文档介绍:Juniper SRX防火墙简明配置手册
目录
一、JUNOS操作系统介绍 3
层次化配置结构 3
JunOS配置管理 4
SRX主要配置内容 4
二、SRX防火墙配置对照说明 5
初始安装 5
登陆 5
设置root用户口令 5
设置远程登陆管理用户 5
远程管理SRX相关配置 6
Policy 6
NAT 7
Interface based NAT 8
Pool based Source NAT 8
Pool base destination NAT 9
Pool base Static NAT 10
IPSEC VPN 11
Application and ALG 12
JSRP 12
三、SRX防火墙常规操作与维护 15
设备关机 15
设备重启 15
操作系统升级 15
密码恢复 16
常用监控维护命令 16
Juniper SRX防火墙简明配置手册
SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
screen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。
一、JUNOS操作系统介绍
层次化配置结构
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。
JunOS配置管理
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
Config)等待管理员提交确认,mit命令来提交配置,配置内容在通过SRX语法检查后才会生效,mit通过后当前配置即成为有效配置(Active config)。另外,mit命令时要求管理员对提交的配置进行两次确认,mit confirmed mit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
mit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),mit后配置模式下可通过run show config命令查看当前有效配置(Active config)。此外可通过执行show | compare比对候选配置和有效配置的差异。
SRX上由于配备大容量硬盘存储器,mit顺序自动保存50份有效配置,mit命令返回到以前配置(如rollback mit配置);也可以直接通过执行save ,并执行load override / commit调用前期手动保存的配置。执行load factory-default / commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivate security it命令可使NAT相关配置不生效,并可通过执行activate secur