資源描述:
《juniper srx防火墻簡(jiǎn)明配置手冊(cè)》由會(huì)員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�����。
1����、JuniperSRX防火墻簡(jiǎn)明配置手冊(cè)?SRX系列防火墻是Juniper公司基于JUNOS操作系統(tǒng)的安全系列產(chǎn)品,JUNOS集成了路由、交換���、安全性和一系列豐富的網(wǎng)絡(luò)服務(wù)�����。目前Juniper公司的全系列路由器產(chǎn)品���、交換機(jī)產(chǎn)品和SRX安全產(chǎn)品均采用統(tǒng)一源代碼的JUNOS操作系統(tǒng),JUNOS是全球首款將轉(zhuǎn)發(fā)與控制功能相隔離���,并采用模塊化軟件架構(gòu)的網(wǎng)絡(luò)操作系統(tǒng)���。JUNOS作為電信級(jí)產(chǎn)品的精髓是Juniper真正成功的基石,它讓企業(yè)級(jí)產(chǎn)品同樣具有電信級(jí)的不間斷運(yùn)營(yíng)特性�����,更好的安全性和管理特性���,JUNOS軟件創(chuàng)新的分布式架構(gòu)為高性能�、高可用�����、高可擴(kuò)展的網(wǎng)絡(luò)奠定了基礎(chǔ)?;贜P
2、架構(gòu)的SRX系列產(chǎn)品產(chǎn)品同時(shí)提供性能優(yōu)異的防火墻���、NAT、IPSEC���、IPS���、SSLVPN和UTM等全系列安全功能,其安全功能主要來源于已被廣泛證明的ScreenOS操作系統(tǒng)��。???本文旨在為熟悉Netscreen防火墻ScreenOS操作系統(tǒng)的工程師提供SRX防火墻參考配置��,以便于大家能夠快速部署和維護(hù)SRX防火墻�����,文檔介紹JUNOS操作系統(tǒng)����,并參考ScreenOS配置介紹SRX防火墻配置方法��,最后對(duì)SRX防火墻常規(guī)操作與維護(hù)做簡(jiǎn)要說明���。一、JUNOS操作系統(tǒng)介紹1.1層次化配置結(jié)構(gòu)JUNOS采用基于FreeBSD內(nèi)核的軟件模塊化操作系統(tǒng)���,支持CLI命令行和WEB
3����、UI兩種接口配置方式���,本文主要對(duì)CLI命令行方式進(jìn)行配置說明���。JUNOSCLI使用層次化配置結(jié)構(gòu),分為操作(operational)和配置(configure)兩類模式��,在操作模式下可對(duì)當(dāng)前配置���、設(shè)備運(yùn)行狀態(tài)�����、路由及會(huì)話表等狀態(tài)進(jìn)行查看及設(shè)備運(yùn)維操作�����,并通過執(zhí)行config或edit命令進(jìn)入配置模式����,在配置模式下可對(duì)各相關(guān)模塊進(jìn)行配置并能夠執(zhí)行操作模式下的所有命令(run)。在配置模式下JUNOS采用分層分級(jí)模塊下配置結(jié)構(gòu)��,如下圖所示��,edit命令進(jìn)入下一級(jí)配置(類似unixcd命令),exit命令退回上一級(jí)��,top命令回到根級(jí)�。?1.2JunOS配置管理JUNOS
4�����、通過set語句進(jìn)行配置�,配置輸入后并不會(huì)立即生效,而是作為候選配置(CandidateConfig)等待管理員提交確認(rèn)�,管理員通過輸入commit命令來提交配置,配置內(nèi)容在通過SRX語法檢查后才會(huì)生效��,一旦commit通過后當(dāng)前配置即成為有效配置(Activeconfig)����。另外�,JUNOS允許執(zhí)行commit命令時(shí)要求管理員對(duì)提交的配置進(jìn)行兩次確認(rèn)����,如執(zhí)行commitconfirmed2命令要求管理員必須在輸入此命令后2分鐘內(nèi)再次輸入commit以確認(rèn)提交,否則2分鐘后配置將自動(dòng)回退�����,這樣可以避免遠(yuǎn)程配置變更時(shí)管理員失去對(duì)SRX的遠(yuǎn)程連接風(fēng)險(xiǎn)��。?在執(zhí)行commit
5�����、命令前可通過配置模式下show命令查看當(dāng)前候選配置(CandidateConfig)�����,在執(zhí)行commit后配置模式下可通過runshowconfig命令查看當(dāng)前有效配置(Activeconfig)�����。此外可通過執(zhí)行show?
6、?compare比對(duì)候選配置和有效配置的差異�����。?SRX上由于配備大容量硬盤存儲(chǔ)器��,缺省按先后commit順序自動(dòng)保存50份有效配置�,并可通過執(zhí)行rolback和commit命令返回到以前配置(如rollback0/commit可返回到前一commit配置);也可以直接通過執(zhí)行saveconfigname.conf手動(dòng)保存當(dāng)前配置��,并執(zhí)行l(wèi)oado
7�����、verrideconfigname.conf/commit調(diào)用前期手動(dòng)保存的配置���。執(zhí)行l(wèi)oadfactory-default/commit命令可恢復(fù)到出廠缺省配置��。?SRX可對(duì)模塊化配置進(jìn)行功能關(guān)閉與激活,如執(zhí)行deactivatesecuritynat/comit命令可使NAT相關(guān)配置不生效�,并可通過執(zhí)行activatesecuritynat/commit使NAT配置再次生效。?SRX通過set語句來配置防火墻�����,通過delete語句來刪除配置��,如deletesecuritynat和editsecuritynat/delete一樣,均可刪除security防火墻層級(jí)
8�����、下所有NAT相關(guān)配置�,刪除配置和ScreenOS不同,配置過程中需加以留意���。?1.3SRX主要配置內(nèi)容部署SRX防火墻主要有以下幾個(gè)方面需要進(jìn)行配置:System:主要是系統(tǒng)級(jí)內(nèi)容配置�����,如主機(jī)名����、管理員賬號(hào)口令及權(quán)限�����、時(shí)鐘時(shí)區(qū)����、Syslog、SNMP、系統(tǒng)級(jí)開放的遠(yuǎn)程管理服務(wù)(如telnet)等內(nèi)容��。Interface:接口相關(guān)配置內(nèi)容����。Security:是SRX防火墻的主要配置內(nèi)容,安全相關(guān)部分內(nèi)容全部在Security層級(jí)下完成配置���,如NAT����、Zone����、Policy、Address-book����、Ipsec、Screen���、Idp等,可簡(jiǎn)單理解為ScreenOS防
