JuniperSRX防火墙Web配置说明.doc

WORD格式 编辑整理 Juniper SRX防火墙配置说明 专业知识分享 WORD格式 编辑整理 1 系统配置 1 1.1 配置root帐号密码 1 1.2 配置用户名和密码 2 2 接口配置 4 2.1 IPV4地址配置 4 2.2 接口Trunk模式配置 9 2.3 接口Access模式配置 10 3 VLAN配置 11 3.1 创建vlan配置 11 4 路由配置 15 4.1 静态路由配置 15 5 自定义应用配置 16 5.1 自定义服务配置 16 5.2 应用组配置 17 6 地址组配置 18 6.1 地址簿配置 18 6.2 地址组配置 19 7 日程表配置 21 8 NAT配置 24 8.1 Static nat配置 24 WORD格式 编辑整理 1 系统配置 1.1 配置root帐号密码 首次登陆设备时，需要采用console方式，登陆用户名为：root，密码为空，登陆到cli下以后，执行如下命令，设置root帐号的密码。 root# set system root-authentication plain-text-password root# new password : root123 root# retype new password: root123 密码将以密文方式显示。 注意：必须要首先配置root帐号密码，否则后续所有配置的修改都无法提交。 SRX系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在trust区域，配置一个ip地址192.168.1.1，允许ping、telnet、web等管理方式，可以通过该地址登陆设备。登陆后显示页面如下： 在该页面上，可以看到设备的基本情况，在左边的chassis view中可以看到端口up/down情况，在system identification中可以看到设备序列号、设备名称、软件版本等信息，在resource utilization中可以看到cpu、menory、session、存储空间等信息，在security resources中可以看到当前的会话统计、策略数量统计等信息。 1.2 配置用户名和密码 平时配置设备时，建议不要使用root帐号，可以建立1个拥有配置权限的用户名，首先点击页面上方的“configure”，进入“system properties-user management”，点击“edit”后，出现用户帐号编辑对话框，点击“add”，添加一个新帐号。配置方式如下： 必须要填的选项包括：user name、password、confirm password、login class，完成后点击“ok”。 注意：密码必须至少是数字和字母的组合，不可以只配置数字或字母。 配置完成后如下图所示： 1.3 系统时间配置 在“configure”菜单下，进入“system properties-date time”，点击“edit”， n Timezone。在下拉框中选择时区，一般可以选择“asia/shanghai” n Set time。可以选择与pc时间同步或与ntp服务器同步或手工配置时间 完成配置后点击“ok”提交配置。 1.4 设备名称配置 在“configure”下，进入“system properties-System Identity”，点击“edit”， n Hostname。设备的主机名称 n Root password。Root帐号的密码 n Dns servers。Dns服务器，点击“add”进行添加，可添加多个 完成配置后点击“ok”提交配置。 1.5 系统服务配置 系统服务设置包括：设备loopback接口配置、设备管理方式配置等在“configure”下，进入“system properties-System Identity”，点击“edit”， n Loopback address。配置环回接口的ip地址 n Subnet mask。子网掩码。设备会自动根据输入的ip地址更改掩码的位数，也可根据实际情况修改 配置完成后，可切换到“services”下继续其它配置。 “services”页面下可以设置设备全局管理选项的。 n Services。配置设备开启“telnet”和“ssh”服务 n Junoscript。配置设备开启脚本服务，一般情况不用选择 n Enable http。配置设备开启web服务。钩选该项后，就在全局上允许通过web来管理设备。还可以指定具体开启web服务的接口，或选择“enable on all interfaces”来在所有接口上开启web服务 n Enable https。配置设备开启https服务，除了钩选“enable https”外，还要在“https certificate”下拉框中选择一个证书，默认情况下就可以选择“system-generated-certificate”这个系统自带的证书。钩选该项后，就在全局上允许通过https来管理设备。还可以指定具体开启https服务的接口，或选择“enable on all interfaces”来在所有接口上开启web服务 2 接口配置 在SRX防火墙上，不能直接将地址配置在物理接口上，所有接口地址都必须配置在子接口上。在web页面上，当配置完接口ip地址后，设备会自动创建unit 0接口。 2.1 IPV4地址配置 在“configure”目录下，点击“interface”，在右边的接口列表中，选择需要的接口，配置页面如下： 在页面中选择“add”，添加接口ip地址，页面如下： 如需要在接口下进行arp和mac绑定，在arp address中选择“add”，出现如下界面： 填入相关信息，钩选“publish”后点击“ok”。完成配置后如下图： 在该页面下，可以对该逻辑接口配置描述信息，配置完成后点击“ok”。 在物理接口配置页面下，在“logical interface”下可以配置物理接口描述、修改接口mtu值，在“Gigabit Ethernet Options”中可以配置物理接口协商、加入端口聚合组、加入冗余接口组等信息，页面如下： 配置完成后点击“ok”，确认配置。 2.2 接口Trunk模式配置 SRX防火墙接口支持trunk模式，编辑对应接口，在“Ethernet Switching Parameters”下钩选“Enable Ethernet Switching”，选择“Port Mode”为“trunk”，还可以配置该接口上的“Native VLAN Id”。配置界面如下： 配置完成后点击“ok”，提交配置。 2.3 接口Access模式配置 SRX防火墙同样支持接口的access模式。编辑对应接口，在“Ethernet Switching Parameters”下钩选“Enable Ethernet Switching”，选择“Port Mode”为“access”。配置界面如下： 配置完成后，点击“ok”提交配置。 3 VLAN配置 SRX防火墙上的vlan配置与EX系列交换机相同，包括创建vlan、将接口加入vlan、建议3层vlan接口。 3.1 创建vlan配置 在“configure”菜单下，选择“switching-vlan”，点击“add”添加一个vlan，如下图： 这里需要填入的包括vlan名称、vlan id，还可以加入vlan描述信息，完成后切换到“ports”选项卡，如下图： 点击“add”，在端口列表中选择需要加入该vlan的端口。之后切换到“ip address”选项卡，如下图： 钩选“ipv4 address”选项，填入该vlan的3层接口地址和子网掩码。在vlan的3层接口下同样可以实现arp和mac的静态绑定，点击“arp/mac detail”可以完成配置，配置方式与接口下的绑定相同。全部完成后点击“ok”。出现如下图的页面： 该表会显示该vlan的一些基本信息。点击“commit”提交配置。 4 区域配置 SRX防火墙中区域分为2类：功能区域和安全区域。功能区域就是管理接口所处的区域，该区域不能编辑，也不能删除，一般情况下，只需要将管理接口划分到该区域即可。 4.1 安全区域配置 安全区域是业务接口所属的区域，系统默认的安全区域包括：“trust”、“untrust”、“dmz”。安全区域可以自行添加或删除。在“configure”下选择“security-zones”，在“security zone”下点击“add”，增加1个新的安全区域。 n Zone name。区域的名称。根据需要填写 n System services。该区域允许的系统服务。选择“allow selected services”在下拉框中选择需要的系统服务，点击“add”进行添加 n Interface。定义区域后，需要将需要的接口划分到该区域中。在右边的列表中选择需要的接口，点击向左的箭头，加入到该区域中 配置完成后点击“ok”提交配置。 5 路由配置 SRX防火墙支持静态路由，rip、ospf、bgp动态路由协议以及策略路由。 5.1 静态路由配置 静态路由的配置与其它网络设备相同，需要配置的项包括：目的地址、子网掩码、下一跳地址。路由查找的原则同样是明细路由优先，直连路由优先级最高，静态路由次之。当设备配置了接口地址后，在路由表中会生成一个/32的local路由，还会自动生成一个与子网掩码相同的直连路由。 配置页面如下图，在“configure”中选择“routing-static routing”，点击“add”，在弹出的窗口中选择添加ipv4路由，在“next hop”中选择“add”，填入下一跳地址。 6 自定义应用配置 6.1 自定义服务配置 SRX防火墙中预定义了很多服务，在“configure-security-policy elements-applications-pre defined application”中，可以看到很多以“junos”开头的服务，这些都是防火墙中预定义的服务，预定义的服务不能修改，也不能删除。 当需要添加一个自定义的服务时，在“configure-security-policy elements-applications-cumstom applications”中，选择“add”，需要配置的部分包括：应用的名称、匹配的协议（tcp/udp等）、目的端口、源端口（一般选择1-65535），应用超时的时间。 注意：应用超时时间单位是秒，建议根据应用的实际情况设置一个合理的数值，而千万不要选择“never”。 6.2 应用组配置 同样，可以将多个应用（预定义的或是自定义的）归纳到一个应用组中。选择“configure-security-policy elements-applications- application sets”，点击“add”，新建一个应用组，需要填写的内容包括：应用组的名称，然后在左边的应用中选择需要的应用，点击向右箭头，将选中的应用加入到右边的应用组中。如果选择右边的应用，点击向左的箭头，则在该应用组中删除选中的应用。全部完成后选择“ok”，保存配置。 完成配置后如下图，可以看到其中也包含很多系统预定义的应用组。 7 地址组配置 7.1 地址簿配置 在“configure-security-policy elements-address book”中，可以定义地址簿和地址组。在“address”中定义地址簿，点击“add”，需要填写的内容包括：地址所属的区域、地址簿的名称、选择填写ip地址还是域名，并在对应的ip地址或域名下填入所需内容。 注意：在完成上述配置后，点击“ok”，设备会对配置进行语法检查，当检查通过后，地址配置窗口不会自动关闭，因此可以继续修改相关内容，添加一个新的地址簿条目。当完成所有地址簿添加后，点击“cancel”，退出地址簿配置页面。 注意：为了防止误配，如果不准备将新添加的地址加入某个地址组，则不要在“address sets”中点击任何地址组，否则设备会自动将该地址加入到该地址组中。 7.2 地址组配置 在SRX中可以将多个同类型的地址簿归纳到一个地址组中，在“configure-security-policy elements-address sets”中，点击“add”，需要填写的内容包括：地址组所处的区域、地址组的名称，在左边的窗口中选择需要加入该地址组的地址，点击向右的箭头，将该地址加入地址组中。同样，在右边的窗口选择一个地址，点击向左的箭头，则可以将该地址从地址组中删除。 当定义了地址组后，在新建地址簿时，在“address sets”中会出现所有该区域下的地址组，可以在新建地址时就选择对应的地址组进行加入。而不用再切换到“address sets”中进行配置。 8 日程表配置 SRX防火墙支持在策略中引用日程表，来控制策略生效的时间。在“configure-security-policy elements-scheduler”中，点击“add”新建1个日程表，需要填写的内容包括：日程表的名称，控制的时间点。 在日程表中，选择“scheduler date”是按照具体的日期来定义，在定义时必须有至少1个开始时间和1个结束时间。选择“daily”则是按照星期来定义日程表，在“daily option”下拉框中可以选择“period”或是“none”，选择“period”表示该日程表会每天执行定制的时间，选择“none”表示非循环执行。 还可以为1周的每一天定义不同的日程表，在为每1天定义日程表前，需要将“daily option”中配置为“none”。然后切换到“monday”，在“daily option”中可以有4个选项：“all-day”“exclude”“period”“none”。 n “all-day”表示一整天，则无需定义具体时间 n “exclude”表示排出下面定义的时间段 n “period”表示循环，即每个周一都会执行定义的时间段 n “none”表示将周一排出在外，不使用日程表 定义完日程表后，如下图所示，点击对应的日程表，在“scheduler detail”中可以看到该日程表的详细情况。 9 NAT配置 在SRX防火墙中，nat是独立配置的，与策略无关。设备在处理nat时，首先处理static nat，然后处理destination nat，最后处理source nat。所有的nat配置都在“configure-nat”中。 9.1 Static nat配置 Static nat即一对一的地址映射，在“configure”下选择“nat-destination nat” 9.2 Destination nat配置 在“configure”下选择“nat-destination nat”，在“Destination Address Pool”下点击“add”， 需要配置的内容包括： n Name配置“pool”的名称。根据需要配置 n Ip address range配置地址池。可以写一个段，如果只有1个地址，则开始和结束地址写同一个即可 配置完成后点击“ok”提交配置。 在“Destination Rule Sets”下点击“add”，新增一个nat规则。 需要配置的内容包括： n Name。规则的名称。根据需要填写 n From。起始区域。在“zone”对应的下拉框中选择，点击“add”进行添加。可以选择多个 此处只是配置了nat规则的起始和终止区域，并没有配置详细的nat规则，再次点击该规则，在“rule”下点击“add”，继续配置。 需要配置的内容包括 n Name。规则的名称。根据需要配置 n Match。匹配条件。在“destination address”下填入地址段，如要基于端口进行地址转换，则在“port”中填入需要的端口号 n Then。执行动作。“turn off destination nat”表示停止目的地址转换，“pool name”下拉框中可以选择定义好的地址池进行引用 配置完成后点击“ok”提交配置。 注意：同一个“rule sets”下的“rule”名称不能相同。 9.3 Source nat配置 在“configure”下选择“nat-source nat”，基本配置页面如下： “Address Persistent”是指地址附着，设备会将相同的 IP 地址分配给主机的多个同时会话，即保证在一段时间内，设备在给同一个客户端在进行源地址转换时，会替换成同一个源地址，以保证部分应用的正常 “Pool Utilization Alarm”中可以配置地址池的利用率告警阀值 在源地址转换的“rule sets”配置中需要指定“from”和“to”区域，并在该前提下配置具体的“rule”。因此，可以根据防火墙实际使用的区域，来进行排列组合，将同一个“from”和“to”区域nat的配置写在一个“rule sets”下，根据不同的“rule”来进行区分。 在源地址转换中，可以配置一个地址池用来进行源地址转换，也可以使用接口地址作为地址池。需要配置的地方包括： n Name。地址池的名称，根据需要填写 n Port。用户地址转换的范围。默认为使用1024-63487。选择“no translation”则表示保持数据包的源端口不变，即不进行端口转换，如需要指定端口转换的范围，则选择“translation”，然后在“port range”中配置端口转换的范围，绝大多数情况下，该选项保持默认即可 n Source addresses。填入用于该地址池的地址，可以填前缀+子网掩码的方式，也可以填一段地址，如只有1个地址，则在range中填写同样的地址即可 完成配置后点击“ok”提交配置。 接下来需要配置nat的规则，在“Source Rule Sets”下点击“add”，添加1条nat规则 需要配置的部分包括： n Name。规则的名称。根据需要填写 n From。选择soucre nat的起始区域。起始区域可以是路由实例、接口或是安全区域 n To。选择source nat的终止区域。终止区域可以是路由实例、接口或是安全区域，也可以与起始区域相同 完成配置后点击“ok”确认配置。 此处只是配置了nat规则的起始和终止区域，并没有配置详细的nat规则，再次点击该规则，继续配置。 “source nat rule”中需要配置的内容包括： n Name。规则名称。根据需要填写 n Source address。源地址段。填入需要的地址段后点击“add”进行添加。可添加多个 n Destination address。目的地址段。填入需要的地址段后点击“add”进行添加。可添加多个 n Then。匹配后的动作。可以选择停止nat、使用接口地址作为地址池、使用已定义好的地址池 完成配置后点击“ok”提交配置。 注意：同一个“rule sets”下的“rule”名称不能相同。 9.4 Proxy arp配置 10 策略配置 默认情况下，设备中会有缺省配置的策略。策略的配置仍然是基于区域的。策略的匹配顺序为按显示顺序从上往下匹配。在“configure- Security-policy-fw policies”中，在“from zone”和“to zone”中选择合适的区域，点击“add”，添加1条策略。 需要配置的内容包括： n Policy name。策略的名称。根据需要填写 n From zone。起始区域。根据需要填写 n To zone。终止区域。根据需要填写 n Source address。策略的源地址段。在左边的地址簿中选择需要的地址，点击向右箭头进行添加 n Destination address。策略的目的地址段。在左边的地址簿中选择需要的地址，点击向右箭头进行添加 n Application。匹配的应用。根据需要填写 n Policy action。策略的动作。可选“permit”、“deny”、“reject” 注意：策略的源地址和目的地址必须要事先通过定义地址簿的方式配置好，如没有事先添加，可点击“add new source address”和“add new destination address”来进行添加。 上述各项为策略的必须配置项，完成上述配置项后，就可以提交该策略。如需继续配置其它内容，可以切换到“loggint/count”来进一步配置策略。 可选的配置包括： n Enable count。开启策略计数。同时可以配置匹配该策略的流量告警阀值 n Log options。开启策略日志。“log at session close time”表示在会话结束时记录日志。“log at session init time”表示在会话开始建立时记录日志 切换到“Scheduler”，配置该策略生效的日程表。 在下拉框中选择合适的日程表即可。 切换到“permit action”中，可以配置额外的允许选项。 n Tunnel。如果配置基于策略的ipsec vpn，则需要在“vpn”下拉框中选择对应的vpn配置。如需要对匹配该策略的用户进行认证，则需要在“firewall authentication”中的“access profile”中选择对应的配置文件。 切换到“application services”菜单，可以配置“idp”或“utm”相关内容。 n Idp。启用idp相关配置 n Redirect。配置防火墙将流量重定向到wx设备或配置防火墙将流量反向重定向到wx n Utm policy。配置防火墙启用utm配置 完成所有配置后，点击“ok”提交配置。全部配置完成后如下图所示： 在策略页面的左上角，有一些功能按钮，可以快速修改策略的一些设置 n Add。添加1条策略 n Edit。编辑1条策略 n Delete。删除1条策略 n Clone。克隆，新建1条与选中的策略配置完全一样的策略，通过“clone”可以快速建立同一类型的策略 n Deactive。暂停1条策略。点击1条策略并选择“deactive”后，该策略会临时被关闭 n Move。移动策略的排列顺序。使用“move”可以快速调整策略的顺序 专业知识分享