juniper 防火墙基本原理

第1章：概述

一、安全区

1、安全区是绑定一个或多个接口的逻辑实体。

2、可以定义多个安全区，除预定义发全区：trust、untrust和DMZ以外，还要以自定义安全区段。

3、安全区之间的数据流通需要用策略进行控制。通过定义策略，使两个区段间

的信息流向一个或两个方向流动。

二、接口

1、接口：

物理接口：防火墙上实际存在的接口组件。

子接口：在逻辑上将一个物理接口分为几个虚拟子接口。每个子接口都从它的物理接口上借用需要的带宽。

2、信息流的只从一个区段到另一个区段。所以需要将接口绑定到安全区段才能

使接口有作用。一个或多个接口可以绑定到一个安全区段。

三、策略

1、默认情况，netscreen拒绝所有方向的所有信息流。只有通过创建策略，才

能实现控制区段间的信息流。可以细微的控制一种信息流在预定的时间段内、在一个区段中的指定主机与另一个区段中的指定主机之间流动。

2、策略服务：策略的实现可以细化到从某区段到某区段能实现某种服务。所以

需要细化到某种服务时，要预先定义服务。

四、虚拟路由器

1、netscreen设备支持两个预定义的虚拟路由器。分别为：untrust-vr和

trust-vr。这两个虚拟路由器维护两个单独的的路由表，并且虚拟路由器彼此之间隐藏路由信息，即互不相干。

untrust-vr通常用来与不可信方通信。trust-vr与可信方通信。

2、从一个虚拟路由器的区段发出的信息流不能自动转发到另一个虚拟路由器区段，即使存在策略允许转发这样的信息流。如果希望信息流在虚拟路由器之间传递，需要导出VR之间的路由，或者定义静态路由，将另一个VR定义为下一跳。

3、命令：

set vrouter {trust-vr|untrust-vr} route {0.0.0.0/0} interface {ethernet3}

gateway {2.2.2.2} //设置路由命令。 trust-vr和untrust-vr分别代表两个虚拟路由器。0.0.0.0/0是表示目的地址， ethernet3表示从哪个接口，

2.2.2.2表示下一跳地址，即网关IP。

五、虚拟系统

一些netscreen防火墙支持虚拟系统。对主系统的细分。即一个实体防火墙，可当多个虚拟防火墙使用。

六、常规配置流程

1、建立zone，即建立区段（在不使用默认区段的情况下）

2、把zone分配置vr(虚拟路由器）

3、把网络接口分配给zone

4、给接口设置ip地址

5、配置虚拟路由

6、配置策略。

第2章：区段详解

一、预定义区段的类型：

1、安全区:untrust 、trust 、 DMZ 、global 、V1-untrust 、v1-trunst 、 V1-dmz

2、通道区段：untrust-tun

3、功能区段：NULL、self、MGT、HA、VLAN

二、安全区

1、global

global区域不具有其他区都有的特性--接口。即Global区不包含接口。

global区可充当映射ip（MIP)和虚拟ip(VIP）地址的存储区域。

预定义global区段地址“any"应胜于global区段中所有mip、vip和其他用户定义的地址组。

global区段还包含全域策略中使用的地址。

global区域类似于CISCO防火墙中的全局映射。

2、untrust和trust区域

是三层的区域。untrust是不信任区域。 trust是信任区域。

3、V1-untrust 和v1-trust

是二层区域。在透明模式下时使用。

注：screen选项：

每个区域可启用一组预定义的screen选项。检测并阻塞netscreen认定的潜在有害数据流。

二、通道区段 untrust-tun

1、通道区段:是一个逻辑区段。附属于某个实际的安全区段。通道区段可包含一个或多个通道接口，并对承载的信息流提供防火墙保护，并支持对数据的封装和解封，还提供NAT服务。

2、默认情况下，通道区段在trunst-vr路由选择域。也可以把通道区段划分到trust-vr路由选择域。

3、每个虚拟系统上的每个承载区段（理解为实际区段，如trust区段）最多只能有一个通道区段。（即一个实际安全区下面只能有一个通道区段）

4、需配置的要点有:通道接口属于哪个通道区段，通道区段附属于哪个实际区段，并属于哪一个路由选择域。

注意：要修改通道区域的名称，或更改通道区段的承载区段，必须先删除该区段，再重建。但可以直接更改区段所属的虚拟路由选择域。

三、功能区段

1、NULL区段:用于临时存储没有绑定到任何其它区段的接口。

2、MGT区段:是带外管理接口MGT的宿主区段。可以在此区段上设置防火墙选项以保护管理接口。

3、HA区段:此区段是高可用性接口HA1和HA2的宿主区段。虽然可以为此区段设置接口，但此区段是不可配置的。

4、Self区段：此区段是远程管理连接接口的宿主区段。当您通过

HTTP\SCS\telnet等连接netscreen设备时，就会连接到self区段。

5、vlan区段：此区段是VLAN1接口的宿主区段。可用于管理设备。设备是透明模式时，终止vpn信息流。

四、端口模式

可以为netscreen设备选择端口模式,端口模式自动为设备设置不同的端口、接口和区段绑定。

1、trust-untrust模式。缺省端口模式

将untrusted以太网端口绑定到untrust接口，并将接口绑定到untrust区段。将modem端口绑定到serial接口，并作备份接口绑定到untrust区段。

将以太网端口1到4绑定到trunst接口，并将接口绑定到trust区段。

注：端口指设备的物理接口。接口是指通过cli或webui配置的逻辑接口。多个端口可以绑定到一个接口。

2、trust\untrust\Dmz 端口模式

将以太网端口1和2绑定到接口ethernet1接口，并把接口绑定到trust区域将以太网端口3和4绑定到接口ethernet2接口，并把接口绑定到dmz区域

将untrusted以太网端口绑定到untrust接口，并把接口绑定到untrust区域将邮件服务器、web服务器等这类的服务器与内网分开，放置于dmz区域。

3、双untrust端口模式

将untrusted以太网端口绑定到ehternet3接口，绑定到untrust区域

将以太网4号端口绑定到ethernet2接口，绑定到untrust区域

将以太网1-3号端口绑定到ethernet1接口，绑定到trust区域。

即将两个接口绑定到untrust区域，一个做主接口，一个作备份，当主接口失效时，备份接口才会使用。

4、home\work端口模式

将以太网1和2号端口绑定到ethernet1接口，并把接口绑定到work区域

将以太网3和4号端口绑定到ethernet2接口，并把接口绑定到home区域

将untrusted以太网端口绑定到ehternet3接口，绑定到untrust区域

缺省情况下：work区域的信息可以流向home区域，home区域信息不可以流向work区域

home区域的信息不受限制的流向untrust区域。

5、combined模式

untrusted和以太网端口4绑定到untrust区域。其中以太网端口4作为备份端口。

以太网2、3端口绑定到home区域

以太网1端口绑定到work区域。

第3章、接口

一、接口类型

安全区段接口：

1、物理接口，即设备固有的接口。

2、子接口：在逻辑上将一个物理接口分为几个虚拟子接口。

3、聚合接口：即把多个物理接口聚合成一个聚合接口，每个接口平均承担通过整个聚合接口的数据流。

4、冗余接口：即把两个物理接口绑定成一个冗余接口。当主接口失效时，备份接口才开始接替主接口工作。这与聚合接口不同，不是同时工作。

功能区段接口：

5、HA接口：HA用于组建高可用性时用的接口。即两个防火墙组成一个冗余组，当一个主防火墙失效时，备份防火墙接替主防火墙的工作。

6、通道接口：充当VPN通道入口。信息流通过通道接口进出VPN通道。

二、配置安全区接口

1、将接口绑定到安全区及解除绑定

2、为接口分配Ip

3、修改接口

设置和命令:

get interface 查看接口的命令。

设置接口：

set interface ethernet1 zone trust //把接口绑定到区域

set interface ethernet1 ip 192.168.9.1/24 //设置IP地址

set interface ehternet1 manage-ip 192.168.9.2 // 设置管理Ip地址。管理Ip地址要和接口地址在同一个网段。

set interface ethernet1 manage ssh //设置接口的管理协议

set interface ethernet1 manage ssl

set interface ethernet1 manage telnet

set interface ethernet1 manage web

unset interface ethernet1 manage ssh //关闭接口的管理协议

unset interface ethernet1 manage ssl

unset interface ethernet1 manage telnet

unset interface ethernet1 manage web

解除接口：

set interface ehternet1 ip 0.0.0.0/0 //设置接口Ip地址为空，即先解除接口的ip

set interface ehternet1 zone null //接口区域为空save

4、创建子接口和删除子接口

子接口注意点：

（1）子接口虽然源自物理接口，但可以将子接口绑定到任何区段，不必一定和物理接口处于一个区段内。

（2）子接口的Ip地址网段，必须与所有其他物理接口和子接口处于不同网段。

（3）子接口用vlan标记来区别。

配置命令：

set interface ethernet1.2 zone trust //把子接口划入区段trunst

set interface ethernet1.2 ip 192.168.10.1/24 tag 4 //设置子接口Ip地址和VLAN标识

unset interface ethernet1.2 //删除子接口

5、二级ip地址（即一个接口配第二个地址）

一个接口有一个唯一的主Ip地址，还可配一个或多个二级Ip地址。

（1）二级Ip地址不能与防火墙现有子网重迭。即每个二级Ip都必须是独立网段。不能与现在任何网段冲突。

（2）不能为untrust区域中的接口配置第二ip地址。

（3）不能为二级Ip配置网关。

（4）可用二级IP管理netscreen设备,此时与主IP的管理属性相同。所以不能为二级Ip配置独立的管理配置。

6、环回接口配置

是一个逻辑接口。此接口只要设备开启即开启。

必须给环回接口配置Ip，并绑定到安全区

可以把任何接口定义为环回接口的组成员。

7、

三、接口类型

（一）nat模式

1、当是nat模式时，与普通路由器和三层交换机的作用相似。

2、当内部接口是nat模式时，从内到外的数据包，即流出外向区段untrust的ip数据包，源Ip会用untrust区段的接口的Ip替换，源端口号，会用一个随机生成的端口号替换。

3、从外到内的数据包，即从外向区段untrust到内部区段trust的数据包，会通过mip(映射ip）、vip（虚拟IP）、vpn通道，转换成内部的目的地址和端口号。

screenos5.0.0之后的版本，untrust区段到内部区段trust、自定义内部区段的数据包，可以直接到过内部主机（nat接口模式后的主机），不用

vip\mip\vpn。但也可以使用mip\vip\vpn到达。

nat模式时，就想像成一个普通路由器。

（二）路由模式

路由模式时，在不同区段间转发信息时，不执行源NAT。即当数据包穿过防火墙时，数据包的源ip地址和端口号不变。并且每个区段内的接口都在不同网段。可以在策略中定义需要nat转换的ip，执行相应的Ip 进行nat转换。nat模式时，所有的ip都会进行nat转的换。

（三）透明模式

透明模式时，作用类似于二层交换机。

1、透明模式时的区段设置

（1）vlan区段

此区段是vlan1接口的宿主区段。用vlan1接口来管理防火墙。此Ip必须和第2层子网在同一网段。也可以为vlan接口配管理ip.

(2)预定义的第二层区段

v1-trust v1-untrust v1-dmz预定义此三个区段。

2、透明防火墙的信息流转发

（1）在第2层工作的netscreen设备，不允许区段间的任何信息流。即默认情况下，各区段间是不允许任何信息流通过的，除非配置了相应的策略。

（2）允许和拒绝策略中指定的信息流。

（3）允许arp和2层非ip广播信息流。拒绝所有非ip和非arp单点传送信息流及ipsec信息流，即拒绝非ARP单点，允许非IP广播流。

第4章定义构建块（为策略定义对象）

一、定义地址

1、定义地址条目

需要先在一个或多个地址列表中定义地址，才能设置许多netscreen防火墙、vpn 和信息流整形功能。

（1）定义单个地址：只有一个单一的IP地址，所以子网掩码为 255.255.255.255 （2）定义一个网段：带有子网掩码的定义一个网段。

不管是单个地址还是一个网段，都是一个对象，都有一个对象名。并且这个地址或网段也要划分到区域中。

2、定义地址组

（1）可以把多个地址条目加到地址组中。这样对一个地址组的策略可以影响所有组中的地址。

（2）一个地址组可以是其他地址组的成员。

（3）地址组只能包含属于同一区段的地址。

（4）地址组名不能和已有地址条目名相同。

（5）地址组被策略引用，则不能删除此地址组，只能编辑。

二、时间表

可以将时间表对象与一个或多个策略相关联以定义策略生效的时间。

三、DIP池

动态Ip池表示一个范围内的Ip地址。比如内网到外网时，nat转换可以是多对一，即一段内网的地址，都转换成一个外网地址。也可以是多对多转换，即一个网段的地址，可以转换成一个范围内的外部地址，所以外网的ip地址也可配置为一个地址范围。取地址时，是动态的在这个范围内取得。

这个动态ip地址池也可以只有一个Ip,但也要设置范围格式。如：

192.168.9.1--192.168.9.1,虽然只有一个地址，但也可以设置成范围格式，成了一个DIP。

四、服务

在策略中使用服务，定义对象拥有的服务功能。

1、预定义服务

防火墙预先设置好的一些服务条目。可以直接引用。

2、自定义服务

自行定义的服务，以灵活的应用到策略。

3、icmp服务

4、服务组

即把多个服务加入一个组中，对策略生效时，是一整个组的服务都生效。

第5章：策略

一、策略的基本元素

1、两个安全区间信息流的方向

2、源地址

3、目标地址

4、服务类型，即信息流传输的类型

5、动作，有允许、拒绝或tunnel

二、策略的三种类型

1、区段内部策略之-----从一个安全区到另一个安全区的策略。可以理解为区段间策略。

2、区段内部策略之-----在同一个安全区的接口间的策略。即一个区段内的不同接口之间信息流传递的策略。源地址和目的地址在同一区段内，但属于同区段的不同接口。

3、全局策略：可以管理地址间的信息流，但不必考虑他们所属的安全区。全局策略不引用特定的源和目的区段。全局策略引和用户定义的global区段地址或预定义的global区段地址“any” 。这些地址可以跨多个安全区段。

三、策略组列表

三种不同的策略组列表：

区段间策略列表：源区段和目的区段不同，则查找区段间策略列表。

区段内策略列表：源区段和目的区段相同，则查找区段内部策略列表。

全局策略列表：如果防火墙进行区段间策略列表和区段内策略列表查找，都没有找到匹配的项，则查找全局策略列表。

注：如果区段间策略列表、区段内策略列表、全局策略列表都没有找到匹配项，则防火墙会将缺省的策略应用到数据包。或将区段内部阻塞设置应用到数据包。

设备从上到下搜索每个策略组列表。因此注意顺序。一般将特殊的策略置于不太特殊的策略上面。

四、策略

策略能允许、拒绝、加密和解密、认证、排定优先次序、调度、过滤以及监控从一个区段到另一个区段的数据包。可以决定哪些用户和数据可以进出，以及进出的时间和地点。

1、策略和规则

一个策略可以生成一个或多个逻辑规则，每个规则都由一组组件（源地址、目的地址和服务）组成。组件占用内存资源。引用组件的逻辑规则不占用内存。

如１个策略：5个源地址*5个目标地址*5个服务=125条规则。

以上125条规刚的逻辑组件：只产生 5个源地址+5个目标地址+5个服务=15个组件。

2、策略的结构

策略必须包含的元素：

ID:自动生成

区段：源区段和目的区段

地址：（源地址和目的地址）

服务

动作：（permit\deny\tunnel)

策略也可以包含下列元素：

应用

名称

VPN通道确定

L2TP

深层检测

策略列表顶部位置

源地址转换

目的地址转换

用户认证

HA会话备份

URL过滤

记录

计数

信息流报警临界值

时间表

防病毒扫描

信息流整型

第6章地址转换

一、地址转换概述

1、源地址转换：即nat转换，可以转换源网络地址，还可以转换源网络地址+端口号。

2、目的地址转换：可用策略转换、映射ip地址、虚拟IP地址。映射地址转换是一对一的，是双向的，即一个外部IP对应一个内部IP。虚拟IP是，一对多的。一个外部IP加上端口号，对应内部IP加上端口号。这样一个外部IP，可以对应很多内部IP应用。

不支持同时将基于策略的NAT-dst与MIP和VIP配合使用。如果MIP、VIP和NAT-DST混合使用同于同一数据包，将以MIP和VIP的为准。不应用策略上的NAT-DST。

二、源地址转换（nat-src)

1、多对一：即多个内部IP转换成一个外部IP。

2、多对多：即多个内部IP转换成多个外部IP中的一个。即多个外部IP组成一个地址池（dip)，内部地址转换成外部IP时，从DIP中随机抽取一个外部IP。 DIP地址池，最小可以只有一个IP地址。但是当启用PAT（端口地址转换：ip地址+端口的方式）时，单个地址的DIP地址池可以转换最多达64500台主机。会根据地址+端口识别是哪个内部地址主机的请求。

3、策略源地址转换：只在策略上定义了源地址转换，而没有定义地址池时，将把源地址转换为目的区段的出接口地址（外部接口地址）

注意：需要将源地址端口保持固定的应用程序，需要禁用PAT,且将DIP地址池设置到足够大，确保每台内部地址都能分到一个不同的外部地址。

要将DIP地址池中的相同IP分配给主机的多个同时会话，即一个地址永远分配置这个主机，则需要启用DIP地址附着功能。命令模式下: set dip sticky

三、目的地址转换（外部取内部地址转换）

基本策略的nat-des和VIP可以使用端口号。 mip不能使用。

（一）基于策略的NAT-des

可将一个目的IP地址转换成另一个IP地址，即外部到内部的一对一映射。支持端口映射。

将一个目的IP地址范围转换成一个IP地址，即多对一的映射。支持端口映射。将一个目的IP地址范围转换成另一个IP地址范围，即外到内的多对多。不支持端口映射。

NAT-DES中可使用端口进行端口转换

但此时一定需要有指向虚拟目的地址(初始目的地址）和最终目的地址的路由。防火墙使用初始目的地址执行路由查找，来确定出口接口。然后根据出接口确定接口所在的区段，再在出接口区段中查找策略。策略中定义了从初始地址到最终地址的映射。当找到合适的策略后，防火墙再进行第二次路由查找，确定最终目的地址从哪个接口可以到达。

例如：把一个外部IP地址218.107.238.249映射为一个内部IP地址

192.168.9.1 ，内防火墙内一定要有218.107.238.249虚拟IP地址（初始目的地址）的路由和到达内部IP 192.168.9.1的路由。对于访问者即源地址来说，218.107.238.249只是初始虚拟目的地址，他的最终目的地址是 192.168.9.1 先找到218.107.238.249这个初始目的地址所属的接口，再查这个接口属于哪个区段，如果属于untrust区段，则在untrust区段中查找策略。如果找到策略中有从218.107.238.249到192.168.9.1的映射条目，再查找 192.168.9.1的路由，看哪个接口可以到这个地址。

这与我们常用的静态映射（MIP)和动态映射（VIP）不太一样。这里需要一个初始目的地址。

配置过程：

先建立和接口的ip地址和所属区段。

建立初始地址或初始地址段，并设置初始地址或地址段所属的区段。一般属于最终目标地址区段。

配置到初始地址或地址段的路由

配置策略，从使用客户端到目的地址所属区段的策略。并应用服务、刚定义的初始地址和动作。并在高级配置选项目定义到最终目标地址的转换。

（二）映射IP （MIP)

是一个IP地址到另一个IP地址的直接一对一映射。

1、MIP和Global区段

无论哪个区段接口的MIP，都会在global区段中生成该MIP条目。global区段存储所有MIP地址，不管是哪个区段的接口。

在策略上引用MIP时，既可以使用GLOBAL区段，也可以使用MIP指向的目标区段。（以地址形式表示）

可以将这些MIP地址作两个区段策略的目标地址，还可以在定义全局策略时作为目标地址。

2、基本配置方法

(1)定义各实际接口的地址及接口所属区段

(2)接口设置栏，定义MIP地址及所属虚拟路由,并定义MIP地址到内部地址的映射。（实际映射在此处已经定义），并且是基于一个实际接口定义的IP。(3)定义映射策略，即从MIP地址到目的地址的映射策略。一般从untrust区段到trust区段的策略。此时的目标地址选择MIP地址。还要定义服务和动作。

注意：如果MIP地址不是实际入接口的实际地址时，此地址一定要与入接口的实际地址在一个网段。

如定义一个外部到内部的映射时，（untrust到trunst区段的映射），如果不用untrust区段的实际接口地址作为MIP地址时，此MIP地址则必须与untrust 区段的物理接口地址处于同一网段。

3、从不同区段到达MIP的配置方法

（1）设置各接口的地址和所属区段

（2）在地址设置栏设置MIP地址

（3）接口设置栏，定义MIP地址及所属虚拟路由,并定义MIP地址到内部地址的

映射。

（4）定义策略。不属于MIP所在区域的，定义到MIP的策略。还需要在此区域定义一条到达MIP地址的路由。

（5）定义策略。定义MIP到内部地址的策略。即从MIP地址到目的地址的映射策略。一般从untrust区段到trust区段的策略。此时的目标地址选择MIP地址，而不是上面在地址设置栏设置的地址。还要定义服务和动作。

（三）虚拟IP （VIP）

就是动态映射。带端口的。一个外部地址可以映射很多个内部地址。通过地址+端口加以区别。

论哪个区段接口的VIP，都会在global区段中生成该VIP条目。global区段存储所有MIP地址，不管是哪个区段的接口。

在策略上引用VIP时，既可以使用GLOBAL区段，也可以使用MIP指向的目标区段。（以地址形式表示）

可以将这些VIP地址作两个区段策略的目标地址，还可以在定义全局策略时作为目标地址。

（1）设置各接口的地址和所属区段

（2）在接口设置栏设置VIP地址

（3）在刚设置的VIP地址上设置VIP地址的服务，即映射，带端口的映射。（4）定义策略，从VIP所属区到最终目的地址所在区的策略。

juniper防火墙配置手册

JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置：STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置：STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)

Juniper SRX防火墙简明配置手册-090721

Juniper SRX防火墙简明配置手册 卞同超 Juniper 服务工程师 Juniper Networks, Inc. 北京市东城区东长安街1号东方经贸城西三办公室15层1508室 邮编:100738 目录 一、JUNOS操作系统介绍 ............................................................................................................. 1.1 层次化配置结构........................................................................................................................ 1.2 JunOS配置管理......................................................................................................................... 1.3 SRX主要配置内容.................................................................................................................... 二、SRX防火墙配置对照说明...................................................................................................... 2.1 初始安装.................................................................................................................................... 2.1.1 登陆............................................................................................................................... 2.1.2 设置root用户口令..................................................................................................... 2.1.3 设置远程登陆管理用户............................................................................................... 2.1.4 远程管理SRX相关配置............................................................................................... 2.2 Policy .......................................................................................................................................... 2.3 NAT ............................................................................................................................................ 2.3.1 Interface based NAT................................................................................................. 2.3.2 Pool based Source NAT............................................................................................. 2.3.3 Pool base destination NAT..................................................................................... 2.3.4 Pool base Static NAT............................................................................................... 2.4 IPSEC VPN................................................................................................................................. 2.5 Application and ALG .................................................................................................................. 2.6 JSRP............................................................................................................................................ 三、SRX防火墙常规操作与维护.......................................................................................................... 3.1 设备关机................................................................................................................................ 3.2设备重启............................................................................................................................... 3.3操作系统升级 (15) 3.4密码恢复............................................................................................................................... 3.5常用监控维护命令............................................................................................................... Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

Juniper防火墙日常维护手册

Juniper防火墙维护手册

目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置（双机配置） (7) 1.5.配置MIP（通过图形界面配置） (9) 1.6.配置访问策略（通过图形界面配置） (11) https://www.sodocs.net/doc/cc9881301.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)

1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen，为了便于区分设备和维护，在对防火墙进行配置前先对防火墙进行命名： Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段，用于专门对接口进行管理时用。在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理IP，则不能对备用防火墙进行登录了。一般在单机时，不需要配置接口的管理IP，但在双机时，建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意：接口的工作模式可以工作在路由模式，NAT模式和透明模式。在产品线应用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用，建议把防火墙的所有接口都配置成route的工作模式，用命令set interface接口名 route配置即可，缺省情况下需要在trust区段中的接口使用此命令。 本例子中，配置接口ethernet2属于Untrust区，IP地址为202.38.12.23/28，如设置管理方式是Http，命令如下： Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat

Juniper_SRX防火墙Web配置手册

Juniper SRX防火墙配置手册

Juniper SRX防火墙配置说明 1系统配置 (1) 1.1配置ROOT帐号密码 (1) 1.2配置用户名和密码 (2) 2接口配置 (8) 2.1IPV4地址配置 (9) 2.2接口T RUNK模式配置 (13) 2.3接口A CC ESS模式配置 (14) 3VLAN配置 (15) 3.1创建VLAN配置 (15) 4路由配置 (19) 4.1静态路由配置 (21) 5自定义应用配置 (22) 5.1自定义服务配置 (22) 5.2应用组配置 (23) 6地址组配置 (24) 6.1地址簿配置 (24) 6.2地址组配置 (25) 7日程表配置 (27) 8NAT配置 (30) 8.1S TA TIC NA T配置 (30)

1 系统配置 1.1 配置root帐号密码 首次登陆设备时，需要采用console方式，登陆用户名为：root，密码为空，登陆到cli下以后，执行如下命令，设置root帐号的密码。 root# set system root-authentication plain-text-password root# new password : root123 root# retype new password: root123 密码将以密文方式显示。 注意：必须要首先配置root帐号密码，否则后续所有配置的修改都无法提交。 SRX系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在trust区域，配置一个ip地址192.168.1.1，允许ping、telnet、web等管理方式，可以通过该地址登陆设备。登陆后显示页面如下：

Juniper SRX路由器命令配置手册

Juniper SRX配置手册

目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (12) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (15) 3.3 操作系统升级 (15) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)

Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate

juniper防火墙详细配置手册

Juniper防火墙简明实用手册 （版本号：）

目录 1juniper中文参考手册重点章节导读.................................... 错误!未定义书签。 第二卷：基本原理 ...................................................... 错误!未定义书签。 第一章：ScreenOS 体系结构 .......................... 错误!未定义书签。 第二章：路由表和静态路由............................ 错误!未定义书签。 第三章：区段.................................................... 错误!未定义书签。 第四章：接口.................................................... 错误!未定义书签。 第五章：接口模式............................................ 错误!未定义书签。 第六章：为策略构建块.................................... 错误!未定义书签。 第七章：策略.................................................... 错误!未定义书签。 第八章：地址转换............................................ 错误!未定义书签。 第十一章：系统参数........................................ 错误!未定义书签。 第三卷：管理 .............................................................. 错误!未定义书签。 第一章：管理.................................................... 错误!未定义书签。 监控NetScreen 设备........................................ 错误!未定义书签。 第八卷：高可用性 ...................................................... 错误!未定义书签。 NSRP ................................................................... 错误!未定义书签。 故障切换............................................................ 错误!未定义书签。2Juniper防火墙初始化配置和操纵........................................ 错误!未定义书签。3查看系统概要信息................................................................. 错误!未定义书签。4主菜单常用配置选项导航..................................................... 错误!未定义书签。5Configration配置菜单 ........................................................... 错误!未定义书签。 Date/Time:日期和时间 ............................................... 错误!未定义书签。 Update更新系统镜像和配置文件 ............................. 错误!未定义书签。 更新ScreenOS系统镜像 .................................. 错误!未定义书签。 更新config file配置文件.................................. 错误!未定义书签。 Admin管理 .................................................................. 错误!未定义书签。 Administrators管理员账户管理....................... 错误!未定义书签。 Permitted IPs：允许哪些主机可以对防火墙进行管理错误!未定

Juniper防火墙故障情况下的快速恢复

为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。 一、设备重启动：Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。 二、操作系统备份：日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。 三、操作系统恢复：当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统，命令行方式：save software from tftp x.x.x.x filename to flash，或通过web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。 四、配置文件备份： 日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。 2、通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config配置信息记录到本地。 3、通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。 五、配置文件恢复： 防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。 2、通过web页面进行配置文件恢复：Configuration > Update > Config File，选中Replace Current Configuration，并从本地设备中选中供恢复的备份配置文件，点击apply后系统将进行重启动使新配置生效。 3、通过超级终端远程telnet/ssh到防火墙，通过unset all 命令清除防火墙配置，并进行重启，重启后将备份的配置命令粘贴到防火墙中。 六、恢复出厂值：console线缆连接到防火墙，通过reset命令对防火墙进行重启，并使用防火墙的16位序列号作为账号/口令进行登陆，可将防火墙配置快速恢复为出厂值。 七、硬件故障处理： 当防火墙出现故障时，且已经排除配置故障和ScreenOS软件故障，可通过NSRP切换到备用设备来恢复网络运行，并进一步定位硬件故障。切换方式为1、拔掉主用防火墙的上下行网线（仅在设备关闭电源的情况下，才需要拔掉该设备的HA连线），防火墙将自动进行主备切换。2、或在主用设备上执行：exec nsrp vsd-group id 0 mode backup,手动执行防火墙主备切换。 八、设备返修（RMA）:如经Juniper公司确认防火墙发生硬件故障，请及时联系设备代理商。设备代理商将根据报修流程，由Juniper公司对保修期内的损坏部件或设备进行RMA（设备返修）。

Juniper_SRX基本配置手册

Juniper SRX防火墙基本配置手册

1SRX防火墙的PPPoE拔号配置 Juniper SRX防火墙支持PPPoE拔号，这样防火墙能够连接ADSL链路，提供给内网用户访问网络的需求。 配置拓扑如下所示： Juniper SRX240防火墙 在Juniper SRX防火墙上面设置ADSL PPPoE拔号，可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0，在命令行下面的查看命令如下所示： juniper@HaoPeng# run show interfaces terse | match pp Interface Admin Link Proto Local Remote pp0 up up 在WEB界面下，也能够看到PPPoE的拔号接口pp0 配置步聚如下所示： 第一步：选择接口ge-0/0/4作为PPPoE拔号接口的物理接口，将接口封装成PPPoE To configure PPPoE encapsulation on an Ethernet interface: juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether 第二步：配置PPPoE接口PP0.0的参数 To create a PPPoE interface and configure PPPoE options: user@host# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/4.0 auto-reconnect 100 idle-timeout 100 client

Juniper 常用配置

Juniper 常用配置 一、基本操作 1、登录设备 系统初始化用户名是roo t，密码是空。在用户模式下输入configure或者是edit可以进入配置模式。 2、设置用户名：set host-name EX4200。 3、配置模式下运行用户模式命令，则需要在命令前面加一个run，如：run show interface 。 4、在show 后面使用管道符号加上display set将其转换成set 格式命令show protocols ospf | display set 。 5、在需要让配置生效需要使用commit命令，在commit之前使用commit check来对配置进行语法检查。如果提交之后，可以使用rollback进行回滚，rollback 1回滚上一次提前之前的配置，rollback 2则是回滚上 2 次提交之前的配置。 6、交换机重启：request system reboot 7、交换机关机：request system halt 二、交换机基本操作 2.1 设置root密码 交换机初始化用户名是root 是没有密码的，在进行commit 之前必须修改root 密码。明文修改方式只是输入的时候是明文，在交换机中还是以密文的方式存放的。 实例： 明文修改方式： lab@EX4200-1# top [edit] lab@EX4200-1# edit system [edit system] lab@EX4200-1# set root-authentication plain-text-password 2.2 设置删除主机名 实例：

#"设置主机名为EX4200" lab@EX4200-1# edit system [edit system] lab@EX4200-1# set host-name EX4200 #”删除命令”# lab@EX4200-1# edit system [edit system] lab@EX4200-1# delete host-name EX4200 2.3 开启Telnet登陆服务 说明：在默认缺省配置下，EX 交换机只是开放了http 远程登陆方式，因此如果想通过telnet登陆到交换机上，必须在系统中打开telnet 服务。 实例： lab@EX4200-1# edit system service [edit system services] #打开Telnet 服务 lab@EX4200-1# set telnet #同时telnet 的最大连接数范围1-250 lab@EX4200-1# set telnet connection-limit 10 #每分钟同时最大连接数范围1-250 lab@EX4200-1# set telnet rate-limit 10 #删除telnet服务 lab@EX4200-1# edit system service [edit system services] lab@EX4200-1# delete telnet 2.4 开启远程ssh登陆 EX 交换机默认是没有开启SSH 服务，当你打开了SSH 服务而没有制定SSH 的版本，系统自动支持V1和V2 版本。如果你指定了SSH 的版本，则系统只允许你指定版本的SSH 登陆。 实例： lab@EX4200-1# edit system service

Juniper SRX防火墙巡检命令

Juniper SRX防火墙巡检命令 1. CPU利用率核查show chassis routing-engine 2. MEM利用率核查show chassis routing-engine 3. OSPF邻居关系核查show ospf neighbor 4. LDP端口状态检查show ldp interface 5. ISIS邻居关系检查show isis adjacency 6. BGP邻居关系检查show bgp neighbor 7. HSRP信息检查show vrrp extensive 8. 生成树STP信息检查 9. 电源状态核查show chassis environment pem 10. 风扇状态核查show chassis environment 11. 单板告警核查show chassis alarms 12. 单板状态核查show chassis fpc/show chassis fpc pic-status 13. 单板温度核查show chassis fpc/show chassis fpc pic-status 14. 单板固件版本信息检查show chassis fpc detail 15. 接口配置核查show configuration interfaces 16. 接口描述规范性核查show interface descriptions 17. AAA认证检查show configuration system 18. 引擎板冗余状态检查show configuration chassis redundancy 19. NTP状态核查show ntp associations 20. SYSLOG配置指向检查show configuration system syslog 21. TRAP配置指向检查

juniper配置命令大全中英文对照版

#---表示翻译不一定准确 *---表示常用命令 >get ？ Address show address book显示地址信息 admin show admin information 显示管理员信息 alarm show alarm info 显示报警信息 alg application layer gateway information 应用层网关信息 alg-portnum get ALG port num 获得ALG接口号码 alias get alias definitions 得到别名定义 arp show ARP entries 显示ARP记录 asp asp attack show attacks 显示攻击信息 auth show authentication information 显示登陆信息认证信息 auth-server authentication server settings 认证服务器设置 backu4p backup information 备份信息 chassis show chassis information 显示机架信息（机架温度….） clock show system clock 显示系统时钟 config show system configuration 显示系统配置信息 console show console parameters 显示控制台参数设置 counter show counters 显示计数器仪表 di get deep inspection parameters 深入检测参数 dialer get dialer information 得到拨号器信息 dip show all dips in a vsys or root 显示所有dip里的虚拟系统或者根dip-in show incoming dip table info 显示进入DIP表的信息 dns show dns info 显示DNS信息 domain show domain name 显示域名 dot1x display global configuration 显示全局配置 driver show driver info 显示驱动信息 envar show environment variables 显示环境变量信息 event show event messages 显示事件消息 file show file information 显示文件信息 firewall show firewall protection information 显示防火墙保护信息 gate show gate info 阀门信息显示 global-pro global-pro settings 全局设置 # group show groups 显示组信息 group-expression group expressions details 组的表达方式详细信息 hostname show host name 显示主机名 igmp IGMP ike get IKE info 得到密钥信息 infranet Infranet Controller configuration Infranet控制器配置interface show interfaces 显示接口信息 ip get ip parameters 获得IP参数 ip-classification Show IP classification 显示IP分类 ippool get ippool info 得到IP地址池信息 ipsec get ipsec information 得到安全协议的信息 irdp show IRDP status 显示IRDP的状态地位 l2tp get l2tp information 得到L2TP的信息 license-key get license key info 得到许可证密钥信息 log show log info 显示日志信息 mac-learn show mac learning table 透明模式下显示MAC地址信息

Juniper SRX防火墙配置手册-命令行模式

Juniper SRX防火墙简明配置手册

目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (4) 1.3 SRX主要配置内容 (5) 二、SRX防火墙配置对照说明 (6) 2.1 初始安装 (6) 2.1.1 登陆 (6) 2.1.2 设置root用户口令 (6) 2.1.3 设置远程登陆管理用户 (7) 2.1.4 远程管理SRX相关配置 (7) 2.2 Policy (8) 2.3 NAT (8) 2.3.1 Interface based NAT (9) 2.3.2 Pool based Source NAT (10) 2.3.3 Pool base destination NAT (11) 2.3.4 Pool base Static NAT (12) 2.4 IPSEC VPN (13) 2.5 Application and ALG (15) 2.6 JSRP (15) 三、SRX防火墙常规操作与维护 (19) 3.1 设备关机 (19) 3.2设备重启 (20) 3.3操作系统升级 (20) 3.4密码恢复 (21) 3.5常用监控维护命令 (22)

Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级。

juniper防火墙详细配置手册

juniper防火墙详细配置手册

Juniper防火墙简明实用手册 （版本号：V1.0）

目录 1juniper中文参考手册重点章节导读 (4) 1.1第二卷：基本原理 4 1.1.1第一章：ScreenOS 体系结构 4 1.1.2第二章：路由表和静态路由 4 1.1.3第三章：区段 4 1.1.4第四章：接口 4 1.1.5第五章：接口模式 5 1.1.6第六章：为策略构建块 5 1.1.7第七章：策略 5 1.1.8第八章：地址转换 5 1.1.9第十一章：系统参数 6 1.2第三卷：管理 6 1.2.1第一章：管理 6 1.2.2监控NetScreen 设备 6 1.3第八卷：高可用性

6 1.3.1...................................................... NSRP 6 1.3.2故障切换 7 2Juniper防火墙初始化配置和操纵 (8) 3查看系统概要信息 (9) 4主菜单常用配置选项导航 (10) 5Configration配置菜单 (11) 5.1Date/Time:日期和时间 11 5.2Update更新系统镜像和配置文件 12 5.2.1更新ScreenOS系统镜像 12 5.2.2更新config file配置文件 13 5.3Admin管理 15 5.3.1Administrators管理员账户管理 15 5.3.2Permitted IPs：允许哪些主机可以对防火墙进行管理 16 6Networks配置菜单 (17) 6.1Zone安全区 17 6.2Interfaces接口配置 19 6.2.1查看接口状态的概要信息 19