Juniper SRX防火墙配置手册-命令行模式

1、IU目录 TOC o 1-5 h z 一、JUNOS操作系统介绍31.1层次化配置结构3 HYPERLINK l bookmark26 o Current Document JunOS配置管理4 HYPERLINK l bookmark30 o Current Document SRX主要配置内容5二、SRX防火墙配置对照说明62.1初始安装6 HYPERLINK l bookmark34 o Current Document 登陆6 HYPERLINK l bookmark40 o Current Document 2.1.2设置root用户口令62.1.3设置远程登陆管理用户 72.1.4

2、远程管理SRX相关配置7 HYPERLINK l bookmark46 o Current Document Policy8 HYPERLINK l bookmark50 o Current Document NAT8Interface based NAT9Pool based SourceNAT 10Pool base destination NAT11Pool base Static NAT 12IPSEC VPN 13 HYPERLINK l bookmark67 o Current Document Application and ALG 15 HYPERLINK l bookmark

3、71 o Current Document JSRP 15 HYPERLINK l bookmark97 o Current Document 三、SRX防火墙常规操作与维护 19 HYPERLINK l bookmark100 o Current Document 3.1设备关机 19设备重启 20操作系统升级 20 HYPERLINK l bookmark116 o Current Document 密码恢复 21 HYPERLINK l bookmark123 o Current Document 常用监控维护命令 22Juniper SRX防火墙简明配置手册nJSRX系列防火墙是Jun

4、iper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、 交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品 和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相 隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正 成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性， JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的 SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、S

5、SL VPN和UTM等全系列安 全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置， 以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配 置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。一、JUNOS操作系统介绍1-1层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接 口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构，分

6、为操作(operational)和配置(configure)两类模式，在操作模式下可对当前配置、设备运行状 态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模 式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置 模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置(类似unix cd命令)，exit命令退回上一级，top命令回到根级。JunOS配置管理JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置 (CandidateConfig)等待管理员提交确认，管理员

7、通过输入commit命令来提交配置，配置内 容在通过SRX语法检查后才会生效，一旦commit通过后当前配置即成为有效配置(Active config)。另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执 行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提 交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连 接风险。在执行commit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config)，在 执行commit后配置模式下可通过run show

8、 config命令查看当前有效配置(Active config)。此外 可通过执行show | compare比对候选配置和有效配置的差异。SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效配置，并可通 过执行rolback和commit命令返回到以前配置(如rollback 0/commit可返回到前一 commit配置)； 也可以直接通过执行save configname.conf手动保存当前配置，并执行load override configname.conf / commit调用前期手动保存的配置。执行load factory-default / commi

9、t命令可恢 复到出厂缺省配置。SRX可对模块化配置进行功能关闭与激活，如执行deactivate security nat/comit命令可使NAT 相关配置不生效，并可通过执行activate security nat/commit使NAT配置再次生效。SRX通过set语句来配置防火墙，通过delete语句来删除配置，如delete security nat和edit security nat / delete 一样，均可删除security防火墙层级下所有NAT相关配置，删除配置和ScreenOS不 同，配置过程中需加以留意。SRX主要配置内容部署SRX防火墙主要有以下几个方面需要进行配置

10、：System：主要是系统级内容配置，如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、 系统级开放的远程管理服务（如telnet）等内容。Interface:接口相关配置内容。Security:是SRX防火墙的主要配置内容，安全相关部分内容全部在Security层级下完成配置， 如 NAT、Zone、Policy Address-book、Ipsec、Screen、Idp 等，可简单理解为 ScreenOS 防火墙 安全相关内容都迁移至此配置层次下，除了 Application自定义服务。Application：自定义服务单独在此进行配置，配置内容与ScreenOS基本一致。

11、routing-options：配置静态路由或router-id等系统全局路由属性配置。二、SRX防火墙配置对照说明2.1初始安装2.1.1登陆Console（通用超级终端缺省配置）连接SRX, root用户登陆，密码为空login: rootPassword:-JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTCroot% cli/*进入操作模式*/rootroot configureEntering configuration mode/*进入配置模式 */editRoot#2.1.2设置root用户口令设置root用户口令root# set system

12、 root-authentication plain-text-passwordroot# new password : root123root# retype new password: root123密码将以密文方式显示root# show system root-authenticationencrypted-password $1$xavDeUe6$fNM6olGU.8.M7B62u05D6.”; # SECRET-DATA注意：强烈建议不要使用其它加密选项来加密root和其它user 口令（encrypted-password加密方式），此配置参数要求输入的口令应是经加密算法加密后的

13、字符串，采用这种加密方式手工输入时存在密码无法通过验证风险。注：root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root 口令后，才能执行commit提交后续配置命令。2.1.3设置远程登陆管理用户root# set system login user labclass super-user authentication plain-text-passwordroot# new password : lab123root# retype new password: lab123注：此lab用户拥有超级管理员权限，可用于console和远程管理访问，另

14、也可自行灵活定义 其它不同管理权限用户。2.1.4远程管理SRX相关配置/*设置系统时钟*/*设置时区为上海*/*设置主机名*/*设置DNS服务器*/run set date YYYYMMDDhhmm.ssset system time-zone Asia/Shanghaiset system host-name SRX3400-Aset system name-server set system services ftp set system services telnetset system services web-management http/*在系统级开启ftp/telnet/ht

15、tp远程接入管理服务*/ set interfaces ge-0/0/0.0 family inet address /24或 set interfaces ge-0/0/0 unit 0 family inet address /24set interfaces ge-0/0/1 unit 0 family inet address /24set routing-options static route /0 next-hop /* 配置逻辑接口地址及 缺省路由，SRX接口要求IP地址必须配置在逻辑接口下（类似ScreenOS的子接口），通常使用 逻辑接口 0即可*/set security

16、 zones security-zone untrust interfaces ge-0/0/0.0/*将 ge-0/0/0.0 接 口放到 untrust zone 去，类似 ScreenOS*/set security zones security-zone untrust host-inbound-traffic system-services pingset security zones security-zone untrust host-inbound-traffic system-services httpset security zones security-zone untr

17、ust host-inbound-traffic system-services telnet/*在untrust zone打开允许远程登陆管理服务，ScreenOS要求基于接口开放服务，SRX要求 基于Zone开放，从SRX主动访问出去流量开启服务，类似ScreenOS*/PolicyPolicy配置方法与ScreenOS基本一致，仅在配置命令上有所区别，其中策略的允许/拒绝的动作 （Action）需要额外配置一条then语句（将ScreenOS的一条策略分解成两条及以上配置语句）。Policy需要手动配置policy name，policy name可以是字符串，也可以是数字（与Scree

18、nOS的 policy ID类似，只不过需要手工指定）。set security zones security-zone trust address-book address pci 0/32set security zones security-zone untrust address-book address server1 /32/*与ScreenOS 一样，在trust和untrust zone下分别定义地址对象便于策略调用，地址对象的 名称可以是地址/掩码形式*/set security zones security-zone trust address-book address-s

19、et addr-group1 address pc1/*在trust zone下定义名称为add-groupl的地址组，并将pci地址放到该地址组中*/set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application anyset security policies from-zone trust to-zone untrust policy 001 then permit/*定义从tr

20、ust到untrust方向permit策略，允许addr-groupl组的源地址访问serverl地址any 服务*/NATSRX NAT较ScreenOS在功能实现方面基本保持一致，但在功能配置上有较大区别，配置的主 要差异在于ScreenOS的NAT与policy是绑定的，无论是MIP/VIP/DIP还是基于策略的NAT， 在policy中均要体现出NAT内容（除了缺省基于untrust接口的Souec-NAT模式外）,而SRX的 NAT则作为网络层面基础内容进行独立配置（独立定义地址映射的方向、映射关系及地址范围）， Policy中不再包含NAT相关配置信息，这样的好处是易于理解、简化运

21、维，当网络拓朴和NAT 映射关系发生改变时，无需调整Policy配置内容。SRX NAT和Policy执行先后顺序为：目的地址转换一目的地址路由查找一执行策略检查一源地 址转换，结合这个执行顺序，在配置Policy时需注意：Policy中源地址应是转换前的源地址， 而目的地址应该是转换后的目的地址，换句话说，Policy中的源和目的地址应该是源和目的两 端的真实IP地址，这一点和ScreenOS存在区别，需要加以注意。SRX中不再使用MIP/VIP/DIP这些概念，其中MIP被Static静态地址转换取代，两者在功能上 完全一致；DIP被Source NAT取代；基于Policy的目的地址转换

22、及VIP被Destination NAT取 代。ScreenOS中基于Untrust zone接口的源地址转换被保留下来，但在SRX中不再是缺省模式 （SRX中Trust Zone接口没有NAT模式概念），需要手工配置。类似ScreenOS，Static属于双 向NAT，其他类型均属于单向NAT，此外，SRX还多了一个proxy-arp概念，如果定义的IP Pool （可用于源或目的地址转换）与接 口 IP在同一子网时，需配置SRX对这个Pool内的地址提供ARP代理功能，这样对端设备能够 解析到IP Pool地址的MAC地址（使用接口 MAC地址响应对方），以便于返回报文能够送达 SRX。下

23、面是配置举例及相关说明：2.3.1 Interface based NATINTERNET10,12.0.2410.12/ge-O/O： I.24IJNTRUSTTRUSTgM.O.ONAT：set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat source rule-set 1 rule rule1 match source-address /0 destination-address/0set security

24、nat source rule-set 1 rule rulel then source-nat interface上述配置定义NAT源地址映射规则，从Trust Zone访问Untrust Zone的所有流量用Untrust Zone 接口 IP做源地址转换。Policy:set security policies from-zone trust to-zone untrust policy 1 match source-address set security policies from-zone trust to-zone untrust policy 1 match destinati

25、on-address anyset security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定义Policy策略，允许Trust zone 地址访问Untrust方向任何地址，根据前面 的NAT配置，SRX在建立session时自动执行接口源地址转换。2.3.2 Pool based Source NATNAT：set security

26、nat source pool pool-1 address 0 to 0set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat source rule-set 1 rule rule1 match source-address /0 destination-address /0set security nat source rule-set 1 rule rule1 then source-nat pool pool

27、-1set security nat proxy-arp interface ge-0/0/2 address 0 to 0上述配置表示从trust方向(any)到untrust方向(any)访问时提供源地址转换，源地址池为 pool1(0 -0)，同时 ge-0/0/2 接口为此 pool IP 提供 ARP 代理。需要注意的是： 定义Pool时不需要与Zone及接口进行关联。配置proxy-arp目的是让返回包能够送达SRX，如 果Pool与出接口 IP不在同一子网，则对端设备需要配置指向的Pool地址路由。Policy：set security policies from-zone tr

28、ust to-zone untrust policy 1 match source-address set security policies from-zone trust to-zone untrust policy 1 match destination-address anyset security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit

29、上述配置定义Policy策略，允许Trust zone 地址访问Untrust方向任何地址，根据前面 的NAT配置，SRX在建立session时自动执行源地址转换。Pool base destination NATset security nat destination pool 111 address 00/32set security nat destination rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address /0set security

30、nat destination rule-set 1 rule 111 match destination-address 00/32set security nat destination rule-set 1 rule 111 then destination-nat pool 111上述配置将外网any访问00地址映射到内网00地址，注意：定义的 Dst Pool是内网真实IP地址，而不是映射前的公网地址。这点和Src-NAT Pool有所区别。Policy：set security policies from-zone trust to-zone untrust policy 1 ma

31、tch source-address anyset security policies from-zone trust to-zone untrust policy 1 match destination-address 00set security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定义Policy策略，允许Untrust方向任何地

32、址访问Trust方向00，根据前面 的NAT配置，公网访问00时，SRX自动执行到00的目的地址转换。ScreenOS VIP 功能对应的 SRX Dst-nat 配置：set security nat destination pool 222 address 00/32 port 8000set security nat destination rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address /0set security nat destinat

33、ion rule-set 1 rule 111 match destination-address 00/32set security nat destination rule-set 1 rule 111 match destination-port 8000set security nat destination rule-set 1 rule 111 then destination-nat pool 222上述NAT配置定义：访问00地址8000端口映射至00地址8000端口， 功能与ScreenOS VIP端口映射一致。Pool base Static NATsAt security

34、 nat static rule-sAt static-nat from zone untrust set security nat static rule-set static-nat rule rulel match destination-address 00 set security nat static rule-set static-nat rule rule1 then static-nat prefix 00Policy:set security policies from-zone trust to-zone untrust policy 1 match source-add

35、ress anyset security policies from-zone trust to-zone untrust policy 1 match destination-address 00set security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permitStatic NAT概念与ScreenOS MIP 一致，属于静态双向一对一NAT，上

36、述配置表示访问00 时转换为 00，当 00 访问 Internet 时自动转换为 00。IPSEC VPNSRX IPSEC VPN 支持 Site-to-Site VPN 和基于 NS-remote 的拨号 VPN，和 ScreenOS 一样， site-to-site VPN也支持路由模式和Policy模式，在配置方面也和ScreenOS基本一致。SRX中的 加密/验证算法在命名上和ScreenOS存在一些区别，配置过程中建议选择ike和ipsec的proposal 为standard模式，standard中包含SRX支持的全部加密/验证算法，只要对端设备支持其中任何 一种即可。SRX中

37、通道接口使用st0接口，对应ScreenOS中的tunnel虚拟接口。下面是图中左侧SRX基于路由方式Site-to-site VPN配置：set interfaces st0 unit 0 family inet address /24set security zones security-zone untrust interfaces st0.0set routing-options static route /24 next-hop st0.0定义st0 tunnel接口地址/Zone及通过VPN通道到对端网络路由set security ike policy ABC mode main

38、set security ike policy ABC proposal-set standardset security ike policy ABC pre-shared-key ascii-text juniper定义 IKE Phasel policy 参数，main mode，standard proposal 及预共享密钥方式set security ike gateway gw1 ike-policy ABCset security ike gateway gw1 address set security ike gateway gw1 external-interface ge

39、-0/0/1.0定义IKE gaeway参数，预共享密钥认证，对端网关，出接口 ge-0/0/1 （位于untrust zone）set security ipsec policy AAA proposal-set standardset security ipsec vpn vpn1 bind-interface st0.0set security ipsec vpn vpn1 ike gateway gw1set security ipsec vpn vpn1 ike ipsec-policy AAAset security ipsec vpn vpn1 establish-tunnels

40、 immediately定义 ipsec Phase 2 VPN 参数：standard proposal、与 st0.0 接 口绑定，调用 Phase 1 gw1 ike 网关。set security policies from-zone untrust to-zone trust policy vpn-policy match source-address anyset security policies from-zone untrust to-zone trust policy vpn-policy match destination-address anyset security

41、policies from-zone untrust to-zone trust policy vpn-policy match application anyset security policies from-zone untrust to-zone trust policy vpn-policy then permitset security policies from-zone trust to-zone untrust policy vpn-policy match source-address anyset security policies from-zone trust to-

42、zone untrust policy vpn-policy match destination-address anyset security policies from-zone trust to-zone untrust policy vpn-policy match application anyset security policies from-zone trust to-zone untrust policy vpn-policy then permit开启双向policy以允许VPN流量通过Application and ALGSRX中自定义服务及ALG使用方法与ScreenO

43、S保持一致，系统缺省开启FTP ALG为TCP 21 服务提供FTP应用人16。自定义服务如果属于FTP类应用，需要将此自定义服务（非TCP 21 端口）与FTP应用进行关联。下面举例定义一个FTP类服务ftp-test，使用目的端口为TCP 2100， 服务超时时间为3600秒，并将此自定义服务与FTP应用关联（ALG），系统将识别此服务为FTP 应用并开启FTP ALG来处理该应用流量。set applications application ftp-test protocol tcp destination-port 2100 inactivity-timeout 3600set app

44、lications application ftp-test application-protocol ftpJSRPJSRP是Juniper SRX的私有HA协议，对应ScreenOS的NSRP双机集群协议，支持A/P和A/A 模式，JSRP对ScreenOS NSRP协议和JUNOS Cluster集群技术进行了整合集成，熟悉NSRP协 议有助于对JSRP协议的理解。JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概 念，两台设备完全当作一台设备来看待，两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作，无需额外执行ScreenOS的配置和会话同步等操作，而S

45、creenOS NSRP可看 作在同步配置和动态对象（session）基础上独立运行的两台单独设备。JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。 由于SRX是转发与控制层面完全分裂架构，JSRP需要控制层面（配置同步）和数据层面（Session 同步）两个平面的互联，建议控制和数据层面互联链路使用光纤链路直连（部分平台强制要求光 纤链路直连）。Control Plane ConnectionSPC to SPCData Plane ConnectionIOC to IOCJSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号，

46、如上所 示的SRX5800，每个SRX5800机箱有12个业务槽位，节点0槽位号从0开始编号，节点1槽 位号从12开始往后编。整个JSRP配置过程包括如下7个步骤配置Cluster id和Node id （对应ScreenOS NSRP的cluster id并需手工指定设备使用节点id）指定Control Port（指定控制层面使用接口，用于配置同步及心跳） 指定 Fabric Link Port（指定数据层面使用接口，主要session等RTO 同步） 配置 Redundancy Group（类似NSRP的VSD group，优先级与抢占等配置）每个机箱的个性化配置IP地址等）（单机无需同步

47、的个性化配置，如主机名、带外管理口 配置 Redundant Ethernet Interface（类似NSRP的Redundant冗余接口）配置 Interface Monitoring据）（类似NSRP interface monitor，是RG数据层面切换依SRX JSRP配置样例：配置 Cluster id 和 Node idSRX-Aset chassis cluster cluster-id 1 node 0 reboot （注意该命令需在 operational 模式下输入，Cluster ID 取值范围为 1 -15,当 Cluster ID = 0 时将 unsets the

48、 cluster）SRX-Bset chassis cluster cluster-id 1 node 1 reboot指定Control Port （如果主控板RE上有固定control-ports，则无需指定）：set chassis cluster control-ports fpc 11 port 0set chassis cluster control-ports fpc 23 port 0指定 Fabric Link Portset interfaces fab0 fabric-options member-interfaces ge-1/0/0set interfaces fab

49、1 fabric-options member-interfaces ge-13/0/0注：Fabric Link中的Fab0固定用于node 0，Fab1固定用于node 1配置 Redundancy GroupRG0固定用于主控板RE切换，RG1以后用于redundant interface切换，RE切换独立于接口切 换set chassis cluster reth-count 10（指定整个 Cluster 中 redundant ethernet interface 最多数量）set chassis cluster redundancy-group 0 node 0 priority

50、 200 （高值优先，与 NSRP 相反）set chassis cluster redundancy-group 0 node 1 priority 100set chassis cluster redundancy-group 1 node 0 priority 200 （高值优先，与 NSRP 相反）set chassis cluster redundancy-group 1 node 1 priority 100每个机箱的个性化配置，便于对两台设备的区分与管理set groups node0 system host-name SRX-Aset groups node0 interfac

51、es fxp0 unit 0 family inet address /24 （带外网管口名称为 fxp0，区别 ScreenOS 的 MGT 口）set groups nodel system host-name SRX-Bset groups nodel interfaces fxp0 unit 0 family inet address /24set apply-groups $node （应用上述 groups 配置）配置 Redundant Ethernet InterfaceRedundant Ethernet Interface 类似 ScreenOS 里的 redundant

52、interface，只不过 Redundant Ethernet interface是分布在不同的机箱上（这一特性又类似ScreenOS的VSI接口）。Set interface ge-0/0/0 gigether-options redundant-parent reth0（node 1 的 ge-0/0/0 接口）Set interface ge-13/0/0 gigether-options redundant-parent reth0（node 1 的 ge-0/0/0 接口）Set interface reth0 redundant-ether-options redundancy-

53、group 1（reth0 属于 RG1）Set interface reth0 unit 0 family inet address /24配置Interface Monitoring，被监控的接口 Down掉后，RG1将自动进行主备切换（与ScreenOS 类似），Set cluster redundancy-group 1 interface-monitor ge-0/0/0 weight 255Set cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255Set cluster redundancy-group

54、1 interface-monitor ge-13/0/0 weight 255Set cluster redundancy-group 1 interface-monitor ge-13/0/1 weight 255JSRP维护命令a）手工切换 JSRP Master， RG1 原 backup 将成为 Masterrootsrx5800a request chassis cluster failover redundancy-group 1 node 1b）手工恢复JSRP状态，按照优先级重新确定主备关系（高值优先）rootsrx5800b request chassis cluster

55、failover reset redundancy-group 1c）查看 cluster interfacerootrouter show chassis cluster interfacesd)查看cluster状态、节点状态、主备关系labsrx5800a# run show chassis cluster statuse）取消cluster配置srx5800a# set chassis cluster disable rebootf）升级JSRP软件版本SRX目前暂不支持软件在线升级（ISSU）,升级过程会中断业务。升级步骤如下:1.升级node 0，注意不要重启系统 2.升级node

56、 1，注意不要重启系统.同时重启两个系统g) 恢复处于disabled状态的node当control port或fabric link出现故障时，为避免出现双master (split-brain)现象，JSRP会把 出现故障前状态为secdonary的node设为disabled状态，即除了 RE，其余部件都不工作。 想要恢复必须reboot该node。三、SRX防火墙常规操作与维护3.1设备关机SRX因为主控板上有大容量硬盘，为防止强行断电关机造成硬件故障，要求设备关机必须 按照下面的步骤进行操作：管理终端连接SRX console 口。使用具有足够权限的用户名和密码登陆CLI命令行界面。

57、在提示符下输入下面的命令：userhost request system haltThe operating system has halted.Please press any key to reboot除非需要重启设备，此时不要敲任何键，否 则设备将进行重启）等待console输出上面提示信息后，确认操作系统已停止运行，关闭机箱背后电源模 块电源。3.2设备重启SRX重启必须按照下面的步骤进行操作：管理终端连接SRX console 口。使用具有足够权限的用户名和密码登陆CLI命令行界面。在提示符下输入下面的命令：userhost request system reboot等待console设备的输出，操作系统已经重新启动。3.3操作系统升级SRX操作系统软件升级必须按照下面的步骤进行操作：管理终端连接SRX console 口，便于升级过程中查看设备重启和软件加载状态。SRX上开启FTP服务，并使用具有超级用户权限的非root用户通过FTP客户端将下 载的升级软件介质上传到SRX上。升级前，执行下面的命令备份旧的软件及设定：