SRX安全网关操作手册.doc

Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 1 页 共 34 页 SRX 安全网关操作手册安全网关操作手册 神州数码 中国 有限公司神州数码 中国 有限公司 二零一零年六月二零一零年六月 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 2 页 共 34 页 目 录 1 总体概述总体概述 7 1 1 文档术语 7 2 SRX 基本操作基本操作 8 2 1 通过 Console 线缆连接路由器 8 2 2 设备关闭 10 2 3 设备重启 10 2 4 JUNOS 升级 11 2 5 密码恢复 11 3 SRX 基本管理配置介绍基本管理配置介绍 12 3 1 JUNOS CLI 12 4 SRX 开机配置过程开机配置过程 14 4 1 SRX 硬件设备简介 14 4 1 1SRX 240 面板图 14 4 1 2SRX 210 面板图 15 4 1 3SRX 100 面板图 15 4 2 SRX 安装流程 15 4 3 开始配置 15 4 3 1开机登录 16 4 3 2清空默认配置 16 4 3 3从所有配置清空后开始配置 17 5 常用故障诊断命令常用故障诊断命令 20 查看端口状态 20 查看路由表 20 查看 OSPF 邻居关系 20 Ping 21 Traceroute 21 监控接口流量 21 监控 RE CPU 利用率 22 监控并发会话数 22 冷却系统故障检查 22 机箱硬件组件故障检查 23 6 设备日常维护设备日常维护 24 日常维护步骤 24 配置文件查看 24 配置文件提交 24 7 SRX 常用功能及典型配置常用功能及典型配置 25 7 1 SRX 常用功能配置 25 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 3 页 共 34 页 7 2 SRX 一个典型配置 28 6 硬件返修及硬件返修及 CASE 信息信息 34 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 4 页 共 34 页 一般性免责说明 神州数码 中国 有限公司力求确保 Juniper SRX防火墙快速安装手册 中信息 的准确性 但不对信息的准确性承担任何责任 神州数码 中国 有限公司可能随时更改 本 手册 中提到的产品或调试命令等技术 恕不另行通知 神州数码 中国 有限公司及其供应商不对因使用本 手册 或任何Juniper网络公 司产品或服务而导致的任何间接 特殊 引致或意外损失而承担任何责任 包括但不限于 利润或收入损失 替换产品或服务的成本 数据丢失或破坏 或使用或依赖使用本文提供 的信息而造成的损失 即使Juniper 网络公司或其供应商事先已得知发生此类损失的可 能性 本 手册 中介绍的许多Juniper 网络公司产品和服务都提供了书面软件许可和有 限保修 这些许可和保修为此类产品的购买者提供某些权利 本 手册 不应被视为扩展 更改或修改Juniper 网络公司为任何Juniper 网络公司产品提供的任何保证或许可 或 创建任何新的或附加的保证或许可 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 5 页 共 34 页 前言 Juniper 网络公司介绍网络公司介绍 Juniper网络公司致力于实现网络商务模式的转型 作为全球领先的联网解决方案和 安全性解决方案供应商 Juniper网络公司对依赖网络获得战略性收益的客户一直给予密 切关注 该公司的客户来自于全球各行各业 包括第一流的网络运营商 企业 政府机构 以及研究和教育机构等 Juniper网络公司推出的一系列联网解决方案 提供所需的安全 性和性能来支持全球最大型 最复杂 要求最严格的关键网络 其中包括全球顶尖的25 家服务供应商和 财富 全球500 强企业前15强中的8个企业 Juniper网络公司成立的唯一宗旨是 预测并解决业内最高难度的联网及安全性问 题 今天 Juniper网络公司通过以下努力 帮助全球客户转变他们的网络经济模式 从而建立强大的竞争优势 保护网络安全 以抵御日益频繁复杂的攻击 利用网络应用和服务来取得市场竞争优势 为客户和业务合作伙伴提供安全的定制方式来接入远程资源 Juniper网络公司通过其专用平台及先进软件 推动业界迈出了创新的一步 Juniper网络公司被公认是开发用于高性能智能网络的半导体及软件的佼佼者 一直走在 业界创新的前沿 并通过这些创新不断推动其所支持的网络及企业实现转型 神州数码控股有限公司概述神州数码控股有限公司概述 神州数码控股有限公司 以下简称 神州数码 或 集团 股票代码 00861 香港 是中国领先的整合IT服务提供商 集团由原联想集团分拆而来 并于二零零一年六月一日 在香港联合交易所有限公司主板独立上市 神州数码致力于为中国用户提供先进 适用的 信息技术应用 以科技驱动工作与生活的创新 推进数字化中国进程 为此 集团努力将 自身打造成为中国最广大用户提供最为全面IT服务的首选供货商 集团业务主要包括IT规划 流程外包 应用开发 系统集成 硬件基础设施服务 维 保 硬件安装 分销及零售等八类业务 面向中国市场 为行业客户 企业级客户 中小 企业与个人消费者提供全方位的IT服务 集团在全国19个主要城市设有区域中心 同超过100家全球顶尖IT品牌拥有良好的战 略合作伙伴关系 覆盖全国超过1万家代理合作伙伴 为中国用户提供最优质便捷的IT服 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 6 页 共 34 页 务 集团依靠多年经验积累的行业应用服务能力 在金融 电信 政府等行业的IT服务领 域建立了领先优势 同时 神州数码亦在IT产品分销领域保持了多年市场第一的地位 神州数码神州数码企业系统本部企业系统本部 神州数码企业系统本部是以企业数据中心建设为目标 重点覆盖网络 主机 存储 软件4大业务领域 致力于为客户提供国际上主流的企业级软硬件产品 骨干网络 基础 网络设备和全面产品解决方案 自 1997 年率先进入高端增值服务市场 经过不断的探索和努力 增值服务业务取得 了高速增长 是国内第一的增值服务提供商 目前已成为神州数码集团重要利润支柱之一 与近 50 家国际著名 IT 厂商建立长期战略合作伙伴关系 合作的渠道伙伴超过 4500 家 目前已搭建由渠道市场 产品市场 解决方案及行业市场 技术支持 维修支持 培训支 持构成的渠道支持系统 形成以北京 上海 广州三大区域销售中心 全国十五大平台 八个办事处为分销平台的销售网络 区域覆盖达 40 余个地市 神州数码系统网络事业部神州数码系统网络事业部 神州数码系统网络事是全球领先的网络和安全解决方案供应商Juniper网络公司的总 分销商 是全球知名提供通讯服务的西门子公司在中国的总代理 是智能应用交换机全球 领导者Radware公司和世界领先的下一代企业移动系统供应商Aruba无线网络公司在中国 的总分销商 同时 系统网络事业部是Juniper Networks SPG产品在中国地区唯一的 授权认证培训中心和最主要的授权服务中心 系统网络事业部有遍布全国的销售网络和技术服务体系 一直致力于追踪安全网络领 域的新技术 构建安全网络联盟体系 提供安全网络产品及解决方案 推广安全网络的标 准化服务 为客户提供 Juniper Networks从安全系列 防火墙 VPN 入侵检测和防 御等一系列易于管理的安全设备和系统 到路由器 Infranet控制器和应用加速平台等 全线联网和安全性产品及解决方案 Radware负载均衡和网络安全防护产品及解决方案 Aruba由移动控制器 接入点和Aruba移动管理系统组成的移动边缘产品和解决方案 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 7 页 共 34 页 1 总体概述总体概述 本文档为神州数码公司编写 用于说明Juniper SRX产品基本命令配置和硬件操作指导 更多的信息请参考下面的网站 JUNOS 9 6 SRX 硬件手册 1 1 文档术语文档术语 Air Filter空气过滤网 ESD Point静电释放点 Fan Tray风扇盘 PEM Power Equipment Modules 电源模块 Craft Interface控制面板 RE Routing Engine路由引擎 SFB Switch Fabric Board 交换矩阵板 PFE Packet Forwarding Engine 转发引擎 FRU Field replaceable unit可现场更换部件 DPC Dense Port Concentrators 高密度接口卡 FPC Flexible PIC Concentrator 物理接口汇聚卡 PIC Physical Interface Card物理接口卡 SPC Services Processing Cards 业务处理卡 NPC Network Processing Cards 网络处理卡 IOC Input Output cards 接口卡 SFP Small Factor Pluggable小型可插拔光收发器 适用千兆以太网 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 8 页 共 34 页 2 SRX 基本操作基本操作 JUNOS 软件是专门为互联网设计的第一种路由操作系统 它运行在 Juniper 网络公司 的所有 T 系列 M MX 系列和 J 系列路由器以及 SRX 系列集成安全网关上 被部署在全 球最大 增长最迅速的网络中 它提供的全套具有工业强度的路由协议 灵活的策略语言 和领先的功能特性 可以高效地扩展支持极大数量的网络接口和路由 基于标准的 JUNOS 软件可以支持互联网路由协议 同时控制路由器及其接口并实现对各种规模的网络 的系统管理 简便易用的界面使您可以配置路由协议和接口属性 监控路由 检测并排除 协议和网络连接故障 本节将描述设备的一些应急操作 这些操作都会影响设备的正常功能 操作时请谨慎 使用 通过 Console 线缆连接路由器 设备关闭 设备重启 JUNOS 升级 密码恢复 2 1 通过通过 Console 线缆连接路由器线缆连接路由器 使用下面的步骤连接路由器的 Console 接口 1 准备好 Juniper 路由设备自带的 Console 线缆 2 将 Console 线缆的 DB9 插头一头插到 PC 或者笔记本电脑的 COM 口上 另外一 端插到 SRX 的的 CONSOLE 口上 SRX 的 console 口如下图的标号 5 的 RJ45 端 口 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 9 页 共 34 页 3 打开计算机中的终端软件工具 例如 SecureCRT 或者 Windows 自带的超级终端 设置如下 端口 选择第二步中 Console 线缆插入到 PC 上的端口 通常为 COM 1 或者 COM 2 波特率 9600 数据位 8 位 停止位 1 位 流控 无 4 打开配置到的 SecureCRT 或者超级终端 按 Enter 键 屏幕出现登陆的提示 符 即连接成功 如果没有显示 请检查线缆或者终端的配置是否正确 5 默认用户名和密码为 用户名 root 密码为空 6 如果密码丢失 可以按着前面板的 reset 按钮 15 秒以上 然后设备会自动重启 并将所有配置恢复成出厂默认值 此时的用户名为 root 密码为空 如果出现任何现场无法解决的问题 请寻求 Juniper TAC 的帮助 参阅寻求 JTAC 帮 助 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 10 页 共 34 页 2 2 设备关闭设备关闭 Juniper 设备关闭必须按照下面的步骤进行操作 否则容易导致设备损坏 1 用 Console 或 Telnet SSH 连接到主用路由引擎上 2 使用具有足够权限的用户名和密码登陆 CLI 命令行界面 3 在提示符下输入下面的命令 user host request system halt The operating system has halted Please press any key to reboot 4 等待 console 设备的出现上面的输出 确认设备软件已经停止运行 5 关闭机箱背后电源模块电源 如果出现任何现场无法解决的问题 请咨询 Juniper TAC 的帮助 参阅寻求 JTAC 帮 助 2 3 2 3 设备重启设备重启 Juniper 设备重启必须按照下面的步骤进行操作 1 用 Console 或 Telnet SSH 连接到主用路由引擎上 2 使用具有足够权限的用户名和密码登陆 CLI 命令行界面 3 在提示符下输入下面的命令 user host request system reboot 4 等待 console 设备的输出 确认设备软件已经重新启动 如果要进行电源关闭的重新启动 请参阅 设备关闭 在重新开启电源之前必须等待 60 秒 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 11 页 共 34 页 如果出现任何现场无法解决的问题 请咨询 Juniper TAC 的帮助 参阅寻求 JTAC 帮 助 2 4 JUNOS 升级升级 Juniper 设备在出厂时一般的设备软件版本都比较低 因此一般建议使用比较新的版本 如 10 0 以上版本 软件版本升级时不能跨过 3 个版本进行 如 9 的需要升级到 10 0 以上 的 必须先升级到 9 6 再升级至 10 0 否则会提示升级失败 Juniper 设备 JUNOS 软件升级必须按照下面的步骤进行操作 1 用 Console 或 Telnet SSH 连接到设备 console 上 2 下载新的 JUNOS 软件 放置到 FTP 服务器上 3 安装新的 JUNOS 软件 这个升级过程大概为 15 25 分钟 user host request system software add ftp username password 192 168 1 1 junos srxsme 9 6R2 11 domestic tgz no copy unlink 4 重新启动设备 user host request system reboot Reboot the system yes no no yes 如果出现任何现场无法解决的问题 请寻求 Juniper TAC 的帮助 参阅寻求 JTAC 帮 助 2 5 密码恢复密码恢复 如果设备的 Root 密码丢失 而且没有其他的超级用户权限 那么就需要执行密码恢复 该操作需要中断设备的正常功能 要进行密码恢复 请按照下面操作进行 1 断电后再加电以重新启动设备 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 12 页 共 34 页 在启动过程中 按住设备前的 reset 按钮 15 秒以上再放手 则设备密码及配置会 自动恢复成出厂默认配置 2 进入配置模式 设置新的 root 密码 root configure Entering configuration mode edit root set system root authentication plain text password New password Retype new password 3 重新启动后 设备恢复正常 3 SRX 基本管理配置介绍基本管理配置介绍 3 1 JUNOS CLI Shell 模式模式 用 root 用户登录时 先进入的是 shell 模式 提示符为 必须输入 cli 命 令后才能进入用户模式进行对设备的操作 如果以非 root 用户登录 则直接进入 用户模式 用户模式用户模式 user host 用户模式 在用户模式下可以显示SRX设备的配置 端口状态 路由信息等 登录到 SRX上即进入路由器的用户模式 Example BJ BJ JA NSN A 1 RE1 ttyp6 login NSN Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 13 页 共 34 页 Password NSN BJ BJ JA NSN A 1 RE1 配置模式配置模式 user host 配置模式 通过在用户模式使用edit命令进入配置模式 Example NSN BJ BJ JA NSN A 1 RE1 edit Entering configuration mode master edit NSN BJ BJ JA NSN A 1 RE1 设置系统时间设置系统时间 user host set date YYYYMMDDhhmm ss 配置日期及时间 Example NSN BJ BJ JA NSN A 1 RE1 set date 201006061030 30 如果出现任何现场无法解决的问题 请咨询 Juniper 相关工程师 或者寻求 Juniper TAC 的帮助 参阅寻求 JTAC 帮助 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 14 页 共 34 页 4 SRX 开机配置过程开机配置过程 4 1 SRX 硬件设备简介硬件设备简介 SRX 系列共有以下产品线 SRX 100 SRX 210 SRX 240 SRX 650 SRX 3400 3600 SRX 5600 5800 该产品线对应目前的 SSG 系列的简单对照图为 Copyright 2009 Juniper Networks Inc 1 SRX Vs SSG 3 8 000 64K 500 175Mbps 175Kpps 450bps 4 x GE SSG 320 60M bps 0 2 000 16K 32K 256 65Mbps 60K PPS 650 Mbps 8 x FE SRX100Feature SSG 5 20SRX210SSG 140SRX240SSG 350 固固定定 I O 7 x 10 100 5 x 10 100 2 x GE 6 x FE2 x GE 6 x FE16 x GE4 x GE 防防火火墙墙性性能能160 Mbps750 Mbps350 Mbps1 5 Gbps550bps 防防火火墙墙 路路由由PPS30K PPS80K PPS100K PPS200K PPS225Kpps VPN性性能能40Mbps75Mbps100Mbps250Mbps225Mbps 并并发发IPsec VPN隧隧道道数数25 452561251 000500 并并发发会会话话数数8K 16K32K 64K48K64K 128K128K 每每秒秒新新建建会会话话数数2 8002 0008 000 15 0009 00012 500 附附加加插插槽槽0 21445 IPS性性能能80M bps250M bps Total MSRP 4 1 1 SRX 240 面板图面板图 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 15 页 共 34 页 4 1 2 SRX 210 面板图面板图 4 1 3 SRX 100 面板图面板图 4 2 SRX 安装流程安装流程 CLI 命令行命令行 对于路由器硬件 软件 路由协议 网络连接性的控制和故障检查 JUNOS 的 CLI 命 令行是主要的使用工具 CLI 命令行可以显示路由表信息 路由协议的信息 使用 ping 和 traceroute 工具体现的网络连接信息 可以通过连接设备上的 CONSOLE ETHERNET AUX 口进入 CLI 命令行接口 4 3 开始配置开始配置 根据此版本开机配置可以实现小型分支机构的网络基本连通 内网的私网 地址可以通过源 NAT 为外网接口地址访问 Internet Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 16 页 共 34 页 4 3 1 开机登录开机登录 1 第一次开机登录用户名为 root 密码为空 如何连上 console 详见 System management docx Console 输出如下 Amnesiac ttyu0 login root JUNOS 10 1R2 8 built 2010 05 11 05 02 14 UTC 2 登录之后 我们在 shell 模式下 输入 cli 进入用户模式 然后输入 configure 进入配置模式 root root cli root root configure Entering configuration mode edit root 4 3 2清空默认配置清空默认配置 1 刚进入配置模式下 通过 show 命令可以看到设备原有的配置 这是初始默认 配置 包括以后用 reset 键恢复配置 恢复出来的都是出厂默认配置 此默认配置对 SRX 进行了基本连通性的配置 其中 fe 0 0 0 为外网口 接广 域网出口 fe 0 0 1 7 为内网口 地位等同 接内网交换机 同时 防火墙对内网 开启 DHCP 服务 网段为 192 168 1 0 24 默认策略放开所有由内到外的数据 拒绝所有从外到内的主动访问 2 一般情况下这份配置不要保留使用 为了方便日后故障排查 我们需要将其删 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 17 页 共 34 页 除 重新配置 root delete This will delete the entire configuration Delete everything under this level yes no no yes 配置 root 根用户密码 这个必须配置 否则无法 commit 提交生效配置 root set system root authentication plain text password New password Retype new password root commit 4 3 3从所有配置清空后开始配置从所有配置清空后开始配置 1 配置 root 根用户密码 这个必须配置 否则无法 commit 提交生效配置 root set system root authentication plain text password New password Retype new password 2 配置 hostname edit root set system host name SRX100 3 配置时区 edit root set system time zone GMT 8 4 配置登录登录权限及用户名密码 这里配置了一个名为 lab 权限为超级用户 的登录用户 Junos 系统的要求密码最少为六位 而且必须包含字母和数字 set system login class super idle timeout 20 set system login class super permissions all set system login user lab class super set system login user lab authentication plain text password new password retype new password 5 配置 telnet web 管理服务 这个需要在将来的 zone 的配置中进一步放行流 量 默认情况下 系统禁止所有流量 在这里 针对 fe 0 0 1 接口开启 web 管 理服务 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 18 页 共 34 页 edit root set system services telnet root set system services web management http interface fe 0 0 1 6 配置接口地址 这里配置外网接口 fe 0 0 0 地址为 10 1 1 1 24 内网接口 fe 0 0 1 地址为 192 168 1 1 24 对于 SRX210 对应前两个接口为千兆口 所以 端口命名为 ge 0 0 0 和 ge 0 0 1 其余的为 fe edit root set interfaces fe 0 0 0 unit 0 family inet address 10 1 1 1 24 edit root set interfaces fe 0 0 1 unit 0 family inet address 192 168 1 1 24 7 将接口放到对应的 zone 中 这里是将 fe 0 0 0 放到 untrust zone fe 0 0 1 放 到 trust zone edit root set security zones security zone untrust interfaces fe 0 0 0 edit root set security zones security zone trust interfaces fe 0 0 1 8 在内网区域 trust zone 内放行系统管理的流量 默认情况下 外网口禁止 telnet 和 web 管理的访问流量 edit root set security zones security zone trust host inbound traffic system services telnet edit root set security zones security zone trust host inbound traffic system services http 9 配置允许内网到外网的流量和策略 edit root set security zones security zone trust host inbound traffic protocols all edit root set security policies from zone trust to zone untrust policy Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 19 页 共 34 页 trust to untrust match source address any edit root set security policies from zone trust to zone untrust policy trust to untrust match destination address any edit root set security policies from zone trust to zone untrust policy trust to untrust match application any edit root set security policies from zone trust to zone untrust policy trust to untrust then permit 10 配置出口默认路由 edit root set routing options static route 0 0 0 0 0 next hop 10 1 1 2 11 配置基于出口的源 nat 所有内网 ip 经过 fe 0 0 0 出口后的数据包 全部转换 为 fe 0 0 0 的地址路由到公网上 edit root set security nat source rule set trust to untrust from zone trust edit root set security nat source rule set trust to untrust to zone untrust edit root set security nat source rule set trust to untrust rule source nat rule match source address 0 0 0 0 0 edit root set security nat source rule set trust to untrust rule source nat rule then source nat interface 12 提交配置 使当前配置生效 写完配置一定要提交 否则配置不生效 edit root commit commit complete Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 20 页 共 34 页 5 常用故障诊断命令常用故障诊断命令 查看端口状态查看端口状态 lab SRX show interfaces terse Interface Admin Link Proto Local Remote ge 0 0 0 up up ge 0 0 1 up down 查看路由表查看路由表 lab SRX show route terse inet 0 7 destinations 7 routes 7 active 0 holddown 0 hidden Active Route Last Active Both A Destination P Prf Metric 1 Metric 2 Next hop AS path 0 0 0 0 0 S 5 172 27 10 1 100 1 1 0 24 D 0 ge 0 0 9 0 查看查看 OSPF 邻居关系邻居关系 lab r1 show ospf neighbor Address Interface State ID Pri Dead 10 100 2 2 fe 0 0 0 12 Full 10 100 10 2 128 36 10 100 2 6 fe 0 0 0 13 Full 10 100 10 3 128 35 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 21 页 共 34 页 Ping lab srx ping 10 100 10 1 PING 10 100 10 1 10 100 10 1 56 data bytes 64 bytes from 10 100 10 1 icmp seq 0 ttl 61 time 4 967 ms lab srx ping 10 100 10 1 rapid PING 10 100 10 1 10 100 10 1 56 data bytes lab SRX run ping 10 100 10 1 rapid count 1000 size 1000 PING 10 100 10 1 10 100 10 1 1000 data bytes 1000 packets transmitted 1000 packets received 0 packet loss round trip min avg max stddev 4 746 7 515 322 176 15 056 ms Traceroute lab srx traceroute 10 100 10 1 traceroute to 10 100 10 1 10 100 10 1 30 hops max 40 byte packets 1 10 100 3 13 10 100 3 13 158 691 ms 186 093 ms 106 141 ms 2 10 100 10 1 10 100 10 1 4 935 ms 7 819 ms 5 172 ms 监控接口流量监控接口流量 lab srx monitor interface fe 0 0 1 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 22 页 共 34 页 监控监控 RE CPU 利用率利用率 lab srx show chassis routing engine 监控并发会话数监控并发会话数 lab srx show security flow session summary 冷却系统故障检查冷却系统故障检查 冷却系统包含安装在机箱侧面的风扇盘来保证 SRX 工作在一个可以接受的温度环境下 要检查风扇盘 执行下面的步骤 通过 CLI 命令行检查电源模块状态 通过下面的命令 观察输出的 Status 域的状 态 user host show chassis environment Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 23 页 共 34 页 如果有风扇盘发生故障 可以通过观察判断出哪一个风扇除了问题 然后再处理 机箱硬件组件故障检查机箱硬件组件故障检查 对机箱组件进行故障检查 使用下面的指导 通过查看各板卡上相应的 LED 可以检查出相应板卡的状态 使用 CLI 可以查看各板卡的状态 使用下面的命令 user host show chassis hardware Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 24 页 共 34 页 6 设备日常维护设备日常维护 本章节描述了如何维护 SRX 中的各种硬件组件 日常维护步骤日常维护步骤 为优化设备的性能 有规律的执行下面的预防步骤 检查设备所在的机房的条件 湿度 电源线 数据线缆以及空气过滤网是否有过 多的灰尘 同时应保证路由器的通风条件 设备本身的进出风口没有距离过近的 阻挡 检查设备 Craft Interface 上的状态报告 看看是否有系统告警 LED 显示是否正 常 配置文件查看配置文件查看 配置文件可从维护模式 提示符 下查看 lab SRX show configuration 配置文件也可从配置模式 提示符 下查看 注意配置模式下看得配置文件是当前正在编 辑的配置文件 跟系统当前运行的配置文件不一定一致 lab SRX show JUNOS 默认情况下用层次化的结构来显示配置 不同层次间用 区分 如果管理员习 惯看直接输入的命令格式 可以通过管道符把输出送到 display options 里去改变格式 比 如 lab SRX show configuration display set 配置文件提交配置文件提交 每次配置更改后都需要 commit 提交 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 25 页 共 34 页 7 SRX 常用功能及典型配置常用功能及典型配置 安全策略是在 SRX 上定义的一系列规则告诉 SRX 如何处理在各个安全域 zone 之间或 同一安全域内各个接口之间转发的报文应该如何处理 比如对其进行转发 permit 丢弃 deny NAT IPsec VPN 加解密 IPS 入侵防御检查或防病毒检查等等 7 17 1 SRXSRX 常用功能配置常用功能配置 7 1 1 安全域安全域 zone 配置配置 Zone 是共享相同安全级别的一组网络接口的集合 SRX3K 5K 的所有接口默认都放在 null zone 内 Null zone 是一种系统预定义的特殊的安全域 null zone 内的接口不能接受外 界的任何报文 也不能对外发送任何报文 即 null zone 内的接口是不参与业务转发的 因 此要配置安全策略 必须先创建 zone 并把接口分配到相应的 zone 里去 配置举例 1 创建安全域 zone set security zones security zone trust set security zones security zone untrust 2 分配接口到相应安全域 zone set security zones security zone trust interfaces ge 0 0 0 0 set security zones security zone untrust interfaces ge 0 0 1 0 每个安全域都有自己的一套自定义属性 包括是否允许接受管理流量 接受那些类型 的管理流量 是否接受路由信令 接受那些路由信令等 这些都是在 security zone 下面相 应 zone 的 host inbound traffic 里配置 SRX 自己发出去的流量是不受限制的 配置举例 3 允许 trust zone 接受 telnet ssh 管理流量 set security zones security zone trust host inbound traffic system services ssh Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 26 页 共 34 页 set security zones security zone trust host inbound traffic system services telnet 4 允许 trust zone 接受 ospf bgp 路由信令 set security zones security zone trust host inbound traffic protocols ospf set security zones security zone trust host inbound traffic protocols bgp 每个 zone 还可以定义自己的 DDoS 防护选项 这是通过 Screen 配置来实现的 7 1 2 安全域安全域 zone 的地址本配置的地址本配置 SRX 安全策略里不能直接使用 IPv4 IPv6 的 prefix 作为策略匹配的源地址和目标地址 必须先在相关 zone 的地址本里创建地址本对象 再在安全策略里引用这些对象 配置举例 set security zones security zone trust address book address internal 192 168 1 0 24 192 168 1 0 24 set security zones security zone untrust address book address webserver 202 1 1 1 32 address book 还支持创建 address set 来包含多个离散的地址 以方便策略引用 7 1 3 application 配置配置 SRX 安全策略里不允许直接使用协议号 源端口 目标端口来匹配业务应用 只能使 用 application 下系统预定义的应用类型或用户自定义的业务类型 系统预定义的业务类型 名字都是以 junos 开头的 Application 同样允许通过定义 application set 来包含多个 application 以方便策略引用 配置举例 set applications application http8080 protocol tcp set applications application http8080 source port 1 65535 set applications application http8080 destination port 8080 Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 27 页 共 34 页 7 1 4 安全策略配置安全策略配置 SRX 的安全策略配置里必须包含以下要素 From zone To zone Policy name Match source address Match destination address Match application Then action permit deny log idp policy 等等 配置举例 set security policies from zone trust to zone untrust policy 1020 match source address internal 192 168 1 0 24 set security policies from zone trust to zone untrust policy 1020 match destination address webserver set security policies from zone trust to zone untrust policy 1020 match application http8080 set security policies from zone trust to zone untrust policy 1020 match application junos http set security policies from zone trust to zone untrust policy 1020 then permit set security policies from zone trust to zone untrust policy 1020 then log session close 7 1 5 SRX NAT 配置介绍配置介绍 SRX 的 NAT 配置与 ScreenOS 显著不同 为保证系统的灵活性 SRX 把 NAT 配置从 安全策略里剥离出来 单独成为一个层次 即在 SRX JUNOS 中安全策略只负责控制业务 数据的转发与否 NAT 策略只控制业务数据的源地址和端口的翻译规则 两者各自独立 SRX 的 NAT 配置分为源地址翻译 source NAT 目标地址翻译 destination NAT 和静态 地址翻译 static NAT 三种 其配置语法都类似 只是 nat rule 必须被放到 rule set 里使用 任意两个 zone 或任意两个网络逻辑接口之间只允许有一个 rule set Juniper SRX 防火墙快速安装手册 神州数码 中国 有限公 司 第 28 页 共 34 页 值得注意的是值得注意的是 SRX 不会自动为不会自动为 NAT 规则生成规则生成 proxy arp 配置 因此如果配置 因此如果 NAT 地址地址 翻译之后的地址跟出向接口地址不同但在同一网络内时 必须手工配置相应接口翻译之后的地址跟出向接口地址不同但在同一网络内时 必须手工配置相应接口 proxy arp 以代理相关以代理相关 IP 地址的地址的 ARP 查询回应 否则下一条设备会由于不能通过查询回应 否则下一条设备会由于不能通过 ARP 得到得到 NAT 地址的地址的 MAC 地址而不能构造完整的二层以太网帧头导致通信失败 地址而不能构造完整的二层以太网帧头导致通信失败 配置举例 set security nat source rule set src nat from zone trust set security nat source rule set src nat to zone untr