Juniper SRX详细配置手册(含注释)
Juniper SRX标准配置
第一节系统配置 (3)
1.1、设备初始化 (3)
1.1.1登陆 (3)
1.1.2设置root用户口令 (3)
1.1.3设置远程登陆管理用户 (3)
2、系统管理 (4)
1.2.1 选择时区 (4)
1.2.2 系统时间 (4)
1.2.3 DNS服务器 (5)
1.2.4系统重启 (5)
1.2.5 Alarm告警处理 (5)
1.2.6 Root密码重置 (6)
第二节网络设置 (7)
2.1、Interface (7)
2.1.1 PPPOE (7)
2.1.2 Manual (8)
2.1.3 DHCP (8)
2.2、Routing (9)
Static Route (9)
2.3、SNMP (9)
第三节高级设置 (9)
3.1.1 修改服务端口 (9)
3.1.2 检查硬件序列号 (9)
3.1.3 内外网接口启用端口服务 (10)
3.1.4 创建端口服务 (10)
3.1.5 VIP端口映射 (10)
3.1.6 MIP映射 (11)
3.1.7禁用console口 (12)
3.1.8 Juniper SRX带源ping外网默认不通,需要做源地址NAT (12)
3.1.9 设置SRX管理IP (12)
3.2.0 配置回退 (13)
3.2.1 UTM调用 (13)
3.2.2 网络访问缓慢解决 (13)
第四节VPN设置 (14)
4.1、点对点IPSec VPN (14)
4.1.1 Route Basiced (14)
4.1.2 Policy Basiced (17)
4.2、Remote VPN (19)
4.2.1 SRX端配置 (19)
4.2.2 客户端配置 (20)
第一节系统配置
1.1、设备初始化
1.1.1登陆
首次登录需要使用Console口连接SRX,root用户登陆,密码为空
login: root
Password:
--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTC
root% cli /***进入操作模式***/
root>
root> configure
Entering configuration mode /***进入配置模式***/
[edit]
Root#
1.1.2设置root用户口令
(必须配置root帐号密码,否则后续所有配置及修改都无法提交)
root# set system root-authentication plain-text-password
root# new password : root123
root# retype new password: root123
密码将以密文方式显示
root# show system root-authentication
encrypted-password "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA
注意:强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password 加密方式),此配置参数要求输入的口令应是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。
注:root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执行commit提交后续配置命令。
1.1.3设置远程登陆管理用户
root# set system login user lab class super-user authentication plain-text-password
root# new password : juniper
root# retype new password: srx123
注:此juniper用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
2、系统管理
1.2.1 选择时区
srx_admin# set system time-zone Asia/Shanghai /***亚洲/上海***/
1.2.2 系统时间
1.2.2.1 手动设定
srx_admin> set date 201511201537.00
srx_admin> show system uptime
Current time: 2015-11-20 15:37:14 UTC
System booted: 2015-11-20 15:21:48 UTC (2d 00:15 ago)
Protocols started: 2015-11-20 15:24:45 UTC (2d 00:12 ago)
Last configured: 2015-11-20 15:30:38 UTC (00:06:36 ago) by srx_admin
3:37PM up 2 days, 15 mins, 3 users, load averages: 0.07, 0.17, 0.14
1.2.2.2 NTP同步一次
srx_admin> set date ntp 202.120.2.101
8 Feb 15:49:50 ntpdate[6616]: step time server 202.120.2.101 offset -28796.357071 sec
1.2.2.3 NTP服务器
srx_admin# set system ntp server 202.100.102.1
srx_admin#set system ntp server ntp.api.bz
/***SRX系统NTP服务器,设备需要联网可以解析ntp地址,不然命令无法输入***/
srx_admin> show ntp status
status=c011 sync_alarm, sync_unspec, 1 event, event_restart,
version="ntpd 4.2.0-a FriNov2015:44:16 UTC 2014 (1)",
processor="octeon", system="JUNOS12.1X44-D35.5", leap=11, stratum=16,
precision=-17, rootdelay=0.000, rootdispersion=0.105, peer=0,
refid=INIT, reftime=00000000.00000000 Thu, Feb 7 2036 14:28:16.000,
poll=4, clock=d88195bc.562dc2db Sun, Feb 8 2015 7:58:52.336, state=0,
offset=0.000, frequency=0.000, jitter=0.008, stability=0.000
srx_admin@holy-shit> show ntp associations
remote refid st t when poll reach delay offset jitter
============================================================================== https://www.wendangku.net/doc/b29684685.html, 15.179.156.248 3 - 16 64 1 5.473 -0.953 0.008
202.100.102.1 .INIT. 16 - - 64 0 0.000 0.000 4000.00
1.2.3 DNS服务器
srx_admin# set system name-server 202.96.209.5 /***SRX系统DNS***/
1.2.4系统重启
1.2.4.1重启系统
srx_admin>request system reboot
1.2.4.2关闭系统
srx_admin>request system power-off
1.2.5 Alarm告警处理
1.2.5.1告警查看
root# run show system alarms
2 alarms currently active
Alarm time Class Description
2015-11-20 14:21:49 UTC Minor Autorecovery information needs to be saved 2015-11-20 14:21:49 UTC Minor Rescue configuration is not set
1.2.5.2 告警处理
告警一处理
root> request system autorecovery state save
Saving config recovery information
Saving license recovery information
Saving BSD label recovery information
告警二处理
root> request system configuration rescue save
1.2.6Root密码重置
SRX Root密码丢失,并且没有其他的超级用户权限,那么就需要执行密码恢复,该操作需要中断设备正常运行,但不会丢失配置信息。操作步骤如下:
1.重启防火墙,CRT上出现下面提示时,按空格键中断正常启动,然后再进入单用户状态,并输入:boot–s
Loading /boot/defaults/loader.conf
/kernel data=0xb15b3c+0x13464c syms=[0x4+0x8bb00+0x4+0xcac15]
Hit [Enter] to boot immediately, or space bar for command prompt.
loader>
loader> boot -s
2.执行密码恢复:在以下提示文字后输入recovery,设备将自动进行重启
Enter full pathname of shell or 'recovery' for root password recovery or RETURN for /bin/sh: recovery
***** FILE SYSTEM WAS MODIFIED *****
System watchdog timer disabled
Enter full pathname of shell or 'recovery' for root password recovery or RETURN for /bin/sh: recovery
3.进入配置模式,删除root密码后重新设置root密码,并保存重启
root> configure
Entering configuration mode
[edit]
root# delete system root-authentication
[edit]
root# set system root-authentication plain-text-password
New password:
Retype new password:
[edit]
root# commit
commit complete
[edit]
root# exit
Exiting configuration mode
root> request system reboot
Reboot the system ? [yes,no] (no) yes
第二节网络设置
2.1、Interface
2.1.1 PPPOE
※在外网接口(fe-0/0/0)下封装PPP
srx_admin# set interfaces fe-0/0/0 unit 0 encapsulation ppp-over-ether
※CHAP认证配置
srx_admin# set interfaces pp0 unit 0 ppp-options chap default-chap-secret 1234567890 /***PPPOE的密码***/
srx_admin# set interfaces pp0 unit 0 ppp-options chap local-name rxgjhygs@163
/***PPPOE的帐号***/
srx_admin# set interfaces pp0 unit 0 ppp-options chap passive
/***采用被动模式***/
※PAP认证配置
srx_admin# set interfaces pp0 unit 0 ppp-options pap default-password 1234567890
/***PPPOE的密码***/
srx_admin# set interfaces pp0 unit 0 ppp-options pap local-name rxgjhygs@163
/***PPPOE的帐号***/
srx_admin# set interfaces pp0 unit 0 ppp-options pap local-password 1234567890
/***PPPOE的密码***/
srx_admin# set interfaces pp0 unit 0 ppp-options pap passive
/***采用被动模式***/
※PPP接口调用
srx_admin# set interfaces pp0 unit 0 pppoe-options underlying-interface fe-0/0/0.0
/***在外网接口(fe-0/0/0)下启用PPPOE拨号***/
※PPPOE拨号属性配置
srx_admin# set interfaces pp0 unit 0 pppoe-options idle-timeout 0
/***空闲超时值***/
srx_admin# set interfaces pp0 unit 0 pppoe-options auto-reconnect 3
/***3秒自动重拨***/
srx_admin# set interfaces pp0 unit 0 pppoe-options client
/***表示为PPPOE客户端***/
srx_admin# set interfaces pp0 unit 0 family inet mtu 1492
/***修改此接口的MTU值,改成1492。因为PPPOE的报头会有一点的开销***/
srx_admin# set interfaces pp0 unit 0 family inet negotiate-address
/***自动协商地址,即由服务端分配动态地址***/
※默认路由
srx_admin# set routing-options static route 0.0.0.0/0 next-hop pp0.0
※PPPOE接口划入untrust接口
srx_admin# set security zones security-zone untrust interfaces pp0.0
※验证PPPoE是否已经拔通,是否获得IP地址
srx_admin#run show interfaces terse | match pp
pp0 up up
pp0.0 up up inet 192.168.163.1 --> 1.1.1.1
ppd0 up up
ppe0 up up
注:
PPPOE拨号成功后需要调整MTU值,使上网体验达到最佳(MTU值不合适的话上网会卡)srx_admin# set interfaces pp0 unit 0 family inet mtu 1304 /***调整MTU大小***/
srx_admin# set security flow tcp-mss all-tcp mss 1304 /***调整TCP分片大小***/ 2.1.2 Manual
srx_admin# set interfaces fe-0/0/0 unit 0 family inet address 202.105.41.138/29
2.1.3 DHCP
※启用DHCP地址池
srx_admin# set system services dhcp pool 192.168.1.0/24 router 192.168.1.1
/***DHCP网关***/
srx_admin# set system services dhcp pool 192.168.1.0/24 address-range low 192.168.1.2
/***DHCP地址池第一个地址***/
srx_admin# set system services dhcp pool 192.168.1.0/24 address-range high 192.168.1.254
/***DHCP地址池最后一个地址***/
srx_admin# set system services dhcp pool 192.168.1.0/24 default-lease-time 36000
/***DHCP地址租期***/
srx_admin# set system services dhcp pool 192.168.1.0/24 domain-name https://www.wendangku.net/doc/b29684685.html,
/***DHCP域名***/
srx_admin# set system services dhcp pool 192.168.1.0/24 name-server 202.96.209.133
/***DHCP 分配DNS***/
srx_admin# set system services dhcp pool 192.168.1.0/24 name-server 202.96.209.5
srx_admin# set system services dhcp propagate-settings vlan.0/***DHCP分发端口***/
※配置内网接口地址
srx_admin# set interfaces vlan unit 0 family inet address 192.168.1.1/24
※内网接口调用DHCP地址池
srx_admin#set security zones security-zone trust interfaces vlan.0 host-inbound-traffic system-servicesdhcp
2.2、Routing
Static Route
srx_admin# set route-option static route 0.0.0.0/0 next-hop 116.228.60.153
/***默认路由***/
srx_admin# set route-option static route 10.50.10.0/24 next-hop st0.0
/***Route Basiced VPN路由***/
2.3、SNMP
srx_admin# set snmp community Ajitec authorization read-only/read-write
/***SNMP监控权限***/
srx_admin# set snmp client-list snmp_srx240 10.192.8.99/32
/***SNMP监控主机***/
第三节高级设置
3.1.1 修改服务端口
srx_admin# set system services web-management http port 8000
/***更改web的http管理端口号***/
srx_admin# set system services web-management https port 1443
/***更改web的https管理端口号***/
3.1.2 检查硬件序列号
srx# run show chassis hardware
Hardware inventory:
Item Version Part number Serial number Description Chassis BZ2615AF0491SRX100H2
Routing Engine REV 05 650-048781 BZ2615AF0491 RE-SRX100H2 FPC 0 FPC
PIC 0 8x FE Base PIC
Power Supply 0
3.1.3内外网接口启用端口服务
※定义系统服务
srx_admin# set system services ssh
srx_admin# set system services telnet
srx_admin# set system services web-management http interface vlan.0
srx_admin# set system services web-management http interface fe-0/0/0.0
srx_admin# set system services web-management https interface vlan.0
srx_admin# set system services web-management management-url admin
/***后期用https://ip/admin就可以登录管理页面,不加就直接跳转***/
※内网接口启用端口服务
srx_admin#set security zones security-zone trust interfaces vlan.0 host-inbound-traffic system-services ping/***开启ping ***/
srx_admin#set security zones security-zone trust interfaces vlan.0 host-inbound-traffic system-services http /***开启http ***/
srx_admin#set security zones security-zone trust interfaces vlan.0 host-inbound-traffic system-services telnet/***开启telnet ***/
※外网接口启用端口服务
srx_admin# set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services ping/***开启ping ***/
srx_admin#set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services telnet/***开启telnet ***/
srx_admin#set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services http/***开启http ***/
srx_admin#set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services all/***开启所有服务***/
3.1.4 创建系统服务
srx_admin#set applications application RDP protocol tcp /***协议选择tcp***/
srx_admin#set applications application RDP source-port 0-65535 /***源端口***/
srx_admin#set applications application RDP destination-port 3389 /***目的端口***/
srx_admin#set applications application RDP protocol udp /***协议选择udp***/
srx_admin#set applications application RDP source-port 0-65535 /***源端口***/
srx_admin#set applications application RDP destination-port 3389 /***目的端口***/
3.1.5 VIP端口映射
※DestinationNAT配置
srx_admin#set security nat destination pool 22 address 192.168.1.20/32
/***Destination NAT pool设置,为真实内网地址***/
srx_admin#set security nat destination pool 22 address port 3389
/***Destination NAT pool设置,为内网地址的端口号***/
srx_admin#set security nat destination rule-set 2 from zone untrust
/*** Destination NAT Rule设置,访问流量从untrust区域过来***/
srx_admin#set security nat destination rule-set 2 rule 111 match source-address 0.0.0.0/0
/*** Destination NAT Rule设置,访问流量可以任意地址***/
srx_admin#set security nat destination rule-set 2 rule 111 match destination-address 116.228.60.154/32
/*** Destination NAT Rule设置,访问的目的地址是116.228.60.157***/
srx_admin#set security nat destination rule-set 2 rule 111 match destination-port 3389
/*** Destination NAT Rule设置,访问的目的地址的端口号***/
srx_admin#set security nat destination rule-set 2 rule 111 then destination-nat pool 22
/***Destination NAT Rule设置,调用pool地址***/
※策略配置
srx_admin#set security policies from-zone untrust to-zone trust policy vip match source-address any
srx_admin#set security policies from-zone untrust to-zone trust policy vip match destination-address H192.168.1.20/32
srx_admin#set security policies from-zone untrust to-zone trust policy vip match application any srx_admin#set security policies from-zone untrust to-zone trust policy vip then permit
srx_admin#set security zones security-zone trust address-book address H192.168.1.20/32 192.168.1.20/32
3.1.6 MIP映射
※Destination NAT设置
srx_admin#set security nat destination pool 111 address 192.168.1.3/32
/***Destination NAT pool设置,为真实内网地址***/
srx_admin#set security nat destination rule-set 1 from zone untrust
/***Destination NAT Rule设置,访问流量从untrust区域过来***/
srx_admin#set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
/***Destination NAT Rule设置,访问流量可以任意地址***/
srx_admin#set security nat destination rule-set 1 rule 11 match destination-address 116.228.60.157/32
/***Destination NAT Rule设置,访问的目的地址是116.228.60.157***/
srx_admin#set security nat destination rule-set 1 rule 11 then destination-nat pool 11
/***Destination NAT Rule设置,调用pool地址***/
※配置ARP代理
srx_admin#set security nat proxy-arp interface fe-0/0/0.0 address 116.228.60.157/32
※策略配置
srx_admin#set security policies from-zone untrust to-zone trust policy mip match source-address any
srx_admin#set security policies from-zone untrust to-zone trust policy mip match destination-address H192.168.1.20/32
srx_admin#set security policies from-zone untrust to-zone trust policy mip match application any
srx_admin#set security policies from-zone untrust to-zone trust policy mip then permit
3.1.7禁用console口
juniper-srx@SRX100H2# edit system ports console/***进入console接口***/
juniper-srx@SRX100H2# set disable/***关闭端口***/
juniper-srx@SRX100H2# commit confirmed 3 /***提交3分钟,3分钟后回退***/ 3.1.8 Juniper SRX带源ping外网默认不通,需要做源地址NAT
set security nat source rule-set LOCAL from zone junos-host
set security nat source rule-set LOCAL to zone untrust
set security nat source rule-set LOCAL rule LOCAL match source-address 192.168.1.1/32
set security nat source rule-set LOCAL rule LOCAL match destination-address 0.0.0.0/0
set security nat source rule-set LOCAL rule LOCAL then source-nat interface
set security nat source rule-set trust-to-untrust from zone trust
set security nat source rule-set trust-to-untrust to zone untrust
set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0
set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface 3.1.9 设置SRX管理IP
※参照防火墙外网接口的端口服务
set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services ike
set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services ping
set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services ssh
※定义防火墙filter,设定允许访问的地址和端口
set firewall filter Outside_access_in term Permit_IP from source-address 116.228.60.158/32
set firewall filter Outside_access_in term Permit_IP from destination-address 59.46.184.114/32 set firewall filter Outside_access_in term Permit_IP from protocol tcp
set firewall filter Outside_access_in term Permit_IP from destination-port ssh
set firewall filter Outside_access_in term Permit_IP then accept
/***设置允许访问的地址和地址***/
set firewall filter Outside_access_in term Deny_ANY from destination-address 59.46.184.114/32 set firewall filter Outside_access_in term Deny_ANY from protocol tcp
set firewall filter Outside_access_in term Deny_ANY from destination-port ssh
set firewall filter Outside_access_in term Deny_ANY then discard
set firewall filter Outside_access_in term Permit_ANY then accept
/***其他流量全部拒绝***/
※防火墙外网接口调用filter,在接口上启用限制
set interfaces fe-0/0/0 unit 0 family inet filter input Outside_access_in
注:①在配置拒绝流量时注意在拒绝的端口后面放行其他流量,因为这个拒绝会把所有流量都拒绝掉。
②在配置拒绝流量时不能配置all,不然会把所有流量都拒绝掉。
3.2.0 配置回退
※查看提交过的配置
srx_admin# run show system commit
0 2016-05-04 11:47:46 UTC by root via junoscript
1 2016-05-04 11:40:11 UTC by root via cli
2 2016-05-04 11:38:36 UTC by root via cli
3 2016-04-27 11:41:07 UTC by root via cli
4 2016-04-01 17:37:22 UTC by root via button
※回退配置(“ROLLBACK 0”)
srx_admin # rollback ?
Possible completions:
<[Enter]> Execute this command
0 2016-05-04 11:47:46 UTC by root via junoscript
1 2016-05-04 11:40:11 UTC by root via cli
2 2016-05-04 11:38:36 UTC by root via cli
3 2016-04-27 11:41:07 UTC by root via cli
4 2016-04-01 17:37:22 UTC by root via button
| Pipe through a command
3.2.1 UTM调用
※在策略中调用UTM
srx_admin #set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any
srx_admin #set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any
srx_admin #set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any
srx_admin #set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit application-services utm-policy junos-av-policy
3.2.2 网络访问缓慢解决
srx_admin #set security flow syn-flood-protection-mode syn-cookie
srx_admin #set security flow tcp-mss all-tcpmss 1300
srx_admin #set security flow tcp-session rst-sequence-check
srx_admin #set security flow tcp-session strict-syn-check
srx_admin #set security flow tcp-session no-sequence-check
第四节VPN设置
4.1、点对点IPSec VPN
4.1.1 Route Basiced
/***standard or compatible模式***/
※创建tunnel接口
srx_admin#set interfaces st0 unit 0 family inet
/***新建st0.0接口***/
srx_admin#set security zones security-zone untrust interfaces st0.0
/***定义tunnel接口st0.0为untrust接口***/
※创建去往VPN对端内网的路由
srx_admin#srx_admin#set routing-options static route 172.16.1.0/24 next-hop st0.0 ※VPN第一阶段IKE配置
srx_admin#set security ike policy lead mode main
/***协商模式main or aggressive ***/
srx_admin#set security ike policy lead proposal-set standard/compatible
/***协商加密算法***/
srx_admin#set security ike policy lead pre-shared-key ascii-text juniper123
/***预共享密钥***/
※VPN第一阶段IKE配置
srx_admin#set security ike gateway gw1 ike-policy lead
/***调用第一阶段IKE配置***/
srx_admin#set security ike gateway gw1 address 116.228.60.158
/***对端网关地址***/
srx_admin#set security ike gateway gw1 external-interface fe-0/0/0.0
/***VPN出接口***/
注:如果使用PPPOE拨号上网,出接口必须使用ppp接口
srx_admin#set security ike gateway gw1 external-interface pp0.0
※VPN第二阶段IPSEC配置
srx_admin#set security ipsec policy abc proposal-set standard/compatible
/***协商加密算法***/
srx_admin#set security ipsec vpn test bind-interface st0.0
/***绑定VPN接口***/
srx_admin#set security ipsec vpn test ike gateway gw1
/***调用网关***/
srx_admin#set security ipsec vpn test ike ipsec-policy abc
/***调用加密算法的策略***/
srx_admin#set security ipsec vpn test establish-tunnels immediately
/***立即开始协商***/
※外网接口开启IKE服务
srx_admin#set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services ike
※双向流量策略
trust->untrust
srx_admin#set security policies from-zone trust to-zone untrust policy vpn-policy match srx_admin#source-address any
srx_admin#set security policies from-zone trust to-zone untrust policy vpn-policy match destination-address any
srx_admin#set security policies from-zone trust to-zone untrust policy vpn-policy match application any
srx_admin#set security policies from-zone trust to-zone untrust policy vpn-policy then permit untrust->trust
srx_admin#set security policies from-zone untrust to-zone trust policy vpn-policy match source-address any
srx_admin#set security policies from-zone untrust to-zone trust policy vpn-policy match destination-address any
srx_admin#set security policies from-zone untrust to-zone trust policy vpn-policy match application any
srx_admin#set security policies from-zone untrust to-zone trust policy vpn-policy then permit
/***custom模式***/
※创建tunnel接口
srx_admin#set interfaces st0 unit 0 family inet
/***新建st0.0接口***/
srx_admin#set security zones security-zone untrust interfaces st0.0
/***定义tunnel接口st0.0为untrust接口***/
※创建去往VPN对端内网的路由
srx_admin#set routing-options static route 172.16.1.0/24 next-hop st0.0
※VPN第一阶段IKE配置
※※proposal设置
srx_admin#set security ike proposal vpn1-proposal authentication-method pre-shared-keys
/***使用pre-shared-keys认证***/
srx_admin#set security ike proposal vpn1-proposal dh-group group2
/***DH组使用group2***/
srx_admin#set security ike proposal vpn1-proposal authentication-algorithm md5
/***MD5认证***/
srx_admin#set security ike proposal vpn1-proposal encryption-algorithm 3des-cbc
/***3des加密***/
※※policy设置
srx_admin#set security ike policy vpn1-ike-policy mode main
/***协商模式main or aggressive ***/
srx_admin#set security ike policy vpn1-ike-policy proposals vpn1-proposal
/***调用ike proposal配置***/
srx_admin#set security ike policy vpn1-ike-policy pre-shared-key ascii-text juniper123
/***预共享密钥***/
※※gateway设置
srx_admin#set security ike gateway vpn1-gateway ike-policy vpn1-ike-policy
/***调用ike policy设置***/
srx_admin#set security ike gateway vpn1-gateway address 116.228.60.158
/***对端网关地址***/
srx_admin#set security ike gateway vpn1-gateway external-interface fe-0/0/0.0
/***本地出接口***/
※VPN第二阶段IPSEC设置
※※proposal设置
srx_admin#set security ipsec proposal vpn2-ipsec-proposal protocol esp
/***ipsec proposal协议esp***/
srx_admin#set security ipsec proposal vpn2-ipsec-proposal authentication-algorithm hmac-md5-96
/***使用MD5认证***/
srx_admin#set security ipsec proposal vpn2-ipsec-proposal encryption-algorithm 3des-cbc
/***使用3des加密***/
※※policy设置
set security ipsec policy vpn2-ipsec-policy perfect-forward-secrecy keys group2
/***开启PFS,使用group2***/
srx_admin#set security ipsec policy vpn2-ipsec-policy proposals vpn2-ipsec-proposal /***ipsec policy设置,调用ipsec proposal***/
※※VPN设置
srx_admin#set security ipsec vpn vpn2-ipsec-vpn bind-interface st0.0
/***ipsec vpn设置,绑定tunnel接口***/
srx_admin#set security ipsec vpn vpn2-ipsec-vpn ike gateway vpn1-gateway
/***ipsec vpn设置,调用第一阶段VPN网关***/
srx_admin#set security ipsec vpn vpn2-ipsec-vpn ike ipsec-policy vpn2-ipsec-policy
/***ipsec vpn设置,调用第二阶段ipsec policy***/
srx_admin#set security ipsec vpn vpn2-ipsec-vpn establish-tunnels immediately
/***立即开始建立VPN隧道***/
※外网接口开启IKE服务
srx_admin#set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services ike
※双向流量策略
trust->untrust
srx_admin#set security policies from-zone trust to-zone untrust policy vpn-policy match source-address any
srx_admin#set security policies from-zone trust to-zone untrust policy vpn-policy match destination-address any
srx_admin#set security policies from-zone trust to-zone untrust policy vpn-policy match application any
srx_admin#set security policies from-zone trust to-zone untrust policy vpn-policy then permit untrust->trust
srx_admin#set security policies from-zone untrust to-zone trust policy vpn-policy match source-address any
srx_admin#set security policies from-zone untrust to-zone trust policy vpn-policy match destination-address any
srx_admin#set security policies from-zone untrust to-zone trust policy vpn-policy match application any
srx_admin#set security policies from-zone untrust to-zone trust policy vpn-policy then permit 4.1.2 Policy Basiced
※新建本地、对端内网网段,并将入其划入相应的zone
srx_admin#set security zones security-zone trust address-book address address1 192.168.1.0/24 /***本地内网网段***/
srx_admin#set security zones security-zone untrust address-book address address2 192.168.100.0/24
/***对端内网网段***/
※VPN第一阶段IKE设置
※※Proposal设置
srx_admin#set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys /***采用预共享密钥***/
srx_admin#set security ike proposal ike-phase1-proposal dh-group group2
/***DH Group使用Group2***/
srx_admin#set security ike proposal ike-phase1-proposal authentication-algorithm md5
/***使用md5认证***/
srx_admin#set security ike proposal ike-phase1-proposal encryption-algorithm 3des-cbc
/***使用3des加密***/
※※Policy设置
srx_admin#set security ike policy ike-phase1-policy mode main
/***协商模式main or aggressive ***/
srx_admin#set security ike policy ike-phase1-policy proposals ike-phase1-proposal
/***调用ike proposal配置***/
srx_admin#set security ike policy ike-phase1-policy pre-shared-key ascii-text juniper123
/***预共享密钥设置***/
※※gateway设置
srx_admin#set security ike gateway gw-chica ike-policy ike-phase1-policy
/***调用IKE policy***/
srx_admin#set security ike gateway gw-chica address 116.228.60.157
/***指定对端网关地址***/
srx_admin#set security ike gateway gw-chica external-interface fe-0/0/0.0
/***指定本地出街口***/
※VPN第二阶段IPSEC设置
※※Proposal设置
srx_admin#set security ipsec proposal ipsec-phase2-proposal protocol esp
/***ipsec proposal协议esp***/
srx_admin#set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-md5-96
/***使用md5认证***/
srx_admin#set security ipsec proposal ipsec-phase2-proposal encryption-algorithm 3des-cbc /***使用3des加密***/
※※policy设置
srx_admin#set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal /***ipsec policy设置,调用ipsec proposal***/
※※VPN设置
srx_admin#set security ipsec vpn ike-vpn-chica ike gateway gw-chica
/***ipsec vpn设置,调用第一阶段VPN网关***/
srx_admin#set security ipsec vpn ike-vpn-chica ike ipsec-policy ipsec-phase2-policy
/***ipse policy设置***/
srx_admin#set security ipsec vpn ike-vpn-chica establish-tunnels on-traffic
/***产生流量后VPN开始建立连接***/
※外网接口开启IKE服务
srx_admin#set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services ike
※VPN流量策略
trust->untrust
srx_admin#set security policies from-zone trust to-zone untrust policy vpn-tr-untr match source-address address1
srx_admin#set security policies from-zone trust to-zone untrust policy vpn-tr-untr match destination-address address2
srx_admin#set security policies from-zone trust to-zone untrust policy vpn-tr-untr match application any
srx_admin#set security policies from-zone trust to-zone untrust policy vpn-tr-untr then permit tunnel ipsec-vpn ike-vpn-chica
srx_admin#set security policies from-zone trust to-zone untrust policy vpn-tr-untr then log session-init
srx_admin#set security policies from-zone trust to-zone untrust policy vpn-tr-untr then log session-close
※上网流量策略
trust->untrust
srx_admin#set security policies from-zone trust to-zone untrust policy permit-any match source-address any
srx_admin#set security policies from-zone trust to-zone untrust policy permit-any match destination-address any
srx_admin#set security policies from-zone trust to-zone untrust policy permit-any match application any
srx_admin#set security policies from-zone trust to-zone untrust policy permit-any then permit untrust->trust
srx_admin#set security policies from-zone untrust to-zone trust policy vpn-untr-tr match source-address address2
srx_admin#set security policies from-zone untrust to-zone trust policy vpn-untr-tr match destination-address address1
srx_admin#set security policies from-zone untrust to-zone trust policy vpn-untr-tr match application any
srx_admin#set security policies from-zone untrust to-zone trust policy vpn-untr-tr then permit tunnel ipsec-vpn ike-vpn-chica
注:开启策略下log记录功能
set security policies from-zone untrust to-zone trust policy vpn-untr-tr then log session-init
set security policies from-zone untrust to-zone trust policy vpn-untr-tr then log session-close 4.2、Remote VPN
4.2.1 SRX端配置
※VPN第一阶段IKE Policy设置
srx_admin#set security ike policy remote-vpn-policy mode aggressive
srx_admin#set security ike policy remote-vpn-policy proposal-set compatible
srx_admin#set security ike policy remote-vpn-policy pre-shared-key ascii-text juniper123
※VPN第一阶段IKE Gateway设置
srx_admin#set security ike gateway remote-vpn-gateway ike-policy remote-vpn-policy
srx_admin#set security ike gateway remote-vpn-gateway dynamic hostname juniper
srx_admin#set security ike gateway remote-vpn-gateway dynamic connections-limit 10
srx_admin#set security ike gateway remote-vpn-gateway dynamic ike-user-type shared-ike-id
srx_admin#set security ike gateway remote-vpn-gateway external-interface fe-0/0/0.0
srx_admin#set security ike gateway remote-vpn-gateway xauth access-profile xauthsrx
※VPN第二阶段IPSec Policy设置
srx_admin#set security ipsec policy remote-vpn-ipsec-policy proposal-set compatible
※VPN第二阶段IPSec VPN设置
srx_admin#set security ipsec vpn remotevpn ike gateway remote-vpn-gateway
srx_admin#set security ipsec vpn remotevpn ike ipsec-policy remote-vpn-ipsec-policy
srx_admin#set security ipsec vpn remotevpn establish-tunnels immediately
※Remote用户DHCP设置
srx_admin#set access address-pool DHCP-POOL address-range low 172.16.1.1
srx_admin#set access address-pool DHCP-POOL address-range high 172.16.1.10
srx_admin#set access address-pool DHCP-POOL primary-dns 8.8.8.8
注:DHCP地址段最好与内网网段区别开来,不然会产生很多问题
※创建Remote认证用户
srx_admin#set access profile xauthsrx authentication-order password
srx_admin#set access profile xauthsrx client L2TP_USER_MA firewall-user password 123456
※外网接口开启IKE服务
srx_admin#set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services ike
※策略设置 untrust->trust
srx_admin#set security policies from-zone untrust to-zone trust policy dail-vpn match source-address any
srx_admin#set security policies from-zone untrust to-zone trust policy dail-vpn match destination-address network
srx_admin#set security policies from-zone untrust to-zone trust policy dail-vpn match application any
srx_admin#set security policies from-zone untrust to-zone trust policy dail-vpn then permit tunnel ipsec-vpn remotevpn
srx_admin#set security policies from-zone untrust to-zone trust policy dail-vpn then log session-init
srx_admin#set security policies from-zone untrust to-zone trust policy dail-vpn then log session-close
4.2.2 客户端配置
防火墙有什么用工作原理介绍
防火墙有什么用工作原理介绍 什么是防火墙,有什么作用 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种 获取安全性方法的形象说法,它是一种计算机硬件和软件的结合, 使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙 主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。 该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在 两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的 人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不 通过防火墙,公司内部的人就无法访问Internet,Internet上的人 也无法和公司内部的人进行通信。 XP系统相比于以往的Windows系统新增了许多的网络功能(Windows7的防火墙一样很强大,可以很方便地定义过滤掉数据包),例如Internet连接防火墙(ICF),它就是用一段"代码墙"把电脑和Internet分隔开,时刻检查出入防火墙的所有数据包,决定拦截或 是放行那些数据包。防火墙可以是一种硬件、固件或者软件,例如 专用防火墙设备就是硬件形式的防火墙,包过滤路由器是嵌有防火 墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。 ICF工作原理 ICF被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止来自连
Juniper_SRX基本配置手册
Juniper SRX防火墙基本配置手册
1SRX防火墙的PPPoE拔号配置 Juniper SRX防火墙支持PPPoE拔号,这样防火墙能够连接ADSL链路,提供给内网用户访问网络的需求。 配置拓扑如下所示: Juniper SRX240防火墙 在Juniper SRX防火墙上面设置ADSL PPPoE拔号,可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0,在命令行下面的查看命令如下所示: juniper@HaoPeng# run show interfaces terse | match pp Interface Admin Link Proto Local Remote pp0 up up 在WEB界面下,也能够看到PPPoE的拔号接口pp0 配置步聚如下所示: 第一步:选择接口ge-0/0/4作为PPPoE拔号接口的物理接口,将接口封装成PPPoE To configure PPPoE encapsulation on an Ethernet interface: juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether 第二步:配置PPPoE接口PP0.0的参数 To create a PPPoE interface and configure PPPoE options: user@host# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/4.0 auto-reconnect 100 idle-timeout 100 client
Juniper SRX路由器命令配置手册
Juniper SRX配置手册
目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (12) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (15) 3.3 操作系统升级 (15) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)
Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
电脑个人防火墙的使用技巧
电脑个人防火墙的使用技巧 对于广大PC机用户防范黑客的重要手段之一就是安装个人版防火墙。防火墙成了我们上网的必备工具,那么,对于个人防火墙你必须要有所了解。 什么是个人版防火墙? 个人版防火墙是安装在你的PC机系统里的一段"代码墙"把你的电脑和internet分隔开。它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截这个包还是将其放行。也就是说:在不妨碍你正常上网浏览的同时,阻止INTERNET上的其他用户对你的计算机进行的非法访问。 一个好的个人版防火墙必须是低的系统资源消耗,高的处理效率,具有简单易懂的设置界面,具有灵活而有效的规则设定。 国外在该领域发展得比较快,知名的品牌也比较多,如LOCKDOWN、NORTON、ZONEALARM、PCCILLIN、BLACKICE等等。国内虽然相对慢了一步,但也涌现了如“天网个人版防火墙”这样的优秀品牌,而且在实用性能上并不比国外知名品牌逊色。 部分个人版防火墙的对比列表 项目BlackICELockDown 2000ZoneAlarmNortonInternetSecurity2001PCcillin 2001天网个人防火墙 监控端口有有有有有有 连接状态数据流量统计有有有有无有
追查对方信息有有有无无有 使用容易程度一般一般专业性强专业性很强一般一般隐藏互联网连接监控无有有有无有 简易防护等级设置有无无有无有 界面英文英文英文英文英文中文 局域网共享支持能力强一般一般强一般一般 支持操作系统9x/me/ NT/2K9x/me/ NT/2K9x/me/ NT/2K9x/me/ NT/2K9x/me/ NT/2K9x/me/ NT/2K 系统资源占用情况低较低较低高高低 目前是否可免费获得否否否否否是
Juniper SRX防火墙简明配置手册-090721
Juniper SRX防火墙简明配置手册 卞同超 Juniper 服务工程师 Juniper Networks, Inc. 北京市东城区东长安街1号东方经贸城西三办公室15层1508室 邮编:100738 目录 一、JUNOS操作系统介绍 ............................................................................................................. 1.1 层次化配置结构........................................................................................................................ 1.2 JunOS配置管理......................................................................................................................... 1.3 SRX主要配置内容.................................................................................................................... 二、SRX防火墙配置对照说明...................................................................................................... 2.1 初始安装.................................................................................................................................... 2.1.1 登陆............................................................................................................................... 2.1.2 设置root用户口令..................................................................................................... 2.1.3 设置远程登陆管理用户............................................................................................... 2.1.4 远程管理SRX相关配置............................................................................................... 2.2 Policy .......................................................................................................................................... 2.3 NAT ............................................................................................................................................ 2.3.1 Interface based NAT................................................................................................. 2.3.2 Pool based Source NAT............................................................................................. 2.3.3 Pool base destination NAT..................................................................................... 2.3.4 Pool base Static NAT............................................................................................... 2.4 IPSEC VPN................................................................................................................................. 2.5 Application and ALG .................................................................................................................. 2.6 JSRP............................................................................................................................................ 三、SRX防火墙常规操作与维护.......................................................................................................... 3.1 设备关机................................................................................................................................ 3.2设备重启............................................................................................................................... 3.3操作系统升级 (15) 3.4密码恢复............................................................................................................................... 3.5常用监控维护命令............................................................................................................... Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
Juniper SRX防火墙的PPPoE拔号配置
SRX防火墙的PPPoE拔号配置 Juniper SRX防火墙支持PPPoE拔号,这样防火墙能够连接ADSL链路,提供给内网用户访问网络的需求。 配置拓扑如下所述:Ge-0/0/4 via PPPoE to obtian IP address Juniper SRX240防火墙 在Juniper SRX防火墙上面设置ADSL PPPoE拔号,可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0,在命令行下面的查看命令如下所示:juniper@HaoPeng# run show interfaces terse | match pp Interface Admin Link Proto Local Remote pp0 up up 在WEB界面下,也能够看到PPPoE的拔号接口pp0 配置步聚如下所示: 第一步:选择接口ge-0/0/4作为PPPoE拔号接口的物理接口,将接口封装成PPPoE To configure PPPoE encapsulation on an Ethernet interface: juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether 第二步:配置PPPoE接口PP0.0的参数To create a PPPoE interface and configure PPPoE options: user@host# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/4.0 auto-reconnect 100 idle-timeout 100 client 第三步:配置PPPoE接口的MTU值To configure the maximum transmission unit (MTU) of the IPv4 family: user@host# set interfaces pp0 unit 0 family inet mtu 1492
Juniper_SRX中文配置手册簿及现用图解
前言、版本说明 (3) 一、界面菜单管理 (5) 2、WEB管理界面 (6) (1)Web管理界面需要浏览器支持Flash控件。 (6) (2)输入用户名密码登陆: (7) (3)仪表盘首页 (7) 3、菜单目录 (10) 二、接口配置 (16) 1、接口静态IP (16) 2、PPPoE (17) 3、DHCP (18) 三、路由配置 (20) 1、静态路由 (20) 2、动态路由 (21) 四、区域设置Zone (23) 五、策略配置 (25) 1、策略元素定义 (25) 2、防火墙策略配置 (29) 3、安全防护策略 (31) 六、地址转换 (32) 1、源地址转换-建立地址池 (33)
2、源地址转换规则设置 (35) 七、VPN配置 (37) 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (38) 2、建立第一阶段IKE策略 (39) 3、建立第一阶段IKE Gateway (40) 4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (41) 5、建立第一阶段IKE策略 (42) 6、建立VPN策略 (43) 八、Screen防攻击 (46) 九、双机 (48) 十、故障诊断 (49)
前言、版本说明 产品:Juniper SRX240 SH 版本:JUNOS Software Release [9.6R1.13] 注:测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些,并且CPU占用率明显下降很多。 9.5R2.7版本(CPU持续保持在60%以上,甚至90%) 9.6R1.13版本(对菜单操作或者保存配置时,仍会提升一部分CPU)
防火墙应用指导手册
防火墙应用指导手册
防火墙应用指导手册 防火墙是为防止非法访问或保护专用网络而设计的一种系统。防火墙可用于硬件、软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。本文将从防火墙的简介、种类、选择的方法、配置、管理和维护等几个方面向您做详细的讲解。 防火墙简介 防火墙是为防止非法访问或保护专用网络而设计的一种系统。所有的数据在进入或离开内部网络时都要经过防火墙,防火墙会检查每个数据包,并且阻止那些不符合指定安全标准的数据包。 防火墙简介 防火墙的种类 每一种防火墙都有自己的特点,或许它们的区别可能与你所想的不一致。网络层防火墙和应用层防火墙的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。本文主要讲述网络层防火墙、应用层防火墙、代理防火墙及统一威胁管理。 网络层防火墙 应用层防火墙 代理防火墙 统一威胁管理 如何选择防火墙 为了选择最佳的周边安全解决方案,首先要考虑的就是防火墙的功能。比较好的是,那些在产品间做决定的主流防火墙都起相同的核心作用。每个都会执行状态检测包过滤,及允许实施基本的周边防御。
谁来负责防火墙 防火墙的安全风险有哪些 购买建议 防火墙配置 当为一个企业开发边界保护策略时,最常见的问题是“我应该把防火墙设置在哪里,以发挥其最大效用?我们目前的网络有两套防火墙系统:Fortinet的FortiGate和思科的PIX Firewall。从安全角度讲,采用不同厂商的多个防火墙有什么好处吗? 防火墙安置 两个网络防火墙比一个网络防火墙好吗 防火墙管理与维护 在通过了防火墙的选择和架构设计阶段的挑战后,我们面对的是持续的改变要求和厂商对我们的防火墙可执行操作的补丁之间的平衡。迅速而频繁的改变配置使得日常维护任务变得很难。 防火墙行为审计
Juniper_SRX防火墙Web配置手册
Juniper SRX防火墙配置手册
Juniper SRX防火墙配置说明 1系统配置 (1) 1.1配置ROOT帐号密码 (1) 1.2配置用户名和密码 (2) 2接口配置 (8) 2.1IPV4地址配置 (9) 2.2接口T RUNK模式配置 (13) 2.3接口A CC ESS模式配置 (14) 3VLAN配置 (15) 3.1创建VLAN配置 (15) 4路由配置 (19) 4.1静态路由配置 (21) 5自定义应用配置 (22) 5.1自定义服务配置 (22) 5.2应用组配置 (23) 6地址组配置 (24) 6.1地址簿配置 (24) 6.2地址组配置 (25) 7日程表配置 (27) 8NAT配置 (30) 8.1S TA TIC NA T配置 (30)
1 系统配置 1.1 配置root帐号密码 首次登陆设备时,需要采用console方式,登陆用户名为:root,密码为空,登陆到cli下以后,执行如下命令,设置root帐号的密码。 root# set system root-authentication plain-text-password root# new password : root123 root# retype new password: root123 密码将以密文方式显示。 注意:必须要首先配置root帐号密码,否则后续所有配置的修改都无法提交。 SRX系列低端设备在开机后,系统会加载一个默认配置,设备的第一个接口被划分在trust区域,配置一个ip地址192.168.1.1,允许ping、telnet、web等管理方式,可以通过该地址登陆设备。登陆后显示页面如下:
junipersrx100防火墙配置
Junipersrx100防火墙配置指导 # 一、初始化安装 1.1设备登录 Juniper SRX系列防火墙。开机之后,第一次必须通过console 口(通用超级终端缺省配置)连接SRX ,输入root 用户名登陆,密码为空,进入到SRX设备之后可以开始加载基线配置。 特别注意:SRX低端系列防火墙,在第一次登陆时,执行命令“show configuration”你会发现系统本身已经具备一些配置内容(包括DNS名称、DHCP服务器等),建议删除这些配置,重新配置。Delete 删除 设备开机请直接通过console 连接到防火墙设备 Login :root Password :/***初始化第一次登陆的时候,密码为空**/ Root% cli /**进入操作模式**/ Root> Root> configure /** 进入配置模式**/ Root# delete /***配置模式执行命令“delete”全局删除所有的系统缺省配置***/ 1.2 系统基线配置 Set system host-name name /***配置设备名称“name”***/ Set system time-zone Asia/Chongqing /***配置系统时区***/ Set system root-authentication plain-text-password 输入命令,回车 New password: 第一次输入新密码, Retype new password 重新确认新密码 /***配置系统缺省根账号密码,不允许修改根账号名称“root”***/ 注意:root帐号不能用于telnet,但是可以用于web和ssh管理登录到设备 S et system login user topsci class super-user authentication plain-text-password New password 输入密码 Retype new password 确认密码 /***创建一个系统本地账号“name“, set system services ssh set system services telnet
Juniper_SRX_配置手册
Juniper SRX防火墙简明配置手册
目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (11) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (14) 3.3 操作系统升级 (14) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)
Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd 命令),exit命令退回上一级,top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行commit命令时要求
JuniperSRX中文配置手册及图解
前言、版本说明 (1) 一、界面菜单管理 (3) 2、WEB管理界面 (4) (1)Web管理界面需要浏览器支持Flash控件。 (4) (2)输入用户名密码登陆: (4) (3)仪表盘首页 (5) 3、菜单目录 (7) 二、接口配置 (12) 1、接口静态IP (12) 2、PPPoE (13) 3、DHCP (14) 三、路由配置 (16) 1、静态路由 (16) 2、动态路由 (16) 四、区域设置Zone (18) 五、策略配置 (20) 1、策略元素定义 (20) 2、防火墙策略配置 (22) 3、安全防护策略 (25) 六、地址转换 (26) 1、源地址转换-建立地址池 (26) 2、源地址转换规则设置 (27) 七、VPN配置 (30) 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (30) 2、建立第一阶段IKE策略 (31) 3、建立第一阶段IKE Gateway (32) 4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (33) 5、建立第一阶段IKE策略 (34) 6、建立VPN策略 (35) 八、Screen防攻击 (38) 九、双机 (39) 十、故障诊断 (39) 前言、版本说明
产品:Juniper SRX240 SH 版本:JUNOS Software Release [9.6R1.13] 注:测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些,并且CPU占用率明显下降很多。 9.5R2.7版本(CPU持续保持在60%以上,甚至90%) 9.6R1.13版本(对菜单操作或者保存配置时,仍会提升一部分CPU)
众至防火墙说明
适用机器 UR-910、UR-915、UR-918、UR-930、UR-935、UR-938、UR-955、UR-958、UR-959 适用版本 2.2.0.1 注意事项 ======================================================================= 01 软件更新之后, 系统会自动重新启动, 约 3 ~ 5 分钟. 更新事项 ======================================================================= #1# 系统设定 修正 讯息通知 > 软件更新通知 > 新韧体释出时,只会发出一次通知信,通知讯息不再继续发送 修正 讯息通知 > DDNS更新失败 > 通知信内容不正确 修正 讯息通知 > SLB主机侦测断线 > 通知信内容有误 修正 讯息通知 > HA状态切换及资料同步异常 > 通知信内容有误 修正 讯息通知 > 硬盘容量过低(Usage over 90%)和坏轨 > 通知信内容有误 修正 数据导出及挂载 > 远程数据挂载 > 按下 "检视远程磁盘内容" 之后,就会出现整个UI卡住的状况 新增 讯息通知 > 各项次内容可自定义检查时间 新增 讯息通知记录 > 报表功能寄送成功失败的纪录查询 新增 管理员 [系统设定] > 通透的LAN/DMZ联机可经由其他WAN线路NAT 上网开关 #2# 网络接口及路由 修正 port自定义之后,没有对应的ipv6设定 修改 网络接口 > [外部网络_1],增加 若DMZ为BRI模式时,不能切换WAN1联机模式的防呆显示通知。 新增 外部网络 > PPPOE联机模式 wan 接口 支持带vlan tag 新增 网络接口 > DMZ 切换成 Transparent Routing时,要先关闭 DMZ dhcp 的防呆显示通知。 #3# 管制条例 修改 套用上网认证的条例即预先开启DNS的服务 修正 wan 到 lan / dmz 到 lan 条例 的目的网络显示 没有套用到 "系统设定 > 数据显示笔数"的设定值 新增 条例后方实时流量链接图示的字段 新增 QUOTA/DAY(每个来源IP) ,流量限额满了之后 , 联机用户浏览器时显示告知 , 以及通知管理者 #4# 地址表 修改 外部网络群组 > 支持中文URL解析 修正 外部网络群组 > 用户自定义 Domain 在比对domain时,不分大小写 修正 地址群组 括号不能储存问题 修正 ip的名称中间有多个空格,网络群组从地址表选择成员选取该ip时,该ip的组名显示不出来 修正 ip的名称中间有多个空格,网络群组从地址表选择成员选取该ip时,无法达到连动删除的问题 修正 [内部网络群组]、[非军事区群组]、[外部网络群组] > 当名称有「11.0」时,再新增「11」会显示名称已重复的问题 新增 地址表计算机名称、IP地址及MAC地址以及群组组名及成员的搜寻选项
Juniper SRX防火墙巡检命令
Juniper SRX防火墙巡检命令 1. CPU利用率核查show chassis routing-engine 2. MEM利用率核查show chassis routing-engine 3. OSPF邻居关系核查show ospf neighbor 4. LDP端口状态检查show ldp interface 5. ISIS邻居关系检查show isis adjacency 6. BGP邻居关系检查show bgp neighbor 7. HSRP信息检查show vrrp extensive 8. 生成树STP信息检查 9. 电源状态核查show chassis environment pem 10. 风扇状态核查show chassis environment 11. 单板告警核查show chassis alarms 12. 单板状态核查show chassis fpc/show chassis fpc pic-status 13. 单板温度核查show chassis fpc/show chassis fpc pic-status 14. 单板固件版本信息检查show chassis fpc detail 15. 接口配置核查show configuration interfaces 16. 接口描述规范性核查show interface descriptions 17. AAA认证检查show configuration system 18. 引擎板冗余状态检查show configuration chassis redundancy 19. NTP状态核查show ntp associations 20. SYSLOG配置指向检查show configuration system syslog 21. TRAP配置指向检查
Juniper_SRX中文配置手册及图解
前言、版本说明 .............................................................................................. 错误!未定义书签。 一、界面菜单管理 ...................................................................................... 错误!未定义书签。 2、WEB管理界面 ..................................................................................... 错误!未定义书签。 (1)Web管理界面需要浏览器支持Flash控件。...................... 错误!未定义书签。 (2)输入用户名密码登陆:......................................................... 错误!未定义书签。 (3)仪表盘首页............................................................................. 错误!未定义书签。 3、菜单目录............................................................................................. 错误!未定义书签。 二、接口配置 .................................................................................................. 错误!未定义书签。 1、接口静态IP........................................................................................ 错误!未定义书签。 2、PPPoE .................................................................................................. 错误!未定义书签。 3、DHCP .................................................................................................... 错误!未定义书签。 三、路由配置 .................................................................................................. 错误!未定义书签。 1、静态路由............................................................................................. 错误!未定义书签。 2、动态路由............................................................................................. 错误!未定义书签。 四、区域设置Zone ......................................................................................... 错误!未定义书签。 五、策略配置 .................................................................................................. 错误!未定义书签。 1、策略元素定义..................................................................................... 错误!未定义书签。 2、防火墙策略配置................................................................................. 错误!未定义书签。 3、安全防护策略..................................................................................... 错误!未定义书签。 六、地址转换 .................................................................................................. 错误!未定义书签。 1、源地址转换-建立地址池................................................................... 错误!未定义书签。 2、源地址转换规则设置......................................................................... 错误!未定义书签。 七、VPN配置 ................................................................................................... 错误!未定义书签。 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议)错误!未定义 书签。 2、建立第一阶段IKE策略..................................................................... 错误!未定义书签。 3、建立第一阶段IKE Gateway ............................................................. 错误!未定义书签。 4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议)错误!未定义 书签。 5、建立第一阶段IKE策略..................................................................... 错误!未定义书签。 6、建立VPN策略 .................................................................................... 错误!未定义书签。 八、Screen防攻击 ......................................................................................... 错误!未定义书签。 九、双机 .......................................................................................................... 错误!未定义书签。 十、故障诊断 .................................................................................................. 错误!未定义书签。前言、版本说明 产品:Juniper SRX240 SH 版本:JUNOS Software Release [ 注:测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些,并且CPU占用率明显下降很多。 ,甚至90%) ,仍会提升一部分CPU) 一、界面菜单管理
- Juniper SRX防火墙Web配置说明
- Juniper SRX 与 SSG防火墙基于路由VPN
- Juniper_SRX防火墙Web配置手册
- juniper srx防火墙-nat实际现网配置实例
- Juniper SRX配置手册
- junipersrx防火墙配置管理手册
- juniper srx100 防火墙配置
- Juniper SRX防火墙巡检命令
- Juniper_SRX防火墙配置手册
- Juniper SRX防火墙Web配置说明解析
- Juniper SRX防火墙简明配置手册
- JuniperSRX防火墙Web配置说明
- Juniper SRX防火墙的PPPoE拔号配置
- Juniper_SRX配置手册
- JuniperSRX防火墙简明配置手册
- Juniper SRX防火墙Web配置说明
- Juniper SRX防火墙配置手册
- JuniperSRX中文配置手册及图解
- Juniper SRX防火墙简明配置手册
- JuniperSRX防火墙配置管理手册