Juniper SRX防火墙配置手册

Juniper SRX防火墙简明配置手册

Juniper Networks, Inc.

北京市东城区东长安街1号东方经贸城西三办公室15层1508室

邮编:100738 电话:65288800 http://www.juniper.net

第 1 页 共 11 页

目录

一、JUNOS操作系统介绍 ........................................................................................................... 3 1.1 层次化配置结构 ...................................................................................................................... 3 1.2 JunOS配置管理 ....................................................................................................................... 3 1.3 SRX主要配置内容 .................................................................................................................. 4 二、SRX防火墙配置对照说明 .................................................................................................... 5 2.1 初始安装 .................................................................................................................................. 5

2.1.1 登陆 ............................................................................................................................. 5 2.1.2 设置root用户口令 ................................................................................................... 5 2.1.3 设置远程登陆管理用户 ............................................................................................. 5 2.1.4 远程管理SRX相关配置 ............................................................................................. 6 2.2 Policy ........................................................................................................................................ 6 2.3 NAT .......................................................................................................................................... 6

2.3.1 Interface based NAT ............................................................. 错误！未定义书签。 2.3.2 Pool based Source NAT ......................................................... 错误！未定义书签。 2.3.3 Pool base destination NAT ................................................. 错误！未定义书签。 2.3.4 Pool base Static NAT ............................................................................................. 7 2.4 IPSEC VPN ............................................................................................................................... 7 2.5 Application and ALG ................................................................................................................ 8 2.6 JSRP ........................................................................................................ 错误！未定义书签。 三、SRX防火墙常规操作与维护 ........................................................................................................ 9

3.1 设备关机 .............................................................................................................................. 9 3.2 设备重启 ............................................................................................................................. 9 3.3 操作系统升级 ................................................................................................................... 10 3.4 密码恢复 ........................................................................................................................... 10 3.5 常用监控维护命令 ........................................................................................................... 11

第 2 页 共 11 页

Juniper SRX防火墙简明配置手册

SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。

一、JUNOS操作系统介绍 1.1 层次化配置结构

JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级。

1.2 JunOS配置管理

JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate

第 3 页 共 11 页

Config）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Active config）。另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。

在执行commit命令前可通过配置模式下show命令查看当前候选配置（Candidate Config），在执行commit后配置模式下可通过run show config命令查看当前有效配置（Active config）。此外可通过执行show | compare比对候选配置和有效配置的差异。

SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效配置，并可通过执行rolback和commit命令返回到以前配置（如rollback 0/commit可返回到前一commit配置）；也可以直接通过执行save configname.conf手动保存当前配置，并执行load override configname.conf / commit调用前期手动保存的配置。执行load factory-default / commit命令可恢复到出厂缺省配置。

SRX可对模块化配置进行功能关闭与激活，如执行deactivate security nat/comit命令可使NAT相关配置不生效，并可通过执行activate security nat/commit使NAT配置再次生效。

SRX通过set语句来配置防火墙，通过delete语句来删除配置，如delete security nat和edit security nat / delete一样，均可删除security防火墙层级下所有NAT相关配置，删除配置和ScreenOS不同，配置过程中需加以留意。

1.3 SRX主要配置内容

部署SRX防火墙主要有以下几个方面需要进行配置： System：主要是系统级内容配置，如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务（如telnet）等内容。 Interface:接口相关配置内容。

Security: 是SRX防火墙的主要配置内容，安全相关部分内容全部在Security层级下完成配置，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等，可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下，除了Application自定义服务。

Application：自定义服务单独在此进行配置，配置内容与ScreenOS基本一致。 routing-options： 配置静态路由或router-id等系统全局路由属性配置。

第 4 页 共 11 页

二、SRX防火墙配置对照说明 2.1 初始安装

2.1.1 登陆

Console口(通用超级终端缺省配置)连接SRX，root用户登陆，密码为空 login: root Password:

--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTC root% cli /***进入操作模式***/ root>

root> configure

Entering configuration mode /***进入配置模式***/ [edit] Root#

2.1.2 设置root用户口令

设置root用户口令

set system root-authentication encrypted-password

密码将以密文方式显示

\

注意：强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式)，此配置参数要求输入的口令应是经加密算法加密后的字符串，采用这种加密方式手工输入时存在密码无法通过验证风险。

注：root用户仅用于console连接本地管理SRX，不能通过远程登陆管理SRX，必须成功设置root口令后，才能执行commit提交后续配置命令。

2.1.3 设置远程登陆管理用户

root#set system login user lab uid 2000

set system login user lab class super-user

set system login user lab authentication encrypted-password root# new password : lab123 root# retype new password: lab123

注：此lab用户拥有超级管理员权限，可用于console和远程管理访问，另也可自行灵活定义其它不同管理权限用户。

第 5 页 共 11 页

2.1.4 远程管理SRX相关配置

run set date YYYYMMDDhhmm.ss /***设置系统时钟***/ set system time-zone Asia/Shanghai /***设置时区为上海***/ set system host-name SRX3400-A /***设置主机名***/ set system name-server 1.1.1.1 /***设置DNS服务器***/ set system services ftp set system services telnet set system services web-management http

/***在系统级开启ftp/telnet/http远程接入管理服务***/

2.2 Policy

Policy配置方法与ScreenOS基本一致，仅在配置命令上有所区别，其中策略的允许/拒绝的动作（Action）需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上配置语句)。Policy需要手动配置policy name，policy name可以是字符串，也可以是数字（与ScreenOS的policy ID类似,只不过需要手工指定）。

set security policies from-zone trust to-zone trust-to-untrust match source-address any

set security policies from-zone trust to-zone trust-to-untrust match destination-address any

set security policies from-zone trust to-zone trust-to-untrust match application any

set security policies from-zone trust to-zone trust-to-untrust then permit

untrust policy untrust policy untrust policy untrust policy

2.3 NAT

SRX NAT较ScreenOS在功能实现方面基本保持一致，但在功能配置上有较大区别，配置的主要差异在于ScreenOS的NAT与policy是绑定的，无论是MIP/VIP/DIP还是基于策略的NAT，在policy中均要体现出NAT内容（除了缺省基于untrust接口的Souec-NAT模式外），而SRX 的NAT则作为网络层面基础内容进行独立配置（独立定义地址映射的方向、映射关系及地址范围），Policy中不再包含NAT相关配置信息，这样的好处是易于理解、简化运维，当网络拓朴和NAT映射关系发生改变时，无需调整Policy配置内容。

SRX NAT和Policy执行先后顺序为：目的地址转换－目的地址路由查找－执行策略检查－源地址转换，结合这个执行顺序，在配置Policy时需注意：Policy中源地址应是转换前的源地址，而目的地址应该是转换后的目的地址，换句话说，Policy中的源和目的地址应该是源和目的两端的真实IP地址，这一点和ScreenOS存在区别，需要加以注意。

第 6 页 共 11 页

SRX中不再使用MIP/VIP/DIP这些概念，其中MIP被Static静态地址转换取代，两者在功能上完全一致；DIP被Source NAT取代；基于Policy的目的地址转换及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址转换被保留下来，但在SRX中不再是缺省模式（SRX中Trust Zone接口没有NAT模式概念），需要手工配置。类似ScreenOS，Static属于双向NAT，其他类型均属于单向NAT，

此外，SRX还多了一个proxy-arp概念，如果定义的IP Pool（可用于源或目的地址转换）与接口IP在同一子网时，需配置SRX对这个Pool内的地址提供ARP代理功能，这样对端设备能够解析到IP Pool地址的MAC地址（使用接口MAC地址响应对方），以便于返回报文能够送达SRX。下面是配置举例及相关说明：

2.3.1 Pool base Static NAT

NAT：

set security nat source rule-set trust-to-untrust from zone trust set security nat source rule-set trust-to-untrust to zone untrust

set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface Policy:

set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any

set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit

2.4 IPSEC VPN

SRX IPSEC VPN支持Site-to-Site VPN 和基于NS-remote的拨号VPN，和ScreenOS一样，site-to-site VPN也支持路由模式和Policy模式，在配置方面也和ScreenOS基本一致。SRX中的加密/验证算法在命名上和ScreenOS存在一些区别，配置过程中建议选择ike和ipsec的proposal

第 7 页 共 11 页

为 standard模式，standard中包含SRX支持的全部加密/验证算法，只要对端设备支持其中任何一种即可。SRX中通道接口使用st0接口，对应ScreenOS中的tunnel虚拟接口。

下面是图中左侧SRX基于路由方式IPSEC-VPN方式配置：

set security ike proposal ike-prop1 authentication-method pre-shared-keys set security ike proposal ike-prop1 dh-group group2

set security ike proposal ike-prop1 authentication-algorithm md5 set security ike proposal ike-prop1 encryption-algorithm des-cbc set security ike proposal ike-prop1 lifetime-seconds 86400

set security ipsec policy ipsec-dyn-vpn-policy perfect-forward-secrecy keys group2 set security ipsec policy ipsec-dyn-vpn-policy proposal-set compatible

2.5 HA模式

描述本项目中Juniper防火墙HA特有模式

Junos操作系统服务冗余协议(JSRP)是SRX系列的一个核心特性。利用JSRP，一对SRX系统能够轻松集成到一个高可用性网络架构，并在系统和相邻网络交换机之间提供冗余的物理连接。通过链接冗余，瞻博网络可以解决许多常见的系统故障，例如物理端口恶化或电缆松脱，从而保证连接的可用性，而不需要对整个系统进行故障切换。这与路由永续性协议典型的主用/备用特点是一致的。

当把SRX系列业务网关配置为一对高可用性的主用/主用网关时，会自动对流量和配置进行镜像，从而在发生故障时保持活跃的防火墙和VPN会话。此时，分支办事处SRX系列产品可同步配置和运行时信息。结果是，在故障切换期间，下列信息的同步是共享的：连接/会话状态和流量信息、IPSec安全关联、网络地址转换(NAT)流量、地址薄信息、配置变更等。与典型的路由器主用/备用永续性协议（如虚拟路由器冗余协议(VRRP)）相反的是，如果发生故障切换，全部动态流和会话信息都会丢失，必须重建。部分或全部网络会话必须重启，这取决于链接或节点的收敛时间。通过保持状态，不仅可保持会话，而且安全性也毫发无损。在不稳定网络中，这种主用/主用配置还能够减轻影响会话性能的链路摆动。 lab@ Juniper> show chassis cluster status Cluster ID: 1

Node Priority Status Preempt Manual failover

Redundancy group: 0 , Failover count: 1

第 8 页 共 11 页

node0 200 primary no no node1 100 secondary no no

Redundancy group: 1 , Failover count: 1

node0 200 primary yes no node1 100 secondary yes no

三、SRX防火墙常规操作与维护

3.1 设备关机

SRX因为主控板上有大容量硬盘，为防止强行断电关机造成硬件故障，要求设备关机必须按照下面的步骤进行操作：

1. 管理终端连接SRX console口。

2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 3. 在提示符下输入下面的命令：

user@host> request system halt

…

The operating system has halted.

Please press any key to reboot(除非需要重启设备，此时不要敲任何键，否则设备将进行重启)

4. 等待console输出上面提示信息后，确认操作系统已停止运行，关闭机箱背后电源模

块电源。

3.2 设备重启

SRX重启必须按照下面的步骤进行操作： 1. 管理终端连接SRX console口。

2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 3. 在提示符下输入下面的命令：

user@host> request system reboot 4. 等待console设备的输出，操作系统已经重新启动。

第 9 页 共 11 页

3.3 操作系统升级

SRX操作系统软件升级必须按照下面的步骤进行操作：

1. 管理终端连接SRX console口，便于升级过程中查看设备重启和软件加载状态。 2. SRX上开启FTP服务，并使用具有超级用户权限的非root用户通过FTP客户端将下

载的升级软件介质上传到SRX上。

3. 升级前，执行下面的命令备份旧的软件及设定：

user@host> request system snapshot 4. 加载新的SRX软件：

user@host> request system software add validate filename.tgz reboot

5. 软件加载成功后， SRX将自动重启，重启完成后检查系统当前软件版本号：

user@host> show system software

3.4 密码恢复

SRX Root密码丢失，并且没有其他的超级用户权限，那么就需要执行密码恢复，该操作需要中断设备正常运行，但不会丢失配置信息，这点与ScreenOS存在区别。

要进行密码恢复，请按照下面操作进行：

1. Console口连接SRX，然后重启SRX。

2. 在启动过程中，console上出现下面的提示的时候，按空格键中断正常启动方式，然后

再进入单用户状态，并输入：boot -s

Loading /boot/defaults/loader.conf /kernel data=… … syms=[… …]

Hit [Enter] to boot immediately, or space bar for command prompt. loader>

loader> boot -s

3. 执行密码恢复：在以下提示文字后输入recovery，设备将自动进行重启

Enter full pathname of shell or 'recovery' for root password recovery or RETURN for /bin/sh: recovery 4. 进入配置模式，删除root密码，并重现设置root密码：

user@host> configure

Entering configuration mode

user@host#delete system root-authentication

user@host#set system root-authentication plain-text-password user@host#New password:

user@host#Retype new password:

第 10 页 共 11 页

user@host# commit commit complete

3.5 常用监控维护命令

下列操作命令在操作模式下使用，或在配置模式下run show…

? Show system software 查看当前软件版本号 ? show system uptime 查看系统启动时间

? Show chassis haredware 查看硬件板卡及序列号 ? show chassis environment 查看硬件板卡当前状态

? show chassis routing-engine 查看主控板（RE）资源使用及状态 ? show route 查看路由表 ? show arp 查看ARP表 ? show log messages 查看系统日志

? show interface terse 查看所有接口运行状态 ? show interface ge-x/y/z detail 查看接口运行细节信息

? monitor interface ge-x/y/z 动态统计接口数据包转发信息

? monitor traffic interface ge-x/y/z 动态报文抓取（Tcpdump，类似ScreenOS snoop

命令）

? show security flow session summary 查看当前防火墙并发会话数 ? show security flow session 查看当前防火墙具体并发会话 ? clear security flow session all 清除当前session

? show security alg status 检查全局ALG开启情况

? SRX对应ScreenOS debug flow basic跟踪报文处理路径的命令：

? set security flow traceoptions flag basic-datapath 开启SRX基本报文处理Debug ? set security flow traceoptions file filename.log 将输出信息记录到指定文件中 ? set security flow traceoptions file filename.log size 设置该文件大

小，缺省128k

? set security flow traceoptions packet-filter filter1 destination-prefix 5.5.5.2

设置报文跟踪过滤器

? run file show filename.log 查看该Log输出信息

? SRX对应ScreenOS get tech命令，开Case时需要抓取的信息：request support

information

第 11 页 共 11 页

user@host# commit commit complete

3.5 常用监控维护命令

下列操作命令在操作模式下使用，或在配置模式下run show…

? Show system software 查看当前软件版本号 ? show system uptime 查看系统启动时间

? Show chassis haredware 查看硬件板卡及序列号 ? show chassis environment 查看硬件板卡当前状态

? show chassis routing-engine 查看主控板（RE）资源使用及状态 ? show route 查看路由表 ? show arp 查看ARP表 ? show log messages 查看系统日志

? show interface terse 查看所有接口运行状态 ? show interface ge-x/y/z detail 查看接口运行细节信息

? monitor interface ge-x/y/z 动态统计接口数据包转发信息

? monitor traffic interface ge-x/y/z 动态报文抓取（Tcpdump，类似ScreenOS snoop

命令）

? show security flow session summary 查看当前防火墙并发会话数 ? show security flow session 查看当前防火墙具体并发会话 ? clear security flow session all 清除当前session

? show security alg status 检查全局ALG开启情况

? SRX对应ScreenOS debug flow basic跟踪报文处理路径的命令：

? set security flow traceoptions flag basic-datapath 开启SRX基本报文处理Debug ? set security flow traceoptions file filename.log 将输出信息记录到指定文件中 ? set security flow traceoptions file filename.log size 设置该文件大

小，缺省128k

? set security flow traceoptions packet-filter filter1 destination-prefix 5.5.5.2

设置报文跟踪过滤器

? run file show filename.log 查看该Log输出信息

? SRX对应ScreenOS get tech命令，开Case时需要抓取的信息：request support

information

第 11 页 共 11 页

本文来源：https://www.bwwdw.com/article/5t5w.html