从零上手Juniper SRX300防火墙：手把手配置DHCP、NTP和Web管理（含安全策略）

从零上手Juniper SRX300防火墙：手把手配置DHCP、NTP和Web管理（含安全策略）

当你第一次拿到Juniper SRX300防火墙时，可能会被它复杂的配置界面和术语吓到。别担心，这篇文章将带你从开箱到基础服务上线，一步步完成配置。我们将重点讲解DHCP、NTP和Web管理这三个核心服务的配置，同时也会涉及安全策略的设置，确保你的小型办公室或家庭实验室网络既可用又安全。

1. 初始设置与系统配置

在开始任何具体服务配置前，我们需要先完成防火墙的基础设置。这包括恢复出厂设置、设置管理员账户和密码、配置主机名和时区等。这些步骤看似简单，但却是确保设备安全稳定运行的基础。

首先，我们需要通过CLI连接到设备。使用控制台线连接后，你会看到命令行界面。输入以下命令进入配置模式：

cli configure

接下来，建议先恢复出厂设置，确保设备处于干净状态：

load factory-default

设置root密码是保护设备的第一步。Juniper推荐使用加密密码，但为了方便演示，我们先使用明文密码：

set system root-authentication plain-text-password

输入命令后，系统会提示你输入并确认密码。为了安全起见，建议创建额外的管理员账户：

set system login user admin uid 2001 set system login user admin class super-user set system login user admin authentication plain-text-password

配置主机名和时区也很重要，特别是当你管理多台设备时：

set system host-name SRX300-Office set system time-zone Asia/Shanghai

别忘了提交配置并保存：

commit save

2. 网络接口与基础服务配置

2.1 接口配置

SRX300的接口配置是其网络功能的核心。我们需要明确区分信任区(trust)和非信任区(untrust)的接口。首先，我们创建VLAN和对应的逻辑接口：

set vlans vlan-untrust vlan-id 4 set vlans vlan-untrust l3-interface irb.1

然后配置接口的安全区域：

set security zones security-zone trust interfaces irb.0 set security zones security-zone untrust interfaces irb.1

为接口分配IP地址是下一步。假设我们的内网使用192.168.2.0/24网段：

set interfaces irb unit 0 family inet address 192.168.2.1/24

对于WAN口，我们需要配置公网IP和默认路由：

set interfaces irb unit 1 family inet address 10.0.0.2/24 set routing-options static route 0.0.0.0/0 next-hop 10.0.0.1

2.2 NTP服务配置

网络时间协议(NTP)对于防火墙至关重要。准确的时间不仅是日志分析的基础，也是许多安全协议(如证书验证)的前提。配置NTP服务很简单：

set system ntp server pool.ntp.org

为了提高可靠性，可以配置多个NTP服务器：

set system ntp server 0.pool.ntp.org set system ntp server 1.pool.ntp.org set system ntp server 2.pool.ntp.org

验证NTP同步状态：

run show ntp associations

3. DHCP服务配置

DHCP服务可以自动为内网设备分配IP地址，大大简化网络管理。在SRX300上配置DHCP需要以下几个步骤：

首先，删除默认的DHCP地址池（如果存在）：

delete access address-assignment pool junosDHCPPool

然后创建新的地址池并定义IP范围：

set access address-assignment pool lanDHCPPool family inet network 192.168.2.0/24 set access address-assignment pool lanDHCPPool family inet range lanRange low 192.168.2.30 set access address-assignment pool lanDHCPPool family inet range lanRange high 192.168.2.200

配置DHCP选项，包括网关和DNS服务器：

set access address-assignment pool lanDHCPPool family inet dhcp-attributes router 192.168.2.1 set access address-assignment pool lanDHCPPool family inet dhcp-attributes name-server 202.106.0.20

最后，将DHCP服务绑定到内网接口：

set access address-assignment pool lanDHCPPool family inet dhcp-attributes propagate-settings irb.0

验证DHCP服务是否正常运行：

run show system services dhcp server binding

4. Web管理界面配置

虽然CLI功能强大，但Web界面提供了更直观的管理方式。SRX300默认使用HTTPS管理，但我们可以做一些安全增强。

首先，启用SSH服务（比Telnet更安全）：

set system services ssh root-login allow set system services ssh protocol-version v2

修改Web管理端口（避免使用默认端口增加安全性）：

set system services web-management http port 30000 set system services web-management https port 30001

限制Web管理访问的接口：

set system services web-management http interface irb.0 set system services web-management https interface irb.0

配置安全区域允许管理流量：

set security zones security-zone trust interfaces irb.0 host-inbound-traffic system-services https set security zones security-zone trust interfaces irb.0 host-inbound-traffic system-services ssh

5. 安全策略配置

安全策略是防火墙的核心功能。我们需要定义不同安全区域之间的流量规则。

基本的信任区到非信任区的放行策略：

set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit

内部信任区之间的策略：

set security policies from-zone trust to-zone trust policy internal-traffic match source-address any set security policies from-zone trust to-zone trust policy internal-traffic match destination-address any set security policies from-zone trust to-zone trust policy internal-traffic match application any set security policies from-zone trust to-zone trust policy internal-traffic then permit

对于从外部访问内部的策略，应该更加严格：

set security policies from-zone untrust to-zone trust policy external-access match source-address any set security policies from-zone untrust to-zone trust policy external-access match destination-address 192.168.2.1/32 set security policies from-zone untrust to-zone trust policy external-access match application junos-https set security policies from-zone untrust to-zone trust policy external-access then permit

6. 配置验证与故障排除

完成所有配置后，验证各项服务是否正常工作至关重要。

检查接口状态：

run show interfaces terse

验证DHCP租约：

run show system services dhcp server binding

测试NTP同步：

run show ntp status

检查安全策略命中情况：

run show security policies hit-count

如果遇到问题，可以查看系统日志：

run show log messages

或者检查特定服务的日志：

run show log dhcpd

记住，每次修改配置后都需要提交：

commit

如果新配置导致网络中断，可以回滚到之前的版本：

rollback 1 commit

7. 高级配置建议

完成基础配置后，可以考虑以下增强措施：

1. 配置syslog：将日志发送到中央日志服务器

   set system syslog host 192.168.2.100 any any

2. 设置SNMP：用于监控设备状态

   set snmp community public authorization read-only

3. 启用J-Web访问限制：只允许特定IP访问管理界面

   set system services web-management https interface irb.0.0 host 192.168.2.50/32

4. 配置自动备份：定期备份配置到TFTP服务器

   set system archival configuration transfer-on-commit set system archival configuration archive-sites tftp://192.168.2.100/config/ password

5. 设置配置锁：防止多人同时修改配置

   set system login user admin configuration-mode exclusive

在实际部署中，我发现将常用命令保存为脚本可以大大提高效率。例如，创建一个包含所有基础配置的脚本，在新设备上直接运行可以节省大量时间。另外，定期检查系统资源使用情况也很重要：

run show system resource-monitor

通过以上步骤，你的SRX300防火墙已经具备了基础但完整的功能，能够满足小型办公室或实验室的网络需求。随着使用经验的积累，你可以进一步探索更高级的功能，如VPN、流量整形和深度包检测等。