Juniper SRX 高端防火墙简明配置手册.docx
《Juniper SRX 高端防火墙简明配置手册.docx》由会员分享,可在线阅读,更多相关《Juniper SRX 高端防火墙简明配置手册.docx(34页珍藏版)》请在冰豆网上搜索。
JuniperSRX高端防火墙简明配置手册
JuniperSRX防火墙简明配置手册
目录
一、JUNOS操作系统介绍3
1.1层次化配置结构3
1.2JunOS配置管理4
1.3SRX主要配置内容4
二、SRX防火墙配置说明5
2.1初始安装5
2.1.1登陆5
2.1.2设置root用户口令5
2.1.3JSRP初始化配置6
2.1.4设置远程登陆管理用户8
2.1.5远程管理SRX相关配置9
2.1.6SRX的zone及相关接口的配置10
2.2Policy11
2.3NAT12
2.3.1InterfacebasedNAT12
2.3.2PoolbasedSourceNAT13
2.3.3PoolbasedestinationNAT14
2.3.4PoolbaseStaticNAT15
2.4IPSECVPN15
2.5ApplicationandALG17
三、SRX防火墙常规操作与维护17
3.1单机设备关机17
3.2单机设备重启17
3.3单机操作系统升级18
3.4双机模式下主备SRX关机18
3.5双机模式下主备设备重启18
3.6双机模式下操作系统升级18
3.7双机转发平面主备切换及切换后恢复19
3.8双机控制平面主备切换及切换后恢复19
3.9双机模式下更换备SRX19
3.10双机模式下更换主SRX19
3.11双机模式更换电源19
3.12双机模式更换故障板卡19
3.13配置备份及还原方法20
3.14密码修改方法20
3.15密码恢复20
3.16常用监控维护命令21
JuniperSRX防火墙简明配置手册
SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。
目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。
JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。
基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSLVPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。
一、JUNOS操作系统介绍
1.1层次化配置结构
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。
JUNOSCLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。
在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unixcd命令),exit命令退回上一级,top命令回到根级。
1.2JunOS配置管理
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Activeconfig)。
另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commitconfirmed2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(CandidateConfig),在执行commit后配置模式下可通过runshowconfig命令查看当前有效配置(Activeconfig)。
此外可通过执行show|compare比对候选配置和有效配置的差异。
SRX上由于配备大容量硬盘存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback0/commit可返回到前一commit配置);也可以直接通过执行saveconfigname.conf手动保存当前配置,并执行loadoverrideconfigname.conf/commit调用前期手动保存的配置。
执行loadfactory-default/commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivatesecuritynat/comit命令可使NAT相关配置不生效,并可通过执行activatesecuritynat/commit使NAT配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如deletesecuritynat和editsecuritynat/delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
1.3SRX主要配置内容
部署SRX防火墙主要有以下几个方面需要进行配置:
System:
主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。
Interface:
接口相关配置内容。
Security:
是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。
Application:
自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。
routing-options:
配置静态路由或router-id等系统全局路由属性配置。
二、SRX防火墙配置说明
2.1初始安装
2.1.1登陆
Console口(通用超级终端缺省配置)连接SRX,root用户登陆,密码为空
login:
root
Password:
---JUNOS9.5R1.8built2009-07-1615:
04:
30UTC
root%cli/***进入操作模式***/
root>
root>configure
Enteringconfigurationmode/***进入配置模式***/
[edit]
Root#
2.1.2设置root用户口令
设置root用户口令
root#setsystemroot-authenticationplain-text-password
root#newpassword:
root123
root#retypenewpassword:
root123
密码将以密文方式显示
root#showsystemroot-authentication
encrypted-password"$1$xavDeUe6$fNM6olGU.8.M7B62u05D6.";#SECRET-DATA
注意:
强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式),此配置参数要求输入的口令应是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。
注:
root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执行commit提交后续配置命令。
2.1.3JSRP初始化配置
JSRP是JuniperSRX的私有HA协议,对应ScreenOS的NSRP双机集群协议,支持A/P和A/A模式,JSRP对ScreenOSNSRP协议和JUNOSCluster集群技术进行了整合集成,熟悉NSRP协议有助于对JSRP协议的理解。
JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概念,两台设备完全当作一台设备来看待,两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作,无需额外执行ScreenOS的配置和会话同步等操作,而ScreenOSNSRP可看作在同步配置和动态对象(session)基础上独立运行的两台单独设备。
JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。
由于SRX是转发与控制层面完全分裂架构,JSRP需要控制层面(配置同步)和数据层面(Session同步)两个平面的互联,建议控制和数据层面互联链路使用光纤链路直连(部分平台强制要求光纤链路直连)。
JSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号,如上所示的SRX5800,每个SRX5800机箱有12个业务槽位,节点0槽位号从0开始编号,节点1槽位号从12开始往后编。
防火墙的的心跳连线分为两种,一个是控制心跳线(ControlPlaneconnection),一个是数据心跳线(DataPlaneConnection)。
控制心跳线的连接,是通过SPC卡上的接口互联,采用一条千兆光纤互联。
由于插在标号较小的槽位上的SPC同时要负责总体协调所有其他SPC的流量分担工作,为了减少对此SPC的压力,建议采用标号较大槽位上的SPC卡用来做控制心跳线的互联。
数据心跳线的连接,是通过16口千兆接口卡上的接口互联,采用两条千兆光纤互联。
为了便于识别,不会与业务连接线混淆,建议采用板卡上的最后两个接口。
另外,SRX5800为分区供电,编号为0号和2号电源为6-11槽及右边的SCB、下方的风扇供电,编号1号和3号的电源为0-5槽及左边的SCB、上方的风扇供电。
所以在连接电源线时,请确保0号和1号连接同一路电源;2号和3号连接另外一路电源,这样确保同一个区域的电源不会同时失效。
整个JSRP配置过程包括如下7个步骤
●配置Clusterid和Nodeid(对应ScreenOSNSRP的clusterid并需手工指定设备使用节点id)
●指定ControlPort(指定控制层面使用接口,用于配置同步及心跳)
●指定FabricLinkPort(指定数据层面使用接口,主要session等RTO同步)
●配置RedundancyGroup(类似NSRP的VSDgroup,优先级与抢占等配置)
●每个机箱的个性化配置(单机无需同步的个性化配置,如主机名、带外管理口IP地址等)
●配置RedundantEthernetInterface(类似NSRP的Redundant冗余接口)
●配置InterfaceMonitoring(类似NSRPinterfacemonitor,是RG数据层面切换依据)
SRXJSRP配置样例如下:
●配置Clusterid和Nodeid
在主墙operational模式下执行:
SRX-A>setchassisclustercluster-id1node0reboot
(注意该命令需在operational模式下输入,ClusterID取值范围为1–15,当ClusterID=0时将忽略JSRP功能)
在备墙operational模式下执行:
SRX-B>setchassisclustercluster-id1node1reboot
以上两句配置后,设备自动重启,命令不显示。
●指定ControlPort(如果主控板RE上有固定control-ports,则无需指定):
在主防火墙上在configure模式下执行,在备防火墙上用configureshared分别执行如下两条命令:
setchassisclustercontrol-portsfpc10port0
setchassisclustercontrol-portsfpc22port0
(10是指SPC板卡的槽位,0-11)(主备执行)
(22是指SPC板卡的槽位,12-23,主+12)(主备执行)
●指定FabricLinkPort
在主防火墙上在configure模式下执行,在备防火墙上用configureshared分别执行如下两条命令:
setinterfacesfab0fabric-optionsmember-interfacesge-0/1/0
setinterfacesfab1fabric-optionsmember-interfacesge-12/1/0
注:
FabricLink中的Fab0固定用于node0,Fab1固定用于node1
端口需要按实际情况改为实际端口。
保存提交以上配置,等待双机协商完成后进行下面的操作。
待双机协商成功后,以下命令在一台墙上执行即可
●配置RedundancyGroup
RG0固定用于主控板RE切换,RG1以后用于redundantinterface切换,RE切换独立于接口切换
setchassisclusterreth-count10(指定整个Cluster中redundantethernetinterface最多数量)
setchassisclusterredundancy-group0node0priority200(高值优先,与NSRP相反)
setchassisclusterredundancy-group0node1priority100
setchassisclusterredundancy-group1node0priority200(高值优先,与NSRP相反)
setchassisclusterredundancy-group1node1priority100
●每个机箱的个性化配置,便于对两台设备的区分与管理
setgroupsnode0systemhost-nameSRX-A
setgroupsnode0interfacesfxp0unit0familyinetaddress1.1.1.1/24(带外网管口名称为fxp0,区别ScreenOS的MGT口)
setgroupsnode1systemhost-nameSRX-B
setgroupsnode1interfacesfxp0unit0familyinetaddress1.1.1.2/24
setapply-groups${node}(应用上述groups配置)
●配置RedundantEthernetInterface
RedundantEthernetInterface类似ScreenOS里的redundantinterface,只不过RedundantEthernetinterface是分布在不同的机箱上(这一特性又类似ScreenOS的VSI接口)。
这里面的举例是配置两个业务端口。
setinterfacege-0/1/4gigether-optionsredundant-parentreth0(node0的ge-0/0/0接口)
setinterfacege-12/1/4gigether-optionsredundant-parentreth0(node1的ge-0/0/0接口)
setinterfacereth0redundant-ether-optionsredundancy-group1(reth0属于RG1)
setinterfacereth0unit0familyinetaddress192.168.0.1/24
setinterfacege-0/1/5gigether-optionsredundant-parentreth1(node0的ge-0/0/0接口)
setinterfacege-12/1/5gigether-optionsredundant-parentreth1(node1的ge-0/0/0接口)
setinterfacereth1redundant-ether-optionsredundancy-group1(reth1属于RG1)
setinterfacereth1unit0familyinetaddress192.168.1.1/24
●配置InterfaceMonitoring,被监控的接口Down掉后,RG1将自动进行主备切换(与ScreenOS类似)。
setchassisclusterredundancy-group1interface-monitorge-0/1/4weight255
setchassisclusterredundancy-group1interface-monitorge-12/1/4weight255
setchassisclusterredundancy-group1interface-monitorge-0/1/5weight255
setchassisclusterredundancy-group1interface-monitorge-12/1/5weight255
setchassisclustercontrol-link-recovery
如果控制心跳中断,备件会自动进入disable状态;配置此命令后,如果控制心跳恢复,备件会自动重启恢复backup状态
●配置trackip,被监控的IP地址无法连通后,RG1将自动进行主备切换(与ScreenOS类似)。
setchassisclusterredundancy-group1ip-monitoringfamilyinet10.1.1.1weight128
setchassisclusterredundancy-group1ip-monitoringfamilyinet10.1.1.2weight128
●检查双机状态:
查看cluster节点状态、主备关系
showchassisclusterstatus
手工进行防火墙主备切换
requestchassisclusterfailoverredundancy-group0node1
2.1.4设置远程登陆管理用户
执行如下命令,创建超级用户class和只读用户class。
setsystemloginclassread-only-localidle-timeout10
setsystemloginclassread-only-localpermissionsaccess
setsystemloginclassread-only-localpermissionsadmin
setsystemloginclassread-only-localpermissionsfirewall
setsystemloginclassread-only-localpermissionsinterface
setsystemloginclassread-only-localpermissionsrouting
setsystemloginclassread-only-localpermissionssecret
setsystemloginclassread-only-localpermissionssecret-control
setsystemloginclassread-only-localpermissionssecurity
setsystemloginclassread-only-localpermissionssnmp
setsystemloginclassread-only-localpermissionsview
setsystemloginclassread-only-localpermissionsview-configuration
setsystemloginclassread-only-localallow-commands"requestsupportinformation"
setsystemloginclasssuper-user-localidle-timeout30
setsystemloginclasssuper-user-localpermissionsall
commit后,
创建需要的超级用户和只读用户:
root#setsystemloginuseradminclasssuper-user-localauthenticationplain-text-password
root#newpassword:
lab123
root#retypenewpassword:
lab123
注:
此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
root#setsystemloginusermonitorclassread-only-localauthenticationplain-text-password
root#newpassword:
lab123
root#retypenewpassword:
lab123
注:
此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
2.1.5远程管理SRX相关配置
runsetdateYYYYMMDDhhmm.ss /***设置系统时钟***/
setsystemtime-zoneAsia/Shanghai /***设置时区为上海***/
setsystemntpserverx.x.x.xprefer
setsystemntpse
升级会员 