Juniper SRX 防火墙配置管理手册Word下载.docx
《Juniper SRX 防火墙配置管理手册Word下载.docx》由会员分享,可在线阅读,更多相关《Juniper SRX 防火墙配置管理手册Word下载.docx(28页珍藏版)》请在冰豆网上搜索。
此外可通过执行show|compare比对候选配置和有效配置的差异。
SRX上由于配备大容量存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback0/commit可返回到前一commit配置);
也可以直接通过执行saveconfigname.conf手动保存当前配置,并执行loadoverrideconfigname.conf/commit调用前期手动保存的配置。
执行loadfactory-default/commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivatesecuritynat/comit命令可使NAT相关配置不生效,并可通过执行activatesecuritynat/commit使NAT配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如deletesecuritynat和editsecuritynat/delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
1.3SRX主要配置内容
部署SRX防火墙主要有以下几个方面需要进行配置:
System:
主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。
Interface:
接口相关配置内容。
Security:
是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp、UTM等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。
Application:
自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。
routing-options:
配置静态路由或router-id等系统全局路由属性配置。
二、SRX防火墙配置操作举例说明
2.1初始安装
2.1.1设备登陆
Console口(通用超级终端缺省配置)连接SRX,root用户登陆,密码为空<
初始第一次登陆>
login:
root
Password:
---JUNOS9.5R1.8built2009-07-1615:
04:
30UTC
root%cli/***进入操作模式***/
root>
configure
Enteringconfigurationmode/***进入配置模式***/
[edit]
Root#
2.1.2设备恢复出厂介绍
首先根据上述操作进入到配置模式,执行下列命令:
root#loadfactory-default
warning:
activatingfactoryconfiguration/***系统激活出厂配置***/
恢复出厂后,必须立刻设置ROOT帐号密码<
默认密码至少6位数:
字母加数字>
root#setsystemroot-authenticationplain-tSRXt-password
Newpassword:
当设置完ROOT帐号密码以后,进行保存激活配置
root#commit
commitcomplete
在此需要提醒配置操作员注意,系统恢复出厂后并不代表没有任何配置,系统缺省配置有Screen\DHCP\Policy等相关配置,你如果需要完整的删除,可以执行命令delete删除相关配置。
通过show来查看系统是否还有遗留不需要的配置,可以一一进行删除,直到符合你的要求,然后再重新根据实际需求进行配置。
2.1.3设置root用户口令
设置root用户口令
root#setsystemroot-authenticationplain-tSRXt-password
root#newpassword:
root123
root#retypenewpassword:
root123
密码将以密文方式显示
root#showsystemroot-authentication
encrypted-password"
$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."
;
#SECRET-DATA
注意:
强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式),此配置参数要求输入的口令是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。
注:
root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执行commit提交后续配置命令。
2.1.4设置远程登陆管理用户
root#setsystemloginuserlabclasssuper-userauthenticationplain-tSRXt-password
lab123
lab123
此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
2.1.5远程管理SRX相关配置
runsetdateYYYYMMDDhhmm.ss /***设置系统时钟***/
setsystemtime-zoneAsia/Shanghai /***设置时区为上海***/
setsystemhost-nameSRX-650-1 /***设置主机名***/
setsystemname-server1.1.1.1 /***设置DNS服务器***/
setsystemservicesftp
setsystemservicestelnet
setsystemservicesweb-managementhttp
/***在系统级开启ftp/telnet/http远程接入管理服务***/
setinterfacesge-0/0/0.0familyinetaddress10.1.1.1/24
或
setinterfacesge-0/0/0unit0familyinetaddress10.1.1.1/24
setinterfacesge-0/0/1unit0familyinetaddress10.1.2.1/24
setrouting-optionsstaticroute0.0.0.0/0nSRXt-hop192.168.1.1
/***配置逻辑接口地址及缺省路由,SRX接口要求IP地址必须配置在逻辑接口下(类似ScreenOS的子接口),通常使用逻辑接口0即可***/
setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0
/***将ge-0/0/0.0接口放到安全区域中,类似ScreenOS***/
setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesping
setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-serviceshttp
setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicestelnet
/***在untrustzone打开允许远程登陆管理服务,ScreenOS要求基于接口开放服务,SRX要求基于Zone开放,从SRX主动访问出去流量开启服务,类似ScreenOS***/
本次实验拓扑中使用的设备的版本如下:
SRX100-HM系统版本与J-WEB版本均为:
10.1.R2.8
SSG防火墙版本为6.1.0R7
测试客户端包含WINDOWS7\XP
2.2配置操作实验拓扑
2.3策略相关配置说明
安全设备的缺省行为是拒绝安全区段之间的所有信息流(区段之间信息流)允许绑定到同一区段的接口间的所有信息流(区段内部信息流)。
为了允许选定的区段之间信息流通过安全设备,必须创建覆盖缺省行为的区段之间策略。
同样,为了防止选定的区段内部信息流通过安全设备,必须创建区段内部策略。
基本元素
允许、拒绝或设置两点间指定类型单向信息流通道的策略。
信息流(或“服务”)的类型、两端点的位置以及调用的动作构成了策略的基本元素。
尽管可以有其它组件,但是共同构成策略核心部分的必要元素如下:
策略名称-两个安全区段间(从源区段到目的区段)间信息流的方向/***必须配置***/
源地址-信息流发起的地址/***必须配置***/
目标地址-信息流发送到的地址/***必须配置***/
服务-信息流传输的类型/***必须配置***/
动作-安全设备接收到满足头四个标准的信息流时执行的动作/***必须配置***/
这些动作为:
deny、permit、reject或tunnel
注意tunnel、firewall-authentication、application-services<
IDP\UAC\WX\UTM策略>
在permit下一级,如下:
root#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicyt-uthenpermit?
>
Firewall-authentication
tunnel另外还包括其他的策略元素,比如记录日志、流量统计、时间调度对象等
三种类型的策略
可通过以下三种策略控制信息流的流动:
通过创建区段之间策略,可以管理允许从一个安全区段到另一个安全区段的信息流的种类。
通过创建区段内部策略,也可以控制允许通过绑定到同一区段的接口间的信息流的类型。
通过创建全局策略,可以管理地址间的信息流,而不考虑它们的安全区段。
2.3.1策略地址对象定义
SRX服务网关地址对象需要自定义后才可以在策略中进行引用,默认只有any对象
自定义单个地址对象如下:
root#setsecurityzonessecurity-zonetrustaddress-bookaddresspc-120.1.1.200/32
root#setsecurityzonessecurity-zonetrustaddress-bookaddresspc-220.1.1.210/32
自定义单个地址组对象如下:
setsecurityzonessecurity-zonetrustaddress-bookaddress-setpc-groupaddresspc-1
setsecurityzonessecurity-zonetrustaddress-bookaddress-setpc-groupaddresspc-2
2.3.2策略服务对象定义
SRX服务网关部分服务对象需要自定义后才可以在策略中进行引用,默认仅有预定义常用服务对象
自定义单个服务对象如下:
setapplicationsapplicationtcp-3389protocoltcp定义服务对象协议<
TCP\UDP\ICMP\OTHER>
setapplicationsapplicationtcp-3389source-port1-65535定义服务对象源端口
setapplicationsapplicationtcp-3389destination-port3389-3389定义服务对象目标地址
setapplicationsapplicationtcp-3389inactivity-timeoutnever可选定义服务对象timeout时长
setapplicationsapplicationtcp-8080protocoltcp
setapplicationsapplicationtcp-8080source-port1-65535
setapplicationsapplicationtcp-8080destination-port8080-8080
setapplicationsapplicationtcp-8080inactivity-timeout3600
自定义单个服务组对象如下:
setapplicationsapplication-setaaplications-groupapplicationtcp-8080
setapplicationsapplication-setaaplications-groupapplicationtcp-3389
2.3.3策略时间调度对象定义
SRX服务网关时间调度对象需要自定义后才可以在策略中进行引用,默认没有预定义时间调度对象
自定义单个时间调度对象如下:
setschedulersschedulerwork-timedailystart-time09:
00:
00stop-time18:
00
setschedulersschedulerhappy-timesundaystart-time00:
00stop-time23:
59:
59
setschedulersschedulerhappy-timesaturdaystart-time00:
时间调度服务生效参考设备系统时间,所以需要关注设备系统时间是否正常。
2.3.4添加策略配置举例
Policy配置方法与ScreenOS基本一致,仅在配置命令上有所区别,其中策略的允许/拒绝的动作(Action)需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上配置语句)。
Policy需要手动配置policyname,policyname可以是字符串,也可以是数字(与ScreenOS的policyID类似,只不过需要手工指定)。
首先需要注意系统缺省策略配置:
root#showsecuritypoliciesdefault-policy查看当前系统缺省策略动作
root#setsecuritypoliciesdefault-policy?
设置系统缺省策略动作
Possiblecompletions:
deny-allDenyalltrafficifnopolicymatch
permit-allPermitalltrafficifnopolicymatch
根据实验拓扑进行策略配置举例说明
setsecurityzonessecurity-zonetrustaddress-bookaddresspc120.1.1.200/32
setsecurityzonessecurity-zoneuntrustaddress-bookaddressserver1192.168.1.200/32
/***与ScreenOS一样,在trust和untrustzone下分别定义地址对象便于策略调用,地址对象的名称可以是地址/掩码形式***/
setsecurityzonessecurity-zonetrustaddress-bookaddress-setaddr-group1addresspc1
/***在trustzone下定义名称为add-group1的地址组,并将pc1地址放到该地址组中***/
Setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001matchsource-addressaddr-group1destination-addressserver1applicationany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thenpermit
/***定义从trust到untrust方向permit策略,允许addr-group1组的源地址访问server1地址any服务***/
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thenlogsession-init
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thenlogsession-close
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thencount
<
可选配置>
/***定义从trust到untrust方向策略,针对当前策略记录日志并统计策略流量
root#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001scheduler-namehappy-time
root#setsecuritypoliciesfrom-zonetrustto-zonedmzpolicy001scheduler-namework-time
/***定义当前策略,引用时间调度对象,符合时间条件策略生效,否则策略将处于非工作状态
root#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicyt-uthenpermitapplication-services?
+apply-groupsGroupsfromwhichtoinheritconfigurationdata
+apply-groups-SRXceptDon'
tinheritconfigurationdatafromthesegroups
gprs-gtp-profileSpecifyGPRSTunnelingProtocolprofilename
idpIntrusiondetectionandprevention
redirect-wxSetWXredirection
reverse-redirect-wxSetWXreverseredirection
uac-policyEnableunifiedaccesscontrolenforcementofpolicy
utm-policySpecifyutmpolicyname
/***定义当前策略,选择是否客气IDP\UAC\UTM等操作,如果针对策略开启相应的检查,请先定义好相应的功能。
2.3.5策略删除
删除SRX防火墙策略命令,在JUNOS系统中删除全部都使用delete命令,因此删除策略的命令如下:
srx3400@root#deletesecuritypoliciesfromtrusttountrustpolicy1
升级会员 