&Juniper SRX系列防火墙WEB配置实例
秒后自动跳转到登录页
(奖励10下载豆)
快捷登录：
举报类型：
不规范：上传重复资源
不规范：标题与实际内容不符
不规范：资源无法下载或使用
其他不规范行为
违规：资源涉及侵权
违规：含有危害国家安全等内容
违规：含有反动/色情等内容
违规：广告内容
详细原因：
任何违反下载中心规定的资源，欢迎Down友监督举报，第一举报人可获5-10下载豆奖励。
深入理解Neutron --
IP地址详解---帮你搞
2015最具经典的VPN完
企业网络故障处理专
从零开始学习黑客技
网络基础技术学习笔
自制首发新书《Cisc
Juniper SRX系列防火墙WEB配置实例
上传时间：
技术分类：
资源评价：
（6位用户参与评价）
已被下载&65&次
Juniper SRX系列防火墙WEB配置实例
本资料共包含以下附件：
Juniper SRX系列防火墙WEB配置实例.pdf
51CTO下载中心常见问题：
1.如何获得下载豆？
1)上传资料
2)评论资料
3)每天在首页签到领取
4)购买VIP会员服务，无需下载豆下载资源
5)更多途径：
2.如何删除自己的资料？
下载资料意味着您已同意遵守以下协议：
1.资料的所有权益归上传用户所有
2.未经权益所有人同意，不得将资料中的内容挪作商业或盈利用途
3.51CTO下载中心仅提供资料交流平台，并不对任何资料负责
4.本站资料中如有侵权或不适当内容，请邮件与我们联系（）
5.本站不保证资源的准确性、安全性和完整性, 同时也不承担用户因使用这些资料对自己和他人造成任何形式的伤害或损失
下载1012次
下载1145次
相关专题推荐
好网管，还要有好工具！但工具下载谈
综合布线是一种模块化的、灵活性极高
数字监控系统可实现数字影像监控以及
本专题收集了各种思科路由器和交换机
本专题收集了10套华为新员工技术培训
本专题为CISCO公司内部网络技术培训视
本视频教程涉及内容：网络安全的基本
Cisco的网际操作系统（IOS）是一个为
网络管理员行业对网络管理员的要求基
Wireshark不会侦测软件对于网络造成的
本专题精心收录思科各类网络数通设备
本专题精心收录H3C各类网络数通设备最
本专题精心收录华为各类网络数通设备
本视频以卷一为主线，实验为基准，辅
国内一位网络专家的TCPIP 详解视频，
Packet Tracer 5.0是Cisco公司针对其
本周下载热点
意见或建议：
联系方式：
您已提交成功！感谢您的宝贵意见，我们会尽快处理 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
Juniper_SRX防火墙Web配置手册
下载积分：1000
内容提示：juniper srx防火墙配置手册
文档格式：DOC|
浏览次数：191|
上传日期： 03:01:19|
文档星级：
该用户还上传了这些文档
Juniper_SRX防火墙Web配置手册
官方公共微信Juniper SRX防火墙简明配置手册 -五星文库
免费文档下载
Juniper SRX防火墙简明配置手册
导读：此配置参数要求输入的口令应是经加密算法加密后的字符串，才能执行commit提交后续配置命令，2.1.4远程管理SRX相关配置，/***配置逻辑接口地址及缺省路由，SRX接口要求IP地址必须配置在逻辑接口下（类似ScreenOS的子接口），Policy配置方法与ScreenOS基本一致，仅在配置命令上有所区别，其中策略的允许/拒绝的动作（Action）需要额外配置一条then语句(将Scr，配置
密码将以密文方式显示
root# show system root-authentication
encrypted-password &$1$xavDeUe6$fNM6olGU.8.M7B62u05D6.&; # SECRET-DATA 注意：强烈建议不要使用其它加密选项来加密root和其它user口令(如
encrypted-password加密方式)，此配置参数要求输入的口令应是经加密算法加密后的字符串，采用这种加密方式手工输入时存在密码无法通过验证风险。
注：root用户仅用于console连接本地管理SRX，不能通过远程登陆管理SRX，必须成功设置root口令后，才能执行commit提交后续配置命令。
2.1.3设置远程登陆管理用户
root# set system login user lab class super-user authentication plain-text-password root# new password : lab123
root# retype new password: lab123
注：此lab用户拥有超级管理员权限，可用于console和远程管理访问，另也可自行灵活定义其它不同管理权限用户。
2.1.4远程管理SRX相关配置
run set date YYYYMMDDhhmm.ss
/***设置系统时钟***/
set system time-zone Asia/Shanghai
/***设置时区为上海***/
set system host-name SRX3400-A
/***设置主机名***/
set system name-server 1.1.1.1
/***设置DNS服务器***/
set system services ftp
set system services telnet
set system services web-management http
/***在系统级开启ftp/telnet/http远程接入管理服务***/
set interfaces ge-0/0/0.0 family inet address 10.1.1.1/24
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24
set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/24
set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
/***配置逻辑接口地址及缺省路由，SRX接口要求IP地址必须配置在逻辑接口下（类似ScreenOS的子接口），通常使用逻辑接口0即可***/
set security zones security-zone untrust interfaces ge-0/0/0.0
/***将ge-0/0/0.0接口放到untrust zone去，类似ScreenOS***/
set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic system-services http set security zones security-zone untrust host-inbound-traffic system-services telnet
/***在untrust zone打开允许远程登陆管理服务，ScreenOS要求基于接口开放服务，SRX要求基于Zone开放，从SRX主动访问出去流量开启服务，类似ScreenOS***/
2.2 Policy
Policy配置方法与ScreenOS基本一致，仅在配置命令上有所区别，其中策略的允许/拒绝的动作（Action）需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上
配置语句)。Policy需要手动配置policy name，policy name可以是字符串，也可以是数字（与ScreenOS的policy ID类似,只不过需要手工指定）。
set security zones security-zone trust address-book address pc1 10.1.1.10/32 set security zones security-zone untrust address-book address server1 10.0.2.1/32 /***与ScreenOS一样，在trust和untrust zone下分别定义地址对象便于策略调用，地址对象的名称可以是地址/掩码形式***/
set security zones security-zone trust address-book address-set addr-group1 address pc1
/***在trust zone下定义名称为add-group1的地址组，并将pc1地址放到该地址组中***/ set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application any
set security policies from-zone trust to-zone untrust policy 001 then permit /***定义从trust 到untrust方向permit策略，允许addr-group1组的源地址访问server1地址any服务***/
SRX NAT较ScreenOS在功能实现方面基本保持一致，但在功能配置上有较大区别，配置的主要差异在于ScreenOS的NAT与policy是绑定的，无论是MIP/VIP/DIP还是基于策略的NAT，在policy中均要体现出NAT内容（除了缺省基于untrust接口的Souec-NAT模式外），而SRX 的NAT则作为网络层面基础内容进行独立配置（独立定义地址映射的方向、映射关
系及地址范围），Policy中不再包含NAT相关配置信息，这样的好处是易于理解、简化运维，当网络拓朴和NAT映射关系发生改变时，无需调整Policy配置内容。
SRX NAT和Policy执行先后顺序为：目的地址转换－目的地址路由查找－执行策略检查－源地址转换，结合这个执行顺序，在配置Policy时需注意：Policy中源地址应是转换前的源地址，而目的地址应该是转换后的目的地址，换句话说，Policy中的源和目的地址应该是源和目的两端的真实IP地址，这一点和ScreenOS存在区别，需要加以注意。
SRX中不再使用MIP/VIP/DIP这些概念，其中MIP被Static静态地址转换取代，两者在功能上完全一致；DIP被Source NAT取代；基于Policy的目的地址转换及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址转换被保留下来，但在SRX中不再是缺省模式（SRX中Trust Zone接口没有NAT模式概念），需要手工配置。类似ScreenOS，Static属于双向NAT，其他类型均属于单向NAT，
此外，SRX还多了一个proxy-arp概念，如果定义的IP Pool（可用于源或目的地址转换）与接口IP在同一子网时，需配置SRX对这个Pool内的地址提供ARP代理功能，这样对端设备能够解析到IP Pool地址的MAC地址（使用接口MAC地址响应对方），以便于返回报文能够送达SRX。下面是配置举例及相关说明：
2.3.1 Interface based NAT
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
包含总结汇报、IT计算机、外语学习、文档下载、党团工作、行业论文、旅游景点、办公文档、专业文献、计划方案、应用文书以及Juniper SRX防火墙简明配置手册 等内容。本文共6页
相关内容搜索juniper srx240系列的机器，我现在打不开ge0/0/1口的web管理，ge0/0/0口无法管理，请大家看看我的配置_百度知道
juniper srx240系列的机器，我现在打不开ge0/0/1口的web管理，ge0/0/0口无法管理，请大家看看我的配置
16.248和172;1口.168;0&#47我想实现的是除了192，求指点.250走ge0/0/0其他所有的都走ge0&#47.1.200
我有更好的答案
很简单，使用源路由即可，具体设置需要看你的网络架构。
没有看到配置
其他类似问题
为您推荐：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁