Juniper SRX 防火墙配置手册一、JUNOS 操作系统介绍 1.1 层次化配置结构 JUNOS 采用基于 FreeBSD 内核的软件模块化操作系统，支持 CLI 命令行和 WEBUI 两种接口配置方式，本文主要对 CLI 命令行方式进行配置说明。 JUNOS CLI 使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行 config 或 edit 命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run） 。在配置模式下 JUNOS 采用分层分级模块下配置结构，如下图所示，edit 命令进入下一级配置（类似unix cd 命令）,exit 命令退回上一级，top 命令回到根级。1.2 JunOS 配置管理 JUNOS 通过 set 语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate Config）等待管理员提交确认，管理员通过输入 commit 命令来提交配置，配置内容在通过 SRX语法检查后才会生效，一旦 commit 通过后当前配置即成为有效配置（ Active config） 。另外，JUNOS 允许执行 commit 命令时要求管理员对提交的配置进行两次确认，如执行 commit confirmed 2 命令要求管理员必须在输入此命令后 2 分钟内再次输入 commit 以确认提交，否则2 分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对 SRX 的远程连接风险。在执行 commit 命令前可通过配置模式下 show 命令查看当前候选配置（Candidate Config） ，在执行 commit 后配置模式下可通过 run show config 命令查看当前有效配置（ Active config） 。此外可通过执行 show | compare 比对候选配置和有效配置的差异。 SRX 上由于配备大容量硬盘存储器，缺省按先后 commit 顺序自动保存 50 份有效配置，并可通过执行 rolback 和 commit 命令返回到以前配置（如 rollback 0/commit 可返回到前一 commit配置） ；也可以直接通过执行 save configname.conf 手动保存当前配置，并执行 load override configname.conf / commit 调用前期手动保存的配置。执行 load factory-default / commit 命令可恢复到出厂缺省配置。 SRX 可对模块化配置进行功能关闭与激活，如执行 deactivate security nat/comit 命令可使 NAT相关配置不生效，并可通过执行 activate security nat/commit 使 NAT 配置再次生效。 SRX 通过 set 语句来配置防火墙，通过 delete 语句来删除配置，如 delete security nat 和 edit security nat / delete 一样，均可删除 security 防火墙层级下所有 NAT 相关配置，删除配置和ScreenOS 不同，配置过程中需加以留意。1.3 SRX 主要配置内容 部署 SRX 防火墙主要有以下几个方面需要进行配置： System：主要是系统级内容配置，如主机名、管理员账号口令及权限、时钟时区、Syslog、 SNMP、系统级开放的远程管理服务（如 telnet）等内容。 Interface:接口相关配置内容。 Security: 是 SRX 防火墙的主要配置内容，安全相关部分内容全部在 Security 层级下完成配置，如 NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp 等，可简单理解为 ScreenOS 防火墙安全相关内容都迁移至此配置层次下，除了 Application 自定义服务。 Application：自定义服务单独在此进行配置，配置内容与 ScreenOS 基本一致。 routing-options： 配置静态路由或 router-id 等系统全局路由属性配置。二、SRX 防火墙配置对照说明 策略处理流程图2.1 初始安装 2.1.1 登陆 Console 口(通用超级终端缺省配置)连接 SRX，root 用户登陆，密码为空 login: root Password: - JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTC root% cli / /进入操作模式root root configure /进入配置模式edit Root# 2.1.2 设置 root 用户口令 设置 root 用户口令 root# set system root-authentication plain-text-password root# new password : root123 root# retype new password: root123 editroot# set system login class super-user idle-timeout 3 设置当前用户超时时间密码将以密文方式显示 root# show system root-authentication encrypted-password $1$xavDeUe6$fNM6olGU.8.M7B62u05D6.; # SECRET-DATA注意：强烈建议不要使用其它加密选项来加密 root 和其它 user 口令(如 encrypted-password 加密方式)，此配置参数要求输入的口令应是经加密算法加密后的字符串，采用这种加密方式手工输入时存在密码无法通过验证风险。 2.1.3 设置远程登陆管理用户 root# set system login user lab class super-user authentication plain-text-password /创建用户 labroot# new password : lab123 /配置用户 lab 密码root# retype new password: lab123 注：此 lab 用户拥有超级管理员权限，可用于 console 和远程管理访问，另也可自行灵活定义其它不同管理权限用户。2.1.4 管理 SRX 相关配置rootshow system uptime /查看时间root#run set date YYYYMMDDhhmm.ss /设置系统时钟root#set system time-zone Asia/beijing /设置时区为北京root#set system host-name SRX3400-A /设置主机名root#set system name-server 1.1.1.1 /设置 DNS 服务器root#set system ntp server 202.120.2.101 /设置 NTP 服务器rootshow ntp associations rootshow ntp status /查看 NTProotshow security alg status /查看 ALG 状态ALG Status :DNS : EnabledFTP : EnabledH323 : EnabledMGCP : EnabledMSRPC : EnabledPPTP : EnabledRSH : EnabledRTSP : EnabledSCCP : EnabledSIP : EnabledSQL : EnabledSUNRPC : EnabledTALK : EnabledTFTP : EnabledIKE-ESP : Disabledroot#set system services ftp root#set system services telnet root#set system services web-management http /在系统级开启 ftp/telnet/http 远程接入管理服务rootrequest system reboot /重启系统rootrequest system power-off / 关闭系统rootshow version /查看版本信息Model: srx210bJUNOS Software Release 10.4R5.5rootshow system uptime /查看系统启动时间 Current time: 2011-08-11 05:09:15 UTCSystem booted: 2011-08-11 01:12:48 UTC (03:56:27 ago)Protocols started: 2011-08-11 01:15:28 UTC (03:53:47 ago)Last configured: 2011-08-11 03:11:08 UTC (01:58:07 ago) by root5:09AM up 3:56, 1 user, load averages: 0.01, 0.02, 0.00rootShow chassis haredware /查看硬件板卡及序列号 Hardware inventory:Item Version Part number Serial number DescriptionChassis AC5210AA0079 SRX210bRouting Engine REV 40 750-021778 AACN5249 RE-SRX210BFPC 0 FPCPIC 0 2x GE, 6x FE, 1x 3GPower Supply 0root show chassis environment /查看硬件板卡当前状态 Class Item Status MeasurementTemp Routing Engine OK 52 degrees C / 125 degrees FRouting Engine CPU Absent Fans SRX210 Chassis fan OK Spinning at normal speedPower Power Supply 0 OK rootshow chassis routing-engine /查看主控板（RE）资源使用及状态Routing Engin