Juniper vSRX 基础配置

目录

一、系统初始化配置
二、两种配置方式：JunOS CLI 和 WebUI
三、端口配置
四、安全区和安全策略

一、系统初始化配置

首次登录设备时，默认的用户名为root，没有密码。登录后出现root@%，Juniper的操作系统是基于FreeBSD的，命令类似于UNIX系统（常用命令大全）。
输入cli进入命令行模式，可以先试试查看型号（然后就可以借用Juniper官网的Content Explorer来搜索对应的技术文档）：

配置一个新的root账户：

set system root-authentication plain-text-password
new password:输入新密码
retype new password:重新输入,密文显示

用vSRX模拟路由器需要一些特殊配置：

set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services all
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic protocols all
set security zones security-zone untrust interfaces lo0.0 host-inbound-traffic system-services all
set security zones security-zone untrust interfaces lo0.0 host-inbound-traffic protocols all
set security forwarding-options family inet6 mode packet-based
set security forwarding-options family mpls mode packet-based
set security forwarding-options family iso mode packet-based

二、两种配置方式：JunOS CLI 和 WebUI

1、CLI

CLI最顶层是操作模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式。
配置模式下可对各相关模块进行配置，采用分层结构，edit命令进入下一级配置，exit命令退回上一级，top命令回到根级。在配置模式下也可以使用操作模式的命令，只需在命令前加上run。
配置输入后不会立即生效，而是等待管理员提交确认（输入commit），配置内容在通过语法检查后才会生效。在commit前可通过show命令查看当前候选配置，在commit 后可通过run show config命令查看当前有效配置。
另外，rollback 0用来清空所有未commit的配置，rollback 1用来回退到上一次commit之前的配置，rollback 2是上上次，...，以此类推，最多保存50次。

2、WebUI

开机后系统会自动加载一个默认配置，设备的第一个接口（即ge-0/0/0）被划分在trust区域，并配置一个IP地址192.168.1.1，可通过该地址登录设备。首先，对指定的外网口打开https登录web功能：

set system services web-management https interface ge-0/0/0.0 system-generated-certificate

在连接到ge-0/0/0端口的主机上打开浏览器，进入192.168.1.1/login，打开登录页面，输入之前设定的用户名和密码即进入WebUI配置页面。

三、端口配置

Juniper配置端口是基于物理端口下的逻辑端口进行配置，如：
set interfaces ge-0/0/1 unit 0 family inet address 192.168.2.1
以上命令为ge-0/0/1口添加一个IP地址192.168.2.1，其中unit为逻辑端口单元，范围为0~16385。可在另外的逻辑端口为ge-0/0/0配置多个IP地址，如：

PS. 注意，在这里改变了ge-0/0/0的IP地址后，登录WebUI的地址也随之改变了哦~

四、安全区和安全策略

Juniper 防火墙中 Reject 和 Deny 的区别

Deny

Deny操作指示防火墙静默地删除会话的所有数据包。启用此选项时，防火墙不会发送任何活动控制消息，如TCP Reset或ICMP无法访问消息。大多数情况下，Deny操作适用于将资产对不受信任的资源隐藏。得不到响应使得分组的目的地识别更加困难。
通常，像NMAP和Nessus这样的扫描仪将尝试扫描并查看收到哪些响应，包括异常数据包。Deny操作使他们没有可以处理的反馈，导致扫描花费更长的时间。

Reject

当配置Reject操作时，如果协议是TCP，SRX将发送TCP异常终止（Reset报文），如果是UDP、ICMP或任何其他IP协议，SRX将发送ICMP异常终止。面对可信资源时此选项最有用，应用程序不用花费不必要的时间等待超时，而是直接获取了活动消息。
通常，不推荐在面对不受信任的资源领域时使用Reject操作，因为它使攻击者获取更多的信息，但这不是一个主要的问题，只是在这些情况下最好使用Deny操作。