发布时间 : 星期五 文章Juniper SRX3000工程开工指导书更新完毕开始阅读6612c87fa26925c52cc5bfaa
Juniper防火墙工程开通指导书
二、防火墙基础配置
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行commit后配置模式下可通过run show config命令查看当前有效配置(Active config)。此外可通过执行show | compare比对候选配置和有效配置的差异。
SRX上由于配备大容量硬盘存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback 0/commit可返回到前一commit配置);也可以直接通过执行save configname.conf手动保存当前配置,并执行load override configname.conf / commit调用前期手动保存的配置。执行load factory-default / commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/comit命令可使NAT相关配置不生效,并可通过执行activate security nat/commit使NAT配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置
第13页
Juniper防火墙工程开通指导书
和ScreenOS不同,配置过程中需加以留意。
2.1.1第一次连接防火墙
方式一:Console方式
基于Console终端配置SRX3400 的准备
安装Windows操作系统的PC一台(安装超级终端) SRX3400设备标准配置自带的Console电缆一条
使用超级终端建立一个连接,通过Console电缆一端连接SRX3400任何
一台设备,一端连接COM口,COM的参数设置如:
使用Console 端口做初始化配置, 防火墙的初始账号和密码: login: root
password: (默认没有root密码) SRX3400% #shell模式
在shell模式下可使用linux命令,不建议在次模式下对防火墙进行任何操作。
SRX3400% cli
SRX3400> #用户模式
在用户模式下可以显示SRX设备的配置、端口状态、路由信息等。登录到SRX上即进入路由器的用户模式:
SRX3400# #配置模式
通过在用户模式使用edit命令进入配置模式:
SRX3400> edit [edit]
方式二:基于WEB方式
第14页
Juniper防火墙工程开通指导书
默认不开启WEB 服务,需要在配置
1、 使用带外管理口访问防火墙
命令行配置如下:
lab# set interfaces fxp1 unit 0 family inet address 192.168.1.147/24 lab# set system services web-management http interface fxp1 lab# commit commit complete
将PC机连接到带外管理口。在IE浏览器地址栏键入http://设备管理IP地址,如“192.168.1.147”),如果你输入的是接口IP地址。
可以根据实际管理需要,Juniper防火墙还可以通过telnet\\SSH\\SSL等方式管理,配置仅需在接口设置下开启相应的服务即可。(注意:需要先将接口放入相关区域内)
方式三:基于Telnet/SSH/方式
高级管理员可通过使用命令行界面 (CLI) 进行更好的控制。要为安全设备配置CLI,可使用任何仿真 VT100 终端的软件。如果使用终端机仿真器,可使用 Windows、UNIX 或 Macintosh 操作系统中的控制台来配置安全设备。要通过 CLI 进行远程管理,可使用 Telnet 或“安全外壳”(SSH)。要通过控制台端口进行直接连接,可使用 \。 举例: 采用实际端口ge-0/0/0使用telnet访问,通过对system-services 可选择telnet/ssh/http/https/ping等
第15页
Juniper防火墙工程开通指导书
CLI方式:
set system services telnet
set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services telnet
2.1.2添加/删除用户
默认没有root用户的密码,需要设置一密码,密码要求字母和数字组合,长度大于等于6个字符。
设置root用户口令
set system root-authentication plain-text-password
new password : root123
retype new password: root123 密码将以密文方式显示
show system root-authentication
encrypted-password \
注意:强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式),此配置参数要求输入的口令应是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。
注:root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执行commit提交后续配置命令。
设置远程登陆管理用户
新建一个用户class属性,超时设为10分钟,允许所有操作。(属于该属性的用户,在登陆设备10分钟后没有任何操作,设备会自动中断该连接) set system login class super-user idle-timeout 10 set system login class super-user permissions all 新建一个用户 lab,属性super-user set system login user lab class super
set system login user lab authenticationsetsystem plain-text-password New password:
Retype new password:
注:此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
2.1.3设置SNMP
Juniper Networks 用以下方式在其设备中执行 SNMP:
举例如下:创建一个 SNMP 公共组,名称为 public。为其分配读 / 写权限并启用其成员,以接收 MIB II 数据和陷阱。公共组名称充当密码,并需要受到保护。一旦机箱的电源或风扇出现硬件故障,或者接口down就生成陷阱,发送的192.168.0.155 这个服务器。最
第16页