junipersrx3000防火墙配置手册.docx

1、junipersrx3000防火墙配置手册技 术 文 件 技术文件名称： Juniper SRX3000系列防火墙工程开通指导书 技术文件编号： 版 本： 拟 制 _ 审 核 _ 会 签 _ _ _ _ 标准化 _ 批 准 _修改记录文件编号版本号拟制人/修改人拟制/修改日期更改理由主要更改内容注：文件第一次拟制时，“更改理由”、“主要更改内容”栏写“无”。本文档以Junos 版本为主编写 一、防火墙介绍 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SR

2、X安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。SRX3600SRX3400（图片仅供参考，以实物为准）二、防火墙基础配置JUN

3、OS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，to

4、p命令回到根级。JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate Config）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Active config）。另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。在执行comm

5、it命令前可通过配置模式下show命令查看当前候选配置（Candidate Config），在执行commit后配置模式下可通过run show config命令查看当前有效配置（Active config）。此外可通过执行show | compare比对候选配置和有效配置的差异。SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效配置，并可通过执行rolback和commit命令返回到以前配置（如rollback 0/commit可返回到前一commit配置）；也可以直接通过执行save 手动保存当前配置，并执行load override / commit调用前期手

6、动保存的配置。执行load factory-default / commit命令可恢复到出厂缺省配置。SRX可对模块化配置进行功能关闭与激活，如执行deactivate security nat/comit命令可使NAT相关配置不生效，并可通过执行activate security nat/commit使NAT配置再次生效。SRX通过set语句来配置防火墙，通过delete语句来删除配置，如delete security nat和edit security nat / delete一样，均可删除security防火墙层级下所有NAT相关配置，删除配置和ScreenOS不同，配置过程中需加以留意

7、。第一次连接防火墙方式一：Console方式基于Console终端配置SRX3400 的准备安装Windows操作系统的PC一台（安装超级终端）SRX3400设备标准配置自带的Console电缆一条使用超级终端建立一个连接，通过Console电缆一端连接SRX3400任何一台设备，一端连接COM口，COM的参数设置如：使用Console 端口做初始化配置， 防火墙的初始账号和密码：login: rootpassword: (默认没有root密码)SRX3400% #shell模式在shell模式下可使用linux命令，不建议在次模式下对防火墙进行任何操作。SRX3400% cliSRX3400

8、 #用户模式在用户模式下可以显示SRX设备的配置、端口状态、路由信息等。登录到SRX上即进入路由器的用户模式：SRX3400# #配置模式通过在用户模式使用edit命令进入配置模式：SRX3400 editedit方式二：基于WEB方式默认不开启WEB 服务，需要在配置1、 使用带外管理口访问防火墙命令行配置如下：lab# set interfaces fxp0 unit 0 family inet address lab# set system services web-management http interface fxp0lab# commit commit complete将PC机

9、连接到带外管理口。在IE浏览器地址栏键入，如“），如果你输入的是接口IP地址。 可以根据实际管理需要，Juniper防火墙还可以通过telnetSSHSSL等方式管理，配置仅需在接口设置下开启相应的服务即可。（注意：需要先将接口放入相关区域内）方式三：基于Telnet/SSH/方式高级管理员可通过使用命令行界面 (CLI) 进行更好的控制。要为安全设备配置CLI，可使用任何仿真 VT100 终端的软件。如果使用终端机仿真器，可使用 Windows、UNIX 或 Macintosh 操作系统中的控制台来配置安全设备。要通过 CLI 进行远程管理，可使用 Telnet 或“安全外壳”(SSH)。要

10、通过控制台端口进行直接连接，可使用 HyperTerminal。 举例： 采用实际端口ge-0/0/0使用telnet访问，通过对system-services 可选择telnet/ssh/http/https/ping等CLI方式：set system services telnetset security zones security-zone trust interfaces ge-0/0/ host-inbound-traffic system-services telnet添加/删除用户默认没有root用户的密码，需要设置一密码，密码要求字母和数字组合，长度大于等于6个字符。设置ro

11、ot用户口令set system root-authentication plain-text-passwordnew password : root123 retype new password: root123密码将以密文方式显示show system root-authentication encrypted-password $1$xavDeUe6$; # SECRET-DATA注意：强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式)，此配置参数要求输入的口令应是经加密算法加密后的字符串，采用这种加密方式手工输入时存在密码无法

12、通过验证风险。注：root用户仅用于console连接本地管理SRX，不能通过远程登陆管理SRX，必须成功设置root口令后，才能执行commit提交后续配置命令。设置远程登陆管理用户新建一个用户class属性，超时设为10分钟，允许所有操作。（属于该属性的用户，在登陆设备10分钟后没有任何操作，设备会自动中断该连接）set system login class super-user idle-timeout 10set system login class super-user permissions all新建一个用户 lab，属性super-userset system login us

13、er lab class super-userset system login user lab authenticationset system plain-text-passwordNew password:Retype new password:注：此lab用户拥有超级管理员权限，可用于console和远程管理访问，另也可自行灵活定义其它不同管理权限用户。设置SNMPJuniper Networks 用以下方式在其设备中执行 SNMP:举例如下：创建一个 SNMP 公共组，名称为 public。为其分配读 / 写权限并启用其成员，以接收 MIB II 数据和陷阱。公共组名称充当密码，并需

14、要受到保护。一旦机箱的电源或风扇出现硬件故障，或者接口down就生成陷阱，发送的 这个服务器。最后，启用 ge-0/0/0 上的 SNMP 可管理性，它是此前已绑定到 Trust 区段上的接口。这是 SNMP 管理器应用程序用来与安全设备中的 SNMP 代理通信的接口。WebUI CLIset snmp community public authorization read-writeset snmp trap-group power fail categories chassisset snmp trap-group power fail categories linkset snmp tr

15、ap-group power fail targets security zones security-zone trust interfaces ge-0/0/ host-inbound-traffic system-services snmp （在需要与snmpserver通讯的接口打开SNMP服务）commit日期/时间/NTP配置方法Juniper Networks 安全设备应始终设置成正确的时间，这一点很重要。首先，为确保设备始终维持正确的时间，必须将系统时钟设置为当前时间.日期和时间通过 CLI，使用以下命令手动输入日期和时间，来设置时钟 : run set date /*设置系统

16、时钟*/set system time-zone Asia/Shanghai/*设置时区为上海*/网络时间协议为确保安全设备始终保持正确时间，可以使用“网络时间协议”(NTP) 通过互联网来同步系统时钟与 NTP 服务器的时钟。您可以手动同步. 配置NTP 服务器CLI set system ntp server security zones security-zone trust interfaces ge-0/0/ host-inbound-traffic system-services ntpcommit手工与NTP server 同步:set date ntp 其它基本参数配置set

17、system host-name SRX3400-A/*设置主机名*/如图可以看到硬件、软件、串号、主机名等信息。CLI查看版本lab show version Model: srx3600JUNOS Software Release 查看硬件信息：lab show chassis hardware detail Hardware inventory:Item Version Part number Serial number DescriptionChassis AB2310AA0016 SRX 3600Midplane REV 08 710-020310 AABH8129 SRX 3600

18、 MidplanePEM 0 rev 08 740-027644 G087FB000B08P AC Power SupplyPEM 1 rev 08 740-027644 G087FB001308P AC Power SupplyCB 0 REV 16 750-021914 AAAW8561 SRX3k RE-12-10 Routing Engine BUILTIN BUILTIN Routing Engine ad0 977 MB SILICONSYSTEMS UDMA 1GB C8721BJ2F003 Compact Flash ad2 15392 MB Wintec SSD 16GB W

19、T1027AA016007A Hard Disk CPP BUILTIN BUILTIN Central PFE Processor Mezz REV 08 710-021035 AAAV3620 SRX3k HD Mezzanine CardFPC 0 REV 13 750-021882 AABA6495 SRX3k SFB 12GE PIC 0 BUILTIN BUILTIN 8x 1GE-TX 4x 1GE-SFPFPC 8 REV 12 750-016077 AABK1756 SRX3k SPC PIC 0 BUILTIN BUILTIN SPU Cp-FlowFPC 10 REV 1

20、4 750-017866 AABJ2552 SRX3k NPC PIC 0 BUILTIN BUILTIN NPC PICFPC 12 REV 14 750-017866 AABE7477 SRX3k NPC PIC 0 BUILTIN BUILTIN NPC PICFan Tray 0 REV 06 750-021599 AAAR5096 SRX 3600 Fan Tray三、防火墙特性功能配置安全区域首次启动安全设备时，默认没有任何区域。默认建立的区创建trust 区段 。CLIset security zones security-zone trust 删除区段CLI delete se

21、curity zones security-zone trust Policy策略配置 定义地址薄SRX 服务网关地址对象需要自定义后才可以在策略中进行引用,默认只有any 对象,必须先在相关zone的地址薄里创建地址薄对象，再在安全策略里引用这些对象。address-book还支持创建address-set来包含多个离散的地址，以方便策略引用建立Trust区域的address-bookset security zones security-zone trust address-book address pc-1 security zones security-zone trust addre

22、ss-book address pc-2 建立Trust区域的address-set（地址组，组名为pc-group）set security zones security-zone trust address-book address-set pc-group address pc-1set security zones security-zone trust address-book address-set pc-group address pc-2建立Untrust区域的address-bookset security zones security-zone Untrust addres

23、s-book address web-server security zones security-zone Untrust address-book address mail-server 建立Untrust区域的address-setset security zones security-zone Untrust address-book address-set Inter-group address web-serverset security zones security-zone Untrust address-book address-set Inter-group address

24、 mail-server删除地址CLIDelete security zones security-zone trust address-book address pc-1关于服务预定义服务SRX安全策略里不允许直接使用协议号，源端口，目标端口来匹配业务应用，只能使用application下系统预定义的应用类型或用户自定义的业务类型。系统预定义的业务类型名字都是以”junos-“开头的。如下：root# show groups junos-defaults applications application ? Possible completions: Application name any

25、 Application name junos-aol Application name junos-bgp Application name junos-biff Application name junos-bootpc Application name junos-bootps Application name junos-chargen Application name junos-cvspserver Application name junos-dhcp-client Application name junos-dhcp-relay Application name junos-

26、dhcp-server Application name junos-discard Application name junos-dns-tcp Application name junos-dns-udp Application name junos-echo Application name junos-finger Application name junos-ftp Application name junos-gnutella Application nameApplication同样允许用户自定义的应用类型，并且通过定义application-set来包含多个applicatio

27、n，以方便策略引用。以下以WAP网关需要开放及侦听的端口服务为例：自定义服务并把自定义服务放到一个application-set 组中端口号用途侦听服务端口9200-9203（udp）Brower侦听服务端口（in）9208-9209（tcp）ENUM_DNS侦听服务端口(in)14000（tcp）QQ socket侦听服务端口（in）（超时时间为600秒）定义自有服务：set applications application Brower_udp protocol udpset applications application Brower_udp source-port 0-65535se

28、t applications application Brower_udp destination-port 9200-9203set applications application Push_tcp-1 protocol tcpset applications application Push_tcp-1 source-port 0-65535set applications application Push_tcp-1 destination-port 8090-8091set applications application QQ14000 protocol tcpset applic

29、ations application QQ14000 source-port 0-65535set applications application QQ14000 destination-port set applications application QQ14000 inactivity-timeout 600 （设置超时时间，600秒）定义服务组TEST,包含自有服务Brower_udp、Push_tcp-2、QQ14000 set applications application-set TEST application Brower_udpset applications appl

30、ication-set TEST application Push_tcp-2set applications application-set TEST application QQ14000 服务超时配置和查找为服务设置的超时值决定会话超时值。可以为预定义服务或定制服务设置超时；您可以使用服务缺省超时、指定定制超时或根本不使用超时。CLI：set applications application QQ14000 protocol tcpset applications application QQ14000 source-port 0-65535set applications applic

31、ation QQ14000 destination-port set applications application QQ14000 inactivity-timeout 600 （设置超时时间，600秒）二、制定策略允许、拒绝或设置两点间指定类型单向信息流通道的策略。信息流 (或“服务”) 的类型、两端点的位置以及调用的动作构成了策略的基本元素。尽管可以有其它组件，但是共同构成策略核心部分的必要元素描述如下表。可通过以下三种类型的策略控制信息流的流动 : 区段之间策略 - 可以控制允许从一个安全区段传递到另一个安全区段的信息流的类型。 区段内部策略 - 可以控制允许跨越绑定到同一区段不同接口的信息流的类型。 全局策略 - 可以控制不同地址间的信息流，而不考虑它们的安全区段。区段之间策略