lab@240a# run show chassis cluster status

e) f)

取消cluster配置

lab@Srx240a# set chassis cluster disable reboot

升级JSRP软件版本

SRX目前暂不支持软件在线升级（ISSU），升级过程会中断业务。 升级步骤如下：

1.升级node 0，注意不要重启系统 2.升级node 1，注意不要重启系统. 3.同时重启两个系统 g)

恢复处于disabled状态的node

当control port或fabric link出现故障时，为避免出现双master (split-brain)现象，JSRP会把出现故障前状态为secdonary的node设为disabled状态，即除了RE，其余部件都不工作。想要恢复必须reboot该node。2.8 WEB界面操作介绍2.9 Screen配置操作介绍

2.8 SRX Branch 系列IDP、UTM配置操作介绍

SRX Branch系列产品提供一整套统一威胁管理 (UTM) 服务，包括：入侵防御系统 (IPS)、防病毒、防垃圾邮件、通过内容过滤实现的网页过滤以及防信息泄露，从而保护您的网络，防止最新的内容威胁。特定型号的产品还具有内容安全加速器以提供高性能 IPS和防病毒性能。面向分支机构的 SRX 系列产品与其它的瞻博安全产品集成，从而提供企业级的统一接入控制和自适应威胁管理功能。这些功能为安全专家提供了与网络犯罪和数据丢失斗争的强大工具。

配置IDP、UTM功能之前,你首先需要知道你的设备是否购买了相关功能的license，可以通过下面命令进行查看，由于测试中本人的设备License过期,相应的功能只是不能更新而已,功能测试使用没有问题。 由于当前测试过程没有NSM管理平台,故测试中的IDP\\UTM等功能产生的日志无法收集分析。

root# run show system license <将会显示相应的功能license以及过期时间>

如果license过去也可以通过相应的命令进行查看,如下：

root# run show system alarms

3 alarms currently active

Alarm time Class Description

2010-06-17 19:22:31 CST Minor License grace period for feature 28 expired 2010-06-17 19:22:31 CST Minor License grace period for feature 27 expired 2010-06-17 19:22:31 CST Minor License grace period for feature 25 expired

默认情况下,设备沟通过去将有提供一个月的试用期license。 首先我们将介绍IDP配置

第一步：申请license,此步骤必须保证设备本身能够访问Internet

Root#run request system license update trial

第二步：查看license更新情况

root# run show system license

第三步：检查并下载安装IDP特征库更新包<需要设备本身能够访问internet>

root# run request security idp security-package ? 下载并安装更新包

Possible completions:

download Download security package (Package includes detector and deltas for attack table) install Update attack database, active policy, detector with new package

第 33 页 共 52 页

第四步：检查下载状态、下载特征库版本、更新日期等信息

root# run request security idp security-package download status In progress: Downloading ...

root# run request security idp security-package download status

Done;Successfully downloaded from(https://services.netscreen.com/cgi-bin/index.cgi). Version info:1714(Wed Jun 16 14:41:19 2010, Detector=10.4.160100525)

root# run request security idp security-package download check-server Successfully retrieved from(https://services.netscreen.com/cgi-bin/index.cgi). Version info:1714(Detector=10.4.160100525, Templates=2)

第五步：当完成上述操作下载IDP特征库以后,需要进行对特征库的安装

root# run request security idp security-package install ? 特征库安装并查看安装状态 Possible completions:

<[Enter]> Execute this command

policy-templates Update previously installed policy-templates with newly downloaded ones status Retrieve the status of security package load operation

update-attack-database-only Don't update/push active policy or detector to data plane | Pipe through a command

第六步：配置IDP策略与安装策略

root# show security idp 配置IDP策略与安全策略 idp-policy juniper-srx-idp-test { rulebase-ips {

rule 1 {

match {

source-address any; destination-address any;

attacks {

predefined-attack-groups [ HTTP DNS ICMP UDP TCP ]; } } then {

action {

ignore-connection; }

notification { log-attacks; } } } }

}

active-policy juniper-srx-idp-test; 激活IDP策略

[edit]

root# show security policies

第 34 页 共 52 页

from-zone dmz to-zone untrust { policy d-u { match {

source-address any; destination-address any; application any; }

then {

permit {

application-services {

idp; 针对当前策略开启IDP功能 } } log {

session-init;

第七步：查看IDP功能工作状态命令：

root# run show security idp ? Possible completions:

application-identification Show IDP application identification data application-statistics Show IDP application statistics attack Show IDP attack data

counters Show IDP counters

memory Show IDP data plane memory statistics policies Show the list of currently installed policies policy-templates-list Show available policy templates

security-package-version Show the version of currently installed security-package status Show IDP status

root# run show security idp status

State of IDP: 2-default, Up since: 2010-01-19 23:23:21 CST (21:59:39 ago) Packets/second: 281 Peak: 2703 @ 2010-01-20 20:15:34 CST KBits/second : 280 Peak: 10097 @ 2010-01-20 20:15:34 CST Latency (microseconds): [min: 0] [max: 0] [avg: 0]

Packet Statistics:

[ICMP: 2210497] [TCP: 11918] [UDP: 2419330] [Other: 0] Flow Statistics:

ICMP: [Current: 1218] [Max: 2278 @ 2010-01-20 21:22:37 CST] TCP: [Current: 40] [Max: 138 @ 2010-01-20 19:14:02 CST] UDP: [Current: 16] [Max: 434 @ 2010-01-20 19:15:48 CST] Other: [Current: 0] [Max: 0 @ 2010-01-19 23:23:21 CST] Session Statistics:

[ICMP: 609] [TCP: 20] [UDP: 8] [Other: 0]

Policy Name : juniper-srx-idp-test v0 关键查看此处IDP策略是否激活工作状态 Running Detector Version : 10.2.160091104 运行中使用的检测版本

第 35 页 共 52 页

接下我们将介绍UTM中的web-filtering功能配置

Juniper SRX Branch系列能够做到的WEB过滤内网包括如下：

可以通过WEB过滤功能过滤涉及上述信息的网站等,有效提高企业办公效率

列举一个简单的例子,不允许内网用户访问任何与新闻有关的网站, 但是可以访问news.163.com,并且不允许访问开心网, 其他类型网站可以访问<体育、51JOB等>

首先我们同样需要检查设备的license与特征库等是否最新<根据上述IDP操作,不再重复> 第一步：申请license,此步骤必须保证设备本身能够访问Internet

Root#run request system license update trial

第二步：查看license更新情况

root# run show system license

第三步：配置UTM- web-filtering策略和安全策略

root# show security utm custom-objects { url-pattern { badsite-1 {

value www.kaixin001.com; }

goodsite-1 {

value news.163.com; }

}

custom-url-category { bad-site {

value badsite-1; }

good-site {

value goodsite-1; } } }

feature-profile {

web-filtering {

url-whitelist good-site; url-blacklist bad-site;

第 36 页 共 52 页