Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Der J-Web-Setup-Assistent

Konfigurieren von Firewalls der SRX-Serie mit dem J-Web-Setup-Assistenten

Mit dem Setup-Assistenten können Sie Schritt für Schritt ein Services Gateway konfigurieren, das Datenverkehr sicher weiterleiten kann.

Informationen zum Starten und Zugreifen auf die J-Web-Benutzeroberfläche finden Sie unter Zugriff auf die J-Web-Benutzeroberfläche.

Sie können einen der folgenden Setupmodi auswählen, um das Services Gateway zu konfigurieren:

  • Standalone-Modus: Konfigurieren Sie Ihre Firewall der SRX-Serie für den Betrieb im Standalone-Modus. In diesem Modus können Sie grundlegende Einstellungen wie Geräteanmeldeinformationen, Uhrzeit, Verwaltungsschnittstelle, Zonen und Schnittstellen sowie DNS-Server und Standard-Gateways konfigurieren.

  • Cluster-Modus (HA): Konfigurieren Sie Ihre Firewall der SRX-Serie für den Betrieb in einem Cluster-Modus (HA). Im Cluster-Modus wird ein Gerätepaar miteinander verbunden und so konfiguriert, dass es wie ein einzelner Knoten funktioniert und Geräte-, Schnittstellen- und Servicelevel-Redundanz bietet.

    Anmerkung:

    Sie können den eigenständigen oder passiven Modus nicht konfigurieren, wenn sich Ihr Gerät im HA-Modus befindet.

  • Passiver Modus (TAP): Konfigurieren Sie Ihre Firewall der SRX-Serie für den Betrieb in einem TAP-Modus. Mit dem TAP-Modus können Sie den Datenverkehrsfluss in einem Netzwerk passiv überwachen. Wenn IPS aktiviert ist, überprüft der TAP-Modus den ein- und ausgehenden Datenverkehr, um die Anzahl der Bedrohungen zu erkennen.

    Anmerkung:

    • SRX5000-Reihe Geräte, SRX4600 und Virtuelle Firewall vSRX Geräte unterstützen die Konfiguration im passiven Modus nicht.

    • Ab Junos OS Version 23.4R1 unterstützt J-Web SRX1600 und SRX2300 Firewalls.

Um Sie durch den Prozess zu führen, führt der Assistent Folgendes aus:

  • Legt fest, welche Konfigurationsaufgaben Ihnen basierend auf Ihrer Auswahl angezeigt werden sollen.

  • Markiert alle fehlenden erforderlichen Konfigurationen, wenn Sie versuchen, eine Seite zu verlassen.

So konfigurieren Sie Firewalls der SRX-Serie mit dem J-Web-Setup-Assistenten:

  1. Wählen Sie den Konfigurationsmodus aus, den Sie einrichten möchten, und klicken Sie auf Start.

    Die Seite Setup-Assistent wird angezeigt.

  2. Schließen Sie für den Standalone- und den passiven Modus (Tap) die Konfiguration gemäß den Richtlinien in Tabelle 2 ab.

    Wenn Sie den Cluster-Modus (HA) auswählen, finden Sie die Konfigurationsinformationen unter Konfigurieren des Cluster-Setups (HA).

    Anmerkung:

    Das root-Passwort ist im Setup-Assistenten obligatorisch. Alle anderen Optionen sind optional. Im passiven Modus ist die Konfiguration der Verwaltungsschnittstelle, der Tap-Schnittstelle und der Dienste obligatorisch.

  3. Überprüfen Sie die Konfigurationsdetails. Wenn Sie die Konfiguration ändern möchten, klicken Sie auf "Konfiguration bearbeiten" oder auf "Fertig stellen".

    Warten Sie, bis die Konfiguration bestätigt wurde. Eine erfolgreiche Meldung wird angezeigt, sobald die gesamte Konfiguration an das Gerät übergeben wurde.

    Anmerkung:

    • Wenn der Commit fehlschlägt, zeigt J-Web Ihnen die von CLI erhaltene Fehlermeldung an und Sie bleiben auf der letzten Seite des Assistenten. Überprüfen Sie Ihre Konfiguration, und nehmen Sie bei Bedarf Änderungen vor, damit der Commit erfolgreich ist.

    • Für Geräte der SRX300-Reihe und SRX550M Geräte im passiven Modus wird eine zusätzliche Meldung über den Neustart des Geräts angezeigt, wenn Sie Juniper ATP Cloud- oder Security Intelligence-Services aktiviert haben. Bei anderen Firewalls der SRX-Serie wird das Gerät nicht neu gestartet.

  4. Lesen Sie, ob Anweisungen verfügbar sind, und klicken Sie dann auf J-Web-Anmeldeseite öffnen.

    Die J-Web-Anmeldeseite wird angezeigt.

  5. Geben Sie den Root-Benutzernamen und das Kennwort ein und klicken Sie auf Anmelden.

    Der Bildschirm "Launch Pad" wird angezeigt, bis die J-Web-Benutzeroberfläche geladen ist. Siehe J-Web: Ein erster Blick.

Beispiel: J-Web-Assistent für den Standalone-Modus

In diesem Abschnitt zeigen wir Ihnen einen typischen Workflow des J-Web-Setup-Assistenten für den Betrieb im Standalone-Modus. Die J-Web-Oberfläche wird im Laufe der Zeit aktualisiert und modifiziert. Das folgende Beispiel ist repräsentativ für den typischen Workflow. Dieses konkrete Beispiel basiert auf Junos 21.3R1.

Tabelle 1 enthält Details zu den Konfigurationsparametern, die für die Ersteinrichtung verwendet werden.

Tabelle 1: Parameter des eigenständigen Setup-Assistenten
Beispielwert für Konfigurationsparameter
Root-Passwort "Sample_psswd_for_doc-only!"
Hostname SRX-300-KARTON
Verwaltungsschnittstelle GE-0/0/1
Management-IP und CIDR 10.102.70.79/24
Zugriffsprotokolle HTTPS, SSH, Ping
Statischer Weg für die Verwaltung 10.0.0.0/8, nächster Hop 10.102.70.254
NTP und DNS

  • NTP: north-america.pool.ntp.org

  • DNS: 8.8.8.8 und 8.8.4.4

  • Zeitzone: PST/Los Angeles
Remotezugriff SSH mit Root-Anmeldung erlaubt
Nicht-Root-Benutzer (Admin-/Superuser-Konto) Benutzer "lab", Kennwort "Sample_psswd_for_doc-only!"
Sicherheitsrichtlinie Vorgabe

Informationen zum Zugriff auf die J-Web-Benutzeroberfläche finden Sie unter Zugriff auf die J-Web-Benutzeroberfläche . Dieses Beispiel basiert auf einer SRX300. Basierend auf den Informationen in Tabelle 1 wird das Verwaltungsgerät für DHCP eingestellt und an die ge-0/0/1-Schnittstelle angeschlossen. Beim Ausführen einer werkseitigen Standardkonfiguration wird die ge-0/0/1-Schnittstelle als DHCP-Server konfiguriert und weist dem PC eine Adresse aus dem Subnetz 192.168.1.0/24 zu. Um in diesem Szenario auf J-Web zuzugreifen, verweisen Sie den Browser auf https://192.168.1.1.

  1. Wir beginnen mit dem Bildschirm des J-Web-Setup-Assistenten. Sie klicken auf die Option für den Standalone-Modus und dann auf die Schaltfläche Start.

    Abbildung 1: Modi des J-Web-Setup-Assistenten J-Web setup screen with options for configuring SRX device: Standalone Mode, Cluster HA Mode, Passive Tap Mode. Options to Cancel, Skip Setup, or Start.

  2. Konfigurieren Sie den Gerätenamen, den Root-Benutzer und die Anmeldeinformationen des Nicht-Root-Benutzers (Administrator) auf der Seite Geräteanmeldeinformationen.

    Anmerkung:

    Aktivieren Sie SSH für den Root-Benutzer.
    Abbildung 2: Geräteanmeldeinformationen des J-Web-Setup-Assistenten Setup Wizard for configuring Juniper SRX device at Device Credentials step. Device name SRX-300. Root user SSH enabled. Options to Cancel or Next.

  3. Klicken Sie auf Weiter.

    Die Seite "Zeit" wird geöffnet.

  4. Konfigurieren Sie die Zeitzone, die Zeitquelle und im Fall von NTP den/die gewünschte(n) Server.

    Abbildung 3: Zeitserver des J-Web-Setup-Assistenten Setup Wizard interface for configuring time settings on a device. Time step shows America/Los_Angeles time zone, NTP Server selected, north-america.pool.ntp.org listed.

  5. Klicken Sie auf Weiter.

    Die Seite Verwaltungsschnittstelle wird geöffnet.

  6. Auch dieses Setup-Beispiel basiert auf einem Gerät der SRX 300-Serie. Diese Firewall der SRX-Serie verfügt nicht über eine dedizierte Verwaltungsschnittstelle. In vielen Fällen führt ihre Rolle in Zweigstellen dazu, dass sie aus der Ferne über die WAN-Schnittstelle (ge-0/0/0) verwaltet werden. Bei größeren Firewalls der SRX-Serie wird eine dedizierte Managementschnittstelle (fxp0) für den Anschluss an ein Out-of-Band-Managementnetzwerk (OOB) bereitgestellt. In diesem Beispiel konfigurieren Sie die ge-0/0/1-Schnittstelle als dedizierte OOB-Verwaltungsschnittstelle.

    Abbildung 4: Verwaltungsschnittstelle Setup Wizard interface for configuring network device management interface at Management Interface step. Options include interface selection, IPv4 settings, and navigation buttons. des J-Web-Setup-Assistenten

    Bevor Sie fortfahren, klicken Sie auf die Registerkarte Zugriffsprotokolle , um zu bestätigen, dass HTTPS, SSH und Ping (ICMP-Echo) auf der Verwaltungsschnittstelle zulässig sind.

    Abbildung 5: Zugriffsprotokolle des J-Web-Setup-Assistenten Setup Wizard interface for configuring network settings; Management Interface step with dropdown and Access Protocols: HTTPS, SSH, and Ping enabled, DHCP and NETCONF disabled.

  7. Klicken Sie auf Weiter.

    Die Seite "Zones & Interfaces " wird geöffnet.

  8. In diesem Beispiel behalten Sie die werkseitige Standardsicherheitsrichtlinie bei. Denken Sie daran, dass Sie J-Web jederzeit verwenden können, um alle Aspekte der Konfiguration, einschließlich der Sicherheit, zu ändern, nachdem Sie die Ersteinrichtung abgeschlossen haben.

    Abbildung 6: Sicherheitszonen des J-Web-Setup-Assistenten Setup Wizard for network zones and interfaces with Trust Zone interface irb.0 IP 192.168.1.1/24 and Untrust Zone interfaces ge-0/0/0.0 and ge-0/0/7.0 using DHCP.

  9. Klicken Sie auf Weiter.

    Die Seite DNS-Server und Standard-Gateways wird geöffnet.

  10. Konfigurieren Sie eine öffentliche DNS-Server-IP-Adresse, und lassen Sie die Felder für das Standardgateway leer. Falls gewünscht, können Sie Standardrouten für den Zugriff auf andere Netzwerke hinzufügen, die über die Verwaltungsschnittstelle erreichbar sein sollen.

    Abbildung 7: J-Web-Setup-Assistent DNS und Standard-Gateways Setup Wizard interface for network settings, step: DNS Servers & Default Gateways. DNS server 1: 8.8.8.8, DNS server 2: 8.4.4.4. Default Gateway fields empty. Navigation buttons: Cancel, Back, highlighted Next.

  11. Klicken Sie auf Weiter.

    Der Setup-Assistent wird geöffnet. Diese Seite fasst Ihre Konfiguration zusammen. Falls gewünscht, verwenden Sie die Option Konfiguration bearbeiten , um Änderungen vorzunehmen.

    Abbildung 8: Zusammenfassung des Setup Wizard interface for configuring Juniper SRX-300 with sections for Device Credentials, Time, Management Interface, Zones and Interfaces, and DNS Servers and Default Gateways. Includes navigation buttons for Back, Cancel, and Finish. J-Web-Setup-Assistenten

  12. Wenn Sie mit der Konfiguration zufrieden sind, klicken Sie auf Fertig stellen. Der Setup-Assistent zeigt eine Statusseite an, die angibt, dass die Erstkonfiguration an die Firewalls der SRX-Serie gesendet wird.

    Abbildung 9: Konfigurationspush Setup Wizard screen in J-Web saving changes with progress bar indicating operation status. des J-Web-Setup-Assistenten

    In wenigen Augenblicken wird die Seite Einrichtung erfolgreich angezeigt. Glückwunsch! Ihre Firewall der SRX-Serie ist über die Fernzugriff zugänglich und kann über die J-Web-Schnittstelle laufend verwaltet werden.

    Abbildung 10: J-Web-Setup-Assistent erfolgreich Setup Wizard screen with text Setup Successful, browser graphic with gears and checkmark, use IP 10.102.70.79 to log in to J-Web, Open J-Web Login Page button.
    Anmerkung:

    Zur Erinnerung: In diesem SRX-300-basierten Beispiel ist das Verwaltungsgerät direkt mit dem SRX am ge-0/0/1-Port verbunden. Sie haben die Erstkonfiguration mit einer Adresse 192.168.1.0/24 durchgeführt, die von der Firewall der SRX-Serie über DHCP zugewiesen wurde.

    Mithilfe des Setup-Assistenten haben Sie die ge-0/0/1-Schnittstelle als dedizierte Verwaltungsschnittstelle konfiguriert und die statische IP-Adresse 10.102.70.89/24 zugewiesen. Dadurch funktioniert die ge-0/0/1-Schnittstelle nicht mehr als DHCP-Server.

    Sobald die neue Konfiguration aktiviert ist, müssen Sie sicherstellen, dass das Verwaltungsgerät mit einer kompatiblen IP-Adresse konfiguriert ist, wenn es direkt mit der ge-0/0/1-Schnittstelle verbunden bleibt. Sie melden sich mit https://10.102.70.89 wieder bei J-Web an.

Glückwunsch! Sie haben die Ersteinrichtung mit J-Web abgeschlossen. Bleiben Sie auf dem Laufenden, indem Sie die folgenden Links besuchen:

Parameter des J-Web-Setup-Assistenten

Dieser Abschnitt dient als Referenz für die modusspezifischen Parameter, die Sie mit dem J-Web-Setup-Assistenten konfigurieren können. Tabelle 2 enthält Details zu den Parametern, die im Standalone- und im passiven Modus (Tap) konfiguriert werden können. Weitere Informationen zu den Parametern, die im Cluster-Modus (HA) unterstützt werden, finden Sie unter Konfigurieren des Cluster-Setups (HA).

Tabelle 2: Konfiguration des Setup-Assistenten

Feld

Aktion
Anmeldeinformationen für das Gerät
Systemidentität

Gerätename

Geben Sie einen Hostnamen ein.

Sie können alphanumerische Zeichen, Sonderzeichen wie den Unterstrich (_), den Bindestrich (-) oder den Punkt (.) verwenden. Die maximale Länge beträgt 255 Zeichen.
Root-Konto

Nutzername

Zeigt den Root-Benutzer an.

Anmerkung:

Es wird empfohlen, das root-Benutzerkonto nicht als bewährte Methode für die Verwaltung Ihrer Geräte zu verwenden.

Passwort

Geben Sie ein Passwort ein.

Sie können alphanumerische Zeichen und Sonderzeichen verwenden. Die Mindestlänge beträgt sechs Zeichen.

SSH für Root-Benutzer

Aktivieren Sie diese Option, um die Root-Anmeldung (am Gerät) über SSH zuzulassen.
Administratorkonto

Nutzername

Geben Sie den Admin-Benutzernamen ein, um das Gerät zu verwalten.

Passwort

Geben Sie das Admin-Passwort ein.
Zeitkonfiguration
Zeit

Zeitzone

Wählen Sie eine Zeitzone aus der Liste aus.

Zeitquelle

Wählen Sie entweder NTP-Server, Computerzeit oder Manuell aus, um die Systemzeit zu konfigurieren:

  • NTP-Server > NTP-Server: Wählen Sie den NTP-Server in der Spalte "Verfügbar" aus, und wechseln Sie mit dem Pfeil nach rechts zur ausgewählten Spalte. Sobald das System mit dem Netzwerk verbunden ist, wird die Systemzeit mit der NTP-Serverzeit synchronisiert.

    Um einen neuen NTP-Server hinzuzufügen, klicken Sie außerdem auf +, geben Sie einen Hostnamen oder eine IP-Adresse des NTP-Servers ein und klicken Sie auf OK.

    Anmerkung:

    Wenn Sie weitere NTP-Server hinzufügen möchten, gehen Sie über das J-Web-Menü zu Geräteverwaltung > Grundeinstellungen > Datums- und Uhrzeitdetails.

  • Computerzeit > Computerzeit: Das Gerät wird nur während der Einrichtung automatisch mit Ihrer Computerzeit synchronisiert.

  • Manuelle > Datum und Uhrzeit: Wählen Sie das Datum und die Uhrzeit (im 24-Stunden-Format MM-TT-JJJJ und HH:MM:SS) aus, um die Systemzeit manuell zu konfigurieren.
Konfiguration der Verwaltungsschnittstelle
Verwaltungsschnittstelle
Anmerkung:

Wenn Sie die Verwaltungs-IP-Adresse ändern und auf Weiter klicken, wird auf der Seite Verwaltungsschnittstelle eine Warnmeldung angezeigt, dass Sie die neue Verwaltungs-IP-Adresse verwenden müssen, um sich bei J-Web anzumelden, da Sie die Verbindung zu J-Web verlieren können.

Verwaltungsschnittstelle

Wählen Sie eine Schnittstelle aus der Liste aus.

Wenn der fxp0-Port der Management-Port Ihres Geräts ist, wird der fxp0-Port angezeigt. Sie können es nach Bedarf ändern oder Sie können Keine auswählen und mit der nächsten Seite fortfahren.

Anmerkung:

  • Sie können den Umsatzport als Management-Port auswählen, wenn Ihr Gerät den fxp0-Port nicht unterstützt. Umsatzports sind alle Ports mit Ausnahme von fxp0 und em0.

  • Wenn Sie sich im Standalone-Modus befinden, können Sie für die Verwaltungsoberfläche Keine auswählen und auf Weiter klicken, um zum nächsten Bildschirm zu gelangen.

  • Wenn Sie sich im passiven Modus (Tap) befinden, ist es zwingend erforderlich, einen Management-Port zu konfigurieren. J-Web benötigt einen Management-Port zum Anzeigen des generierten Berichts.
IPv4
Anmerkung:

Klicken Sie auf E-Mail an sich selbst , um die neu konfigurierte IPv4- oder IPv6-Adresse in Ihren Posteingang zu erhalten. Dies ist nützlich, wenn Sie die Verbindung verlieren, wenn Sie die Verwaltungs-IP-Adresse in ein anderes Netzwerk ändern.

Verwaltungsadresse

Geben Sie eine gültige IPv4-Adresse für die Verwaltungsschnittstelle ein.

Anmerkung:

Wenn fxp0 port der Management-Port Ihres Geräts ist, wird die Standard-IP-Adresse des fxp0-Ports angezeigt. Sie können es bei Bedarf ändern.

Subnetzmaske für die Verwaltung

Geben Sie eine Subnetzmaske für die IPv4-Adresse ein.

Wenn Sie die Verwaltungsadresse geändert haben, verwenden Sie die neue IP-Adresse, um auf J-Web zuzugreifen.

Statische Route

Geben Sie eine IPv4-Adresse für die statische Route ein, die an die anderen Netzwerkgeräte weitergeleitet werden soll.

Subnetzmaske für statisches Routing

Geben Sie eine Subnetzmaske für die IPv4-Adresse der statischen Route ein.

Next Hop-Gateway

Geben Sie eine gültige IPv4-Adresse für den nächsten Hop ein.
IPv6-Schnittstelle

Verwaltungszugriff

Geben Sie eine gültige IPv6-Adresse für die Verwaltungsschnittstelle ein.

Verwaltungs-Subnetzpräfix

Geben Sie eine Subnetzpräfixlänge für die IPv6-Adresse ein.

Statische Route

Geben Sie bei Bedarf eine IPv6-Adresse für die statische Route ein, um das Gerät über die Verwaltungsschnittstelle zu erreichen.

Subnetzpräfix für statische Route

Geben Sie eine Subnetzpräfixlänge für die IPv6-Adresse der statischen Route ein.

Next Hop-Gateway

Geben Sie eine gültige IPv6-Adresse für den nächsten Hop ein.
Zugriffsprotokolle
Anmerkung:

Diese Option ist für alle Ports außer fxp0 verfügbar.

HTTPS

Diese Option ist standardmäßig aktiviert.

SSH

Diese Option ist standardmäßig aktiviert.

Anpingen

Aktivieren Sie diese Option für den Ping-Dienst.

DHCP

Aktivieren Sie diese Option für den DHCP-Dienst.

NETCONF

Aktivieren Sie diese Option für den NETCONF-Dienst.
Zonen und Schnittstellen
Sicherheitsrichtlinie
Anmerkung:

Diese Option ist nur für den eigenständigen Modus verfügbar. Für den passiven Modus (Tippen) ist diese Option unter Tippeinstellungen verfügbar.

Von Zone

Name der Quellzone. Lässt im eigenständigen Modus den gesamten Datenverkehr aus der Vertrauenszone zu.

Zu Zone

Name der Zielzone. Lässt im Standalone-Modus den gesamten Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zu.

Quelle

Name der Quelladresse (nicht der IP-Adresse) einer Richtlinie.

Bestimmungsort

Name der Zieladresse.

Anwendung

Name einer vorkonfigurierten oder benutzerdefinierten Anwendung der Richtlinienübereinstimmung.

Aktion

Aktion, die ausgeführt wird, wenn eine Übereinstimmung auftritt, wie in der Richtlinie angegeben.
Zonen

– Zeigt die verfügbare Konfiguration für vertrauenswürdige und nicht vertrauenswürdige Zonen an.
Trust-Zone-Schnittstellen
Anmerkung:

Diese Option ist nur für den eigenständigen Modus verfügbar.

Hinzufügen einer Trust-Zone-Schnittstelle

Klicken Sie auf + , um eine Trust-Zone-Schnittstelle hinzuzufügen. Weitere Informationen zu den Feldern finden Sie in Tabelle 3.

Bearbeiten der Trust-Zone-Schnittstelle

Wählen Sie eine Schnittstelle aus und klicken Sie auf das Stiftsymbol in der rechten Ecke der Tabelle, um die Konfiguration zu ändern.

Trust-Zone-Schnittstelle löschen

Wählen Sie eine Schnittstelle aus und klicken Sie auf das Löschen-Symbol in der oberen rechten Ecke der Tabelle.

Ein Bestätigungsfenster wird angezeigt. Klicken Sie auf Ja , um die ausgewählte Schnittstelle zu löschen, oder klicken Sie auf Nein , um sie zu verwerfen.

Trust-Zone-Schnittstelle durchsuchen

Klicken Sie auf das Suchsymbol in der rechten Ecke der Tabelle, um schnell eine Zone oder ein Interface zu finden.

Detailansicht Trust-Zone-Schnittstelle

Bewegen Sie den Mauszeiger über den Namen der Benutzeroberfläche und klicken Sie auf das Symbol Detailansicht, um die Zonen- und Schnittstellendetails anzuzeigen.
Trust-Zone-Schnittstellen – Einstellungen auf Zonenebene

Zonenname

Zeigen Sie den Namen der Vertrauenszone an, der aus den werkseitigen Standardeinstellungen Ihres Geräts ausgefüllt wird.

Anmerkung:

Für den eigenständigen Modus werden standardmäßig Zonen für Vertrauenswürdigkeit und Nicht vertrauenswürdige Zonen erstellt, auch wenn diese Zonen in den werkseitigen Standardeinstellungen nicht verfügbar sind.

Beschreibung

Geben Sie die Beschreibung für die Vertrauenszone ein.

Systemdienstleistungen

Aktivieren Sie diese Option für die Datenverkehrstypen, die das Gerät über eine bestimmte Schnittstelle erreichen können.

Standardmäßig ist diese Option aktiviert. Sie können diese bei Bedarf deaktivieren.

Protokolle

Aktivieren Sie diese Option, um das Gerät so zu konfigurieren, dass es eine zustandsbehaftete Filterung des Netzwerkdatenverkehrs für Netzwerkpakete mithilfe von Netzwerkdatenverkehrsprotokollen (z. B. TCP und UDP) durchführt.

Standardmäßig ist diese Option aktiviert. Sie können diese bei Bedarf deaktivieren.

Anwendungsverfolgung

Aktivieren Sie diese Option, um Byte-, Paket- und Dauerstatistiken für Anwendungsdatenströme in der angegebenen Zone zu erfassen.

Quellidentitätsprotokoll

Aktivieren Sie diese Option für das Gerät, um die Benutzeridentitätsinformationen basierend auf der in der Sicherheitsrichtlinie konfigurierten Quellzone zu protokollieren.

Schnittstellen für nicht vertrauenswürdige Zonen

Schnittstelle für nicht vertrauenswürdige Zone hinzufügen

Klicken Sie auf + , um eine Schnittstelle für nicht vertrauenswürdige Zonen hinzuzufügen. Weitere Informationen zu den Feldern finden Sie in Tabelle 4.

Schnittstelle für nicht vertrauenswürdige Zone bearbeiten

Wählen Sie eine Schnittstelle aus und klicken Sie auf das Stiftsymbol in der rechten Ecke der Tabelle, um die Konfiguration zu ändern.

Nicht vertrauenswürdige Zonenschnittstelle löschen

Wählen Sie eine Schnittstelle aus und klicken Sie auf das Löschen-Symbol in der oberen rechten Ecke der Tabelle.

Ein Bestätigungsfenster wird angezeigt. Klicken Sie auf Ja , um die ausgewählte Schnittstelle zu löschen, oder klicken Sie auf Nein , um sie zu verwerfen.

Suche nach nicht vertrauenswürdigen Zonenschnittstellen

Klicken Sie auf das Suchsymbol in der oberen rechten Ecke der Tabelle, um schnell eine Zone oder eine Schnittstelle zu finden.

Detailansicht Schnittstelle für nicht vertrauenswürdige Zonen

Bewegen Sie den Mauszeiger über den Namen der Benutzeroberfläche und klicken Sie auf das Symbol Detailansicht, um die Zonen- und Schnittstellendetails anzuzeigen.
Nicht vertrauenswürdige Zonenschnittstellen – Einstellungen auf Zonenebene

Zonenname

Zeigen Sie den Namen der nicht vertrauenswürdigen Zone an, der aus den werkseitigen Standardeinstellungen Ihres Geräts ausgefüllt wird.

Anmerkung:

Für den eigenständigen Modus werden standardmäßig Zonen für Vertrauenswürdigkeit und Nicht vertrauenswürdige Zonen erstellt, auch wenn diese Zonen in den werkseitigen Standardeinstellungen nicht verfügbar sind.

Beschreibung

Geben Sie die Beschreibung für die nicht vertrauenswürdige Zone ein.

Anwendungsverfolgung

Aktivieren Sie diese Option, um Byte-, Paket- und Dauerstatistiken für Anwendungsdatenströme in der angegebenen Zone zu erfassen.

Quellidentitätsprotokoll

Aktivieren Sie diese Option für das Gerät, um die Benutzeridentitätsinformationen basierend auf der in der Sicherheitsrichtlinie konfigurierten Quellzone zu protokollieren.

DNS-Server und Standard-Gateways
DNS-Server

DNS-Server 1

Geben Sie die IPv4- oder IPv6-Adresse des primären DNS ein.

DNS-Server 2

Geben Sie die IPv4- oder IPv6-Adresse des sekundären DNS ein.
Standardgateway

Standard-Gateway (IPv4)

Geben Sie die IPv4-Adresse des nächstmöglichen Ziels für ein beliebiges Netzwerk ein.

Standard-Gateway (IPv6)

Geben Sie die IPv6-Adresse des nächstmöglichen Ziels für ein beliebiges Netzwerk ein.
Tippen Sie auf Einstellungen
Anmerkung:

Diese Option ist nur für den passiven Modus (Tippen) verfügbar.
Tippen Sie auf Einstellungen

Tippen Sie auf die Benutzeroberfläche

Wählen Sie die Schnittstelle aus der Liste aus.

IP-IP-Tunnelinspektion

Aktivieren Sie diese Option für die Firewall der SRX-Serie, um Pass-Through-Datenverkehr über einen IP-IP-Tunnel zu untersuchen.

GRE-Tunnel-Inspektion

Aktivieren Sie diese Option für die Firewall der SRX-Serie, um Pass-Through-Datenverkehr über einen GRE-Tunnel zu überprüfen.
Sicherheitsrichtlinien und erweiterte Services
Anmerkung:

Ihr Gerät muss mit dem Internet verbunden sein, um IPS, Webfilterung, Juniper ATP-Cloud und Security Threat Intelligence-Services nutzen zu können.

Von Zone

Name der Quellzone. Lässt im Tap-Modus den gesamten Datenverkehr aus der Tap-Zone zu.

Zu Zone

Name der Zielzone. Lässt im Tap-Modus den gesamten Datenverkehr von der TAP-Zone zur TAP-Zone zu.

Quelle

Name der Quelladresse (nicht der IP-Adresse) einer Richtlinie.

Bestimmungsort

Name der Zieladresse.

Anwendung

Name einer vorkonfigurierten oder benutzerdefinierten Anwendung der Richtlinienübereinstimmung.

Aktion

Aktion, die ausgeführt wird, wenn eine Übereinstimmung auftritt, wie in der Richtlinie angegeben.
Inhaltssicherheit

Inhaltssicherheit

Aktivieren Sie diese Option für die Konfiguration von Content Security-Diensten.

Lizenz

Geben Sie den Content Security-Lizenzschlüssel ein und klicken Sie auf Lizenz installieren , um eine neue Lizenz hinzuzufügen.

Anmerkung:

  • Verwenden Sie eine Leerzeile, um mehrere Lizenzschlüssel voneinander zu trennen.

  • Um Content Security-Dienste nutzen zu können, muss Ihr Gerät über eine Internetverbindung über eine Umsatzschnittstelle verfügen.

Inhaltssicherheitstyp

Wählen Sie eine Option aus, um Content Security-Funktionen zu konfigurieren:

  • Webfilterung

  • Antivirus

  • Antispam

Typ der Webfilterung

Wählen Sie eine Option aus:

  • Erweitert: Gibt an, dass die erweiterte Webfilterung von Juniper die HTTP- und HTTPS-Anforderungen abfängt und die HTTP-URL oder die HTTPS-Quell-IP an die Websense ThreatSeeker Cloud (TSC) sendet.

  • Lokal (Local) – Gibt den lokalen Profiltyp an.
IPS

IPS

Aktivieren Sie diese Option, um die IPS-Signaturen zu installieren.

Lizenz

Geben Sie den Lizenzschlüssel ein und klicken Sie auf Lizenz installieren , um eine neue Lizenz hinzuzufügen.

Anmerkung:

Der Installationsvorgang kann einige Minuten dauern.

IPS-Signatur

Klicken Sie auf Durchsuchen , um zum Ordner des IPS-Signaturpakets zu navigieren, und wählen Sie ihn aus. Klicken Sie auf Installieren , um das ausgewählte IPS-Signaturpaket zu installieren.

Anmerkung:

Sie können das IPS-Signatur-Offline-Paket unter https://support.juniper.net/support/downloads/ herunterladen.
ATP-Cloud

ATP-Cloud

Aktivieren Sie diese Option, um Juniper ATP Cloud Services zu nutzen.

Anmerkung:

Nachdem die Juniper ATP-Cloud-Konfiguration per Push übertragen wurde, werden nur die Geräte der SRX300-Reihe und SRX550M Geräte neu gestartet. Ihr Gerät muss über eine Internetverbindung verfügen, um den Registrierungsprozess für Juniper ATP Cloud über J-Web zu aktivieren.
Security Intelligence

Security Intelligence

Aktivieren Sie diese Option, um Security Intelligence Services zu verwenden.

Anmerkung:

Nachdem die Security Intelligence-Konfiguration per Push übertragen wurde, werden nur die Geräte der SRX300-Reihe und SRX550M Geräte neu gestartet. Ihr Gerät muss über eine Internetverbindung verfügen, um den Registrierungsprozess für Juniper ATP Cloud über J-Web zu aktivieren.
Benutzer-Firewall

Benutzer-Firewall

Aktivieren Sie diese Option, um Benutzer-Firewall-Dienste zu verwenden.

Domänenname

Geben Sie einen Domänennamen für Active Directory ein.

Domänencontroller

Geben Sie die IP-Adresse des Domänencontrollers ein.

Nutzername

Geben Sie einen Benutzernamen für Administratorrechte ein.

Passwort

Geben Sie ein Kennwort für die Administratorrechte ein.
Tabelle 3: Hinzufügen einer Vertrauenszone

Feld

Aktion
Allgemein

Typ (Familie)

  • Wählen Sie Switching aus. Felder für die Switching-Schnittstelle sind:

    Anmerkung:

    Diese Option ist nur für Firewalls der SRX300-Serie, SRX550M und SRX1500 sowie SRX1600-Firewalls verfügbar. Für SRX2300-, SRX4100-, SRX4200-, SRX4600-, SRX5000-Serie-Firewalls und virtuelle vSRX-Firewalls ist das Feld Typ (Familie) nicht verfügbar.

    • IRB-Schnittstelleneinheit (IRB-Schnittstelleneinheit): Geben Sie die IRB-Einheit ein.

    • Beschreibung: Geben Sie die Beschreibung für die Schnittstelle ein.

  • Wählen Sie Routing aus. Die Felder für die Routing-Schnittstelle sind:

    Für Firewalls der SRX5000-Serie, SRX4100-, SRX4200-, SRX4600- und vSRX-Firewalls ist das Feld Typ (Familie) nicht verfügbar.

    • Schnittstelle (Interface) – Wählen Sie eine Option aus der Liste aus.

    • Schnittstelleneinheit (Interface unit) – Geben Sie die Inet-Einheit ein.

      Anmerkung:

      VLAN-Tagging wird automatisch aktiviert, wenn die Schnittstelleneinheit größer als Null ist.

    • Beschreibung: Geben Sie die Beschreibung für die Schnittstelle ein.

    • VLAN-ID: Geben Sie die VLAN-ID ein.

      Anmerkung:

      Die VLAN-ID ist zwingend erforderlich, wenn die Schnittstelleneinheit größer als Null ist.

Schnittstellen

Wählen Sie eine Schnittstelle aus der Spalte "Verfügbar" aus und verschieben Sie sie in die Spalte "Ausgewählt".

Anmerkung:

Diese Option ist nur für den Familientyp "Switching" verfügbar.
VLAN
Anmerkung:

Diese Option ist nur für den Familientyp "Switching" verfügbar.

Name

Geben Sie einen eindeutigen Namen für das VLAN ein.

VLAN-ID

Geben Sie die VLAN-ID ein.
IPv4

IPv4-Adresse

Geben Sie eine gültige IPv4-Adresse für die Switching- oder Routing-Schnittstelle ein.

Subnetz-Maske

Geben Sie eine Subnetzmaske für die IPv4-Adresse ein.
IPv6-Schnittstelle

IPv6-Adresse

Geben Sie eine gültige IPv6-Adresse für die Switching- oder Routing-Schnittstelle ein.

Subnetz-Präfix

Geben Sie ein Subnetzpräfix für die IPv6-Adresse ein.
Lokaler DHCP-Server

Lokaler DHCP-Server

Aktivieren Sie diese Option, um den Switch so zu konfigurieren, dass er als erweiterter lokaler DHCP-Server fungiert.

Name des Pools

Geben Sie den Namen des DHCP-Pools ein.

Startadresse des Pools

Geben Sie die IPv4-Startadresse des Adressbereichs des DHCP-Serverpools ein. Diese Adresse muss sich innerhalb des IPv4-Netzwerks befinden.

Endadresse des Pools

Geben Sie die End-IPv4-Adresse des Adressbereichs des DHCP-Serverpools ein. Diese Adresse muss sich innerhalb des IPv4-Netzwerks befinden.

Anmerkung:

Diese Adresse muss größer sein als die Adresse, die unter Poolstartadresse angegeben ist.

Weitergeben von Einstellungen von

Wählen Sie eine Option aus der Liste aus. Weitergabe von TCP/IP-Einstellungen (z. B. DNS und Gateway-Adresse), die auf der Geräteschnittstelle als DHCP-Client empfangen werden.
Services und Protokolle

Systemservices

Wählen Sie Systemdienste aus der Liste in der Spalte Verfügbar aus, und klicken Sie dann auf den Pfeil nach rechts, um ihn in die Spalte Ausgewählt zu verschieben.

Folgende Optionen stehen zur Verfügung:

  • all: Geben Sie alle Systemservices an.

  • any-service: Spezifizieren Sie Services für den gesamten Portbereich.

  • appqoe: Geben Sie den aktiven APPQOE-Probe-Service an.

  • bootp – Geben Sie den Bootp- und DHCP-Relay-Agent-Service an.

  • dhcp: Geben Sie das dynamische Hostkonfigurationsprotokoll an.

  • dhcpv6: Aktiviert das dynamische Hostkonfigurationsprotokoll für IPv6.

  • dns: Geben Sie den DNS-Service an.

  • finger: Geben Sie den Finger-Service an.

  • ftp: Geben Sie das FTP-Protokoll an.

  • http: Geben Sie die Webverwaltung über HTTP an.

  • https: Geben Sie das Web-Management mit HTTP an, das durch SSL gesichert ist.

  • ident-reset: Geben Sie die Rücksendeanforderung TCP RST IDENT für Port 113 an.

  • ike: Geben Sie den Internet-Schlüsselaustausch an.

  • lsping: Geben Sie den Ping Service für den beschrifteten Pfad an.

  • netconf – Geben Sie den NETCONF-Service an.

  • ntp: Geben Sie das Netzwerkzeitprotokoll an.

  • ping: Geben Sie das Internet Control Message-Protokoll an.

  • r2cp – Radio-Router Control Protocol aktivieren.

  • reverse-ssh: Geben Sie den umgekehrten SSH-Dienst an.

  • reverse-telnet: Geben Sie den Reverse-Telnet-Service an.

  • rlogin: Geben Sie den Rlogin-Service an

  • rpm: Geben Sie die Leistungsüberwachung in Echtzeit an.

  • rsh: Geben Sie den Rsh-Service an.

  • snmp: Geben Sie das einfache Netzwerkmanagementprotokoll an.

  • snmp-trap: Geben Sie den Simple Network Management Protocol-Trap an.

  • ssh: Geben Sie den SSH-Dienst an.

  • tcp—encap: Geben Sie den TCP-Kapselungsservice an.

  • telnet: Geben Sie den Telnet-Service an.

  • tftp: Geben Sie das TFTP an

  • traceroute: Geben Sie den Traceroute-Service an.

  • webapi-clear-text: Geben Sie den Webapi-Service mit http an.

  • webapi-ssl: Geben Sie den Webapi-Service mit SSL-gesichertem HTTP an.

  • xnm-clear-text: Geben Sie die JUNOScript-API für unverschlüsselten Datenverkehr über TCP an.

  • xnm-ssl: Geben Sie den JUNOScript-API-Service über SSL an.

Protokolle

Wählen Sie Protokolle aus der Liste in der Spalte Verfügbar aus, und klicken Sie dann auf den Pfeil nach rechts, um sie in die Spalte Ausgewählt zu verschieben.

Folgende Optionen stehen zur Verfügung:

  • all: Gibt das gesamte Protokoll an.

  • BFD – Bidirectional Forwarding Detection.

  • BGP – Border Gateway Protocol.

  • dvmrp – Distance Vector Multicast Routing Protocol (Distanzvektor-Multicast-Routing-Protokoll).

  • igmp – Internet Group Management Protocol.

  • LDP – Label Distribution Protocol.

  • msdp – Multicast Source Discovery Protocol.

  • nhrp – Next Hop Resolution Protocol (Protokoll zur Auflösung des nächsten Hops).

  • ospf – Den kürzesten Pfad zuerst öffnen.

  • ospf3: Öffnen Sie den kürzesten Pfad, zuerst Version 3.

  • pgm – Pragmatisches allgemeines Multicast.

  • pim – Protokollunabhängiges Multicast.

  • rip – Routing Information Protocol (Routing-Informationsprotokoll).

  • ripng – Routing Information Protocol der nächsten Generation.

  • router-discovery: Router-Erkennung.

  • RSVP – Resource Reservation Protocol (Protokoll für Ressourcenreservierungen).

  • sap – Sitzungsankündigungsprotokoll.

  • vrrp – Virtual Router Redundancy Protocol.
Tabelle 4: Hinzufügen einer nicht vertrauenswürdigen Zone

Feld

Aktion
Allgemein

Schnittstelle

Wählen Sie eine Schnittstelle aus der Liste aus.

Schnittstelleneinheit

Geben Sie den Wert der Schnittstelleneinheit ein.

VLAN-ID

Geben Sie die VLAN-ID ein.

Anmerkung:

Die VLAN-ID ist zwingend erforderlich, wenn die Schnittstelleneinheit größer als Null ist.

Beschreibung

Geben Sie die Beschreibung für die Schnittstelle ein.

Adressiermethode

Wählen Sie einen Adressmodus für die Schnittstelle aus. Die verfügbaren Optionen sind DHCP-Client, PPPoE (PAP), PPPoE (CHAP) und Statische IP.

Anmerkung:

PPPoE (PAP) und PPPoE (CHAP) werden für Firwalls der SRX5000-Serie und wenn sich eines der Geräte im passiven Modus befindet, nicht unterstützt.

Nutzername

Geben Sie einen Benutzernamen für die PPPoE- (PAP) oder PPPoE- (CHAP) Authentifizierung ein.

Passwort

Geben Sie ein Kennwort für die PPPoE- (PAP) oder PPPoE- (CHAP) Authentifizierung ein.
IPv4
Anmerkung:

Diese Option ist nur für den statischen IP-Adressmodus verfügbar.

IPv4-Adresse

Geben Sie eine gültige IPv4-Adresse für die Schnittstelle ein.

Subnetzmaske

Geben Sie eine Subnetzmaske für die IPv4-Adresse ein.
IPv6-Schnittstelle
Anmerkung:

Diese Option ist nur für den statischen IP-Adressmodus verfügbar.

IPv6-Adresse

Geben Sie eine gültige IPv6-Adresse für die Schnittstelle ein.

Subnetz-Präfix

Geben Sie ein Subnetzpräfix für die IPv6-Adresse ein.
Services und Protokolle

Systemservices

Wählen Sie Systemdienste aus der Liste in der Spalte Verfügbar aus, und klicken Sie dann auf den Pfeil nach rechts, um ihn in die Spalte Ausgewählt zu verschieben.

Protokolle

Wählen Sie Protokolle aus der Liste in der Spalte Verfügbar aus, und klicken Sie dann auf den Pfeil nach rechts, um sie in die Spalte Ausgewählt zu verschieben.

Siehe auch