juniper防火墙培训(SRX系列)

JUNIPER防火墙培训2012年07月深圳市奥怡轩实业有限公司议程基本配置规范13Junos简介2SRX3400硬件结构基本维护操作命令4议程XXXXXXXX13XXXXXXXX2SRX3400硬件结构XXXXXXXX4SRX3400硬件结构SRX3400机箱是刚性金属结构，用于其他部件的放置,JuniperSRX3400插槽位分别位于SRX3400的前后面板上，如图1和图2所示：图1前面板插槽位图2后面板插槽位根据SRX3400对RE、SFB、SPC、NPC和IOC对应插槽位的要求，IOC只能插在前面板的Slot1到Slot4的插槽中，NPC只能插在Slot5到Slot7的插槽位上，而SPC可以插在Slot1到Slot7任何一个插槽位中。SRX3400硬件结构交换矩阵和控制板(SCB)交换矩阵和控制板(SCB)是动态业务架构的核心组件，可将机箱从简单的模块容器转变为高效的网状网络。SCB旨在支持机箱中的所有模块通过极高的带宽发送流量。路由引擎(RE)路由引擎(RE)与SCB紧密集成，就好比整个架构的中枢神经系统。RE是机箱的控制平面，为系统管理员提供完整的管理和通信支持，还能为路由网络流量计算路由表。服务处理卡(SPC)作为SRX3000业务网关背后的“大脑”，服务处理卡(SPC)旨在处理网关上的所有可用的服务。由于无需购买专用硬件来支持特定服务或功能，因而不会出现某些硬件的使用超出极限，而其他硬件却处于空闲状态的情况。SPC的所有处理能力均可用于支持网关上的任意或全部服务和功能。SRX3600和SRX3400业务网关上使用了相同的SPC。（注：要想实现正常的系统功能，至少需要1个NPC和1个SPC）SRX3400硬件结构-名词解释网络处理卡(NPC)为了确保实现最大的处理性能和灵活性，SRX3000业务网关系列利用网络处理卡(NPC)来将进出的流量分配给相应的SPC和IOC，同时应用QoS功能，以及执行DoS/DDoS防护功能。SRX3600可配置用于支持1到3个NPC，而SRX3400可配置用于支持1到2个NPC。向这些网关添加更多NPC可支持企业定制解决方案，以满足其特定的性能要求。（注：要想实现正常的系统功能，至少需要1个NPC和1个SPC）输入/输出卡(IOC)除了能够完美支持内置铜线端口、小型可热插拔(SFP)端口和高可用性(HA)端口的组合外，与同类产品相比，SRX3000系列还可实现最大的I/O端口密度。每一个SRX3000业务网关均可以安装一个或多个输入/输出卡(IOC)，每一个IOC可以支持16个千兆位接口（16个铜线或光纤千兆以太网），或者20个千兆位接口（2个万兆XFP以太网）。凭借能够添加更多IOC的出色灵活性，SRX3000业务网关系列可支持在接口和处理能力之间实现最佳平衡。（注：要想实现正常的系统功能，至少需要1个NPC和1个SPC）SRX3400硬件结构-名称解释Junos简介SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。Junos简介2议程XXXXXXXX3XXXXXXXX4XXXXXXXX1Junos简介-层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式。JUNOSCLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。Junos简介-配置管理JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（CandidateConfig）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Activeconfig）。

在执行commit命令前可通过配置模式下show命令查看当前候选配置（CandidateConfig），在执行commit后配置模式下可通过runshowconfig命令查看当前有效配置（Activeconfig）。此外可通过执行show|compare比对候选配置和有效配置的差异。另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commitconfirmed2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。4213SRX可对模块化配置进行功能关闭与激活，如执行deactivate命令可使相关配置不生效，并可通过执行activatesecurity使配置再次生效。SRX通过set语句来配置防火墙，通过delete语句来删除配置，如deletesecuritynat和editsecuritynat/delete一样，均可删除security防火墙层级下所有NAT相关配置，删除配置和ScreenOS不同，配置过程中需加以留意。XXXXXXXX基本配置规范13XXXXXXXX2XXXXXXXXXXXXXXXX4基本配置规范设备关机在提示符下输入下面的命令：user@host>requestsystemhalt…Theoperatingsystemhashalted.Pleasepressanykeytoreboot(除非需要重启设备，此时不要敲任何键，否则设备将进行重启)设备重启在提示符下输入下面的命令：user@host>requestsystemreboot密码恢复SRXRoot密码丢失，并且没有其他的超级用户权限，那么就需要执行密码恢复，该操作需要中断设备正常运行，但不会丢失配置信息，这点与ScreenOS存在区别。基本配置规范SRX主要配置内容：部署SRX防火墙主要有以下几个方面需要进行配置：System：主要是系统级内容配置，如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务（如telnet）等内容。Interface:接口相关配置内容Security:是SRX防火墙的主要配置内容，Security层级下完成配置，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等，可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下，除了Application自定义服务。Application：自定义服务单独在此进行配置，配置内容与ScreenOS基本一致。routing-options：配置静态路由或router-id等系统全局路由属性配置。基本配置规范1、设置root用户口令root#setsystemroot-authenticationplain-text-passwordroot#newpassword:root123 root#retypenewpassword:root123注意：默认情况下root用户是没有设置密码，在没有设置root密码的时候，无法执行Commit来提交配置文件.默认情况下root用户只能通过Console方式来登录，如果需要通过WEB或TELNET的方式来登录SRX设备，需要设置一个远程用户强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式),采用这种加密方式手工输入时存在密码无法通过验证风险.2、设置远程登陆管理用户root#setsystemloginuserlabclasssuper-userauthenticationplain-text-passwordroot#newpassword:lab123 root#retypenewpassword:lab123基本配置规范-PolicyPolicy策略四要素Ip地址执行动作服务端口定义流量基本配置规范-JSRPJSRP是JuniperSRX的私有HA协议，对应ScreenOS的NSRP双机集群协议，支持A/P和A/A模式.JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概念，两台设备完全当作一台设备来看待,JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。整个JSRP配置过程包括如下7个步骤：配置Clusterid和Nodeid(对应ScreenOSNSRP的clusterid并需手工指定设备使用节点id）指定ControlPort（指定控制层面使用接口，用于配置同步及心跳）指定FabricLinkPort（指定数据层面使用接口，主要session等RTO同步）配置RedundancyGroup（类似NSRP的VSDgroup，优先级与抢占等配置）每个机箱的个性化配置（单机无需同步的个性化配置，如主机名、带外管理口IP地址等）配置RedundantEthernetInterface（类似NSRP的Redundant冗余接口）配置InterfaceMonitoring（类似NSRPinterfacemonitor，是RG数据层面切换依据）基本配置规范-JSRPJSRP维护命令a) 手工切换JSRPMaster，RG1原backup将成为Masterroot@srx5800a>requestchassisclusterfailoverredundancy-group1node1b) 手工恢复JSRP状态，按照优先级重新确定主备关系（高值优先）root@srx5800b>requestchassisclusterfailoverresetredundancy-group1c) 查看clusterinterfaceroot@router>showchassisclusterinterfacesd) 查看cluster状态、节点状态、主备关系lab@srx5800a#runshowchassisclusterstatuse) 取消cluster配置srx5800a#setchassisclusterdisablerebootf) 恢复处于disabled状态的node当controlport或fabriclink出现故障时，为避免出现双master(split-brain)现象，JSRP会把出现故障前状态为secdonary的node设为disabled状态，即除了RE，其余部件都不工作。想要恢复必须reboot该node。基本配置规范-SYSLOGSRX的日志分为两类:events和stream(trafficlog)Events是设备自身产生的log，比如设备接口up/down,设备板卡online/offline，管理员登录记录，RPD/MGD等系统进程状态发生变化等等.Stream与设备无关，是由穿越防火墙的业务流量产生的日志记录，记录信息包括会话开始/结束的时间，源地址/端口，目标地址/端口，传输协议号，NAT前后的地址，传输的包个数/字节数，命中的安全策略名称等等，这类事件日志称为Stream(TrafficLog)。Stream的配置。setsecuritylogmodestreamsetsecuritylogformatsd-syslogsetsecuritylogsource-addressX.X.X.XsetsecuritylogstreamsyslogseveritywarningsetsecuritylogstreamsyslogformatsyslogsetsecuritylogstreamsyslogcategoryallsetsecuritylogstreamsysloghostX.X.X.XEvents的配置setsystemsysloghost10.250.65.125anyanysetsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesanyinfosetsystemsyslogfileinteractive-commandsinteractive-commandsanyXXXXXXXXXXXXXXXX13XXXXXXXX2XXXXXXXX基本维护操作命令4下列操作命令在操作模式下使用，或在配置模式下runshow… Showsystemsof