Juniper SRX防火墙配置手册一、JUNOS操作系统介绍层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。
JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。
在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。
JunOS配置管理JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(CandidateConfig)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。
另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行commit后配置模式下可通过run show config命令查看当前有效配置(Active config)。
此外可通过执行show | compare比对候选配置和有效配置的差异。
SRX上由于配备大容量硬盘存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback 0/commit可返回到前一commit配置);也可以直接通过执行save 手动保存当前配置,并执行load override / commit调用前期手动保存的配置。
执行load factory-default / commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/comit命令可使NAT相关配置不生效,并可通过执行activate security nat/commit使NAT 配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
SRX主要配置内容部署SRX防火墙主要有以下几个方面需要进行配置:System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。
Interface:接口相关配置内容。
Security: 是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。
Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。
routing-options:配置静态路由或router-id等系统全局路由属性配置。
二、SRX防火墙配置对照说明策略处理流程图初始安装登陆Console口(通用超级终端缺省配置)连接SRX,root用户登陆,密码为空login: rootPassword:--- JUNOS built 2009-07-16 15:04:30 UTCroot% cli / /进入操作模式root>root> configure Use <no-resolve> to avoid any reverse lookup delay.Address resolution timeout is 4s.Listening on ge-0/0/, capture size 96 bytesReverse lookup for failed (check DNS reachability).Other reverse lookup failures will not be reported.Use <no-resolve> to avoid reverse lookups on IP addresses.05:41: In arp who-has tell05:41: In arp who-has tell05:41: In arp who-has tell05:41: In IPX :13:8f:74:bc: > :ff:ff:ff:ff:: ipx-netbios 50 05:41: In arp who-has tell05:41: Out IP truncated-ip - 10 bytes missing! .55730 > 51866+[|domain]05:41: In STP , Config, Flags [none], bridge-id :06:53:48:8a:, length 4305:41: In IPX :13:8f:74:bc: > :ff:ff:ff:ff:: ipx-netbios 50接口的初始化接口说明:root% cli 24edit 配置直接指定到某个层级:[edit ]root#edit interfaces ge-0/0/ family inetset system name-serverset system login user lab uid 2002set system login user lab class super-userset system login user lab authentication encrypted-password "$1$Y0X8gbap$."set system services sshset system services telnetset system services web-management http interfaceset system services web-management http interface ge-0/0/set system services web-management http interfaceset system services web-management http interface ge-0/0/set system services web-management http interface fe-0/0/set system services web-management https system-generated-certificateset system services web-management https interfaceset system services web-management https interface ge-0/0/set system syslog file nat-log any anyset system syslog file nat-log match RT_FLOW_SESSION set system syslog file monitor-log any anyset system syslog file monitor-log match---(more)---基本提交与恢复配置命令:root#commit ; ## SECRET-DATA+ encrypted-password "$1$PRX8HyIJ$"; ## SECRET-DATA [edit system services web-management http]- interface [ ge-0/0/ ge-0/0/ fe-0/0/ ];+ interface [ ge-0/0/ ge-0/0/ fe-0/0/ ];[edit interfaces]+ fe-0/0/4 {+ unit 0 {+ family inet;+ family ethernet-switching;+ }+ }[edit security zones security-zone inside interfaces] { ... }+ fe-0/0/ {+ host-inbound-traffic {+ system-services {+ http;+ }+ }+ }- fe-0/0/ {- host-inbound-traffic {- system-services {- http;root#rollback / /查看可恢复的配置(注意:使用load facroty-default命令恢复到出厂配置)Possible completions:<[Enter]> Execute this command0 2011-08-11 03:11:08 UTC by lab via cli1 2011-08-10 09:39:44 UTC by lab via cli2 2011-08-10 07:48:34 UTC by lab via cli3 2011-08-10 07:40:08 UTC by lab via cli4 2011-08-10 07:36:20 UTC by lab via cli5 2011-08-10 07:31:18 UTC by lab via cli6 2011-08-10 07:25:45 UTC by lab via cli7 2011-08-10 07:21:26 UTC by lab via cli8 2011-08-10 07:20:15 UTC by lab via cli9 2011-08-10 06:51:14 UTC by lab via cli10 2011-08-10 06:50:16 UTC by lab via cli11 2011-08-10 06:31:23 UTC by lab via cli12 2011-08-10 06:29:02 UTC by lab via cli [abort]---(more 42%)---[edit]root#rollback 4置Bridge Domains桥接域(Bridge Domains):属于同一泛洪或广播域的一组逻辑接口。