Juniper SRX 設備恢復出廠配置
Juniper SRX (Junos OS)設備恢復出廠配置
在什麼情況下我們需要將SRX防火牆恢復出廠設定呢?
一、當您忘記密碼無法登入管理設備時
其實忘記密碼我們還有另一個選擇,就是透過密碼恢復程序來重新設定密碼,請參考下列之網路連結:
二、要重新配置系統時
恢復出廠配置後SRX防火牆設備的狀態:
SRX100/210恢復出廠配置後,系統預設端口0/0為WAN(廣域網路,也就是上網的端口),0/1~0/7為LAN(區域網路,接個人電腦用)。
系統預設登入帳號為 root ,密碼為空(即不須輸入任何密碼)。
這時只要WAN端口所接入的設備能自動分派IP(具有DHCP功能),不須任何設定,您就可以透過恢復出廠配置後SRX設備來上網。
此時任何人都可以從LAN端口透過WebUI(J-Web)、SSH或是telnet介面,利用root帳號來登入SRX設備,並取得設備的最高控制權。這代表者此時SRX防火牆設備是非常不安全的,因此,若您要為SRX設備進行恢復出廠配置的動作時,請記得要先將設備置於封閉安全的網路環境才行。
恢復出廠配置後SRX防火牆設備會為連接LAN端口的電腦自動分派192.168.1.xx的IP位址,且其預設(默認)閘道為192.168.1.1,當然您的電腦必須設定成自動取得IP才行。
當您透過SSH或是telnet介面來登入SRX設備時,只要將遠端IP位址射設定為192.168.1.1,帳號為 root ,密碼為空,即可登入。
若透過WebUI(J-Web)介面來登入SRX設備(在瀏覽器輸入位址192.168.1.1),
則登入後您就會直接看到以下的Setup Wizard的歡迎畫面:
注意:關於後續的初始化設定,您可以參考下列之網路連結:
若您是老手,習慣使用CLI命令列來維護SRX設備,則建議您從CLI命令列來進行初始化的動作,可幫您節省不少的時間:
Juniper
SRX防火牆要讓設備恢復出廠設定有兩種方式:
一、使用Reset Config重設組態按鈕:
當然,這個前提是您能進入機房並直接接觸到SRX防火牆設備才行。
預設情況下,在SRX100/210設備的前面板上,按住 "重設組態Reset Config" 按鈕15秒鐘或更短-直到狀態指示燈呈穩定琥珀色-這將刪除設備上的所有配置,包括備份配置和救援配置,及載入並提交(commit)出廠預設配置(此時的登入帳號為root,密碼為空,也就是僅輸入帳號就能登入系統)。
在按住 "重設組態Reset Config" 按鈕的同時,console上會顯示以下之訊息:
Broadcast Message from root@srx100
(no tty) at 23:57 CST...
Config button pressed
Committing factory default configuration
關於Reset Config重設組態按鈕的詳細運用請參考下列的網路連結:
二、在CLI命令列執行load factory-default命令:
若您無法進入機房並直接接觸到SRX防火牆設備,但是您擁有超級管理員的帳號,那您就可以從遠端透過TELNET或是SSH來登入系統,並使用CLI來配置系統。
登入後進入到CLI的配置模式,執行下列命令來恢復出廠配置:
root@srx100# load factory-default
warning:
activating factory configuration /***系統將啟動出廠配置***/
恢復出廠後,必須立刻設置root 帳號密碼<默認密碼至少6
位數:包含字母加數字
root@srx100# set system root-authentication plain-text-password
New password:
Retype new password:
當設置完ROOT 帳號密碼以後,進行提交(commit)以保存並實行配置
root@srx100# commit
commit
complete
關於SRX防火牆設備恢復出廠設定後,前面板ALARM會亮紅燈的問題。
SRX100/210設備恢復出廠設定後,前面板ALARM會亮紅燈,我們只要執行以下命令就會恢復成綠燈:
root@srx100> request system autorecovery state save
Saving config recovery information
Saving license recovery information
Saving BSD label recovery information
root@srx100>
關於 request
system autorecovery state save 命令的用途請參考下列之網路連結:
恢復出廠設定後可直接載入備用的配置檔
CLI介面
以上敘述乃介紹如何將srx設備恢復出廠設定,而一但恢復了出廠設定,就必須登入WebUI並將設定精靈的流程走完才行,這得花10分鐘左右非常浪費時間,若您已有設定好的配置檔,則可放在FTP上直接載入即可:
root@srx100# load override
ftp://user:123456@192.168.1.11/srx-ok.conf
/var/tmp//...transferring.file.........xSaAZR/100% of 5596 B 1646 kBps
load complete
[edit]
root@srx100# commit
commit complete
[edit]
root@srx100#
J-Web介面
當設備恢復出廠配置後,SRX設備會在我們登入J-Web時,強制我們執行設定精靈(Setup
Wizard)是因為下列4行命令:
set
system autoinstallation delete-upon-commit
set
system autoinstallation traceoptions level verbose
set
system autoinstallation traceoptions flag all
set system autoinstallation
interfaces fe-0/0/0 bootp
若您想要在登入系統後跳過設定精靈(Setup Wizard),直接進入一般設定介面,好載入備分的配置檔,那您可以在CLI命令列執行下列的命令來刪除:
[edit]
root@srx100# delete system autoinstallation
[edit]
root@srx100# commit
commit complete
[edit]
root@srx100#
之後您再透過WebUI(J-Web)介面來登入SRX設備(在瀏覽器輸入位址192.168.1.1)即可。
SRX防火牆設備恢復出廠設定後的預設配置
若您此時在CLI命令列輸入show | no-more則可以看到出廠預設之配置如下:
root@srx100> show configuration | no-more
## Last commit: 2018-05-05 07:31:36 GMT+8 by root
version 12.1X46-D81;
system {
autoinstallation { ##因為這個語句導致您透過J-Web介面來登入時會進入設定精靈畫面
delete-upon-commit; ## Deletes [system
autoinstallation] upon change/commit
traceoptions {
level verbose;
flag {
all;
}
}
interfaces {
fe-0/0/0 {
bootp; ##因為這個語句讓WAN端口能取得上網IP
}
}
}
name-server { ##預設的DNS Server設定,我們可以將其改成我們ISP提供的DNS伺服器
208.67.222.222;
208.67.220.220;
}
services { ##預設開啟SSH TELNET
HTTP HTTPS DHCP服務
ssh;
telnet;
xnm-clear-text;
web-management {
http {
interface vlan.0;
}
https {
system-generated-certificate;
interface vlan.0;
}
}
dhcp {
router {
192.168.1.1;
}
pool 192.168.1.0/24 {
address-range low 192.168.1.2 high
192.168.1.254;
}
propagate-settings
fe-0/0/0.0;
}
}
syslog { ##預設的本機系統日誌設定
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands
error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
license {
autoupdate {
url
https://ae1.juniper.net/junos/key_retrieval;
}
}
## Warning: missing mandatory
statement(s): 'root-authentication'
}
interfaces {
fe-0/0/0 { ##WAN端口
unit 0 {
family inet;
}
}
fe-0/0/1 { ##端口1—7為LAN端口
unit 0 {
family
ethernet-switching {
vlan {
members
vlan-trust;
}
}
}
}
fe-0/0/2 {
unit 0 {
family
ethernet-switching {
vlan {
members
vlan-trust;
}
}
}
}
fe-0/0/3 {
unit 0 {
family
ethernet-switching {
vlan {
members
vlan-trust;
}
}
}
}
fe-0/0/4 {
unit 0 {
family
ethernet-switching {
vlan {
members
vlan-trust;
}
}
}
}
fe-0/0/5 {
unit 0 {
family
ethernet-switching {
vlan {
members
vlan-trust;
}
}
}
}
fe-0/0/6 {
unit 0 {
family
ethernet-switching {
vlan {
members
vlan-trust;
}
}
}
}
fe-0/0/7 {
unit 0 {
family
ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
vlan {
unit 0 {
family inet {
address
192.168.1.1/24;
}
}
}
}
protocols {
stp; ##預設開啟STP協定,會讓接入網路端口時等待30秒
}
security {
screen { ##預設開啟的WAN端DDoS防護
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold
1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
nat {
source {
rule-set
trust-to-untrust { ##預設所有由內向外的通訊流量都要透過NAT轉換
from zone trust;
to zone untrust;
rule
source-nat-rule {
match {
source-address 0.0.0 .0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone
untrust {
policy trust-to-untrust
{ ##預設開放所有由內向外的通訊流量
match {
source-address
any;
destination-address any;
application
any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust
{ ##LAN端口預設開放所有的通訊流量進入
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
}
}
security-zone untrust
{ ##WAN端口預設開放dhcp及tftp的通訊流量進入
screen untrust-screen;
interfaces {
fe-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
}
}
}
}
}
}
}
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
root@srx100>
