Juniper_SRX配置手册

juniper SRX防火墙配置手册一、JUNOS的介绍1.1层次配置结构JUNOS采用基于FreeBSD内核的软件模块操作系统，同时支持CLI命令行和WEBUI端口的配置方法。 本文主要介绍了CLI的命令行方式。 JUNOS CLI使用分层配置结构分为操作模式和配置模式，操作模式可以显示当前配置、设备运行状态、路由、会话表等状态并运行设备，通过运行config或edit命令，可以使用配置模式在配置模式下，JUNOS由分层分层模块组成。 edit命令进入下一级别的配置(如unix cd命令)，exit命令返回到上一级别，top命令返回到根级别，如下图所示。1.2 JunOS的配置管理JUNOS在set语句中设置，并在输入设置后立即被设置为无效的候选项Config )管理员等待提交时，管理员输入commit命令提交配置，配置内容将一直生效，直到通过SRX语法检查，commit通过后，当前配置就变为有效配置(Active config )。 此外，JUNOS在执行commit命令时，需要向管理员确认两次已提交的配置。 例如，如果要执行commit confirmed 2命令，管理员必须在输入此命令后两分钟内再次输入提交以确认提交。 否则，2分钟后配置将自动回滚，以避免管理员在远程配置更改时失去与SRX的远程连接的风险。在执行commit命令之前，可以在设置模式下使用show命令显示当前的候选设置，在执行commit后，可以在设置模式下使用run show config命令显示当前有效的设置。 还可以通过执行show | compare来比较候选配置和有效配置之间的差异。由于SRX配备了大容量硬盘存储，默认情况下，50个有效配置按优先提交顺序自动存储，您可以通过执行rolback和commit命令恢复到以前的配置(例如rollback 0/commit ) 您也可以运行save configname.conf来直接手动保存当前配置，然后运行loadoverrideconfigname.conf/commit调用来调用先前手动保存的配置。 执行load factory-default/commit命令可恢复出厂默认设置。在SRX上，可以关闭和启用模块化配置的功能，例如通过运行deactivate security nat/comit命令启用NAT相关配置无效，可以通过运行activationsecuritynat/commit重新启用NAT配置。SRX用set语句配置防火墙，用delete语句删除配置。 可以在安全防火墙级别删除所有与nat相关的配置，例如删除安全nat和编辑安全NAT/delete。 与ScreenOS不同，配置过程中需要注意。1.3 SRX的主要配置内容实施SRX防火墙主要需要以下配置：System :主要是系统级内容配置，如主机名、管理员帐户密码和权限、时钟时区、Syslog、SNMP和系统级开放的远程管理服务(如telnet )。接口：接口相关的配置内容。Security:是SRX防火墙的主要配置，所有与安全相关的部分都由Security级别构成例如，NAT、Zone、Policy、地址簿、Ipsec、Screen、Idp等会将ScreenOS防火墙的安全相关内容迁移到此配置级别，但应用程序自定义服务除外应用程序：定制服务在这里单独配置，配置内容与ScreenOS几乎一致。路由选项：配置系统全局路由属性配置，如静态路由和路由id。二、SRX防火墙结构的比较说明战略处理流程图2.1初始安装2.1.1登录控制台端口(通用超级终端的默认设置)连接SRX、超级用户登录和密码为空登录：根Password:- Junos 9.5 r 1.8 built 2009-07-1615336004336030 utc进入root% cli/操作模式路线进入root configure /设定模式编辑。根#2.1.2超级用户密码的设置超级用户密码的设置root # set systemroot-authenticationplain-text-password根#新密码：根123根# retype new密码：根123编辑。root # setsystemloginclassuper-userid le-time out 3设置当前用户超时时间密码以密文显示。根# show systemroot -认证加密密码 $1$ xavdeue6$ fnm6olgu.8.m 7b 62 u 05 D6.； # SECRET-DATA注意：强烈建议您不要使用其他加密选项来加密root和其他用户密码(如加密密码加密方法)。 此配置参数需要输入用加密算法加密的字符串，该算法在手动输入密码时可能会导致认证失败。2.1.3设置远程登录管理用户root # setsystemloginuserlabclassuper-userauthenticationplain-text-password/创建用户labroot# new password : lab123 /用户lab密码的设置根# retype new密码： lac 123注：此lab用户具有可用于控制台和远程管理访问的超级管理员权限。 您还可以灵活地定义各种其他管理权限用户。2.1.4srx相关配置的管理rootshow system uptime /显示时间root # runsetdateyyyymmdhhmm.ss/系统时钟的设置根# set system time-zone Asia/Beijing/设定时间段是北京根系统主机名称SRX 3400-a/主机名的设置设置root # set system name-server1.1.1/DNS服务器根系统NTP服务器01/ntp服务器的设置rootshowntp关联显示rootshowntpstatus/ntp显示rootshowsecurityalgstatus/alg状态ALG Status :DNS :启用FTP :启用h323 :启用mgcp :启用msrpc :启用PPTP :启用rsh :启用RTSP :启用SCCP :启用sip :启用SQL :启用sun RPC :启用talk :启用TFTP :启用ike-esp :禁用根# set系统服务FTP根# set system services telnet根# setsystemservicesweb -管理http/在系统级打开ftp/telnet/http远程访问管理服务rootrequest system reboot /系统重新启动根请求系统电源关闭/系统关闭显示root show版本/版本信息Model: srx210bJunos软件发行版 10.4 r 5.5 显示rootshow system uptime /系统启动时间current time :2011-08-11053535253525252525252525252525252535252525252535253525352535252535353535353535系统引导：2011-08-11013363012:48 utc (03:63363027 ago )protocols started 332011-08-1101335352525352525252525352525253525252525252525252525253525252525252525352525252525252525252525252525252525352525252525252525252525252525353535353上次配置的：2011-08-1103:13，36008 utc (0133650583363007 ago ) by root53364009 amup 3:56，1用户，加载平均：0.01，0.02，0.00显示rootshowchasisharedwards/硬件板和序列号硬件库存：itemversionpartnumberserialnumberdescription底盘AC 5210 aa 0079 SRX 210 broutingeenginerev 40750-021778 aacn 5249 re-SRX 210 bFPC 0 FPCPIC 0 2x GE、6x FE、1x 3G电力供应0。显示root show底盘环境/硬件板的当前状态等级项目状态测量。temproutingengineok 52 degreesc/125 degreesf路由引擎CPU absentfans rx 210 chassisfanokspinningatnormalspeed电源0 ok。根机箱路由-显示引擎/控制板(RE )资源的使用情况和状态路由引擎状态：temperature 52 degreesc/125 degreesf总内存512 MB max 415 MB用户(81 percent )控制器存储器336 MB max 306 MB用户(91 percent )dataplanememory 176 MB max 107 MB使用者(61 percent )