《JuniperSRX防火墙配置管理手册》由会员分享,可在线阅读,更多相关《JuniperSRX防火墙配置管理手册(22页珍藏版)》请在金锄头文库上搜索。
1、-Juniper SR*系列防火墙配置管理手册目录一、JUNOS操作系统介绍31.1 层次化配置构造31.2 JunOS配置管理41.3 SR*主要配置容4二、SR*防火墙配置操作举例说明52.1 初始安装52.1.1 设备登陆52.1.2 设备恢复出厂介绍52.1.3 设置root用户口令52.1.4 设置远程登陆管理用户62.1.5 远程管理SR*相关配置62.2 配置操作实验拓扑72.3 策略相关配置说明72.3.1 策略地址对象定义82.3.2 策略效劳对象定义82.3.3 策略时间调度对象定义82.3.4 添加策略配置举例92.3.5 策略删除102.3.6 调整策略顺序102.3.
2、7 策略失效与激活102.4 地址转换102.4.1 Interface based NAT 基于接口的源地址转换112.4.2 Pool based Source NAT基于地址池的源地址转换122.4.3 Pool base destination NAT基于地址池的目标地址转换122.4.4 Pool base Static NAT基于地址池的静态地址转换132.5 路由协议配置14静态路由配置14OSPF配置15交换机Firewall限制功能22限制IP地22限制MAC地址22三、SR*防火墙常规操作与维护233.2设备关机233.3设备重启233.4操作系统升级243.5密码恢复24
3、3.6常用监控维护命令25Juniper SR* Branch系列防火墙配置管理手册说明SR*系列防火墙是Juniper公司基于JUNOS操作系统的平安系列产品,JUNOS集成了路由、交换、平安性和一系列丰富的网络效劳。目前Juniper公司的全系列路由器产品、交换机产品和SR*平安产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精华是Juniper真正成功的基,它让企业级产品同样具有电信级的不连续运营特性,更好的平安性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠
4、定了根底。基于NP架构的SR*系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、UTM等全系列平安功能,其平安功能主要来源于已被广泛证明的ScreenOS操作系统。本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SR*防火墙参考配置,以便于大家能够快速部署和维护SR*防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SR*防火墙配置法,最后对SR*防火墙常规操作与维护做简要说明。鉴于SR*系列防火墙低端系列与高端3K、5K系列在功能配置与包处理流程有所差异,本人主要以低端系列功能配置介绍为主,Branch系列型号目前包含:SR*1002
5、10240650将来会有新的产品参加到Branch家族,请随时关注官动态,配置小异。一、JUNOS操作系统介绍1.1 层次化配置构造JUNOS采用基于FreeBSD核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置式,本文主要对CLI命令行式进展配置说明。JUNOS CLI使用层次化配置构造,分为操作operational和配置configure两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进展查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进展配置并能够执行操作模式下的所有命令run。在配置模式下JUNOS采
6、用分层分级模块下配置构造,如以下图所示,edit命令进入下一级配置类似uni* cd命令,SR*it命令退回上一级,top命令回到根级。1.2 JunOS配置管理JUNOS通过set语句进展配置,配置输入后并不会立即生效,而是作为候选配置CandidateConfig等待管理员提交确认,管理员通过输入mit命令来提交配置,配置容在通过SR*语法检查后才会生效,一旦mit通过后当前配置即成为有效配置Active config。另外,JUNOS允执行mit命令时要求管理员对提交的配置进展两次确认,如执行mit confirmed 2命令要求管理员必须在输入此命令后2分钟再次输入mit以确认提交,否
7、则2分钟后配置将自动回退,这样可以防止远程配置变更时管理员失去对SR*的远程连接风险。在执行mit命令前可通过配置模式下show命令查看当前候选配置CandidateConfig,在执行mit后配置模式下可通过run show config命令查看当前有效配置Active config。此外可通过执行show | pare比对候选配置和有效配置的差异。SR*上由于配备大容量存储器,缺省按先后mit顺序自动保存50份有效配置,并可通过执行rolback和mit命令返回到以前配置如rollback 0/mit可返回到前一mit配置;也可以直接通过执行save configname.conf手动保存
8、当前配置,并执行load overrideconfigname.conf/ mit调用前期手动保存的配置。执行load factory-default / mit命令可恢复到出厂缺省配置。SR*可对模块化配置进展功能关闭与激活,如执行deactivate security nat/it命令可使NAT相关配置不生效,并可通过执行activate security nat/mit使NAT配置再次生效。SR*通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete一样,均可删除security防火墙层级
9、下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。1.3 SR*主要配置容部署SR*防火墙主要有以下几个面需要进展配置:System:主要是系统级容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理效劳如telnet等容。Interface:接口相关配置容。Security:是SR*防火墙的主要配置容,平安相关局部容全部在Security层级下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp、UTM等,可简单理解为ScreenOS防火墙平安相关容都迁移至此配置层次下,除了A
10、pplication自定义效劳。Application:自定义效劳单独在此进展配置,配置容与ScreenOS根本一致。routing-options:配置静态路由或router-id等系统全局路由属性配置。二、SR*防火墙配置操作举例说明2.1 初始安装2.1.1 设备登陆Console口(通用超级终端缺省配置)连接SR*,root用户登陆,密码为空login: rootPassword:- JUNOS built 2009-07-1615:04:30 UTCroot% cli/*进入操作模式*/root root configureEntering configuration mode /*
11、进入配置模式*/editRoot*2.1.2设备恢复出厂介绍首先根据上述操作进入到配置模式,执行以下命令:root* load factory-default warning: activating factory configuration /*系统激活出厂配置*/恢复出厂后,必须立刻设置ROOT*密码root* set system root-authentication plain-tSR*t-password New password:当设置完ROOT*密码以后,进展保存激活配置root* mit mit plete在此需要提醒配置操作员注意,系统恢复出厂后并不代表没有任配置,系统缺省
12、配置有ScreenDHCPPolicy等相关配置,你如果需要完整的删除,可以执行命令delete 删除相关配置。通过show 来查看系统是否还有遗留不需要的配置,可以一一进展删除,直到符合你的要求,然后再重新根据实际需求进展配置。2.1.3设置root用户口令设置root用户口令root* set system root-authentication plain-tSR*t-passwordroot* new password : root123root* retype new password: root123密码将以密文式显示root* show system root-authentic
13、ation encrypted-password $1$*avDeUe6$fNM6olGU.8.M7B62u05D6.; * SECRET-DATA注意:强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密式),此配置参数要求输入的口令是经加密算法加密后的字符串,采用这种加密式手工输入时存在密码无法通过验证风险。注:root用户仅用于console连接本地管理SR*,不能通过远程登陆管理SR*,必须成功设置root口令后,才能执行mit提交后续配置命令。2.1.4 设置远程登陆管理用户root*set system login user la
14、b class super-user authentication plain-tSR*t-passwordroot* new password : lab123root* retype new password: lab123注:此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。远程管理SR*相关配置run set dateYYYYMMDDhhmm.ss/*设置系统时钟*/set system time-zoneAsia/Shanghai/*设置时区为*/set system host-name SR*-650-1/*设置主机名*/s
15、et system name-server 1.1.1.1 /*设置DNS效劳器*/set system services ftpset system services telnetset system services web-management /*在系统级开启ftp/telnet/ 远程接入管理效劳*/set interfaces ge-0/0/0.0 或set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/24set routing-options statSR*t-hop /*配置逻辑接口地址及缺省路由,SR*接口要求IP地址必须配置在逻辑接口下类似ScreenOS的子接口,通常使用逻辑接口0即可*/set security zones security-zone un
