Tìm hiểu cấu hình mặc định Juniper SRX

thanhdc

Junior – IT Sơ cấp
Aug 10, 2014
124
3
18
Dùng cáp console nối với cổng console trên Juniper SRX để bắt kết nối tới thiết bị.
Nếu thành công bạn sẽ thấy màn hình yêu cầu nhập username và password để login vào hệ thống.

==============================================
Amnesiac (ttyd0)

login: root

--- JUNOS 12.1X47-D10.4 built 2014-08-14 22:59:01 UTC
root@%
root@% cli
root> configure
Entering configuration mode
Users currently editing the configuration:
root terminal v0 (pid 1229) on since 2014-10-07 11:30:52 UTC, idle 00:01:01
[edit]

[edit]
root# show
## Last changed: 2014-10-07 11:29:53 UTC
version 12.1X47-D10.4;
system {
autoinstallation {
delete-upon-commit; ## Deletes [system autoinstallation]
upon change/commit

traceoptions {
level verbose;
flag {
all;
}
}
}
services {
ssh;
web-management {
http {
interface ge-0/0/0.0;
}
}
}
syslog {
user * {
any emergency;
}
file messages {
any any;
authorization info;
}
file interactive-commands {
interactive-commands any;
}
}
license {
autoupdate {
}
}
## Warning: missing mandatory statement(s): 'root-authentication'
}

interfaces {
ge-0/0/0 {
unit 0;
}
}

security {
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
queue-size 2000; ## Warning: 'queue-size' is deprecated
timeout 20;
}
land;
}
}
}

policies {
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
}

zones {
security-zone trust {
tcp-rst;
}
security-zone untrust {
screen untrust-screen;
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
http;
https;
ssh;
telnet;
dhcp;
}
}
}
}
}
}
}

[edit]
root#

+login vào hệ thống (mặc định password của user root là “password rỗng”




+Vào mod cli

+Vào mod config





+Show tất cả cấu hình













+Mặc định các dịch ssh được enable;

dịch vụ web-management được enable và chỉ cho phép
truy cập http vào cổng ge-0/0/0.0
























+Mặc định cổng ge-0/0/0 cho phép nhận ip động, các cổng còn lại thì ko




+Mặc định đã enable các tính năng chống dos như ping of death, tear-drop, sys-flood, land























+Mặc định cho phép truy cập đối với các PC trong cùng zone trust









+Mặc định cho phép truy cập từ zone trust tới zone untrust










+Mặc định cấm truy cập từ zone untrust tới zone trust











Mặc đinh zone trust, untrust đã được tạo sẵn
zone trust tương tự như Inside, zone untrust tương tự như Outside bên ASA

+zone trust:


+zone untrust:
cổng ge-0/0/0.0 thuộc zone untrust và chỉ cho phép các dịch vụ http, https, ssh, telnet, dhcp được phép truy cập vào



Mặc định cổng đầu tiên ge-0/0/0 thuộc zone untrust, và cho phép các traffic dhcp http https ssh telnet truy cập vào
và được gán địa chỉ IP mặc định là 192.168.1.1/24

Các cổng tiếp ge-0/0/1, ge-0/0/2,..., chưa được gán cho bất kỳ zone nào,và ko cho phép bất traffic nào truy cập vào, và được gán địa chỉ IP mặc định là 192.168.2.1/24, 192.168.3.1/24,....

root> show interfaces ge-0/0/0 brief
Physical interface: ge-0/0/0, Enabled, Physical link is Up
=Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled,
=Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
=Remote fault: Online
=Device flags : Present Running
=Interface flags: SNMP-Traps Internal: 0x4000
=Link flags : None

=Logical interface ge-0/0/0.0
==Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
==Security: Zone: untrust
==Allowed host-inbound traffic : dhcp http https ssh telnet
==inet 192.168.1.1/24

root> show interfaces ge-0/0/1 brief
Physical interface: ge-0/0/1, Enabled, Physical link is Up
=Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled,
=Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
=Remote fault: Online
=Device flags : Present Running
=Interface flags: SNMP-Traps Internal: 0x4000
=Link flags : None

=Logical interface ge-0/0/1.0
==Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
==Security: Zone: Null
==inet 192.168.2.1/24

root> show interfaces ge-0/0/2 brief
Physical interface: ge-0/0/2, Enabled, Physical link is Up
=Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled,
=Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
=Remote fault: Online
=Device flags : Present Running
=Interface flags: SNMP-Traps Internal: 0x4000
=Link flags : None

=Logical interface ge-0/0/2.0
==Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
==Security: Zone: Null
==inet 192.168.3.1/24




Bạn lấy 1 PC kết nối với cổng ge-0/0/0 của Juniper SRX, và gán địa IP cho card mạng của PC thuộc network 192.168.1.0/24 (vi dụ: 192.168.1.100/24) bạn ko thể ping tới địa chỉ 192.168.1.1, nhưng bạn có thể truy cập web http://192.168.1.1 để vào giao diên web-management của Juniper SRX...








SSH vào được nhưng ko cho phép login do bạn chưa đặt password cho user root




Để đặt password cho user root,
khi đặt xong nhớ chạy lệnh commit để apply cấu hình




Nhưng lưu ý là sau khi đặt xong password cho user root và commit thì tất cả các địa chỉ IP mặc định
đã gán cho các cổng ge-0/0/0, ge-0/0/1, ge-0/0/0 … sẽ được xóa hết

root> show interfaces ge-0/0/0 terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up

root> show interfaces ge-0/0/1 terse
Interface Admin Link Proto Local Remote
ge-0/0/1 up up

root> show interfaces ge-0/0/2 terse
Interface Admin Link Proto Local Remote
ge-0/0/2 up up
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu