資源描述:
《juniper srx防火墻簡明配置手冊》由會員上傳分享���,免費在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫���。
1、JuniperSRX防火墻簡明配置手冊?SRX系列防火墻是Juniper公司基于JUNOS操作系統(tǒng)的安全系列產(chǎn)品�,JUNOS集成了路由、交換�、安全性和一系列豐富的網(wǎng)絡(luò)服務(wù)�����。目前Juniper公司的全系列路由器產(chǎn)品����、交換機產(chǎn)品和SRX安全產(chǎn)品均采用統(tǒng)一源代碼的JUNOS操作系統(tǒng)��,JUNOS是全球首款將轉(zhuǎn)發(fā)與控制功能相隔離��,并采用模塊化軟件架構(gòu)的網(wǎng)絡(luò)操作系統(tǒng)����。JUNOS作為電信級產(chǎn)品的精髓是Juniper真正成功的基石,它讓企業(yè)級產(chǎn)品同樣具有電信級的不間斷運營特性�,更好的安全性和管理特性����,JUNOS軟件創(chuàng)新的分布式架構(gòu)為高性能、高可用����、高可擴展的網(wǎng)絡(luò)奠定了基礎(chǔ)?;贜
2���、P架構(gòu)的SRX系列產(chǎn)品產(chǎn)品同時提供性能優(yōu)異的防火墻、NAT����、IPSEC、IPS�、SSLVPN和UTM等全系列安全功能,其安全功能主要來源于已被廣泛證明的ScreenOS操作系統(tǒng)�����。???本文旨在為熟悉Netscreen防火墻ScreenOS操作系統(tǒng)的工程師提供SRX防火墻參考配置�����,以便于大家能夠快速部署和維護SRX防火墻���,文檔介紹JUNOS操作系統(tǒng)�����,并參考ScreenOS配置介紹SRX防火墻配置方法�,最后對SRX防火墻常規(guī)操作與維護做簡要說明���。一���、JUNOS操作系統(tǒng)介紹1.1層次化配置結(jié)構(gòu)JUNOS采用基于FreeBSD內(nèi)核的軟件模塊化操作系統(tǒng)�,支持CLI命令行和W
3��、EBUI兩種接口配置方式����,本文主要對CLI命令行方式進行配置說明。JUNOSCLI使用層次化配置結(jié)構(gòu)���,分為操作(operational)和配置(configure)兩類模式�,在操作模式下可對當前配置���、設(shè)備運行狀態(tài)�����、路由及會話表等狀態(tài)進行查看及設(shè)備運維操作,并通過執(zhí)行config或edit命令進入配置模式����,在配置模式下可對各相關(guān)模塊進行配置并能夠執(zhí)行操作模式下的所有命令(run)�����。在配置模式下JUNOS采用分層分級模塊下配置結(jié)構(gòu)��,如下圖所示�,edit命令進入下一級配置(類似unixcd命令),exit命令退回上一級���,top命令回到根級�����。?1.2JunOS配置管理JU
4��、NOS通過set語句進行配置��,配置輸入后并不會立即生效��,而是作為候選配置(CandidateConfig)等待管理員提交確認����,管理員通過輸入commit命令來提交配置��,配置內(nèi)容在通過SRX語法檢查后才會生效��,一旦commit通過后當前配置即成為有效配置(Activeconfig)。另外��,JUNOS允許執(zhí)行commit命令時要求管理員對提交的配置進行兩次確認��,如執(zhí)行commitconfirmed2命令要求管理員必須在輸入此命令后2分鐘內(nèi)再次輸入commit以確認提交�����,否則2分鐘后配置將自動回退�����,這樣可以避免遠程配置變更時管理員失去對SRX的遠程連接風(fēng)險�。?在執(zhí)行co
5、mmit命令前可通過配置模式下show命令查看當前候選配置(CandidateConfig)��,在執(zhí)行commit后配置模式下可通過runshowconfig命令查看當前有效配置(Activeconfig)���。此外可通過執(zhí)行show?
6�、?compare比對候選配置和有效配置的差異�。?SRX上由于配備大容量硬盤存儲器,缺省按先后commit順序自動保存50份有效配置����,并可通過執(zhí)行rolback和commit命令返回到以前配置(如rollback0/commit可返回到前一commit配置);也可以直接通過執(zhí)行saveconfigname.conf手動保存當前配置���,并執(zhí)行
7��、loadoverrideconfigname.conf/commit調(diào)用前期手動保存的配置����。執(zhí)行l(wèi)oadfactory-default/commit命令可恢復(fù)到出廠缺省配置�����。?SRX可對模塊化配置進行功能關(guān)閉與激活���,如執(zhí)行deactivatesecuritynat/comit命令可使NAT相關(guān)配置不生效�,并可通過執(zhí)行activatesecuritynat/commit使NAT配置再次生效���。?SRX通過set語句來配置防火墻����,通過delete語句來刪除配置�,如deletesecuritynat和editsecuritynat/delete一樣,均可刪除securit
8、y防火墻層級下所有NAT相關(guān)配置�,刪除配置和ScreenOS不同,配置過程中需加以留意��。?1.3SRX主要配置內(nèi)容部署SRX防火墻主要有以下幾個方面需要進行配置:System:主要是系統(tǒng)級內(nèi)容配置����,如主機名、管理員賬號口令及權(quán)限���、時鐘時區(qū)����、Syslog��、SNMP����、系統(tǒng)級開放的遠程管理服務(wù)(如telnet)等內(nèi)容。Interface:接口相關(guān)配置內(nèi)容���。Security:是SRX防火墻的主要配置內(nèi)容�,安全相關(guān)部分內(nèi)容全部在Security層級下完成配置����,如NAT���、Zone�����、Policy���、Address-book����、Ipsec�����、Screen����、Idp等,可簡單理解為Scre
9�����、enOS防
