SRX安全网关操作手册102.docx

《SRX安全网关操作手册102.docx》由会员分享，可在线阅读，更多相关《SRX安全网关操作手册102.docx（34页珍藏版）》请在三一办公上搜索。

1、SRX安全网关操作手册神州数码（中国）有限公司二零一零年六月目 录1.总体概述71.1.文档术语72.SRX基本操作82.1.通过Console线缆连接路由器82.2.设备关闭102.3.设备重启102.4.JUNOS升级112.5.密码恢复113.SRX基本管理配置介绍123.1.JUNOS CLI124.SRX开机配置过程144.1.SRX硬件设备简介144.1.1SRX 240面板图144.1.2SRX 210面板图154.1.3SRX 100面板图154.2.SRX安装流程154.3.开始配置154.3.1开机登录164.3.2清空默认配置164.3.3从所有配置清空后开始配置175.

2、常用故障诊断命令20查看端口状态20查看路由表20查看OSPF邻居关系20Ping21Traceroute21监控接口流量21监控RE CPU利用率22监控并发会话数22冷却系统故障检查22机箱硬件组件故障检查236. 设备日常维护24日常维护步骤24配置文件查看24配置文件提交247.SRX常用功能及典型配置257.1 SRX常用功能配置257.2 SRX一个典型配置286.硬件返修及CASE信息34一般性免责说明：神州数码（中国）有限公司力求确保Juniper SRX防火墙快速安装手册中信息的准确性，但不对信息的准确性承担任何责任。神州数码（中国）有限公司可能随时更改本手册中提到的产品或调

3、试命令等技术，恕不另行通知。神州数码（中国）有限公司及其供应商不对因使用本手册或任何Juniper网络公司产品或服务而导致的任何间接、特殊、引致或意外损失而承担任何责任，包括但不限于利润或收入损失、替换产品或服务的成本、数据丢失或破坏，或使用或依赖使用本文提供的信息而造成的损失，即使Juniper 网络公司或其供应商事先已得知发生此类损失的可能性。本手册中介绍的许多Juniper 网络公司产品和服务都提供了书面软件许可和有限保修。这些许可和保修为此类产品的购买者提供某些权利。本手册不应被视为扩展、更改或修改Juniper 网络公司为任何Juniper 网络公司产品提供的任何保证或许可、或创建任

4、何新的或附加的保证或许可。前言Juniper网络公司介绍Juniper网络公司致力于实现网络商务模式的转型。作为全球领先的联网解决方案和安全性解决方案供应商,Juniper网络公司对依赖网络获得战略性收益的客户一直给予密切关注。该公司的客户来自于全球各行各业,包括第一流的网络运营商、企业、政府机构以及研究和教育机构等。Juniper网络公司推出的一系列联网解决方案, 提供所需的安全性和性能来支持全球最大型、最复杂、要求最严格的关键网络, 其中包括全球顶尖的25 家服务供应商和财富全球500 强企业前15强中的8个企业。Juniper网络公司成立的唯一宗旨是预测并解决业内最高难度的联网及安全性问

5、题。今天, Juniper网络公司通过以下努力, 帮助全球客户转变他们的网络经济模式, 从而建立强大的竞争优势：l 保护网络安全, 以抵御日益频繁复杂的攻击l 利用网络应用和服务来取得市场竞争优势l 为客户和业务合作伙伴提供安全的定制方式来接入远程资源Juniper网络公司通过其专用平台及先进软件, 推动业界迈出了创新的一步。Juniper网络公司被公认是开发用于高性能智能网络的半导体及软件的佼佼者，一直走在业界创新的前沿，并通过这些创新不断推动其所支持的网络及企业实现转型。神州数码控股有限公司概述神州数码控股有限公司（以下简称”神州数码”或”集团”，股票代码：00861.香港）是中国领先的整

6、合IT服务提供商。集团由原联想集团分拆而来，并于二零零一年六月一日在香港联合交易所有限公司主板独立上市。神州数码致力于为中国用户提供先进、适用的信息技术应用，以科技驱动工作与生活的创新，推进数字化中国进程。为此，集团努力将自身打造成为中国最广大用户提供最为全面IT服务的首选供货商。集团业务主要包括IT规划、流程外包、应用开发、系统集成、硬件基础设施服务、维保、硬件安装、分销及零售等八类业务，面向中国市场，为行业客户、企业级客户、中小企业与个人消费者提供全方位的IT服务。集团在全国19个主要城市设有区域中心。同超过100家全球顶尖IT品牌拥有良好的战略合作伙伴关系，覆盖全国超过1万家代理合作伙伴

7、，为中国用户提供最优质便捷的IT服务。集团依靠多年经验积累的行业应用服务能力，在金融、电信、政府等行业的IT服务领域建立了领先优势。同时，神州数码亦在IT产品分销领域保持了多年市场第一的地位。神州数码企业系统本部神州数码企业系统本部是以企业数据中心建设为目标，重点覆盖网络、主机、存储、软件4大业务领域，致力于为客户提供国际上主流的企业级软硬件产品、骨干网络、基础网络设备和全面产品解决方案。自1997年率先进入高端增值服务市场，经过不断的探索和努力，增值服务业务取得了高速增长，是国内第一的增值服务提供商，目前已成为神州数码集团重要利润支柱之一。与近50家国际著名IT厂商建立长期战略合作伙伴关系，

8、合作的渠道伙伴超过4500家,目前已搭建由渠道市场、产品市场、解决方案及行业市场、技术支持、维修支持、培训支持构成的渠道支持系统，形成以北京、上海、广州三大区域销售中心、全国十五大平台、八个办事处为分销平台的销售网络，区域覆盖达40余个地市。神州数码系统网络事业部神州数码系统网络事是全球领先的网络和安全解决方案供应商Juniper网络公司的总分销商，是全球知名提供通讯服务的西门子公司在中国的总代理，是智能应用交换机全球领导者Radware公司和世界领先的下一代企业移动系统供应商Aruba无线网络公司在中国的总分销商。同时，系统网络事业部是Juniper NetworksSPG产品在中国地区唯一

9、的授权认证培训中心和最主要的授权服务中心。系统网络事业部有遍布全国的销售网络和技术服务体系。一直致力于追踪安全网络领域的新技术，构建安全网络联盟体系，提供安全网络产品及解决方案，推广安全网络的标准化服务。为客户提供：Juniper Networks从安全系列（防火墙、VPN、入侵检测和防御等一系列易于管理的安全设备和系统）到路由器、Infranet控制器和应用加速平台等全线联网和安全性产品及解决方案；Radware负载均衡和网络安全防护产品及解决方案；Aruba由移动控制器、接入点和Aruba移动管理系统组成的移动边缘产品和解决方案。1. 总体概述本文档为神州数码公司编写。用于说明Junipe

10、r SRX产品基本命令配置和硬件操作指导。更多的信息请参考下面的网站：JUNOS 9.6: SRX 硬件手册: 1.1. 文档术语Air Filter空气过滤网ESD Point静电释放点Fan Tray风扇盘PEM(Power Equipment Modules)电源模块Craft Interface控制面板RE：Routing Engine路由引擎SFB: Switch Fabric Board 交换矩阵板PFE：Packet Forwarding Engine转发引擎FRU：Field-replaceable unit可现场更换部件DPC：Dense Port Concentrators

11、高密度接口卡FPC：Flexible PIC Concentrator物理接口汇聚卡PIC：Physical Interface Card物理接口卡SPC：Services Processing Cards 业务处理卡NPC：Network Processing Cards网络处理卡IOC：Input Output cards 接口卡SFP：Small Factor Pluggable小型可插拔光收发器，适用千兆以太网2. SRX基本操作JUNOS软件是专门为互联网设计的第一种路由操作系统。它运行在Juniper网络公司的所有T-系列、M/MX系列和J-系列路由器以及SRX系列集成安全网关上，

12、被部署在全球最大、增长最迅速的网络中。它提供的全套具有工业强度的路由协议、灵活的策略语言和领先的功能特性，可以高效地扩展支持极大数量的网络接口和路由。 基于标准的JUNOS软件可以支持互联网路由协议，同时控制路由器及其接口并实现对各种规模的网络的系统管理。简便易用的界面使您可以配置路由协议和接口属性、监控路由、检测并排除协议和网络连接故障。本节将描述设备的一些应急操作，这些操作都会影响设备的正常功能，操作时请谨慎使用：n 通过Console线缆连接路由器n 设备关闭n 设备重启n JUNOS升级n 密码恢复2.1. 通过Console线缆连接路由器使用下面的步骤连接路由器的Console接口：

13、1. 准备好Juniper路由设备自带的Console线缆2. 将Console线缆的DB9插头一头插到PC或者笔记本电脑的COM口上，另外一端插到SRX的的CONSOLE口上，SRX的console口如下图的标号5的RJ45端口。3. 打开计算机中的终端软件工具。例如：SecureCRT或者Windows自带的超级终端。设置如下：n 端口：选择第二步中Console线缆插入到PC上的端口，通常为COM 1或者COM 2n 波特率：9600n 数据位：8位n 停止位：1位n 流控：无4. 打开配置到的SecureCRT或者超级终端，按“Enter”键，屏幕出现登陆的提示符，即连接成功。如果没有

14、显示，请检查线缆或者终端的配置是否正确。5. 默认用户名和密码为：用户名：root，密码为空6. 如果密码丢失，可以按着前面板的reset按钮15秒以上，然后设备会自动重启，并将所有配置恢复成出厂默认值，此时的用户名为：root，密码为空如果出现任何现场无法解决的问题，请寻求Juniper TAC的帮助，参阅寻求JTAC帮助。2.2. 设备关闭Juniper设备关闭必须按照下面的步骤进行操作，否则容易导致设备损坏：1. 用Console或Telnet/SSH连接到主用路由引擎上2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。3. 在提示符下输入下面的命令：userhost reque

15、st system haltThe operating system has halted.Please press any key to reboot4. 等待console设备的出现上面的输出，确认设备软件已经停止运行。5. 关闭机箱背后电源模块电源。如果出现任何现场无法解决的问题，请咨询Juniper TAC的帮助，参阅寻求JTAC帮助。2.3. 设备重启Juniper设备重启必须按照下面的步骤进行操作：1. 用Console或Telnet/SSH连接到主用路由引擎上2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。3. 在提示符下输入下面的命令：userhost request

16、 system reboot4. 等待console设备的输出，确认设备软件已经重新启动。如果要进行电源关闭的重新启动，请参阅“设备关闭”，在重新开启电源之前必须等待60秒。如果出现任何现场无法解决的问题，请咨询Juniper TAC的帮助，参阅寻求JTAC帮助。2.4. JUNOS升级Juniper设备在出厂时一般的设备软件版本都比较低，因此一般建议使用比较新的版本，如10.0以上版本，软件版本升级时不能跨过3个版本进行，如9.*的需要升级到10.0以上的，必须先升级到9.6，再升级至10.0，否则会提示升级失败。Juniper设备JUNOS软件升级必须按照下面的步骤进行操作：1. 用Con

17、sole或Telnet/SSH连接到设备console上2. 下载新的JUNOS软件，放置到FTP服务器上。3. 安装新的JUNOS软件，这个升级过程大概为15-25分钟：userhost request system software add ftp/:username:password192.168.1.1/ junos-srxsme-9.6R2.11-domestic.tgz no-copy unlink4. 重新启动设备：userhost request system rebootReboot the system ? yes,no (no) yes如果出现任何现场无法解决的问题，请寻

18、求Juniper TAC的帮助，参阅寻求JTAC帮助。2.5. 密码恢复如果设备的Root密码丢失，而且没有其他的超级用户权限，那么就需要执行密码恢复，该操作需要中断设备的正常功能。要进行密码恢复，请按照下面操作进行：1. 断电后再加电以重新启动设备。在启动过程中，按住设备前的reset按钮15秒以上再放手，则设备密码及配置会自动恢复成出厂默认配置2. 进入配置模式，设置新的root密码：root configure Entering configuration modeeditroot# set system root-authentication plain-text-password N

19、ew password:Retype new password:3. 重新启动后，设备恢复正常。3. SRX基本管理配置介绍3.1. JUNOS CLIShell模式用root用户登录时，先进入的是shell模式，提示符为：%，必须输入cli命令后才能进入用户模式进行对设备的操作；如果以非root用户登录，则直接进入用户模式。用户模式userhost#用户模式在用户模式下可以显示SRX设备的配置、端口状态、路由信息等。登录到SRX上即进入路由器的用户模式：Example: BJ-BJ-JA-NSN-A-1-RE1 (ttyp6)login: NSNPassword: NSNBJ-BJ-JA-N

20、SN-A-1-RE1配置模式userhost#配置模式通过在用户模式使用edit命令进入配置模式：Example: NSNBJ-BJ-JA-NSN-A-1-RE1 edit Entering configuration modemastereditNSNBJ-BJ-JA-NSN-A-1-RE1#设置系统时间userhost set date(YYYYMMDDhhmm.ss)#配置日期及时间Example: NSNBJ-BJ-JA-NSN-A-1-RE1 set date 201006061030.30如果出现任何现场无法解决的问题，请咨询Juniper相关工程师，或者寻求Juniper TAC

21、的帮助，参阅寻求JTAC帮助。4. SRX开机配置过程4.1. SRX硬件设备简介SRX系列共有以下产品线：SRX 100、SRX 210、SRX 240、SRX 650、SRX 3400/3600、SRX 5600/5800该产品线对应目前的SSG系列的简单对照图为：4.1.1 SRX 240面板图4.1.2 SRX 210面板图4.1.3 SRX 100面板图4.2. SRX安装流程CLI命令行对于路由器硬件、软件、路由协议、网络连接性的控制和故障检查，JUNOS的CLI命令行是主要的使用工具。CLI命令行可以显示路由表信息，路由协议的信息，使用ping和traceroute工具体现的网络

22、连接信息。可以通过连接设备上的CONSOLE、ETHERNET、AUX口进入CLI命令行接口。4.3. 开始配置根据此版本开机配置可以实现小型分支机构的网络基本连通，内网的私网地址可以通过源NAT为外网接口地址访问Internet。4.3.1 开机登录1. 第一次开机登录用户名为root，密码为空。（如何连上console详见System_management.docx）Console输出如下：Amnesiac (ttyu0)login: root- JUNOS 10.1R2.8 built 2010-05-11 05:02:14 UTC2. 登录之后，我们在shell 模式下，输入cli进入

23、用户模式，然后输入configure进入配置模式：root%root% cliroot root configure Entering configuration modeeditroot#4.3.2 清空默认配置1. 刚进入配置模式下，通过show命令可以看到设备原有的配置，这是初始默认配置，包括以后用reset键恢复配置，恢复出来的都是出厂默认配置。此默认配置对SRX进行了基本连通性的配置，其中fe-0/0/0为外网口，接广域网出口，fe-0/0/1-7为内网口，地位等同，接内网交换机。同时，防火墙对内网开启DHCP服务，网段为192.168.1.0/24。默认策略放开所有由内到外的数据，

24、拒绝所有从外到内的主动访问。2. 一般情况下这份配置不要保留使用，为了方便日后故障排查，我们需要将其删除，重新配置：root# delete This will delete the entire configurationDelete everything under this level? yes,no (no) yes配置root根用户密码，这个必须配置，否则无法commit提交生效配置。root# set system root-authentication plain-text-password New password:Retype new password:root# commi

25、t4.3.3 从所有配置清空后开始配置1. 配置root根用户密码，这个必须配置，否则无法commit提交生效配置。root# set system root-authentication plain-text-password New password:Retype new password:2. 配置hostnameeditroot# set system host-name SRX1003. 配置时区editroot# set system time-zone GMT+84. 配置登录登录权限及用户名密码，这里配置了一个名为lab，权限为超级用户的登录用户。Junos系统的要求密码最少为

26、六位，而且必须包含字母和数字。set system login class super idle-timeout 20set system login class super permissions all set system login user lab class super set system login user lab authentication plain-text-password new password:retype new password:5. 配置telnet、web管理服务，这个需要在将来的zone的配置中进一步放行流量。默认情况下，系统禁止所有流量。在这里，针

27、对fe-0/0/1接口开启web管理服务。editroot# set system services telnetroot# set system services web-management http interface fe-0/0/16. 配置接口地址，这里配置外网接口fe-0/0/0地址为10.1.1.1/24，内网接口fe-0/0/1地址为192.168.1.1/24。对于SRX210，对应前两个接口为千兆口，所以端口命名为:ge-0/0/0和ge-0/0/1，其余的为fe-。editroot# set interfaces fe-0/0/0 unit 0 family inet

28、address 10.1.1.1/24 editroot# set interfaces fe-0/0/1 unit 0 family inet address 192.168.1.1/247. 将接口放到对应的zone中，这里是将fe-0/0/0放到untrust zone，fe-0/0/1放到trust zone。editroot# set security zones security-zone untrust interfaces fe-0/0/0 editroot# set security zones security-zone trust interfaces fe-0/0/18

29、. 在内网区域trust zone内放行系统管理的流量，默认情况下，外网口禁止telnet和web管理的访问流量。editroot#set security zones security-zone trust host-inbound-traffic system-services telneteditroot# set security zones security-zone trust host-inbound-traffic system-services http9. 配置允许内网到外网的流量和策略。editroot#set security zones security-zone t

30、rust host-inbound-traffic protocols alleditroot#set security policies from-zone trust to-zone untrust policy trust_to_untrust match source-address anyeditroot#set security policies from-zone trust to-zone untrust policy trust_to_untrust match destination-address anyeditroot#set security policies fro

31、m-zone trust to-zone untrust policy trust_to_untrust match application anyeditroot#set security policies from-zone trust to-zone untrust policy trust_to_untrust then permit10. 配置出口默认路由。editroot# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.211. 配置基于出口的源nat，所有内网ip经过fe-0/0/0出口后的数据包，全部转换为

32、fe-0/0/0的地址路由到公网上。editroot#set security nat source rule-set trust-to-untrust from zone trusteditroot#set security nat source rule-set trust-to-untrust to zone untrusteditroot#set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0editroot#set security na

33、t source rule-set trust-to-untrust rule source-nat-rule then source-nat interface12. 提交配置，使当前配置生效。写完配置一定要提交，否则配置不生效。editroot#commitcommit complete5. 常用故障诊断命令查看端口状态labSRX show interfaces terse Interface Admin Link Proto Local Remotege-0/0/0 up up ge-0/0/1 up down查看路由表labSRX show route terse inet.0: 7

34、 destinations, 7 routes (7 active, 0 holddown, 0 hidden)+ = Active Route, - = Last Active, * = BothA Destination P Prf Metric 1 Metric 2 Next hop AS path* 0.0.0.0/0 S 5 172.27.10.1* 100.1.1.0/24 D 0 ge-0/0/9.0 查看OSPF邻居关系labr1 show ospf neighbor Address Interface State ID Pri Dead10.100.2.2 fe-0/0/0.

35、12 Full 10.100.10.2 128 3610.100.2.6 fe-0/0/0.13 Full 10.100.10.3 128 35Pinglabsrx ping 10.100.10.1 PING 10.100.10.1 (10.100.10.1): 56 data bytes64 bytes from 10.100.10.1: icmp_seq=0 ttl=61 time=4.967 mslabsrx ping 10.100.10.1 rapid PING 10.100.10.1 (10.100.10.1): 56 data bytes!labSRX# run ping 10.1

36、00.10.1 rapid count 1000 size 1000 PING 10.100.10.1 (10.100.10.1): 1000 data bytes!1000 packets transmitted, 1000 packets received, 0% packet lossround-trip min/avg/max/stddev = 4.746/7.515/322.176/15.056 msTraceroutelabsrx traceroute 10.100.10.1 traceroute to 10.100.10.1 (10.100.10.1), 30 hops max,

37、 40 byte packets 1 10.100.3.13 (10.100.3.13) 158.691 ms 186.093 ms 106.141 ms2 10.100.10.1 (10.100.10.1) 4.935 ms 7.819 ms 5.172 ms监控接口流量labsrx monitor interface fe-0/0/1监控RE CPU利用率labsrxshow chassis routing-engine监控并发会话数labsrxshow security flow session summary冷却系统故障检查冷却系统包含安装在机箱侧面的风扇盘来保证SRX工作在一个可以接

38、受的温度环境下。要检查风扇盘，执行下面的步骤：n 通过CLI命令行检查电源模块状态。通过下面的命令，观察输出的Status域的状态：userhost show chassis environment .n 如果有风扇盘发生故障，可以通过观察判断出哪一个风扇除了问题。然后再处理。机箱硬件组件故障检查对机箱组件进行故障检查，使用下面的指导：n 通过查看各板卡上相应的LED，可以检查出相应板卡的状态。n 使用CLI可以查看各板卡的状态，使用下面的命令：userhost show chassis hardware6. 设备日常维护本章节描述了如何维护SRX中的各种硬件组件。日常维护步骤为优化设备的性能

39、，有规律的执行下面的预防步骤：n 检查设备所在的机房的条件：湿度、电源线、数据线缆以及空气过滤网是否有过多的灰尘。同时应保证路由器的通风条件，设备本身的进出风口没有距离过近的阻挡。n 检查设备Craft Interface上的状态报告，看看是否有系统告警，LED显示是否正常。配置文件查看配置文件可从维护模式(提示符)下查看labSRX show configuration配置文件也可从配置模式(#提示符)下查看,注意配置模式下看得配置文件是当前正在编辑的配置文件,跟系统当前运行的配置文件不一定一致.labSRX# showJUNOS默认情况下用层次化的结构来显示配置，不同层次间用区分，如果管理

40、员习惯看直接输入的命令格式，可以通过管道符把输出送到display options里去改变格式，比如：labSRX show configuration | display set配置文件提交每次配置更改后都需要”commit”提交7.SRX常用功能及典型配置安全策略是在SRX上定义的一系列规则告诉SRX如何处理在各个安全域(zone)之间或同一安全域内各个接口之间转发的报文应该如何处理，比如对其进行转发(permit)，丢弃(deny), NAT，IPsec VPN加解密, IPS入侵防御检查或防病毒检查等等。7.1 SRX常用功能配置7.1.1安全域zone配置Zone是共享相同安全级别的

41、一组网络接口的集合。SRX3K/5K的所有接口默认都放在null zone内。Null zone是一种系统预定义的特殊的安全域，null zone内的接口不能接受外界的任何报文，也不能对外发送任何报文，即null zone内的接口是不参与业务转发的。因此要配置安全策略，必须先创建zone，并把接口分配到相应的zone里去配置举例：1. 创建安全域zoneset security zones security-zone trustset security zones security-zone untrust 2. 分配接口到相应安全域zoneset security zones securit

42、y-zone trust interfaces ge-0/0/0.0set security zones security-zone untrust interfaces ge-0/0/1.0每个安全域都有自己的一套自定义属性，包括是否允许接受管理流量？接受那些类型的管理流量？是否接受路由信令？接受那些路由信令等？这些都是在security zone下面相应zone的host-inbound-traffic里配置。SRX自己发出去的流量是不受限制的。配置举例：3. 允许trust zone接受telnet/ssh管理流量set security zones security-zone trus

43、t host-inbound-traffic system-services sshset security zones security-zone trust host-inbound-traffic system-services telnet4. 允许trust zone接受ospf/bgp路由信令set security zones security-zone trust host-inbound-traffic protocols ospfset security zones security-zone trust host-inbound-traffic protocols bgp每个zone还可以定义自己的DDoS防护选项，这是通过Screen配置来实现的7.1.2 安全域zone的地址本配置SRX安全策略里不能直接使用IPv4/IPv6的prefix作为策略匹配的源地址和目标地址，必须先在相关zone的地址本里创建地址本对象，再在安全策略里引用这些对象。配置举例：set security zones security-zone trust address-book address internal-192.168.1.0/24 192.168.1.0/24set security zon