Juniper SRX防火墙简明配置手册090721.docx
《Juniper SRX防火墙简明配置手册090721.docx》由会员分享,可在线阅读,更多相关《Juniper SRX防火墙简明配置手册090721.docx(22页珍藏版)》请在冰豆网上搜索。
JuniperSRX防火墙简明配置手册090721
JuniperSRX防火墙简明配置手册
卞同超
Juniper服务工程师
JuniperNetworks,Inc.
北京市东城区东长安街1号东方经贸城西三办公室15层1508室
邮编:
100738
电话:
65288800
JuniperSRX防火墙简明配置手册
SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。
目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。
JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。
基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSLVPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。
一、JUNOS操作系统介绍
1.1层次化配置结构
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。
JUNOSCLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。
在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unixcd命令),exit命令退回上一级,top命令回到根级。
1.2JunOS配置管理
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Activeconfig)。
另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commitconfirmed2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(CandidateConfig),在执行commit后配置模式下可通过runshowconfig命令查看当前有效配置(Activeconfig)。
此外可通过执行show|compare比对候选配置和有效配置的差异。
SRX上由于配备大容量硬盘存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback0/commit可返回到前一commit配置);也可以直接通过执行saveconfigname.conf手动保存当前配置,并执行loadoverrideconfigname.conf/commit调用前期手动保存的配置。
执行loadfactory-default/commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivatesecuritynat/comit命令可使NAT相关配置不生效,并可通过执行activatesecuritynat/commit使NAT配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如deletesecuritynat和editsecuritynat/delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
1.3SRX主要配置内容
部署SRX防火墙主要有以下几个方面需要进行配置:
System:
主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。
Interface:
接口相关配置内容。
Security:
是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。
Application:
自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。
routing-options:
配置静态路由或router-id等系统全局路由属性配置。
二、SRX防火墙配置对照说明
2.1初始安装
2.1.1登陆
Console口(通用超级终端缺省配置)连接SRX,root用户登陆,密码为空
login:
root
Password:
---JUNOS9.5R1.8built2009-07-1615:
04:
30UTC
root%cli/***进入操作模式***/
root>
root>configure
Enteringconfigurationmode/***进入配置模式***/
[edit]
Root#
2.1.2设置root用户口令
设置root用户口令
root#setsystemroot-authenticationplain-text-password
root#newpassword:
root123
root#retypenewpassword:
root123
密码将以密文方式显示
root#showsystemroot-authentication
encrypted-password"$1$xavDeUe6$fNM6olGU.8.M7B62u05D6.";#SECRET-DATA
注意:
强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式),此配置参数要求输入的口令应是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。
注:
root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执行commit提交后续配置命令。
2.1.3设置远程登陆管理用户
root#setsystemloginuserlabclasssuper-userauthenticationplain-text-password
root#newpassword:
lab123
root#retypenewpassword:
lab123
注:
此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
2.1.4远程管理SRX相关配置
runsetdateYYYYMMDDhhmm.ss /***设置系统时钟***/
setsystemtime-zoneAsia/Shanghai /***设置时区为上海***/
setsystemhost-nameSRX3400-A /***设置主机名***/
setsystemname-server1.1.1.1 /***设置DNS服务器***/
setsystemservicesftp
setsystemservicestelnet
setsystemservicesweb-managementhttp
/***在系统级开启ftp/telnet/http远程接入管理服务***/
setinterfacesge-0/0/0.0familyinetaddress10.1.1.1/24
或
setinterfacesge-0/0/0unit0familyinetaddress10.1.1.1/24
setinterfacesge-0/0/1unit0familyinetaddress10.1.2.1/24
setrouting-optionsstaticroute0.0.0.0/0next-hop10.1.1.1
/***配置逻辑接口地址及缺省路由,SRX接口要求IP地址必须配置在逻辑接口下(类似ScreenOS的子接口),通常使用逻辑接口0即可***/
setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0
/***将ge-0/0/0.0接口放到untrustzone去,类似ScreenOS***/
setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesping
setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-serviceshttp
setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicestelnet
/***在untrustzone打开允许远程登陆管理服务,ScreenOS要求基于接口开放服务,SRX要求基于Zone开放,从SRX主动访问出去流量开启服务,类似ScreenOS***/
2.2Policy
Policy配置方法与ScreenOS基本一致,仅在配置命令上有所区别,其中策略的允许/拒绝的动作(Action)需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上配置语句)。
Policy需要手动配置policyname,policyname可以是字符串,也可以是数字(与ScreenOS的policyID类似,只不过需要手工指定)。
setsecurityzonessecurity-zonetrustaddress-bookaddresspc110.1.1.10/32
setsecurityzonessecurity-zoneuntrustaddress-bookaddressserver110.0.2.1/32
/***与ScreenOS一样,在trust和untrustzone下分别定义地址对象便于策略调用,地址对象的名称可以是地址/掩码形式***/
setsecurityzonessecurity-zonetrustaddress-bookaddress-setaddr-group1addresspc1
/***在trustzone下定义名称为add-group1的地址组,并将pc1地址放到该地址组中***/
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001matchsource-addressaddr-group1destination-addressserver1applicationany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thenpermit
/***定义从trust到untrust方向permit策略,允许addr-group1组的源地址访问server1地址any服务***/
2.3NAT
SRXNAT较ScreenOS在功能实现方面基本保持一致,但在功能配置上有较大区别,配置的主要差异在于ScreenOS的NAT与policy是绑定的,无论是MIP/VIP/DIP还是基于策略的NAT,在policy中均要体现出NAT内容(除了缺省基于untrust接口的Souec-NAT模式外),而SRX的NAT则作为网络层面基础内容进行独立配置(独立定义地址映射的方向、映射关系及地址范围),Policy中不再包含NAT相关配置信息,这样的好处是易于理解、简化运维,当网络拓朴和NAT映射关系发生改变时,无需调整Policy配置内容。
SRXNAT和Policy执行先后顺序为:
目的地址转换-目的地址路由查找-执行策略检查-源地址转换,结合这个执行顺序,在配置Policy时需注意:
Policy中源地址应是转换前的源地址,而目的地址应该是转换后的目的地址,换句话说,Policy中的源和目的地址应该是源和目的两端的真实IP地址,这一点和ScreenOS存在区别,需要加以注意。
SRX中不再使用MIP/VIP/DIP这些概念,其中MIP被Static静态地址转换取代,两者在功能上完全一致;DIP被SourceNAT取代;基于Policy的目的地址转换及VIP被DestinationNAT取代。
ScreenOS中基于Untrustzone接口的源地址转换被保留下来,但在SRX中不再是缺省模式(SRX中TrustZone接口没有NAT模式概念),需要手工配置。
类似ScreenOS,Static属于双向NAT,其他类型均属于单向NAT,
此外,SRX还多了一个proxy-arp概念,如果定义的IPPool(可用于源或目的地址转换)与接口IP在同一子网时,需配置SRX对这个Pool内的地址提供ARP代理功能,这样对端设备能够解析到IPPool地址的MAC地址(使用接口MAC地址响应对方),以便于返回报文能够送达SRX。
下面是配置举例及相关说明:
2.3.1InterfacebasedNAT
NAT:
setsecuritynatsourcerule-set1fromzonetrust
setsecuritynatsourcerule-set1tozoneuntrust
setsecuritynatsourcerule-set1rulerule1matchsource-address0.0.0.0/0destination-address0.0.0.0/0
setsecuritynatsourcerule-set1rulerule1thensource-natinterface
上述配置定义NAT源地址映射规则,从TrustZone访问UntrustZone的所有流量用UntrustZone接口IP做源地址转换。
Policy:
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-address10.1.2.2
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchdestination-addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplicationany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermit
上述配置定义Policy策略,允许Trustzone10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行接口源地址转换。
2.3.2PoolbasedSourceNAT
NAT:
setsecuritynatsourcepoolpool-1address100.1.1.10to100.1.1.20
setsecuritynatsourcerule-set1fromzonetrust
setsecuritynatsourcerule-set1tozoneuntrust
setsecuritynatsourcerule-set1rulerule1matchsource-address0.0.0.0/0destination-address0.0.0.0/0
setsecuritynatsourcerule-set1rulerule1thensource-natpoolpool-1
setsecuritynatproxy-arpinterfacege-0/0/2address100.1.1.10to100.1.1.20
上述配置表示从trust方向(any)到untrust方向(any)访问时提供源地址转换,源地址池为pool1(100.1.1.10-100.1.1.20),同时ge-0/0/2接口为此poolIP提供ARP代理。
需要注意的是:
定义Pool时不需要与Zone及接口进行关联。
配置proxy-arp目的是让返回包能够送达SRX,如果Pool与出接口IP不在同一子网,则对端设备需要配置指向100.1.1.1的Pool地址路由。
Policy:
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-address10.1.1.2
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchdestination-addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplicationany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermit
上述配置定义Policy策略,允许Trustzone10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行源地址转换。
2.3.3PoolbasedestinationNAT
NAT:
setsecuritynatdestinationpool111address192.168.1.100/32
setsecuritynatdestinationrule-set1fromzoneuntrust
setsecuritynatdestinationrule-set1rule111matchsource-address0.0.0.0/0
setsecuritynatdestinationrule-set1rule111matchdestination-address100.100.100.100/32
setsecuritynatdestinationrule-set1rule111thendestination-natpool111
上述配置将外网any访问100.100.100.100地址映射到内网192.168.1.100地址,注意:
定义的DstPool是内网真实IP地址,而不是映射前的公网地址。
这点和Src-NATPool有所区别。
Policy:
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchdestination-address192.168.1.100
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplicationany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermit
上述配置定义Policy策略,允许Untrust方向任何地址访问Trust方向192.168.1.100,根据前面的NAT配置,公网访问100.100.100.100时,SRX自动执行到192.168.1.100的目的地址转换。
ScreenOSVIP功能对应的SRXDst-nat配置:
setsecuritynatdestinationpool222address192.168.1.200/32port8000
setsecuritynatdestinationrule-set1fromzoneuntrust
setsecuritynatdestinationrule-set1rule111matchsource-address0.0.0.0/0
setsecuritynatdestinationrule-set1rule111matchdestination-address100.100.100.100/32
setsecuritynatdestinationrule-set1rule111matchdestination-port8000
setsecuritynatdestinationrule-set1rule111thendestination-natpool222
上述NAT配置定义:
访问100.100.100.100地址8000端口映射至192.168.1.200地址8000端口,功能与ScreenOSVIP端口映射一致。
2.3.4PoolbaseStaticNAT
NAT:
setsecuritynatstaticrule-setstatic-natfromzoneuntrust
setsecuritynatstaticrule-setstatic-natrulerule1matchdestination-address100.100.100.100
set
升级会员 