Juniper SRX Branch系列防火墙配置管理手册
王晓方
Juniper 系统工程师
Juniper Networks, Inc.
上海市淮海中路333号瑞安广场1102-1104室
邮编:200021 电话:61415000 http://www.juniper.net
第 1 页 共 52 页
目录
一、JUNOS操作系统介绍 ...............................................................................................3 1.1 层次化配置结构 ........................................................................................................3 1.2 JunOS配置管理 .........................................................................................................4 1.3 SRX主要配置内容.....................................................................................................4 二、SRX防火墙配置操作举例说明 .................................................................................5 2.1 初始安装 ..................................................................................................................5
2.1.1 设备登陆 .......................................................................................................5
2.1.2 设备恢复出厂介绍 .........................................................................................5 2.1.3 设置root用户口令 .......................................................................................5 2.1.4 设置远程登陆管理用户 ..................................................................................6 2.1.5 远程管理SRX相关配置 ..................................................................................6 2.2 配置操作实验拓扑 ....................................................................................................7 2.3 策略相关配置说明 ....................................................................................................7
2.3.1 策略地址对象定义 .........................................................................................8
2.3.2 策略服务对象定义 .........................................................................................8 2.3.3 策略时间调度对象定义 ..................................................................................8 2.3.4 策略配置举例 ................................................................................................9 2.4 地址转换 ................................................................................................................ 10
2.4.1 Interface based NAT 基于接口的源地址转换 ............................................. 10
2.4.2 Pool based Source NAT基于地址池的源地址转换 ....................................... 11 2.4.3 Pool base destination NAT基于地址池的目标地址转换 ............................ 12 2.4.4 Pool base Static NAT基于地址池的静态地址转换 ..................................... 13 2.5 IPSEC VPN .............................................................................................................. 13
2.5.1 基于路由的LAN TO LAN IPSEC VPN.............................................................. 14 2.5.2 基于策略的LAN TO LAN IPSEC VPN.............................................................. 15 2.5.3 基于Remote VPN 客户端拨号VPN ................................................................ 15 2.5.4 基于IPSEC动态VPN .................................................................................... 24 2.6 应用层网关ALG配置及说明................................................................................... 29 2.7 SRX Branch 系列JSRP HA高可用性配置及说明 ...................................................... 29 2.8 SRX Branch 系列IDP、UTM配置操作介绍 ............................................................. 33 2.9 SRX Branch 系列与UAC联动配置说明 ................................................................... 38 2.10 SRX Branch系列FLOW配置说明 .......................................................................... 42 2.11 SRX Branch系列SCREEN攻击防护配置说明 ......................................................... 43 2.12 SRX Branch系列J-WEB操作配置简要说明 ............................................................ 44 三、SRX防火墙常规操作与维护 ................................................................................... 50 3.2 3.3 3.4 3.5 3.6
设备关机 ............................................................................................................ 50 设备重启 ............................................................................................................ 50 操作系统升级 ..................................................................................................... 50 密码恢复 ............................................................................................................ 51 常用监控维护命令 .............................................................................................. 51
第 2 页 共 52 页
Juniper SRX Branch系列防火墙配置管理手册说明
SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。
鉴于SRX系列防火墙低端
一、JUNOS操作系统介绍 1.1 层次化配置结构
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。
第 3 页 共 52 页
1.2 JunOS配置管理
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行commit后配置模式下可通过run show config命令查看当前有效配置(Active config)。此外可通过执行show | compare比对候选配置和有效配置的差异。
SRX上由于配备大容量存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback 0/commit可返回到前一commit配置);也可以直接通过执行save configname.conf手动保存当前配置,并执行load override configname.conf / commit调用前期手动保存的配置。执行load factory-default / commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/comit命令可使NAT相关配置不生效,并可通过执行activate security nat/commit使NAT配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
1.3 SRX主要配置内容
部署SRX防火墙主要有以下几个方面需要进行配置:
System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。
Interface:接口相关配置内容。
Security: 是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp、UTM等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。
Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。
routing-options: 配置静态路由或router-id等系统全局路由属性配置。
第 4 页 共 52 页