.1.1 für sich selbst reserviert ist.

    Den LAN-Geräten werden über DHCP eine IP-Adresse und ein Standardgateway aus dem Subnetz 192.168.1.0/24 zugewiesen.

  3. Stellen Sie sicher, dass die SRX320 eine Internetverbindung bereitstellt. Öffnen Sie einen Browser auf einem Gerät, das an einen LAN-Anschluss angeschlossen ist, und verweisen Sie ihn auf http://www.juniper.net. Wenn die Seite nicht geladen wird, überprüfen Sie die Internetverbindung.

    Gehen Sie folgendermaßen vor, um Fehler zu isolieren:

    • Schalten Sie das WAN-Modem aus und wieder ein. Vergewissern Sie sich, dass das Modem ordnungsgemäß mit dem Dienstanbieter verbunden ist.
    • Pingen Sie ein Internetziel von der SRX320 über die CLI an, um die Internetverbindung zu testen. Stellen Sie sicher, dass das Ziel auf Pings antworten darf, und versuchen Sie, sowohl einen Namen als auch eine IP-Adresse zu verwenden, um DNS von Verbindungsproblemen zu isolieren.
    • Generieren Sie einen Ping von einem LAN-Gerät an die Adresse 192.168.1.1, die der IRB-Schnittstelle auf dem SRX zugewiesen ist. Eine erfolgreiche Antwort validiert die DHCP- und Layer-2-Konnektivität zwischen den LAN-Geräten und dem SRX.
    • Verwenden Sie den show dhcp server binding Befehl, um die LAN-seitigen Adresszuweisungen des DHCP-Servers zu überprüfen.

    Zu diesem Zeitpunkt haben sowohl das SRX320 als auch die LAN-Geräte Internetzugang. Die Standardrichtlinie lässt den gesamten Datenverkehr von der Vertrauenszone zur nicht vertrauenswürdigen Zone zu. Die Standardrichtlinie führt SNAT auch für Datenverkehr aus, der das WAN verlässt. Standardmäßig wird der gesamte Antwortdatenverkehr von der nicht vertrauenswürdigen in die Vertrauenszone zurückgelassen. Datenverkehr, der aus der nicht vertrauenswürdigen Zone (WAN) stammt, wird von der Vertrauenszone blockiert. HTTPS-, TFTP- und DHCP-Datenverkehr darf aus der nicht vertrauenswürdigen Zone stammen und an den lokalen Host gesendet werden.

    Sie können über J-Web auf die SRX zugreifen, um die Erstkonfiguration sowohl lokal als auch remote durchzuführen. Verwenden Sie für den lokalen Zugriff einen Computer, der an einen LAN-Anschluss angeschlossen ist, und richten Sie Ihren Browser auf https://191.168.1.1. Für den Fernzugriff über die WAN-Schnittstelle benötigen Sie die IP-Adresse, die der SRX vom WAN-Anbieter zugewiesen wurde. Weitere Informationen zur Ersteinrichtung mit dem J-Web-Setup-Assistenten finden Sie unter J-Web-Setup-Assistent . Sie können jederzeit lokal auf die SRX320 zugreifen, indem Sie den Konsolenport verwenden, um zusätzliche Konfigurationen vorzunehmen. Weitere Informationen zur Verwendung der CLI für die Erstkonfiguration finden Sie unter SRX320 Day One+ .

    Anmerkung:

    In der Standardkonfiguration ist für den Zugriff auf die SRX320 über J-Web weder lokal noch per Remotezugriff ein Kennwort erforderlich. Sie sollten die SRX entweder in einen Cloud-Bereitstellungsservice übernehmen oder so bald wie möglich manuell ein Root-Passwort konfigurieren (mithilfe von J-Web oder der Junos CLI).