Juniper SRX防火墙简明配置手册090721Word格式文档下载.docx

1、JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSLVPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配

2、置方法，最后对SRX防火墙常规操作与维护做简要说明。一、JUNOS操作系统介绍1.1层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOSCLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。在配置模式下JUNOS采用分层分级模块下配

3、置结构，如下图所示，edit命令进入下一级配置（类似unixcd命令）,exit命令退回上一级，top命令回到根级。1.2JunOS配置管理JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（CandidateConfig）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Activeconfig）。另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commitconfirmed2命令要求管理员必须在输入此命令后2分钟内再次输入commi

4、t以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。在执行commit命令前可通过配置模式下show命令查看当前候选配置（CandidateConfig），在执行commit后配置模式下可通过runshowconfig命令查看当前有效配置（Activeconfig）。此外可通过执行show|compare比对候选配置和有效配置的差异。SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效配置，并可通过执行rolback和commit命令返回到以前配置（如rollback0/commit可返回到前一commit配置）；也可

5、以直接通过执行saveconfigname.conf手动保存当前配置，并执行loadoverrideconfigname.conf/commit调用前期手动保存的配置。执行loadfactory-default/commit命令可恢复到出厂缺省配置。SRX可对模块化配置进行功能关闭与激活，如执行deactivatesecuritynat/comit命令可使NAT相关配置不生效，并可通过执行activatesecuritynat/commit使NAT配置再次生效。SRX通过set语句来配置防火墙，通过delete语句来删除配置，如deletesecuritynat和editsecuritynat

6、/delete一样，均可删除security防火墙层级下所有NAT相关配置，删除配置和ScreenOS不同，配置过程中需加以留意。1.3SRX主要配置内容部署SRX防火墙主要有以下几个方面需要进行配置：System：主要是系统级内容配置，如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务（如telnet）等内容。Interface:接口相关配置内容。Security:是SRX防火墙的主要配置内容，安全相关部分内容全部在Security层级下完成配置，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等，可简单理解

7、为ScreenOS防火墙安全相关内容都迁移至此配置层次下，除了Application自定义服务。Application：自定义服务单独在此进行配置，配置内容与ScreenOS基本一致。routing-options：配置静态路由或router-id等系统全局路由属性配置。二、SRX防火墙配置对照说明2.1初始安装2.1.1登陆Console口（通用超级终端缺省配置）连接SRX，root用户登陆，密码为空login:rootPassword:-JUNOS9.5R1.8built2009-07-1615:04:30UTCroot%cli/*进入操作模式*/rootconfigureEntering

8、configurationmode/*进入配置模式*/editRoot#2.1.2设置root用户口令设置root用户口令root#setsystemroot-authenticationplain-text-passwordroot#newpassword:root123 root#retypenewpassword:root123密码将以密文方式显示root#showsystemroot-authentication注意：强烈建议不要使用其它加密选项来加密root和其它user口令（如encrypted-password加密方式），此配置参数要求输入的口令应是经加密算法加密后的字符串，采用

9、这种加密方式手工输入时存在密码无法通过验证风险。注：root用户仅用于console连接本地管理SRX，不能通过远程登陆管理SRX，必须成功设置root口令后，才能执行commit提交后续配置命令。2.1.3设置远程登陆管理用户root#setsystemloginuserlabclasssuper-userauthenticationplain-text-passwordlab123 lab123此lab用户拥有超级管理员权限，可用于console和远程管理访问，另也可自行灵活定义其它不同管理权限用户。2.1.4远程管理SRX相关配置runsetdateYYYYMMDDhhmm.ss/*设置

10、系统时钟*/setsystemtime-zoneAsia/Shanghai/*设置时区为上海*/setsystemhost-nameSRX3400-A/*设置主机名*/setsystemname-server1.1.1.1/*设置DNS服务器*/setsystemservicesftpsetsystemservicestelnetsetsystemservicesweb-managementhttp/*在系统级开启ftp/telnet/http远程接入管理服务*/setinterfacesge-0/0/0.0familyinetaddress10.1.1.1/24或setinterfacesg

11、e-0/0/0unit0familyinetaddress10.1.1.1/24setinterfacesge-0/0/1unit0familyinetaddress10.1.2.1/24setrouting-optionsstaticroute0.0.0.0/0next-hop 10.1.1.1/*配置逻辑接口地址及缺省路由，SRX接口要求IP地址必须配置在逻辑接口下（类似ScreenOS的子接口），通常使用逻辑接口0即可*/setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0/*将ge-0/0/0.0接口放到untrustzone

12、去，类似ScreenOS*/setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicespingsetsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-serviceshttpsetsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicestelnet/*在untrustzone打开允许远程登陆管理服务，ScreenOS要求基于接口开放服务，SRX要求基于Zone开放

13、，从SRX主动访问出去流量开启服务，类似ScreenOS*/2.2PolicyPolicy配置方法与ScreenOS基本一致，仅在配置命令上有所区别，其中策略的允许/拒绝的动作（Action）需要额外配置一条then语句（将ScreenOS的一条策略分解成两条及以上配置语句）。Policy需要手动配置policyname，policyname可以是字符串，也可以是数字（与ScreenOS的policyID类似,只不过需要手工指定）。setsecurityzonessecurity-zonetrustaddress-bookaddresspc110.1.1.10/32setsecurityzon

14、essecurity-zoneuntrustaddress-bookaddressserver110.0.2.1/32/*与ScreenOS一样，在trust和untrustzone下分别定义地址对象便于策略调用，地址对象的名称可以是地址/掩码形式*/setsecurityzonessecurity-zonetrustaddress-bookaddress-setaddr-group1addresspc1/*在trustzone下定义名称为add-group1的地址组，并将pc1地址放到该地址组中*/setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001matchsource-addressaddr-group1destination-addressserver1applicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thenpermit/*定义从trust到untrust方向permit策略，允许addr-group1组的源地址访问server1地址any服务*