《Juniper SRX 防火墙配置管理手册.docx》由会员分享,可在线阅读,更多相关《Juniper SRX 防火墙配置管理手册.docx(30页珍藏版)》请在三一办公上搜索。
1、Juniper SRX系列防火墙配置管理手册目录一、JUNOS操作系统介绍31。1层次化配置结构31。2 JunOS配置管理41.3 SRX主要配置内容4二、SRX防火墙配置操作举例说明52.1初始安装52.1。1设备登陆52.1.2设备恢复出厂介绍52.1.3设置root用户口令52。1。4设置远程登陆管理用户62.1.5远程管理SRX相关配置62。2配置操作实验拓扑72。3策略相关配置说明72。3.1策略地址对象定义82.3.2策略服务对象定义82.3。3策略时间调度对象定义82。3。4添加策略配置举例92。3.5策略删除102。3.6调整策略顺序102.3。7策略失效与激活102。4地址
2、转换112.4.1 Interface based NAT基于接口的源地址转换112。4。2 Pool based Source NAT基于地址池的源地址转换122.4.3 Pool base destinationNAT基于地址池的目标地址转换132.4.4 Pool base Static NAT基于地址池的静态地址转换142.5路由协议配置14静态路由配置14OSPF 配置15交换机 Firewall限制功能22限制IP地22限制MAC地址23三、SRX防火墙常规操作与维护233.2 设备关机233.3 设备重启243.4 操作系统升级243。5密码恢复253。6常用监控维护命令26Ju
3、niper SRX Branch系列防火墙配置管理手册说明SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性 和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源 代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。 JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性, 更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基 于NP
4、架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、UTM等全系列安全功能,其安 全功能主要来源于巳被广泛证明的ScreenOS操作系统。本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大 家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法, 最后对SRX防火墙常规操作与维护做简要说明。鉴于SRX系列防火墙低端Branch系列与高端3K、5K系列在功能配置与包处理流程有所差异,本人主 要以低端系列功能配置介绍为主,Branch系列型号目前包含:SRX10
5、0210240650将来会有新的产品加入到 Branch家族,请随时关注官方网站动态,配置大同小异。一、JUNOS操作系统介绍1。1层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本 文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置 (configure )两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运 维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模 式下的所
6、有命令(run) .在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一 级配置(类似unix cd命令),SRXit命令退回上一级,top命令回到根级。Less Specificroute chassis interfaces log ospf security systemMore Specific1。2 JunOS配置管理JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate Config)等待管理 员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit 通过后
7、当前配置即成为有效配置(Active config)。另外,JUNOS允许执行commit命令时要求管理员对提交的配 置进行两次确认,如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以 确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。在执行commit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行commit后 配置模式下可通过run show config命令查看当前有效配置(Active config)。此外可通过执行show I comp
8、are 比对候选配置和有效配置的差异。SRX上由于配备大容量存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit 命令返回到以前配置(如 rollback 0/commit可返回到前一 commit配置);也可以直接通过执行 save configname.conf手动保存当前配置,并执行load override configname.conf / commit调用前期手动保存的配置。执 行load factorydefault / commit命令可恢复到出厂缺省配置。SRX可对模块化配置进行功能关闭与激活,如执行deactivate secu
9、rity nat/comit命令可使NAT相关配置不生效, 并可通过执行activate security nat/commit使NAT配置再次生效。SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete 一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留 *意.1。3 SRX主要配置内容部署SRX防火墙主要有以下几个方面需要进行配置:System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、S
10、NMP、系统级开放 的远程管理服务(如telnet)等内容.Interface:接口相关配置内容。Security:是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、 Policy Address-book、Ipsec、Screen Idp、UTM等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此 配置层次下,除了 Application自定义服务。Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。routingoptions:配置静态路由或routerid等系统全局路由属性配置。二、SRX防
11、火墙配置操作举例说明2.1初始安装2.1.1设备登陆Console 口(通用超级终端缺省配置)连接SRX,root用户登陆,密码为空初始第一次登陆login: rootPassword:JUNOS 9。5R1。8 built 20090716 15:04:30 UTCroot% cli/*进入操作模式* /rootroot configureEntering configuration mode/*火*进入配置模式火火火/editRoot#2.1。2设备恢复出厂介绍首先根据上述操作进入到配置模式,执行下列命令:root# load factorydefaultwarning: activati
12、ng factory configuration /大大大系统激活出厂配置大大大/恢复出厂后,必须立刻设置ROOT帐号密码默认密码至少6位数:字母加数字root# set system root-authentication plaintSRXtpasswordNew password:当设置完ROOT帐号密码以后,进行保存激活配置root# commitcommit complete在此需要提醒配置操作员注意,系统恢复出厂后并不代表没有任何配置,系统缺省配置有ScreenDHCPPolicy 等相关配置,你如果需要完整的删除,可以执行命令delete删除相关配置.通过show来查看系统是否还
13、有遗 留不需要的配置,可以一一进行删除,直到符合你的要求,然后再重新根据实际需求进行配置。2.1。3设置root用户口令设置root用户口令root# set system root-authentication plain-tSRXt-passwordroot# new password: root123root# retype new password: root123密码将以密文方式显示root# show system root-authenticationencrypted-password $ 1$xavDeUe6$fNM6olGU.8。M7B62u05D6.”; # SECRET
14、-DATA注意:强烈建议不要使用其它加密选项来加密root和其它user口令(如encryptedpassword加密方式),此配 置参数要求输入的口令是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风 险。注:root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执 行commit提交后续配置命令。2.1.4设置远程登陆管理用户root# set system login user lab class superuser authentication plaintSRXtpasswordroot# new p
15、assword : lab123root# retype new password: lab123注:此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权 限用户。2。1.5远程管理SRX相关配置/大*大设置系统时钟*/*设置时区为上海大*大/大*设置主机名*大*/*大*设置DNS服务器*/run set date YYYYMMDDhhmm。ss set system timezone Asia/Shanghai set system hostname SRX-6501 set system name-server 1。1.1。1 set sys
16、tem services ftp set system services telnet set system services web-management http /*大*在系统级开启ftp/telnet/http远程接入管理服务大大大/ set interfaces ge-0/0/0.0 family inet address 10.1.1.1/24 或set interfaces ge0/0/0 unit 0 family inet address 10。1.1。1/24 set interfaces ge-0/0/1 unit 0 family inet address 10。1。2
17、.1/24 set routingoptions static route 0.0.0。0/0 nSRXthop 192.168.1。1 /*大配置逻辑接口地址及缺省路由,SRX接口要求IP地址必须配置在逻辑接口下(类似ScreenOS的子接口), 通常使用逻辑接口 0即可*大大/set security zones securityzone untrust interfaces ge0/0/0。0/大*将ge0/0/0.0接口放到安全区域中,类似ScreenOS*/set security zones security-zone untrust hostinboundtraffic syst
18、em-services ping set security zones securityzone untrust hostinboundtraffic system-services http set security zones securityzone untrust hostinbound-traffic systemservices telnet /大*大在untrust zone打开允许远程登陆管理服务,ScreenOS要求基于接口开放服务,SRX要求基于Zone开 放,从SRX主动访问出去流量开启服务,类似ScreenOS*大大/ 本次实验拓扑中使用的设备的版本如下:SRX100-
19、HM系统版本与J-WEB版本均为:10。1.R2.8SSG防火墙版本为61.0R7测试客户端包含WINDOWS7XP2.2配置操作实验拓扑配置.与削忒终瑞juniper rx防火墙配置J 皿操作实验拓扑图By Xiao FangSRXKM)FrJWOJUHQ!操作系些Zone UiHrustDMCPCI 岫Fe-0W2 - EthftnZone DMZ I Zone umiW10. LI.i/24 10,1 J .254.4Zone I mst20JJJ/241脾EC*PN也道跳典加g操作系统BgroupUZone trustmi&Limmep: MLL0/14删试坤鼎172.16,1, HW
20、242.3策略相关配置说明安全设备的缺省行为是拒绝安全区段之间的所有信息流(区段之间信息流)允许绑定到同一区段的接口间 的所有信息流(区段内部信息流).为了允许选定的区段之间信息流通过安全设备,必须创建覆盖缺省行为的 区段之间策略.同样,为了防止选定的区段内部信息流通过安全设备,必须创建区段内部策略。基本元素允许、拒绝或设置两点间指定类型单向信息流通道的策略。信息流(或“服务”)的类型、两端点的位置以及 调用的动作构成了策略的基本元素.尽管可以有其它组件,但是共同构成策略核心部分的必要元素如下:策略名称-两个安全区段间(从源区段到目的区段)间信息流的方向/*必须配置*火/源地址-信息流发起的地
21、址/*必须配置*/目标地址一信息流发送到的地址/*必须配置*/服务一信息流传输的类型/*必须配置*/动作一安全设备接收到满足头四个标准的信息流时执行的动作/*必须配置*/这些动作为:deny、permit、reject 或 tunnel注意tunnel、firewall-authentication、applicationservicesIDPUACWXUTM策略在permit下一级, 如下:root# set security policies from-zone trust to-zone untrust policy tu then permit ? Firewallauthentica
22、tiontunnel另外还包括其他的策略元素,比如记录日志、流量统计、时间调度对象等三种类型的策略可通过以下三种策略控制信息流的流动:通过创建区段之间策略,可以管理允许从一个安全区段到另一个安全区段的信息流的种类。通过创建区段内部策略,也可以控制允许通过绑定到同一区段的接口间的信息流的类型。通过创建全局策略,可以管理地址间的信息流,而不考虑它们的安全区段。2。3。1策略地址对象定义SRX服务网关地址对象需要自定义后才可以在策略中进行引用,默认只有any对象自定义单个地址对象如下:root# set security zones security-zone trust addressbook a
23、ddress pc1 20.1。1。200/32root# set security zones security-zone trust address-book address pc2 20。1.1。210/32自定义单个地址组对象如下:set security zones securityzone trust address-book addressset pc-group address pc1set security zones securityzone trust address-book addressset pc-group address pc-22.3o 2策略服务对象定义S
24、RX服务网关部分服务对象需要自定义后才可以在策略中进行引用,默认仅有预定义常用服务对象自定义单个服务对象如下:set applications application tcp3389 protocol tcp 定义服务对象协议TCPUDPICMPOTHERset applications application tcp3389 source-port 1-65535 定义服务对象源端口set applications application tcp-3389 destination-port 3389-3389 定义服务对象目标地址set applications application tc
25、p-3389 inactivity-timeout never 可选定义服务对象timeout时长set applications application tcp-8080 protocol tcpset applications application tcp-8080 sourceport 165535set applications application tcp-8080 destination-port 8080-8080set applications application tcp-8080 inactivity-timeout 3600自定义单个服务组对象如下:set appl
26、ications application-set aaplications-group application tcp-8080set applications application-set aaplicationsgroup application tcp-33892.3o 3策略时间调度对象定义SRX服务网关时间调度对象需要自定义后才可以在策略中进行引用,默认没有预定义时间调度对象自定义单个时间调度对象如下:set schedulers scheduler work-time daily start-time 09: 00: 00 stop-time 18:00:00set schedu
27、lers scheduler happytime sunday start-time 00:00:00 stoptime 23: 59:59set schedulers scheduler happytime saturday start-time 00:00: 00 stop-time 23: 59:59注意:时间调度服务生效参考设备系统时间,所以需要关注设备系统时间是否正常。2。3。4添加策略配置举例Policy配置方法与ScreenOS基本一致,仅在配置命令上有所区别,其中策略的允许/拒绝的动作(Action)需 要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上配
28、置语句)Policy需要手动配置policy name,policy name可以是字符串,也可以是数字(与ScreenOS的policy ID类似,只不过需要手工指定)。首先需要注意系统缺省策略配置:root# show security policies defaultpolicy查看当前系统缺省策略动作root# set security policies default-policy ? 设置系统缺省策略动作Possible completions:denyallDeny all traffic if no policy matchpermit-allPermit all traffi
29、c if no policy match根据实验拓扑进行策略配置举例说明set security zones securityzone trust address-book address pci 20。 1.1.200/32set security zones securityzone untrust address-book address serveri 192o 168.1。200/32/大*与ScreenOS 一样,在trust和untrust zone下分别定义地址对象便于策略调用,地址对象的名称可以是 地址/掩码形式大大大/set security zones security-
30、zone trust address-book addressset addrgroup1 address pc1/*在trust zone下定义名称为add-group 1的地址组,并将pci地址放到该地址组中大大大/Set security policies fromzone trust tozone untrust policy 001 match sourceaddress addrroup1 destination-address server1 application anyset security policies fromzone trust to-zone untrust p
31、olicy 001 then permit/大*大定义从trust到untrust方向permit策略,允许addr-groupi组的源地址访问serveri地址any服务大 大*/set security policies from-zone trust to-zone untrust policy 001 then log session-initset security policies fromzone trust to-zone untrust policy 001 then log sessionloseset security policies fromzone trust to
32、-zone untrust policy 001 then count可选配置/*大*定义从trust到untrust方向策略,针对当前策略记录日志并统计策略流量root # set security policies fromzone trust to-zone untrust policy 001 scheduler-name happy-timeroot # set security policies from-zone trust tozone dmz policy 001 schedulername worktime可选配置/*大*定义当前策略,引用时间调度对象,符合时间条件策略生效
33、,否则策略将处于非工作状态 root # set security policies fromzone trust to-zone untrust policy tu then permit application-services ?Possible completions:+ applygroupsGroups from which to inherit configuration data+ apply-groups RXcept Dont inherit configuration data from these groupsgprs-gt profileSpecify GPRS Tu
34、nneling Protocol profile nameidpIntrusion detection and preventionredirecwxSet WX redirectionreverse-redirect-wx Set WX reverse redirectionuacpolicyEnable unified access control enforcement of policyutmpolicySpecify utm policy nameedit可选配置/大*大定义当前策略,选择是否客气IDPUACUTM等操作,如果针对策略开启相应的检查,请先定 义好相应的功能。2。3。5
35、策略删除删除SRX防火墙策略命令,在JUNOS系统中删除全部都使用delete命令,因此删除策略的命令如下: srx3400root#delete security policies from trust to untrust policy 1/*删除从trust到untrust策略ID为1的策略 大*大/命令如下:srx3400/root#delete security policies from zone-name to zonename policy policyid Zone一name:表示自定义或者预定义的zone名字.例如:trust、untrust、dmz等 Policy-id:
36、表示策略的ID号,例如:1、2、3、4、n。注意:如果不加策略ID将表示删除从Fromzone到TO zone的全部策略2。3.6调整策略顺序SRX防火墙的策略执行顺序是自上而下,逐一检查进行匹配。新添加的策略将排列在策略的最后一个,默认策 略是全部阻止,因此如果前面有模糊匹配的策略,精确匹配策略将不再执行,所以需要调整策略顺序。命令如下:(1) srx3400root#insert security policies from trust to untrust policy 1 before policy 2/*大*将从trust区域到untrust区域的策略1插入到策略2的前面 大大*/
37、(2)srx3400root#insert security policies from trust to untrust policy 1 after policy 2/*将从trust区域到untrust区域的策略1插入到策略2的后面*大大/命令格式:srx3400root#insert security policies from zonename to zonename policy policyid before policy policyidsrx3400root#insert security policies from zone-name to zonename policy
38、policyid after policy policyid2.3。7策略失效与激活在SRX防火墙中准备暂停某条策略,等待测试结束后再激活启用,使用如下命令进行设置 命令如下:策略失效(1)srx3400root # deactive security policies from trust to untrust policy 1/*大大 将从trust区域到untrust区域的策略1暂时停用 大大大/ 策略激活(2)srx3400root# active security policies from trust to untrust policy 1/*将从trust区域到untrust区域
39、的策略1激活*大/ 激活和失效配置完成后都要进行commit操作.命令如下:srx3400root # commit2.4地址转换SRX NAT较ScreenOS在功能实现方面基本保持一致,但在功能配置上有较大区别,配置的主要差异在于ScreenOS 的NAT与policy是绑定的,无论是MIP/VIP/DIP还是基于策略的NAT,在policy中均要体现出NAT内容(除 了缺省基于untrust接口的Souec-NAT模式外),而SRX的NAT则作为网络层面基础内容进行独立配置(独立定 义地址映射的方向、映射关系及地址范围),Policy中不再包含NAT相关配置信息,这样的好处是易于理解、
40、简化运维,当网络拓朴和NAT映射关系发生改变时,无需调整Policy配置内容.SRX NAT和Policy执行先后顺序为:目的地址转换一目的地址路由查找一执行策略检查一源地址转换,结合这 个执行顺序,在配置Policy时需注意:Policy中源地址应是转换前的源地址,而目的地址应该是转换后的目的 地址,换句话说,Policy中的源和目的地址应该是源和目的两端的真实IP地址,这一点和ScreenOS存在区别, 需要加以注意。SRX中不再使用MIP/VIP/DIP这些概念,其中MIP被Static静态地址转换取代,两者在功能上完全一致;DIP 被Source NAT取代;基于Policy的目的地址
41、转换及VIP被Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址转换被保留下来,但在SRX中不再是缺省模式(SRX中Trust Zone接口没有NAT模式概念), 需要手工配置。类似ScreenOS,Static属于双向NAT,其他类型均属于单向NAT。此外,SRX还多了一个proxy-arp概念,如果定义的IP Pool(可用于源或目的地址转换)需配置SRX对这个 Pool内的地址提供ARP代理功能,这样对端设备能够解析到IP Pool地址的MAC地址(使用接口 MAC地址响应 对方),以便于返回报文能够送达SRX。下面是配置举例及相关说明:2。4
42、.1 Interface based NAT基于接口的源地址转换图片仅供参考,下列配置参考实验拓扑NAT配置:set security nat source rule-set 1 from zone trust 指定源区域set security nat source rule-set 1 to zone untrust 指定目标区域set security nat source ruleet 1 rule rulel match source-address 0。 0.0。 0/0 destination-address 0.0。0。0/0指定源和目标匹配的地址或者地址段,0。0。0。/0代
43、表所有set security nat source ruleet 1 rule rule1 then source-nat interface 指定通过接口 ip进行源翻译 上述配置定义NAT源地址映射规则,从Trust Zone访问Untrust Zone的所有流量用Untrust Zone接口 IP做 源地址转换。Policy 配置:set security policies fromzone trust to-zone untrust policy 1 match source-address pc-1set security policies fromzone trust tozon
44、e untrust policy 1 match destination-address anyset security policies fromzone trust to一zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定义Policy策略,允许Trust zone 10.1。2.2地址访问Untrust方向任何地址,根据前面的NAT配置, SRX在建立session时自动执行接口源地址转换.2.4
45、。2 Pool based Source NAT基于地址池的源地址转换图片仅供参考,下列配置参考实验拓扑NAT配置:set security nat source pool pool-1 address 192o 168.1.50 to 192.168。 1.150set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat source rule-set 1 rule rule1 match sourceaddress 0
46、。 0。 0.0/0 destinationaddress 0。0.0。0/0set security nat source rule-set 1 rule rule1 then sourcenat pool pool1set security nat proxy-arp interface ge-0/0/0 address 192.168b 1。50 to 192。168。1.150上述配置表示从trust方向(any)到untrust方向(any)访问时提供源地址转换,源地址池为pool1(192。168.1。 50192。168.1.150),同时fe-0/0/0接口为此pool IP提
47、供ARP代理。需要注意的是:定义Pool时不需要与 Zone及接口进行关联。配置proxyarp目的是让返回包能够送达SRX,如果Pool与出接口 IP不在同一子网, 则对端设备需要配置指向fe0/0/0接口的Pool地址路由。Policy:set security policies from-zone trust tozone untrust policy 1 match sourceaddress pc1set security policies fromzone trust to-zone untrust policy 1 match destinationaddress anyset security policies from-zone trust to-zone untrust policy 1 match application
