junipersrx3000防火墙配置手册.docx
《junipersrx3000防火墙配置手册.docx》由会员分享,可在线阅读,更多相关《junipersrx3000防火墙配置手册.docx(44页珍藏版)》请在冰豆网上搜索。
junipersrx3000防火墙配置手册
技术文件
技术文件名称:
JuniperSRX3000系列防火墙工程开通指导书
技术文件编号:
版本:
拟制_
审核_
会签_
_
_
_
标准化_
批准_
修改记录
文件编号
版本号
拟制人/
修改人
拟制/修改日期
更改理由
主要更改内容
注:
文件第一次拟制时,“更改理由”、“主要更改内容”栏写“无”。
本文档以Junos版本为主编写
一、防火墙介绍
SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。
目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。
JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。
基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSLVPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
SRX3600
SRX3400
(图片仅供参考,以实物为准)
二、防火墙基础配置
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。
JUNOSCLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。
在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unixcd命令),exit命令退回上一级,top命令回到根级。
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(CandidateConfig)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Activeconfig)。
另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commitconfirmed2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(CandidateConfig),在执行commit后配置模式下可通过runshowconfig命令查看当前有效配置(Activeconfig)。
此外可通过执行show|compare比对候选配置和有效配置的差异。
SRX上由于配备大容量硬盘存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback0/commit可返回到前一commit配置);也可以直接通过执行save手动保存当前配置,并执行loadoverride/commit调用前期手动保存的配置。
执行loadfactory-default/commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivatesecuritynat/comit命令可使NAT相关配置不生效,并可通过执行activatesecuritynat/commit使NAT配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如deletesecuritynat和editsecuritynat/delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
第一次连接防火墙
方式一:
Console方式
基于Console终端配置SRX3400的准备
安装Windows操作系统的PC一台(安装超级终端)
SRX3400设备标准配置自带的Console电缆一条
使用超级终端建立一个连接,通过Console电缆一端连接SRX3400任何一台设备,一端连接COM口,COM的参数设置如:
使用Console端口做初始化配置,防火墙的初始账号和密码:
login:
root
password:
(默认没有root密码)
SRX3400%#shell模式
在shell模式下可使用linux命令,不建议在次模式下对防火墙进行任何操作。
SRX3400%cli
SRX3400>#用户模式
在用户模式下可以显示SRX设备的配置、端口状态、路由信息等。
登录到SRX上即进入路由器的用户模式:
SRX3400##配置模式
通过在用户模式使用edit命令进入配置模式:
SRX3400>edit
[edit]
方式二:
基于WEB方式
默认不开启WEB服务,需要在配置
1、使用带外管理口访问防火墙
命令行配置如下:
lab#setinterfacesfxp0unit0familyinetaddress
lab#setsystemservicesweb-managementhttpinterfacefxp0
lab#commit
commitcomplete
将PC机连接到带外管理口。
在IE浏览器地址栏键入,如“),如果你输入的是接口IP地址。
可以根据实际管理需要,Juniper防火墙还可以通过telnet\SSH\SSL等方式管理,配置仅需在接口设置下开启相应的服务即可。
(注意:
需要先将接口放入相关区域内)
方式三:
基于Telnet/SSH/方式
高级管理员可通过使用命令行界面(CLI)进行更好的控制。
要为安全设备配置CLI,可使用任何仿真VT100终端的软件。
如果使用终端机仿真器,可使用Windows、UNIX或Macintosh操作系统中的控制台来配置安全设备。
要通过CLI进行远程管理,可使用Telnet或“安全外壳”(SSH)。
要通过控制台端口进行直接连接,可使用"HyperTerminal"。
举例:
采用实际端口ge-0/0/0使用telnet访问,通过对system-services可选择telnet/ssh/http/https/ping等
CLI方式:
setsystemservicestelnet
setsecurityzonessecurity-zonetrustinterfacesge-0/0/host-inbound-trafficsystem-servicestelnet
添加/删除用户
默认没有root用户的密码,需要设置一密码,密码要求字母和数字组合,长度大于等于6个字符。
设置root用户口令
setsystemroot-authenticationplain-text-password
newpassword:
root123
retypenewpassword:
root123
密码将以密文方式显示
showsystemroot-authentication
encrypted-password"$1$xavDeUe6$";#SECRET-DATA
注意:
强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式),此配置参数要求输入的口令应是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。
注:
root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执行commit提交后续配置命令。
设置远程登陆管理用户
新建一个用户class属性,超时设为10分钟,允许所有操作。
(属于该属性的用户,在登陆设备10分钟后没有任何操作,设备会自动中断该连接)
setsystemloginclasssuper-useridle-timeout10
setsystemloginclasssuper-userpermissionsall
新建一个用户lab,属性super-user
setsystemloginuserlabclasssuper-user
setsystemloginuserlabauthentication
setsystemplain-text-password
Newpassword:
Retypenewpassword:
注:
此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
设置SNMP
JuniperNetworks用以下方式在其设备中执行SNMP:
举例如下:
创建一个SNMP公共组,名称为public。
为其分配读/写权限并启用其成员,以接收MIBII数据和陷阱。
公共组名称充当密码,并需要受到保护。
一旦机箱的电源或风扇出现硬件故障,或者接口down就生成陷阱,发送的这个服务器。
最后,启用ge-0/0/0上的SNMP可管理性,它是此前已绑定到Trust区段上的接口。
这是SNMP管理器应用程序用来与安全设备中的SNMP代理通信的接口。
WebUI
CLI
setsnmpcommunitypublicauthorizationread-write
setsnmptrap-group"powerfail"categorieschassis
setsnmptrap-group"powerfail"categorieslink
setsnmptrap-group"powerfail"targetssecurityzonessecurity-zonetrustinterfacesge-0/0/host-inbound-trafficsystem-servicessnmp(在需要与snmpserver通讯的接口打开SNMP服务)
commit
日期/时间/NTP配置方法
JuniperNetworks安全设备应始终设置成正确的时间,这一点很重要。
首先,为确保设备始终维持正确的时间,必须将系统时钟设置为当前时间.
日期和时间
通过CLI,使用以下命令手动输入日期和时间,来设置时钟:
runsetdate /***设置系统时钟***/
setsystemtime-zoneAsia/Shanghai /***设置时区为上海***/
网络时间协议
为确保安全设备始终保持正确时间,可以使用“网络时间协议”(NTP)通过互联网来同步系统时钟与NTP服务器的时钟。
您可以手动同步.
配置NTP服务器
CLI
setsystemntpserversecurityzonessecurity-zonetrustinterfacesge-0/0/host-inbound-trafficsystem-servicesntp
commit
手工与NTPserver同步:
>setdatentp其它基本参数配置
setsystemhost-nameSRX3400-A /***设置主机名***/
如图可以看到硬件、软件、串号、主机名等信息。
CLI
查看版本
lab>showversion
Model:
srx3600
JUNOSSoftwareRelease[查看硬件信息:
lab>showchassishardwaredetail
Hardwareinventory:
ItemVersionPartnumberSerialnumberDescription
ChassisAB2310AA0016SRX3600
MidplaneREV08710-020310AABH8129SRX3600Midplane
PEM0rev08740-027644G087FB000B08PACPowerSupply
PEM1rev08740-027644G087FB001308PACPowerSupply
CB0REV16750-021914AAAW8561SRX3kRE-12-10
RoutingEngineBUILTINBUILTINRoutingEngine
ad0977MBSILICONSYSTEMSUDMA1GBC8721BJ2F003CompactFlash
ad215392MBWintecSSD16GBWT1027AA016007AHardDisk
CPPBUILTINBUILTINCentralPFEProcessor
MezzREV08710-021035AAAV3620SRX3kHDMezzanineCard
FPC0REV13750-021882AABA6495SRX3kSFB12GE
PIC0BUILTINBUILTIN8x1GE-TX4x1GE-SFP
FPC8REV12750-016077AABK1756SRX3kSPC
PIC0BUILTINBUILTINSPUCp-Flow
FPC10REV14750-017866AABJ2552SRX3kNPC
PIC0BUILTINBUILTINNPCPIC
FPC12REV14750-017866AABE7477SRX3kNPC
PIC0BUILTINBUILTINNPCPIC
FanTray0REV06750-021599AAAR5096SRX3600FanTray
三、防火墙特性功能
配置安全区域
首次启动安全设备时,默认没有任何区域。
默认建立的区
创建trust区段。
CLI
setsecurityzonessecurity-zonetrust
删除区段
CLI
deletesecurityzonessecurity-zonetrust
Policy策略配置
定义地址薄
SRX服务网关地址对象需要自定义后才可以在策略中进行引用,默认只有any对象,必须先在相关zone的地址薄里创建地址薄对象,再在安全策略里引用这些对象。
address-book还支持创建address-set来包含多个离散的地址,以方便策略引用
建立Trust区域的address-book
setsecurityzonessecurity-zonetrustaddress-bookaddresspc-1securityzonessecurity-zonetrustaddress-bookaddresspc-2建立Trust区域的address-set(地址组,组名为pc-group)
setsecurityzonessecurity-zonetrustaddress-bookaddress-setpc-groupaddresspc-1
setsecurityzonessecurity-zonetrustaddress-bookaddress-setpc-groupaddresspc-2
建立Untrust区域的address-book
setsecurityzonessecurity-zoneUntrustaddress-bookaddressweb-serversecurityzonessecurity-zoneUntrustaddress-bookaddressmail-server建立Untrust区域的address-set
setsecurityzonessecurity-zoneUntrustaddress-bookaddress-setInter-groupaddressweb-server
setsecurityzonessecurity-zoneUntrustaddress-bookaddress-setInter-groupaddressmail-server
删除地址
CLI
Deletesecurityzonessecurity-zonetrustaddress-bookaddresspc-1
关于服务
预定义服务
SRX安全策略里不允许直接使用协议号,源端口,目标端口来匹配业务应用,只能使用[application]下系统预定义的应用类型或用户自定义的业务类型。
系统预定义的业务类型名字都是以”junos-“开头的。
如下:
root#showgroupsjunos-defaultsapplicationsapplication?
Possiblecompletions:
Applicationname
anyApplicationname
junos-aolApplicationname
junos-bgpApplicationname
junos-biffApplicationname
junos-bootpcApplicationname
junos-bootpsApplicationname
junos-chargenApplicationname
junos-cvspserverApplicationname
junos-dhcp-clientApplicationname
junos-dhcp-relayApplicationname
junos-dhcp-serverApplicationname
junos-discardApplicationname
junos-dns-tcpApplicationname
junos-dns-udpApplicationname
junos-echoApplicationname
junos-fingerApplicationname
junos-ftpApplicationname
junos-gnutellaApplicationname
Application同样允许用户自定义的应用类型,并且通过定义application-set来包含多个application,以方便策略引用。
以下以WAP网关需要开放及侦听的端口服务为例:
自定义服务并把自定义服务放到一个application-set组中
端口号
用途
侦听服务端口
9200-9203(udp)
Brower
侦听服务端口(in)
9208-9209(tcp)
ENUM_DNS
侦听服务端口(in)
14000(tcp)
QQsocket
侦听服务端口(in)(超时时间为600秒)
定义自有服务:
setapplicationsapplicationBrower_udpprotocoludp
setapplicationsapplicationBrower_udpsource-port0-65535
setapplicationsapplicationBrower_udpdestination-port9200-9203
setapplicationsapplicationPush_tcp-1protocoltcp
setapplicationsapplicationPush_tcp-1source-port0-65535
setapplicationsapplicationPush_tcp-1destination-port8090-8091
setapplicationsapplicationQQ14000protocoltcp
setapplicationsapplicationQQ14000source-port0-65535
setapplicationsapplicationQQ14000destination-port
setapplicationsapplicationQQ14000inactivity-timeout600(设置超时时间,600秒)
定义服务组TEST,包含自有服务Brower_udp、Push_tcp-2、QQ14000
setapplicationsapplication-setTESTapplicationBrower_udp
setapplicationsapplication-setTESTapplicationPush_tcp-2
setapplicationsapplication-setTESTapplicationQQ14000
服务超时配置和查找
为服务设置的超时值决定会话超时值。
可以为预定义服务或定制服务设置超时;您可以使用服务缺省超时、指定定制超时或根本不使用超时。
CLI:
setapplicationsapplicationQQ14000protocoltcp
setapplicationsapplicationQQ14000source-port0-65535
setapplicationsapplicationQQ14000destination-port
setapplicationsapplicationQQ14000inactivity-timeout600(设置超时时间,600秒)
二、制定策略
允许、拒绝或设置两点间指定类型单向信息流通道的策略。
信息流(或“服务”)的类型、两端点的位置以及调用的动作构成了策略的基本元素。
尽管可以有其它组件,但是共同构成策略核心部分的必要元素描述如下表。
可通过以下三种类型的策略控制信息流的流动:
„区段之间策略-可以控制允许从一个安全区段传递到另一个安全区段的信息流的类型。
„区段内部策略-可以控制允许跨越绑定到同一区段不同接口的信息流的类型。
„全局策略-可以控制不同地址间的信息流,而不考虑它们的安全区段。
区段之间策略
升级会员 