juniper-srx防火墙配置手册.pdfVIP

JuniperSRX防火墙配置手册

一、JUNOS操作系统介绍

1.1层次化配置结构

JUNOS采用基于FreeBSD内核的件模块化操作系统，支持CLI命令行和WEBUI

两种接

口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOSCLI使用层次化配

置结构，分为操作(operational)和配置(configure)两类模式，在操作模式

下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，

并通过执彳丁config或edit命令进入配置模式，在配置模式卜可对各相关模块进

行配置并能够执行操作模式下的所有命令(run)o在配置模式下JUNOS采用分层

分级模块下配置结构，如下图所示，edit命令进入下一级配置(类似imixcd命

令)，exit命令退回上一级，top命令回到根级。

1.2JunOS配置管理

JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置

(Candidate

Config)等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内

容在通过SRX语法检查后才会生效，一旦commit通过后当前配置即成为有效配比

(Activeconfig)o另外，JUNOS允许执行commit命令时要求管理员对提交的配

置进行两次确认，如执行commitconfirmed2命令要求管理员必须在输入此命令

后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可

以避免远程配置变更时管理员失去对SRX的远程连接风险。

在执行conmiil命令前可通过配置模式下show命令查看当前候选配置(Candidate

Config),在执行commit后配置模式下可通过runshowconfig命令查看当前有

效配置(Activeconfig)此外可通过执行show|compare比对候选配置和有效

o

配置的差异。

SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效

配置，并可通过执行rolback和commit命令返回到以前配置(如rollback

0/commiI可返回到前一commit配置)；也可以直接通过执行saveconfigname.conf

手动保存当前配置,并执行loadoverrideconfigname,conf/commit调用前期

手动保存的配置。执行loadfactory-default/commit命令可恢复到出厂缺省

配置。

SRX可对模块化配置进行功能关闭与激活，如执行deactivatesecurity

nat/comit命令可使NAT

相关配置不生效，并可通过执行activatesecuritynat/comrnit使NAT配置再次

生效。

SRX通过set语句来配置防火墙，通过delete语句来删除配置，如delete

securitynat和editsecuritynat/delete一样，均可删除security防火墙

层级下所有NAT相关配置，删除配置和ScreenOS不同，配置过程中需加以留意。

1.3SRX主要配置内容

部署SRX防火墙主要有以下几个方面需要进行配置：

System：主要是系统级内容配置如主机名、管理员账号口令及权限、时钟时区、

Syslog.SNMP、系统级开放的远程管理服务(50telnet)等内容。

Intcrface:接口相关配置内容。

Security:是SRX防火墙的主要配置内容安全相关部分内容全部在Security层

级下完成配置

如NAT、Zone、Policy^Address-bookIpsecScreenIdp等可简单理解为

ScreenOS防火墙安全相关内容都迁移至此配置层次下除了Application自定义

服务。

Application自定义服务单独在此进行配置配置内容与ScreenOS基本一致。

routing-