Juniper SRX Branch系列防火墻配置管理手冊(cè)

1、Juniper SRX Branch系列防火墻配置管理手冊(cè)王曉方Juniper 系統(tǒng)工程師Juniper Networks, Inc.上海市淮海中路333號(hào)瑞安廣場(chǎng)1102-1104室郵編:200021電話:61415000目錄一、JUNOS操作系統(tǒng)介紹31.1 層次化配置結(jié)構(gòu)31.2 JunOS配置管理41.3 SRX主要配置內(nèi)容4二、SRX防火墻配置操作舉例說明52.1 初始安裝52.1.1 設(shè)備登陸52.1.2 設(shè)備恢復(fù)出廠介紹52.1.3 設(shè)置root用戶口令52.1.4 設(shè)置遠(yuǎn)程登陸管理用戶62.1.5 遠(yuǎn)程管理SRX相關(guān)配置62.2 配置操作實(shí)驗(yàn)拓?fù)?2.3 策略相關(guān)配置說明72.

2、3.1 策略地址對(duì)象定義82.3.2 策略服務(wù)對(duì)象定義82.3.3 策略時(shí)間調(diào)度對(duì)象定義82.3.4 策略配置舉例92.4 地址轉(zhuǎn)換102.4.1 Interface based NAT 基于接口的源地址轉(zhuǎn)換102.4.2 Pool based Source NAT基于地址池的源地址轉(zhuǎn)換112.4.3 Pool base destination NAT基于地址池的目標(biāo)地址轉(zhuǎn)換122.4.4 Pool base Static NAT基于地址池的靜態(tài)地址轉(zhuǎn)換132.5 IPSEC VPN132.5.1 基于路由的LAN TO LAN IPSEC VPN142.5.2 基于策略的LAN TO LAN

3、 IPSEC VPN152.5.3 基于Remote VPN 客戶端撥號(hào)VPN162.5.4 基于IPSEC動(dòng)態(tài)VPN242.6 應(yīng)用層網(wǎng)關(guān)ALG配置及說明292.7 SRX Branch 系列JSRP HA高可用性配置及說明292.8 SRX Branch 系列IDP、UTM配置操作介紹332.9 SRX Branch 系列與UAC聯(lián)動(dòng)配置說明382.10 SRX Branch系列FLOW配置說明422.11 SRX Branch系列SCREEN攻擊防護(hù)配置說明432.12 SRX Branch系列J-WEB操作配置簡(jiǎn)要說明44三、SRX防火墻常規(guī)操作與維護(hù)503.2設(shè)備關(guān)機(jī)503.3設(shè)備重

4、啟503.4操作系統(tǒng)升級(jí)503.5密碼恢復(fù)513.6常用監(jiān)控維護(hù)命令51Juniper SRX Branch系列防火墻配置管理手冊(cè)說明SRX系列防火墻是Juniper公司基于JUNOS操作系統(tǒng)的安全系列產(chǎn)品，JUNOS集成了路由、交換、安全性和一系列豐富的網(wǎng)絡(luò)服務(wù)。目前Juniper公司的全系列路由器產(chǎn)品、交換機(jī)產(chǎn)品和SRX安全產(chǎn)品均采用統(tǒng)一源代碼的JUNOS操作系統(tǒng)，JUNOS是全球首款將轉(zhuǎn)發(fā)與控制功能相隔離，并采用模塊化軟件架構(gòu)的網(wǎng)絡(luò)操作系統(tǒng)。JUNOS作為電信級(jí)產(chǎn)品的精髓是Juniper真正成功的基石，它讓企業(yè)級(jí)產(chǎn)品同樣具有電信級(jí)的不間斷運(yùn)營(yíng)特性，更好的安全性和管理特性，JUNOS軟件創(chuàng)

5、新的分布式架構(gòu)為高性能、高可用、高可擴(kuò)展的網(wǎng)絡(luò)奠定了基礎(chǔ)?；贜P架構(gòu)的SRX系列產(chǎn)品產(chǎn)品同時(shí)提供性能優(yōu)異的防火墻、NAT、IPSEC、IPS、UTM等全系列安全功能，其安全功能主要來源于已被廣泛證明的ScreenOS操作系統(tǒng)。 本文旨在為熟悉Netscreen防火墻ScreenOS操作系統(tǒng)的工程師提供SRX防火墻參考配置，以便于大家能夠快速部署和維護(hù)SRX防火墻，文檔介紹JUNOS操作系統(tǒng)，并參考ScreenOS配置介紹SRX防火墻配置方法，最后對(duì)SRX防火墻常規(guī)操作與維護(hù)做簡(jiǎn)要說明。鑒于SRX系列防火墻低端系列與高端3K、5K系列在功能配置與包處理流程有所差異,本人主要以低端系列功能配置介

6、紹為主,Branch系列型號(hào)目前包含：SRX100210240650將來會(huì)有新的產(chǎn)品加入到Branch家族,請(qǐng)隨時(shí)關(guān)注官方網(wǎng)站動(dòng)態(tài)，配置大同小異。一、JUNOS操作系統(tǒng)介紹1.1 層次化配置結(jié)構(gòu)JUNOS采用基于FreeBSD內(nèi)核的軟件模塊化操作系統(tǒng)，支持CLI命令行和WEBUI兩種接口配置方式，本文主要對(duì)CLI命令行方式進(jìn)行配置說明。JUNOS CLI使用層次化配置結(jié)構(gòu)，分為操作（operational）和配置（configure）兩類模式，在操作模式下可對(duì)當(dāng)前配置、設(shè)備運(yùn)行狀態(tài)、路由及會(huì)話表等狀態(tài)進(jìn)行查看及設(shè)備運(yùn)維操作，并通過執(zhí)行config或edit命令進(jìn)入配置模式，在配置模式下可對(duì)各相

7、關(guān)模塊進(jìn)行配置并能夠執(zhí)行操作模式下的所有命令（run）。在配置模式下JUNOS采用分層分級(jí)模塊下配置結(jié)構(gòu)，如下圖所示，edit命令進(jìn)入下一級(jí)配置（類似unix cd命令）,exit命令退回上一級(jí)，top命令回到根級(jí)。1.2 JunOS配置管理JUNOS通過set語句進(jìn)行配置，配置輸入后并不會(huì)立即生效，而是作為候選配置（Candidate Config）等待管理員提交確認(rèn)，管理員通過輸入commit命令來提交配置，配置內(nèi)容在通過SRX語法檢查后才會(huì)生效，一旦commit通過后當(dāng)前配置即成為有效配置（Active config）。另外，JUNOS允許執(zhí)行commit命令時(shí)要求管理員對(duì)提交的配置進(jìn)行

8、兩次確認(rèn)，如執(zhí)行commit confirmed 2命令要求管理員必須在輸入此命令后2分鐘內(nèi)再次輸入commit以確認(rèn)提交，否則2分鐘后配置將自動(dòng)回退，這樣可以避免遠(yuǎn)程配置變更時(shí)管理員失去對(duì)SRX的遠(yuǎn)程連接風(fēng)險(xiǎn)。在執(zhí)行commit命令前可通過配置模式下show命令查看當(dāng)前候選配置（Candidate Config），在執(zhí)行commit后配置模式下可通過run show config命令查看當(dāng)前有效配置（Active config）。此外可通過執(zhí)行show | compare比對(duì)候選配置和有效配置的差異。SRX上由于配備大容量存儲(chǔ)器，缺省按先后commit順序自動(dòng)保存50份有效配置，并可通過執(zhí)行

9、rolback和commit命令返回到以前配置（如rollback 0/commit可返回到前一commit配置）；也可以直接通過執(zhí)行save configname.conf手動(dòng)保存當(dāng)前配置，并執(zhí)行l(wèi)oad override configname.conf / commit調(diào)用前期手動(dòng)保存的配置。執(zhí)行l(wèi)oad factory-default / commit命令可恢復(fù)到出廠缺省配置。SRX可對(duì)模塊化配置進(jìn)行功能關(guān)閉與激活，如執(zhí)行deactivate security nat/comit命令可使NAT相關(guān)配置不生效，并可通過執(zhí)行activate security nat/commit使NAT配置

10、再次生效。SRX通過set語句來配置防火墻，通過delete語句來刪除配置，如delete security nat和edit security nat / delete一樣，均可刪除security防火墻層級(jí)下所有NAT相關(guān)配置，刪除配置和ScreenOS不同，配置過程中需加以留意。1.3 SRX主要配置內(nèi)容部署SRX防火墻主要有以下幾個(gè)方面需要進(jìn)行配置：System：主要是系統(tǒng)級(jí)內(nèi)容配置，如主機(jī)名、管理員賬號(hào)口令及權(quán)限、時(shí)鐘時(shí)區(qū)、Syslog、SNMP、系統(tǒng)級(jí)開放的遠(yuǎn)程管理服務(wù)（如telnet）等內(nèi)容。Interface:接口相關(guān)配置內(nèi)容。Security: 是SRX防火墻的主要配置內(nèi)容，

11、安全相關(guān)部分內(nèi)容全部在Security層級(jí)下完成配置，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp、UTM等，可簡(jiǎn)單理解為ScreenOS防火墻安全相關(guān)內(nèi)容都遷移至此配置層次下，除了Application自定義服務(wù)。Application：自定義服務(wù)單獨(dú)在此進(jìn)行配置，配置內(nèi)容與ScreenOS基本一致。routing-options： 配置靜態(tài)路由或router-id等系統(tǒng)全局路由屬性配置。二、SRX防火墻配置操作舉例說明2.1 初始安裝2.1.1 設(shè)備登陸Console口(通用超級(jí)終端缺省配置)連接SRX，root用戶登陸，密碼為空login:

12、 rootPassword:- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTCroot% cli /*進(jìn)入操作模式*/root root configureEntering configuration mode /*進(jìn)入配置模式*/editRoot#2.1.2 設(shè)備恢復(fù)出廠介紹首先根據(jù)上述操作進(jìn)入到配置模式,執(zhí)行下列命令：root# load factory-default warning: activating factory configuration /*系統(tǒng)激活出廠配置*/恢復(fù)出廠后,必須立刻設(shè)置ROOT帳號(hào)密碼root# set system

13、root-authentication plain-text-password New password:當(dāng)設(shè)置完ROOT帳號(hào)密碼以后,進(jìn)行保存激活配置root# commit commit complete在此需要提醒配置操作員注意，系統(tǒng)恢復(fù)出廠后并不代表沒有任何配置,系統(tǒng)缺省配置有ScreenDHCPPolicy等相關(guān)配置,你如果需要完整的刪除,可以執(zhí)行命令delete 刪除相關(guān)配置。通過show 來查看系統(tǒng)是否還有遺留不需要的配置,可以一一進(jìn)行刪除,直到符合你的要求,然后再重新根據(jù)實(shí)際需求進(jìn)行配置。2.1.3 設(shè)置root用戶口令設(shè)置root用戶口令root# set system ro

14、ot-authentication plain-text-passwordroot# new password : root123root# retype new password: root123密碼將以密文方式顯示root# show system root-authentication encrypted-password $1$xavDeUe6$fNM6olGU.8.M7B62u05D6.; # SECRET-DATA注意：強(qiáng)烈建議不要使用其它加密選項(xiàng)來加密root和其它user口令(如encrypted-password加密方式)，此配置參數(shù)要求輸入的口令是經(jīng)加密算法加密后的字符串，

15、采用這種加密方式手工輸入時(shí)存在密碼無法通過驗(yàn)證風(fēng)險(xiǎn)。注：root用戶僅用于console連接本地管理SRX，不能通過遠(yuǎn)程登陸管理SRX，必須成功設(shè)置root口令后，才能執(zhí)行commit提交后續(xù)配置命令。2.1.4 設(shè)置遠(yuǎn)程登陸管理用戶root# set system login user lab class super-user authentication plain-text-passwordroot# new password : lab123root# retype new password: lab123注：此lab用戶擁有超級(jí)管理員權(quán)限，可用于console和遠(yuǎn)程管理訪問，另也可自

16、行靈活定義其它不同管理權(quán)限用戶。2.1.5 遠(yuǎn)程管理SRX相關(guān)配置run set date YYYYMMDDhhmm.ss/*設(shè)置系統(tǒng)時(shí)鐘*/set system time-zone Asia/Shanghai/*設(shè)置時(shí)區(qū)為上海*/set system host-name SRX-650-1/*設(shè)置主機(jī)名*/set system name-server /*設(shè)置DNS服務(wù)器*/set system services ftpset system services telnet set system services web-management http /*在系統(tǒng)級(jí)開啟ftp/

17、telnet/http遠(yuǎn)程接入管理服務(wù)*/set interfaces ge-0/0/0.0 family inet address /24或set interfaces ge-0/0/0 unit 0 family inet address /24set interfaces ge-0/0/1 unit 0 family inet address /24set routing-options static route /0 next-hop /*配置邏輯接口地址及缺省路由，SRX接口要求IP地址必須配置在邏輯

18、接口下（類似ScreenOS的子接口），通常使用邏輯接口0即可*/set security zones security-zone untrust interfaces ge-0/0/0.0/*將ge-0/0/0.0接口放到安全區(qū)域中，類似ScreenOS*/set security zones security-zone untrust host-inbound-traffic system-services pingset security zones security-zone untrust host-inbound-traffic system-services httpset se

19、curity zones security-zone untrust host-inbound-traffic system-services telnet/*在untrust zone打開允許遠(yuǎn)程登陸管理服務(wù)，ScreenOS要求基于接口開放服務(wù)，SRX要求基于Zone開放，從SRX主動(dòng)訪問出去流量開啟服務(wù)，類似ScreenOS*/本次實(shí)驗(yàn)拓?fù)渲惺褂玫脑O(shè)備的版本如下：SRX100-HM系統(tǒng)版本與J-WEB版本均為：10.1.R2.8SSG防火墻版本為6.1.0R7測(cè)試客戶端包含WINDOWS7XP2.2 配置操作實(shí)驗(yàn)拓?fù)?.3 策略相關(guān)配置說明安全設(shè)備的缺省行為是拒絕安全區(qū)段之間的所有信息流

20、 ( 區(qū)段之間信息流)允許綁定到同一區(qū)段的接口間的所有信息流 ( 區(qū)段內(nèi)部信息流)。為了允許選定的區(qū)段之間信息流通過安全設(shè)備，必須創(chuàng)建覆蓋缺省行為的區(qū)段之間策略。同樣，為了防止選定的區(qū)段內(nèi)部信息流通過安全設(shè)備，必須創(chuàng)建區(qū)段內(nèi)部策略?；驹卦试S、拒絕或設(shè)置兩點(diǎn)間指定類型單向信息流通道的策略。信息流 ( 或“服務(wù)”)的類型、兩端點(diǎn)的位置以及調(diào)用的動(dòng)作構(gòu)成了策略的基本元素。盡管可以有其它組件，但是共同構(gòu)成策略核心部分的必要元素如下:策略名稱 - 兩個(gè)安全區(qū)段間 ( 從源區(qū)段到目的區(qū)段) 間信息流的方向 /*必須配置*/源地址 - 信息流發(fā)起的地址 /*必須配置*/目標(biāo)地址 - 信息流發(fā)送到的地址

21、/*必須配置*/服務(wù) - 信息流傳輸?shù)念愋?/*必須配置*/動(dòng)作 - 安全設(shè)備接收到滿足頭四個(gè)標(biāo)準(zhǔn)的信息流時(shí)執(zhí)行的動(dòng)作 /*必須配置*/這些動(dòng)作為:deny、permit、reject 或 tunnel注意tunnel、firewall-authentication、application-services在permit下一級(jí),如下：root# set security policies from-zone trust to-zone untrust policy t-u then permit ? Firewall-authentication tunnel 另外還包括其他的策略元素,比如記

22、錄日志、流量統(tǒng)計(jì)、時(shí)間調(diào)度對(duì)象等三種類型的策略 可通過以下三種策略控制信息流的流動(dòng):通過創(chuàng)建區(qū)段之間策略，可以管理允許從一個(gè)安全區(qū)段到另一個(gè)安全區(qū)段的信息流的種類。通過創(chuàng)建區(qū)段內(nèi)部策略，也可以控制允許通過綁定到同一區(qū)段的接口間的信息流的類型。通過創(chuàng)建全局策略，可以管理地址間的信息流，而不考慮它們的安全區(qū)段。2.3.1 策略地址對(duì)象定義SRX服務(wù)網(wǎng)關(guān)地址對(duì)象需要自定義后才可以在策略中進(jìn)行引用,默認(rèn)只有any對(duì)象自定義單個(gè)地址對(duì)象如下：root# set security zones security-zone trust address-book address pc-1 00/

23、32 root# set security zones security-zone trust address-book address pc-2 10/32 自定義單個(gè)地址組對(duì)象如下：set security zones security-zone trust address-book address-set pc-group address pc-1set security zones security-zone trust address-book address-set pc-group address pc-22.3.2 策略服務(wù)對(duì)象定義SRX服務(wù)網(wǎng)關(guān)部分服務(wù)對(duì)象需要

24、自定義后才可以在策略中進(jìn)行引用,默認(rèn)僅有預(yù)定義常用服務(wù)對(duì)象自定義單個(gè)服務(wù)對(duì)象如下：set applications application tcp-3389 protocol tcp 定義服務(wù)對(duì)象協(xié)議set applications application tcp-3389 source-port 1-65535定義服務(wù)對(duì)象源端口set applications application tcp-3389 destination-port 3389-3389定義服務(wù)對(duì)象目標(biāo)地址set applications application tcp-3389 inactivity-timeout nev

25、er 可選定義服務(wù)對(duì)象timeout時(shí)長(zhǎng)set applications application tcp-8080 protocol tcpset applications application tcp-8080 source-port 1-65535set applications application tcp-8080 destination-port 8080-8080set applications application tcp-8080 inactivity-timeout 3600自定義單個(gè)服務(wù)組對(duì)象如下：set applications application-set aa

26、plications-group application tcp-8080set applications application-set aaplications-group application tcp-33892.3.3 策略時(shí)間調(diào)度對(duì)象定義SRX服務(wù)網(wǎng)關(guān)時(shí)間調(diào)度對(duì)象需要自定義后才可以在策略中進(jìn)行引用,默認(rèn)沒有預(yù)定義時(shí)間調(diào)度對(duì)象自定義單個(gè)時(shí)間調(diào)度對(duì)象如下：set schedulers scheduler work-time daily start-time 09:00:00 stop-time 18:00:00set schedulers scheduler happy-time su

27、nday start-time 00:00:00 stop-time 23:59:59set schedulers scheduler happy-time saturday start-time 00:00:00 stop-time 23:59:59注意：時(shí)間調(diào)度服務(wù)生效參考設(shè)備系統(tǒng)時(shí)間,所以需要關(guān)注設(shè)備系統(tǒng)時(shí)間是否正常。2.3.4 策略配置舉例Policy配置方法與ScreenOS基本一致，僅在配置命令上有所區(qū)別，其中策略的允許/拒絕的動(dòng)作（Action）需要額外配置一條then語句(將ScreenOS的一條策略分解成兩條及以上配置語句)。Policy需要手動(dòng)配置policy name，p

28、olicy name可以是字符串，也可以是數(shù)字（與ScreenOS的policy ID類似,只不過需要手工指定）。首先需要注意系統(tǒng)缺省策略配置：root# show security policies default-policy 查看當(dāng)前系統(tǒng)缺省策略動(dòng)作root# set security policies default-policy ? 設(shè)置系統(tǒng)缺省策略動(dòng)作Possible completions:deny-all Deny all traffic if no policy matchpermit-all Permit all traffic if no policy match根據(jù)實(shí)驗(yàn)

29、拓?fù)溥M(jìn)行策略配置舉例說明 set security zones security-zone trust address-book address pc1 00/32set security zones security-zone untrust address-book address server1 00/32/*與ScreenOS一樣，在trust和untrust zone下分別定義地址對(duì)象便于策略調(diào)用，地址對(duì)象的名稱可以是地址/掩碼形式*/set security zones security-zone trust address-book addr

30、ess-set addr-group1 address pc1/*在trust zone下定義名稱為add-group1的地址組，并將pc1地址放到該地址組中*/Set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application anyset security policies from-zone trust to-zone untrust policy 001 then permit/*

31、定義從trust 到untrust方向permit策略，允許addr-group1組的源地址訪問server1地址any服務(wù)*/set security policies from-zone trust to-zone untrust policy 001 then log session-initset security policies from-zone trust to-zone untrust policy 001 then log session-closeset security policies from-zone trust to-zone untrust policy 00

32、1 then count/*定義從trust 到untrust方向策略，針對(duì)當(dāng)前策略記錄日志并統(tǒng)計(jì)策略流量root# set security policies from-zone trust to-zone untrust policy 001 scheduler-name happy-time root# set security policies from-zone trust to-zone dmz policy 001 scheduler-name work-time /*定義當(dāng)前策略，引用時(shí)間調(diào)度對(duì)象，符合時(shí)間條件策略生效，否則策略將處于非工作狀態(tài) root# set securi

33、ty policies from-zone trust to-zone untrust policy t-u then permit application-services ?Possible completions:+ apply-groups Groups from which to inherit configuration data+ apply-groups-except Dont inherit configuration data from these groupsgprs-gtp-profile Specify GPRS Tunneling Protocol profile

34、nameidp Intrusion detection and preventionredirect-wx Set WX redirectionreverse-redirect-wx Set WX reverse redirectionuac-policy Enable unified access control enforcement of policyutm-policy Specify utm policy nameedit/*定義當(dāng)前策略，選擇是否客氣IDPUACUTM等操作,如果針對(duì)策略開啟相應(yīng)的檢查，請(qǐng)先定義好相應(yīng)的功能。2.4 地址轉(zhuǎn)換 SRX NAT較ScreenOS在功能實(shí)

35、現(xiàn)方面基本保持一致，但在功能配置上有較大區(qū)別，配置的主要差異在于ScreenOS的NAT與policy是綁定的，無論是MIP/VIP/DIP還是基于策略的NAT，在policy中均要體現(xiàn)出NAT內(nèi)容（除了缺省基于untrust接口的Souec-NAT模式外），而SRX 的NAT則作為網(wǎng)絡(luò)層面基礎(chǔ)內(nèi)容進(jìn)行獨(dú)立配置（獨(dú)立定義地址映射的方向、映射關(guān)系及地址范圍），Policy中不再包含NAT相關(guān)配置信息，這樣的好處是易于理解、簡(jiǎn)化運(yùn)維，當(dāng)網(wǎng)絡(luò)拓樸和NAT映射關(guān)系發(fā)生改變時(shí)，無需調(diào)整Policy配置內(nèi)容。SRX NAT和Policy執(zhí)行先后順序?yàn)椋耗康牡刂忿D(zhuǎn)換目的地址路由查找執(zhí)行策略檢查源地址轉(zhuǎn)換，結(jié)

36、合這個(gè)執(zhí)行順序，在配置Policy時(shí)需注意：Policy中源地址應(yīng)是轉(zhuǎn)換前的源地址，而目的地址應(yīng)該是轉(zhuǎn)換后的目的地址，換句話說，Policy中的源和目的地址應(yīng)該是源和目的兩端的真實(shí)IP地址，這一點(diǎn)和ScreenOS存在區(qū)別，需要加以注意。SRX中不再使用MIP/VIP/DIP這些概念，其中MIP被Static靜態(tài)地址轉(zhuǎn)換取代，兩者在功能上完全一致；DIP被Source NAT取代；基于Policy的目的地址轉(zhuǎn)換及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址轉(zhuǎn)換被保留下來，但在SRX中不再是缺省模式（SRX中Trust Zone接口沒有

37、NAT模式概念），需要手工配置。類似ScreenOS，Static屬于雙向NAT，其他類型均屬于單向NAT。此外，SRX還多了一個(gè)proxy-arp概念，如果定義的IP Pool（可用于源或目的地址轉(zhuǎn)換）需配置SRX對(duì)這個(gè)Pool內(nèi)的地址提供ARP代理功能，這樣對(duì)端設(shè)備能夠解析到IP Pool地址的MAC地址（使用接口MAC地址響應(yīng)對(duì)方），以便于返回報(bào)文能夠送達(dá)SRX。下面是配置舉例及相關(guān)說明：2.4.1 Interface based NAT 基于接口的源地址轉(zhuǎn)換圖片僅供參考,下列配置參考實(shí)驗(yàn)拓?fù)銷AT配置：set security nat source rule-set 1 from zo

38、ne trust 指定源區(qū)域set security nat source rule-set 1 to zone untrust 指定目標(biāo)區(qū)域set security nat source rule-set 1 rule rule1 match source-address /0 destination-address /0 指定源和目標(biāo)匹配的地址或者地址段,0.0.0./0代表所有set security nat source rule-set 1 rule rule1 then source-nat interface 指定通過接口IP進(jìn)行源翻譯上述配置定義NA

39、T源地址映射規(guī)則，從Trust Zone訪問Untrust Zone的所有流量用Untrust Zone接口IP做源地址轉(zhuǎn)換。Policy配置:set security policies from-zone trust to-zone untrust policy 1 match source-address pc-1set security policies from-zone trust to-zone untrust policy 1 match destination-address anyset security policies from-zone trust to-zone un

40、trust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定義Policy策略，允許Trust zone 地址訪問Untrust方向任何地址，根據(jù)前面的NAT配置，SRX在建立session時(shí)自動(dòng)執(zhí)行接口源地址轉(zhuǎn)換。2.4.2 Pool based Source NAT基于地址池的源地址轉(zhuǎn)換圖片僅供參考,下列配置參考實(shí)驗(yàn)拓?fù)銷AT配置：set security nat source pool pool-1 ad

41、dress 0 to 50set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat source rule-set 1 rule rule1 match source-address /0 destination-address /0set security nat source rule-set 1 rule rule1 then source-n

42、at pool pool-1set security nat proxy-arp interface ge-0/0/0 address 0 to 50上述配置表示從trust方向（any）到untrust方向(any)訪問時(shí)提供源地址轉(zhuǎn)換，源地址池為pool1(0-50)，同時(shí)fe-0/0/0接口為此pool IP提供ARP代理。需要注意的是：定義Pool時(shí)不需要與Zone及接口進(jìn)行關(guān)聯(lián)。配置proxy-arp目的是讓返回包能夠送達(dá)SRX，如果Pool與出接口IP不在同一子網(wǎng)，則對(duì)端設(shè)備需要配置指向fe-0

43、/0/0接口的Pool地址路由。Policy：set security policies from-zone trust to-zone untrust policy 1 match source-address pc-1set security policies from-zone trust to-zone untrust policy 1 match destination-address anyset security policies from-zone trust to-zone untrust policy 1 match application anyset security

44、policies from-zone trust to-zone untrust policy 1 then permit上述配置定義Policy策略，允許Trust zone 地址訪問Untrust方向任何地址，根據(jù)前面的NAT配置，SRX在建立session時(shí)自動(dòng)執(zhí)行源地址轉(zhuǎn)換。2.4.3 Pool base destination NAT基于地址池的目標(biāo)地址轉(zhuǎn)換圖片僅供參考,下列配置參考實(shí)驗(yàn)拓?fù)銷AT配置：set security nat destination pool 111 address 00/32set security nat destinat

45、ion rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address /0set security nat destination rule-set 1 rule 111 match destination-address 50/32set security nat destination rule-set 1 rule 111 then destination-nat pool 111上述配置將外網(wǎng)any訪問192.168.

46、1.150地址映射到內(nèi)網(wǎng)00地址，注意：定義的Dst Pool是內(nèi)網(wǎng)真實(shí)IP地址，而不是映射前的公網(wǎng)地址。這點(diǎn)和Src-NAT Pool有所區(qū)別。Policy：set security policies from-zone trust to-zone untrust policy 1 match source-address anyset security policies from-zone trust to-zone untrust policy 1 match destination-address PC-1set security policies from-zone

47、trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定義Policy策略，允許Untrust方向任何地址訪問Trust方向PC-1：00，根據(jù)前面的NAT配置，公網(wǎng)訪問50時(shí)，SRX自動(dòng)執(zhí)行到00的目的地址轉(zhuǎn)換。ScreenOS VIP功能對(duì)應(yīng)的SRX Dst-nat配置：set security nat destination poo

48、l 222 address 00/32 port 8080set security nat destination rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address /0set security nat destination rule-set 1 rule 111 match destination-address 50/32set security nat destination rule-se

49、t 1 rule 111 match destination-port 8080set security nat destination rule-set 1 rule 111 then destination-nat pool 222上述NAT配置定義：訪問50地址8080端口映射至00地址8080端口，功能與ScreenOS VIP端口映射一致。2.4.4 Pool base Static NAT基于地址池的靜態(tài)地址轉(zhuǎn)換圖片僅供參考,下列配置參考實(shí)驗(yàn)拓?fù)銷AT：set security nat static rule-set static-nat fr

50、om zone untrustset security nat static rule-set static-nat rule rule1 match destination-address 50set security nat static rule-set static-nat rule rule1 then static-nat prefix 00Policy:set security policies from-zone trust to-zone untrust policy 1 match source-address anyset secur

51、ity policies from-zone trust to-zone untrust policy 1 match destination-address pc-1set security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permitStatic NAT概念與ScreenOS MIP一致，屬于靜態(tài)雙向一對(duì)一NAT，上述配置表示訪問192.168.1

52、.150時(shí)轉(zhuǎn)換為00，當(dāng)00訪問Internet時(shí)自動(dòng)轉(zhuǎn)換為50，并且優(yōu)先級(jí)比其他類型NAT高。2.5 IPSEC VPNSRX IPSEC VPN支持Site-to-Site VPN 和基于NS-remote的撥號(hào)VPN以及基于IPSEC的動(dòng)態(tài)VPN，訪問方式通過WEB界面進(jìn)行，和ScreenOS一樣，site-to-site VPN也支持路由模式和Policy模式，在配置方面也和ScreenOS基本一致。SRX中的加密/驗(yàn)證算法在命名上和ScreenOS存在一些區(qū)別，配置過程中建議選擇ike和ipsec的proposal為 standa

53、rd模式，standard中包含SRX支持的全部加密/驗(yàn)證算法，只要對(duì)端設(shè)備支持其中任何一種即可。SRX中通道接口使用st0接口，對(duì)應(yīng)ScreenOS中的tunnel虛擬接口。本次將列舉如下配置案例：1、 基于策略的LAN TO LAN IPSEC VPN2、 基于路由的LAN TO LAN IPSEC VPN3、 基于REMOTE VPN客戶端撥號(hào)VPN4、 基于IPSEC動(dòng)態(tài)VPN注意在REMOTE VPN客戶端撥號(hào)VPN中我們將列舉JUNIPER REMOTE VPN客戶端和第三方ShrewSoft VPN Client,另外基于IPSEC動(dòng)態(tài)VPN是通過WEB界面訪問,初次登陸系統(tǒng)自動(dòng)

54、或人工下載一個(gè)JAVA客戶端。2.5.1 基于路由的LAN TO LAN IPSEC VPNSRX配置：下面是圖中左側(cè)SRX基于路由方式Site-to-site VPN配置：set interfaces st0 unit 0 family inet address /24set security zones security-zone untrust interfaces st0.0 set routing-options static route /24 next-hop st0.0 定義st0 tunnel接口地址/Zone及通過VPN通道到對(duì)端網(wǎng)絡(luò)路由s

55、et security ike policy ABC mode mainset security ike policy ABC proposal-set standardset security ike policy ABC pre-shared-key ascii-text juniper定義IKE Phase1 policy參數(shù)，main mode，standard proposal及預(yù)共享密鑰方式set security ike gateway gw1 ike-policy ABCset security ike gateway gw1 address 54set security ike gateway gw1 external-interface fe-0/0/2.0定義IKE gaeway參數(shù)，預(yù)共享密鑰認(rèn)證，對(duì)端網(wǎng)關(guān)54，出接口fe-0/0/2（位于dmz zone）set security ipsec policy AAA proposal-set standardset security ipsec vpn vpn1 bind-interface st0.0set security ipsec vpn vpn1 ike gateway gw1set securit