《juniper srx100 防火墙配置》由会员分享,可在线阅读,更多相关《juniper srx100 防火墙配置(9页珍藏版)》请在金锄头文库上搜索。
1、 Junipersrx100 防火墙配置指导 #一、初始化安装1.1 设备登录Juniper SRX 系列防火墙。开机之后,第一次必须通过 console 口(通用超级终端缺省配置)连接 SRX, 输入 root 用户名登陆,密码为空,进入到 SRX 设备之后可以开始加载基线配置。特别注意:SRX 低端系列防火墙,在第一次登陆时,执行命令 “show configuration” 你会发现系统本身已经具备一些配置内容(包括 DNS 名称、DHCP 服务器等) ,建议删除这些配置,重新配置。 Delete 删除 设备开机请直接通过 console 连接到防火墙设备Login : rootPass
2、word : /*初始化第一次登陆的时候,密码为空*/Root% cli /*进入操作模式*/RootRoot configure /* 进入配置模式*/Root# delete /*配置模式执行命令“delete” 全局删除所有的系统缺省配置*/1.2 系统基线配置Set system host-name name/*配置设备名称“name”*/Set system time-zone Asia/Chongqing/*配置系统时区*/Set system root-authentication plain-text-password 输入命令,回车New password: 第一次输入新密码
3、,Retype new password 重新确认新密码/*配置系统缺省根账号密码,不允许修改根账号名称“root” */注意:root帐号不能用于telnet,但是可以用于web和ssh管理登录到设备Set system login user topsci class super-user authentication plain-text-passwordNew password 输入密码Retype new password 确认密码/*创建一个系统本地账号“name“, set system services sshset system services telnetset syste
4、m services web-management http interface allset systhm services web-management http port 81 interface allset system services web-management https system-generated-certificateset system services web-management https interface all/*全局开启系统管理服务,sshtelnethttphttps*/set interfacesge-0/0/2unit 0 family ine
5、t address 10.10.10.1/24set security zones security-zone trustinterfaces ge-0/0/2.0host-inbound-traffic system-services allset security zones security-zone trustinterfacesge-0/0/2.0host-inbound-traffic protocols all/*定义内网接口同时定义安全区域并将接口加入到安全区域,接口的选择根据实际需求安排*/至此系统的基线配置完成,你可以通过PC机连接到防火墙的ge-0/0/2端口配置同网段的
6、IP地址,使用WEB界面或者telnetSSH方式登录到防火墙,实施生产配置和进一步完善基线配置,比如配置NTP服务器、SYSLOG服务器、SNMP服务器、安全策略、路由协议、地址转换、UTM等功能。二、应用场景生产配置实施步骤2.1 打开浏览器,输入 http:/Ip 地址,输入用户名和密码,点击 login 进入到 WEB 管理。2.2 配置接口 IP 地址首先点击 WEB 界面顶端菜单栏的”Configure”按钮,然后点击并展开左边菜单栏的”interface”按钮,接下来点击 ports,按钮,页面将展示系统在线的所有端口。然后我们可以开始查看并配置相应的物理接口IP地址,在本应用场
7、景中,我们将需要在WEB界面配置fe-0/0/0/端口(连接公网)和ge-0/0/2端口由于属于内网接口,ge-0/0/2在之前基线配置中已经完成,因此WEB界面不再重新说明如何配置,配置方法与接下来的端口配置一致。在此选择一个你想要配置的物理接口,点击右上角的”ADD”按钮下拉,然后再点击“logical interface”。当点击”logicalinterface”之后,系统会自动跳出一个对话框,让你配置接口IP地址、接口描述等信息。必须填写一个unit数字,比如0(建议),这个unit是一个物理接口中逻辑接口的标识,没有特殊的意义,但是必须要配置。在描述信息中可以根据实际情况进行填写,
8、一般建议取一个比较有意义易识别的简单拼音或英语。在ZONE此处可以暂时不选择,因为后面会配置。VLAN ID 也不需要配置,因为是三层接口,而并非 VLAN 接口,接下来就是需要配置一个通信 IP 地址和子网掩码。最后点击 OK 按钮,代表此接口配置结束,仅仅是结束并不是生效,后面我们需要根据步骤和系统右上角的”Actions”按钮会出现闪烁,提醒我们需要对刚刚完成的配置进行提交和保存,如下图,我们需要点击右上角的”Actions”按钮下拉,然后点击 commmit 按钮,提交和保存配置,如果配置校验检查失败,将会有告警提醒用户。三、配置安全区域首先点击WEB界面顶端菜单栏的”Configur
9、e”按钮,然后点击并展开左边菜单栏的”security”按钮,接下来点击zone/screens,按钮,页面将展示已经存在的安全功能区域,如下图配置四、配置路由协议首先点击WEB界面顶端菜单栏的”Configure”按钮,然后点击并展开左边菜单栏的”routing”按钮,接下来点击static routing,按钮,开始添加静态路由,点击右上角的ADD按钮,系统将自动弹出一个对话框完成静态路由的添加(本次配置缺省路由到公网) ,点击add按钮添加下一跳网关地址,完成静态路由的添加配置,最后点击右上角的actions按钮下拉 commit并点击,完成静态路由配置的提交和保存。五、配置 NAT 地
10、址装换首先点击 WEB 界面顶端菜单栏的”Configure”按钮,然后点击并展开左边菜单栏的”NAT”按钮,接下来点击Static NAT 按钮,开始配置静态地址转换,在配置静态地址转换之前,还需要做一个与 NAT 相关的配置,那就是定义 Proxy ARP,定义 Proxy ARP 是因为我们接下来使用的 NAT 公网地址并不是接口自身的 IP 地址。点击 Proxy ARP 按钮在 NAT 配置菜单里,点击 add,系统自动弹出对话框要求填写 NAT 公网地址段、连接公网的接口。最后如下图:接下来配置静态地址转换的规则,其中有两个部分内容需要填写,第一部分是 rule-set,然后在 r
11、ule-set 里面定义真正的 NAT 规则 rules,rules 由多个小的 rule 组成,比如下图中的右边部分就是 rule 配置,一个公网地址对应一个内部 DMZ 区域私网 IP 地址,实现一对一的静态地址转换。下图就是在完成上图之后的结果展示,点击定义好的 rule-set,可以看到相应的 ruels 资源。接下来配置源地址转换的规则 ,内网地址转换到 fe-0/0/0.0 接口地址。实现内网地址访问公网。打开 source nat,点击 add,首先配置 rule set,此时需要指定 rule set name 以及 NAT 的方向,比如从 trust zone to untr
12、ust zone,接下来点击 rules 中的 Add,开始添加 rule,同样需要填写 rule name、匹配的条件(源地址、目标地址必须,可选 IP 协议和目的端口号 ),然后在 action 部分选择引用 inteface最后我们可以查看定义完之后的源地址 rule-set 对象并执行 commit 提交配置,最终结果展现如下:五、配置安全策略本次应用场景一中的安全策略配置涉及三个方向,内网与外网之间的访问、外网到内网之间的访问,在配置安全策略之前,我们需要提前配置与安全策略相关的策略元素,其中包括地址对象的自定义,服务对象的自定义等。下面首先将介绍策略元素的自定义,地址对象与服务对象
13、。首先点击 WEB 界面顶端菜单栏的”Configure”按钮,然后点击并展开左边菜单栏的”security”按钮,接下来点击 policy elements 按钮,然后再点击”address book”按钮,接着可以点击右上角的 ADD 按钮添加地址对象和地址组,地址对象菜单“address”地址组对象菜单”address sets”。当我们完成地址对象和服务对象的自定义之后,接下来可以书写安全访问控制策略,首先点击 WEB 界面顶端菜单栏的”Configure”按钮,然后点击并展开左边菜单栏的”security”按钮,接下来点击 policy 按钮,最后点击 apply policy 按钮
14、去创建区域与区域之间的安全策略。配置完成。可以利用内网地址,ping 外网测试 下。六、应用场景一测试配置 CLI(生产配置)set version 12.1X44-D35.5set system host-name juniper-fw-srx100set system time-zone Asia/Chongqingset system root-authentication encrypted-password $1$SL2B6zY9$bo.R3TbT4v0vO7sWgR7Vl.set system login user topsci uid 2001set system login u
15、ser topsci class super-userset system login user topsci authentication encrypted-password $1$EjN.ZIvT$YYy6M6qo5oTxvSnWqCFq2/set system services sshset system services telnetset system services web-management http port 6666set system services web-management http interface allset system services web-m
16、anagement https system-generated-certificateset system services web-management https interface allset system syslog file policy_session user infoset system syslog file policy_session match RT_FLOWset system syslog file policy_session archive size 1000kset system syslog file policy_session archive world-readableset system syslog file policy_session structured-dataset interfaces fe
