Juniper_SRX配置手册

JuniperSRX防火墙配置手册一、JUNOS操作系统介绍1.1层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOSCLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unixcd命令）,exit命令退回上一级，top命令回到根级。1.2JunOS配置管理JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（CandidateConfig）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Activeconfig）。另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commitconfirmed2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。在执行commit命令前可通过配置模式下show命令查看当前候选配置（CandidateConfig），在执行commit后配置模式下可通过runshowconfig命令查看当前有效配置（Activeconfig）。此外可通过执行show|compare比对候选配置和有效配置的差异。SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效配置，并可通过执行rolback和commit命令返回到以前配置（如rollback0/commit可返回到前一commit配置）；也可以直接通过执行saveconfigname.conf手动保存当前配置，并执行loadoverrideconfigname.conf/commit调用前期手动保存的配置。执行loadfactory-default/commit命令可恢复到出厂缺省配置。SRX可对模块化配置进行功能关闭与激活，如执行deactivatesecuritynat/comit命令可使NAT相关配置不生效，并可通过执行activatesecuritynat/commit使NAT配置再次生效。SRX通过set语句来配置防火墙，通过delete语句来删除配置，如deletesecuritynat和editsecuritynat/delete一样，均可删除security防火墙层级下所有NAT相关配置，删除配置和ScreenOS不同，配置过程中需加以留意。1.3SRX主要配置内容部署SRX防火墙主要有以下几个方面需要进行配置：System：主要是系统级内容配置，如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务（如telnet）等内容。Interface:接口相关配置内容。Security:是SRX防火墙的主要配置内容，安全相关部分内容全部在Security层级下完成配置，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等，可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下，除了Application自定义服务。Application：自定义服务单独在此进行配置，配置内容与ScreenOS基本一致。routing-options：配置静态路由或router-id等系统全局路由属性配置。二、SRX防火墙配置对照说明策略处理流程图2.1初始安装2.1.1登陆Console口(通用超级终端缺省配置)连接SRX，root用户登陆，密码为空login:rootPassword:---JUNOS9.5R1.8built2009-07-1615:04:30UTCroot%cli//进入操作模式rootrootconfigure//进入配置模式[edit]Root#2.1.2设置root用户口令设置root用户口令root#setsystemroot-authenticationplain-text-passwordroot#newpassword:root123root#retypenewpassword:root123[edit]root#setsystemloginclasssuper-useridle-timeout3设置当前用户超时时间密码将以密文方式显示root#showsystemroot-authenticationencrypted-password$1$xavDeUe6$fNM6olGU.8.M7B62u05D6.;#SECRET-DATA注意：强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式)，此配置参数要求输入的口令应是经加密算法加密后的字符串，采用这种加密方式手工输入时存在密码无法通过验证风险。2.1.3设置远程登陆管理用户root#setsystemloginuserlabclasssuper-userauthenticationplain-text-password//创建用户labroot#newpassword:lab123//配置用户lab密码root#retypenewpassword:lab123注：此lab用户拥有超级管理员权限，可用于console和远程管理访问，另也可自行灵活定义其它不同管理权限用户。2.1.4管理SRX相关配置rootshowsystemuptime//查看时间root#runsetdateYYYYMMDDhhmm.ss//设置系统时钟root#setsystemtime-zoneAsia/beijing//设置时区为北京root#setsystemhost-nameSRX3400-A//设置主机名root#setsystemname-server1.1.1.1//设置DNS服务器root#setsystemntpserver202.120.2.101//设置NTP服务器rootshowntpassociationsrootshowntpstatus//查看NTProotshowsecurityalgstatus//查看ALG状态ALGStatus:DNS:EnabledFTP:EnabledH323:EnabledMGCP:EnabledMSRPC:EnabledPPTP:EnabledRSH:EnabledRTSP:EnabledSCCP:EnabledSIP:EnabledSQL:EnabledSUNRPC:EnabledTALK:EnabledTFTP:EnabledIKE-ESP:Disabledroot#setsystemservicesftproot#setsystemservicestelnetroot#setsystemservicesweb-managementhttp//在系统级开启ftp/telnet/http远程接入管理服务rootrequestsystemreboot//重启系统rootrequestsystempower-off//关闭系统rootshowversion//查看版本信息Model:srx210bJUNOSSoftwareRelease[10.4R5.5]rootshowsystemuptime//查看系统启动时间Currenttime:2011-08-1105:09:15UTCSystembooted:2011-08-1101:12:48UTC(03:56:27ago)Protocolsstarted:2011-08-1101:15:28UTC(03:53:47ago)Lastconfigured:2011-08-1103:11:08UTC(01:58:07ago)byroot5:09AMup3:56,1user,loadaverages:0.01,0.02,0.00rootShowchassisharedware//查看硬件板卡及序列号Hardwareinventory:ItemVersionPartnumberSerialnumberDescriptionChassisAC5210AA0079SRX210bRoutingEngineREV40750-021778AACN5249RE-SRX210BFPC0FPCPIC02xGE,6xFE,1x3GPowerSupply0rootshowchassisenvironment//查看硬件板卡当前状态ClassItemStatusMeasurementTempRoutingEngineOK52degreesC/125degreesFRoutingEngineCPUAbsentFansSRX210ChassisfanOKSpinningatnormalspeedPowerPowerSupply0OKrootshowchassisrouting-engine//查看主控板（RE）资源使用及状态RoutingEnginestatus:Temperature52degreesC/125degreesFTotalmemory512MBMax415MBused(81percent)Controlplanememory336MBMax306MBused(91percent)Dataplanememory176MBMax107MBused(61percent)CPUutilization:User4percentBackground0percentKernel5percentInterrupt0percentIdle91percentModelRE-SRX210BSerialIDAACN5249Starttime2011-08-1101:12:47UTCUptime4hours,17minutes,57secondsLastrebootreason0x200:chassiscontrolresetLoadaverages:1minute5minute15minute0.090.050.01rootshowsystemlicense//查看授权Licenseusage:LicensesLicensesLicensesExpiryFeaturenameusedinstalledneededax411-wlan-ap020permanentrootshowsystemprocessesextensive//查看系统利用率lastpid:1968;loadaverages:0.01,0.03,0.00up0+04:20:2805:32:46111processes:17running,83sleeping,11waitingMem:120MActive,87MInact,231MWired,30MCache,61MBuf,1356KFreeSwap:PIDUSERNAMETHRPRINICESIZERESSTATECTIMEWCPUCOMMAND1097root4760194M34836Kselect0298:0598.44%flowd_octeon22root1171520K16KRUN0203:4784.96%idle:cpu024root1-20-1390K16KRUN05:420.00%swi7:clock21root1171520K16KRUN12:210.00%idle:cpu15root1-8400K16Krtfifo01:020.00%rtfifo_kern_recv1109ro