juniper防火墻培訓(xùn)(SRX系列)

1、JUNIPERJUNIPER防火墻培訓(xùn)防火墻培訓(xùn)20122012年年0707月月深圳深圳市市奧怡軒實(shí)業(yè)有限公司奧怡軒實(shí)業(yè)有限公司-議程議程基本配置規(guī)范基本配置規(guī)范13JunosJunos簡(jiǎn)介簡(jiǎn)介2SRX3400SRX3400硬件結(jié)構(gòu)硬件結(jié)構(gòu)基本維護(hù)操作命令基本維護(hù)操作命令-議程議程XXXXXXXXXXXXXXXX13XXXXXXXXXXXXXXXX2SRX3400SRX3400硬件結(jié)構(gòu)硬件結(jié)構(gòu)XXXXXXXXXXXXXXXX-SRX3400SRX3400硬件結(jié)構(gòu)硬件結(jié)構(gòu) SRX3400機(jī)箱是剛性金屬結(jié)構(gòu)，用于其他部件的放置,Juniper SRX3400插槽位分別位于SRX3400的前后面板上

2、，如圖1和圖2所示：圖1 前面板插槽位 -圖2 后面板插槽位 根據(jù)SRX3400對(duì)RE、SFB、SPC、NPC和IOC對(duì)應(yīng)插槽位的要求，IOC只能插在前面板的Slot 1到Slot 4的插槽中，NPC只能插在Slot 5到Slot 7的插槽位上，而SPC可以插在Slot 1到Slot 7任何一個(gè)插槽位中。SRX3400SRX3400硬件結(jié)構(gòu)硬件結(jié)構(gòu)-交換矩陣和控制板交換矩陣和控制板(SCB) 交換矩陣和控制板(SCB)是動(dòng)態(tài)業(yè)務(wù)架構(gòu)的核心組件，可將機(jī)箱從簡(jiǎn)單的模塊容器轉(zhuǎn)變?yōu)楦咝У木W(wǎng)狀網(wǎng)絡(luò)。SCB旨在支持機(jī)箱中的所有模塊通過(guò)極高的帶寬發(fā)送流量。路由引擎路由引擎(RE) 路由引擎(RE)與SCB緊

3、密集成，就好比整個(gè)架構(gòu)的中樞神經(jīng)系統(tǒng)。RE是機(jī)箱的控制平面，為系統(tǒng)管理員提供完整的管理和通信支持，還能為路由網(wǎng)絡(luò)流量計(jì)算路由表。服務(wù)處理卡服務(wù)處理卡(SPC) 作為SRX3000業(yè)務(wù)網(wǎng)關(guān)背后的“大腦”，服務(wù)處理卡(SPC)旨在處理網(wǎng)關(guān)上的所有可用的服務(wù)。由于無(wú)需購(gòu)買(mǎi)專用硬件來(lái)支持特定服務(wù)或功能，因而不會(huì)出現(xiàn)某些硬件的使用超出極限，而其他硬件卻處于空閑狀態(tài)的情況。SPC的所有處理能力均可用于支持網(wǎng)關(guān)上的任意或全部服務(wù)和功能。SRX3600和SRX3400業(yè)務(wù)網(wǎng)關(guān)上使用了相同的SPC。（注：要想實(shí)現(xiàn)正常的系統(tǒng)功能，至少需要1個(gè)NPC和1個(gè)SPC）SRX3400SRX3400硬件結(jié)構(gòu)硬件結(jié)構(gòu)- -名

4、詞解釋名詞解釋-網(wǎng)絡(luò)處理卡(NPC) 為了確保實(shí)現(xiàn)最大的處理性能和靈活性，SRX3000業(yè)務(wù)網(wǎng)關(guān)系列利用網(wǎng)絡(luò)處理卡(NPC)來(lái)將進(jìn)出的流量分配給相應(yīng)的SPC和IOC，同時(shí)應(yīng)用QoS功能，以及執(zhí)行DoS/DDoS防護(hù)功能。SRX3600可配置用于支持1到3個(gè)NPC，而SRX3400可配置用于支持1到2個(gè)NPC。向這些網(wǎng)關(guān)添加更多NPC可支持企業(yè)定制解決方案，以滿足其特定的性能要求。（注：要想實(shí)現(xiàn)正常的系統(tǒng)功能，至少需要1個(gè)NPC和1個(gè)SPC）輸入/輸出卡(IOC) 除了能夠完美支持內(nèi)置銅線端口、小型可熱插拔(SFP)端口和高可用性(HA)端口的組合外，與同類產(chǎn)品相比，SRX3000系列還可實(shí)現(xiàn)最

5、大的I/O端口密度。每一個(gè)SRX3000業(yè)務(wù)網(wǎng)關(guān)均可以安裝一個(gè)或多個(gè)輸入/輸出卡(IOC)，每一個(gè)IOC可以支持16個(gè)千兆位接口（16個(gè)銅線或光纖千兆以太網(wǎng)），或者20個(gè)千兆位接口（2個(gè)萬(wàn)兆XFP以太網(wǎng)）。憑借能夠添加更多IOC的出色靈活性，SRX3000業(yè)務(wù)網(wǎng)關(guān)系列可支持在接口和處理能力之間實(shí)現(xiàn)最佳平衡。（注：要想實(shí)現(xiàn)正常的系統(tǒng)功能，至少需要1個(gè)NPC和1個(gè)SPC）SRX3400SRX3400硬件結(jié)構(gòu)硬件結(jié)構(gòu)- -名稱解釋名稱解釋-JunosJunos簡(jiǎn)介簡(jiǎn)介 SRX系列防火墻是Juniper公司基于JUNOS操作系統(tǒng)的安全系列產(chǎn)品，JUNOS集成了路由、交換、安全性和一系列豐富的網(wǎng)絡(luò)服務(wù)。

6、目前Juniper公司的全系列路由器產(chǎn)品、交換機(jī)產(chǎn)品和SRX安全產(chǎn)品均采用統(tǒng)一源代碼的JUNOS操作系統(tǒng)，JUNOS是全球首款將轉(zhuǎn)發(fā)與控制功能相隔離，并采用模塊化軟件架構(gòu)的網(wǎng)絡(luò)操作系統(tǒng)。 JUNOS作為電信級(jí)產(chǎn)品的精髓是Juniper真正成功的基石，它讓企業(yè)級(jí)產(chǎn)品同樣具有電信級(jí)的不間斷運(yùn)營(yíng)特性，更好的安全性和管理特性，JUNOS軟件創(chuàng)新的分布式架構(gòu)為高性能、高可用、高可擴(kuò)展的網(wǎng)絡(luò)奠定了基礎(chǔ)?；贜P架構(gòu)的SRX系列產(chǎn)品產(chǎn)品同時(shí)提供性能優(yōu)異的防火墻、NAT、IPSEC、IPS、UTM等全系列安全功能，其安全功能主要來(lái)源于已被廣泛證明的ScreenOS操作系統(tǒng)。-JunosJunos簡(jiǎn)介簡(jiǎn)介2議程

7、議程XXXXXXXXXXXXXXXX3XXXXXXXXXXXXXXXX4XXXXXXXXXXXXXXXX-JunosJunos簡(jiǎn)介簡(jiǎn)介- -層次化配置結(jié)構(gòu)層次化配置結(jié)構(gòu) JUNOS采用基于FreeBSD內(nèi)核的軟件模塊化操作系統(tǒng)，支持CLI命令行和WEBUI兩種接口配置方式。 JUNOS CLI使用層次化配置結(jié)構(gòu)，分為操作（operational）和配置（configure）兩類模式，在操作模式下可對(duì)當(dāng)前配置、設(shè)備運(yùn)行狀態(tài)、路由及會(huì)話表等狀態(tài)進(jìn)行查看及設(shè)備運(yùn)維操作，并通過(guò)執(zhí)行config或edit命令進(jìn)入配置模式，在配置模式下可對(duì)各相關(guān)模塊進(jìn)行配置并能夠執(zhí)行操作模式下的所有命令（run）。-Ju

8、nosJunos簡(jiǎn)介簡(jiǎn)介- -配置管理配置管理 JUNOS通過(guò)set語(yǔ)句進(jìn)行配置，配置輸入后并不會(huì)立即生效，而是作為候選配置（CandidateConfig）等待管理員提交確認(rèn)，管理員通過(guò)輸入commit命令來(lái)提交配置，配置內(nèi)容在通過(guò)SRX語(yǔ)法檢查后才會(huì)生效，一旦commit通過(guò)后當(dāng)前配置即成為有效配置（Active config）。 在執(zhí)行commit命令前可通過(guò)配置模式下show命令查看當(dāng)前候選配置（Candidate Config），在執(zhí)行commit后配置模式下可通過(guò)run show config命令查看當(dāng)前有效配置（Active config）。此外可通過(guò)執(zhí)行show | compa

9、re比對(duì)候選配置和有效配置的差異。 另外，JUNOS允許執(zhí)行commit命令時(shí)要求管理員對(duì)提交的配置進(jìn)行兩次確認(rèn)，如執(zhí)行commit confirmed 2命令要求管理員必須在輸入此命令后2分鐘內(nèi)再次輸入commit以確認(rèn)提交，否則2分鐘后配置將自動(dòng)回退，這樣可以避免遠(yuǎn)程配置變更時(shí)管理員失去對(duì)SRX的遠(yuǎn)程連接風(fēng)險(xiǎn)。4 42 21 13 3SRX可對(duì)模塊化配置進(jìn)行功能關(guān)閉與激活，如執(zhí)行deactivate 命令可使相關(guān)配置不生效，并可通過(guò)執(zhí)行activate security 使配置再次生效。SRX通過(guò)set語(yǔ)句來(lái)配置防火墻，通過(guò)delete語(yǔ)句來(lái)刪除配置，如delete security na

10、t和edit security nat / delete一樣，均可刪除security防火墻層級(jí)下所有NAT相關(guān)配置，刪除配置和ScreenOS不同，配置過(guò)程中需加以留意。-XXXXXXXXXXXXXXXX基本配置規(guī)范基本配置規(guī)范13XXXXXXXXXXXXXXXX2XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX-基本配置規(guī)范基本配置規(guī)范設(shè)備關(guān)機(jī)在提示符下輸入下面的命令：userhost request system haltThe operating system has halted.Please press any key to reboot(除非需要重啟設(shè)備，此時(shí)不要

11、敲任何鍵，否則設(shè)備將進(jìn)行重啟)設(shè)備重啟在提示符下輸入下面的命令：userhost request system reboot密碼恢復(fù)SRX Root密碼丟失，并且沒(méi)有其他的超級(jí)用戶權(quán)限，那么就需要執(zhí)行密碼恢復(fù)，該操作需要中斷設(shè)備正常運(yùn)行，但不會(huì)丟失配置信息，這點(diǎn)與ScreenOS存在區(qū)別。-基本配置規(guī)范基本配置規(guī)范SRX主要配置內(nèi)容：主要配置內(nèi)容：部署SRX防火墻主要有以下幾個(gè)方面需要進(jìn)行配置：System：主要是系統(tǒng)級(jí)內(nèi)容配置，如主機(jī)名、管理員賬號(hào)口令及權(quán)限、時(shí)鐘時(shí)區(qū)、 Syslog、SNMP、系統(tǒng)級(jí)開(kāi)放的遠(yuǎn)程管理服務(wù)（如telnet）等內(nèi)容。Interface:接口相關(guān)配置內(nèi)容Securi

12、ty: 是SRX防火墻的主要配置內(nèi)容，Security層級(jí)下完成配置，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等，可簡(jiǎn)單理解為ScreenOS防火墻安全相關(guān)內(nèi)容都遷移至此配置層次下，除了Application自定義服務(wù)。Application：自定義服務(wù)單獨(dú)在此進(jìn)行配置，配置內(nèi)容與ScreenOS基本一致。routing-options： 配置靜態(tài)路由或router-id等系統(tǒng)全局路由屬性配置。-基本配置規(guī)范基本配置規(guī)范1、設(shè)置root用戶口令root# set system root-authentication plain-text-pa

13、sswordroot# new password : root123root# retype new password: root123注意： 默認(rèn)情況下root用戶是沒(méi)有設(shè)置密碼，在沒(méi)有設(shè)置root密碼的時(shí)候，無(wú)法執(zhí)行Commit來(lái)提交配置文件. 默認(rèn)情況下root用戶只能通過(guò)Console方式來(lái)登錄，如果需要通過(guò)WEB或TELNET的方式來(lái)登錄SRX設(shè)備，需要設(shè)置一個(gè)遠(yuǎn)程用戶 強(qiáng)烈建議不要使用其它加密選項(xiàng)來(lái)加密root和其它user口令(如encrypted-password加密方式),采用這種加密方式手工輸入時(shí)存在密碼無(wú)法通過(guò)驗(yàn)證風(fēng)險(xiǎn).2、設(shè)置遠(yuǎn)程登陸管理用戶root# set syst

14、em login user lab class super-user authentication plain-text-passwordroot# new password : lab123root# retype new password: -基本配置規(guī)范基本配置規(guī)范-Policy-Policy策略四要素-基本配置規(guī)范基本配置規(guī)范-JSRP-JSRP JSRP是Juniper SRX的私有HA協(xié)議，對(duì)應(yīng)ScreenOS的NSRP雙機(jī)集群協(xié)議，支持A/P和A/A模式.JSRP和NSRP最大的區(qū)別在于JSRP是完全意義上的Cluster概念，兩臺(tái)設(shè)備完全當(dāng)作一臺(tái)設(shè)備來(lái)看待,JSRP要求兩臺(tái)設(shè)備

15、在軟件版本、硬件型號(hào)、板卡數(shù)量、插槽位置及端口使用方面嚴(yán)格一一對(duì)應(yīng)。整個(gè)JSRP配置過(guò)程包括如下7個(gè)步驟： 配置Cluster id和Node id (對(duì)應(yīng)ScreenOS NSRP 的cluster id并需手工指定設(shè)備使用節(jié)點(diǎn)id） 指定Control Port （指定控制層面使用接口，用于配置同步及心跳） 指定Fabric Link Port （指定數(shù)據(jù)層面使用接口，主要session等RTO同步） 配置Redundancy Group （類似NSRP的VSD group，優(yōu)先級(jí)與搶占等配置） 每個(gè)機(jī)箱的個(gè)性化配置 （單機(jī)無(wú)需同步的個(gè)性化配置，如主機(jī)名、帶外管理口IP地址等） 配置Red

16、undant Ethernet Interface （類似NSRP的Redundant冗余接口） 配置Interface Monitoring （類似NSRP interface monitor，是RG數(shù)據(jù)層面切換依據(jù)）-基本配置規(guī)范基本配置規(guī)范-JSRP-JSRPJSRP維護(hù)命令維護(hù)命令a)手工切換JSRP Master，RG1 原backup將成為Masterrootsrx5800a request chassis cluster failover redundancy-group 1 node 1b)手工恢復(fù)JSRP狀態(tài)，按照優(yōu)先級(jí)重新確定主備關(guān)系（高值優(yōu)先）rootsrx5800b r

17、equest chassis cluster failover reset redundancy-group 1c)查看cluster interfacerootrouter show chassis cluster interfacesd)查看cluster 狀態(tài)、節(jié)點(diǎn)狀態(tài)、主備關(guān)系labsrx5800a# run show chassis cluster status e)取消cluster配置srx5800a# set chassis cluster disable rebootf)恢復(fù)處于disabled狀態(tài)的node當(dāng)control port或fabric link出現(xiàn)故障時(shí)，為避免

18、出現(xiàn)雙master (split-brain)現(xiàn)象，JSRP會(huì)把出現(xiàn)故障前狀態(tài)為secdonary的node設(shè)為disabled狀態(tài)，即除了RE，其余部件都不工作。想要恢復(fù)必須reboot該node。-基本配置規(guī)范基本配置規(guī)范-SYSLOG-SYSLOGSRX的日志分為兩類: events和stream(traffic log)Events是設(shè)備自身產(chǎn)生的log，比如設(shè)備接口up/down, 設(shè)備板卡online/offline，管理員登錄記錄，RPD/MGD等系統(tǒng)進(jìn)程狀態(tài)發(fā)生變化等等.Stream與設(shè)備無(wú)關(guān)，是由穿越防火墻的業(yè)務(wù)流量產(chǎn)生的日志記錄，記錄信息包括會(huì)話開(kāi)始/結(jié)束的時(shí)間，源地址/端

19、口，目標(biāo)地址/端口，傳輸協(xié)議號(hào)，NAT前后的地址，傳輸?shù)陌鼈€(gè)數(shù)/字節(jié)數(shù)，命中的安全策略名稱等等，這類事件日志稱為Stream (Traffic Log)。Stream的配置。set security log mode streamset security log format sd-syslogset security log source-address X.X.X.Xset security log stream syslog severity warningset security log stream syslog format syslogset security log strea

20、m syslog category allset security log stream syslog host X.X.X.XEvents的配置set system syslog host 10.250.65.125 any anyset system syslog file messages any noticeset system syslog file messages any infoset system syslog file interactive-commands interactive-commands -XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX13XXXXXXXXXXX