1、 Page * MERGEFORMAT 87Juniper SRX Branch系列防火墻配置管理手冊(cè) 目 錄 TOC o 1-3 h z u HYPERLINK l _Toc504681732 一、JUNOS操作系統(tǒng)介紹 PAGEREF _Toc504681732 h 4 HYPERLINK l _Toc504681733 1.1 層次化配置結(jié)構(gòu) PAGEREF _Toc504681733 h 4 HYPERLINK l _Toc504681734 1.2 JunOS配置管理 PAGEREF _Toc504681734 h 5 HYPERLINK l _Toc504681735 1.3 SR

2、X主要配置內(nèi)容 PAGEREF _Toc504681735 h 6 HYPERLINK l _Toc504681736 二、SRX防火墻配置操作舉例說(shuō)明 PAGEREF _Toc504681736 h 7 HYPERLINK l _Toc504681737 2.1 初始安裝 PAGEREF _Toc504681737 h 7 HYPERLINK l _Toc504681738 2.1.1 設(shè)備登陸 PAGEREF _Toc504681738 h 7 HYPERLINK l _Toc504681739 2.1.2 設(shè)備恢復(fù)出廠介紹 PAGEREF _Toc504681739 h 8 HYPERL

3、INK l _Toc504681740 2.1.3 設(shè)置root用戶口令 PAGEREF _Toc504681740 h 9 HYPERLINK l _Toc504681741 2.1.4 設(shè)置遠(yuǎn)程登陸管理用戶 PAGEREF _Toc504681741 h 9 HYPERLINK l _Toc504681742 2.1.5 遠(yuǎn)程管理SRX相關(guān)配置 PAGEREF _Toc504681742 h 10 HYPERLINK l _Toc504681743 2.2 配置操作實(shí)驗(yàn)拓?fù)?PAGEREF _Toc504681743 h 11 HYPERLINK l _Toc504681744 2.3 策

4、略相關(guān)配置說(shuō)明 PAGEREF _Toc504681744 h 11 HYPERLINK l _Toc504681745 2.3.1 策略地址對(duì)象定義 PAGEREF _Toc504681745 h 13 HYPERLINK l _Toc504681746 2.3.2 策略服務(wù)對(duì)象定義 PAGEREF _Toc504681746 h 13 HYPERLINK l _Toc504681747 2.3.3 策略時(shí)間調(diào)度對(duì)象定義 PAGEREF _Toc504681747 h 14 HYPERLINK l _Toc504681748 2.3.4 策略配置舉例 PAGEREF _Toc50468174

5、8 h 15 HYPERLINK l _Toc504681749 2.4 地址轉(zhuǎn)換 PAGEREF _Toc504681749 h 17 HYPERLINK l _Toc504681750 2.4.1 Interface based NAT 基于接口的源地址轉(zhuǎn)換 PAGEREF _Toc504681750 h 19 HYPERLINK l _Toc504681751 2.4.2 Pool based Source NAT基于地址池的源地址轉(zhuǎn)換 PAGEREF _Toc504681751 h 20 HYPERLINK l _Toc504681752 2.4.3 Pool base destina

6、tion NAT基于地址池的目標(biāo)地址轉(zhuǎn)換 PAGEREF _Toc504681752 h 21 HYPERLINK l _Toc504681753 2.4.4 Pool base Static NAT基于地址池的靜態(tài)地址轉(zhuǎn)換 PAGEREF _Toc504681753 h 23 HYPERLINK l _Toc504681754 2.5 IPSEC VPN PAGEREF _Toc504681754 h 25 HYPERLINK l _Toc504681755 2.5.1 基于路由的LAN TO LAN IPSEC VPN PAGEREF _Toc504681755 h 26 HYPERLIN

7、K l _Toc504681756 2.5.2 基于策略的LAN TO LAN IPSEC VPN PAGEREF _Toc504681756 h 28 HYPERLINK l _Toc504681757 2.5.3 基于Remote VPN 客戶端撥號(hào)VPN PAGEREF _Toc504681757 h 29 HYPERLINK l _Toc504681758 2.5.4 基于IPSEC動(dòng)態(tài)VPN PAGEREF _Toc504681758 h 40 HYPERLINK l _Toc504681759 2.6 應(yīng)用層網(wǎng)關(guān)ALG配置及說(shuō)明 PAGEREF _Toc504681759 h 48

8、 HYPERLINK l _Toc504681760 2.7 SRX Branch 系列JSRP HA高可用性配置及說(shuō)明 PAGEREF _Toc504681760 h 49 HYPERLINK l _Toc504681761 2.8 SRX Branch 系列IDP、UTM配置操作介紹 PAGEREF _Toc504681761 h 56 HYPERLINK l _Toc504681762 2.9 SRX Branch 系列與UAC聯(lián)動(dòng)配置說(shuō)明 PAGEREF _Toc504681762 h 66 HYPERLINK l _Toc504681763 2.10 SRX Branch系列FLOW

9、配置說(shuō)明 PAGEREF _Toc504681763 h 72 HYPERLINK l _Toc504681764 2.11 SRX Branch系列SCREEN攻擊防護(hù)配置說(shuō)明 PAGEREF _Toc504681764 h 75 HYPERLINK l _Toc504681765 2.12 SRX Branch系列J-WEB操作配置簡(jiǎn)要說(shuō)明 PAGEREF _Toc504681765 h 77 HYPERLINK l _Toc504681766 三、SRX防火墻常規(guī)操作與維護(hù) PAGEREF _Toc504681766 h 83 HYPERLINK l _Toc504681767 3.2設(shè)

10、備關(guān)機(jī) PAGEREF _Toc504681767 h 83 HYPERLINK l _Toc504681768 3.3設(shè)備重啟 PAGEREF _Toc504681768 h 84 HYPERLINK l _Toc504681769 3.4操作系統(tǒng)升級(jí) PAGEREF _Toc504681769 h 84 HYPERLINK l _Toc504681770 3.5密碼恢復(fù) PAGEREF _Toc504681770 h 85 HYPERLINK l _Toc504681771 3.6常用監(jiān)控維護(hù)命令 PAGEREF _Toc504681771 h 86Juniper SRX Branch系列

11、防火墻配置管理手冊(cè)說(shuō)明SRX系列防火墻是Juniper公司基于JUNOS操作系統(tǒng)的安全系列產(chǎn)品，JUNOS集成了路由、交換、安全性和一系列豐富的網(wǎng)絡(luò)服務(wù)。目前Juniper公司的全系列路由器產(chǎn)品、交換機(jī)產(chǎn)品和SRX安全產(chǎn)品均采用統(tǒng)一源代碼的JUNOS操作系統(tǒng)，JUNOS是全球首款將轉(zhuǎn)發(fā)與控制功能相隔離，并采用模塊化軟件架構(gòu)的網(wǎng)絡(luò)操作系統(tǒng)。JUNOS作為電信級(jí)產(chǎn)品的精髓是Juniper真正成功的基石，它讓企業(yè)級(jí)產(chǎn)品同樣具有電信級(jí)的不間斷運(yùn)營(yíng)特性，更好的安全性和管理特性，JUNOS軟件創(chuàng)新的分布式架構(gòu)為高性能、高可用、高可擴(kuò)展的網(wǎng)絡(luò)奠定了基礎(chǔ)?；贜P架構(gòu)的SRX系列產(chǎn)品產(chǎn)品同時(shí)提供性能優(yōu)異的防火

12、墻、NAT、IPSEC、IPS、UTM等全系列安全功能，其安全功能主要來(lái)源于已被廣泛證明的ScreenOS操作系統(tǒng)。 本文旨在為熟悉Netscreen防火墻ScreenOS操作系統(tǒng)的工程師提供SRX防火墻參考配置，以便于大家能夠快速部署和維護(hù)SRX防火墻，文檔介紹JUNOS操作系統(tǒng)，并參考ScreenOS配置介紹SRX防火墻配置方法，最后對(duì)SRX防火墻常規(guī)操作與維護(hù)做簡(jiǎn)要說(shuō)明。鑒于SRX系列防火墻低端系列與高端3K、5K系列在功能配置與包處理流程有所差異,本人主要以低端系列功能配置介紹為主,Branch系列型號(hào)目前包含：SRX100210240650將來(lái)會(huì)有新的產(chǎn)品加入到Branch家族,請(qǐng)隨

13、時(shí)關(guān)注官方網(wǎng)站動(dòng)態(tài)，配置大同小異。一、JUNOS操作系統(tǒng)介紹1.1 層次化配置結(jié)構(gòu)JUNOS采用基于FreeBSD內(nèi)核的軟件模塊化操作系統(tǒng)，支持CLI命令行和WEBUI兩種接口配置方式，本文主要對(duì)CLI命令行方式進(jìn)行配置說(shuō)明。JUNOS CLI使用層次化配置結(jié)構(gòu)，分為操作（operational）和配置（configure）兩類模式，在操作模式下可對(duì)當(dāng)前配置、設(shè)備運(yùn)行狀態(tài)、路由及會(huì)話表等狀態(tài)進(jìn)行查看及設(shè)備運(yùn)維操作，并通過(guò)執(zhí)行config或edit命令進(jìn)入配置模式，在配置模式下可對(duì)各相關(guān)模塊進(jìn)行配置并能夠執(zhí)行操作模式下的所有命令（run）。在配置模式下JUNOS采用分層分級(jí)模塊下配置結(jié)構(gòu)，如下圖

14、所示，edit命令進(jìn)入下一級(jí)配置（類似unix cd命令）,exit命令退回上一級(jí)，top命令回到根級(jí)。1.2 JunOS配置管理JUNOS通過(guò)set語(yǔ)句進(jìn)行配置，配置輸入后并不會(huì)立即生效，而是作為候選配置（Candidate Config）等待管理員提交確認(rèn)，管理員通過(guò)輸入commit命令來(lái)提交配置，配置內(nèi)容在通過(guò)SRX語(yǔ)法檢查后才會(huì)生效，一旦commit通過(guò)后當(dāng)前配置即成為有效配置（Active config）。另外，JUNOS允許執(zhí)行commit命令時(shí)要求管理員對(duì)提交的配置進(jìn)行兩次確認(rèn)，如執(zhí)行commit confirmed 2命令要求管理員必須在輸入此命令后2分鐘內(nèi)再次輸入commit

15、以確認(rèn)提交，否則2分鐘后配置將自動(dòng)回退，這樣可以避免遠(yuǎn)程配置變更時(shí)管理員失去對(duì)SRX的遠(yuǎn)程連接風(fēng)險(xiǎn)。在執(zhí)行commit命令前可通過(guò)配置模式下show命令查看當(dāng)前候選配置（Candidate Config），在執(zhí)行commit后配置模式下可通過(guò)run show config命令查看當(dāng)前有效配置（Active config）。此外可通過(guò)執(zhí)行show | compare比對(duì)候選配置和有效配置的差異。SRX上由于配備大容量存儲(chǔ)器，缺省按先后commit順序自動(dòng)保存50份有效配置，并可通過(guò)執(zhí)行rolback和commit命令返回到以前配置（如rollback 0/commit可返回到前一commit配置

16、）；也可以直接通過(guò)執(zhí)行save configname.conf手動(dòng)保存當(dāng)前配置，并執(zhí)行l(wèi)oad override configname.conf / commit調(diào)用前期手動(dòng)保存的配置。執(zhí)行l(wèi)oad factory-default / commit命令可恢復(fù)到出廠缺省配置。SRX可對(duì)模塊化配置進(jìn)行功能關(guān)閉與激活，如執(zhí)行deactivate security nat/comit命令可使NAT相關(guān)配置不生效，并可通過(guò)執(zhí)行activate security nat/commit使NAT配置再次生效。SRX通過(guò)set語(yǔ)句來(lái)配置防火墻，通過(guò)delete語(yǔ)句來(lái)刪除配置，如delete security n

17、at和edit security nat / delete一樣，均可刪除security防火墻層級(jí)下所有NAT相關(guān)配置，刪除配置和ScreenOS不同，配置過(guò)程中需加以留意。1.3 SRX主要配置內(nèi)容部署SRX防火墻主要有以下幾個(gè)方面需要進(jìn)行配置：System：主要是系統(tǒng)級(jí)內(nèi)容配置，如主機(jī)名、管理員賬號(hào)口令及權(quán)限、時(shí)鐘時(shí)區(qū)、Syslog、SNMP、系統(tǒng)級(jí)開(kāi)放的遠(yuǎn)程管理服務(wù)（如telnet）等內(nèi)容。Interface:接口相關(guān)配置內(nèi)容。Security: 是SRX防火墻的主要配置內(nèi)容，安全相關(guān)部分內(nèi)容全部在Security層級(jí)下完成配置，如NAT、Zone、Policy、Address-book

18、、Ipsec、Screen、Idp、UTM等，可簡(jiǎn)單理解為ScreenOS防火墻安全相關(guān)內(nèi)容都遷移至此配置層次下，除了Application自定義服務(wù)。Application：自定義服務(wù)單獨(dú)在此進(jìn)行配置，配置內(nèi)容與ScreenOS基本一致。routing-options： 配置靜態(tài)路由或router-id等系統(tǒng)全局路由屬性配置。二、SRX防火墻配置操作舉例說(shuō)明2.1 初始安裝2.1.1 設(shè)備登陸Console口(通用超級(jí)終端缺省配置)連接SRX，root用戶登陸，密碼為空l(shuí)ogin: rootPassword: JUNOS 9.5R1.8 built 2009-07-16 15:04:30 U

19、TCroot% cli /*進(jìn)入操作模式*/root root configureEntering configuration mode /*進(jìn)入配置模式*/editRoot#2.1.2 設(shè)備恢復(fù)出廠介紹首先根據(jù)上述操作進(jìn)入到配置模式,執(zhí)行下列命令：root# load factory-default warning: activating factory configuration /*系統(tǒng)激活出廠配置*/恢復(fù)出廠后,必須立刻設(shè)置ROOT帳號(hào)密碼root# set system root-authentication plain-text-password New password:當(dāng)設(shè)置完

20、ROOT帳號(hào)密碼以后,進(jìn)行保存激活配置root# commit commit complete在此需要提醒配置操作員注意，系統(tǒng)恢復(fù)出廠后并不代表沒(méi)有任何配置,系統(tǒng)缺省配置有ScreenDHCPPolicy等相關(guān)配置,你如果需要完整的刪除,可以執(zhí)行命令delete 刪除相關(guān)配置。通過(guò)show 來(lái)查看系統(tǒng)是否還有遺留不需要的配置,可以一一進(jìn)行刪除,直到符合你的要求,然后再重新根據(jù)實(shí)際需求進(jìn)行配置。2.1.3 設(shè)置root用戶口令設(shè)置root用戶口令root# set system root-authentication plain-text-passwordroot# new password :

21、 root123root# retype new password: root123密碼將以密文方式顯示root# show system root-authentication encrypted-password $1$xavDeUe6$fNM6olGU.8.M7B62u05D6.; # SECRET-DATA注意：強(qiáng)烈建議不要使用其它加密選項(xiàng)來(lái)加密root和其它user口令(如encrypted-password加密方式)，此配置參數(shù)要求輸入的口令是經(jīng)加密算法加密后的字符串，采用這種加密方式手工輸入時(shí)存在密碼無(wú)法通過(guò)驗(yàn)證風(fēng)險(xiǎn)。注：root用戶僅用于console連接本地管理SRX，不能通

22、過(guò)遠(yuǎn)程登陸管理SRX，必須成功設(shè)置root口令后，才能執(zhí)行commit提交后續(xù)配置命令。2.1.4 設(shè)置遠(yuǎn)程登陸管理用戶root# set system login user lab class super-user authentication plain-text-passwordroot# new password : lab123root# retype new password: lab123注：此lab用戶擁有超級(jí)管理員權(quán)限，可用于console和遠(yuǎn)程管理訪問(wèn)，另也可自行靈活定義其它不同管理權(quán)限用戶。2.1.5 遠(yuǎn)程管理SRX相關(guān)配置run set date YYYYMMDDhhm

23、m.ss/*設(shè)置系統(tǒng)時(shí)鐘*/set system time-zone Asia/Shanghai/*設(shè)置時(shí)區(qū)為上海*/set system host-name SRX-650-1/*設(shè)置主機(jī)名*/set system name-server /*設(shè)置DNS服務(wù)器*/set system services ftpset system services telnet set system services web-management http /*在系統(tǒng)級(jí)開(kāi)啟ftp/telnet/http遠(yuǎn)程接入管理服務(wù)*/set interfaces ge-0/0/0.0 family inet addres

24、s /24或set interfaces ge-0/0/0 unit 0 family inet address /24set interfaces ge-0/0/1 unit 0 family inet address /24set routing-options static route /0 next-hop /*配置邏輯接口地址及缺省路由，SRX接口要求IP地址必須配置在邏輯接口下（類似ScreenOS的子接口），通常使用邏輯接口0即可*/set security zones security-zone untrust interfaces ge-0/0/0.0/*將ge-0/0/0.

25、0接口放到安全區(qū)域中，類似ScreenOS*/set security zones security-zone untrust host-inbound-traffic system-services pingset security zones security-zone untrust host-inbound-traffic system-services httpset security zones security-zone untrust host-inbound-traffic system-services telnet/*在untrust zone打開(kāi)允許遠(yuǎn)程登陸管理服務(wù)，S

26、creenOS要求基于接口開(kāi)放服務(wù)，SRX要求基于Zone開(kāi)放，從SRX主動(dòng)訪問(wèn)出去流量開(kāi)啟服務(wù)，類似ScreenOS*/本次實(shí)驗(yàn)拓?fù)渲惺褂玫脑O(shè)備的版本如下：SRX100-HM系統(tǒng)版本與J-WEB版本均為：10.1.R2.8SSG防火墻版本為6.1.0R7測(cè)試客戶端包含WINDOWS7XP2.2 配置操作實(shí)驗(yàn)拓?fù)?.3 策略相關(guān)配置說(shuō)明安全設(shè)備的缺省行為是拒絕安全區(qū)段之間的所有信息流 ( 區(qū)段之間信息流)允許綁定到同一區(qū)段的接口間的所有信息流 ( 區(qū)段內(nèi)部信息流)。為了允許選定的區(qū)段之間信息流通過(guò)安全設(shè)備，必須創(chuàng)建覆蓋缺省行為的區(qū)段之間策略。同樣，為了防止選定的區(qū)段內(nèi)部信息流通過(guò)安全設(shè)備，必須

27、創(chuàng)建區(qū)段內(nèi)部策略?；驹卦试S、拒絕或設(shè)置兩點(diǎn)間指定類型單向信息流通道的策略。信息流 ( 或“服務(wù)”)的類型、兩端點(diǎn)的位置以及調(diào)用的動(dòng)作構(gòu)成了策略的基本元素。盡管可以有其它組件，但是共同構(gòu)成策略核心部分的必要元素如下:策略名稱 - 兩個(gè)安全區(qū)段間 ( 從源區(qū)段到目的區(qū)段) 間信息流的方向 /*必須配置*/源地址 - 信息流發(fā)起的地址 /*必須配置*/目標(biāo)地址 - 信息流發(fā)送到的地址 /*必須配置*/服務(wù) - 信息流傳輸?shù)念愋?/*必須配置*/動(dòng)作 - 安全設(shè)備接收到滿足頭四個(gè)標(biāo)準(zhǔn)的信息流時(shí)執(zhí)行的動(dòng)作 /*必須配置*/這些動(dòng)作為:deny、permit、reject 或 tunnel注意tunn

28、el、firewall-authentication、application-services在permit下一級(jí),如下：root# set security policies from-zone trust to-zone untrust policy t-u then permit ? Firewall-authentication tunnel 另外還包括其他的策略元素,比如記錄日志、流量統(tǒng)計(jì)、時(shí)間調(diào)度對(duì)象等三種類型的策略 可通過(guò)以下三種策略控制信息流的流動(dòng):通過(guò)創(chuàng)建區(qū)段之間策略，可以管理允許從一個(gè)安全區(qū)段到另一個(gè)安全區(qū)段的信息流的種類。通過(guò)創(chuàng)建區(qū)段內(nèi)部策略，也可以控制允許通過(guò)綁定到同一

29、區(qū)段的接口間的信息流的類型。通過(guò)創(chuàng)建全局策略，可以管理地址間的信息流，而不考慮它們的安全區(qū)段。2.3.1 策略地址對(duì)象定義SRX服務(wù)網(wǎng)關(guān)地址對(duì)象需要自定義后才可以在策略中進(jìn)行引用,默認(rèn)只有any對(duì)象自定義單個(gè)地址對(duì)象如下：root# set security zones security-zone trust address-book address pc-1 00/32 root# set security zones security-zone trust address-book address pc-2 10/32 自定義單個(gè)地址組對(duì)象如下：set security zones sec

30、urity-zone trust address-book address-set pc-group address pc-1set security zones security-zone trust address-book address-set pc-group address pc-22.3.2 策略服務(wù)對(duì)象定義SRX服務(wù)網(wǎng)關(guān)部分服務(wù)對(duì)象需要自定義后才可以在策略中進(jìn)行引用,默認(rèn)僅有預(yù)定義常用服務(wù)對(duì)象自定義單個(gè)服務(wù)對(duì)象如下：set applications application tcp-3389 protocol tcp 定義服務(wù)對(duì)象協(xié)議set applications applic

31、ation tcp-3389 source-port 1-65535定義服務(wù)對(duì)象源端口set applications application tcp-3389 destination-port 3389-3389定義服務(wù)對(duì)象目標(biāo)地址set applications application tcp-3389 inactivity-timeout never 可選定義服務(wù)對(duì)象timeout時(shí)長(zhǎng)set applications application tcp-8080 protocol tcpset applications application tcp-8080 source-port 1-6

32、5535set applications application tcp-8080 destination-port 8080-8080set applications application tcp-8080 inactivity-timeout 3600自定義單個(gè)服務(wù)組對(duì)象如下：set applications application-set aaplications-group application tcp-8080set applications application-set aaplications-group application tcp-33892.3.3 策略時(shí)間調(diào)度對(duì)象

33、定義SRX服務(wù)網(wǎng)關(guān)時(shí)間調(diào)度對(duì)象需要自定義后才可以在策略中進(jìn)行引用,默認(rèn)沒(méi)有預(yù)定義時(shí)間調(diào)度對(duì)象自定義單個(gè)時(shí)間調(diào)度對(duì)象如下：set schedulers scheduler work-time daily start-time 09:00:00 stop-time 18:00:00set schedulers scheduler happy-time sunday start-time 00:00:00 stop-time 23:59:59set schedulers scheduler happy-time saturday start-time 00:00:00 stop-time 23:59

34、:59注意：時(shí)間調(diào)度服務(wù)生效參考設(shè)備系統(tǒng)時(shí)間,所以需要關(guān)注設(shè)備系統(tǒng)時(shí)間是否正常。2.3.4 策略配置舉例Policy配置方法與ScreenOS基本一致，僅在配置命令上有所區(qū)別，其中策略的允許/拒絕的動(dòng)作（Action）需要額外配置一條then語(yǔ)句(將ScreenOS的一條策略分解成兩條及以上配置語(yǔ)句)。Policy需要手動(dòng)配置policy name，policy name可以是字符串，也可以是數(shù)字（與ScreenOS的policy ID類似,只不過(guò)需要手工指定）。首先需要注意系統(tǒng)缺省策略配置：root# show security policies default-policy 查看當(dāng)前系統(tǒng)缺

35、省策略動(dòng)作root# set security policies default-policy ? 設(shè)置系統(tǒng)缺省策略動(dòng)作Possible completions:deny-all Deny all traffic if no policy matchpermit-all Permit all traffic if no policy match根據(jù)實(shí)驗(yàn)拓?fù)溥M(jìn)行策略配置舉例說(shuō)明 set security zones security-zone trust address-book address pc1 00/32set security zones security-zone untrust

36、address-book address server1 00/32/*與ScreenOS一樣，在trust和untrust zone下分別定義地址對(duì)象便于策略調(diào)用，地址對(duì)象的名稱可以是地址/掩碼形式*/set security zones security-zone trust address-book address-set addr-group1 address pc1/*在trust zone下定義名稱為add-group1的地址組，并將pc1地址放到該地址組中*/Set security policies from-zone trust to-zone untrust policy

37、001 match source-address addr-group1 destination-address server1 application anyset security policies from-zone trust to-zone untrust policy 001 then permit/*定義從trust 到untrust方向permit策略，允許addr-group1組的源地址訪問(wèn)server1地址any服務(wù)*/set security policies from-zone trust to-zone untrust policy 001 then log sess

38、ion-initset security policies from-zone trust to-zone untrust policy 001 then log session-closeset security policies from-zone trust to-zone untrust policy 001 then count/*定義從trust 到untrust方向策略，針對(duì)當(dāng)前策略記錄日志并統(tǒng)計(jì)策略流量root# set security policies from-zone trust to-zone untrust policy 001 scheduler-name hap

39、py-time root# set security policies from-zone trust to-zone dmz policy 001 scheduler-name work-time /*定義當(dāng)前策略，引用時(shí)間調(diào)度對(duì)象，符合時(shí)間條件策略生效，否則策略將處于非工作狀態(tài) root# set security policies from-zone trust to-zone untrust policy t-u then permit application-services ?Possible completions:+ apply-groups Groups from which

40、 to inherit configuration data+ apply-groups-except Dont inherit configuration data from these groupsgprs-gtp-profile Specify GPRS Tunneling Protocol profile nameidp Intrusion detection and preventionredirect-wx Set WX redirectionreverse-redirect-wx Set WX reverse redirectionuac-policy Enable unifie

41、d access control enforcement of policyutm-policy Specify utm policy nameedit/*定義當(dāng)前策略，選擇是否客氣IDPUACUTM等操作,如果針對(duì)策略開(kāi)啟相應(yīng)的檢查，請(qǐng)先定義好相應(yīng)的功能。2.4 地址轉(zhuǎn)換 SRX NAT較ScreenOS在功能實(shí)現(xiàn)方面基本保持一致，但在功能配置上有較大區(qū)別，配置的主要差異在于ScreenOS的NAT與policy是綁定的，無(wú)論是MIP/VIP/DIP還是基于策略的NAT，在policy中均要體現(xiàn)出NAT內(nèi)容（除了缺省基于untrust接口的Souec-NAT模式外），而SRX 的NAT則作為

42、網(wǎng)絡(luò)層面基礎(chǔ)內(nèi)容進(jìn)行獨(dú)立配置（獨(dú)立定義地址映射的方向、映射關(guān)系及地址范圍），Policy中不再包含NAT相關(guān)配置信息，這樣的好處是易于理解、簡(jiǎn)化運(yùn)維，當(dāng)網(wǎng)絡(luò)拓樸和NAT映射關(guān)系發(fā)生改變時(shí)，無(wú)需調(diào)整Policy配置內(nèi)容。SRX NAT和Policy執(zhí)行先后順序?yàn)椋耗康牡刂忿D(zhuǎn)換目的地址路由查找執(zhí)行策略檢查源地址轉(zhuǎn)換，結(jié)合這個(gè)執(zhí)行順序，在配置Policy時(shí)需注意：Policy中源地址應(yīng)是轉(zhuǎn)換前的源地址，而目的地址應(yīng)該是轉(zhuǎn)換后的目的地址，換句話說(shuō)，Policy中的源和目的地址應(yīng)該是源和目的兩端的真實(shí)IP地址，這一點(diǎn)和ScreenOS存在區(qū)別，需要加以注意。SRX中不再使用MIP/VIP/DIP這些概念

43、，其中MIP被Static靜態(tài)地址轉(zhuǎn)換取代，兩者在功能上完全一致；DIP被Source NAT取代；基于Policy的目的地址轉(zhuǎn)換及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址轉(zhuǎn)換被保留下來(lái)，但在SRX中不再是缺省模式（SRX中Trust Zone接口沒(méi)有NAT模式概念），需要手工配置。類似ScreenOS，Static屬于雙向NAT，其他類型均屬于單向NAT。此外，SRX還多了一個(gè)proxy-arp概念，如果定義的IP Pool（可用于源或目的地址轉(zhuǎn)換）需配置SRX對(duì)這個(gè)Pool內(nèi)的地址提供ARP代理功能，這樣對(duì)端設(shè)備能夠解析到IP

44、 Pool地址的MAC地址（使用接口MAC地址響應(yīng)對(duì)方），以便于返回報(bào)文能夠送達(dá)SRX。下面是配置舉例及相關(guān)說(shuō)明：2.4.1 Interface based NAT 基于接口的源地址轉(zhuǎn)換圖片僅供參考,下列配置參考實(shí)驗(yàn)拓?fù)銷AT配置：set security nat source rule-set 1 from zone trust 指定源區(qū)域set security nat source rule-set 1 to zone untrust 指定目標(biāo)區(qū)域set security nat source rule-set 1 rule rule1 match source-address /0 d

45、estination-address /0 指定源和目標(biāo)匹配的地址或者地址段,0.0.0./0代表所有set security nat source rule-set 1 rule rule1 then source-nat interface 指定通過(guò)接口IP進(jìn)行源翻譯上述配置定義NAT源地址映射規(guī)則，從Trust Zone訪問(wèn)Untrust Zone的所有流量用Untrust Zone接口IP做源地址轉(zhuǎn)換。Policy配置:set security policies from-zone trust to-zone untrust policy 1 match source-address

46、pc-1set security policies from-zone trust to-zone untrust policy 1 match destination-address anyset security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定義Policy策略，允許Trust zone 地址訪問(wèn)Untrust方向任何地址，

47、根據(jù)前面的NAT配置，SRX在建立session時(shí)自動(dòng)執(zhí)行接口源地址轉(zhuǎn)換。2.4.2 Pool based Source NAT基于地址池的源地址轉(zhuǎn)換圖片僅供參考,下列配置參考實(shí)驗(yàn)拓?fù)銷AT配置：set security nat source pool pool-1 address 0 to 50set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat source rule-set 1 rule rule1 match

48、 source-address /0 destination-address /0set security nat source rule-set 1 rule rule1 then source-nat pool pool-1set security nat proxy-arp interface ge-0/0/0 address 0 to 50上述配置表示從trust方向（any）到untrust方向(any)訪問(wèn)時(shí)提供源地址轉(zhuǎn)換，源地址池為pool1(0-50)，同時(shí)fe-0/0/0接口為此pool IP提供ARP代理。需要注意的是：定義Pool時(shí)不需要與Zone及接口進(jìn)行關(guān)聯(lián)。配置pr

49、oxy-arp目的是讓返回包能夠送達(dá)SRX，如果Pool與出接口IP不在同一子網(wǎng)，則對(duì)端設(shè)備需要配置指向fe-0/0/0接口的Pool地址路由。Policy：set security policies from-zone trust to-zone untrust policy 1 match source-address pc-1set security policies from-zone trust to-zone untrust policy 1 match destination-address anyset security policies from-zone trust to-

50、zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定義Policy策略，允許Trust zone 地址訪問(wèn)Untrust方向任何地址，根據(jù)前面的NAT配置，SRX在建立session時(shí)自動(dòng)執(zhí)行源地址轉(zhuǎn)換。2.4.3 Pool base destination NAT基于地址池的目標(biāo)地址轉(zhuǎn)換圖片僅供參考,下列配置參考實(shí)驗(yàn)拓?fù)銷AT配置：set security nat destination pool 11

51、1 address 00/32set security nat destination rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address /0set security nat destination rule-set 1 rule 111 match destination-address 50/32set security nat destination rule-set 1 rule 111 then destination-nat pool 1

52、11上述配置將外網(wǎng)any訪問(wèn)50地址映射到內(nèi)網(wǎng)00地址，注意：定義的Dst Pool是內(nèi)網(wǎng)真實(shí)IP地址，而不是映射前的公網(wǎng)地址。這點(diǎn)和Src-NAT Pool有所區(qū)別。Policy：set security policies from-zone trust to-zone untrust policy 1 match source-address anyset security policies from-zone trust to-zone untrust policy 1 match destination-address PC-1set security policies from-zo

53、ne trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定義Policy策略，允許Untrust方向任何地址訪問(wèn)Trust方向PC-1：00，根據(jù)前面的NAT配置，公網(wǎng)訪問(wèn)50時(shí)，SRX自動(dòng)執(zhí)行到00的目的地址轉(zhuǎn)換。ScreenOS VIP功能對(duì)應(yīng)的SRX Dst-nat配置：set security nat destination pool 222 address 00/32 port

54、 8080set security nat destination rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address /0set security nat destination rule-set 1 rule 111 match destination-address 50/32set security nat destination rule-set 1 rule 111 match destination-port 8080set securi

55、ty nat destination rule-set 1 rule 111 then destination-nat pool 222上述NAT配置定義：訪問(wèn)50地址8080端口映射至00地址8080端口，功能與ScreenOS VIP端口映射一致。2.4.4 Pool base Static NAT基于地址池的靜態(tài)地址轉(zhuǎn)換圖片僅供參考,下列配置參考實(shí)驗(yàn)拓?fù)銷AT：set security nat static rule-set static-nat from zone untrustset security nat static rule-set static-nat rule rule1

56、 match destination-address 50set security nat static rule-set static-nat rule rule1 then static-nat prefix 00Policy:set security policies from-zone trust to-zone untrust policy 1 match source-address anyset security policies from-zone trust to-zone untrust policy 1 match destination-address pc-1set

57、security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permitStatic NAT概念與ScreenOS MIP一致，屬于靜態(tài)雙向一對(duì)一NAT，上述配置表示訪問(wèn)50時(shí)轉(zhuǎn)換為00，當(dāng)00訪問(wèn)Internet時(shí)自動(dòng)轉(zhuǎn)換為50，并且優(yōu)先級(jí)比其他類型NAT高。2.5 IPSEC VPNSRX IPSEC VPN支持Site-to-Site VPN 和基于NS-

58、remote的撥號(hào)VPN以及基于IPSEC的動(dòng)態(tài)VPN，訪問(wèn)方式通過(guò)WEB界面進(jìn)行，和ScreenOS一樣，site-to-site VPN也支持路由模式和Policy模式，在配置方面也和ScreenOS基本一致。SRX中的加密/驗(yàn)證算法在命名上和ScreenOS存在一些區(qū)別，配置過(guò)程中建議選擇ike和ipsec的proposal為 standard模式，standard中包含SRX支持的全部加密/驗(yàn)證算法，只要對(duì)端設(shè)備支持其中任何一種即可。SRX中通道接口使用st0接口，對(duì)應(yīng)ScreenOS中的tunnel虛擬接口。本次將列舉如下配置案例：基于策略的LAN TO LAN IPSEC VPN基

59、于路由的LAN TO LAN IPSEC VPN基于REMOTE VPN客戶端撥號(hào)VPN基于IPSEC動(dòng)態(tài)VPN注意在REMOTE VPN客戶端撥號(hào)VPN中我們將列舉JUNIPER REMOTE VPN客戶端和第三方ShrewSoft VPN Client,另外基于IPSEC動(dòng)態(tài)VPN是通過(guò)WEB界面訪問(wèn),初次登陸系統(tǒng)自動(dòng)或人工下載一個(gè)JAVA客戶端。2.5.1 基于路由的LAN TO LAN IPSEC VPNSRX配置：下面是圖中左側(cè)SRX基于路由方式Site-to-site VPN配置：set interfaces st0 unit 0 family inet address /24se

60、t security zones security-zone untrust interfaces st0.0 set routing-options static route /24 next-hop st0.0 定義st0 tunnel接口地址/Zone及通過(guò)VPN通道到對(duì)端網(wǎng)絡(luò)路由set security ike policy ABC mode mainset security ike policy ABC proposal-set standardset security ike policy ABC pre-shared-key ascii-text juniper定義IKE Pha