Juniper SRX防火墙配置手册(2)

2.1.4 远程管理SRX相关配置

run set date YYYYMMDDhhmm.ss /***设置系统时钟***/ set system time-zone Asia/Shanghai /***设置时区为上海***/ set system host-name SRX3400-A /***设置主机名***/ set system name-server 1.1.1.1 /***设置DNS服务器***/ set system services ftp set system services telnet set system services web-management http

/***在系统级开启ftp/telnet/http远程接入管理服务***/

2.2 Policy

Policy配置方法与ScreenOS基本一致，仅在配置命令上有所区别，其中策略的允许/拒绝的动作（Action）需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上配置语句)。Policy需要手动配置policy name，policy name可以是字符串，也可以是数字（与ScreenOS的policy ID类似,只不过需要手工指定）。

set security policies from-zone trust to-zone trust-to-untrust match source-address any

set security policies from-zone trust to-zone trust-to-untrust match destination-address any

set security policies from-zone trust to-zone trust-to-untrust match application any

set security policies from-zone trust to-zone trust-to-untrust then permit

untrust policy untrust policy untrust policy untrust policy

2.3 NAT

SRX NAT较ScreenOS在功能实现方面基本保持一致，但在功能配置上有较大区别，配置的主要差异在于ScreenOS的NAT与policy是绑定的，无论是MIP/VIP/DIP还是基于策略的NAT，在policy中均要体现出NAT内容（除了缺省基于untrust接口的Souec-NAT模式外），而SRX 的NAT则作为网络层面基础内容进行独立配置（独立定义地址映射的方向、映射关系及地址范围），Policy中不再包含NAT相关配置信息，这样的好处是易于理解、简化运维，当网络拓朴和NAT映射关系发生改变时，无需调整Policy配置内容。

SRX NAT和Policy执行先后顺序为：目的地址转换－目的地址路由查找－执行策略检查－源地址转换，结合这个执行顺序，在配置Policy时需注意：Policy中源地址应是转换前的源地址，而目的地址应该是转换后的目的地址，换句话说，Policy中的源和目的地址应该是源和目的两端的真实IP地址，这一点和ScreenOS存在区别，需要加以注意。

第 6 页 共 11 页

SRX中不再使用MIP/VIP/DIP这些概念，其中MIP被Static静态地址转换取代，两者在功能上完全一致；DIP被Source NAT取代；基于Policy的目的地址转换及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址转换被保留下来，但在SRX中不再是缺省模式（SRX中Trust Zone接口没有NAT模式概念），需要手工配置。类似ScreenOS，Static属于双向NAT，其他类型均属于单向NAT，

此外，SRX还多了一个proxy-arp概念，如果定义的IP Pool（可用于源或目的地址转换）与接口IP在同一子网时，需配置SRX对这个Pool内的地址提供ARP代理功能，这样对端设备能够解析到IP Pool地址的MAC地址（使用接口MAC地址响应对方），以便于返回报文能够送达SRX。下面是配置举例及相关说明：

2.3.1 Pool base Static NAT

NAT：

set security nat source rule-set trust-to-untrust from zone trust set security nat source rule-set trust-to-untrust to zone untrust

set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface Policy:

set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any

set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit

2.4 IPSEC VPN

SRX IPSEC VPN支持Site-to-Site VPN 和基于NS-remote的拨号VPN，和ScreenOS一样，site-to-site VPN也支持路由模式和Policy模式，在配置方面也和ScreenOS基本一致。SRX中的加密/验证算法在命名上和ScreenOS存在一些区别，配置过程中建议选择ike和ipsec的proposal

第 7 页 共 11 页

为 standard模式，standard中包含SRX支持的全部加密/验证算法，只要对端设备支持其中任何一种即可。SRX中通道接口使用st0接口，对应ScreenOS中的tunnel虚拟接口。

下面是图中左侧SRX基于路由方式IPSEC-VPN方式配置：

set security ike proposal ike-prop1 authentication-method pre-shared-keys set security ike proposal ike-prop1 dh-group group2

set security ike proposal ike-prop1 authentication-algorithm md5 set security ike proposal ike-prop1 encryption-algorithm des-cbc set security ike proposal ike-prop1 lifetime-seconds 86400

set security ipsec policy ipsec-dyn-vpn-policy perfect-forward-secrecy keys group2 set security ipsec policy ipsec-dyn-vpn-policy proposal-set compatible

2.5 HA模式

描述本项目中Juniper防火墙HA特有模式

Junos操作系统服务冗余协议(JSRP)是SRX系列的一个核心特性。利用JSRP，一对SRX系统能够轻松集成到一个高可用性网络架构，并在系统和相邻网络交换机之间提供冗余的物理连接。通过链接冗余，瞻博网络可以解决许多常见的系统故障，例如物理端口恶化或电缆松脱，从而保证连接的可用性，而不需要对整个系统进行故障切换。这与路由永续性协议典型的主用/备用特点是一致的。

当把SRX系列业务网关配置为一对高可用性的主用/主用网关时，会自动对流量和配置进行镜像，从而在发生故障时保持活跃的防火墙和VPN会话。此时，分支办事处SRX系列产品可同步配置和运行时信息。结果是，在故障切换期间，下列信息的同步是共享的：连接/会话状态和流量信息、IPSec安全关联、网络地址转换(NAT)流量、地址薄信息、配置变更等。与典型的路由器主用/备用永续性协议（如虚拟路由器冗余协议(VRRP)）相反的是，如果发生故障切换，全部动态流和会话信息都会丢失，必须重建。部分或全部网络会话必须重启，这取决于链接或节点的收敛时间。通过保持状态，不仅可保持会话，而且安全性也毫发无损。在不稳定网络中，这种主用/主用配置还能够减轻影响会话性能的链路摆动。 lab@ Juniper> show chassis cluster status Cluster ID: 1

Node Priority Status Preempt Manual failover

Redundancy group: 0 , Failover count: 1

第 8 页 共 11 页

node0 200 primary no no node1 …… 此处隐藏：5449字，全部文档内容请下载后查看。喜欢就下载吧 ……