Juniper SRX 防火墙配置管理手册.docx

Juniper SRX 防火墙配置管理手册.docx

《Juniper SRX 防火墙配置管理手册.docx》由会员分享，可在线阅读，更多相关《Juniper SRX 防火墙配置管理手册.docx（28页珍藏版）》请在冰豆网上搜索。

JuniperSRX防火墙配置管理手册

JuniperSRX系列防火墙配置管理手册

JuniperSRXBranch系列防火墙配置管理手册说明

SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。

鉴于SRX系列防火墙低端系列与高端3K、5K系列在功能配置与包处理流程有所差异,本人主要以低端系列功能配置介绍为主,Branch系列型号目前包含：

SRX100\210\240\650将来会有新的产品加入到Branch家族,请随时关注官方网站动态，配置大同小异。

一、JUNOS操作系统介绍

1.1层次化配置结构

JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。

JUNOSCLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。

在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unixcd命令）,SRXit命令退回上一级，top命令回到根级。

1.2JunOS配置管理

JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（CandidateConfig）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Activeconfig）。

另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commitconfirmed2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。

在执行commit命令前可通过配置模式下show命令查看当前候选配置（CandidateConfig），在执行commit后配置模式下可通过runshowconfig命令查看当前有效配置（Activeconfig）。

此外可通过执行show|compare比对候选配置和有效配置的差异。

SRX上由于配备大容量存储器，缺省按先后commit顺序自动保存50份有效配置，并可通过执行rolback和commit命令返回到以前配置（如rollback0/commit可返回到前一commit配置）；也可以直接通过执行saveconfigname.conf手动保存当前配置，并执行loadoverrideconfigname.conf/commit调用前期手动保存的配置。

执行loadfactory-default/commit命令可恢复到出厂缺省配置。

SRX可对模块化配置进行功能关闭与激活，如执行deactivatesecuritynat/comit命令可使NAT相关配置不生效，并可通过执行activatesecuritynat/commit使NAT配置再次生效。

SRX通过set语句来配置防火墙，通过delete语句来删除配置，如deletesecuritynat和editsecuritynat/delete一样，均可删除security防火墙层级下所有NAT相关配置，删除配置和ScreenOS不同，配置过程中需加以留意。

1.3SRX主要配置内容

部署SRX防火墙主要有以下几个方面需要进行配置：

System：

主要是系统级内容配置，如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务（如telnet）等内容。

Interface:

接口相关配置内容。

Security:

是SRX防火墙的主要配置内容，安全相关部分内容全部在Security层级下完成配置，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp、UTM等，可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下，除了Application自定义服务。

Application：

自定义服务单独在此进行配置，配置内容与ScreenOS基本一致。

routing-options：

配置静态路由或router-id等系统全局路由属性配置。

二、SRX防火墙配置操作举例说明

2.1初始安装

2.1.1设备登陆

Console口（通用超级终端缺省配置）连接SRX，root用户登陆，密码为空<初始第一次登陆>

login:

root

Password:

---JUNOS9.5R1.8built2009-07-1615:

04:

30UTC

root%cli/***进入操作模式***/

root>

root>configure

Enteringconfigurationmode/***进入配置模式***/

[edit]

Root#

2.1.2设备恢复出厂介绍

首先根据上述操作进入到配置模式,执行下列命令：

root#loadfactory-default

warning:

activatingfactoryconfiguration/***系统激活出厂配置***/

恢复出厂后,必须立刻设置ROOT帐号密码<默认密码至少6位数：

字母加数字>

root#setsystemroot-authenticationplain-tSRXt-password

Newpassword:

当设置完ROOT帐号密码以后,进行保存激活配置

root#commit

commitcomplete

在此需要提醒配置操作员注意，系统恢复出厂后并不代表没有任何配置,系统缺省配置有Screen\DHCP\Policy等相关配置,你如果需要完整的删除,可以执行命令delete删除相关配置。

通过show来查看系统是否还有遗留不需要的配置,可以一一进行删除,直到符合你的要求,然后再重新根据实际需求进行配置。

2.1.3设置root用户口令

设置root用户口令

root#setsystemroot-authenticationplain-tSRXt-password

root#newpassword:

root123

root#retypenewpassword:

root123

密码将以密文方式显示

root#showsystemroot-authentication

encrypted-password"$1$xavDeUe6$fNM6olGU.8.M7B62u05D6.";#SECRET-DATA

注意：

强烈建议不要使用其它加密选项来加密root和其它user口令（如encrypted-password加密方式），此配置参数要求输入的口令是经加密算法加密后的字符串，采用这种加密方式手工输入时存在密码无法通过验证风险。

注：

root用户仅用于console连接本地管理SRX，不能通过远程登陆管理SRX，必须成功设置root口令后，才能执行commit提交后续配置命令。

2.1.4设置远程登陆管理用户

root#setsystemloginuserlabclasssuper-userauthenticationplain-tSRXt-password

root#newpassword:

lab123

root#retypenewpassword:

lab123

注：

此lab用户拥有超级管理员权限，可用于console和远程管理访问，另也可自行灵活定义其它不同管理权限用户。

2.1.5远程管理SRX相关配置

runsetdateYYYYMMDDhhmm.ss　　　　　　/***设置系统时钟***/

setsystemtime-zoneAsia/Shanghai　　　/***设置时区为上海***/

setsystemhost-nameSRX-650-1　　　　　/***设置主机名***/

setsystemname-server1.1.1.1　　/***设置DNS服务器***/

setsystemservicesftp　　　　　　　　

setsystemservicestelnet

setsystemservicesweb-managementhttp

/***在系统级开启ftp/telnet/http远程接入管理服务***/

setinterfacesge-0/0/0.0familyinetaddress10.1.1.1/24

或

setinterfacesge-0/0/0unit0familyinetaddress10.1.1.1/24

setinterfacesge-0/0/1unit0familyinetaddress10.1.2.1/24

setrouting-optionsstaticroute0.0.0.0/0nSRXt-hop192.168.1.1

/***配置逻辑接口地址及缺省路由，SRX接口要求IP地址必须配置在逻辑接口下（类似ScreenOS的子接口），通常使用逻辑接口0即可***/

setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0

/***将ge-0/0/0.0接口放到安全区域中，类似ScreenOS***/

setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesping

setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-serviceshttp

setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicestelnet

/***在untrustzone打开允许远程登陆管理服务，ScreenOS要求基于接口开放服务，SRX要求基于Zone开放，从SRX主动访问出去流量开启服务，类似ScreenOS***/

本次实验拓扑中使用的设备的版本如下：

SRX100-HM系统版本与J-WEB版本均为：

10.1.R2.8

SSG防火墙版本为6.1.0R7

测试客户端包含WINDOWS7\XP

2.2配置操作实验拓扑

2.3策略相关配置说明

安全设备的缺省行为是拒绝安全区段之间的所有信息流（区段之间信息流）允许绑定到同一区段的接口间的所有信息流（区段内部信息流）。

为了允许选定的区段之间信息流通过安全设备，必须创建覆盖缺省行为的区段之间策略。

同样，为了防止选定的区段内部信息流通过安全设备，必须创建区段内部策略。

基本元素

允许、拒绝或设置两点间指定类型单向信息流通道的策略。

信息流（或“服务”）的类型、两端点的位置以及调用的动作构成了策略的基本元素。

尽管可以有其它组件，但是共同构成策略核心部分的必要元素如下:

策略名称-两个安全区段间（从源区段到目的区段）间信息流的方向/***必须配置***/

源地址-信息流发起的地址/***必须配置***/

目标地址-信息流发送到的地址/***必须配置***/

服务-信息流传输的类型/***必须配置***/

动作-安全设备接收到满足头四个标准的信息流时执行的动作/***必须配置***/

这些动作为:

deny、permit、reject或tunnel

注意tunnel、firewall-authentication、application-services在permit下一级,如下：

root#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicyt-uthenpermit?

>Firewall-authentication

>tunnel另外还包括其他的策略元素,比如记录日志、流量统计、时间调度对象等

三种类型的策略

可通过以下三种策略控制信息流的流动:

通过创建区段之间策略，可以管理允许从一个安全区段到另一个安全区段的信息流的种类。

通过创建区段内部策略，也可以控制允许通过绑定到同一区段的接口间的信息流的类型。

通过创建全局策略，可以管理地址间的信息流，而不考虑它们的安全区段。

2.3.1策略地址对象定义

SRX服务网关地址对象需要自定义后才可以在策略中进行引用,默认只有any对象

自定义单个地址对象如下：

root#setsecurityzonessecurity-zonetrustaddress-bookaddresspc-120.1.1.200/32

root#setsecurityzonessecurity-zonetrustaddress-bookaddresspc-220.1.1.210/32

自定义单个地址组对象如下：

setsecurityzonessecurity-zonetrustaddress-bookaddress-setpc-groupaddresspc-1

setsecurityzonessecurity-zonetrustaddress-bookaddress-setpc-groupaddresspc-2

2.3.2策略服务对象定义

SRX服务网关部分服务对象需要自定义后才可以在策略中进行引用,默认仅有预定义常用服务对象

自定义单个服务对象如下：

setapplicationsapplicationtcp-3389protocoltcp定义服务对象协议

setapplicationsapplicationtcp-3389source-port1-65535定义服务对象源端口

setapplicationsapplicationtcp-3389destination-port3389-3389定义服务对象目标地址

setapplicationsapplicationtcp-3389inactivity-timeoutnever可选定义服务对象timeout时长

setapplicationsapplicationtcp-8080protocoltcp

setapplicationsapplicationtcp-8080source-port1-65535

setapplicationsapplicationtcp-8080destination-port8080-8080

setapplicationsapplicationtcp-8080inactivity-timeout3600

自定义单个服务组对象如下：

setapplicationsapplication-setaaplications-groupapplicationtcp-8080

setapplicationsapplication-setaaplications-groupapplicationtcp-3389

2.3.3策略时间调度对象定义

SRX服务网关时间调度对象需要自定义后才可以在策略中进行引用,默认没有预定义时间调度对象

自定义单个时间调度对象如下：

setschedulersschedulerwork-timedailystart-time09:

00:

00stop-time18:

00:

00

setschedulersschedulerhappy-timesundaystart-time00:

00:

00stop-time23:

59:

59

setschedulersschedulerhappy-timesaturdaystart-time00:

00:

00stop-time23:

59:

59

注意：

时间调度服务生效参考设备系统时间,所以需要关注设备系统时间是否正常。

2.3.4添加策略配置举例

Policy配置方法与ScreenOS基本一致，仅在配置命令上有所区别，其中策略的允许/拒绝的动作（Action）需要额外配置一条then语句（将ScreenOS的一条策略分解成两条及以上配置语句）。

Policy需要手动配置policyname，policyname可以是字符串，也可以是数字（与ScreenOS的policyID类似,只不过需要手工指定）。

首先需要注意系统缺省策略配置：

root#showsecuritypoliciesdefault-policy查看当前系统缺省策略动作

root#setsecuritypoliciesdefault-policy?

设置系统缺省策略动作

Possiblecompletions:

deny-allDenyalltrafficifnopolicymatch

permit-allPermitalltrafficifnopolicymatch

根据实验拓扑进行策略配置举例说明

setsecurityzonessecurity-zonetrustaddress-bookaddresspc120.1.1.200/32

setsecurityzonessecurity-zoneuntrustaddress-bookaddressserver1192.168.1.200/32

/***与ScreenOS一样，在trust和untrustzone下分别定义地址对象便于策略调用，地址对象的名称可以是地址/掩码形式***/

setsecurityzonessecurity-zonetrustaddress-bookaddress-setaddr-group1addresspc1

/***在trustzone下定义名称为add-group1的地址组，并将pc1地址放到该地址组中***/

Setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001matchsource-addressaddr-group1destination-addressserver1applicationany

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thenpermit

/***定义从trust到untrust方向permit策略，允许addr-group1组的源地址访问server1地址any服务***/

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thenlogsession-init

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thenlogsession-close

setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thencount

<可选配置>/***定义从trust到untrust方向策略，针对当前策略记录日志并统计策略流量

root#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001scheduler-namehappy-time

root#setsecuritypoliciesfrom-zonetrustto-zonedmzpolicy001scheduler-namework-time

<可选配置>/***定义当前策略，引用时间调度对象，符合时间条件策略生效，否则策略将处于非工作状态

root#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicyt-uthenpermitapplication-services?

Possiblecompletions:

+apply-groupsGroupsfromwhichtoinheritconfigurationdata

+apply-groups-SRXceptDon'tinheritconfigurationdatafromthesegroups

gprs-gtp-profileSpecifyGPRSTunnelingProtocolprofilename

idpIntrusiondetectionandprevention

redirect-wxSetWXredirection

reverse-redirect-wxSetWXreverseredirection

uac-policyEnableunifiedaccesscontrolenforcementofpolicy

utm-policySpecifyutmpolicyname

[edit]

<可选配置>/***定义当前策略，选择是否客气IDP\UAC\UTM等操作,如果针对策略开启相应的检查，请先定义好相应的功能。

2.3.5策略删除

删除SRX防火墙策略命令，在JUNOS系统中删除全部都使用delete命令，因此删除策略的命令如下：

srx3400@root#deletesecuritypoliciesfromtrusttountrustpolicy1