juniper srx100 防火墙配置精品管理资料.docx
《juniper srx100 防火墙配置精品管理资料.docx》由会员分享,可在线阅读,更多相关《juniper srx100 防火墙配置精品管理资料.docx(14页珍藏版)》请在冰豆网上搜索。
junipersrx100防火墙配置精品管理资料
Junipersrx100防火墙配置指导
#
一、初始化安装
1。
1设备登录
JuniperSRX系列防火墙。
开机之后,第一次必须通过console口(通用超级终端缺省配置)连接SRX,输入root用户名登陆,密码为空,进入到SRX设备之后可以开始加载基线配置。
特别注意:
SRX低端系列防火墙,在第一次登陆时,执行命令“showconfiguration”你会发现系统本身已经具备一些配置内容(包括DNS名称、DHCP服务器等),建议删除这些配置,重新配置。
Delete删除
设备开机请直接通过console连接到防火墙设备
Login:
root
Password:
/***初始化第一次登陆的时候,密码为空**/
Root%cli/**进入操作模式**/
Root>
Root>configure/**进入配置模式**/
Root#delete/***配置模式执行命令“delete"全局删除所有的系统缺省配置***/
1。
2系统基线配置
Setsystemhost—namename
/***配置设备名称“name"***/
Setsystemtime—zoneAsia/Chongqing
/***配置系统时区***/
Setsystemroot—authenticationplain—text—password输入命令,回车
Newpassword:
第一次输入新密码,
Retypenewpassword重新确认新密码
/***配置系统缺省根账号密码,不允许修改根账号名称“root”***/
注意:
root帐号不能用于telnet,但是可以用于web和ssh管理登录到设备
Setsystemloginusertopsciclasssuper—userauthenticationplain-text—password
Newpassword输入密码
Retypenewpassword确认密码
/***创建一个系统本地账号“name“,
setsystemservicesssh
setsystemservicestelnet
setsystemservicesweb—managementhttpinterfaceall
setsysthmservicesweb-managementhttpport81interfaceall
setsystemservicesweb—managementhttpssystem—generated—certificate
setsystemservicesweb-managementhttpsinterfaceall
/***全局开启系统管理服务,ssh\telnet\http\https***/
setinterfacesge—0/0/2unit0familyinetaddress10.10。
10。
1/24
setsecurityzonessecurity—zonetrustinterfacesge—0/0/2。
0host—inbound—trafficsystem—servicesall
setsecurityzonessecurity—zonetrustinterfacesge—0/0/2。
0host-inbound—trafficprotocolsall
/***定义内网接口同时定义安全区域并将接口加入到安全区域,接口的选择根据实际需求安排***/
★至此系统的基线配置完成,你可以通过PC机连接到防火墙的ge-0/0/2端口配置同网段的IP地址,使用WEB界面或者telnet\SSH方式登录到防火墙,实施生产配置和进一步完善基线配置,比如配置NTP服务器、SYSLOG服务器、SNMP服务器、安全策略、路由协议、地址转换、UTM等功能。
二、应用场景——生产配置实施步骤
2.1打开浏览器,输入http:
//Ip地址,输入用户名和密码,点击login进入到WEB管理。
2.2配置接口IP地址
首先点击WEB界面顶端菜单栏的”Configure"按钮,然后点击并展开左边菜单栏的”interface”按钮,接下来点击ports,按钮,页面将展示系统在线的所有端口。
然后我们可以开始查看并配置相应的物理接口IP地址,在本应用场景中,我们将需要在WEB界面配置fe-0/0/0/端口(连接公网)和ge-0/0/2端口由于属于内网接口,ge-0/0/2在之前基线配置中已经完成,因此WEB界面不再重新说明如何配置,配置方法与接下来的端口配置一致。
在此选择一个你想要配置的物理接口,点击右上角的"ADD”按钮下拉,然后再点击“logicalinterface"。
当点击”logicalinterface”之后,系统会自动跳出一个对话框,让你配置接口IP地址、接口描述等信息。
必须填写一个unit数字,比如0(建议),这个unit是一个物理接口中逻辑接口的标识,没有特殊的意义,但是必须要配置。
在描述信息中可以根据实际情况进行填写,一般建议取一个比较有意义易识别的简单拼音或英语。
在ZONE此处可以暂时不选择,因为后面会配置。
VLANID也不需要配置,因为是三层接口,而并非VLAN接口,接下来就是需要配置一个通信IP地址和子网掩码.最后点击OK按钮,代表此接口配置结束,仅仅是结束并不是生效,后面我们需要根据步骤和系统右上角的”Actions"按钮会出现闪烁,提醒我们需要对刚刚完成的配置进行提交和保存,如下图,我们需要点击右上角的”Actions”按钮下拉,然后点击commmit按钮,提交和保存配置,如果配置校验检查失败,将会有告警提醒用户。
三、配置安全区域
首先点击WEB界面顶端菜单栏的"Configure”按钮,然后点击并展开左边菜单栏的”security”按钮,接下来点击zone/screens,按钮,页面将展示已经存在的安全功能区域,如下图配置
四、配置路由协议
首先点击WEB界面顶端菜单栏的”Configure”按钮,然后点击并展开左边菜单栏的"routing”按钮,接下来点击staticrouting,按钮,开始添加静态路由,点击右上角的ADD按钮,系统将自动弹出一个对话框完成静态路由的添加(本次配置缺省路由到公网),点击add按钮添加下一跳网关地址,完成静态路由的添加配置,最后点击右上角的actions按钮下拉commit并点击,完成静态路由配置的提交和保存。
五、配置NAT地址装换
首先点击WEB界面顶端菜单栏的”Configure”按钮,然后点击并展开左边菜单栏的”NAT"按钮,接下来点击StaticNAT按钮,开始配置静态地址转换,在配置静态地址转换之前,还需要做一个与NAT相关的配置,那就是定义ProxyARP,定义ProxyARP是因为我们接下来使用的NAT公网地址并不是接口自身的IP地址.点击ProxyARP按钮在NAT配置菜单里,点击add,系统自动弹出对话框要求填写NAT公网地址段、连接公网的接口。
最后如下图:
接下来配置静态地址转换的规则,其中有两个部分内容需要填写,第一部分是rule-set,然后在rule—set里面定义真正的NAT规则rules,rules由多个小的rule组成,比如下图中的右边部分就是rule配置,一个公网地址对应一个内部DMZ区域私网IP地址,实现一对一的静态地址转换。
下图就是在完成上图之后的结果展示,点击定义好的rule—set,可以看到相应的ruels资源.
接下来配置源地址转换的规则,内网地址转换到fe—0/0/0。
0接口地址。
实现内网地址访问公网.
打开sourcenat,点击add,首先配置ruleset,此时需要指定rulesetname以及NAT的方向,比如从trustzonetountrustzone,接下来点击rules中的Add,开始添加rule,同样需要填写rulename、匹配的条件(源地址、目标地址必须,可选IP协议和目的端口号),然后在action部分选择引用inteface
最后我们可以查看定义完之后的源地址rule—set对象并执行commit提交配置,最终结果展现如下:
五、配置安全策略
本次应用场景一中的安全策略配置涉及三个方向,内网与外网之间的访问、、外网到内网之间的访问,在配置安全策略之前,我们需要提前配置与安全策略相关的策略元素,其中包括地址对象的自定义,服务对象的自定义等。
下面首先将介绍策略元素的自定义,地址对象与服务对象。
首先点击WEB界面顶端菜单栏的"Configure"按钮,然后点击并展开左边菜单栏的"security”按钮,接下来点击policyelements按钮,然后再点击”addressbook"按钮,接着可以点击右上角的ADD按钮添加地址对象和地址组,地址对象菜单“address”地址组对象菜单”addresssets”。
当我们完成地址对象和服务对象的自定义之后,接下来可以书写安全访问控制策略,首先点击WEB界面顶端菜单栏的"Configure”按钮,然后点击并展开左边菜单栏的”security”按钮,接下来点击policy按钮,最后点击applypolicy按钮去创建区域与区域之间的安全策略。
配置完成.可以利用内网地址,ping外网测试下.
六、应用场景一测试配置CLI(生产配置)
setversion12.1X44-D35。
5
setsystemhost—namejuniper—fw-srx100
setsystemtime—zoneAsia/Chongqing
setsystemroot—authenticationencrypted—password”$1$SL2B6zY9$bo.R3TbT4v0vO7sWgR7Vl。
"
setsystemloginusertopsciuid2001
setsystemloginusertopsciclasssuper-user
setsystemloginusertopsciauthenticationencrypted—password”$1$EjN。
ZIvT$YYy6M6qo5oTxvSnWqCFq2/”
setsystemservicesssh
setsystemservicestelnet
setsystemservicesweb-managementhttpport6666
setsystemservicesweb—managementhttpinterfaceall
setsystemservicesweb—managementhttpssystem—generated—certificate
setsystemservicesweb—managementhttpsinterfaceall
setsystemsyslogfilepolicy_sessionuserinfo
setsystemsyslogfilepolicy_sessionmatchRT_FLOW
setsystemsyslogfilepolicy_sessionarchivesize1000k
setsystemsyslogfilepolicy_sessionarchiveworld—readable
setsystemsyslogfilepolicy_sessionstructured-data
setinterfacesfe—0/0/0unit0familyinetaddress192。
1685.1/24
setinterfacesfe—0/0/2unit0familyinetaddress10。
10。
10。
1/24
setinterfacesfe—0/0/7unit0familyinetaddress192。
168。
1。
1/24
setinterfacesst0unit0familyinet
setrouting—optionsstaticroute0.0.0.0/0next—hop192。
168。
5.1
setrouting—optionsstaticroute168。
192。
0。
0/16next-hop10。
10.10。
2
setrouting-optionsstaticroute172。
16.0。
0/24next-hopst0。
0
setrouting-optionsstaticroute192。
168。
0。
0/16next—hopst0。
0
setsecurityikepolicyaikemodemain
setsecurityikepolicyaikeproposal—setstandard
setsecurityikepolicyaikepre—shared-keyascii-text”$9$WTu8-wkqf5z6k.5Fn9OBLx7NwYgoJ”
setsecurityikegatewaygw1ike—policyaike
setsecurityikegatewaygw1address58.135.84。
24
setsecurityikegatewaygw1external—interfacefe-0/0/0。
0
setsecurityipsecpolicyap2proposal-setstandard
setsecurityipsecvpnvpn1bind-interfacest0。
0
setsecurityipsecvpnvpn1ikegatewaygw1
setsecurityipsecvpnvpn1ikeipsec-policyap2
setsecurityipsecvpnvpn1establish—tunnelsimmediately
setsecuritynatsourcepoolnap—pool1address192。
168。
5。
2/25to192。
168.5。
3/24
setsecuritynatsourcerule—setnat1fromzonetrust
setsecuritynatsourcerule—setnat1tozoneuntrue
setsecuritynatsourcerule-setnat1rulenat1matchsource—address168。
192.0.0/16
setsecuritynatsourcerule—setnat1rulenat1matchsource—address10。
10。
10.0/24
setsecuritynatsourcerule—setnat1rulenat1matchdestination—address0。
0。
0.0/0
setsecuritynatsourcerule-setnat1rulenat1thensource-natinterface
setsecuritynatstaticrule-setnat—1fromzoneuntrue
setsecuritynatstaticrule—setnat-1rulerule1matchdestination-address192.168。
5.1/32
setsecuritynatstaticrule-setnat—1rulerule1matchdestination—port80
setsecuritynatstaticrule—setnat—1rulerule1thenstatic—natprefix168.192.1.18/32
setsecuritynatstaticrule-setnat-1rulerule1thenstatic—natprefixmapped—port80
setsecuritypoliciesfrom—zonetrustto—zoneuntruepolicytrust—untrustmatchsource—address168。
192
setsecuritypoliciesfrom-zonetrustto-zoneuntruepolicytrust—untrustmatchsource—address10.10
setsecuritypoliciesfrom-zonetrustto-zoneuntruepolicytrust-untrustmatchdestination—addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntruepolicytrust-untrustmatchapplicationany
setsecuritypoliciesfrom-zonetrustto—zoneuntruepolicytrust—untrustthenpermit
setsecuritypoliciesfrom—zonetrustto—zoneuntruepolicytrust—untrustthenlogsession—init
setsecuritypoliciesfrom-zonetrustto—zoneuntruepolicytrust-untrustthenlogsession—close
setsecuritypoliciesfrom-zoneuntrueto—zonetrustpolicyuntrust—trustmatchsource—addressany
setsecuritypoliciesfrom-zoneuntrueto—zonetrustpolicyuntrust—trustmatchdestination—address168.192
setsecuritypoliciesfrom—zoneuntrueto-zonetrustpolicyuntrust—trustmatchdestination-address10。
10
setsecuritypoliciesfrom—zoneuntrueto—zonetrustpolicyuntrust-trustmatchapplicationany
setsecuritypoliciesfrom—zoneuntrueto—zonetrustpolicyuntrust-trustthenpermit
setsecuritypoliciesfrom—zoneuntrueto-zonetrustpolicyuntrust—trustthenlogsession-init
setsecuritypoliciesfrom—zoneuntrueto—zonetrustpolicyuntrust—trustthenlogsession—close
setsecuritypoliciesfrom—zoneuntrueto-zoneuntruepolicyuntrue-untruematchsource—addressany
setsecuritypoliciesfrom-zoneuntrueto-zoneuntruepolicyuntrue-untruematchdestination-addressany
setsecuritypoliciesfrom-zoneuntrueto-zoneuntruepolicyuntrue-untruematchapplicationany
setsecuritypoliciesfrom—zoneuntrueto-zoneuntruepolicyuntrue—untruethenpermit
setsecuritypoliciesfrom—zonevpnto-zonetrustpolicyvpn—policymatchsource-addressany
setsecuritypoliciesfrom—zonevpnto—zonetrustpolicyvpn-policymatchdestination—addressany
setsecuritypoliciesfrom-zonevpnto-zonetrustpolicyvpn—policymatchapplicationany
setsecuritypoliciesfrom—zonevpnto—zonetrustpolicyvpn-policythenpermit
setsecuritypoliciesfrom—zonetrustto—zonevpnpolicyvpn—policymatchsource-addressany
setsecuritypoliciesfrom—zonetrustto—zonevpnpolicyvpn—policymatchdestination-addressany
setsecuritypoliciesfrom—zonetrustto—zonevpnpolicyvpn—policymatchapplicationany
setsecuritypoliciesfrom—zonetrustto—zonevpnpolicyvpn—policythenpermit
setsecuritypoliciespolicy—rematch
setsecurityzonessecurity—zonetrustaddress-bookaddress168.192168。
192。
0。
0/16
setsecurityzonessecurity-zonetrustaddress—bookaddress10。
1010。
10.10。
0/24
setsecurityzonessecurity-zonetrusthost—inbound—trafficsystem-servicesall
setsecurityzonessecurity—zonetrusthost—inbound-trafficprotocolsall
setsecurityzonessecurity—zonetrustinterfacesfe—0/0/2。
0host—inbound—traffics