Juniper SRX系列防火墙配置管理手册
Juniper SRX Branch系列防火墙配置管理手册说明
SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,root的初始密码JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础.基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。
鉴于SRX系列防火墙低端〈Branch>系列与高端3K、5K系列在功能配置与包处理流程有所差
异,本人主要以低端系列功能配置介绍为主,Branch系列型号目前包含:SRX100\210\240\650将来会有新的产品加入到Branch家族,请随时关注动态,配置大同小异.
一、JUNOS操作系统介绍
1.1 层次化配置结构
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),SRXit命令退回上一级,top命令回到根级。
1。2 JunOS配置管理
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(CandidateConfig)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(CandidateConfig),在执行commit后配置模式下可通过run show config命令查看当前有效配置(Active config).此外可通过执行show | compare比对候选配置和有效配置的差异。
SRX上由于配备大容量存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback 0/commit可返回到前一commit配置);也可以直接通过执行save f手动保存当前配置,并执行load overrideconfigname。conf/ commit调用前期手动保存的配置。执行load factory—default / commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/comit命令可使NAT相关配置不生效,并可通过执行activate security nat/commit使NAT配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
1。3 SRX主要配置内容
部署SRX防火墙主要有以下几个方面需要进行配置:
System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。
Interface:接口相关配置内容。
Security:是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、Policy、Address—book、Ipsec、Screen、Idp、UTM等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。
Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。
routing—options:配置静态路由或router—id等系统全局路由属性配置。
二、SRX防火墙配置操作举例说明
2.1 初始安装
2。1。1 设备登陆
Console口(通用超级终端缺省配置)连接SRX,root用户登陆,密码为空<初始第一次登陆〉
login: root
Password:
-—— JUNOS 9。5R1。8 built 2009—07—1615:04:30 UTC
root% cli/***进入操作模式***/
root>
root〉 configure
Entering configuration mode /***进入配置模式***/
[edit]
Root#
2。1.2设备恢复出厂介绍
首先根据上述操作进入到配置模式,执行下列命令:
root# load factory—default
warning: activating factory configuration /***系统激活出厂配置***/
恢复出厂后,必须立刻设置ROOT帐号密码<默认密码至少6位数:字母加数字>
root# set system root-authentication plain-tSRXt—password
New password:
当设置完ROOT帐号密码以后,进行保存激活配置
root# commit
commit complete
在此需要提醒配置操作员注意,系统恢复出厂后并不代表没有任何配置,系统缺省配置有Screen\DHCP\Policy等相关配置,你如果需要完整的删除,可以执行命令delete 删除相关配置。通过show 来查看系统是否还有遗留不需要的配置,可以一一进行删除,直到符合你的要求,然后再重新根据实际需求进行配置。
2.1。3设置root用户口令
设置root用户口令
root# set system root-authentication plain—tSRXt—password
root# new password : root123
root# retype new password: root123
密码将以密文方式显示
root# show system root-authentication
encrypted—password "$1$xavDeUe6$fNM6olGU.8。M7B62u05D6.”; # SECRET—DATA
注意:强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted—password加密方式),此配置参数要求输入的口令是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。
注:root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执行commit提交后续配置命令。
2.1.4 设置远程登陆管理用户
root#set system login user lab class super—user authentication plain—tSRXt-password
root# new password : lab123
root# retype new password: lab123
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论