Juniper SRX Branch系列防火墙配置管理手册
Juniper SRX Branch系列防火墙配置管理手册 Juniper 系统工程师
Juniper Networks, Inc.
上海市淮海中路333号瑞安广场1102-1104室
邮编:200021
电话:61415000
https://www.sodocs.net/doc/a79842120.html,
目录
一、JUNOS操作系统介绍 (3)
1.1 层次化配置结构 (3)
1.2 JunOS配置管理 (4)
1.3 SRX主要配置内容 (4)
二、SRX防火墙配置操作举例说明 (5)
2.1 初始安装 (5)
2.1.1 设备登陆 (5)
2.1.2 设备恢复出厂介绍 (5)
2.1.3 设置root用户口令 (5)
2.1.4 设置远程登陆管理用户 (6)
2.1.5 远程管理SRX相关配置 (6)
2.2 配置操作实验拓扑 (7)
2.3 策略相关配置说明 (7)
2.3.1 策略地址对象定义 (8)
2.3.2 策略服务对象定义 (8)
2.3.3 策略时间调度对象定义 (8)
2.3.4 策略配置举例 (9)
2.4 地址转换 (10)
2.4.1 Interface based NAT 基于接口的源地址转换 (10)
2.4.2 Pool based Source NAT基于地址池的源地址转换 (11)
2.4.3 Pool base destination NAT基于地址池的目标地址转换 (12)
2.4.4 Pool base Static NAT基于地址池的静态地址转换 (13)
2.5 IPSEC VPN (13)
2.5.1 基于路由的LAN TO LAN IPSEC VPN (14)
2.5.2 基于策略的LAN TO LAN IPSEC VPN (15)
2.5.3 基于Remote VPN 客户端拨号VPN (16)
2.5.4 基于IPSEC动态VPN (24)
2.6 应用层网关ALG配置及说明 (29)
2.7 SRX Branch 系列JSRP HA高可用性配置及说明 (29)
2.8 SRX Branch 系列IDP、UTM配置操作介绍 (33)
2.9 SRX Branch 系列与UAC联动配置说明 (38)
2.10 SRX Branch系列FLOW配置说明 (42)
2.11 SRX Branch系列SCREEN攻击防护配置说明 (43)
2.12 SRX Branch系列J-WEB操作配置简要说明 (44)
三、SRX防火墙常规操作与维护 (50)
3.2 设备关机 (50)
3.3 设备重启 (50)
3.4 操作系统升级 (50)
3.5 密码恢复 (51)
3.6 常用监控维护命令 (51)
Juniper SRX Branch系列防火墙配置管理手册说明
SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。
鉴于SRX系列防火墙低端
一、JUNOS操作系统介绍
1.1 层次化配置结构
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。
1.2 JunOS配置管理
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行commit后配置模式下可通过run show config命令查看当前有效配置(Active config)。此外可通过执行show | compare 比对候选配置和有效配置的差异。
SRX上由于配备大容量存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback 0/commit可返回到前一commit配置);也可以直接通过执行save configname.conf手动保存当前配置,并执行load override configname.conf / commit调用前期手动保存的配置。执行load factory-default / commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/comit命令可使NAT相关配置不生效,并可通过执行activate security nat/commit使NAT配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete 一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
1.3 SRX主要配置内容
部署SRX防火墙主要有以下几个方面需要进行配置:
System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。
Interface:接口相关配置内容。
Security:是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp、UTM等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。
Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。
routing-options:配置静态路由或router-id等系统全局路由属性配置。
二、SRX防火墙配置操作举例说明
2.1 初始安装
2.1.1 设备登陆
Console口(通用超级终端缺省配置)连接SRX,root用户登陆,密码为空<初始第一次登陆>
login: root
Password:
--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTC
root% cli /***进入操作模式***/
root>
root> configure
Entering configuration mode /***进入配置模式***/
[edit]
Root#
2.1.2 设备恢复出厂介绍
首先根据上述操作进入到配置模式,执行下列命令:
root# load factory-default
warning: activating factory configuration /***系统激活出厂配置***/
恢复出厂后,必须立刻设置ROOT帐号密码<默认密码至少6位数:字母加数字>
root# set system root-authentication plain-text-password
New password:
当设置完ROOT帐号密码以后,进行保存激活配置
root# commit
commit complete
在此需要提醒配置操作员注意,系统恢复出厂后并不代表没有任何配置,系统缺省配置有Screen\DHCP\Policy 等相关配置,你如果需要完整的删除,可以执行命令delete 删除相关配置。通过show 来查看系统是否还有遗留不需要的配置,可以一一进行删除,直到符合你的要求,然后再重新根据实际需求进行配置。
2.1.3 设置root用户口令
设置root用户口令
root# set system root-authentication plain-text-password
root# new password : root123
root# retype new password: root123
密码将以密文方式显示
root# show system root-authentication
encrypted-password "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA
注意:强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式),此配置参数要求输入的口令是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。注:root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执行commit提交后续配置命令。
2.1.4 设置远程登陆管理用户
root# set system login user lab class super-user authentication plain-text-password
root# new password : lab123
root# retype new password: lab123
注:此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
2.1.5 远程管理SRX相关配置
run set date YYYYMMDDhhmm.ss/***设置系统时钟***/
set system time-zone Asia/Shanghai/***设置时区为上海***/
set system host-name SRX-650-1/***设置主机名***/
set system name-server 1.1.1.1 /***设置DNS服务器***/
set system services ftp
set system services telnet
set system services web-management http
/***在系统级开启ftp/telnet/http远程接入管理服务***/
set interfaces ge-0/0/0.0 family inet address 10.1.1.1/24
或
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24
set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/24
set routing-options static route 0.0.0.0/0 next-hop 192.168.1.1
/***配置逻辑接口地址及缺省路由,SRX接口要求IP地址必须配置在逻辑接口下(类似ScreenOS的子接口),通常使用逻辑接口0即可***/
set security zones security-zone untrust interfaces ge-0/0/0.0
/***将ge-0/0/0.0接口放到安全区域中,类似ScreenOS***/
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust host-inbound-traffic system-services http
set security zones security-zone untrust host-inbound-traffic system-services telnet
/***在untrust zone打开允许远程登陆管理服务,ScreenOS要求基于接口开放服务,SRX要求基于Zone开放,从SRX主动访问出去流量开启服务,类似ScreenOS***/
本次实验拓扑中使用的设备的版本如下:
SRX100-HM系统版本与J-WEB版本均为:10.1.R2.8
SSG防火墙版本为6.1.0R7
测试客户端包含WINDOWS7\XP
2.2 配置操作实验拓扑
2.3 策略相关配置说明
安全设备的缺省行为是拒绝安全区段之间的所有信息流 ( 区段之间信息流)允许绑定到同一区段的接口间的所有信息流 ( 区段内部信息流)。为了允许选定的区段之间信息流通过安全设备,必须创建覆盖缺省行为的区段之间策略。同样,为了防止选定的区段内部信息流通过安全设备,必须创建区段内部策略。
基本元素
允许、拒绝或设置两点间指定类型单向信息流通道的策略。信息流 ( 或“服务”)的类型、两端点的位置以及调用的动作构成了策略的基本元素。尽管可以有其它组件,但是共同构成策略核心部分的必要元素如下:
策略名称 - 两个安全区段间 ( 从源区段到目的区段) 间信息流的方向 /***必须配置***/
源地址 - 信息流发起的地址 /***必须配置***/
目标地址 - 信息流发送到的地址 /***必须配置***/
服务 - 信息流传输的类型 /***必须配置***/
动作 - 安全设备接收到满足头四个标准的信息流时执行的动作 /***必须配置***/
这些动作为:deny、permit、reject 或 tunnel
注意tunnel、firewall-authentication、application-services
> Firewall-authentication
> tunnel 另外还包括其他的策略元素,比如记录日志、流量统计、时间调度对象等
三种类型的策略
可通过以下三种策略控制信息流的流动:
通过创建区段之间策略,可以管理允许从一个安全区段到另一个安全区段的信息流的种类。
通过创建区段内部策略,也可以控制允许通过绑定到同一区段的接口间的信息流的类型。
通过创建全局策略,可以管理地址间的信息流,而不考虑它们的安全区段。
2.3.1 策略地址对象定义
SRX服务网关地址对象需要自定义后才可以在策略中进行引用,默认只有any对象
自定义单个地址对象如下:
root# set security zones security-zone trust address-book address pc-1 20.1.1.200/32
root# set security zones security-zone trust address-book address pc-2 20.1.1.210/32
自定义单个地址组对象如下:
set security zones security-zone trust address-book address-set pc-group address pc-1
set security zones security-zone trust address-book address-set pc-group address pc-2
2.3.2 策略服务对象定义
SRX服务网关部分服务对象需要自定义后才可以在策略中进行引用,默认仅有预定义常用服务对象
自定义单个服务对象如下:
set applications application tcp-3389 protocol tcp 定义服务对象协议
set applications application tcp-3389 destination-port 3389-3389定义服务对象目标地址
set applications application tcp-3389 inactivity-timeout never 可选定义服务对象timeout时长set applications application tcp-8080 protocol tcp
set applications application tcp-8080 source-port 1-65535
set applications application tcp-8080 destination-port 8080-8080
set applications application tcp-8080 inactivity-timeout 3600
自定义单个服务组对象如下:
set applications application-set aaplications-group application tcp-8080
set applications application-set aaplications-group application tcp-3389
2.3.3 策略时间调度对象定义
SRX服务网关时间调度对象需要自定义后才可以在策略中进行引用,默认没有预定义时间调度对象
自定义单个时间调度对象如下:
set schedulers scheduler work-time daily start-time 09:00:00 stop-time 18:00:00
set schedulers scheduler happy-time sunday start-time 00:00:00 stop-time 23:59:59
set schedulers scheduler happy-time saturday start-time 00:00:00 stop-time 23:59:59
注意:时间调度服务生效参考设备系统时间,所以需要关注设备系统时间是否正常。
2.3.4 策略配置举例
Policy配置方法与ScreenOS基本一致,仅在配置命令上有所区别,其中策略的允许/拒绝的动作(Action)需
要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上配置语句)。Policy需要手动配置policy name,policy name可以是字符串,也可以是数字(与ScreenOS的policy ID类似,只不过需要手工指定)。
首先需要注意系统缺省策略配置:
root# show security policies default-policy 查看当前系统缺省策略动作
root# set security policies default-policy ? 设置系统缺省策略动作
Possible completions:
deny-all Deny all traffic if no policy match
permit-all Permit all traffic if no policy match
根据实验拓扑进行策略配置举例说明
set security zones security-zone trust address-book address pc1 20.1.1.200/32
set security zones security-zone untrust address-book address server1 192.168.1.200/32
/***与ScreenOS一样,在trust和untrust zone下分别定义地址对象便于策略调用,地址对象的名称可以是
地址/掩码形式***/
set security zones security-zone trust address-book address-set addr-group1 address pc1
/***在trust zone下定义名称为add-group1的地址组,并将pc1地址放到该地址组中***/
Set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application any
set security policies from-zone trust to-zone untrust policy 001 then permit
/***定义从trust 到untrust方向permit策略,允许addr-group1组的源地址访问server1地址any服务***/ set security policies from-zone trust to-zone untrust policy 001 then log session-init
set security policies from-zone trust to-zone untrust policy 001 then log session-close
set security policies from-zone trust to-zone untrust policy 001 then count
<可选配置>/***定义从trust 到untrust方向策略,针对当前策略记录日志并统计策略流量
root# set security policies from-zone trust to-zone untrust policy 001 scheduler-name happy-time root# set security policies from-zone trust to-zone dmz policy 001 scheduler-name work-time
<可选配置>/***定义当前策略,引用时间调度对象,符合时间条件策略生效,否则策略将处于非工作状态
root# set security policies from-zone trust to-zone untrust policy t-u then permit application-services ?
Possible completions:
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
gprs-gtp-profile Specify GPRS Tunneling Protocol profile name
idp Intrusion detection and prevention
redirect-wx Set WX redirection
reverse-redirect-wx Set WX reverse redirection
uac-policy Enable unified access control enforcement of policy
utm-policy Specify utm policy name
[edit]
<可选配置>/***定义当前策略,选择是否客气IDP\UAC\UTM等操作,如果针对策略开启相应的检查,请先定义好
相应的功能。
2.4 地址转换
SRX NAT较ScreenOS在功能实现方面基本保持一致,但在功能配置上有较大区别,配置的主要差异在于ScreenOS 的NAT与policy是绑定的,无论是MIP/VIP/DIP还是基于策略的NAT,在policy中均要体现出NAT内容(除了缺省基于untrust接口的Souec-NAT模式外),而SRX 的NAT则作为网络层面基础内容进行独立配置(独立定义地址映射的方向、映射关系及地址范围),Policy中不再包含NAT相关配置信息,这样的好处是易于理解、简化运维,当网络拓朴和NAT映射关系发生改变时,无需调整Policy配置内容。
SRX NAT和Policy执行先后顺序为:目的地址转换-目的地址路由查找-执行策略检查-源地址转换,结合这个执行顺序,在配置Policy时需注意:Policy中源地址应是转换前的源地址,而目的地址应该是转换后的目的地址,换句话说,Policy中的源和目的地址应该是源和目的两端的真实IP地址,这一点和ScreenOS存在区别,需要加以注意。
SRX中不再使用MIP/VIP/DIP这些概念,其中MIP被Static静态地址转换取代,两者在功能上完全一致;DIP 被Source NAT取代;基于Policy的目的地址转换及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址转换被保留下来,但在SRX中不再是缺省模式(SRX中Trust Zone接口没有NAT模式概念),需要手工配置。类似ScreenOS,Static属于双向NAT,其他类型均属于单向NAT。
此外,SRX还多了一个proxy-arp概念,如果定义的IP Pool(可用于源或目的地址转换)需配置SRX对这个Pool内的地址提供ARP代理功能,这样对端设备能够解析到IP Pool地址的MAC地址(使用接口MAC地址响应对方),以便于返回报文能够送达SRX。下面是配置举例及相关说明:
2.4.1 Interface based NAT 基于接口的源地址转换
图片仅供参考,下列配置参考实验拓扑
NAT配置:
set security nat source rule-set 1 from zone trust 指定源区域
set security nat source rule-set 1 to zone untrust 指定目标区域
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0 指定源和目标匹配的地址或者地址段,0.0.0./0代表所有
set security nat source rule-set 1 rule rule1 then source-nat interface 指定通过接口IP进行源翻译
上述配置定义NAT源地址映射规则,从Trust Zone访问Untrust Zone的所有流量用Untrust Zone接口IP做源地址转换。
Policy配置:
set security policies from-zone trust to-zone untrust policy 1 match source-address pc-1
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行接口源地址转换。
2.4.2 Pool based Source NAT基于地址池的源地址转换
图片仅供参考,下列配置参考实验拓扑NAT配置:
set security nat source pool pool-1 address 192.168.1.50 to 192.168.1.150
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set 1 rule rule1 then source-nat pool pool-1
set security nat proxy-arp interface ge-0/0/0 address 192.168.1.50 to 192.168.1.150
上述配置表示从trust方向(any)到untrust方向(any)访问时提供源地址转换,源地址池为pool1(192.168.1.50-192.168.1.150),同时fe-0/0/0接口为此pool IP提供ARP代理。需要注意的是:定义Pool时不需要与Zone及接口进行关联。配置proxy-arp目的是让返回包能够送达SRX,如果Pool与出接口IP 不在同一子网,则对端设备需要配置指向fe-0/0/0接口的Pool地址路由。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address pc-1
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行源地址转换。
2.4.3 Pool base destination NAT基于地址池的目标地址转换
图片仅供参考,下列配置参考实验拓扑NAT配置:
set security nat destination pool 111 address 20.1.1.200/32
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
set security nat destination rule-set 1 rule 111 match destination-address 192.168.1.150/32
set security nat destination rule-set 1 rule 111 then destination-nat pool 111
上述配置将外网any访问192.168.1.150地址映射到内网20.1.1.200地址,注意:定义的Dst Pool是内网真实IP地址,而不是映射前的公网地址。这点和Src-NAT Pool有所区别。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address PC-1 set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Untrust方向任何地址访问Trust方向PC-1:20.1.1.200,根据前面的NAT 配置,公网访问192.168.1.150时,SRX自动执行到20.1.1.200的目的地址转换。
ScreenOS VIP功能对应的SRX Dst-nat配置:
set security nat destination pool 222 address 20.1.1.200/32 port 8080
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
set security nat destination rule-set 1 rule 111 match destination-address 192.168.1.150/32
set security nat destination rule-set 1 rule 111 match destination-port 8080
set security nat destination rule-set 1 rule 111 then destination-nat pool 222
上述NAT配置定义:访问192.168.1.150地址8080端口映射至20.1.1.200地址8080端口,功能与ScreenOS VIP 端口映射一致。
2.4.4 Pool base Static NAT基于地址池的静态地址转换
图片仅供参考,下列配置参考实验拓扑NAT:
set security nat static rule-set static-nat from zone untrust
set security nat static rule-set static-nat rule rule1 match destination-address 192.168.1.150
set security nat static rule-set static-nat rule rule1 then static-nat prefix 20.1.1.200
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address pc-1
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
Static NAT概念与ScreenOS MIP一致,属于静态双向一对一NAT,上述配置表示访问192.168.1.150时转换为20.1.1.200,当20.1.1.200访问Internet时自动转换为192.168.1.150,并且优先级比其他类型NAT高。
2.5 IPSEC VPN
SRX IPSEC VPN支持Site-to-Site VPN 和基于NS-remote的拨号VPN以及基于IPSEC的动态VPN,访问方式通过WEB界面进行,和ScreenOS一样,site-to-site VPN也支持路由模式和Policy模式,在配置方面也和ScreenOS基本一致。SRX中的加密/验证算法在命名上和ScreenOS存在一些区别,配置过程中建议选择ike和ipsec的proposal为 standard模式,standard中包含SRX支持的全部加密/验证算法,只要对端设备支持其中任何一种即可。SRX中通道接口使用st0接口,对应ScreenOS中的tunnel虚拟接口。
本次将列举如下配置案例:
1、基于策略的LAN TO LAN IPSEC VPN
2、基于路由的LAN TO LAN IPSEC VPN
3、基于REMOTE VPN客户端拨号VPN
4、基于IPSEC动态VPN<通过WEB界面>
注意在REMOTE VPN客户端拨号VPN中我们将列举JUNIPER REMOTE VPN客户端和第三方ShrewSoft VPN Client,另外基于IPSEC动态VPN是通过WEB界面访问,初次登陆系统自动或人工下载一个JAVA客户端。
2.5.1 基于路由的LAN TO LAN IPSEC VPN
SRX配置:
下面是图中左侧SRX基于路由方式Site-to-site VPN配置:
set interfaces st0 unit 0 family inet address 1.1.1.1/24
set security zones security-zone untrust interfaces st0.0
set routing-options static route 172.16.1.0/24 next-hop st0.0
定义st0 tunnel接口地址/Zone及通过VPN通道到对端网络路由
set security ike policy ABC mode main
set security ike policy ABC proposal-set standard
set security ike policy ABC pre-shared-key ascii-text juniper
定义IKE Phase1 policy参数,main mode,standard proposal及预共享密钥方式
set security ike gateway gw1 ike-policy ABC
set security ike gateway gw1 address 10.1.1.254
set security ike gateway gw1 external-interface fe-0/0/2.0
定义IKE gaeway参数,预共享密钥认证,对端网关10.1.1.254,出接口fe-0/0/2(位于dmz zone)
set security ipsec policy AAA proposal-set standard
set security ipsec vpn vpn1 bind-interface st0.0
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ike ipsec-policy AAA
set security ipsec vpn vpn1 establish-tunnels immediately
定义ipsec Phase 2 VPN参数:standard proposal、与st0.0接口绑定,调用Phase 1 gw1 ike网关。
set security policies from-zone untrust to-zone trust policy vpn-policy match source-address any
set security policies from-zone untrust to-zone trust policy vpn-policy match destination-address any set security policies from-zone untrust to-zone trust policy vpn-policy match application any
set security policies from-zone untrust to-zone trust policy vpn-policy then permit
set security policies from-zone trust to-zone untrust policy vpn-policy match source-address any
set security policies from-zone trust to-zone untrust policy vpn-policy match destination-address any set security policies from-zone trust to-zone untrust policy vpn-policy match application any
set security policies from-zone trust to-zone untrust policy vpn-policy then permit
两端设备策略开启双向policy以允许VPN流量通过
SSG配置参考:
set ike gateway "abc" address 10.1.1.1 Main outgoing-interface "ethernet0/1" preshare "juniper" sec-level standard
set vpn "gw-1" gateway "abc" no-replay tunnel idletime 0 sec-level standard
set vpn "gw-1" monitor
set vpn "gw-1" id 0x1 bind interface tunnel.1
set interface tunnel.1 ip 1.1.1.2/24
set route 20.1.1.0/24 interface tunnel.1
set policy id 3 from "ssg-vpn" to "Trust" "Any-IPv4" "Any-IPv4" "ANY" permit log
set policy id 2 from "Trust" to "ssg-vpn" "Any-IPv4" "Any-IPv4" "ANY" permit log
SRX设备端监控VPN状态
SSG设备端监控VPN状态
2.5.2 基于策略的LAN TO LAN IPSEC VPN
要设置基于策略的LAN TO LAN IPSEC VPN通道,请在通道两端的安全设备上执行以下步骤:
1.同样配置IKE\IPSEC参数<指定对方的IP地址、指定加密方式等>
2.不需要配置通道接口
3.为每个站点间通过的 VPN 流量设置策略,注意此时需要在策略中调用VPN IKE通道,如下命令:
SRX设备策略配置:
root# set security policies from-zone srx-vpn to-zone trust policy vpn-policy then permit tunnel ipsec-vpn vpn1
root# set security policies from-zone trust to-zone srx-vpn policy vpn-policy then permit tunnel ipsec-vpn vpn1
SSG设备策略配置:
set policy id 3 from ssg-vpn to trust 20.1.1.0/24 172.16.1.0/24 any tunnel vpn abc
set policy id 3 from trust to ssg-vpn 172.16.1.0/24 20.1.1.0/24 any tunnel vpn abc
特别提醒,基于策略的LAN TO LAN IPSEC VPN 在建立策略的时候,两端设备的双向策略源地址、目标地址、服务必须一致对应。
2.5.3 基于Remote VPN 客户端拨号VPN
为了能够体现其配置真实性、可观性、此次配置将采用真实环境进行配置演示,具体如下:
第一步:定义分配给VPN拨号用户的IP地址池
set access address-pool xauth-pool address-range low 30.1.1.1
set access address-pool xauth-pool address-range high 30.1.1.100
第二步:定义VPN拨号用户
set access profile xauth-users authentication-order password
set access profile xauth-users client test1 firewall-user password "$9$qmQF69A01R/9M8xNbw"
set access profile xauth-users client test2 firewall-user password "$9$zPWq3Ct0BIcreOB-Vs2aJ"
第三步:定义IKE Proposal
set security ike proposal dialup-proposal authentication-method pre-shared-keys
set security ike proposal dialup-proposal dh-group group2
set security ike proposal dialup-proposal authentication-algorithm sha1
set security ike proposal dialup-proposal encryption-algorithm aes-128-cbc
第四步:定义IPSEC Proposal
set security ipsec proposal dialup-proposal protocol esp
set security ipsec proposal dialup-proposal authentication-algorithm hmac-sha1-96
set security ipsec proposal dialup-proposal encryption-algorithm aes-128-cbc
第五步: 定义IKE policy
set security ike policy dialup-policy mode aggressive
set security ike policy dialup-policy proposals dialup-proposal
set security ike policy dialup-policy pre-shared-key ascii-text “JUNIPER-WXF1987”
第六步:定义IKE gateway
set security ike gateway dialup-ike ike-policy dialup-policy
set security ike gateway dialup-ike dynamic hostname juniper
set security ike gateway dialup-ike dynamic connections-limit 100
set security ike gateway dialup-ike dynamic ike-user-type shared-ike-id
set security ike gateway dialup-ike external-interface ge-0/0/8.0 选择VPN接受从那个接口拨进来 set security ike gateway dialup-ike xauth access-profile xauth-users
第七步:定义Ipsec policy
set security ipsec policy dialup-policy2 proposals dialup-proposal
set security ipsec policy ipsec-pol perfect-forward-secrecy keys group2
set security ipsec policy ipsec-pol proposals phase2-prop
第八步:定义ipsev vpn
set security ipsec vpn dialup-vpn ike gateway dialup-ike
set security ipsec vpn dialup-vpn ike ipsec-policy dialup-policy2
set security ipsec vpn dialup-vpn establish-tunnels on-traffic
第九步:定义VPN策略<内部允许访问的资源>
set security policies from-zone untrust to-zone dmz policy dialup-vpn match source-address any set security policies from-zone untrust to-zone dmz policy dialup-vpn match destination-address 10.0.100.0/24-vlan_3
set security policies from-zone untrust to-zone dmz policy dialup-vpn match destination-address 10.0.110.0/24-vlan_4
set security policies from-zone untrust to-zone dmz policy dialup-vpn match destination-address 10.0.130.0/24-vlan_5
set security policies from-zone untrust to-zone dmz policy dialup-vpn match destination-address 10.0.140.0/24-vlan6
set security policies from-zone untrust to-zone dmz policy dialup-vpn match application any
set security policies from-zone untrust to-zone dmz policy dialup-vpn then permit tunnel ipsec-vpn dialup-vpn
set security policies from-zone untrust to-zone dmz policy dialup-vpn then log session-init
set security policies from-zone untrust to-zone dmz policy dialup-vpn then log session-close
至此ipsec 拨号VPN设备配置完成。
接下来我们将演示如何配置Juniper Remote vpn 客户端
如何配置第三方ShrewSoft VPN Client
首先我们介绍Juniper Remote vpn 客户端配置,参考如下截图配置<依据上述配置进行>:
客户端查看连接状态如上,设备端查看连接状态如下:
接下来我们介绍ShrewSoft VPN Client
Please Select Your Download
?VPN Client For Windows
?VPN Client For Linux and BSD
防火墙有什么用工作原理介绍
防火墙有什么用工作原理介绍 什么是防火墙,有什么作用 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种 获取安全性方法的形象说法,它是一种计算机硬件和软件的结合, 使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙 主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。 该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在 两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的 人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不 通过防火墙,公司内部的人就无法访问Internet,Internet上的人 也无法和公司内部的人进行通信。 XP系统相比于以往的Windows系统新增了许多的网络功能(Windows7的防火墙一样很强大,可以很方便地定义过滤掉数据包),例如Internet连接防火墙(ICF),它就是用一段"代码墙"把电脑和Internet分隔开,时刻检查出入防火墙的所有数据包,决定拦截或 是放行那些数据包。防火墙可以是一种硬件、固件或者软件,例如 专用防火墙设备就是硬件形式的防火墙,包过滤路由器是嵌有防火 墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。 ICF工作原理 ICF被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止来自连
juniper防火墙配置手册
JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置:STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置:STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)
Juniper_SRX基本配置手册
Juniper SRX防火墙基本配置手册
1SRX防火墙的PPPoE拔号配置 Juniper SRX防火墙支持PPPoE拔号,这样防火墙能够连接ADSL链路,提供给内网用户访问网络的需求。 配置拓扑如下所示: Juniper SRX240防火墙 在Juniper SRX防火墙上面设置ADSL PPPoE拔号,可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0,在命令行下面的查看命令如下所示: juniper@HaoPeng# run show interfaces terse | match pp Interface Admin Link Proto Local Remote pp0 up up 在WEB界面下,也能够看到PPPoE的拔号接口pp0 配置步聚如下所示: 第一步:选择接口ge-0/0/4作为PPPoE拔号接口的物理接口,将接口封装成PPPoE To configure PPPoE encapsulation on an Ethernet interface: juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether 第二步:配置PPPoE接口PP0.0的参数 To create a PPPoE interface and configure PPPoE options: user@host# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/4.0 auto-reconnect 100 idle-timeout 100 client
Juniper SRX路由器命令配置手册
Juniper SRX配置手册
目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (12) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (15) 3.3 操作系统升级 (15) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)
Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
电脑个人防火墙的使用技巧
电脑个人防火墙的使用技巧 对于广大PC机用户防范黑客的重要手段之一就是安装个人版防火墙。防火墙成了我们上网的必备工具,那么,对于个人防火墙你必须要有所了解。 什么是个人版防火墙? 个人版防火墙是安装在你的PC机系统里的一段"代码墙"把你的电脑和internet分隔开。它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截这个包还是将其放行。也就是说:在不妨碍你正常上网浏览的同时,阻止INTERNET上的其他用户对你的计算机进行的非法访问。 一个好的个人版防火墙必须是低的系统资源消耗,高的处理效率,具有简单易懂的设置界面,具有灵活而有效的规则设定。 国外在该领域发展得比较快,知名的品牌也比较多,如LOCKDOWN、NORTON、ZONEALARM、PCCILLIN、BLACKICE等等。国内虽然相对慢了一步,但也涌现了如“天网个人版防火墙”这样的优秀品牌,而且在实用性能上并不比国外知名品牌逊色。 部分个人版防火墙的对比列表 项目BlackICELockDown 2000ZoneAlarmNortonInternetSecurity2001PCcillin 2001天网个人防火墙 监控端口有有有有有有 连接状态数据流量统计有有有有无有
追查对方信息有有有无无有 使用容易程度一般一般专业性强专业性很强一般一般隐藏互联网连接监控无有有有无有 简易防护等级设置有无无有无有 界面英文英文英文英文英文中文 局域网共享支持能力强一般一般强一般一般 支持操作系统9x/me/ NT/2K9x/me/ NT/2K9x/me/ NT/2K9x/me/ NT/2K9x/me/ NT/2K9x/me/ NT/2K 系统资源占用情况低较低较低高高低 目前是否可免费获得否否否否否是
Juniper防火墙日常维护手册
Juniper防火墙维护手册
目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置(双机配置) (7) 1.5.配置MIP(通过图形界面配置) (9) 1.6.配置访问策略(通过图形界面配置) (11) https://www.sodocs.net/doc/a79842120.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)
1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen,为了便于区分设备和维护,在对防火墙进行配置前先对防火墙进行命名: Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段,用于专门对接口进行管理时用。在双机的工作状态下,因为接口的地址只存在于主防火墙上,如果不配置管理IP,则不能对备用防火墙进行登录了。一般在单机时,不需要配置接口的管理IP,但在双机时,建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意:接口的工作模式可以工作在路由模式,NAT模式和透明模式。在产品线应用中,透明模式很少用,而NAT模式只有在trust到untrust的数据流才起作用,建议把防火墙的所有接口都配置成route的工作模式,用命令set interface接口名 route配置即可,缺省情况下需要在trust区段中的接口使用此命令。 本例子中,配置接口ethernet2属于Untrust区,IP地址为202.38.12.23/28,如设置管理方式是Http,命令如下: Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat
Juniper SRX防火墙简明配置手册-090721
Juniper SRX防火墙简明配置手册 卞同超 Juniper 服务工程师 Juniper Networks, Inc. 北京市东城区东长安街1号东方经贸城西三办公室15层1508室 邮编:100738 目录 一、JUNOS操作系统介绍 ............................................................................................................. 1.1 层次化配置结构........................................................................................................................ 1.2 JunOS配置管理......................................................................................................................... 1.3 SRX主要配置内容.................................................................................................................... 二、SRX防火墙配置对照说明...................................................................................................... 2.1 初始安装.................................................................................................................................... 2.1.1 登陆............................................................................................................................... 2.1.2 设置root用户口令..................................................................................................... 2.1.3 设置远程登陆管理用户............................................................................................... 2.1.4 远程管理SRX相关配置............................................................................................... 2.2 Policy .......................................................................................................................................... 2.3 NAT ............................................................................................................................................ 2.3.1 Interface based NAT................................................................................................. 2.3.2 Pool based Source NAT............................................................................................. 2.3.3 Pool base destination NAT..................................................................................... 2.3.4 Pool base Static NAT............................................................................................... 2.4 IPSEC VPN................................................................................................................................. 2.5 Application and ALG .................................................................................................................. 2.6 JSRP............................................................................................................................................ 三、SRX防火墙常规操作与维护.......................................................................................................... 3.1 设备关机................................................................................................................................ 3.2设备重启............................................................................................................................... 3.3操作系统升级 (15) 3.4密码恢复............................................................................................................................... 3.5常用监控维护命令............................................................................................................... Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
Juniper防火墙故障情况下的快速恢复
为防止Juniper防火墙设备故障情况下造成网络中断,保障用户业务不间断运行,现针对Juniper防火墙故障情况下的快速恢复做具体描述。 一、设备重启动:Juniper防火墙在工作期间出现运行异常时,如需进行系统复位,可通过console线缆使用reset命令对防火墙进行重启,重启动期间可以在操作终端上查看防火墙相关启动信息。 二、操作系统备份:日常维护期间可将防火墙操作系统ScreenOS备份到本地设备,操作方式为:启动tftp 服务器并在命令行下执行:save software from flash to tftp x.x.x.x filename。 三、操作系统恢复:当防火墙工作发生异常时,可通过两种方式快速恢复防火墙操作系统,命令行方式:save software from tftp x.x.x.x filename to flash,或通过web方式:Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项,并在Load File栏选中保存在本地的ScreenOS文件,然后点击apply按钮,上传ScreenOS后防火墙将自动进行重启。 四、配置文件备份: 日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复,操作方式有三种: 1、启动tftp 服务器并在命令行下执行:save config from flash to tftp x.x.x.x filename。 2、通过超级终端远程telnet/ssh到防火墙,通过log记录方式将get config配置信息记录到本地。 3、通过web页面进行配置文件备份:Configuration > Update > Config File,点击save to file。 五、配置文件恢复: 防火墙当前配置信息若存在错误,需进行配置信息快速恢复,操作方式有三种: 1、启动tftp 服务器并在命令行下执行:save config from tftp x.x.x.x filename to flash,配置文件上传后需执行reset命令进行重启。 2、通过web页面进行配置文件恢复:Configuration > Update > Config File,选中Replace Current Configuration,并从本地设备中选中供恢复的备份配置文件,点击apply后系统将进行重启动使新配置生效。 3、通过超级终端远程telnet/ssh到防火墙,通过unset all 命令清除防火墙配置,并进行重启,重启后将备份的配置命令粘贴到防火墙中。 六、恢复出厂值:console线缆连接到防火墙,通过reset命令对防火墙进行重启,并使用防火墙的16位序列号作为账号/口令进行登陆,可将防火墙配置快速恢复为出厂值。 七、硬件故障处理: 当防火墙出现故障时,且已经排除配置故障和ScreenOS软件故障,可通过NSRP切换到备用设备来恢复网络运行,并进一步定位硬件故障。切换方式为1、拔掉主用防火墙的上下行网线(仅在设备关闭电源的情况下,才需要拔掉该设备的HA连线),防火墙将自动进行主备切换。2、或在主用设备上执行:exec nsrp vsd-group id 0 mode backup,手动执行防火墙主备切换。 八、设备返修(RMA):如经Juniper公司确认防火墙发生硬件故障,请及时联系设备代理商。设备代理商将根据报修流程,由Juniper公司对保修期内的损坏部件或设备进行RMA(设备返修)。
Juniper SRX防火墙的PPPoE拔号配置
SRX防火墙的PPPoE拔号配置 Juniper SRX防火墙支持PPPoE拔号,这样防火墙能够连接ADSL链路,提供给内网用户访问网络的需求。 配置拓扑如下所述:Ge-0/0/4 via PPPoE to obtian IP address Juniper SRX240防火墙 在Juniper SRX防火墙上面设置ADSL PPPoE拔号,可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0,在命令行下面的查看命令如下所示:juniper@HaoPeng# run show interfaces terse | match pp Interface Admin Link Proto Local Remote pp0 up up 在WEB界面下,也能够看到PPPoE的拔号接口pp0 配置步聚如下所示: 第一步:选择接口ge-0/0/4作为PPPoE拔号接口的物理接口,将接口封装成PPPoE To configure PPPoE encapsulation on an Ethernet interface: juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether 第二步:配置PPPoE接口PP0.0的参数To create a PPPoE interface and configure PPPoE options: user@host# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/4.0 auto-reconnect 100 idle-timeout 100 client 第三步:配置PPPoE接口的MTU值To configure the maximum transmission unit (MTU) of the IPv4 family: user@host# set interfaces pp0 unit 0 family inet mtu 1492
Juniper_SRX中文配置手册簿及现用图解
前言、版本说明 (3) 一、界面菜单管理 (5) 2、WEB管理界面 (6) (1)Web管理界面需要浏览器支持Flash控件。 (6) (2)输入用户名密码登陆: (7) (3)仪表盘首页 (7) 3、菜单目录 (10) 二、接口配置 (16) 1、接口静态IP (16) 2、PPPoE (17) 3、DHCP (18) 三、路由配置 (20) 1、静态路由 (20) 2、动态路由 (21) 四、区域设置Zone (23) 五、策略配置 (25) 1、策略元素定义 (25) 2、防火墙策略配置 (29) 3、安全防护策略 (31) 六、地址转换 (32) 1、源地址转换-建立地址池 (33)
2、源地址转换规则设置 (35) 七、VPN配置 (37) 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (38) 2、建立第一阶段IKE策略 (39) 3、建立第一阶段IKE Gateway (40) 4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (41) 5、建立第一阶段IKE策略 (42) 6、建立VPN策略 (43) 八、Screen防攻击 (46) 九、双机 (48) 十、故障诊断 (49)
前言、版本说明 产品:Juniper SRX240 SH 版本:JUNOS Software Release [9.6R1.13] 注:测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些,并且CPU占用率明显下降很多。 9.5R2.7版本(CPU持续保持在60%以上,甚至90%) 9.6R1.13版本(对菜单操作或者保存配置时,仍会提升一部分CPU)
防火墙应用指导手册
防火墙应用指导手册
防火墙应用指导手册 防火墙是为防止非法访问或保护专用网络而设计的一种系统。防火墙可用于硬件、软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。本文将从防火墙的简介、种类、选择的方法、配置、管理和维护等几个方面向您做详细的讲解。 防火墙简介 防火墙是为防止非法访问或保护专用网络而设计的一种系统。所有的数据在进入或离开内部网络时都要经过防火墙,防火墙会检查每个数据包,并且阻止那些不符合指定安全标准的数据包。 防火墙简介 防火墙的种类 每一种防火墙都有自己的特点,或许它们的区别可能与你所想的不一致。网络层防火墙和应用层防火墙的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。本文主要讲述网络层防火墙、应用层防火墙、代理防火墙及统一威胁管理。 网络层防火墙 应用层防火墙 代理防火墙 统一威胁管理 如何选择防火墙 为了选择最佳的周边安全解决方案,首先要考虑的就是防火墙的功能。比较好的是,那些在产品间做决定的主流防火墙都起相同的核心作用。每个都会执行状态检测包过滤,及允许实施基本的周边防御。
谁来负责防火墙 防火墙的安全风险有哪些 购买建议 防火墙配置 当为一个企业开发边界保护策略时,最常见的问题是“我应该把防火墙设置在哪里,以发挥其最大效用?我们目前的网络有两套防火墙系统:Fortinet的FortiGate和思科的PIX Firewall。从安全角度讲,采用不同厂商的多个防火墙有什么好处吗? 防火墙安置 两个网络防火墙比一个网络防火墙好吗 防火墙管理与维护 在通过了防火墙的选择和架构设计阶段的挑战后,我们面对的是持续的改变要求和厂商对我们的防火墙可执行操作的补丁之间的平衡。迅速而频繁的改变配置使得日常维护任务变得很难。 防火墙行为审计
juniper防火墙详细配置手册
Juniper防火墙简明实用手册 (版本号:V1.0)
目录 1 juniper中文参考手册重点章节导读 (4) 1.1第二卷:基本原理 (4) 1.1.1第一章:ScreenOS 体系结构 (4) 1.1.2第二章:路由表和静态路由 (4) 1.1.3第三章:区段 (4) 1.1.4第四章:接口 (5) 1.1.5第五章:接口模式 (5) 1.1.6第六章:为策略构建块 (5) 1.1.7第七章:策略 (6) 1.1.8第八章:地址转换 (6) 1.1.9第十一章:系统参数 (6) 1.2第三卷:管理 (6) 1.2.1第一章:管理 (6) 1.2.2监控NetScreen 设备 (7) 1.3第八卷:高可用性 (7) 1.3.1NSRP (7)
1.3.2故障切换 (8) 2Juniper防火墙初始化配置和操纵 (9) 3查看系统概要信息 (10) 4主菜单常用配置选项导航 (10) 5Configration配置菜单 (12) 5.1Date/Time:日期和时间 (12) 5.2Update更新系统镜像和配置文件 (13) 5.2.1更新ScreenOS系统镜像 (13) 5.2.2更新config file配置文件 (14) 5.3Admin管理 (15) 5.3.1Administrators管理员账户管理 (15) 5.3.2Permitted IPs:允许哪些主机可以对防火墙进行管理 (16) 6Networks配置菜单 (17) 6.1Zone安全区 (17) 6.2Interfaces接口配置 (18) 6.2.1查看接口状态的概要信息 (18)
Juniper_SRX防火墙Web配置手册
Juniper SRX防火墙配置手册
Juniper SRX防火墙配置说明 1系统配置 (1) 1.1配置ROOT帐号密码 (1) 1.2配置用户名和密码 (2) 2接口配置 (8) 2.1IPV4地址配置 (9) 2.2接口T RUNK模式配置 (13) 2.3接口A CC ESS模式配置 (14) 3VLAN配置 (15) 3.1创建VLAN配置 (15) 4路由配置 (19) 4.1静态路由配置 (21) 5自定义应用配置 (22) 5.1自定义服务配置 (22) 5.2应用组配置 (23) 6地址组配置 (24) 6.1地址簿配置 (24) 6.2地址组配置 (25) 7日程表配置 (27) 8NAT配置 (30) 8.1S TA TIC NA T配置 (30)
1 系统配置 1.1 配置root帐号密码 首次登陆设备时,需要采用console方式,登陆用户名为:root,密码为空,登陆到cli下以后,执行如下命令,设置root帐号的密码。 root# set system root-authentication plain-text-password root# new password : root123 root# retype new password: root123 密码将以密文方式显示。 注意:必须要首先配置root帐号密码,否则后续所有配置的修改都无法提交。 SRX系列低端设备在开机后,系统会加载一个默认配置,设备的第一个接口被划分在trust区域,配置一个ip地址192.168.1.1,允许ping、telnet、web等管理方式,可以通过该地址登陆设备。登陆后显示页面如下:
junipersrx100防火墙配置
Junipersrx100防火墙配置指导 # 一、初始化安装 1.1设备登录 Juniper SRX系列防火墙。开机之后,第一次必须通过console 口(通用超级终端缺省配置)连接SRX ,输入root 用户名登陆,密码为空,进入到SRX设备之后可以开始加载基线配置。 特别注意:SRX低端系列防火墙,在第一次登陆时,执行命令“show configuration”你会发现系统本身已经具备一些配置内容(包括DNS名称、DHCP服务器等),建议删除这些配置,重新配置。Delete 删除 设备开机请直接通过console 连接到防火墙设备 Login :root Password :/***初始化第一次登陆的时候,密码为空**/ Root% cli /**进入操作模式**/ Root> Root> configure /** 进入配置模式**/ Root# delete /***配置模式执行命令“delete”全局删除所有的系统缺省配置***/ 1.2 系统基线配置 Set system host-name name /***配置设备名称“name”***/ Set system time-zone Asia/Chongqing /***配置系统时区***/ Set system root-authentication plain-text-password 输入命令,回车 New password: 第一次输入新密码, Retype new password 重新确认新密码 /***配置系统缺省根账号密码,不允许修改根账号名称“root”***/ 注意:root帐号不能用于telnet,但是可以用于web和ssh管理登录到设备 S et system login user topsci class super-user authentication plain-text-password New password 输入密码 Retype new password 确认密码 /***创建一个系统本地账号“name“, set system services ssh set system services telnet
Juniper_SRX_配置手册
Juniper SRX防火墙简明配置手册
目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (11) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (14) 3.3 操作系统升级 (14) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)
Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd 命令),exit命令退回上一级,top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行commit命令时要求
JuniperSRX中文配置手册及图解
前言、版本说明 (1) 一、界面菜单管理 (3) 2、WEB管理界面 (4) (1)Web管理界面需要浏览器支持Flash控件。 (4) (2)输入用户名密码登陆: (4) (3)仪表盘首页 (5) 3、菜单目录 (7) 二、接口配置 (12) 1、接口静态IP (12) 2、PPPoE (13) 3、DHCP (14) 三、路由配置 (16) 1、静态路由 (16) 2、动态路由 (16) 四、区域设置Zone (18) 五、策略配置 (20) 1、策略元素定义 (20) 2、防火墙策略配置 (22) 3、安全防护策略 (25) 六、地址转换 (26) 1、源地址转换-建立地址池 (26) 2、源地址转换规则设置 (27) 七、VPN配置 (30) 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (30) 2、建立第一阶段IKE策略 (31) 3、建立第一阶段IKE Gateway (32) 4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (33) 5、建立第一阶段IKE策略 (34) 6、建立VPN策略 (35) 八、Screen防攻击 (38) 九、双机 (39) 十、故障诊断 (39) 前言、版本说明
产品:Juniper SRX240 SH 版本:JUNOS Software Release [9.6R1.13] 注:测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些,并且CPU占用率明显下降很多。 9.5R2.7版本(CPU持续保持在60%以上,甚至90%) 9.6R1.13版本(对菜单操作或者保存配置时,仍会提升一部分CPU)
相关文档
- Juniper_SRX_配置手册
- Juniper SRX防火墙简明配置手册
- JuniperSRX防火墙配置管理手册
- Juniper_SRX配置手册
- Juniper SRX路由器命令配置手册
- Juniper SRX 防火墙透明模式配置手册
- Juniper SRX防火墙配置手册-命令行模式
- JuniperSRX防火墙简明配置手册
- Juniper SRX防火墙简明配置手册-090721
- junipersrx配置手册
- Juniper_SRX防火墙Web配置手册
- JuniperSRX系列中文手册及图解
- Juniper_SRX防火墙Web配置手册
- Juniper-SRX防火墙Web配置手册
- Juniper_SRX中文配置手册及图解
- Juniper_SRX中文配置手册及图解
- junipersrx配置手册
- JuniperSRX详细配置手册(含注释)
- Juniper SRX防火墙简明配置手册
- Juniper_SRX中文配置手册簿及现用图解