juniper防火墻培訓(SRX系列)

JUNIPER防火墻培訓2012年07月深圳市奧怡軒實業(yè)有限公司議程基本配置規(guī)范13Junos簡介2SRX3400硬件結構基本維護操作命令4議程XXXXXXXX13XXXXXXXX2SRX3400硬件結構XXXXXXXX4SRX3400硬件結構SRX3400機箱是剛性金屬結構，用于其他部件的放置,JuniperSRX3400插槽位分別位于SRX3400的前后面板上，如圖1和圖2所示：圖1前面板插槽位圖2后面板插槽位根據(jù)SRX3400對RE、SFB、SPC、NPC和IOC對應插槽位的要求，IOC只能插在前面板的Slot1到Slot4的插槽中，NPC只能插在Slot5到Slot7的插槽位上，而SPC可以插在Slot1到Slot7任何一個插槽位中。SRX3400硬件結構交換矩陣和控制板(SCB)交換矩陣和控制板(SCB)是動態(tài)業(yè)務架構的核心組件，可將機箱從簡單的模塊容器轉變?yōu)楦咝У木W(wǎng)狀網(wǎng)絡。SCB旨在支持機箱中的所有模塊通過極高的帶寬發(fā)送流量。路由引擎(RE)路由引擎(RE)與SCB緊密集成，就好比整個架構的中樞神經(jīng)系統(tǒng)。RE是機箱的控制平面，為系統(tǒng)管理員提供完整的管理和通信支持，還能為路由網(wǎng)絡流量計算路由表。服務處理卡(SPC)作為SRX3000業(yè)務網(wǎng)關背后的“大腦”，服務處理卡(SPC)旨在處理網(wǎng)關上的所有可用的服務。由于無需購買專用硬件來支持特定服務或功能，因而不會出現(xiàn)某些硬件的使用超出極限，而其他硬件卻處于空閑狀態(tài)的情況。SPC的所有處理能力均可用于支持網(wǎng)關上的任意或全部服務和功能。SRX3600和SRX3400業(yè)務網(wǎng)關上使用了相同的SPC。（注：要想實現(xiàn)正常的系統(tǒng)功能，至少需要1個NPC和1個SPC）SRX3400硬件結構-名詞解釋網(wǎng)絡處理卡(NPC)為了確保實現(xiàn)最大的處理性能和靈活性，SRX3000業(yè)務網(wǎng)關系列利用網(wǎng)絡處理卡(NPC)來將進出的流量分配給相應的SPC和IOC，同時應用QoS功能，以及執(zhí)行DoS/DDoS防護功能。SRX3600可配置用于支持1到3個NPC，而SRX3400可配置用于支持1到2個NPC。向這些網(wǎng)關添加更多NPC可支持企業(yè)定制解決方案，以滿足其特定的性能要求。（注：要想實現(xiàn)正常的系統(tǒng)功能，至少需要1個NPC和1個SPC）輸入/輸出卡(IOC)除了能夠完美支持內置銅線端口、小型可熱插拔(SFP)端口和高可用性(HA)端口的組合外，與同類產(chǎn)品相比，SRX3000系列還可實現(xiàn)最大的I/O端口密度。每一個SRX3000業(yè)務網(wǎng)關均可以安裝一個或多個輸入/輸出卡(IOC)，每一個IOC可以支持16個千兆位接口（16個銅線或光纖千兆以太網(wǎng)），或者20個千兆位接口（2個萬兆XFP以太網(wǎng)）。憑借能夠添加更多IOC的出色靈活性，SRX3000業(yè)務網(wǎng)關系列可支持在接口和處理能力之間實現(xiàn)最佳平衡。（注：要想實現(xiàn)正常的系統(tǒng)功能，至少需要1個NPC和1個SPC）SRX3400硬件結構-名稱解釋Junos簡介SRX系列防火墻是Juniper公司基于JUNOS操作系統(tǒng)的安全系列產(chǎn)品，JUNOS集成了路由、交換、安全性和一系列豐富的網(wǎng)絡服務。目前Juniper公司的全系列路由器產(chǎn)品、交換機產(chǎn)品和SRX安全產(chǎn)品均采用統(tǒng)一源代碼的JUNOS操作系統(tǒng)，JUNOS是全球首款將轉發(fā)與控制功能相隔離，并采用模塊化軟件架構的網(wǎng)絡操作系統(tǒng)。JUNOS作為電信級產(chǎn)品的精髓是Juniper真正成功的基石，它讓企業(yè)級產(chǎn)品同樣具有電信級的不間斷運營特性，更好的安全性和管理特性，JUNOS軟件創(chuàng)新的分布式架構為高性能、高可用、高可擴展的網(wǎng)絡奠定了基礎?；贜P架構的SRX系列產(chǎn)品產(chǎn)品同時提供性能優(yōu)異的防火墻、NAT、IPSEC、IPS、UTM等全系列安全功能，其安全功能主要來源于已被廣泛證明的ScreenOS操作系統(tǒng)。Junos簡介2議程XXXXXXXX3XXXXXXXX4XXXXXXXX1Junos簡介-層次化配置結構JUNOS采用基于FreeBSD內核的軟件模塊化操作系統(tǒng)，支持CLI命令行和WEBUI兩種接口配置方式。JUNOSCLI使用層次化配置結構，分為操作（operational）和配置（configure）兩類模式，在操作模式下可對當前配置、設備運行狀態(tài)、路由及會話表等狀態(tài)進行查看及設備運維操作，并通過執(zhí)行config或edit命令進入配置模式，在配置模式下可對各相關模塊進行配置并能夠執(zhí)行操作模式下的所有命令（run）。Junos簡介-配置管理JUNOS通過set語句進行配置，配置輸入后并不會立即生效，而是作為候選配置（CandidateConfig）等待管理員提交確認，管理員通過輸入commit命令來提交配置，配置內容在通過SRX語法檢查后才會生效，一旦commit通過后當前配置即成為有效配置（Activeconfig）。

在執(zhí)行commit命令前可通過配置模式下show命令查看當前候選配置（CandidateConfig），在執(zhí)行commit后配置模式下可通過runshowconfig命令查看當前有效配置（Activeconfig）。此外可通過執(zhí)行show|compare比對候選配置和有效配置的差異。另外，JUNOS允許執(zhí)行commit命令時要求管理員對提交的配置進行兩次確認，如執(zhí)行commitconfirmed2命令要求管理員必須在輸入此命令后2分鐘內再次輸入commit以確認提交，否則2分鐘后配置將自動回退，這樣可以避免遠程配置變更時管理員失去對SRX的遠程連接風險。4213SRX可對模塊化配置進行功能關閉與激活，如執(zhí)行deactivate命令可使相關配置不生效，并可通過執(zhí)行activatesecurity使配置再次生效。SRX通過set語句來配置防火墻，通過delete語句來刪除配置，如deletesecuritynat和editsecuritynat/delete一樣，均可刪除security防火墻層級下所有NAT相關配置，刪除配置和ScreenOS不同，配置過程中需加以留意。XXXXXXXX基本配置規(guī)范13XXXXXXXX2XXXXXXXXXXXXXXXX4基本配置規(guī)范設備關機在提示符下輸入下面的命令：user@host>requestsystemhalt…Theoperatingsystemhashalted.Pleasepressanykeytoreboot(除非需要重啟設備，此時不要敲任何鍵，否則設備將進行重啟)設備重啟在提示符下輸入下面的命令：user@host>requestsystemreboot密碼恢復SRXRoot密碼丟失，并且沒有其他的超級用戶權限，那么就需要執(zhí)行密碼恢復，該操作需要中斷設備正常運行，但不會丟失配置信息，這點與ScreenOS存在區(qū)別?；九渲靡?guī)范SRX主要配置內容：部署SRX防火墻主要有以下幾個方面需要進行配置：System：主要是系統(tǒng)級內容配置，如主機名、管理員賬號口令及權限、時鐘時區(qū)、Syslog、SNMP、系統(tǒng)級開放的遠程管理服務（如telnet）等內容。Interface:接口相關配置內容Security:是SRX防火墻的主要配置內容，Security層級下完成配置，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等，可簡單理解為ScreenOS防火墻安全相關內容都遷移至此配置層次下，除了Application自定義服務。Application：自定義服務單獨在此進行配置，配置內容與ScreenOS基本一致。routing-options：配置靜態(tài)路由或router-id等系統(tǒng)全局路由屬性配置?；九渲靡?guī)范1、設置root用戶口令root#setsystemroot-authenticationplain-text-passwordroot#newpassword:root123 root#retypenewpassword:root123注意：默認情況下root用戶是沒有設置密碼，在沒有設置root密碼的時候，無法執(zhí)行Commit來提交配置文件.默認情況下root用戶只能通過Console方式來登錄，如果需要通過WEB或TELNET的方式來登錄SRX設備，需要設置一個遠程用戶強烈建議不要使用其它加密選項來加密root和其它user口令(如encrypted-password加密方式),采用這種加密方式手工輸入時存在密碼無法通過驗證風險.2、設置遠程登陸管理用戶root#setsystemloginuserlabclasssuper-userauthenticationplain-text-passwordroot#newpassword:lab123 root#retypenewpassword:lab123基本配置規(guī)范-PolicyPolicy策略四要素Ip地址執(zhí)行動作服務端口定義流量基本配置規(guī)范-JSRPJSRP是JuniperSRX的私有HA協(xié)議，對應ScreenOS的NSRP雙機集群協(xié)議，支持A/P和A/A模式.JSRP和NSRP最大的區(qū)別在于JSRP是完全意義上的Cluster概念，兩臺設備完全當作一臺設備來看待,JSRP要求兩臺設備在軟件版本、硬件型號、板卡數(shù)量、插槽位置及端口使用方面嚴格一一對應。整個JSRP配置過程包括如下7個步驟：配置Clusterid和Nodeid(對應ScreenOSNSRP的clusterid并需手工指定設備使用節(jié)點id）指定ControlPort（指定控制層面使用接口，用于配置同步及心跳）指定FabricLinkPort（指定數(shù)據(jù)層面使用接口，主要session等RTO同步）配置RedundancyGroup（類似NSRP的VSDgroup，優(yōu)先級與搶占等配置）每個機箱的個性化配置（單機無需同步的個性化配置，如主機名、帶外管理口IP地址等）配置RedundantEthernetInterface（類似NSRP的Redundant冗余接口）配置InterfaceMonitoring（類似NSRPinterfacemonitor，是RG數(shù)據(jù)層面切換依據(jù)）基本配置規(guī)范-JSRPJSRP維護命令a) 手工切換JSRPMaster，RG1原backup將成為Masterroot@srx5800a>requestchassisclusterfailoverredundancy-group1node1b) 手工恢復JSRP狀態(tài)，按照優(yōu)先級重新確定主備關系（高值優(yōu)先）root@srx5800b>requestchassisclusterfailoverresetredundancy-group1c) 查看clusterinterfaceroot@router>showchassisclusterinterfacesd) 查看cluster狀態(tài)、節(jié)點狀態(tài)、主備關系lab@srx5800a#runshowchassisclusterstatuse) 取消cluster配置srx5800a#setchassisclusterdisablerebootf) 恢復處于disabled狀態(tài)的node當controlport或fabriclink出現(xiàn)故障時，為避免出現(xiàn)雙master(split-brain)現(xiàn)象，JSRP會把出現(xiàn)故障前狀態(tài)為secdonary的node設為disabled狀態(tài)，即除了RE，其余部件都不工作。想要恢復必須reboot該node?；九渲靡?guī)范-SYSLOGSRX的日志分為兩類:events和stream(trafficlog)Events是設備自身產(chǎn)生的log，比如設備接口up/down,設備板卡online/offline，管理員登錄記錄，RPD/MGD等系統(tǒng)進程狀態(tài)發(fā)生變化等等.Stream與設備無關，是由穿越防火墻的業(yè)務流量產(chǎn)生的日志記錄，記錄信息包括會話開始/結束的時間，源地址/端口，目標地址/端口，傳輸協(xié)議號，NAT前后的地址，傳輸?shù)陌鼈€數(shù)/字節(jié)數(shù)，命中的安全策略名稱等等，這類事件日志稱為Stream(TrafficLog)。Stream的配置。setsecuritylogmodestreamsetsecuritylogformatsd-syslogsetsecuritylogsource-addressX.X.X.XsetsecuritylogstreamsyslogseveritywarningsetsecuritylogstreamsyslogformatsyslogsetsecuritylogstreamsyslogcategoryallsetsecuritylogstreamsysloghostX.X.X.XEvents的配置setsystemsysloghost10.250.65.125anyanysetsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesanyinfosetsystemsyslogfileinteractive-commandsinteractive-commandsanyXXXXXXXXXXXXXXXX13XXXXXXXX2XXXXXXXX基本維護操作命令4下列操作命令在操作模式下使用，或在配置模式下runshow… Showsystemsof