【正文】 Application 同樣允許通過(guò)定義 applicationset 來(lái)包含多個(gè) application，以方便策略引用。 SRX 常用功能配置 zone配置 Zone 是共享相同安全級(jí)別的一組網(wǎng)絡(luò)接口的集合。通過(guò)下面的命令，觀察輸出的 Status 域的狀態(tài)： userhost show chassis environment Juniper SRX 防火墻快速安裝手冊(cè) 神州數(shù)碼（中國(guó)）有限公司 第 23 頁(yè) 共 33 頁(yè) ... ? 如果有風(fēng)扇盤(pán)發(fā)生故障，可以通過(guò)觀察判斷出哪一個(gè)風(fēng)扇除了問(wèn)題。 [edit] root set security zones securityzone untrust interfaces fe0/0/0 [edit] root set security zones securityzone trust interfaces fe0/0/1 8. 在內(nèi)網(wǎng)區(qū)域 trust zone 內(nèi)放行系統(tǒng)管理的流量，默認(rèn)情況下，外網(wǎng)口禁止 tel和 web 管理的訪問(wèn)流 量。 root set system rootauthentication plaintextpassword New password: Retype new password: 2. 配置 hostname [edit] root set system hostname SRX100 3. 配置時(shí)區(qū) [edit] root set system timezone GMT+8 4. 配置登錄登錄權(quán)限及用戶名密碼，這里配置了 一個(gè)名為 lab，權(quán)限為超級(jí)用戶的登錄用戶。 . 開(kāi)始配置 根據(jù)測(cè)版本開(kāi)機(jī)配置可以實(shí)現(xiàn)小型分支機(jī)構(gòu)的網(wǎng)絡(luò)基本連通，內(nèi)網(wǎng)的私網(wǎng)地址可以通過(guò) 源 NAT 為外網(wǎng)接口地址訪問(wèn) Inter。 在啟動(dòng)過(guò)程中， 按住設(shè)備前 的 reset 按鈕 15 秒以上再放手，則設(shè)備密碼及配置會(huì)自動(dòng)恢復(fù)成出廠默認(rèn)配置 2. 進(jìn)入配置模式，設(shè)置新的 root 密碼： Juniper SRX 防火墻快速安裝手冊(cè) 神州數(shù)碼（中國(guó)）有限公司 第 12 頁(yè) 共 33 頁(yè) root configure Entering configuration mode [edit] root set system rootauthentication plaintextpassword New password: Retype new password: 3. 重新啟動(dòng)后， 設(shè)備 恢復(fù)正常。 3. 在提示符下輸入下面的命令： userhost request system reboot 4. 等待 console 設(shè)備的輸出， 確認(rèn) 設(shè)備 軟件已經(jīng) 重新啟動(dòng) 。設(shè)置如下： ? 端口：選擇第二步中 Console 線纜插入到 PC上的端口，通常為 COM 1或者COM 2 ? 波特率： 9600 ? 數(shù)據(jù)位： 8 位 ? 停止位： 1 位 ? 流控：無(wú) 4. 打開(kāi)配置到的 SecureCRT 或者超級(jí)終端，按“ Enter”鍵，屏幕出現(xiàn)登陸的提示符，即連接成功。 更多的信息請(qǐng)參考下面的網(wǎng)站： JUNOS : SRX 硬件手冊(cè) : . 文檔術(shù)語(yǔ) Air Filter 空氣過(guò)濾 網(wǎng) ESD Point 靜電釋放點(diǎn) Fan Tray 風(fēng)扇盤(pán) PEM(Power Equipment Modules) 電源模塊 Craft Interface 控制面板 RE： Routing Engine 路由引擎 SFB: Switch Fabric Board 交換矩陣 板 PFE： Packet Forwarding Engine 轉(zhuǎn)發(fā)引擎 FRU： Fieldreplaceable unit 可 現(xiàn)場(chǎng) 更換部件 DPC： Dense Port Concentrators 高密度接口卡 FPC ： Flexible PIC Concentrator 物理接口匯聚卡 PIC： Physical Interface Card 物理接口卡 SPC： Services Processing Cards 業(yè)務(wù)處理卡 NPC： Network Processing Cards 網(wǎng) 絡(luò)處理卡 IOC ： Input Output cards 接口卡 SFP： Small Factor Pluggable 小型可插拔光收發(fā)器 ， 適用千兆以太網(wǎng) Juniper SRX 防火墻快速安裝手冊(cè) 神州數(shù)碼（中國(guó)）有限公司 第 8 頁(yè) 共 33 頁(yè) 2. SRX 基本操作 JUNOS軟件是專(zhuān)門(mén)為互聯(lián)網(wǎng)設(shè)計(jì)的第一種路由操作系統(tǒng)。 與近 50家國(guó)際著名 IT 廠商建立長(zhǎng)期戰(zhàn)略合作伙伴關(guān)系，合作的渠道伙伴超過(guò) 4500家 ,目前已搭建由渠道市場(chǎng)、產(chǎn)品市場(chǎng)、解決方案及行業(yè)市場(chǎng)、技術(shù)支持、維修支持、培訓(xùn)支持構(gòu)成Juniper SRX 防火墻快速安裝手冊(cè) 神州數(shù)碼（中國(guó)）有限公司 第 6 頁(yè) 共 33 頁(yè) 的渠道支持系統(tǒng)，形成以北京、上海、廣州三大區(qū)域銷(xiāo)售中心、全國(guó)十五大平臺(tái)、八個(gè)辦事處為分銷(xiāo)平臺(tái)的銷(xiāo)售網(wǎng)絡(luò)，區(qū)域覆蓋達(dá) 40 余個(gè)地市。今天 , Juniper網(wǎng)絡(luò)公司通過(guò)以下努力 , 幫助全球客戶轉(zhuǎn)變他們的網(wǎng)絡(luò)經(jīng)濟(jì)模式 , 從而建立強(qiáng)大的競(jìng)爭(zhēng)優(yōu)勢(shì)： ? 保護(hù)網(wǎng)絡(luò)安全 , 以抵御日益頻繁復(fù)雜的攻擊 ? 利用網(wǎng)絡(luò)應(yīng)用和服務(wù)來(lái)取得市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì) ? 為客戶和業(yè)務(wù)合作伙伴提供安全的定制方式來(lái)接入遠(yuǎn)程資源 Juniper網(wǎng)絡(luò)公司通過(guò)其專(zhuān)用平臺(tái)及先進(jìn)軟件 , 推動(dòng)業(yè)界邁出了創(chuàng)新的一步。 本《手冊(cè)》中介紹的許多 Juniper 網(wǎng)絡(luò)公司產(chǎn)品和服務(wù)都提供了書(shū)面軟件許可和有限保修。這些許可和保修為此類(lèi)產(chǎn)品的購(gòu)買(mǎi)者提供某些權(quán)利。Juniper網(wǎng)絡(luò)公司被公認(rèn)是開(kāi)發(fā)用于高性能智能網(wǎng)絡(luò)的半導(dǎo)體及軟件的佼佼者 ， 一直走在業(yè)界創(chuàng)新的前沿，并通過(guò)這些創(chuàng)新不斷推動(dòng)其所支持的網(wǎng)絡(luò)及企業(yè)實(shí)現(xiàn)轉(zhuǎn)型。 神州數(shù)碼 系統(tǒng)網(wǎng)絡(luò) 事業(yè)部 是全球領(lǐng)先的網(wǎng)絡(luò)和安全解決方案供應(yīng)商 Juniper網(wǎng)絡(luò)公司的總分銷(xiāo)商，是 全球知名提供通訊服務(wù)的領(lǐng)導(dǎo)者 Nortel公司在中國(guó)的總代理， 是智能應(yīng)用交換機(jī)全球領(lǐng)導(dǎo)者 Radware公司和 世界領(lǐng)先的下一代企業(yè)移動(dòng)系統(tǒng)供應(yīng)商 Aruba無(wú)線網(wǎng)絡(luò)公司 在中國(guó)的總分銷(xiāo)商，以及是網(wǎng)絡(luò)安全軟件及服務(wù)領(lǐng)域的佼佼者趨勢(shì)科技（ Trendmicro）有限公司在中國(guó)的解決方案提供商。它運(yùn)行在 Juniper 網(wǎng)絡(luò)公司的所有 T系列、 M/MX系列和 J系列路由器 以及 SRX 系列集成安全網(wǎng)關(guān) 上， 被部署在全球最大、增長(zhǎng)最迅速的網(wǎng)絡(luò)中。如果沒(méi)有顯示，請(qǐng)檢查線纜或者終端的配置是否正確。 如果要進(jìn)行電源關(guān)閉的重新啟動(dòng)，請(qǐng)參閱“ 設(shè)備關(guān)閉 ”，在重新開(kāi)啟電源之前必須等待60 秒。 3. SRX 基本管理配置介紹 . JUNOS CLI Shell模式 用 root 用戶登錄時(shí)，先進(jìn)入的是 shell模式，提示符為： %，必須輸入 cli命令后才能進(jìn)入用戶模式進(jìn)行對(duì)設(shè)備的操作；如果以非 root 用戶登錄，則直接進(jìn)入用戶模式。 Juniper SRX 防火墻快速安裝手冊(cè) 神州數(shù)碼（中國(guó)）有限公司 第 16 頁(yè) 共 33 頁(yè) 開(kāi)機(jī)登錄 1. 第一次開(kāi)機(jī)登錄用戶名為 root，密碼為空。 Junos 系統(tǒng)的要求密碼最少為六位，而且必須包含字母和數(shù)字。 [edit] rootset security zones securityzone trust hostinboundtraffic systemservices tel [edit] root set security zones securityzone trust hostinboundtraffic systemservices 9. 配置允許內(nèi)網(wǎng)到外網(wǎng)的流量和策略。然后再處理。 SRX3K/5K 的所有接口默認(rèn)都放在null zone 內(nèi)。 配置舉例： set applications application 8080 protocol tcp set applications application 8080 sourceport 165535 set applications application 8080 destinationport 8080 SRX 的 安全策略配置里 必須包含以下要素： Juniper SRX 防火墻快速安裝手冊(cè) 神州數(shù)碼（中國(guó)）有限公司 第 27 頁(yè) 共 33 頁(yè) ? Fromzone ? Tozone ? Policy name ? Match sourceaddress ? Match destinationaddress ? Match application ? Then action(permit,deny,log,idp policy 等等 ) 配置舉例： set security policies fromzone trust tozone untrust policy 1020 match sourceaddress set security policies fromzone trust tozone untrust policy 1020 match destinationaddress webserver set security policies fromzone trust tozone untrust policy 1020 match application 8080 set security policies fromzone trust tozone untrust policy 1020 match application junos set security policies fromzone trust tozone untrust policy 1020 then permit set security policies fromzone trust tozone untrust policy 1020 then log sessionclose SRX NAT配置介紹 SRX 的 NAT 配置與 ScreenOS顯著不同，為保證系統(tǒng) 的靈活性， SRX 把 NAT 配置從安全策略里剝離出來(lái)，單獨(dú)成為一個(gè)層次：即 在 SRX JUNOS中 安全策略只負(fù)責(zé)控制 業(yè)務(wù) 數(shù)據(jù)的轉(zhuǎn)發(fā)與否， NAT 策略只控制 業(yè)務(wù)數(shù)據(jù)的 源 地址和 端口的翻譯規(guī)則，兩者 各自獨(dú)立 。系統(tǒng)預(yù)定義的業(yè)務(wù)類(lèi)型名字都是以 ”junos“開(kāi)頭的。 配置文件查看 配置文件可從維護(hù)模式 (提示符 )下查看 labSRX show configuration 配置文件也可從配置 模式 (提示符 )下查看 ,注意配置模式下看得配置文件是當(dāng)前正在編輯的配置文件 ,跟系統(tǒng)當(dāng)前運(yùn)行的配置文件不一定一致 . labSRX show JUNOS 默認(rèn)情況下用層次化的結(jié)構(gòu)來(lái)顯示配置，不同層次間用 {}區(qū)分，如果管理員習(xí)慣看直接輸入的命令格式，可以通過(guò)管道符把輸出送到 display options 里去改變格式，比如 ： labSRX show configuration | display set 配置文件提交 每次配置更改后都需要 ”mit”提交 Juniper SRX 防火墻快速安裝手冊(cè) 神州數(shù)碼（中國(guó)）有限公司 第 25 頁(yè) 共 33 頁(yè) 常用功能及典型配置 安全策略是在 SRX 上定義的一系列規(guī)則告訴 SRX 如何處理在各個(gè)安全域 (zone)之間或同一安全域內(nèi)各個(gè)接口之間轉(zhuǎn)發(fā)的報(bào)文應(yīng)該如何處理，比如對(duì)其進(jìn) 行轉(zhuǎn)發(fā) (permit)，丟棄(deny), NAT， IPsec VPN 加解密 , IPS 入侵防御檢查或防病毒檢查等等 。 要檢查風(fēng)扇盤(pán)，執(zhí)行下面的步驟： ? 通過(guò) CLI 命令行檢查電源模塊狀態(tài)