1 目录 WebUI配置前准备工作 .错误 !未定义书签。 一、 设备系统配置 . .错误 !未定义书签。 1. 接口配置（静态ip） 错误 !未定义书签。 （1）创建安全Zone 错误 !未定义书签。 （2）绑定相应接口 错误 !未定义书签。 2. 接口配置（pppoe） 错误 !未定义书签。 （1）封装端口为ppp-over-ether 错误 !未定义书签。 （2）ppp-options配置 错误 !未定义书签。 （3）pppoe-options配置 错误 !未定义书签。 （4）Family属性配置 错误 !未定义书签。 二、 交换机 vlan 模式配置 . .错误 !未定义书签。 1. 创建VLAN（RVI） 错误 !未定义书签。 2. 创建安全Zone并绑定相应RVI 错误 !未定义书签。 三、 N AT及其策略配置.错误 !未定义书签。 1. 源地址NAT 错误 !未定义书签。 （1）基于接口的源地址NAT 错误 !未定义书签。 1) 创建NAT规则 错误 !未定义书签。 2) 创建策略 错误 !未定义书签。 （2）基于Pool的源地址NAT 错误 !未定义书签。 1) 创建NAT规则 错误 !未定义书签。 2)Proxy arp 错误 !未定义书签。 3) 创建策略 错误 !未定义书签。 2. 目的地址NAT 2 错误 !未定义书签。 （1）创建NAT规则 错误 !未定义书签。 （2）创建策略 错误 !未定义书签。 1) 创建地址列表 错误 !未定义书签。 2) 创建服务列表 错误 !未定义书签。 3) 创建策略并调用相关地址及服务 错误 !未定义书签。 3.Static NAT 错误 !未定义书签。 （1）创建NAT规则 错误 !未定义书签。 （2）创建策略 错误 !未定义书签。 1) 创建地址列表 错误 !未定义书签。 2) 创建服务列表 错误 !未定义书签。 3) 创建策略并调用相关地址及服务 错误 !未定义书签。 四、 IPSec VPN配置 .错误 !未定义书签。 1.Site-to-Site VPN 错误 !未定义书签。 （1）基于策略的IPSec VPN（main模式） 错误 !未定义书签。 1) 基本配置 错误 !未定义书签。 2)Phase 1配置 错误 !未定义书签。 A.创建phase 1 proposal 错误 !未定义书签。 B.创建IKE Policy 错误 !未定义书签。 C.创建Gateway 错误 !未定义书签。 3)Phase 2配置 错误 !未定义书签。 A.创建phase 2 proposal 错误 !未定义书签。 B.创建IPSec Policy 错误 !未定义书签。 3 C.创建Autokey 错误 !未定义书签。 4) 策略 错误 !未定义书签。 （2）基于策略的IPSec VPN（aggressive模式） 错误 !未定义书签。 1) 基本配置 错误 !未定义书签。 2)Phase 1配置 错误 !未定义书签。 A.创建phase 1 proposal 错误 !未定义书签。 B.创建IKE Policy 错误 !未定义书签。 C.创建Gateway 错误 !未定义书签。 3)Phase 2配置 错误 !未定义书签。 A.创建phase 2 proposal 错误 !未定义书签。 B.创建IPSec Policy 错误 !未定义书签。 C.创建Autokey 错误 !未定义书签。 4) 策略 错误 !未定义书签。 （3）基于路由的IPSec VPN （VPN Wizards配置方式） 错误 !未定义书签。 1) 基本配置 错误 !未定义书签。 2) 使用J-Web的VPN Wizards配置 错误 !未定义书签。 2.Dynamic VPN 错误 !未定义书签。 （1）基本配置 错误 !未定义书签。 （2）Dynamic vpn配置步骤 错误 !未定义书签。 1) 典型配置方式 错误 !未定义书签。 A.定义VPN拨号用户及地址池 错误 !未定义书签。 B.定义IPSec VPN 错误 !未定义书签。 4 C.将拨号用户与VPN相关联 错误 !未定义书签。 D.策略 错误 !未定义书签。 2)VPN Wizards配置方式 错误 !未定义书签。 （3）登录 错误 !未定义书签。 5 WebUI配置前准备工作 SRX系列设备默认是没有开启WEB 服务的，因此我们需要通过console 进入 CLI，给设 备配置一个管理IP，并开启http服务，以便于PC可以通过web界面登录至SRX进行配置 管理。 命令行配置参考如下： set system services web-management http set interfaces ge-0/0/15 unit 0 family inet address /24 set security zones functional-zone management interfaces ge-0/0/ set security zones functional-zone management host-inbound-traffic system-services all 连接 PC至 SRX的 ge-0/0/15口，配置PC网卡为 /24 网段，打开IE 浏览器，输入，出 现如下登录界面 输入用户名、密码，点击“Log In ”即可。 点击“ Dashboard” ，可观察当前设备的系统状态、告警信息、资源利用率等，如下图。 6 一、设备系统配置 1. 接口配置（静态ip ） 拓扑如下 7 （1） 创建安全 Zone 根据拓扑，我们需要把Ge-0/0/4绑定至 Untrust Zone，Ge-0/0/3绑定至 Trust Zone ， 那么我们就需要创建2 个安全 Zone，分别为 Untrust Zone 和 Trust Zone，并绑定相应端口。 点击“ Security”“Zones/Screens ” ，然后点击“ Add” ， 在当前弹出窗口的“Zone name ”文本框中，填入“untrust” ，并保持“ Zone type ”默 认的“ security”类型不变，如下图所示 为便于测试，我们还需要将ping 服务打开，点击“Host inbound traffic - Zone” ， 在“ Services ”栏中选择“Ping” ，然后点击“OK ”即可。 8 同样，我们按照相同步骤再添加一个trust zone，并开启相关services。 命令行配置参考如下： set security zones security-zone untrust set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone trust set security zones security-zone trust host-inbound-traffic system-services all （2） 绑定相应接口 点击“ Interfaces” ，在端口列表中选中“Ge-0/0/3 ” ，然后点击“Add” “ Logical Interface” 9 在弹出的端口配置窗口中，配置如下信息： 然后，我们再按照相同步骤，配置“Ge-0/0/4 ”端口的相应信息。 10 命令行配置参考如下： set interfaces ge-0/0/3 unit 0 family inet address /24 set interfaces ge-0/0/4 unit 0 family inet address /24 set security zones security-zone untrust interfaces ge-0/0/ set security zones security-zone trust interfaces ge-0/0/ 注：在 Juniper的 ScreenOS系列防火墙中，必须先创建Zone，然后才能配置端口，而 在 SRX系列中，并不是必须遵循这一顺序的，我们可以先创建Zone再配置端口，也可以先 配置端口再创建Zone。 1、 交换机 vlan 模式配置 拓扑如下 11 如下图所示，我们需要创建2 个 Vlan ，将 Ge-0/0/1和 Ge-0/0/2绑定至 Vlan 100 ，将 Ge-0/0/3和 Ge-0/0/4绑定至 Vlan 10，并将这 2个 Vlan 分别绑定至Untrust zone 和 Trust zone。 1. 创建 VLAN （RVI） 点击“ Switching ”“VLAN ” ，然后点击“ Add”创建一个Vlan， 在弹出窗口中，填入VLAN Name及 VLAN ID，如下图所示： 12 然后在“ Ports ”选项栏，点击“Add” ，将 Ge-0/0/1和 Ge-0/0/2绑定至该Vlan ，如 下图所示： 在“IP address”选项栏中，填写IP 如下： 13 完成以上配置后，点击“OK ” ，SRX将自动给我们创建的VALN 100 分配一个unit值（从 0 开始分配），该值在web界面上不可修改，如下图所示： 完成以上配置后，我们再按照相同步骤创建一个Vlan 10 。 （略） 注：在 Web界面的端口列表中，不会显示Vlan 端口及相关信息，所以无法对vlan 端口 的 unit值进行修改，如果需要修改，只能通过CLI 进行操作。 14 2. 创建安全 Zone 并绑定相应RVI 点击 “Security” “Zones/Screens ” ， 然后点击“Add” ， 在弹出窗口中， 创建一个Untrust Zone，并将绑定至该zone，如下图所示， 为便于测试，建议在Host inbound traffic选项栏中，将ping 打开。 按照相同步骤，再创建一个Trust zone，并将绑定至trust zone，如下图 15 2、 NAT及其策略配置 1. 源地址 NAT （1） 基于接口的源地址NAT 拓扑如下 1) 创建 NAT规则 点击“ NAT ”“Source NAT” ，在“ Source Rule Set”当前界面下，点击“Add”创建 一条 Rule Set ，如下图 在“Add Rule Set”弹出窗口中，定义“Rule Set Name ”名为nat-src-int，并选择 From Zone 为 trust，To Zone 为 untrust，然后点击“Add”创建一条“ Rule ” ， 16 在“Add Rule ”弹出窗口中，给该rule 命名为“ 1” ，然后定义“ Soure Address ”为/0 ， “Destination Address ”为 /0 ，并在“ Action ”选项栏中选择“Do Source NAT With Egress Interface Address” ，其余保持默认，点击“OK ” ，即可。 2) 创建策略 点击“ Security”“ Policy ”“FW Policies” ，然后点击“ Add”创建一条策略， 17 在策略弹出窗口中，设置如下参数： Policy Name ：1 From Zone：trust To Zone ：untrust S