Hướng dẫn cấu hình Firewall Juniper SRX320
Th8
Cấu hình bằng giao diện WEB
Kết nối và đăng nhập vào thiết bị bằng giao điện J-Web.
Bật firewall Juniper lên, nó sẽ tìm kiếm máy chủ DHCP và nếu nó không tìm thấy máy chủ, nó sẽ gán một địa chỉ IP trong mạng con 192.168.1.0/24 cho bất kỳ thiết bị nào được kết nối với nó, vì vậy bạn chỉ cần cắm 1 đầu cáp Ethernet vào cổng 0/0 trên thiết bị firewall và đầu còn lại cắm vào thiết bị PC hoặc laptop bạn dùng để cấu hình thiết bị.
Sau khi PC đã nhận được IP trong dải 192.168.1.0/24. Để kết nối với giao diện J-Web thông qua cổng 0/0 trên firewall Juniper, bạn mở một trình duyệt nhập địa chỉ https://192.168.1.1 để vào giao diện J-web.
Tiếp theo nhấn chọn “Skip to J-Web” để vào Setup Wizard.
Trong Basic Settings chọn Guied Setup. Click Next.
Tiếp theo trong Experience Level, chọn Enable Basic Options. Click Next.
Trong Device Information, bạn nhập các thông số sau:
+ Device Name: Điền tên của thiết bị
+ Root Password: Nhập một password bạn sẽ dùng khi đăng nhập vào thiết bị
+ Verify Password: Xác nhận lại root password bạn đã nhập.
Ngoài ra bạn cũng có thể tạo một tài khoản Admin khác dùng để đăng nhập vào thiết bị ngoài tài khoản root bằng cách nhấn “Add” bên mục Administrative Account.
Tiếp tục nhấn Next.
Device Time: Chỉnh lại thời gian cho thiết bị. Chọn Manual để chỉnh lại ngày, tháng, năm và chọn Time Zone là GMT +7 VietNam.
Tiếp theo ta đến phần cài đặt các Zone trên thiết bị
Chọn kiểu Internal Zone sẽ kết nối Internet thông qua tường lửa SRX. Click Next.
Bạn có thể chọn thiết bị sẽ quay số PPPOE truy cập Internet và tiếp tục click Next.
Tiếp theo là cấu hình Internet Zone: Bạn chọn 1 cổng trên thiết bị dùng để kết nối với Internet và chỉ được chọn 1 cổng duy nhất. Sau khi chọn xong click Next.
Cấu hình Internal Zone: Chọn kiểu Internal Zone bạn muốn triển khai trên thiết bị SRX. Click Next.
Tại Add Internal Zone: Bạn điền các thông số sau:
+ Zone Name: Đặt tên cho Zone nội bộ.
+ Network Address: Chọn địa chỉ IP cho cổng Internal Zone đã chọn.
+ CIDR: Chọn prefix length cho network address.
+ Chọn port cho Internal Zone như Internet Zone. Có thể bật DHCP Server để cấp IP tự động cho các thiết bị trong Internal Zone.
Click Next.
DHCP Client Pool Range: Chọn dải IP sẽ cấp, nhập địa chỉ DNS server. Click Next.
Tiếp theo cấu hình Security Policy
Cấu hình “Allow Traffic” cho phép traffic có thể truyền giữa hai zone Internet và Internal.
Cấu hình Management Zone là Internal Zone. Cho phép các giao thức có thể sử dụng như Ping, HTTPS, HTTP, SSH. Click Next.
Bạn có thể cấu hình Remote Worker nếu doanh nghiệp của bạn có nhân viên làm việc từ xa. Nếu không muốn cấu hình ngay bây giờ bạn có thể click NO để bỏ qua và click Next.
Cuối cùng là cấu hình NAT.
Sau khi đã cấu hình các thông số trước đó, Setup Wizard sẽ tự động recommended cho bạn nên sử dụng kiểu NAT nào, trong bài viết này là Source NAT. Click Next.
Sau cùng bạn xác nhận lại các thông số đã cài đặt và bạn có thể chỉnh sửa nếu muốn. Click Edit để chỉnh sửa. Click Next.
Cuối cùng bạn click “Apply Settings” để lưu các thông số bạn đã cài đặt.
Đăng nhập giao diện cấu hình J-web
Sau khi đã lưu cài đặt xong, bạn reload lại trang và đăng nhập lại thiết bị với tài khoản root. Bên dưới là giao diện cấu hình J-web của thiết bị.
CÁC BƯỚC THỰC HIỆN CẤU HÌNH BẰNG CLI
Đầu tiên, chúng ta thực hiện bật thiết bị, kết nối dây console qua ứng dụng putty trên máy tính
Đăng nhập với tư cách người dùng root và khởi động CLI. Không cần mật khẩu khi chạy mặc định của nhà sản xuất.
| login: rootroot@% cliroot> |
Vào chế độ cấu hình.
| root>config configure.
[edit]
root# |
Cấu hình password root:
| root# set system root-authentication plain-text-password New password:xxxxxx Retype new password:xxxxxx |
Cấu hình hostname:
| root# set system host-name NStech |
Cấu hình login banner:
| root# set system login message “Webcome to NSTECH” |
Cấu hình timezone:
| root# set system time-zone GMT+7 |
Cấu hình name-server:
| root# set system name-server 8.8.8.8 root# set system name-server 8.8.4.4 |
Tạo user quản trị:
| root# set system login user nstech uid 2000 root# set system login user nstech class super-user root# set system login user nstech authentication plain-text-password New password:xxxxxx Retype new password:xxxxxx |
Đặt IP cho interface:
| root# set interfaces ge-0/0/0 unit 0 family inet address 192.168.100.5/24 root# set interfaces ge-0/0/1 unit 0 family inet address 10.10.1.254/24 |
Đặt Zone:
root# set security zones security-zones untrust interfaces ge-0/0/0
root# set security zones security-zones untrust host-inbound-traffic system-services all
root# set security zones security-zones untrust host-inbound-traffic protocols all
root# set security zones security-zones trust interfaces ge-0/0/1
root# set security zones security-zones trust host-inbound-traffic system-services all
root# set security zones security-zones trust host-inbound-traffic protocols all
root#comit
root# edit security policies from-zone trust to-zone untrust policy lan-to-wan
root# set match source-address any
root# set match destination-address any
root# set match application-address any
root# set then permit
Đặt cấu hình Policy
root# edit security policies from-zone untrust to-zone trust policy deny-from-internet
root# set match source-address any
root# set match destination-address any
root# set match application-address any
root# set then permit
Cấu hình route
root# set routing-options static route 0.0.0.0/0 next-hop 192.168.100.1
root#commit
Cấu hình Nat
root# set security nat source rule-set lan-to-wan from zone trust
root# set security nat source rule-set lan-to-wan zone trust
Cấu hình DHCP LAN
| root#set system services dhcp pool 10.10.1.0/24 address-range low 10.10.1.50 high 10.10.1.250 root#set system services dhcp pool 10.10.1.0/24 name-server 8.8.8.8 root#set system services dhcp pool 10.10.1.0/24 name-server 8.8.4.4 root#set system services dhcp pool 10.10.1.0/24 router 10.10.1.1 |
