Você está na página 1de 6

Guia de início rápido do gateway de serviços

Utilize as instruções presentes neste guia de início rápido para o ajudar a ligar o Modelos do gateway de serviços SRX100
gateway de serviços SRX100 à sua rede. Para obter mais detalhes, consulte o SRX100
Services Gateway Hardware Guide, disponível em Está disponível o seguinte modelo do gateway de serviços SRX100:
http://www.juniper.net/techpubs/en_US/release-independent/junos/information-products/
pathway-pages/srx-series/product/index.html. Dispositivo Memória DDR Memória NAND Flash
SRX100H2 2 GB 2 GB

Painel frontal do gateway de serviços SRX100


Ligar e configurar o dispositivo da série SRX
Utilize as instruções seguintes para ligar e configurar o gateway de serviços SRX100
para proteger a sua rede. Consulte os LEDs na frente do dispositivo para determinar o
seu estado.

Visão geral
O gateway de serviços SRX100 necessita das seguintes definições de configuração

g031001
básicas para funcionar adequadamente:
 É necessário atribuir endereços de IP às interfaces.
 É necessário atribuir zonas às interfaces.
 É necessário configurar as políticas entre zonas para permitir ou negar o tráfego.
Referência Descrição Referência Descrição  É necessário definir regras de NAT de origem.
1 Botão Power (Energia) 4 Porta USB O dispositivo possui a seguinte configuração predefinida quando o liga pela primeira
2 LEDs: ALARM (Alarme), POWER 5 Porta da consola vez. É possível utilizar o dispositivo sem realizar qualquer configuração inicial.
(Energia), STATUS (Estado), HA (Alta
disponibilidade) Predefinições de fábrica:
3 Botão RESET CONFIG (Repor configuração) 6 Portas de Fast Ethernet Rótulo de Interface Zona de Estado de Endereço de IP
porta segurança DHCP
0/0 fe-0/0/0 não segura cliente não atribuído
Painel traseiro do gateway de serviços SRX100 0/1 a 0/7 fe-0/0/1 a fe-0/0/7 segura servidor 192.168.1.1/24

Predefinições de fábrica para políticas de segurança:


Zona de origem Zona de destino Acção de política
segura não segura permitir
segura segura permitir
não segura segura negar
g031002

Predefinições de fábrica para regras de NAT:


Zona de origem Zona de destino Acção de política
Referência Descrição Referência Descrição segura não segura NAT de origem para interface de
1 Ranhura de bloqueio para 3 Suporte para braçadeira de cabos zona não segura
cabo de segurança
2 Ponto de ligação à terra 4 Entrada da fonte de alimentação
Tarefa 1: ligar o cabo de alimentação ao dispositivo Tarefa 3: confirmar que o dispositivo de gestão obtém um endereço de IP
Ligue o cabo de alimentação ao dispositivo e a uma fonte de alimentação. Recomendamos Depois de ligar o dispositivo de gestão ao gateway de serviços, o processo de servidor
a utilização de um dispositivo de estabilização contra picos de energia. Observe as DHCP existente no gateway de serviços atribui automaticamente um endereço de IP ao
seguintes indicações: dispositivo de gestão. Confirme que o dispositivo de gestão obtém, do gateway de
 LED de POWER (Energia) (verde): o dispositivo encontra-se a receber energia. serviços, um endereço de IP na sub-rede 192.168.1.0/24 (outro que não 192.168.1.1).
 LED de STATUS (Estado) (verde): o dispositivo encontra-se a funcionar normalmente. NOTA:
 LED de ALARM (Alarme) (âmbar): o dispositivo está a funcionar normalmente, no  O gateway de serviços funciona como um servidor DHCP e irá atribuir um endereço
entanto, o LED poderá apresentar a luz âmbar por não ter definido ainda uma de IP ao dispositivo de gestão.
configuração de recuperação. Esta não é uma condição de pânico.
 Se não for atribuído um endereço de IP ao dispositivo de gestão, configure um
NOTA: após a definição de uma configuração de recuperação, a presença de um LED endereço de IP manualmente na sub-rede 192.168.1.0/24. Não atribua o endereço
de ALARM âmbar indica um erro menor, e a presença de um LED de ALARM vermelho de IP 192.168.1.1 ao dispositivo de gestão, uma vez que este IP se encontra
fixo indica um problema grave no gateway de serviços. atribuído ao gateway de serviços. Por predefinição, o servidor DHCP está activado
na interface L3 VLAN, (IRB) vlan.0 (interface fe-0/0/1 a fe-0/0/7), a qual se encontra
NOTA: depois de ligar o dispositivo, é necessário aguardar entre cinco a sete minutos configurada com um endereço de IP de 192.168.1.1/24.
para que este conclua o arranque. Aguarde até que o LED de STATUS apresente uma
luz verde fixa antes de proceder à tarefa seguinte.  Quando o gateway de serviços SRX100 é ligado pela primeira vez, o dispositivo
arranca utilizando as predefinições de fábrica.
Tarefa 2: ligar o dispositivo de gestão
Tarefa 4: aceder à interface J-Web
Ligue o dispositivo de gestão ao gateway de serviços utilizando um dos seguintes métodos:
1. Execute um browser de Internet a partir do dispositivo de gestão.
 Ligue um cabo RJ-45 (cabo Ethernet) de qualquer uma das portas rotuladas entre
0/1 e 0/7 (interfaces fe-0/0/1 até fe-0/0/7), presentes no painel frontal, à porta NOTA: o assistente funciona melhor com o Mozilla Firefox, versão 15.x ou posterior.
Ethernet do dispositivo de gestão (estação de trabalho ou computador portátil). 2. Introduza http://192.168.1.1 no campo de endereço de URL. É apresentada a
Recomendamos a utilização deste método de ligação. Se utilizar este método de página Welcome (Boas-vindas).
ligação, avance para a Tarefa 3.
 Ligue um cabo RJ-45 (cabo Ethernet) da porta rotulada CONSOLE (Consola),
presente no painel frontal, ao adaptador DB-9 fornecido, o qual se liga à porta de
série do dispositivo de gestão. (Definições da porta de série: 9600 8-N-1.)
Se utilizar este método de ligação, proceda às instruções de configuração CLI
presentes em Branch SRX Series Services Gateways Golden Configurations,
disponíveis em www.juniper.net/us/en/local/pdf/app-notes/3500153-en.pdf.
Consulte a seguinte imagem para obter detalhes sobre a ligação da interface de gestão
através das portas Ethernet.

Porta Ethernet Porta Ethernet

Tarefa 5: seleccionar o modo de configuração


g031007

Utilize um dos seguintes modos de configuração para configurar o gateway de serviços:

Página 2
 Guided Setup (Configuração orientada) - Permite configurar o gateway de serviços 8. Caso tenha adquirido licenças, introduza o seu código de autorização e clique em
numa configuração de segurança personalizada. Neste modo, pode seleccionar Download (Transferir) para obter a licença automaticamente. É apresentada a
entre as opções Basic (Básico) ou Expert (Experiente). Se seleccionar este modo, página Sign-in to License Management System (Iniciar sessão no sistema de
avance para a Tarefa 7. gestão de licenças).
 Default Setup (Configuração predefinida) - Permite uma configuração rápida do 9. Caso já possua uma conta de apoio, introduza o seu endereço de e-mail e
gateway de serviços utilizando uma configuração predefinida. Este modo permite palavra-passe. Clique em Next (Seguinte). É apresentada a página Licenses
configurar definições básicas do sistema, como a palavra-passe de administrador, e (Licenças). Seleccione I Agree (Concordo) para aceitar a licença e clique em Done
transferir licenças compradas. Qualquer configuração adicional pode ser efectuada (Concluído).
após a conclusão da configuração com o assistente. Se seleccionar este modo,
avance para a Tarefa 6. NOTA: caso não possua uma conta de apoio, pode criar uma nova:
 Introduza o seu endereço de e-mail e seleccione Create New Account (Criar
Tarefa 6: configurar as definições básicas no modo Default Setup nova conta). Clique em Next (Seguinte).
(Configuração predefinida) (Método 1)  Na página Create Account (Criar conta), introduza as informações da sua
É possível configurar as definições básicas do seu gateway de serviços, tais como o conta. Clique em Next (Seguinte). É apresentada a página End User License
(Licença do utilizador final).
nome do dispositivo e a palavra-passe de raiz.
 Seleccione I AGREE (Concordo) para aceitar a licença e clique em Next
Antes de iniciar o processo de configuração, obtenha um endereço de IP dinâmico no (Seguinte).
seu gateway de serviços. Utilize a porta rotulada 0/0 (interface fe-0/0/0) para se ligar ao  Tome nota do seu nome de utilizador e palavra-passe novos. Clique em OK.
seu fornecedor de serviços de Internet (ISP). O seu ISP irá atribuir um endereço de IP É possível alterar a palavra-passe, acedendo a http://juniper.net/support.
utilizando o processo DHCP.
Após submeter um pedido de autorização de acesso, receberá um e-mail em
NOTA: apenas é obrigatório configurar o nome do dispositivo e a palavra-passe de raiz. menos de 24 horas, caso o seu acesso seja aprovado. Apenas poderá transferir a
É possível avançar todos os outros passos clicando em Next (Seguinte) para ir licença após a aprovação do seu acesso.
directamente para a página Confirm & Apply (Confirmar e aplicar) para aplicar a 10. Clique em Download Now (Transferir agora) para obter as suas licenças.
configuração (Tarefa 8). É apresentada uma janela com a informação da licença.
1. Na página Welcome (Boas-vindas), clique em Default Setup (Configuração 11. Reveja as licenças transferidas. Clique em OK e, em seguida, Next (Seguinte).
predefinida). É apresentada uma mensagem de aviso.
12. Avance para a Tarefa 8.
2. Clique em Yes (Sim) para aceitar o modo de configuração predefinida.
3. Na página Device Information (Informações do dispositivo) do assistente, introduza Tarefa 7: configurar as definições básicas no modo Guided Setup
a seguinte informação: (Configuração orientada) (Método 2)
 Nome do dispositivo do gateway de serviços; por exemplo, SRX100. Antes de iniciar o processo de configuração, obtenha um endereço de IP estático no seu
 Introduza e confirme a palavra-passe de raiz. gateway de serviços. Utilize a porta rotulada 0/0 (interface fe-0/0/0) para se ligar ao seu
NOTA: enquanto introduz a palavra-passe, o avaliador de palavra-passe indica ISP. O seu ISP fornecerá um endereço de IP estático. O endereço de IP não será
a força da mesma. Recomendamos a utilização de uma palavra-passe forte, fornecido através do processo de DHCP.
que contenha 12 ou mais caracteres e inclua letras maiúsculas e minúsculas,
números e símbolos. NOTA: apenas é obrigatório configurar o nome do dispositivo e a palavra-passe de raiz.
É possível avançar todos os outros passos clicando em Next (Seguinte) para ir
 Para adicionar utilizadores, clique em Add (Adicionar). Introduza o nome de directamente para a página Confirm & Apply (Confirmar e aplicar) para aplicar a
utilizador, palavra-passe e função. Clique em Done (Concluído). O nome de configuração (Tarefa 8).
utilizador é apresentado na caixa de lista Administrative Accounts (Contas
administrativas). 1. Na página de Welcome (Boas-vindas), clique em Guided Setup (Configuração
orientada) e em Next (Seguinte). É apresentada a página Experience Level (Nível
4. Clique em Next (Seguinte). É apresentada a página Device Time (Hora do de experiência).
dispositivo).
2. Dos ícones apresentados, seleccione o que melhor descreve o seu nível de
5. Configure a hora do sistema utilizando uma das seguintes opções: experiência e clique em Next (Seguinte):
 Time Server (Hora do servidor) - Introduza o nome ou endereço de IP do  Basic (Básico)
servidor NTP.
 Expert (Experiente)
 Manual - Introduza a data e a hora.
6. Clique em Next (Seguinte). É apresentada a página Summary (Resumo).
7. Clique em Next (Seguinte). É apresentada a página Licenses (Licenças).

Página 3
A seguinte tabela compara os níveis básico e experiente: i. Configure o servidor de DHCP para a zona interna. Clique em Done
(Concluído). É apresentada a página Summary (Resumo) com os detalhes da
Basic (Básico) Expert (Experiente) configuração da tipologia de segurança.
Apenas permite configurar três zonas internas Permite configurar mais do que três zonas j. Clique em Next (Seguinte). É apresentada a página Security Policy Overview
internas (Visão geral da política de segurança).
Permite configurar um IP estático e dinâmico Permite configurar um IP estático, um pool 5. Configure a política de segurança:
para a zona de Internet estático e um IP dinâmico para a zona de Internet
Não permite configurar serviço de zona interna Permite configurar serviço de zona interna A secção Security Policy (Política de segurança) permite configurar as políticas
entre a Internet, a DMZ e as zonas internas.
Não permite configurar NAT de destino interno Permite configurar NAT de destino interno
NOTA: o assistente recomenda políticas de segurança baseadas na topologia de
3. Configure as opções básicas: segurança definida.
a. Introduza o nome do dispositivo e a palavra-passe de raiz na página Device a. Na página Security Policy Overview (Visão geral da política de segurança),
Information (Informação do dispositivo). Clique em Next (Seguinte). É clique em Next (Seguinte). É apresentada a página Licenses (Licenças).
apresentada a página Device Time (Hora do dispositivo).
b. Transfira a licença. Consulte do Passo 8 ao Passo 11 da Tarefa 6.
NOTA: enquanto introduz a palavra-passe, o avaliador de palavra-passe indica c. Caso tenha configurado a DMZ, configure a política da DMZ para o tráfego
a força da mesma. Recomendamos a utilização de uma palavra-passe forte, entre a zona de Internet e a DMZ. Clique em Next (Seguinte).
que contenha 12 ou mais caracteres e inclua letras maiúsculas e minúsculas,
números e símbolos. d. Configure a política interna para o tráfego entre a zona de Internet e as zonas
internas. Clique em Next (Seguinte).
b. Configure a hora do sistema utilizando uma das seguintes opções:
e. Caso tenha configurado a DMZ, configure a política da DMZ para o tráfego
 Time Server (Hora do servidor) - Introduza o nome ou endereço de IP do entre a zona interna e a DMZ.
servidor NTP.
f. Configure a política de segurança para a interface de Device Management
 Manual - Introduza a data e a hora. (Gestão de dispositivo) por zona.
c. Clique em Next (Seguinte). A página Summary (Resumo) é apresentada com a g. Especifique se pretende fornecer acesso remoto às suas zonas internas e
informação básica do dispositivo configurada. DMZ. Caso seleccione Yes (Sim), configure as definições do acesso remoto.
d. Clique em Next (Seguinte). É apresentada a página Security Topology Introduza o intervalo do pool de IP de cliente remoto e as contas de utilizador
Overview (Visão geral da topologia de segurança). remoto.
4. Configure a topologia de segurança: h. Clique em Next (Seguinte) na página Summary (Resumo). É apresentada a
página (Visão geral da Network Address Translation).
a. Na página Security Topology Overview (Visão geral da topologia de
segurança), clique em Next (Seguinte). É apresentada a página Internet Zone 6. Configure a NAT:
Setup (Configuração de zona de Internet).
A secção Network Address Translation permite activar a NAT de origem e a NAT de
b. Confirme se a sua rede interna se encontra ligada à Internet e clique em Next destino.
(Seguinte).
c. Seleccione o dispositivo (SRX) para configurar a ligação Point-to-Point Protocol NOTA: o assistente recomenda regras de NAT de destino com base nos serviços
over Ethernet (PPPoE) e clique em Next (Seguinte). É apresentada a página de zona activos na DMZ ou na topologia interna.
Configuration (Configuração). a. Na página Network Address Translation Overview (Visão geral da Network
Address Translation), clique em Next (Seguinte). É apresentada a página
NOTA: caso seleccione Not Applicable (Não aplicável) ou Modem DSL, é Internal Source NAT (NAT de origem interna).
configurado um IP básico. Avance para o Passo e.
b. Seleccione as zonas internas às quais é necessário adicionar a NAT de origem.
d. Introduza o nome de utilizador e a palavra-passe. Confirme a palavra-passe e Clique em Next (Seguinte).
clique em Next (Seguinte).
c. Adicione a NAT de destino interna e clique em Next (Seguinte).
e. Configure a zona de Internet. Seleccione a opção estática. Clique em Add IP
(Adicionar IP) para introduzir o endereço de IP estático fornecido pelo seu ISP NOTA: a opção de configuração da NAT de destino interna está disponível
e clique em Done (Concluído). Seleccione a porta a ser utilizada e clique em apenas no nível Expert (Experiente).
Next (Seguinte). É apresentada a página DMZ Setup (Configuração de DMZ).
d. Adicione a NAT de destino para a DMZ e clique em Next (Seguinte). É
f. Caso utilize a DMZ, clique em Yes (Sim) e configure a DMZ da sua rede apresentada a página Summary (Resumo).
seguindo as instruções no ecrã. Caso não utilize, clique em No (Não) e avance
para o Passo g.
g. Na página de Internal Zone Setup (Configuração da zona interna), seleccione a
tipologia que melhor representa a sua rede e clique em Next (Seguinte).
h. Configure as zonas internas. Introduza o nome da zona, seleccione a porta a
ser utilizada com esta zona e clique em Next (Seguinte).

Página 4
NOTA: para efectuar quaisquer alterações, clique no botão Edit (Editar) ou Tarefa 9: verificar a configuração
navegue para a secção correspondente a partir do menu pendente na parte
superior da página. Aceda a http://www.juniper.net para se certificar de que se encontra ligado à Internet.
Esta conectividade garante a capacidade de passagem de tráfego através do gateway
de serviços.
NOTA: se a página http://www.juniper.net não for carregada, verifique as suas definições
de configuração e certifique-se de que as aplicou.
Após a conclusão destes passos, poderá haver passagem de tráfego de qualquer porta
segura para a porta não segura.

Encerrar o dispositivo
É possível encerrar o dispositivo de uma das seguintes formas:
 Encerramento sem problemas — Prima e liberte imediatamente o botão Power
(Energia). O dispositivo inicia o encerramento sem problemas do sistema operativo.
 Encerramento forçado — Prima o botão Power (Energia) sem soltar, durante 10
segundos. O dispositivo encerra imediatamente. Prima o botão Power (Energia)
novamente para ligar o dispositivo.
Pode reiniciar ou suspender o sistema na interface J-Web, seleccionando Maintain >
Reboot (Manutenção > Reiniciar).
NOTA: utilize o método de encerramento sem problemas para desligar ou reiniciar o
gateway de serviços. Utilize o método de encerramento forçado como um último recurso
e. Clique em Next (Seguinte). É apresentada a página Confirm & Apply para recuperar o gateway de serviços caso o seu sistema operativo não esteja a
(Confirmar e aplicar). responder ao método de encerramento sem problemas.
Para obter informações adicionais de configuração, consulte Branch SRX Series
Tarefa 8: aplicar a configuração básica Services Gateways Golden Configurations, disponíveis em
Para aplicar as definições de configuração do gateway de serviços: http://www.juniper.net/us/en/local/pdf/app-notes/3500153-en.pdf.
1. Reveja e certifique-se de que as definições de configuração estão correctas e clique Para obter informações detalhadas da configuração de software, consulte a
em Next (Seguinte). É apresentada a página Commit Configuration (Submeter documentação do software disponível em
configuração). http://www.juniper.net/techpubs/en_US/release-independent/junos/information-products/
2. Clique em Apply Settings (Aplicar definições) para aplicar as alterações da pathway-pages/srx-series/product/index.html.
configuração ao gateway de serviços.
NOTA: verifique a conectividade ao gateway de serviços, pois pode perder
conectividade caso tenha alterado o IP da zona de gestão. Clique no URL das Utilizar o botão Reset Config (Repor configuração)
instruções de restabelecimento da conexão para obter informações sobre como
voltar a conectar o dispositivo. Se uma configuração falhar ou negar o acesso de gestão ao gateway de serviços, é
possível utilizar o botão Reset Config (Repor configuração) para restaurar as
3. Clique em Done (Concluído) para terminar a configuração.
predefinições de fábrica ou uma configuração de recuperação do dispositivo. Por
Após a conclusão bem-sucedida da configuração, será redireccionado para a interface exemplo, se alguém submeter, por acidente, uma configuração que negue o acesso de
J-Web. gestão ao gateway de serviços, pode eliminar a configuração inválida e substituí-la por
IMPORTANTE: após a conclusão da configuração, é possível voltar a executar o uma configuração de recuperação, premindo o botão Reset Config (Repor
assistente de configuração J-Web, clicando em Tasks > Run Setup Wizard (Tarefas > configuração).
Executar assistente de configuração). Pode editar uma configuração existente ou criar A configuração de recuperação será uma configuração válida, submetida anteriormente.
uma configuração nova. Note que se seleccionar criar uma configuração nova, toda a
É necessário que tenha definido previamente uma configuração de recuperação através
informação de configuração actual do gateway de serviços será eliminada.
da interface J-Web ou do CLI.
NOTA: para efectuar quaisquer alterações à configuração da interface, consulte Branch
SRX Series Services Gateways Golden Configurations, disponíveis em NOTA: o botão Reset Config (Repor configuração) encontra-se rebaixado para evitar a
http://www.juniper.net/us/en/local/pdf/app-notes/3500153-en.pdf. utilização acidental.

Página 5
Para premir o botão Reset Config (Repor configuração), insira um pequeno objecto
(como um clipe aberto) no orifício existente no painel frontal.
Repor a configuração de recuperação no dispositivo
Para repor a configuração de recuperação no dispositivo, prima e liberte o botão Reset
Config (Repor configuração). O dispositivo carrega e submete a configuração de
recuperação.

Repor as predefinições de fábrica do dispositivo


Para repor as predefinições de fábrica do dispositivo, mantenha premido o botão Reset
Config (Repor configuração) durante 15 segundos ou mais — até que o LED de STATUS
(Estado) apresente uma luz âmbar fixa. Esta acção elimina todas as configurações do
dispositivo, incluindo as cópias de segurança das configurações e a configuração de
recuperação, e carrega e submete as predefinições de fábrica.
Para mais informações sobre a utilização do botão Reset Config (Repor configuração),
incluindo sobre como alterar o seu comportamento predefinido, consulte o guia de
hardware do seu dispositivo.

Contactar a Juniper Networks


Para obter assistência técnica, consulte
www.juniper.net/support/requesting-support.html.

Juniper Networks, Junos, Steel-Belted Radius, NetScreen, e ScreenOS são marcas comerciais registadas da Juniper Networks, Inc. nos Estados Unidos e outros países. O logótipo da Juniper Networks, o logótipo Junos e JunosE são
marcas comerciais da Juniper Networks, Inc. Todas as outras marcas comerciais, marcas de serviços, marcas comerciais registadas ou marcas de serviços registadas são propriedade dos seus respectivos detentores. A Juniper
Networks não assume responsabilidades sobre qualquer imprecisão existente neste documento. A Juniper Networks reserva-se o direito de alterar, modificar, transferir, ou de qualquer outra forma rever esta publicação sem aviso
prévio. Os produtos fabricados ou vendidos pela Juniper Networks, assim como os respectivos componentes, poderão estar abrangidos por uma ou mais das seguintes patentes que são propriedade da, ou disponibilizados através de
licenciamento à, Juniper Networks: n.º de patente nos E.U.A. 5.473.599, 5.905.725, 5.909.440, 6.192.051, 6.333.650, 6.359.479, 6.406.312, 6.429.706, 6.459.579, 6.493.347, 6.538.518, 6.538.899, 6.552.918, 6.567.902, 6.578.186 e
6.590.785. Copyright © 2013, Juniper Networks, Inc. Todos os direitos reservados. Impresso nos E.U.A. Número de referência: 530-049771 Rev. 01 de Junho de 2013.