Juniper-SRX-防火墻配置管理手冊

1、Juniper SRX系列防火墻配置管理手冊第 1 頁 共 26 頁目錄1、 JUNOS 操作系統(tǒng)介紹31.1 層次化配置結(jié)構(gòu) 31.2 JunOS 配置管理 41.3 SRX 主要配置內(nèi)容 42、 SRX 防火墻配置操作舉例說明 52.1 初始安裝 52.1.1 設(shè)備登陸 52.1.2 設(shè)備恢復(fù)出廠介紹 52.1.3 設(shè)置 root 用戶口令52.1.4 設(shè)置遠(yuǎn)程登陸管理用戶 62.1.5 遠(yuǎn)程管理SRX相關(guān)配置62.2 配置操作實驗拓?fù)?72.3 策略相關(guān)配置說明 72.3.1 策略地址對象定義 82.3.2 策略服務(wù)對象定義 82.3.3 策略時間調(diào)度對象定義 82.3.4 添加策略配置

2、舉例 92.3.5 策略刪除 102.3.6 調(diào)整策略順序 102.3.7 策略失效與激活 102.4 地址轉(zhuǎn)換102.4.1 Interface based NAT 基于接口的源地址轉(zhuǎn)換112.4.2 Pool based Source NAT 基于地址池的源地址轉(zhuǎn)換122.4.3 Pool base destination NAT 基于地址池的目標(biāo)地址轉(zhuǎn)換122.4.4 Pool base Static NAT 基于地址池的靜態(tài)地址轉(zhuǎn)換132.5 路由協(xié)議配置 14靜態(tài)路由配置 14OSPF 配置 15交換機(jī) Firewall 限制功能22限制IP 地 22限制MAC 地址 223、 SR

3、X 防火墻常規(guī)操作與維護(hù)233.2 設(shè)備關(guān)機(jī) 233.3 設(shè)備重啟 233.4 操作系統(tǒng)升級 243.5 密碼恢復(fù) 253.6 常用監(jiān)控維護(hù)命令 26第 2 頁 共 26 頁Juniper SRX Branch系列防火墻配置管理手冊說明SRX系列防火墻是Juniper公司基于JUNOSM乍系統(tǒng)的安全系列產(chǎn)品， JUNOSB成了路由、交換、安全性 和一系列豐富的網(wǎng)絡(luò)服務(wù)。目前 Juniper公司的全系列路由器產(chǎn)品、交換機(jī)產(chǎn)品和SRX安全產(chǎn)品均采用統(tǒng)一源代碼的JUNOS®作系統(tǒng)，JUNOS1全球首款將轉(zhuǎn)發(fā)與控制功能相隔離，并采用模塊化軟件架構(gòu)的網(wǎng)絡(luò)操作系統(tǒng)。JUNOS乍為電信級產(chǎn)品的精髓

4、是 Juniper真正成功的基石，它讓企業(yè)級產(chǎn)品同樣具有電信級的不間斷運營特性， 更好的安全性和管理特性，JUNOS軟件創(chuàng)新的分布式架構(gòu)為高性能、高可用、高可擴(kuò)展的網(wǎng)絡(luò)奠定了基礎(chǔ)?；?于NP架構(gòu)的SRX系列產(chǎn)品產(chǎn)品同時提供性能優(yōu)異的防火墻、NAT IPSEC IPS、UTM等全系列安全功能，其安全功能主要來源于已被廣泛證明的ScreenOS操作系統(tǒng)。本文旨在為熟悉 Netscreen防火墻ScreenOS操作系統(tǒng)的工程師提供 SRX防火墻參考配置，以便于大 家能夠快速部署和維護(hù) SRX防火墻，文檔介紹JUNOS作系統(tǒng)，并參考ScreenOS配置介紹SRX防火墻配置方法， 最后對SRX防火墻常規(guī)

5、操作與維護(hù)做簡要說明。鑒于SRX系列防火墻低端Branch系列與高端3K、5K系列在功能配置與包處理流程有所差異，本人主要以低端系列功能配置介紹為主，Branch系列型號目前包含：SRX100210240650將來會有新的產(chǎn)品加入到Branch家族，請隨時關(guān)注官方網(wǎng)站動態(tài)，配置大同小異。一、JUNOS操作系統(tǒng)介紹1.1 層次化配置結(jié)構(gòu)JUNOS采用基于FreeBSD內(nèi)核的軟件模塊化操作系統(tǒng)，支持 CLI命令彳f和WEBUI兩種接口配置方式， 本文主要對CLI命令行方式進(jìn)行配置說明。JUNOS CLI使用層次化配置結(jié)構(gòu)，分為操作( operational)和配置(configure)兩類模式，在

6、操作模式下可對當(dāng)前配置、設(shè)備運行狀態(tài)、路由及會話表等狀態(tài)進(jìn)行查看及設(shè)備運 維操作，并通過執(zhí)行config或edit命令進(jìn)入配置模式，在配置模式下可對各相關(guān)模塊進(jìn)行配置并能夠執(zhí)行操作 模式下的所有命令(run)。在配置模式下JUNOS采用分層分級模塊下配置結(jié)構(gòu)，如下圖所示，edit命令進(jìn)入下Less Specific一級配置(類似unix cd命令),SRXit命令退回上一級，top命令回到根級。clear configure monitor set showMore Specrficroute chassis interfaces log ospf security system第3頁共26頁

7、1.2 JunOS 配置管理JUNOS通過set語句進(jìn)行配置，配置輸入后并不會立即生效，而是作為候選配置( Candidate Config )等待管理員提交確認(rèn)，管理員通過輸入commit 命令來提交配置，配置內(nèi)容在通過SRX 語法檢查后才會生效，一旦commit 通過后當(dāng)前配置即成為有效配置(Active config ) 。另外，JUNOS 允許執(zhí)行commit 命令時要求管理員對提交的配置進(jìn)行兩次確認(rèn)，如執(zhí)行commit confirmed 2 命令要求管理員必須在輸入此命令后2 分鐘內(nèi)再次輸入commit 以確認(rèn)提交，否則2 分鐘后配置將自動回退，這樣可以避免遠(yuǎn)程配置變更時管理員失去

8、對SRX 的遠(yuǎn)程連接風(fēng)險。在執(zhí)行 commit 命令前可通過配置模式下show 命令查看當(dāng)前候選配置(Candidate Config ) ， 在執(zhí)行 commit 后配置模式下可通過run show config 命令查看當(dāng)前有效配置(Active config ) 。此外可通過執(zhí)行show | compare比對候選配置和有效配置的差異。SRX 上由于配備大容量存儲器，缺省按先后commit 順序自動保存50 份有效配置，并可通過執(zhí)行rolback 和commit 命令返回到以前配置(如rollback 0/commit 可返回到前一commit 配置) ；也可以直接通過執(zhí)行savecon

9、figname.conf 手動保存當(dāng)前配置，并執(zhí)行 load override configname.conf / commit 調(diào)用前期手動保存的配置。執(zhí)行 load factory-default / commit 命令可恢復(fù)到出廠缺省配置。SRX可對模塊化配置進(jìn)行功能關(guān)閉與激活，如執(zhí)行deactivate security nat/comit命令可使NAT相關(guān)配置不生效，并可通過執(zhí)行activate security nat/commit 使 NAT 配置再次生效。SRX通過set語句來配置防火墻，通過delete語句來刪除配置，如 delete security nat和edit se

10、curity nat / delete一樣，均可刪除security 防火墻層級下所有NAT 相關(guān)配置，刪除配置和ScreenOS 不同，配置過程中需加以留意。1.3 SRX 主要配置內(nèi)容部署 SRX 防火墻主要有以下幾個方面需要進(jìn)行配置：System：主要是系統(tǒng)級內(nèi)容配置，如主機(jī)名、管理員賬號口令及權(quán)限、時鐘時區(qū)、Syslog、SNMP、系統(tǒng)級開放的遠(yuǎn)程管理服務(wù)(如telnet)等內(nèi)容。Interface: 接口相關(guān)配置內(nèi)容。Security: 是 SRX 防火墻的主要配置內(nèi)容，安全相關(guān)部分內(nèi)容全部在Security 層級下完成配置，如 NAT、 Zone、Policy、Address-bo

11、ok、Ipsec、Screen Idp、UTM等，可簡單理解為 ScreenOS防火墻安全相關(guān)內(nèi)容都遷移至此 配置層次下，除了Application 自定義服務(wù)。Application :自定義服務(wù)單獨在此進(jìn)行配置，配置內(nèi)容與ScreenOS基本一致。routing-options ： 配置靜態(tài)路由或router-id 等系統(tǒng)全局路由屬性配置。第 4 頁 共 26 頁SRX 防火墻配置操作舉例說明2.1 初始安裝2.1.1 設(shè)備登陸Console 口 （ 通用超級終端缺省配置） 連接SRX， root 用戶登陸，密碼為空<初始第一次登陸>login: root Password:-

12、 JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTCroot% cli/* 進(jìn)入操作模式*/root>root> configureEntering configuration mode /* 進(jìn)入配置模式*/ editRoot#2.1.2 設(shè)備恢復(fù)出廠介紹首先根據(jù)上述操作進(jìn)入到配置模式, 執(zhí)行下列命令：root# load factory-defaultwarning: activating factory configuration /* 系統(tǒng)激活出廠配置*/恢復(fù)出廠后，必須立刻設(shè)置ROO怵號密碼默認(rèn)密碼至少6位數(shù)：字母加數(shù)字root# se

13、t system root-authentication plain-tSRXt-passwordNew password:當(dāng)設(shè)置完ROO砸號密碼以后，進(jìn)行保存激活配置root# commitcommit complete在此需要提醒配置操作員注意，系統(tǒng)恢復(fù)出廠后并不代表沒有任何配置, 系統(tǒng)缺省配置有ScreenDHCPPolicy等相關(guān)配置, 你如果需要完整的刪除, 可以執(zhí)行命令delete 刪除相關(guān)配置。通過 show 來查看系統(tǒng)是否還有遺留不需要的配置, 可以一一進(jìn)行刪除, 直到符合你的要求, 然后再重新根據(jù)實際需求進(jìn)行配置。2.1.3 設(shè)置 root 用戶口令設(shè)置 root 用戶口令r

14、oot# set system root-authentication plain-tSRXt-passwordroot# new password : root123root# retype new password: root123密碼將以密文方式顯示root# show system root-authenticationencrypted-password "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6." # SECRET-DATA第 5 頁 共 26 頁注意：強烈建議不要使用其它加密選項來加密root 和其它 user 口令 （ 如 enc

15、rypted-password 加密方式） ，此配置參數(shù)要求輸入的口令是經(jīng)加密算法加密后的字符串，采用這種加密方式手工輸入時存在密碼無法通過驗證風(fēng)險。注：root用戶僅用于console連接本地管理SRX不能通過遠(yuǎn)程登陸管理 SRX必須成功設(shè)置root 口令后，才能執(zhí) 行commit提交后續(xù)配置命令。2.1.4 設(shè)置遠(yuǎn)程登陸管理用戶root# set system login user lab class super-user authentication plain-tSRXt-password root# new password : lab123root# retype new pass

16、word: lab123注：此 lab 用戶擁有超級管理員權(quán)限，可用于console 和遠(yuǎn)程管理訪問，另也可自行靈活定義其它不同管理權(quán)限用戶。2.1.5 遠(yuǎn)程管理SRXJ目關(guān)配置/* 設(shè)置系統(tǒng)時鐘*/* 設(shè)置時區(qū)為上海*/* 設(shè)置主機(jī)名*/* 設(shè)置DNS服務(wù)器*/run set date YYYYMMDDhhmm.ss set system time-zone Asia/Shanghai set system host-name SRX-650-1 set system name-server set system services ftp set system service

17、s telnet set system services web-management http/* 在系統(tǒng)級開啟遠(yuǎn)程接入管理服務(wù)*/ set interfaces ge-0/0/0.0 family inet address /24 或set interfaces ge-0/0/0 unit 0 family inet address /24set interfaces ge-0/0/1 unit 0 family inet address /24set routing-options static route /0 nSRXt-

18、hop /*配置邏輯接口地址及缺省路由，SRXg口要求IP地址必須配置在邏輯接口下（類似 ScreenOS的子接口），通常使用邏輯接口0 即可 */set security zones security-zone untrust interfaces ge-0/0/0.0/* 將 ge-0/0/0.0 接口放到安全區(qū)域中，類似ScreenOS*/set security zones security-zone untrust host-inbound-traffic system-services pingset security zones security-zone

19、untrust host-inbound-traffic system-services httpset security zones security-zone untrust host-inbound-traffic system-services telnet/*在untrust zone打開允許遠(yuǎn)程登陸管理服務(wù)，ScreenOS要求基于接口開放服務(wù)，SRX要求基于Zone開放,從SRX主動訪問出去流量開啟服務(wù)，類似 ScreenOS*/本次實驗拓?fù)渲惺褂玫脑O(shè)備的版本如下：SRX100-H幅統(tǒng)版本與J-WEB版本均為：10.1.R2.8SS的火墻版本為 6.1.0R7測試客戶端包含WIN

20、DOWS7XP第 6 頁 共 26 頁2.2 配置操作實驗拓?fù)渑渲门c泅試終端2碇N2J6H.1.A 24ii inippr $rx防火墻配置J操作實驗拓?fù)鋱DBy Xiao 卜*昨心中町Cmrubt L>H( r( HfniZ4J 111 I I U3E20.J.1J/24Junni操ft系統(tǒng)LthUlZone DMZ I Z-.hl： uoili ll->(IO-.1.1.1/24 !lO 1 1.2M.24BgroopOZflne mist 17ml04】PSET*F、通道網(wǎng)口5 g操作系統(tǒng)列試終戕17M6.L1IHI74測成理瑞Dhrp； mum*2.3 策略相關(guān)配置說明安全設(shè)

21、備的缺省行為是拒絕安全區(qū)段之間的所有信息流（區(qū)段之間信息流）允許綁定到同一區(qū)段的接口間的所有信息流（區(qū)段內(nèi)部信息流）。為了允許選定的區(qū)段之間信息流通過安全設(shè)備，必須創(chuàng)建覆蓋缺省行為的 區(qū)段之間策略。同樣，為了防止選定的區(qū)段內(nèi)部信息流通過安全設(shè)備，必須創(chuàng)建區(qū)段內(nèi)部策略?；驹卦试S、拒絕或設(shè)置兩點間指定類型單向信息流通道的策略。信息流 （或“服務(wù)”）的類型、兩端點的位置以及 調(diào)用的動作構(gòu)成了策略的基本元素。盡管可以有其它組件，但是共同構(gòu)成策略核心部分的必要元素如下：策略名稱-兩個安全區(qū)段間（從源區(qū)段到目的區(qū)段）間信息流的方向/*必須配置*/源地址-信息流發(fā)起的地址/*必須配置*/目標(biāo)地址-信息流

22、發(fā)送到的地址/*必須配置*/服務(wù)-信息流傳輸?shù)念愋?*必須配置*/動作-安全設(shè)備接收到滿足頭四個標(biāo)準(zhǔn)的信息流時執(zhí)行的動作/*必須配置*/這些動作為：deny、permit、reject 或 tunnel注意 tunnel、firewall-authentication 、application-services<IDPUACWXUTM策略在 permit 下一級，如下:root# set security policies from-zone trust to-zone untrust policy t-u then permit ?> Firewall-authenticatio

23、n> tunnel另外還包括其他的策略元素，比如記錄日志、流量統(tǒng)計、時間調(diào)度對象等三種類型的策略可通過以下三種策略控制信息流的流動：通過創(chuàng)建區(qū)段之間策略，可以管理允許從一個安全區(qū)段到另一個安全區(qū)段的信息流的種類。通過創(chuàng)建區(qū)段內(nèi)部策略，也可以控制允許通過綁定到同一區(qū)段的接口間的信息流的類型。通過創(chuàng)建全局策略，可以管理地址間的信息流，而不考慮它們的安全區(qū)段。第7頁共26頁2.3.1 策略地址對象定義SRXI艮務(wù)網(wǎng)關(guān)地址對象需要自定義后才可以在策略中進(jìn)行引用，默認(rèn)只有any對象自定義單個地址對象如下：root# set security zones security-zone trust ad

24、dress-book address pc-1 00/32root# set security zones security-zone trust address-book address pc-2 10/32自定義單個地址組對象如下：set security zones security-zone trust address-book address-set pc-group address pc-1set security zones security-zone trust address-book address-set pc-group address

25、pc-22.3.2 策略服務(wù)對象定義SRXB務(wù)網(wǎng)關(guān)部分服務(wù)對象需要自定義后才可以在策略中進(jìn)行引用，默認(rèn)僅有預(yù)定義常用服務(wù)對象自定義單個服務(wù)對象如下：set applications application tcp-3389 protocol tcp 定義服務(wù)對象協(xié)議<TCPUDPICMPOTHER>set applications application tcp-3389 source-port 1-65535 定義服務(wù)對象源端口set applications application tcp-3389 destination-port 3389-3389 定義服務(wù)對象目標(biāo)地址se

26、t applications application tcp-3389 inactivity-timeout never 可選定義服務(wù)對象timeout 時長set applications application tcp-8080 protocol tcpset applications application tcp-8080 source-port 1-65535set applications application tcp-8080 destination-port 8080-8080set applications application tcp-8080 inactivity-t

27、imeout 3600自定義單個服務(wù)組對象如下：set applications application-set aaplications-group application tcp-8080set applications application-set aaplications-group application tcp-33892.3.3 策略時間調(diào)度對象定義SRXB務(wù)網(wǎng)關(guān)時間調(diào)度對象需要自定義后才可以在策略中進(jìn)行引用，默認(rèn)沒有預(yù)定義時間調(diào)度對象自定義單個時間調(diào)度對象如下：set schedulers scheduler work-time daily start-time 09:00:

28、00 stop-time 18:00:00set schedulers scheduler happy-time sunday start-time 00:00:00 stop-time 23:59:59set schedulers scheduler happy-time saturday start-time 00:00:00 stop-time 23:59:59注意：時間調(diào)度服務(wù)生效參考設(shè)備系統(tǒng)時間, 所以需要關(guān)注設(shè)備系統(tǒng)時間是否正常。第 8 頁 共 26 頁2.3.4 添加策略配置舉例Policy配置方法與ScreenOS基本一致，僅在配置命令上有所區(qū)別，其中策略的允許/拒絕的動作（A

29、ction ）需要額外配置一條then語句（將ScreenOS的一條策略分解成兩條及以上配置語句）。Policy需要手動配置policyname, policy name 可以是字符串，也可以是數(shù)字（與 ScreenOS的policy ID 類似，只不過需要手工指定）。 首先需要注意系統(tǒng)缺省策略配置： root# show security policies default-policy 查看當(dāng)前系統(tǒng)缺省策略動作 root# set security policies default-policy ? 設(shè)置系統(tǒng)缺省策略動作 Possible completions: deny-allDeny

30、all traffic if no policy matchpermit-allPermit all traffic if no policy match根據(jù)實驗拓?fù)溥M(jìn)行策略配置舉例說明set security zones security-zone trust address-book address pci 00/32 set security zones security-zone untrust address-book address serveri 00/32/*與ScreenOS一樣，在trust和untrust zone下分別定義地址對象便

31、于策略調(diào)用，地址對象的名稱可以是地址/掩碼形式*/set security zones security-zone trust address-book address-set addr-group1 address pc1 /*在trust zone 下定義名稱為 add-group1的地址組，并將 pc1地址放到該地址組中 */Set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 applica

32、tion any set security policies from-zone trustto-zoneuntrustpolicy001then permit/*定義從trust 至I untrust 方向permit策略，允許addr-group1組的源地址訪問 server1 地址any服務(wù)*/set security policies from-zone trustto-zoneuntrustpolicy001then log session-initset security policies from-zone trustto-zoneuntrustpolicy001then log

33、 session-closeset security policies from-zone trustto-zoneuntrustpolicy001then count可選配置/*定義從trust到untrust方向策略，針對當(dāng)前策略記錄日志并統(tǒng)計策略流量root# set security policies from-zone trust to-zone untrust policy 001 scheduler-name happy-time root# set security policies from-zone trust to-zone dmz policy 001 schedule

34、r-name work-time可選配置/*定義當(dāng)前策略，引用時間調(diào)度對象，符合時間條件策略生效，否則策略將處于非工作狀態(tài)root# set security policies from-zone trust to-zone untrust policy t-u then permit application-services ? Possible completions: + apply-groupsGroups from which to inherit configuration data+ apply-groups-SRXcept Don't inherit configura

35、tion data from these groups gprs-gtp-profileSpecify GPRS Tunneling Protocol proidpIntrusion detection and preventionredirect-wxSet WX redirectionreverse-redirect-wx Set WX reverse redirection uac-policyEnable unified access control enforcement of policyutm-policySpecify utm policy nameedit可選配置/*定義當(dāng)前

36、策略，選擇是否客氣IDPUACUTM等操作，如果針對策略開啟相應(yīng)的檢查，請先定義好相應(yīng)的功能。第9頁共26頁2.3.5 策略刪除刪除SRX防火墻策略命令，在 JUNO繇統(tǒng)中刪除全部都使用delete命令，因此刪除策略的命令如下：srx3400root# delete security policies from trust to untrust policy 1/* 刪除從trust 到untrust 策略ID為1的策略*/命令如下： srx3400root# delete security policies from zone-name to zone-name policy policy-

37、id Zone-name:表示自定義或者預(yù)定義的zone名字。例如： trust、untrust 、dmz等Policy-id:表示策略的ID號，例如：1、2、3、4、n。注意：如果不加策略ID將表示刪除從From-zone到TO zone的全部策略2.3.6 調(diào)整策略順序SRX防火墻的策略執(zhí)行順序是自上而下，逐一檢查進(jìn)行匹配。新添加的策略將排列在策略的最后一個，默認(rèn)策 略是全部阻止，因此如果前面有模糊匹配的策略，精確匹配策略將不再執(zhí)行，所以需要調(diào)整策略順序。命令如下：(1) srx3400root# insert security policies from trust to untrust

38、 policy 1 before policy 2/* 將從trust區(qū)域到untrust區(qū)域的策略1插入到策略2的前面*/(2) srx3400root# insert security policies from trust to untrust policy 1 after policy 2/* 將從trust區(qū)域到untrust區(qū)域的策略1插入到策略2的后面*/命令格式： srx3400root# insert security policies from zone-name to zone-name policy policy-id before policy policy-idsr

39、x3400root# insert security policies from zone-name to zone-name policy policy-id after policy policy-id2.3.7策略失效與激活在SRX防火墻中準(zhǔn)備暫停某條策略，等待測試結(jié)束后再激活啟用，使用如下命令進(jìn)行設(shè)置 命令如下：策略失效(1) srx3400root# deactive security policies from trust to untrust policy 1/* 將從trust 區(qū)域到untrust區(qū)域的策略1暫時停用*/ 策略激活(2) srx3400root# active

40、 security policies from trust to untrust policy 1/* 將從trust區(qū)域到untrust區(qū)域的策略1激活*/激活和失效配置完成后都要進(jìn)行commit操作。命令如下：srx3400root# commit2.4 地址轉(zhuǎn)換SRXNA儂ScreenOS在功能實現(xiàn)方面基本保持一致，但在功能配置上有較大區(qū)別，配置的主要差異在于ScreenOS 的NAT與policy 是綁定的，無論是 MIP/VIP/DIP 還是基于策略的 NAT在policy 中均要體現(xiàn)出 NAT內(nèi)容(除 了缺省基于untrust 接口的Souec-NAT模式外)，而SRX的NAT則作

41、為網(wǎng)絡(luò)層面基礎(chǔ)內(nèi)容進(jìn)行獨立配置(獨立 定義地址映射的方向、映射關(guān)系及地址范圍)，Policy中不再包含NAT相關(guān)配置信息，這樣的好處是易于理解、第10頁共26頁簡化運維，當(dāng)網(wǎng)絡(luò)拓樸和NAT映射關(guān)系發(fā)生改變時，無需調(diào)整 Policy配置內(nèi)容。SRXNAT和Policy執(zhí)行先后順序為：目的地址轉(zhuǎn)換目的地址路由查找執(zhí)行策略檢查源地址轉(zhuǎn)換，結(jié)合這 個執(zhí)行順序，在配置 Policy時需注意：Policy中源地址應(yīng)是轉(zhuǎn)換前的源地址，而目的地址應(yīng)該是轉(zhuǎn)換后的目 的地址，換句話說，Policy中的源和目的地址應(yīng)該是源和目的兩端的真實IP地址，這一點和ScreenOS存在區(qū)別，需要加以注意。SRX中不再使用MI

42、P/VIP/DIP這些概念，其中 MIP被Static靜態(tài)地址轉(zhuǎn)換取代，兩者在功能上完全一致；DIP被Source NAT取代；基于 Policy 的目的地址轉(zhuǎn)換及 VIP被Destination NAT 取代。ScreenOS中基于Untrust zone接口的源地址轉(zhuǎn)換被保留下來，但在SRX中不再是缺省模式（SRX中Trust Zone接口沒有NAT模式概念），需要手工配置。類似 ScreenOS, Static屬于雙向NAT其他類型均屬于單向 NAT此外，SRX還多了一個proxy-arp 概念，如果定義的IP Pool （可用于源或目的地址轉(zhuǎn)換）需配置 SRX對這個 Pool內(nèi)的地址提

43、供 ARP代理功能，這樣對端設(shè)備能夠解析到 IP Pool地址的MACfe址（使用接口 MACfe址響應(yīng) 對方），以便于返回報文能夠送達(dá) SRX下面是配置舉例及相關(guān)說明：2.4.1 Interface based NAT基于接口的源地址轉(zhuǎn)換圖片僅供參考,下列配置參考實驗拓?fù)銷AT配置：set security nat source rule-set 1 from zone trust指定源區(qū)域set security nat source rule-set 1 to zone untrust指定目標(biāo)區(qū)域set security nat source rule-set 1 rule rule1

44、match source-address /0 destination-address/0指定源和目標(biāo)匹配的地址或者地址段,0.0.0./0代表所有set security nat source rule-set 1 rule rule1 then source-nat interface 指定通過接口 ip 進(jìn)行源翻譯 上述配置定義 NAT源地址映射規(guī)則，從 Trust Zone 訪問Untrust Zone 的所有流量用 Untrust Zone 接口 IP做 源地址轉(zhuǎn)換。Policy 配置：set security policiesfrom-zone trus

45、t to-zoneuntrust policy1match source-addresspc-1set security policiesfrom-zone trust to-zoneuntrust policy1match destination-address anyset security policiesfrom-zone trust to-zoneuntrust policy1match application anyset security policiesfrom-zone trust to-zoneuntrust policy1then permit上述配置定義 Policy

46、策略，允許Trust zone 地址訪問Untrust方向任何地址，根據(jù)前面的NAT配置， SRXft建立session時自動執(zhí)行接口源地址轉(zhuǎn)換。第11頁共26頁2.4.2 Pool based Source NAT基于地址池的源地址轉(zhuǎn)換NAT配置：set security nat source pool pool-1 address 0 to 50set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone

47、untrustset security nat source rule-set 1 rule rule1 match source-address /0 destination-address /0set security nat source rule-set 1 rule rule1 then source-nat pool pool-1set security nat proxy-arp interface ge-0/0/0 address 0 to 50上述配置表示從trust 方向(any)到untrust 方向

48、(any)訪問時提供源地址轉(zhuǎn)換，源地址池為 pool1(0-50),同時 fe-0/0/0 接口為此 pool IP 提供 ARP代理。需要注意的是：定義Pool時不需要與Zone及接口進(jìn)行關(guān)聯(lián)。配置 proxy-arp目的是讓返回包能夠送達(dá)SRX如果Pool與出接口 IP不在同一子網(wǎng)，則對端設(shè)備需要配置指向fe-0/0/0 接口的Pool地址路由。Policy :set securitypolicies from-zonetrust to-zone untrust policy 1match source-addresspc-1set securi

49、typolicies from-zonetrust to-zone untrust policy 1match destination-address anyset securitypolicies from-zonetrust to-zone untrust policy 1match application anyset securitypolicies from-zonetrust to-zone untrust policy 1then permit上述配置定義 Policy 策略，允許Trust zone 地址訪問Untrust方向任何地址，根據(jù)前面的NAT配置,

50、SR雉建立session時自動執(zhí)行源地址轉(zhuǎn)換。2.4.3 Pool base destination NAT基于地址池的目標(biāo)地址轉(zhuǎn)換第12頁共26頁圖片僅供參考，下列配置參考實驗拓?fù)銷AT配置：set security nat destination pool 111 address 00/32set security nat destination rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address /0set secu

51、rity nat destination rule-set 1 rule 111 match destination-address 50/32set security nat destination rule-set 1 rule 111 then destination-nat pool 111上述配置將外網(wǎng)any訪問50 地址映射到內(nèi)網(wǎng)00 地址，注意：定義的 Dst Pool是內(nèi)網(wǎng)真 實IP地址，而不是映射前的公網(wǎng)地址。這點和Src-NAT Pool有所區(qū)別。Policy :set security policies from

52、-zone trust to-zone untrust policy 1 match source-address anyset security policies from-zone trust to-zone untrust policy 1 match destination-address PC-1set security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1

53、 then permit上述配置定義Policy策略，允許Untrust方向任何地址訪問 Trust方向PC-1: 00 ,根據(jù)前面的NAT 配置，公網(wǎng)訪問50 時，SRX自動執(zhí)行到00 的目的地址轉(zhuǎn)換。ScreenOS VIP 功能對應(yīng)的 SRX Dst-nat 配置：set security nat destination pool 222 address 00/32 port 8080set security nat destination rule-set 1 from zone untrustset securit

54、y nat destinationrule-set1rule111match source-address /0set security nat destinationrule-set1rule111match destination-address 50/32set security nat destinationrule-set1rule111match destination-port 8080set security nat destinationrule-set1rule111then destination-nat pool 222上述NAT配置

55、定義：訪問50 地址8080端口映射至00 地址8080端口，功能與ScreenOS VIP 端口映射一致。2.4.4 Pool base Static NAT基于地址池的靜態(tài)地址轉(zhuǎn)換第13頁共26頁圖片僅供參考，下列配置參考實驗拓?fù)銷AT :set security nat static rule-set static-nat from zone untrustset security nat static rule-set static-nat rule rulel match destination-address 50set security nat static rule-set static-nat rule rule1 then static-nat prefix 00Policy:set security policies from-zone trust to-zoneuntrust policy1matchsource-addressanyset security policies from-zone trust to-zone