JuniperSRX防火墙配置管理基础手册.doc

《JuniperSRX防火墙配置管理基础手册.doc》由会员分享，可在线阅读，更多相关《JuniperSRX防火墙配置管理基础手册.doc（34页珍藏版）》请在咨信网上搜索。

Juniper SRX系列防火墙配置管理手册 目录 一、JUNOS操作系统介绍 3 1.1 层次化配置结构 3 1.2 JunOS配置管理 4 1.3 SRX关键配置内容 4 二、SRX防火墙配置操作举例说明 5 2.1 初始安装 5 2.1.1 设备登陆 5 2.1.2 设备恢复出厂介绍 5 2.1.3 设置root用户口令 5 2.1.4 设置远程登陆管理用户 6 2.1.5 远程管理SRX相关配置 6 2.2 配置操作试验拓扑 7 2.3 策略相关配置说明 7 2.3.1 策略地址对象定义 8 2.3.2 策略服务对象定义 8 2.3.3 策略时间调度对象定义 8 2.3.4 添加策略配置举例 9 2.3.5 策略删除 10 2.3.6 调整策略次序 10 2.3.7 策略失效和激活 10 2.4 地址转换 10 2.4.1 Interface based NAT 基于接口源地址转换 11 2.4.2 Pool based Source NAT基于地址池源地址转换 12 2.4.3 Pool base destination NAT基于地址池目标地址转换 12 2.4.4 Pool base Static NAT基于地址池静态地址转换 13 2.5 路由协议配置 14 静态路由配置 14 OSPF配置 15 交换机Firewall限制功效 22 限制IP地 22 限制MAC地址 22 三、SRX防火墙常规操作和维护 23 3.2 设备关机 23 3.3 设备重启 23 3.4 操作系统升级 24 3.5 密码恢复 24 3.6 常见监控维护命令 25 Juniper SRX Branch系列防火墙配置管理手册说明 SRX系列防火墙是Juniper企业基于JUNOS操作系统安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富网络服务。现在Juniper企业全系列路由器产品、交换机产品和SRX安全产品均采取统一源代码JUNOS操作系统，JUNOS是全球首款将转发和控制功效相隔离，并采取模块化软件架构网络操作系统。JUNOS作为电信级产品精髓是Juniper真正成功基石，它让企业级产品一样含有电信级不间断运行特征，愈加好安全性和管理特征，JUNOS软件创新分布式架构为高性能、高可用、高可扩展网络奠定了基础。基于NP架构SRX系列产品产品同时提供性能优异防火墙、NAT、IPSEC、IPS、UTM等全系列安全功效，其安全功效关键起源于已被广泛证实ScreenOS操作系统。 本文意在为熟悉Netscreen防火墙ScreenOS操作系统工程师提供SRX防火墙参考配置，方便于大家能够快速布署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最终对SRX防火墙常规操作和维护做简明说明。 鉴于SRX系列防火墙低端<Branch>系列和高端3K、5K系列在功效配置和包处理步骤有所差异,本人关键以低端系列功效配置介绍为主,Branch系列型号现在包含：SRX100\210\240\650未来会有新产品加入到Branch家族,请随时关注官方网站动态，配置大同小异。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采取基于FreeBSD内核软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方法，本文关键对CLI命令行方法进行配置说明。JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对目前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并经过实施config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够实施操作模式下全部命令（run）。在配置模式下JUNOS采取分层分级模块下配置结构，以下图所表示，edit命令进入下一级配置（类似unix cd命令）,SRXit命令退回上一级，top命令回到根级。 1.2 JunOS配置管理 JUNOS经过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate Config）等候管理员提交确定，管理员经过输入commit命令来提交配置，配置内容在经过SRX语法检验后才会生效，一旦commit经过后目前配置即成为有效配置（Active config）。另外，JUNOS许可实施commit命令时要求管理员对提交配置进行两次确定，如实施commit confirmed 2命令要求管理员必需在输入此命令后2分钟内再次输入commit以确定提交，不然2分钟后配置将自动回退，这么能够避免远程配置变更时管理员失去对SRX远程连接风险。 在实施commit命令前可经过配置模式下show命令查看目前候选配置（Candidate Config），在实施commit后配置模式下可经过run show config命令查看目前有效配置（Active config）。另外可经过实施show | compare比对候选配置和有效配置差异。 SRX上因为配置大容量存放器，缺省按前后commit次序自动保留50份有效配置，并可经过实施rolback和commit命令返回到以前配置（如rollback 0/commit可返回到前一commit配置）；也能够直接经过实施save configname.conf手动保留目前配置，并实施load override configname.conf / commit调用前期手动保留配置。实施load factory-default / commit命令可恢复到出厂缺省配置。 SRX可对模块化配置进行功效关闭和激活，如实施deactivate security nat/comit命令可使NAT相关配置不生效，并可经过实施activate security nat/commit使NAT配置再次生效。 SRX经过set语句来配置防火墙，经过delete语句来删除配置，如delete security nat和edit security nat / delete一样，均可删除security防火墙层级下全部NAT相关配置，删除配置和ScreenOS不一样，配置过程中需加以留心。 1.3 SRX关键配置内容 布署SRX防火墙关键有以下多个方面需要进行配置： System：关键是系统级内容配置，如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放远程管理服务（如telnet）等内容。 Interface:接口相关配置内容。 Security: 是SRX防火墙关键配置内容，安全相关部分内容全部在Security层级下完成配置，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp、UTM等，可简单了解为ScreenOS防火墙安全相关内容全部迁移至此配置层次下，除了Application自定义服务。 Application：自定义服务单独在此进行配置，配置内容和ScreenOS基础一致。 routing-options： 配置静态路由或router-id等系统全局路由属性配置。 二、SRX防火墙配置操作举例说明 2.1 初始安装 2.1.1 设备登陆 Console口(通用超级终端缺省配置)连接SRX，root用户登陆，密码为空<初始第一次登陆> login: root Password: --- JUNOS 9.5R1.8 built -07-16 15:04:30 UTC root% cli /***进入操作模式***/ root> root> configure Entering configuration mode /***进入配置模式***/ [edit] Root# 2.1.2 设备恢复出厂介绍 首先依据上述操作进入到配置模式,实施下列命令： root# load factory-default warning: activating factory configuration /***系统激活出厂配置***/ 恢复出厂后,必需立即设置ROOT帐号密码<默认密码最少6位数：字母加数字> root# set system root-authentication plain-tSRXt-password New password: 当设置完ROOT帐号密码以后,进行保留激活配置 root# commit commit complete 在此需要提醒配置操作员注意，系统恢复出厂后并不代表没有任何配置,系统缺省配置有Screen\DHCP\Policy等相关配置,你假如需要完整删除,能够实施命令delete 删除相关配置。经过show 来查看系统是否还有遗留不需要配置,能够一一进行删除,直到符合你要求,然后再重新依据实际需求进行配置。 2.1.3 设置root用户口令 设置root用户口令 root# set system root-authentication plain-tSRXt-password root# new password : root123 root# retype new password: root123 密码将以密文方法显示 root# show system root-authentication encrypted-password "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA 注意：强烈提议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方法)，此配置参数要求输入口令是经加密算法加密后字符串，采取这种加密方法手工输入时存在密码无法经过验证风险。 注：root用户仅用于console连接当地管理SRX，不能经过远程登陆管理SRX，必需成功设置root口令后，才能实施commit提交后续配置命令。 2.1.4 设置远程登陆管理用户 root# set system login user lab class super-user authentication plain-tSRXt-password root# new password : lab123 root# retype new password: lab123 注：此lab用户拥有超级管理员权限，可用于console和远程管理访问，另也可自行灵活定义其它不一样管理权限用户。 2.1.5 远程管理SRX相关配置 run set date YYYYMMDDhhmm.ss　　　　　　/***设置系统时钟***/ set system time-zone Asia/Shanghai　　　/***设置时区为上海***/ set system host-name SRX-650-1　　　　　/***设置主机名***/ set system name-server 1.1.1.1 　　 /***设置DNS服务器***/ set system services ftp　　　　　　　　 set system services telnet set system services web-management http /***在系统级开启ftp/telnet/http远程接入管理服务***/ set interfaces ge-0/0/0.0 family inet address 10.1.1.1/24 或 set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/24 set routing-options static route 0.0.0.0/0 nSRXt-hop 192.168.1.1 /***配置逻辑接口地址及缺省路由，SRX接口要求IP地址必需配置在逻辑接口下（类似ScreenOS子接口），通常使用逻辑接口0即可***/ set security zones security-zone untrust interfaces ge-0/0/0.0 /***将ge-0/0/0.0接口放到安全区域中，类似ScreenOS***/ set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic system-services http set security zones security-zone untrust host-inbound-traffic system-services telnet /***在untrust zone打开许可远程登陆管理服务，ScreenOS要求基于接口开放服务，SRX要求基于Zone开放，从SRX主动访问出去流量开启服务，类似ScreenOS***/ 此次试验拓扑中使用设备版本以下： SRX100-HM系统版本和J-WEB版本均为：10.1.R2.8 SSG防火墙版本为6.1.0R7 测试用户端包含WINDOWS7\XP 2.2 配置操作试验拓扑 2.3 策略相关配置说明 安全设备缺省行为是拒绝安全区段之间全部信息流 ( 区段之间信息流)许可绑定到同一区段接口间全部信息流 ( 区段内部信息流)。为了许可选定区段之间信息流经过安全设备，必需创建覆盖缺省行为区段之间策略。一样，为了预防选定区段内部信息流经过安全设备，必需创建区段内部策略。 基础元素 许可、拒绝或设置两点间指定类型单向信息流通道策略。信息流 ( 或“服务”)类型、两端点位置和调用动作组成了策略基础元素。尽管能够有其它组件，不过共同组成策略关键部分必需元素以下: 策略名称 - 两个安全区段间 ( 从源区段到目标区段) 间信息流方向 /***必需配置***/ 源地址 - 信息流提议地址 /***必需配置***/ 目标地址 - 信息流发送到地址 /***必需配置***/ 服务 - 信息流传输类型 /***必需配置***/ 动作 - 安全设备接收到满足头四个标准信息流时实施动作 /***必需配置***/ 这些动作为:deny、permit、reject 或 tunnel 注意tunnel、firewall-authentication、application-services<IDP\UAC\WX\UTM策略>在permit下一级,以下： root# set security policies from-zone trust to-zone untrust policy t-u then permit ? > Firewall-authentication > tunnel 另外还包含其它策略元素,比如统计日志、流量统计、时间调度对象等 三种类型策略 可经过以下三种策略控制信息流流动: 经过创建区段之间策略，能够管理许可从一个安全区段到另一个安全区段信息流种类。 经过创建区段内部策略，也能够控制许可经过绑定到同一区段接口间信息流类型。 经过创建全局策略，能够管理地址间信息流，而不考虑它们安全区段。 2.3.1 策略地址对象定义 SRX服务网关地址对象需要自定义后才能够在策略中进行引用,默认只有any对象 自定义单个地址对象以下： root# set security zones security-zone trust address-book address pc-1 20.1.1.200/32 root# set security zones security-zone trust address-book address pc-2 20.1.1.210/32 自定义单个地址组对象以下： set security zones security-zone trust address-book address-set pc-group address pc-1 set security zones security-zone trust address-book address-set pc-group address pc-2 2.3.2 策略服务对象定义 SRX服务网关部分服务对象需要自定义后才能够在策略中进行引用,默认仅有预定义常见服务对象 自定义单个服务对象以下： set applications application tcp-3389 protocol tcp 定义服务对象协议<TCP\UDP\ICMP\OTHER> set applications application tcp-3389 source-port 1-65535定义服务对象源端口 set applications application tcp-3389 destination-port 3389-3389定义服务对象目标地址 set applications application tcp-3389 inactivity-timeout never 可选定义服务对象timeout时长 set applications application tcp-8080 protocol tcp set applications application tcp-8080 source-port 1-65535 set applications application tcp-8080 destination-port 8080-8080 set applications application tcp-8080 inactivity-timeout 3600 自定义单个服务组对象以下： set applications application-set aaplications-group application tcp-8080 set applications application-set aaplications-group application tcp-3389 2.3.3 策略时间调度对象定义 SRX服务网关时间调度对象需要自定义后才能够在策略中进行引用,默认没有预定义时间调度对象 自定义单个时间调度对象以下： set schedulers scheduler work-time daily start-time 09:00:00 stop-time 18:00:00 set schedulers scheduler happy-time sunday start-time 00:00:00 stop-time 23:59:59 set schedulers scheduler happy-time saturday start-time 00:00:00 stop-time 23:59:59 注意：时间调度服务生效参考设备系统时间,所以需要关注设备系统时间是否正常。 2.3.4 添加策略配置举例 Policy配置方法和ScreenOS基础一致，仅在配置命令上有所区分，其中策略许可/拒绝动作（Action）需要额外配置一条then语句(将ScreenOS一条策略分解成两条及以上配置语句)。Policy需要手动配置policy name，policy name能够是字符串，也能够是数字（和ScreenOSpolicy ID类似,只不过需要手工指定）。 首先需要注意系统缺省策略配置： root# show security policies default-policy 查看目前系统缺省策略动作 root# set security policies default-policy ? 设置系统缺省策略动作 Possible completions: deny-all Deny all traffic if no policy match permit-all Permit all traffic if no policy match 依据试验拓扑进行策略配置举例说明 set security zones security-zone trust address-book address pc1 20.1.1.200/32 set security zones security-zone untrust address-book address server1 192.168.1.200/32 /***和ScreenOS一样，在trust和untrust zone下分别定义地址对象便于策略调用，地址对象名称能够是地址/掩码形式***/ set security zones security-zone trust address-book address-set addr-group1 address pc1 /***在trust zone下定义名称为add-group1地址组，并将pc1地址放到该地址组中***/ Set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application any set security policies from-zone trust to-zone untrust policy 001 then permit /***定义从trust 到untrust方向permit策略，许可addr-group1组源地址访问server1地址any服务***/ set security policies from-zone trust to-zone untrust policy 001 then log session-init set security policies from-zone trust to-zone untrust policy 001 then log session-close set security policies from-zone trust to-zone untrust policy 001 then count <可选配置>/***定义从trust 到untrust方向策略，针对目前策略统计日志并统计策略流量 root# set security policies from-zone trust to-zone untrust policy 001 scheduler-name happy-time root# set security policies from-zone trust to-zone dmz policy 001 scheduler-name work-time <可选配置>/***定义目前策略，引用时间调度对象，符合时间条件策略生效，不然策略将处于非工作状态 root# set security policies from-zone trust to-zone untrust policy t-u then permit application-services ? Possible completions: + apply-groups Groups from which to inherit configuration data + apply-groups-SRXcept Don't inherit configuration data from these groups gprs-gtp-profile Specify GPRS Tunneling Protocol profile name idp Intrusion detection and prevention redirect-wx Set WX redirection reverse-redirect-wx Set WX reverse redirection uac-policy Enable unified access control enforcement of policy utm-policy Specify utm policy name [edit] <可选配置>/***定义目前策略，选择是否客气IDP\UAC\UTM等操作,假如针对策略开启对应检验，请先定义好对应功效。 2.3.5 策略删除 删除SRX防火墙策略命令，在JUNOS系统中删除全部全部使用delete命令，所以删除策略命令以下： srx3400@root#delete security policies from trust to untrust policy 1 /*** 删除从trust到 untrust 策略ID为1策略 ***/ 命令以下：srx3400@root#delete security policies from zone-name to zone-name policy policy-id Zone-name:表示自定义或预定义zone名字。比如：trust、untrust、dmz等 Policy-id：表示策略ID号，比如：1、2、3、4、n。 注意：假如不加策略ID将表示删除从From-zone 到 TO zone 全部策略 2.3.6 调整策略次序 SRX防火墙策略实施次序是自上而下，逐一检验进行匹配。新添加策略将排列在策略最终一个，默认策略是全部阻止，所以假如前面有模糊匹配策略，正确匹配策略将不再实施，所以需要调整策略次序。 命令以下：(1) srx3400@root#insert security policies from trust to untrust policy 1 before policy 2 /*** 将从trust区域到untrust区域策略1插入到策略2前面 ***/ (2) srx3400@root#insert security policies from trust to untrust policy 1 after policy 2 /*** 将从trust区域到untrust区域策略1插入到策略2后面 ***/ 命令格式：srx3400@root#insert security policies from zone-name to zone-name policy policy-id before policy policy-id srx3400@root#insert security policies from zone-name to zone-name policy policy-id after policy policy-id 2.3.7 策略失效和激活 在SRX防火墙中准备暂停某条策略，等候测试结束后再激活启用，使用以下命令进行设置 命令以下：策略失效 (1) srx3400@root#deactive security policies from trust to untrust policy 1 /*** 将从trust区域到untrust区域策略1 临时停用 ***/ 策略激活 （2）srx3400@root#active security policies from trust to untrust policy 1 /*** 将从trust区域到untrust区域策略1 激活 ***/ 激活和失效配置完成后全部要进行commit操作。 命令以下：srx3400@root#commit 2.4 地址转换 SRX NAT较ScreenOS在功效实现方面基础保持一致，但在功效配置上有较大区分，配置关键差异在于ScreenOSNAT和policy是绑定，不管是MIP/VIP/DIP还是基于策略NAT，在policy中均要表现出NAT内容（除了缺省基于untrust接口Souec-NAT模式外），而SRX NAT则作为网络层面基础内容进行独立配置（独立定义地址映射方向、映射关系及地址范围），Policy中不再包含NAT相关配置信息，这么好处是易于了解、简化运维，当网络拓朴和NAT映射关系发生改变时，无需调整Policy配置内容。 SRX NAT和Policy实施前后次序为：目标地址转换－目标地址路由查找－实施策略检验－源地址转换，结合这个实施次序，在配置Policy时需注意：Policy中源地址应是转换前源地址，而目标地址应该是转换后目标地址，换句话说，Policy中源和目标地址应该是源和目标两端真实IP地址，这一点和ScreenOS存在区分，需要加以注意。 SRX中不再使用MIP/VIP/DIP这些概念，其中MIP被Static静态地址转换替换，二者在功效上完全一致；DIP被Source NAT替换；基于Policy目标地址转换及VIP被 Destination NAT替换。ScreenOS中基于Untrust zone接口源地址转换被保留下来，但在SRX中不再是缺省模式（SRX中Trust Zone接口没有NAT模式概念），需要手工配置。类似ScreenOS，Static属于双向NAT，其它类型均属于单向NAT。 另外，SRX还多了一个proxy-arp概念，假如定义IP Pool（可用于源或目标地址转换）需配置SRX对这个Pool内地址提供ARP代理功效，这么对端设备能够解析到IP Pool地址MAC地址（使用接口MAC地址响应对方），方便于返回报文能够送达SRX。下面是配置举例及相关说明： 2.4.1 Interface based NAT 基于接口源地址转换 图片仅供参考,下列配置参考试验拓扑 NAT配置： set security nat source rule-set 1 from zone trust 指定源区域 set security nat source rule-set 1 to zone untrust 指定目标区域 set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0 指定源和目标匹配地址或地址段,0.0.0./0代表全部 set security nat source rule-set 1 rule rule1 then source-nat interface 指定经过接口IP进行源翻译 上述配置定义NAT源地址映射规则，从Trust Zone访问Untrust Zone全部流量用Untrust Zone接口IP做源地址转换。 Policy配置: set security policies from-zone trust to-zone untrust policy 1 match source-address pc-1 set security policies from-zone trust to-zone untrust policy 1 match destination-address any set security policies from-zone trust to-zone untrust policy 1 match application any set security policies from-zone trust to-zone untrust policy 1 then permit 上述配置定义Policy策略，许可Trust zone 10.1.2.2地址访问Untrust方向任何地址，依据前面NAT配置，SRX在建立session时自动实施接口源地址转换。 2.4.2 Pool based Source NAT基于地址池源地址转换 图片仅供参考,下列配置参考试验拓扑　 NAT配置： set security nat source pool pool-1 address 192.168.1.50 to 192.168.1.150 set security nat source rule-set 1 from zone trust set security nat source rule-set 1 to zone untrust set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0 set security nat source rule-set 1 rule rule1 then source-nat pool pool-1 set security nat proxy-arp interface ge-0/0/0 address 192.168.1.50 to 192.168.1.150 上述配置表示从trust方向（any）到untrust方向(any)访问时提供源地址转换，源地址池为pool1(192.168.1.50-192.168.1.150)，同时fe-0/0/0接口为此pool IP提供ARP代理。需要注意是：定义Pool时不需要和Zone及接口进行关联。配置proxy-arp目标是让返回包能够送达SRX，假如Pool和出接口IP不在同一子网，则对端设备需要配置指向fe-0/0/0接口Pool地址路由。 Policy： set security policies from-zone trust to-zone untrust policy 1 match source-address pc-1 set security policies from-zone trust to-zone untrust policy 1 match destination-address any set security policies from-zone trust to-zone untrust policy 1 match application any set secu