Juniper SRX防火墙配置手册
一、JUNOS操作系统介绍
1.1 层次化配置结构
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接
口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。
1.2 JunOS配置管理
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行comm
it confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行commit后配置模式下可通过run show config命令查看当前有效配置(Active config)。此外可通过执行show | compare比对候选配置和有效配置的差异。
SRX上由于配备大容量硬盘存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback 0/commit可返回到前一commit配置);也可以直接通过执行f手动保存当前配置,并执行load f / commit调用前期手动保存的配置。执行load factory-default / commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/comit命令可使NAT
相关配置不生效,并可通过执行activate security nat/commit使NAT配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
1.3 SRX主要配置内容
部署SRX防火墙主要有以下几个方面需要进行配置:
System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。
Interface:接口相关配置内容。
Security: 是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,
如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。
Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。
routing-options: 配置静态路由或router-id等系统全局路由属性配置。
二、SRX防火墙配置对照说明
策略处理流程图
2.1 初始安装
2.1.1 登陆
Console口(通用超级终端缺省配置)连接SRX,root用户登陆,密码为空
login: root
Password:
--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTC
root% cli / /进入操作模式
root>
root> configure //进入配置模式
[edit]
Root#
2.1.2 设置root用户口令
设置root用户口令
root# set system root-authentication plain-text-password
root# new password : root123
root# retype new password: root123
[edit]
root# set system login class super-user idle-timeout 3 设置当前用户超时时间
密码将以密文方式显示
root# show system root-authentication
encrypted-password "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA
注意:强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式),此配置参数要求输入的口令应是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。
2.1.3 设置远程登陆管理用户
root# set system login user lab class super-user authentication plain-text-password //创建用户lab
root# new password : lab123 //配置用户lab密码
root# retype new password: lab123
注:此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
2.1.4 管理SRX相关配置
root>show system uptime //查看时间
root#run set date YYYYMMDDhhmm.ss //设置系统时钟
root#set system time-zone Asia/beijing //设置时区为北京
root#set system host-name SRX3400-A //设置主机名
root#set system name-server 1.1.1.1 //设置DNS服务器
root#set system ntp server 202.120.2.101 //设置NTP服务器
root>show ntp associations
root>show ntp status //查看NTP
root>show security alg status //查看ALG状态
ALG Status :
DNS : Enabled
FTP : Enabled
H323 : Enabled
truncated在存储过程中怎么使用 MGCP : Enabled
MSRPC : Enabled
PPTP : Enabled
RSH : Enabled
RTSP : Enabled
SCCP : Enabled
SIP : Enabled
SQL : Enabled
SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled
IKE-ESP : Disabled
root#set system services ftp
root#set system services telnet
root#set system services web-management http
//在系统级开启ftp/telnet/http远程接入管理服务
root>request system reboot //重启系统
root>request system power-off // 关闭系统
root>show version //查看版本信息
Model: srx210b
JUNOS Software Release [10.4R5.5]
root>show system uptime //查看系统启动时间
Current time: 2011-08-11 05:09:15 UTC
System booted: 2011-08-11 01:12:48 UTC (03:56:27 ago)
Protocols started: 2011-08-11 01:15:28 UTC (03:53:47 ago)
Last configured: 2011-08-11 03:11:08 UTC (01:58:07 ago) by root
5:09AM up 3:56, 1 user, load averages: 0.01, 0.02, 0.00
root>Show chassis haredware //查看硬件板卡及序列号
Hardware inventory:
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论