Juniper SRX配置手册

Juniper SRX防火墙配置手册
一、JUNOS操作系统介绍
层次化配置结构
JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接
口配置方式，本文主要对CLI命令行方式进行配置说明。

JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。

在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级。

JunOS配置管理
JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate Config）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX 语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Active config）。

另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。

在执行commit命令前可通过配置模式下show命令查看当前候选配置（Candidate Config），在执行commit后配置模式下可通过run show config命令查看当前有效配置（Active config）。

此外可通过执行show | compare比对候选配置和有效配置的差异。

SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效配置，并可通过执行rolback和commit命令返回到以前配置（如rollback 0/commit可返回到前一commit 配置）；也可以直接通过执行save 手动保存当前配置，并执行load override / commit调用前期手动保存的配置。

执行load factory-default / commit命令可恢复到出厂缺省配置。

SRX可对模块化配置进行功能关闭与激活，如执行deactivate security nat/comit命令可使NAT
相关配置不生效，并可通过执行activate security nat/commit使NAT配置再次生效。

SRX通过set语句来配置防火墙，通过delete语句来删除配置，如delete security nat和edit security nat / delete一样，均可删除security防火墙层级下所有NAT相关配置，删除
配置和ScreenOS不同，配置过程中需加以留意。

SRX主要配置内容
部署SRX防火墙主要有以下几个方面需要进行配置：
System：主要是系统级内容配置，如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务（如telnet）等内容。

Interface:接口相关配置内容。

Security: 是SRX防火墙的主要配置内容，安全相关部分内容全部在Security层级下完成配置，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等，可简单理解为ScreenOS防火
墙安全相关内容都迁移至此配置层次下，除了Application自定义服务。

Application：自定义服务单独在此进行配置，配置内容与ScreenOS基本一致。

routing-options：配置静态路由或router-id等系统全局路由属性配置。

二、SRX防火墙配置对照说明
策略处理流程图
初始安装
登陆
Console口(通用超级终端缺省配置)连接SRX，root用户登陆，密码为空
login: root
Password:
--- JUNOS built 2009-07-16 15:04:30 UTC
root% cli / /进入操作模式
root>
root> configure Use <no-resolve> to avoid any reverse lookup delay.
Address resolution timeout is 4s.
Listening on ge-0/0/, capture size 96 bytes
Reverse lookup for failed (check DNS reachability).
Other reverse lookup failures will not be reported.
Use <no-resolve> to avoid reverse lookups on IP addresses.
05:41: In arp who-has tell In arp who-has tell In arp who-has tell In IPX :13:8f:74:bc: > :ff:ff:ff:ff:: ipx-netbios 50
05:41: In arp who-has tell Out IP truncated-ip - 10 bytes missing! >
51866+[|domain]
05:41: In STP , Config, Flags [none], bridge-id :06:53:48:8a:, length 43 05:41: In IPX :13:8f:74:bc: > :ff:ff:ff:ff:: ipx-netbios 50
．5 接口的初始化
接口说明：
root% cli
set system name-server system login user lab uid 2002
set system login user lab class super-user
set system login user lab authentication encrypted-password "$1$Y0X8gbap$." set system services ssh
set system services telnet
set system services web-management http interface
set system services web-management http interface ge-0/0/
set system services web-management http interface
set system services web-management http interface ge-0/0/
set system services web-management http interface fe-0/0/
set system services web-management https system-generated-certificate
set system services web-management https interface
set system services web-management https interface ge-0/0/
set system syslog file nat-log any any
set system syslog file nat-log match RT_FLOW_SESSION
set system syslog file monitor-log any any
set system syslog file monitor-log match 基本提交与恢复配置命令：
root#commit ; ## SECRET-DATA
+ encrypted-password "$1$PRX8HyIJ$"; ## SECRET-DATA
[edit system services web-management http]
- interface [ ge-0/0/ ge-0/0/ fe-0/0/ ];
+ interface [ ge-0/0/ ge-0/0/ fe-0/0/ ];
[edit interfaces]
+ fe-0/0/4 {
+ unit 0 {
+ family inet;
+ family ethernet-switching;
+ }
+ }
[edit security zones security-zone inside interfaces]
{ ... }
+ fe-0/0/ {
+ host-inbound-traffic {
+ system-services {
+ http;
+ }
+ }
+ }
- fe-0/0/ {
- host-inbound-traffic {
- system-services {
- http;
root#rollback / /查看可恢复的配置（注意：使用load facroty-default命令恢复到出厂配置）
Possible completions:
<[Enter]> Execute this command
0 2011-08-11 03:11:08 UTC by lab via cli
1 2011-08-10 09:39:44 UTC by lab via cli
2 2011-08-10 07:48:34 UTC by lab via cli
3 2011-08-10 07:40:08 UTC by lab via cli
4 2011-08-10 07:36:20 UTC by lab via cli
5 2011-08-10 07:31:18 UTC by lab via cli
6 2011-08-10 07:25:45 UTC by lab via cli
7 2011-08-10 07:21:26 UTC by lab via cli
8 2011-08-10 07:20:15 UTC by lab via cli
9 2011-08-10 06:51:14 UTC by lab via cli
10 2011-08-10 06:50:16 UTC by lab via cli
11 2011-08-10 06:31:23 UTC by lab via cli
12 2011-08-10 06:29:02 UTC by lab via cli
[abort]
---(more 42%)---[edit]
root#rollback 4 置Bridge Domains
桥接域（Bridge Domains）:属于同一泛洪或广播域的一组逻辑接口。

在同一个Vlan里，桥接域可以跨越多个设备的一个或多个接口。

默认情况下，每个桥接域都维护着自己的MAC地址转发表，从属于本桥接域的接口接受的数据包。

在桥接域里转发的数据包，必须是一个0已经被打上Vlan ID的数据包，并且这个Vlan ID 是属于这个桥接域的。

CLI命令配置举例：
root# set bridge-domains bd1 domain-type bridge vlan-id-list 1,10
置Layer 2 逻辑接口
layer2接口模式有2种模式，trunk和access。

CLI命令配置举例：
root# set interfaces ge-3/0/0 unit 0 family bridge interface-mode trunk vlan-id-list 1–10
置layer 2区域
CLI命令配置举例：
root# set security zones security-zone l2–zone1 interfaces ge-3/0/
root# set security zones security-zone l2–zone2 interfaces ge-3/0/
root# set security zones security-zone l2–zone2 host-inbound-traffic system-services all
置layer3策略
CLI命令配置举例：
root# set security policies from-zone l2–zone1 to-zone l2–zone2 policy p1 match source-address
root# set security policies from-zone l2–zone1 to-zone l2–zone2 policy p1 match destination-address
root# set security policies from-zone l2–zone1 to-zone l2–zone2 policy p1 match application http
root# set security policies from-zone l2–zone1 to-zone l2–zone2 policy p1 then permit 5.配置集成路由桥接口（Integrated Routing and Bridging Interfaces）（可选）
irb接口其实就是原来在screenOS平台下的vlan 1 接口，起一个管理的作用。

CLI命令配置举例：
root# set interface irb unit 0 family inet address web-authentication http
//配置irb接口地址为并启用web管理
root# set bridge-domains bd2 routing-interface
//将irb接口放到桥接域bd2里
root# set system services web-management http
//打开SRX的web管理服务
注：irb接口必须是在桥接域配置为单个vlan ID才能配置。

当桥接域里配置是vlan-id-list 时，irb是不能配置的。

SRX不支持路由与透明模式同时运行，初始时是运行在路由模式下，当配置成透明时必须要重启设备。

日志转发
转发syslog到一台日志服务器
system
syslog {
host {
user info;
change-log notice;
interactive-commands notice;
match
"(UI_COMMIT:)|(UI_COMMIT_AT_COMPLETED)|(FLOW_SESSION_CREATE)|(FLOW_SES
SION_DENY)";
log-prefix SecureTrack_SRX_3;
转发traffic log到一台日志服务器
security {
log {
format sd-syslog;
source-address stream traffic-log {
severity info;
format sd-syslog;
host {
}
}
stream traffic-log-test {
severity info;
format sd-syslog;
host {
}。