JuniperSRX防火墙简明配置手册样本Word文件下载.docx
《JuniperSRX防火墙简明配置手册样本Word文件下载.docx》由会员分享,可在线阅读,更多相关《JuniperSRX防火墙简明配置手册样本Word文件下载.docx(22页珍藏版)》请在冰点文库上搜索。
此外,JUNOS容许执行commit命令时规定管理员对提交配备进行两次确认,如执行commitconfirmed2命令规定管理员必要在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配备将自动回退,这样可以避免远程配备变更时管理员失去对SRX远程连接风险。
在执行commit命令前可通过配备模式下show命令查看当前候选配备(CandidateConfig),在执行commit后配备模式下可通过runshowconfig命令查看当前有效配备(Activeconfig)。
此外可通过执行show|compare比对候选配备和有效配备差别。
SRX上由于配备大容量硬盘存储器,缺省按先后commit顺序自动保存50份有效配备,并可通过执行rolback和commit命令返回到此前配备(如rollback0/commit可返回到前一commit配备);
也可以直接通过执行saveconfigname.conf手动保存当前配备,并执行loadoverrideconfigname.conf/commit调用前期手动保存配备。
执行loadfactory-default/commit命令可恢复到出厂缺省配备。
SRX可对模块化配备进行功能关闭与激活,如执行deactivatesecuritynat/comit命令可使NAT有关配备不生效,并可通过执行activatesecuritynat/commit使NAT配备再次生效。
SRX通过set语句来配备防火墙,通过delete语句来删除配备,如deletesecuritynat和editsecuritynat/delete同样,均可删除security防火墙层级下所有NAT有关配备,删除配备和ScreenOS不同,配备过程中需加以留意。
1.3SRX重要配备内容
布置SRX防火墙重要有如下几种方面需要进行配备:
System:
重要是系统级内容配备,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放远程管理服务(如telnet)等内容。
Interface:
接口有关配备内容。
Security:
是SRX防火墙重要配备内容,安全有关某些内容所有在Security层级下完毕配备,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可简朴理解为ScreenOS防火墙安全有关内容都迁移至此配备层次下,除了Application自定义服务。
Application:
自定义服务单独在此进行配备,配备内容与ScreenOS基本一致。
routing-options:
配备静态路由或router-id等系统全局路由属性配备。
二、SRX防火墙配备对照阐明
2.1初始安装
2.1.1登陆
Console口(通用超级终端缺省配备)连接SRX,root顾客登陆,密码为空
login:
root
Password:
---JUNOS9.5R1.8built-07-1615:
04:
30UTC
root%cli/***进入操作模式***/
root>
configure
Enteringconfigurationmode/***进入配备模式***/
[edit]
Root#
2.1.2设立root顾客口令
设立root顾客口令
root#setsystemroot-authenticationplain-text-password
root#newpassword:
root123
root#retypenewpassword:
root123
密码将以密文方式显示
root#showsystemroot-authentication
encrypted-password"
$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."
;
#SECRET-DATA
注意:
强烈建议不要使用其他加密选项来加密root和其他user口令(如encrypted-password加密方式),此配备参数规定输入口令应是经加密算法加密后字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。
注:
root顾客仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必要成功设立root口令后,才干执行commit提交后续配备命令。
2.1.3设立远程登陆管理顾客
root#setsystemloginuserlabclasssuper-userauthenticationplain-text-password
lab123
lab123
此lab顾客拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其他不同管理权限顾客。
2.1.4远程管理SRX有关配备
runsetdateYYYYMMDDhhmm.ss /***设立系统时钟***/
setsystemtime-zoneAsia/Shanghai /***设立时区为上海***/
setsystemhost-nameSRX3400-A /***设立主机名***/
setsystemname-server1.1.1.1 /***设立DNS服务器***/
setsystemservicesftp
setsystemservicestelnet
setsystemservicesweb-managementhttp
/***在系统级启动ftp/telnet/http远程接入管理服务***/
setinterfacesge-0/0/0.0familyinetaddress10.1.1.1/24
或
setinterfacesge-0/0/0unit0familyinetaddress10.1.1.1/24
setinterfacesge-0/0/1unit0familyinetaddress10.1.2.1/24
setrouting-optionsstaticroute0.0.0.0/0next-hop10.1.1.1
/***配备逻辑接口地址及缺省路由,SRX接口规定IP地址必要配备在逻辑接口下(类似ScreenOS子接口),普通使用逻辑接口0即可***/
setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0
/***将ge-0/0/0.0接口放到untrustzone去,类似ScreenOS***/
setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesping
setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-serviceshttp
setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicestelnet
/***在untrustzone打开容许远程登陆管理服务,ScreenOS规定基于接口开放服务,SRX规定基于Zone开放,从SRX积极访问出去流量启动服务,类似ScreenOS***/
2.2Policy
Policy配备办法与ScreenOS基本一致,仅在配备命令上有所区别,其中方略容许/回绝动作(Action)需要额外配备一条then语句(将ScreenOS一条方略分解成两条及以上配备语句)。
Policy需要手动配备policyname,policyname可以是字符串,也可以是数字(与ScreenOSpolicyID类似,只但是需要手工指定)。
setsecurityzonessecurity-zonetrustaddress-bookaddresspc110.1.1.10/32
setsecurityzonessecurity-zoneuntrustaddress-bookaddressserver110.0.2.1/32
/***与ScreenOS同样,在trust和untrustzone下分别定义地址对象便于方略调用,地址对象名称可以是地址/掩码形式***/
setsecurityzonessecurity-zonetrustaddress-bookaddress-setaddr-group1addresspc1
/***在trustzone下定义名称为add-group1地址组,并将pc1地址放到该地址组中***/
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001matchsource-addressaddr-group1destination-addressserver1applicationany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thenpermit
/***定义从trust到untrust方向permit方略,容许addr-group1组源地址访问server1地址any服务***/
2.3NAT
SRXNAT较ScreenOS在功能实现方面基本保持一致,但在功能配备上有较大区别,配备重要差别在于ScreenOSNAT与policy是绑定,无论是MIP/VIP/DIP还是基于方略NAT,在policy中均要体现出NAT内容(除了缺省基于untrust接口Souec-NAT模式外),而SRXNAT则作为网络层面基本内容进行独立配备(独立定义地址映射方向、映射关系及地址范畴),Policy中不再包括NAT有关配备信息,这样好处是易于理解、简化运维,当网络拓朴和NAT映射关系发生变化时,无需调节Policy配备内容。
SRXNAT和Policy执行先后顺序为:
目地址转换-目地址路由查找-执行方略检查-源地址转换,结合这个执行顺序,在配备Policy时需注意:
Policy中源地址应是转换前源地址,而目地址应当是转换后目地址,换句话说,Policy中源和目地址应当是源和目两端真实IP地址,这一点和ScreenOS存在区别,需要加以注意。
SRX中不再使用MIP/VIP/DIP这些概念,其中MIP被Static静态地址转换取代,两者在功能上完全一致;
DIP被SourceNAT取代;
基于Policy目地址转换及VIP被DestinationNAT取代。
ScreenOS中基于Untrustzone接口源地址转换被保存下来,但在SRX中不再是缺省模式(SRX中TrustZone接口没有NAT模式概念),需要手工配备。
类似ScreenOS,Static属于双向NAT,其她类型均属于单向NAT,
此外,SRX还多了一种proxy-arp概念,如果定义IPPool(可用于源或目地址转换)与接口IP在同一子网时,需配备SRX对这个Pool内地址提供ARP代理功能,这样对端设备可以解析到IPPool地址MAC地址(使用接口MAC地址响应对方),以便于返回报文可以送达SRX。
下面是配备举例及有关阐明:
2.3.1InterfacebasedNAT
NAT:
setsecuritynatsourcerule-set1fromzonetrust
setsecuritynatsourcerule-set1tozoneuntrust
setsecuritynatsourcerule-set1rulerule1matchsource-address0.0.0.0/0destination-address0.0.0.0/0
setsecuritynatsourcerule-set1rulerule1thensource-natinterface
上述配备定义NAT源地址映射规则,从TrustZone访问UntrustZone所有流量用UntrustZone接口IP做源地址转换。
Policy:
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-address10.1.2.2
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchdestination-addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplicationany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermit
上述配备定义Policy方略,容许Trustzone10.1.2.2地址访问Untrust方向任何地址,依照前面NAT配备,SRX在建立session时自动执行接口源地址转换。
2.3.2PoolbasedSourceNAT
setsecuritynatsourcepoolpool-1address100.1.1.10to100.1.1.20
setsecuritynatsourcerule-set1rulerule1thensource-natpoolpool-1
setsecuritynatproxy-arpinterfacege-0/0/2address100.1.1.10to100.1.1.20
上述配备表达从trust方向(any)到untrust方向(any)访问时提供源地址转换,源地址池为pool1(100.1.1.10-100.1.1.20),同步ge-0/0/2接口为此poolIP提供ARP代理。
需要注意是:
定义Pool时不需要与Zone及接口进行关联。
配备proxy-arp目是让返回包可以送达SRX,如果Pool与出接口IP不在同一子网,则对端设备需要配备指向100.1.1.1Pool地址路由。
Policy:
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-address10.1.1.2
上述配备定义Policy方略,容许Trustzone10.1.2.2地址访问Untrust方向任何地址,依照前面NAT配备,SRX在建立session时自动执行源地址转换。
2.3.3PoolbasedestinationNAT
setsecuritynatdestinationpool111address192.168.1.100/32
setsecuritynatdestinationrule-set1fromzoneuntrust
setsecuritynatdestinationrule-set1rule111matchsource-address0.0.0.0/0
setsecuritynatdestinationrule-set1rule111matchdestination-address100.100.100.100/32
setsecuritynatdestinationrule-set1rule111thendestination-natpool111
上述配备将外网any访问100.100.100.100地址映射到内网192.168.1.100地址,注意:
定义DstPool是内网真实IP地址,而不是映射前公网地址。
这点和Src-NATPool有所区别。
setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchsource-addressany
setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchdestination-address192.168.1.100
setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1matchapplicationany
setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicy1thenpermit
上述配备定义Policy方略,容许Untrust方向任何地址访问Trust方向192.168.1.100,依照前面NAT配备,公网访问100.100.100.100时,SRX自动执行到192.168.1.100目地址转换。
ScreenOSVIP功能相应SRXDst-nat配备:
setsecuritynatdestinationpool222address192.168.1.200/32port8000
setsecuritynatdestinationrule-set1rule111matchdestination-port8000
setsecuritynatdestinationrule-set1rule111thendestination-natpool222
上述NAT配备定义:
访问100.100.100.100地址8000端口映射至192.168.1.200地址8000端口,功能与ScreenOSVIP端口映射一致。
2.3.4PoolbaseStaticNAT
setsecuritynatstaticrule-setstatic-natfromzoneuntrust
setsecuritynatstaticrule-setstatic-natrulerule1matchdestination-address100.100.100.100
setsecuritynatstaticrule-setstatic-natrulerule1thenstatic-natprefix192.168.1.200
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-addressany
setsecuritypoliciesfrom-
升级会员 