Juniper-SRX-防火墙配置管理手册.doc
《Juniper-SRX-防火墙配置管理手册.doc》由会员分享,可在线阅读,更多相关《Juniper-SRX-防火墙配置管理手册.doc(26页珍藏版)》请在咨信网上搜索。
1、Juniper SRX系列防火墙配置管理手册目录一、JUNOS操作系统介绍31.1 层次化配置结构31.2 JunOS配置管理41.3 SRX主要配置内容4二、SRX防火墙配置操作举例说明52.1 初始安装52.1.1 设备登陆52.1.2 设备恢复出厂介绍52.1.3 设置root用户口令52.1.4 设置远程登陆管理用户62.1.5 远程管理SRX相关配置62.2 配置操作实验拓扑72.3 策略相关配置说明72.3.1 策略地址对象定义82.3.2 策略服务对象定义82.3.3 策略时间调度对象定义82.3.4 添加策略配置举例92.3.5 策略删除102.3.6 调整策略顺序102.3.
2、7 策略失效与激活102.4 地址转换102.4.1 Interface based NAT 基于接口的源地址转换112.4.2 Pool based Source NAT基于地址池的源地址转换122.4.3 Pool base destination NAT基于地址池的目标地址转换122.4.4 Pool base Static NAT基于地址池的静态地址转换132.5 路由协议配置14静态路由配置14OSPF配置15交换机Firewall限制功能22限制IP地22限制MAC地址22三、SRX防火墙常规操作与维护233.2设备关机233.3设备重启233.4操作系统升级243.5密码恢复24
3、3.6常用监控维护命令25Juniper SRX Branch系列防火墙配置管理手册说明SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络
4、奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。鉴于SRX系列防火墙低端系列与高端3K、5K系列在功能配置与包处理流程有所差异,本人主要以低端系列功能配置介绍为主,Branch系列型号目前包含:SRX1
5、00210240650将来会有新的产品加入到Branch家族,请随时关注官方网站动态,配置大同小异。一、JUNOS操作系统介绍1.1 层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(
6、run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),SRXit命令退回上一级,top命令回到根级。1.2 JunOS配置管理JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commit confirm
7、ed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。在执行commit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行commit后配置模式下可通过run show config命令查看当前有效配置(Active config)。此外可通过执行show | compare比对候选配置和有效配置的差异。SRX上由于配备大容量存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配
8、置(如rollback 0/commit可返回到前一commit配置);也可以直接通过执行save configname.conf手动保存当前配置,并执行load override configname.conf / commit调用前期手动保存的配置。执行load factory-default / commit命令可恢复到出厂缺省配置。SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/comit命令可使NAT相关配置不生效,并可通过执行activate security nat/commit使NAT配置再次生效。SRX通过set语句来配置防火墙,
9、通过delete语句来删除配置,如delete security nat和edit security nat / delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。1.3 SRX主要配置内容部署SRX防火墙主要有以下几个方面需要进行配置:System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。Interface:接口相关配置内容。Security: 是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下
10、完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp、UTM等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。routing-options: 配置静态路由或router-id等系统全局路由属性配置。二、SRX防火墙配置操作举例说明2.1 初始安装2.1.1 设备登陆Console口(通用超级终端缺省配置)连接SRX,root用户登陆,密码为空login: rootPassword:- JUNOS
11、9.5R1.8 built 2009-07-16 15:04:30 UTCroot% cli /*进入操作模式*/root root configureEntering configuration mode /*进入配置模式*/editRoot#2.1.2 设备恢复出厂介绍首先根据上述操作进入到配置模式,执行下列命令:root# load factory-default warning: activating factory configuration /*系统激活出厂配置*/恢复出厂后,必须立刻设置ROOT帐号密码root# set system root-authentication pl
12、ain-tSRXt-password New password:当设置完ROOT帐号密码以后,进行保存激活配置root# commit commit complete在此需要提醒配置操作员注意,系统恢复出厂后并不代表没有任何配置,系统缺省配置有ScreenDHCPPolicy等相关配置,你如果需要完整的删除,可以执行命令delete 删除相关配置。通过show 来查看系统是否还有遗留不需要的配置,可以一一进行删除,直到符合你的要求,然后再重新根据实际需求进行配置。2.1.3 设置root用户口令设置root用户口令root# set system root-authentication pla
13、in-tSRXt-passwordroot# new password : root123root# retype new password: root123密码将以密文方式显示root# show system root-authentication encrypted-password $1$xavDeUe6$fNM6olGU.8.M7B62u05D6.; # SECRET-DATA注意:强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式),此配置参数要求输入的口令是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通
14、过验证风险。注:root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执行commit提交后续配置命令。2.1.4 设置远程登陆管理用户root# set system login user lab class super-user authentication plain-tSRXt-passwordroot# new password : lab123root# retype new password: lab123注:此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。2.1
15、.5 远程管理SRX相关配置run set date YYYYMMDDhhmm.ss/*设置系统时钟*/set system time-zone Asia/Shanghai/*设置时区为上海*/set system host-name SRX-650-1/*设置主机名*/set system name-server 1.1.1.1 /*设置DNS服务器*/set system services ftpset system services telnet set system services web-management http /*在系统级开启ftp/telnet/http远程接入管理服务
16、*/set interfaces ge-0/0/0.0 family inet address 10.1.1.1/24或set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/24set routing-options static route 0.0.0.0/0 nSRXt-hop 192.168.1.1/*配置逻辑接口地址及缺省路由,SRX接口要求IP地址必须配置在逻辑接口下(类似ScreenOS的子接口
17、),通常使用逻辑接口0即可*/set security zones security-zone untrust interfaces ge-0/0/0.0/*将ge-0/0/0.0接口放到安全区域中,类似ScreenOS*/set security zones security-zone untrust host-inbound-traffic system-services pingset security zones security-zone untrust host-inbound-traffic system-services httpset security zones secur
18、ity-zone untrust host-inbound-traffic system-services telnet/*在untrust zone打开允许远程登陆管理服务,ScreenOS要求基于接口开放服务,SRX要求基于Zone开放,从SRX主动访问出去流量开启服务,类似ScreenOS*/本次实验拓扑中使用的设备的版本如下:SRX100-HM系统版本与J-WEB版本均为:10.1.R2.8SSG防火墙版本为6.1.0R7测试客户端包含WINDOWS7XP2.2 配置操作实验拓扑2.3 策略相关配置说明安全设备的缺省行为是拒绝安全区段之间的所有信息流 ( 区段之间信息流)允许绑定到同一
19、区段的接口间的所有信息流 ( 区段内部信息流)。为了允许选定的区段之间信息流通过安全设备,必须创建覆盖缺省行为的区段之间策略。同样,为了防止选定的区段内部信息流通过安全设备,必须创建区段内部策略。基本元素允许、拒绝或设置两点间指定类型单向信息流通道的策略。信息流 ( 或“服务”)的类型、两端点的位置以及调用的动作构成了策略的基本元素。尽管可以有其它组件,但是共同构成策略核心部分的必要元素如下:策略名称 - 两个安全区段间 ( 从源区段到目的区段) 间信息流的方向 /*必须配置*/源地址 - 信息流发起的地址 /*必须配置*/目标地址 - 信息流发送到的地址 /*必须配置*/服务 - 信息流传输
20、的类型 /*必须配置*/动作 - 安全设备接收到满足头四个标准的信息流时执行的动作 /*必须配置*/这些动作为:deny、permit、reject 或 tunnel注意tunnel、firewall-authentication、application-services在permit下一级,如下:root# set security policies from-zone trust to-zone untrust policy t-u then permit ? Firewall-authentication tunnel 另外还包括其他的策略元素,比如记录日志、流量统计、时间调度对象等三种
21、类型的策略 可通过以下三种策略控制信息流的流动:通过创建区段之间策略,可以管理允许从一个安全区段到另一个安全区段的信息流的种类。通过创建区段内部策略,也可以控制允许通过绑定到同一区段的接口间的信息流的类型。通过创建全局策略,可以管理地址间的信息流,而不考虑它们的安全区段。2.3.1 策略地址对象定义SRX服务网关地址对象需要自定义后才可以在策略中进行引用,默认只有any对象自定义单个地址对象如下:root# set security zones security-zone trust address-book address pc-1 20.1.1.200/32 root# set secur
22、ity zones security-zone trust address-book address pc-2 20.1.1.210/32 自定义单个地址组对象如下:set security zones security-zone trust address-book address-set pc-group address pc-1set security zones security-zone trust address-book address-set pc-group address pc-22.3.2 策略服务对象定义SRX服务网关部分服务对象需要自定义后才可以在策略中进行引用,默认
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Juniper SRX 防火墙 配置管理 手册
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。