Juniper SRX 防火墙配置手册
、JUNOS 操作系统介绍 层次化配置结构
JUNOS 采用基于FreeBSD 内核的软件模块化操作系统,支持
CLI 命令行和WEBU 两种接 口配置方式,本文主要对 CLI 命令行方式进行配置说明。
JUNOSCLI 使用层次化配置结构,分为
操作(op eratio nal )和配置(con figure )两类模式,在操作模式下可对当前配置、设备运行 状态、路由及会话表等状态进行查看及设备运维操作,并通过执行
config 或edit 命令进入配
置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令( run )。在
配置模式下JUNOS 采用分层分级模块下配置结构,如下图所示, edit 命令进入下一级配置(类
似unix cd 命令),exit 命令退回上一级,top 命令回到根级。
Configuration Root
Services
JunOS 配置管理
JUNOS 通过set 语句进行配置,配置输入后并不会立即生效,而是作为候选配置( Can didate
Config )等待管理员提交确认,管理员通过输入
commit 命令来提交配置,配置内容在通过
SRX
语法检查后才会生效,一旦 commit 通过后当前配置即成为有效配置( Active config )。另外,
JUNO 允许执行commit 命令时要求管理员对提交的配置进行两次确认, 如执行commit con firmed
2命令要求管理员必须在输入此命令后
2分钟内再次输入 commit 以确认提交,否则 2分钟后配
^Syslog
!
1
Security 1
Prolocols
1 — F low 1
— OSPF
1 1 — Z omes 1 — B GP 1 1
一 P olicies
1
—
ISIS
1
ftme-server
置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit 命令前可通过配置模式下 show 命令查看当前候选配置(Candidate Config ),在 执行commit 后配置模式下可通过 run show config 命令查看当前有效配置( Active config )。 此外可通过执行show | com pare 比对候选配置和有效配置的差异。 SRX 上由于配备大容量硬盘存储器,缺省按先后 commit 顺序自动保存50份有效配置, 过执行rolback 和commit 命令返回到以前配置(如 rollback 0/commit 可返回到前一 配置);也可以直接通过执行 save 手动保存当前配置,并执行 load override / commit 前期手动保存的配置。执行 load factory-default / commit 命令可恢复到出厂缺省配置。 并可通 commit 调用 SRX 可对模块化配置进行功能关闭与激活,如执行 deactivate security n at/comit NAT 相关配置不生效,并可通过执行 activate security nat/commit
使NAT 配置再次生效。 命令可使 SRX 通过set 语句来配置防火墙,通过
delete 语句来删除配置,如 delete security nat 和 edit security nat / delete 一样,均可删除security 防火墙层级下所有 NAT 相关配置,删除 配置和ScreenOS 不同,配置过程中需加以留意。 SRX 主要配置内容 部署SRX 防火墙主要有以下几个方面需要进行配置: System :主要是系统级内容配置, 如主机名、管理员账号口令及权限、 时钟时区、Syslog 、SNMP 系统级开放的远程管理服务(如 telnet )等内容。 In terface: 接口相关配置内容。 Security: 女 口 NAT Zone 、P olicy 、Address-book 、Ip sec 、Scree n 、 墙安全相关内容都迁移至此配置层次下,除了 AppI ication 是SRX 防火墙的主要配置内容,安全相关部分内容全部在 Security 层级下完成配置, Idp 等,可简单理解为 ScreenOS 防火 自定义服务。 AppI icatio n :自定义服务单独在此进行配置,配置内容与 Scree nOS 基本一致。 routi ng-o ptio ns :配置静态路由或 router-id 等系统全局路由属性配置。 二、SRX 防火墙配置对照说明 策略处理流程图
初始安装
登陆
Con sole 口(通用超级终端缺省配置)连接SRX root用户登陆,密码为空login: root
P assword:
---JUNOS built 2009-07-16 15:04:30 UTC
root% cli / /进入操作模式
root>
root> con figure Use
Address resoluti on timeout is 4s.
Liste ning on ge-0/0/, cap ture size 96 bytes
Reverse look up for failed (check DNS reachability).
Other reverse look up failures will not be rep orted.
Use 05:41: In arp who-has tell In arp who-has tell In arp who-has tell In IPX :13:8f:74:bc: > :ff:ff:ff:ff:: ip x- netbios 50 05:41: In arp who-has tell Out IP trun cated-ip 10 bytes missing! > 51866+[|domai n] 05:41: In STP , Co nfig. Flags [non e], bridge-id :06:53:48:8a:, le ngth 43 05:41: In IPX :13:8f:74:bc: > :ff:ff:ff:ff:: ipx-n etbios 50 .5接口的初始化接口说明: A - Type 类 FPC slot F PCW Vite ■- PIC slot PICFFM工 Port number 孰需I I -J go-O/O/3 root% cli set system n ame-server system logi n user lab uid 2002 set system log in user lab class sup er-user set system log in user lab authe nticatio n encryp ted- password "$1$Y0X8gba p$." set system services ssh set system services telnet set system services web-ma nageme nt htt p in terface set system services web-ma nageme nt htt p in terface ge-0/0/ set system services web-ma nageme nt htt p in terface set system services web-ma nageme nt htt p in terface ge-0/0/ 4 set system services web-management http interface fe-0/0/ set system services web-management https system-generated-certificate set system services web-management https interface set system services web-management https interface ge-0/0/ set system syslog file nat-log any any set system syslog file nat-log match RT_FLOW_SESSION set system syslog file monitor-log any any set system syslog file monitor-log match 基本提交与恢复配置命令: root#commit ; ## SECRET-DATA + encrypted-password "$1$PRX8HyIJ$"; ## SECRET-DATA [edit system services web-management http] - interface [ ge-0/0/ ge-0/0/ fe-0/0/ ]; + interface [ ge-0/0/ ge-0/0/ fe-0/0/ ]; [edit interfaces] fe-0/0/4 { unit 0 { family inet; family ethernet-switching; } } [edit security zones security-zone inside interfaces] { ... } fe-0/0/ { host-inbound-traffic { system-services { http; } } } fe-0/0/ { host-inbound-traffic { system-services { http; root#rollback / 配置) Possible completions: <[Enter]> 0 / 查看可恢复的配置 (注意:使用 load facroty-default 命令恢复到出厂 Execute this command 2011-08-11 03:11:08 UTC by lab via cli 2011-08-10 09:39:44 UTC by lab via cli 2011-08-10 07:48:34 UTC by lab via cli 2011-08-10 07:40:08 UTC by lab via cli 2011-08-10 07:36:20 UTC by lab via cli source VAT poblic TP 207. 17. 137. 0 24 将公网IP: 100. 0. a 1 映射至fi网]:卩± 10. 1. 10. 5 8 9 10 11 12 [abort] ---(more 42%)--- [edit] root#rollback 4 2011-08-10 07:31:18 UTC by lab via cli 2011-08-10 07:25:45 UTC by lab via cli 2011-08-10 07:21:26 UTC by lab via cli 2011-08-10 07:20:15 UTC by lab via cli 2011-08-10 06:51:14 UTC by lab via cli 2011-08-10 06:50:16 UTC by lab via cli 2011-08-10 06:31:23 UTC by lab via cli 2011-08-10 06:29:02 UTC by lab via cli juniper / 172. S6.0.1/16 ' 5 1 1 172. 56. 3. a4/16「比赢》 ' I z outside 一 inside IHB inside outside Ln trne L ZOO. 100. LOO. 1/24 .ft inside -? .1 dntrne 讥 1. 1. 70.5 32 2 2 置Bridge Domains 10. L 10.0 24 桥接域(Bridge Domains ):属于同一泛洪或广播域的一组逻辑接口。在同一个域可以跨越多个设备的一个或多个接口。默认情况下,每个桥接域都维护着自己的发表,从属于本桥接域的接口接受的数据包。在桥接域里转发的数据包,必须是一个打上Vlan ID的数据包,并且这个Vlan ID 是属于这个桥接域的。 CLI命令配置举例: root# set bridge-doma ins bd1 doma in-type bridge vlan-id-list 1,10 置Layer 2 逻辑接口Vlan里,桥接MAC地址转 0已经被 layer2 接口模式有2种模式,trunk 和access。 CLI命令配置举例: root# set in terfaces ge-3/0/0 un it 0 family bridge in terface-mode trunk vla n-id-list 1 - 10 置layer 2 区域 CLI命令配置举例: root# set security zones security-z one l2 root# set security zones security-z one l2 -zone1 in terfaces ge-3/0/ -zone2 in terfaces ge-3/0/ root# set security zones security-zone all 12 - zone2 host-inbound- traffic system-services 置Iayer3策略CLI命令配置举例: root# set security p olicies from-z one l2 source-address root# set security p olicies from-z one l2 dest in atio n-address root# set security p olicies from-z one l2 app licati on htt p root# set security policies from-zone -zone1 to-zone l2 - zone2 policy p1 -zone1 to-zone l2 - zone2 policy p1 -zone1 to-zone l2 - zone2 policy p1 match match match I2 - zone1 to-zone I2 - zone2 policy p1 then permit