Juniper SRX (Junos OS)设备恢复出厂配置

11月 1, 202023:18:11
评论
270 7779字

在什么情况下我们需要将SRX防火墙恢复出厂设定呢?
一、当您忘记密码无法登入管理设备时
其实忘记密码我们还有另一个选择,就是透过密码恢复程序来重新设定密码,请参考下列之网络连接:
Juniper SRX(Junos OS)密码恢复Password Recovery
二、要重新配置系统时

恢复出厂配置后SRX防火墙设备的状态

SRX100/210恢复出厂配置后,系统预设端口0/0为WAN(广域网,也就是上网的端口),0/1~0/7为LAN(区域网路,接个人电脑用)。
系统预设登入帐号为root,密码为空(即不须输入任何密码)。

这时只要WAN端口所接入的设备能自动分派IP(具有DHCP功能),不须任何设定,您就可以透过恢复出厂配置后SRX设备来上网。

此时任何人都可以从LAN端口透过WebUI(J-Web)、SSH或是telnet界面,利用root帐号来登入SRX设备,并取得设备的最高控制权。这代表者此时SRX防火墙设备是非常不安全的,因此,若您要为SRX设备进行恢复出厂配置的动作时,请记得要先将设备置于封闭安全的网络环境才行。

恢复出厂配置后SRX防火墙设备会为连接LAN端口的电脑自动分派192.168.1.xx的IP位址,且其预设(默认)网关为192.168.1.1,当然您的电脑必须设定成自动取得IP才行。

当您透过SSH或是telnet界面来登入SRX设备时,只要将远端IP位址射设定为192.168.1.1,帐号为root,密码为空,即可登入。

若透过WebUI(J-Web)界面来登入SRX设备(在浏览器输入位址192.168.1.1)

Juniper SRX防火墙要让设备恢复出厂设定有两种方式:

一、使用Reset Config重设组态按钮:

当然,这个前提是您能进入机房并直接接触到SRX防火墙设备才行。
预设情况下,在SRX100/210设备的前面板上,按住“重设组态Reset Config”按钮15秒钟或更短-直到状态指示灯呈稳定琥珀色-这将删除设备上的所有配置,包括备份配置和救援配置,及加载并提交(commit)出厂预设配置(此时的登入帐号为root,密码为空,也就是仅输入帐号就能登入系统)。

在按住“重设组态Reset Config”按钮的同时,console上会显示以下之信息:
Broadcast Message fromroot@srx100
(no tty)at 23:57 CST…
Config button pressed
Committing factory default configuration

二、在CLI命令列执行load factory-default命令:

若您无法进入机房并直接接触到SRX防火墙设备,但是您拥有超级管理员的帐号,那您就可以从远端透过TELNET或是SSH来登入系统,并使用CLI来配置系统。
登入后进入到CLI的配置模式,执行下列命令来恢复出厂配置:

root@srx100# load factory-default
warning: activating factory configuration 系统将启动出厂配置***/
恢复出厂后,必须立刻设置root帐号密码<默认密码至少6位数:包含字母加数字root@srx100# set system root-authentication plain-text-password
New password:
Retype new password:
当设置完ROOT帐号密码以后,进行提交(commit)以保存并实行配置root@srx100# commit
commit complete

关于SRX防火墙设备恢复出厂设定后,前面板ALARM会亮红灯的问题。

SRX100/210设备恢复出厂设定后,前面板ALARM会亮红灯,我们只要执行以下命令就会恢复成绿灯:

root@srx100> request system autorecovery state save
Saving config recovery information
Saving license recovery information
Saving BSD label recovery information
root@srx100>

恢复出厂设定后可直接加载备用的配置档

CLI界面
以上叙述乃介绍如何将srx设备恢复出厂设定,而一但恢复了出厂设定,就必须登入WebUI并将设定精灵的流程走完才行,这得花10分钟左右非常浪费时间,若您已有设定好的配置档,则可放在FTP上直接加载即可:

root@srx100# load override ftp://user:123456@192.168.1.11/srx-ok.conf
/var/tmp//...transferring.file.........xSaAZR/100% of 5596  B 1646 kBps
load complete
[edit]
root@srx100# commit
commit complete
[edit]
root@srx100#

J-Web界面
当设备恢复出厂配置后,SRX设备会在我们登入J-Web时,强制我们执行设定精灵(Setup Wizard)是因为下列4行命令:

set system autoinstallation delete-upon-commit
set system autoinstallation traceoptions level verbose
set system autoinstallation traceoptions flag all
set system autoinstallation interfaces fe-0/0/0 bootp

若您想要在登入系统后跳过设定精灵(Setup Wizard),直接进入一般设定界面,好加载备分的配置档,那您可以在CLI命令列执行下列的命令来删除:

[edit]
root@srx100# delete system autoinstallation 
[edit]
root@srx100# commit
commit complete
[edit]
root@srx100#

之后您再透过WebUI(J-Web)界面来登入SRX设备(在浏览器输入位址192.168.1.1)即可。

SRX防火墙设备恢复出厂设定后的预设配置

若您此时在CLI命令列输入show | no-more则可以看到出厂预设之配置如下:

完整配置:

set version 12.1X47-D20.7
set system services ssh
set system services web-management http interface ge-0/0/0.0
set system syslog user * any emergency
set system syslog file messages any any
set system syslog file messages authorization info
set system syslog file interactive-commands interactive-commands any
set system license autoupdate url https://ae1.juniper.net/junos/key_retrieval
set interfaces ge-0/0/0 unit 0 
set security screen ids-option untrust-screen icmp ping-death
set security screen ids-option untrust-screen ip source-route-option
set security screen ids-option untrust-screen ip tear-drop
set security screen ids-option untrust-screen tcp syn-flood alarm-threshold 1024
set security screen ids-option untrust-screen tcp syn-flood attack-threshold 200
set security screen ids-option untrust-screen tcp syn-flood source-threshold 1024
set security screen ids-option untrust-screen tcp syn-flood destination-threshold 2048
set security screen ids-option untrust-screen tcp syn-flood queue-size 2000
set security screen ids-option untrust-screen tcp syn-flood timeout 20
set security screen ids-option untrust-screen tcp land
set security policies from-zone trust to-zone trust policy default-permit match source-address any
set security policies from-zone trust to-zone trust policy default-permit match destination-address any
set security policies from-zone trust to-zone trust policy default-permit match application any
set security policies from-zone trust to-zone trust policy default-permit then permit
set security policies from-zone trust to-zone untrust policy default-permit match source-address any
set security policies from-zone trust to-zone untrust policy default-permit match destination-address any
set security policies from-zone trust to-zone untrust policy default-permit match application any
set security policies from-zone trust to-zone untrust policy default-permit then permit
set security policies from-zone untrust to-zone trust policy default-deny match source-address any
set security policies from-zone untrust to-zone trust policy default-deny match destination-address any
set security policies from-zone untrust to-zone trust policy default-deny match application any
set security policies from-zone untrust to-zone trust policy default-deny then deny
set security zones security-zone trust tcp-rst
set security zones security-zone untrust screen untrust-screen
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ping
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services http
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services https
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ssh
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services telnet
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services dhcp

讲解:

root@srx100> show configuration | no-more
## Last commit: 2018-05-05 07:31:36 GMT+8 by root
version 12.1X46-D81;
system {
    autoinstallation {    ##因为这个语句导致您透过J-Web界面来登入时会进入设定精灵画面
        delete-upon-commit; ## Deletes [system autoinstallation] upon change/commit
        traceoptions {
            level verbose;
            flag {
                all;
            }
        }
        interfaces {
            fe-0/0/0 {
                bootp;    ##因为这个语句让WAN端口能取得上网IP
            }
        }
    }
    name-server {    ##预设的DNS Server设定,我们可以将其改成我们ISP提供的DNS服务器
        208.67.222.222;
        208.67.220.220;
    }
    services {    ##预设开启SSH TELNET HTTP HTTPS DHCP服务
        ssh;
        telnet;
        xnm-clear-text;
        web-management {
            http {
                interface vlan.0;
            }
            https {
                system-generated-certificate;
                interface vlan.0;
            }
        }
        dhcp {
            router {
                192.168.1.1;
            }
            pool 192.168.1.0/24 {
                address-range low 192.168.1.2 high 192.168.1.254;
            }
            propagate-settings fe-0/0/0.0;
        }
    }
    syslog {    ##预设的本机系统日志设定
        archive size 100k files 3;
        user * {
            any emergency;
        }
        file messages {
            any critical;
            authorization info;
        }
        file interactive-commands {
            interactive-commands error;
        }
    }
    max-configurations-on-flash 5;
    max-configuration-rollbacks 5;
    license {
        autoupdate {
            url https://ae1.juniper.net/junos/key_retrieval;
        }
    }
    ## Warning: missing mandatory statement(s): 'root-authentication'
}
interfaces {
    fe-0/0/0 {    ##WAN端口
        unit 0 {
            family inet;
        }
    }
    fe-0/0/1 {    ##端口1—7为LAN端口
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    fe-0/0/2 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    fe-0/0/3 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    fe-0/0/4 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    fe-0/0/5 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    fe-0/0/6 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    fe-0/0/7 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    vlan {
        unit 0 {
            family inet {
                address 192.168.1.1/24;
            }
        }
    }
}
protocols {
    stp;    ##预设开启STP协定,会让接入网络端口时等待30秒
}
security {
    screen {    ##预设开启的WAN端DDoS防护
        ids-option untrust-screen {
            icmp {
                ping-death;
            }
            ip {
                source-route-option;
                tear-drop;
            }
            tcp {
                syn-flood {
                    alarm-threshold 1024;
                    attack-threshold 200;
                    source-threshold 1024;
                    destination-threshold 2048;
                    timeout 20;
                }
                land;
            }
        }
    }
    nat {
        source {
            rule-set trust-to-untrust {    ##预设所有由内向外的通信流量都要透过NAT转换
                from zone trust;
                to zone untrust;
                rule source-nat-rule {
                    match {
                        source-address 0.0.0.0/0;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
            }
        }
    }
    policies {
        from-zone trust to-zone untrust {
            policy trust-to-untrust {    ##预设开放所有由内向外的通信流量
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
    zones {
        security-zone trust {    ##LAN端口预设开放所有的通信流量进入
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                vlan.0;
            }
        }
        security-zone untrust {    ##WAN端口预设开放dhcp及tftp的通信流量进入
            screen untrust-screen;
            interfaces {
                fe-0/0/0.0 {
                    host-inbound-traffic {
                        system-services {
                            dhcp;
                            tftp;
                        }
                    }
                }
            }
        }
    }
}
vlans {
    vlan-trust {
        vlan-id 3;
        l3-interface vlan.0;
    }
}

root@srx100>
Juniper SRX (Junos OS)设备恢复出厂配置
豌豆日志
  • 本文由 发表于 11月 1, 202023:18:11
  • 转载请务必保留本文链接:https://pealog.com/370.html
Juniper SRX(Junos OS)系统配置归档自动备份 网络技术

Juniper SRX(Junos OS)系统配置归档自动备份

网络设备的系统配置(配置文件),毋庸置疑,最宝贵的数据莫过于它了,没有了它,再贵的设备都跟废铁一般没有作用。我们见过很多工程师朋友在网络设备down掉后急的火烧眉毛,就是因为没有定期备份系统配置的缘故...
Juniper SRX (Junos OS) NTP网络校验设定 网络技术

Juniper SRX (Junos OS) NTP网络校验设定

NTP全名为Network Time Protocol,可用来同步不同电脑系统之间的时间,现在的智慧型手机几乎也会使用到这个服务,用来校准、设定装置上的日期时间,而校时服务需要靠NTP服务器来提供,虽...
Juniper SRX(Junos OS)系统配置归档自动备份 网络技术

Juniper SRX(Junos OS)系统配置归档自动备份

网络设备的系统配置(配置文件),毋庸置疑,最宝贵的数据莫过于它了,没有了它,再贵的设备都跟废铁一般没有作用。我们见过很多工程师朋友在网络设备down掉后急的火烧眉毛,就是因为没有定期备份系统配置的缘故...
Juniper SRX (Junos OS) NTP网络校验设定 网络技术

Juniper SRX (Junos OS) NTP网络校验设定

NTP全名为Network Time Protocol,可用来同步不同电脑系统之间的时间,现在的智慧型手机几乎也会使用到这个服务,用来校准、设定装置上的日期时间,而校时服务需要靠NTP服务器来提供,虽...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: