1、JuniperSRX防火墙简明配置手册样本Juniper SRX防火墙简要配备手册Juniper SRX防火墙简要配备手册SRX系列防火墙是Juniper公司基于JUNOS操作系统安全系列产品,JUNOS集成了路由、互换、安全性和一系列丰富网络服务。当前Juniper公司全系列路由器产品、互换机产品和SRX安全产品均采用统一源代码JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构网络操作系统。JUNOS作为电信级产品精髓是Juniper真正成功基石,它让公司级产品同样具备电信级不间断运营特性,更好安全性和管理特性,JUNOS软件创新分布式架构为高性能、高可用、
2、高可扩展网络奠定了基本。基于NP架构SRX系列产品产品同步提供性能优秀防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能重要来源于已被广泛证明ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统工程师提供SRX防火墙参照配备,以便于人们可以迅速布置和维护SRX防火墙,文档简介JUNOS操作系统,并参照ScreenOS配备简介SRX防火墙配备办法,最后对SRX防火墙常规操作与维护做简要阐明。一、JUNOS操作系统简介1.1 层次化配备构造JUNOS采用基于FreeBSD内核软件模块化操作系统,支持CLI命令行和WEBUI两
3、种接口配备方式,本文重要对CLI命令行方式进行配备阐明。JUNOS CLI使用层次化配备构造,分为操作(operational)和配备(configure)两类模式,在操作模式下可对当前配备、设备运营状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配备模式,在配备模式下可对各有关模块进行配备并可以执行操作模式下所有命令(run)。在配备模式下JUNOS采用分层分级模块下配备构造,如下图所示,edit命令进入下一级配备(类似unix cd命令),exit命令退回上一级,top命令回到根级。1.2 JunOS配备管理JUNOS通过set语句进行配备,配备输入
4、后并不会及时生效,而是作为候选配备(CandidateConfig)等待管理员提交确认,管理员通过输入commit命令来提交配备,配备内容在通过SRX语法检查后才会生效,一旦commit通过后当前配备即成为有效配备(Active config)。此外,JUNOS容许执行commit命令时规定管理员对提交配备进行两次确认,如执行commit confirmed 2命令规定管理员必要在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配备将自动回退,这样可以避免远程配备变更时管理员失去对SRX远程连接风险。在执行commit命令前可通过配备模式下show命令查看当前候选配备(Cand
5、idate Config),在执行commit后配备模式下可通过run show config命令查看当前有效配备(Active config)。此外可通过执行show | compare比对候选配备和有效配备差别。SRX上由于配备大容量硬盘存储器,缺省按先后commit顺序自动保存50份有效配备,并可通过执行rolback和commit命令返回到此前配备(如rollback 0/commit可返回到前一commit配备);也可以直接通过执行save configname.conf手动保存当前配备,并执行load override configname.conf / commit调用前期手动保
6、存配备。执行load factory-default / commit命令可恢复到出厂缺省配备。SRX可对模块化配备进行功能关闭与激活,如执行deactivate security nat/comit命令可使NAT有关配备不生效,并可通过执行activate security nat/commit使NAT配备再次生效。SRX通过set语句来配备防火墙,通过delete语句来删除配备,如delete security nat和edit security nat / delete同样,均可删除security防火墙层级下所有NAT有关配备,删除配备和ScreenOS不同,配备过程中需加以留意。1.
7、3 SRX重要配备内容布置SRX防火墙重要有如下几种方面需要进行配备:System:重要是系统级内容配备,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放远程管理服务(如telnet)等内容。Interface:接口有关配备内容。Security:是SRX防火墙重要配备内容,安全有关某些内容所有在Security层级下完毕配备,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可简朴理解为ScreenOS防火墙安全有关内容都迁移至此配备层次下,除了Application自定义服务。Application:自定义服务单独在
8、此进行配备,配备内容与ScreenOS基本一致。routing-options: 配备静态路由或router-id等系统全局路由属性配备。二、SRX防火墙配备对照阐明2.1 初始安装2.1.1 登陆Console口(通用超级终端缺省配备)连接SRX,root顾客登陆,密码为空login:rootPassword:- JUNOS 9.5R1.8 built -07-16 15:04:30 UTCroot% cli /*进入操作模式*/root root configureEntering configuration mode /*进入配备模式*/editRoot#2.1.2 设立root顾客口令
9、设立root顾客口令root# set system root-authentication plain-text-passwordroot# new password :root123 root# retype new password:root123密码将以密文方式显示root# show system root-authentication encrypted-password $1$xavDeUe6$fNM6olGU.8.M7B62u05D6.;# SECRET-DATA注意:强烈建议不要使用其他加密选项来加密root和其他user口令(如encrypted-password加密方式)
10、,此配备参数规定输入口令应是经加密算法加密后字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。注:root顾客仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必要成功设立root口令后,才干执行commit提交后续配备命令。2.1.3 设立远程登陆管理顾客root# set system login user lab class super-user authentication plain-text-passwordroot# new password :lab123 root# retype new password:lab123注:此lab顾客拥有超级管理员
11、权限,可用于console和远程管理访问,另也可自行灵活定义其他不同管理权限顾客。2.1.4 远程管理SRX有关配备run set date YYYYMMDDhhmm.ss/*设立系统时钟*/set system time-zone Asia/Shanghai/*设立时区为上海*/set system host-name SRX3400-A/*设立主机名*/set system name-server 1.1.1.1 /*设立DNS服务器*/set system services ftpset system services telnet set system services web-man
12、agement http /*在系统级启动ftp/telnet/http远程接入管理服务*/set interfaces ge-0/0/0.0 family inet address 10.1.1.1/24或set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/24set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1/*配备逻辑接口地址及缺
13、省路由,SRX接口规定IP地址必要配备在逻辑接口下(类似ScreenOS子接口),普通使用逻辑接口0即可*/set security zones security-zone untrust interfaces ge-0/0/0.0/*将ge-0/0/0.0接口放到untrust zone去,类似ScreenOS*/set security zones security-zone untrust host-inbound-traffic system-services pingset security zones security-zone untrust host-inbound-traff
14、ic system-services httpset security zones security-zone untrust host-inbound-traffic system-services telnet/*在untrust zone打开容许远程登陆管理服务,ScreenOS规定基于接口开放服务,SRX规定基于Zone开放,从SRX积极访问出去流量启动服务,类似ScreenOS*/2.2 PolicyPolicy配备办法与ScreenOS基本一致,仅在配备命令上有所区别,其中方略容许/回绝动作(Action)需要额外配备一条then语句(将ScreenOS一条方略分解成两条及以上配备
15、语句)。Policy需要手动配备policy name,policy name可以是字符串,也可以是数字(与ScreenOSpolicy ID类似,只但是需要手工指定)。set security zones security-zone trust address-book address pc1 10.1.1.10/32set security zones security-zone untrust address-book address server1 10.0.2.1/32/*与ScreenOS同样,在trust和untrust zone下分别定义地址对象便于方略调用,地址对象名称可以是
16、地址/掩码形式*/set security zones security-zone trust address-book address-set addr-group1 address pc1/*在trust zone下定义名称为add-group1地址组,并将pc1地址放到该地址组中*/set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application anyset security p
17、olicies from-zone trust to-zone untrust policy 001 then permit/*定义从trust 到untrust方向permit方略,容许addr-group1组源地址访问server1地址any服务*/2.3 NATSRX NAT较ScreenOS在功能实现方面基本保持一致,但在功能配备上有较大区别,配备重要差别在于ScreenOSNAT与policy是绑定,无论是MIP/VIP/DIP还是基于方略NAT,在policy中均要体现出NAT内容(除了缺省基于untrust接口Souec-NAT模式外),而SRX NAT则作为网络层面基本内容进行
18、独立配备(独立定义地址映射方向、映射关系及地址范畴),Policy中不再包括NAT有关配备信息,这样好处是易于理解、简化运维,当网络拓朴和NAT映射关系发生变化时,无需调节Policy配备内容。SRX NAT和Policy执行先后顺序为:目地址转换目地址路由查找执行方略检查源地址转换,结合这个执行顺序,在配备Policy时需注意:Policy中源地址应是转换前源地址,而目地址应当是转换后目地址,换句话说,Policy中源和目地址应当是源和目两端真实IP地址,这一点和ScreenOS存在区别,需要加以注意。SRX中不再使用MIP/VIP/DIP这些概念,其中MIP被Static静态地址转换取代,
19、两者在功能上完全一致;DIP被Source NAT取代;基于Policy目地址转换及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口源地址转换被保存下来,但在SRX中不再是缺省模式(SRX中Trust Zone接口没有NAT模式概念),需要手工配备。类似ScreenOS,Static属于双向NAT,其她类型均属于单向NAT,此外,SRX还多了一种proxy-arp概念,如果定义IP Pool(可用于源或目地址转换)与接口IP在同一子网时,需配备SRX对这个Pool内地址提供ARP代理功能,这样对端设备可以解析到IP Pool地址MAC地址(使用接
20、口MAC地址响应对方),以便于返回报文可以送达SRX。下面是配备举例及有关阐明:2.3.1 Interface based NATNAT:set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0set security nat source r
21、ule-set 1 rule rule1 then source-nat interface上述配备定义NAT源地址映射规则,从Trust Zone访问Untrust Zone所有流量用Untrust Zone接口IP做源地址转换。Policy:set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.2.2set security policies from-zone trust to-zone untrust policy 1 match destination-addr
22、ess anyset security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配备定义Policy方略,容许Trust zone 10.1.2.2地址访问Untrust方向任何地址,依照前面NAT配备,SRX在建立session时自动执行接口源地址转换。2.3.2 Pool based Source NATNAT:set security n
23、at source pool pool-1 address 100.1.1.10 to 100.1.1.20set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0set security nat source rule-set 1 rule
24、rule1 then source-nat pool pool-1set security nat proxy-arp interface ge-0/0/2 address 100.1.1.10 to 100.1.1.20上述配备表达从trust方向(any)到untrust方向(any)访问时提供源地址转换,源地址池为pool1(100.1.1.10 -100.1.1.20),同步ge-0/0/2接口为此pool IP提供ARP代理。需要注意是:定义Pool时不需要与Zone及接口进行关联。配备proxy-arp目是让返回包可以送达SRX,如果Pool与出接口IP不在同一子网,则对端设备需要
25、配备指向100.1.1.1Pool地址路由。Policy:set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.1.2set security policies from-zone trust to-zone untrust policy 1 match destination-address anyset security policies from-zone trust to-zone untrust policy 1 match application anyset
26、 security policies from-zone trust to-zone untrust policy 1 then permit上述配备定义Policy方略,容许Trust zone 10.1.2.2地址访问Untrust方向任何地址,依照前面NAT配备,SRX在建立session时自动执行源地址转换。2.3.3 Pool base destination NATNAT:set security nat destination pool 111 address 192.168.1.100/32set security nat destination rule-set 1 from
27、 zone untrustset security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0set security nat destination rule-set 1 rule 111 match destination-address 100.100.100.100/32set security nat destination rule-set 1 rule 111 then destination-nat pool 111上述配备将外网any访问100.100.100.100地址映射到内网192
28、.168.1.100地址,注意:定义Dst Pool是内网真实IP地址,而不是映射前公网地址。这点和Src-NAT Pool有所区别。Policy:set security policies from-zone untrust to-zone trust policy 1 match source-address anyset security policies from-zone untrust to-zone trust policy 1 match destination-address 192.168.1.100set security policies from-zone untru
29、st to-zone trust policy 1 match application anyset security policies from-zone untrust to-zone trust policy 1 then permit上述配备定义Policy方略,容许Untrust方向任何地址访问Trust方向192.168.1.100,依照前面NAT配备,公网访问100.100.100.100时,SRX自动执行到192.168.1.100目地址转换。ScreenOS VIP功能相应SRX Dst-nat配备:set security nat destination pool 222
30、address 192.168.1.200/32 port 8000set security nat destination rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0set security nat destination rule-set 1 rule 111 match destination-address 100.100.100.100/32set security nat destination rule-set
31、 1 rule 111 match destination-port 8000set security nat destination rule-set 1 rule 111 then destination-nat pool 222上述NAT配备定义:访问100.100.100.100地址8000端口映射至192.168.1.200地址8000端口,功能与ScreenOS VIP端口映射一致。2.3.4 Pool base Static NATNAT:set security nat static rule-set static-nat from zone untrustset security nat static rule-set static-nat rule rule1 match destination-address 100.100.100.100set security nat static rule-set static-nat rule rule1 then static-nat prefix 192.168.1.200Policy:set security policies from-zone trust to-zone untrust policy 1 match source-address anyset security policies from-
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 