Juniper SRX Branch系列防火墻配置管理手冊

1、 Page * MERGEFORMAT 87Juniper SRX Branch系列防火墻配置管理手冊 目 錄 TOC o 1-3 h z u HYPERLINK l _Toc504681732 一、JUNOS操作系統(tǒng)介紹 PAGEREF _Toc504681732 h 4 HYPERLINK l _Toc504681733 1.1 層次化配置結構 PAGEREF _Toc504681733 h 4 HYPERLINK l _Toc504681734 1.2 JunOS配置管理 PAGEREF _Toc504681734 h 5 HYPERLINK l _Toc504681735 1.3 SR

2、X主要配置內容 PAGEREF _Toc504681735 h 6 HYPERLINK l _Toc504681736 二、SRX防火墻配置操作舉例說明 PAGEREF _Toc504681736 h 7 HYPERLINK l _Toc504681737 2.1 初始安裝 PAGEREF _Toc504681737 h 7 HYPERLINK l _Toc504681738 2.1.1 設備登陸 PAGEREF _Toc504681738 h 7 HYPERLINK l _Toc504681739 2.1.2 設備恢復出廠介紹 PAGEREF _Toc504681739 h 8 HYPERL

3、INK l _Toc504681740 2.1.3 設置root用戶口令 PAGEREF _Toc504681740 h 9 HYPERLINK l _Toc504681741 2.1.4 設置遠程登陸管理用戶 PAGEREF _Toc504681741 h 9 HYPERLINK l _Toc504681742 2.1.5 遠程管理SRX相關配置 PAGEREF _Toc504681742 h 10 HYPERLINK l _Toc504681743 2.2 配置操作實驗拓撲 PAGEREF _Toc504681743 h 11 HYPERLINK l _Toc504681744 2.3 策

4、略相關配置說明 PAGEREF _Toc504681744 h 11 HYPERLINK l _Toc504681745 2.3.1 策略地址對象定義 PAGEREF _Toc504681745 h 13 HYPERLINK l _Toc504681746 2.3.2 策略服務對象定義 PAGEREF _Toc504681746 h 13 HYPERLINK l _Toc504681747 2.3.3 策略時間調度對象定義 PAGEREF _Toc504681747 h 14 HYPERLINK l _Toc504681748 2.3.4 策略配置舉例 PAGEREF _Toc50468174

5、8 h 15 HYPERLINK l _Toc504681749 2.4 地址轉換 PAGEREF _Toc504681749 h 17 HYPERLINK l _Toc504681750 2.4.1 Interface based NAT 基于接口的源地址轉換 PAGEREF _Toc504681750 h 19 HYPERLINK l _Toc504681751 2.4.2 Pool based Source NAT基于地址池的源地址轉換 PAGEREF _Toc504681751 h 20 HYPERLINK l _Toc504681752 2.4.3 Pool base destina

6、tion NAT基于地址池的目標地址轉換 PAGEREF _Toc504681752 h 21 HYPERLINK l _Toc504681753 2.4.4 Pool base Static NAT基于地址池的靜態(tài)地址轉換 PAGEREF _Toc504681753 h 23 HYPERLINK l _Toc504681754 2.5 IPSEC VPN PAGEREF _Toc504681754 h 25 HYPERLINK l _Toc504681755 2.5.1 基于路由的LAN TO LAN IPSEC VPN PAGEREF _Toc504681755 h 26 HYPERLIN

7、K l _Toc504681756 2.5.2 基于策略的LAN TO LAN IPSEC VPN PAGEREF _Toc504681756 h 28 HYPERLINK l _Toc504681757 2.5.3 基于Remote VPN 客戶端撥號VPN PAGEREF _Toc504681757 h 29 HYPERLINK l _Toc504681758 2.5.4 基于IPSEC動態(tài)VPN PAGEREF _Toc504681758 h 40 HYPERLINK l _Toc504681759 2.6 應用層網(wǎng)關ALG配置及說明 PAGEREF _Toc504681759 h 48

8、 HYPERLINK l _Toc504681760 2.7 SRX Branch 系列JSRP HA高可用性配置及說明 PAGEREF _Toc504681760 h 49 HYPERLINK l _Toc504681761 2.8 SRX Branch 系列IDP、UTM配置操作介紹 PAGEREF _Toc504681761 h 56 HYPERLINK l _Toc504681762 2.9 SRX Branch 系列與UAC聯(lián)動配置說明 PAGEREF _Toc504681762 h 66 HYPERLINK l _Toc504681763 2.10 SRX Branch系列FLOW

9、配置說明 PAGEREF _Toc504681763 h 72 HYPERLINK l _Toc504681764 2.11 SRX Branch系列SCREEN攻擊防護配置說明 PAGEREF _Toc504681764 h 75 HYPERLINK l _Toc504681765 2.12 SRX Branch系列J-WEB操作配置簡要說明 PAGEREF _Toc504681765 h 77 HYPERLINK l _Toc504681766 三、SRX防火墻常規(guī)操作與維護 PAGEREF _Toc504681766 h 83 HYPERLINK l _Toc504681767 3.2設

10、備關機 PAGEREF _Toc504681767 h 83 HYPERLINK l _Toc504681768 3.3設備重啟 PAGEREF _Toc504681768 h 84 HYPERLINK l _Toc504681769 3.4操作系統(tǒng)升級 PAGEREF _Toc504681769 h 84 HYPERLINK l _Toc504681770 3.5密碼恢復 PAGEREF _Toc504681770 h 85 HYPERLINK l _Toc504681771 3.6常用監(jiān)控維護命令 PAGEREF _Toc504681771 h 86Juniper SRX Branch系列

11、防火墻配置管理手冊說明SRX系列防火墻是Juniper公司基于JUNOS操作系統(tǒng)的安全系列產品，JUNOS集成了路由、交換、安全性和一系列豐富的網(wǎng)絡服務。目前Juniper公司的全系列路由器產品、交換機產品和SRX安全產品均采用統(tǒng)一源代碼的JUNOS操作系統(tǒng)，JUNOS是全球首款將轉發(fā)與控制功能相隔離，并采用模塊化軟件架構的網(wǎng)絡操作系統(tǒng)。JUNOS作為電信級產品的精髓是Juniper真正成功的基石，它讓企業(yè)級產品同樣具有電信級的不間斷運營特性，更好的安全性和管理特性，JUNOS軟件創(chuàng)新的分布式架構為高性能、高可用、高可擴展的網(wǎng)絡奠定了基礎?；贜P架構的SRX系列產品產品同時提供性能優(yōu)異的防火

12、墻、NAT、IPSEC、IPS、UTM等全系列安全功能，其安全功能主要來源于已被廣泛證明的ScreenOS操作系統(tǒng)。 本文旨在為熟悉Netscreen防火墻ScreenOS操作系統(tǒng)的工程師提供SRX防火墻參考配置，以便于大家能夠快速部署和維護SRX防火墻，文檔介紹JUNOS操作系統(tǒng)，并參考ScreenOS配置介紹SRX防火墻配置方法，最后對SRX防火墻常規(guī)操作與維護做簡要說明。鑒于SRX系列防火墻低端系列與高端3K、5K系列在功能配置與包處理流程有所差異,本人主要以低端系列功能配置介紹為主,Branch系列型號目前包含：SRX100210240650將來會有新的產品加入到Branch家族,請隨

13、時關注官方網(wǎng)站動態(tài)，配置大同小異。一、JUNOS操作系統(tǒng)介紹1.1 層次化配置結構JUNOS采用基于FreeBSD內核的軟件模塊化操作系統(tǒng)，支持CLI命令行和WEBUI兩種接口配置方式，本文主要對CLI命令行方式進行配置說明。JUNOS CLI使用層次化配置結構，分為操作（operational）和配置（configure）兩類模式，在操作模式下可對當前配置、設備運行狀態(tài)、路由及會話表等狀態(tài)進行查看及設備運維操作，并通過執(zhí)行config或edit命令進入配置模式，在配置模式下可對各相關模塊進行配置并能夠執(zhí)行操作模式下的所有命令（run）。在配置模式下JUNOS采用分層分級模塊下配置結構，如下圖

14、所示，edit命令進入下一級配置（類似unix cd命令）,exit命令退回上一級，top命令回到根級。1.2 JunOS配置管理JUNOS通過set語句進行配置，配置輸入后并不會立即生效，而是作為候選配置（Candidate Config）等待管理員提交確認，管理員通過輸入commit命令來提交配置，配置內容在通過SRX語法檢查后才會生效，一旦commit通過后當前配置即成為有效配置（Active config）。另外，JUNOS允許執(zhí)行commit命令時要求管理員對提交的配置進行兩次確認，如執(zhí)行commit confirmed 2命令要求管理員必須在輸入此命令后2分鐘內再次輸入commit

15、以確認提交，否則2分鐘后配置將自動回退，這樣可以避免遠程配置變更時管理員失去對SRX的遠程連接風險。在執(zhí)行commit命令前可通過配置模式下show命令查看當前候選配置（Candidate Config），在執(zhí)行commit后配置模式下可通過run show config命令查看當前有效配置（Active config）。此外可通過執(zhí)行show | compare比對候選配置和有效配置的差異。SRX上由于配備大容量存儲器，缺省按先后commit順序自動保存50份有效配置，并可通過執(zhí)行rolback和commit命令返回到以前配置（如rollback 0/commit可返回到前一commit配置

16、）；也可以直接通過執(zhí)行save configname.conf手動保存當前配置，并執(zhí)行l(wèi)oad override configname.conf / commit調用前期手動保存的配置。執(zhí)行l(wèi)oad factory-default / commit命令可恢復到出廠缺省配置。SRX可對模塊化配置進行功能關閉與激活，如執(zhí)行deactivate security nat/comit命令可使NAT相關配置不生效，并可通過執(zhí)行activate security nat/commit使NAT配置再次生效。SRX通過set語句來配置防火墻，通過delete語句來刪除配置，如delete security n

17、at和edit security nat / delete一樣，均可刪除security防火墻層級下所有NAT相關配置，刪除配置和ScreenOS不同，配置過程中需加以留意。1.3 SRX主要配置內容部署SRX防火墻主要有以下幾個方面需要進行配置：System：主要是系統(tǒng)級內容配置，如主機名、管理員賬號口令及權限、時鐘時區(qū)、Syslog、SNMP、系統(tǒng)級開放的遠程管理服務（如telnet）等內容。Interface:接口相關配置內容。Security: 是SRX防火墻的主要配置內容，安全相關部分內容全部在Security層級下完成配置，如NAT、Zone、Policy、Address-book

18、、Ipsec、Screen、Idp、UTM等，可簡單理解為ScreenOS防火墻安全相關內容都遷移至此配置層次下，除了Application自定義服務。Application：自定義服務單獨在此進行配置，配置內容與ScreenOS基本一致。routing-options： 配置靜態(tài)路由或router-id等系統(tǒng)全局路由屬性配置。二、SRX防火墻配置操作舉例說明2.1 初始安裝2.1.1 設備登陸Console口(通用超級終端缺省配置)連接SRX，root用戶登陸，密碼為空login: rootPassword: JUNOS 9.5R1.8 built 2009-07-16 15:04:30 U

19、TCroot% cli /*進入操作模式*/root root configureEntering configuration mode /*進入配置模式*/editRoot#2.1.2 設備恢復出廠介紹首先根據(jù)上述操作進入到配置模式,執(zhí)行下列命令：root# load factory-default warning: activating factory configuration /*系統(tǒng)激活出廠配置*/恢復出廠后,必須立刻設置ROOT帳號密碼root# set system root-authentication plain-text-password New password:當設置完

20、ROOT帳號密碼以后,進行保存激活配置root# commit commit complete在此需要提醒配置操作員注意，系統(tǒng)恢復出廠后并不代表沒有任何配置,系統(tǒng)缺省配置有ScreenDHCPPolicy等相關配置,你如果需要完整的刪除,可以執(zhí)行命令delete 刪除相關配置。通過show 來查看系統(tǒng)是否還有遺留不需要的配置,可以一一進行刪除,直到符合你的要求,然后再重新根據(jù)實際需求進行配置。2.1.3 設置root用戶口令設置root用戶口令root# set system root-authentication plain-text-passwordroot# new password :

21、 root123root# retype new password: root123密碼將以密文方式顯示root# show system root-authentication encrypted-password $1$xavDeUe6$fNM6olGU.8.M7B62u05D6.; # SECRET-DATA注意：強烈建議不要使用其它加密選項來加密root和其它user口令(如encrypted-password加密方式)，此配置參數(shù)要求輸入的口令是經(jīng)加密算法加密后的字符串，采用這種加密方式手工輸入時存在密碼無法通過驗證風險。注：root用戶僅用于console連接本地管理SRX，不能通

22、過遠程登陸管理SRX，必須成功設置root口令后，才能執(zhí)行commit提交后續(xù)配置命令。2.1.4 設置遠程登陸管理用戶root# set system login user lab class super-user authentication plain-text-passwordroot# new password : lab123root# retype new password: lab123注：此lab用戶擁有超級管理員權限，可用于console和遠程管理訪問，另也可自行靈活定義其它不同管理權限用戶。2.1.5 遠程管理SRX相關配置run set date YYYYMMDDhhm

23、m.ss/*設置系統(tǒng)時鐘*/set system time-zone Asia/Shanghai/*設置時區(qū)為上海*/set system host-name SRX-650-1/*設置主機名*/set system name-server /*設置DNS服務器*/set system services ftpset system services telnet set system services web-management http /*在系統(tǒng)級開啟ftp/telnet/http遠程接入管理服務*/set interfaces ge-0/0/0.0 family inet addres

24、s /24或set interfaces ge-0/0/0 unit 0 family inet address /24set interfaces ge-0/0/1 unit 0 family inet address /24set routing-options static route /0 next-hop /*配置邏輯接口地址及缺省路由，SRX接口要求IP地址必須配置在邏輯接口下（類似ScreenOS的子接口），通常使用邏輯接口0即可*/set security zones security-zone untrust interfaces ge-0/0/0.0/*將ge-0/0/0.

25、0接口放到安全區(qū)域中，類似ScreenOS*/set security zones security-zone untrust host-inbound-traffic system-services pingset security zones security-zone untrust host-inbound-traffic system-services httpset security zones security-zone untrust host-inbound-traffic system-services telnet/*在untrust zone打開允許遠程登陸管理服務，S

26、creenOS要求基于接口開放服務，SRX要求基于Zone開放，從SRX主動訪問出去流量開啟服務，類似ScreenOS*/本次實驗拓撲中使用的設備的版本如下：SRX100-HM系統(tǒng)版本與J-WEB版本均為：10.1.R2.8SSG防火墻版本為6.1.0R7測試客戶端包含WINDOWS7XP2.2 配置操作實驗拓撲2.3 策略相關配置說明安全設備的缺省行為是拒絕安全區(qū)段之間的所有信息流 ( 區(qū)段之間信息流)允許綁定到同一區(qū)段的接口間的所有信息流 ( 區(qū)段內部信息流)。為了允許選定的區(qū)段之間信息流通過安全設備，必須創(chuàng)建覆蓋缺省行為的區(qū)段之間策略。同樣，為了防止選定的區(qū)段內部信息流通過安全設備，必須

27、創(chuàng)建區(qū)段內部策略。基本元素允許、拒絕或設置兩點間指定類型單向信息流通道的策略。信息流 ( 或“服務”)的類型、兩端點的位置以及調用的動作構成了策略的基本元素。盡管可以有其它組件，但是共同構成策略核心部分的必要元素如下:策略名稱 - 兩個安全區(qū)段間 ( 從源區(qū)段到目的區(qū)段) 間信息流的方向 /*必須配置*/源地址 - 信息流發(fā)起的地址 /*必須配置*/目標地址 - 信息流發(fā)送到的地址 /*必須配置*/服務 - 信息流傳輸?shù)念愋?/*必須配置*/動作 - 安全設備接收到滿足頭四個標準的信息流時執(zhí)行的動作 /*必須配置*/這些動作為:deny、permit、reject 或 tunnel注意tunn

28、el、firewall-authentication、application-services在permit下一級,如下：root# set security policies from-zone trust to-zone untrust policy t-u then permit ? Firewall-authentication tunnel 另外還包括其他的策略元素,比如記錄日志、流量統(tǒng)計、時間調度對象等三種類型的策略 可通過以下三種策略控制信息流的流動:通過創(chuàng)建區(qū)段之間策略，可以管理允許從一個安全區(qū)段到另一個安全區(qū)段的信息流的種類。通過創(chuàng)建區(qū)段內部策略，也可以控制允許通過綁定到同一

29、區(qū)段的接口間的信息流的類型。通過創(chuàng)建全局策略，可以管理地址間的信息流，而不考慮它們的安全區(qū)段。2.3.1 策略地址對象定義SRX服務網(wǎng)關地址對象需要自定義后才可以在策略中進行引用,默認只有any對象自定義單個地址對象如下：root# set security zones security-zone trust address-book address pc-1 00/32 root# set security zones security-zone trust address-book address pc-2 10/32 自定義單個地址組對象如下：set security zones sec

30、urity-zone trust address-book address-set pc-group address pc-1set security zones security-zone trust address-book address-set pc-group address pc-22.3.2 策略服務對象定義SRX服務網(wǎng)關部分服務對象需要自定義后才可以在策略中進行引用,默認僅有預定義常用服務對象自定義單個服務對象如下：set applications application tcp-3389 protocol tcp 定義服務對象協(xié)議set applications applic

31、ation tcp-3389 source-port 1-65535定義服務對象源端口set applications application tcp-3389 destination-port 3389-3389定義服務對象目標地址set applications application tcp-3389 inactivity-timeout never 可選定義服務對象timeout時長set applications application tcp-8080 protocol tcpset applications application tcp-8080 source-port 1-6

32、5535set applications application tcp-8080 destination-port 8080-8080set applications application tcp-8080 inactivity-timeout 3600自定義單個服務組對象如下：set applications application-set aaplications-group application tcp-8080set applications application-set aaplications-group application tcp-33892.3.3 策略時間調度對象

33、定義SRX服務網(wǎng)關時間調度對象需要自定義后才可以在策略中進行引用,默認沒有預定義時間調度對象自定義單個時間調度對象如下：set schedulers scheduler work-time daily start-time 09:00:00 stop-time 18:00:00set schedulers scheduler happy-time sunday start-time 00:00:00 stop-time 23:59:59set schedulers scheduler happy-time saturday start-time 00:00:00 stop-time 23:59

34、:59注意：時間調度服務生效參考設備系統(tǒng)時間,所以需要關注設備系統(tǒng)時間是否正常。2.3.4 策略配置舉例Policy配置方法與ScreenOS基本一致，僅在配置命令上有所區(qū)別，其中策略的允許/拒絕的動作（Action）需要額外配置一條then語句(將ScreenOS的一條策略分解成兩條及以上配置語句)。Policy需要手動配置policy name，policy name可以是字符串，也可以是數(shù)字（與ScreenOS的policy ID類似,只不過需要手工指定）。首先需要注意系統(tǒng)缺省策略配置：root# show security policies default-policy 查看當前系統(tǒng)缺

35、省策略動作root# set security policies default-policy ? 設置系統(tǒng)缺省策略動作Possible completions:deny-all Deny all traffic if no policy matchpermit-all Permit all traffic if no policy match根據(jù)實驗拓撲進行策略配置舉例說明 set security zones security-zone trust address-book address pc1 00/32set security zones security-zone untrust

36、address-book address server1 00/32/*與ScreenOS一樣，在trust和untrust zone下分別定義地址對象便于策略調用，地址對象的名稱可以是地址/掩碼形式*/set security zones security-zone trust address-book address-set addr-group1 address pc1/*在trust zone下定義名稱為add-group1的地址組，并將pc1地址放到該地址組中*/Set security policies from-zone trust to-zone untrust policy

37、001 match source-address addr-group1 destination-address server1 application anyset security policies from-zone trust to-zone untrust policy 001 then permit/*定義從trust 到untrust方向permit策略，允許addr-group1組的源地址訪問server1地址any服務*/set security policies from-zone trust to-zone untrust policy 001 then log sess

38、ion-initset security policies from-zone trust to-zone untrust policy 001 then log session-closeset security policies from-zone trust to-zone untrust policy 001 then count/*定義從trust 到untrust方向策略，針對當前策略記錄日志并統(tǒng)計策略流量root# set security policies from-zone trust to-zone untrust policy 001 scheduler-name hap

39、py-time root# set security policies from-zone trust to-zone dmz policy 001 scheduler-name work-time /*定義當前策略，引用時間調度對象，符合時間條件策略生效，否則策略將處于非工作狀態(tài) root# set security policies from-zone trust to-zone untrust policy t-u then permit application-services ?Possible completions:+ apply-groups Groups from which

40、 to inherit configuration data+ apply-groups-except Dont inherit configuration data from these groupsgprs-gtp-profile Specify GPRS Tunneling Protocol profile nameidp Intrusion detection and preventionredirect-wx Set WX redirectionreverse-redirect-wx Set WX reverse redirectionuac-policy Enable unifie

41、d access control enforcement of policyutm-policy Specify utm policy nameedit/*定義當前策略，選擇是否客氣IDPUACUTM等操作,如果針對策略開啟相應的檢查，請先定義好相應的功能。2.4 地址轉換 SRX NAT較ScreenOS在功能實現(xiàn)方面基本保持一致，但在功能配置上有較大區(qū)別，配置的主要差異在于ScreenOS的NAT與policy是綁定的，無論是MIP/VIP/DIP還是基于策略的NAT，在policy中均要體現(xiàn)出NAT內容（除了缺省基于untrust接口的Souec-NAT模式外），而SRX 的NAT則作為

42、網(wǎng)絡層面基礎內容進行獨立配置（獨立定義地址映射的方向、映射關系及地址范圍），Policy中不再包含NAT相關配置信息，這樣的好處是易于理解、簡化運維，當網(wǎng)絡拓樸和NAT映射關系發(fā)生改變時，無需調整Policy配置內容。SRX NAT和Policy執(zhí)行先后順序為：目的地址轉換目的地址路由查找執(zhí)行策略檢查源地址轉換，結合這個執(zhí)行順序，在配置Policy時需注意：Policy中源地址應是轉換前的源地址，而目的地址應該是轉換后的目的地址，換句話說，Policy中的源和目的地址應該是源和目的兩端的真實IP地址，這一點和ScreenOS存在區(qū)別，需要加以注意。SRX中不再使用MIP/VIP/DIP這些概念

43、，其中MIP被Static靜態(tài)地址轉換取代，兩者在功能上完全一致；DIP被Source NAT取代；基于Policy的目的地址轉換及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址轉換被保留下來，但在SRX中不再是缺省模式（SRX中Trust Zone接口沒有NAT模式概念），需要手工配置。類似ScreenOS，Static屬于雙向NAT，其他類型均屬于單向NAT。此外，SRX還多了一個proxy-arp概念，如果定義的IP Pool（可用于源或目的地址轉換）需配置SRX對這個Pool內的地址提供ARP代理功能，這樣對端設備能夠解析到IP

44、 Pool地址的MAC地址（使用接口MAC地址響應對方），以便于返回報文能夠送達SRX。下面是配置舉例及相關說明：2.4.1 Interface based NAT 基于接口的源地址轉換圖片僅供參考,下列配置參考實驗拓撲NAT配置：set security nat source rule-set 1 from zone trust 指定源區(qū)域set security nat source rule-set 1 to zone untrust 指定目標區(qū)域set security nat source rule-set 1 rule rule1 match source-address /0 d

45、estination-address /0 指定源和目標匹配的地址或者地址段,0.0.0./0代表所有set security nat source rule-set 1 rule rule1 then source-nat interface 指定通過接口IP進行源翻譯上述配置定義NAT源地址映射規(guī)則，從Trust Zone訪問Untrust Zone的所有流量用Untrust Zone接口IP做源地址轉換。Policy配置:set security policies from-zone trust to-zone untrust policy 1 match source-address

46、pc-1set security policies from-zone trust to-zone untrust policy 1 match destination-address anyset security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定義Policy策略，允許Trust zone 地址訪問Untrust方向任何地址，

47、根據(jù)前面的NAT配置，SRX在建立session時自動執(zhí)行接口源地址轉換。2.4.2 Pool based Source NAT基于地址池的源地址轉換圖片僅供參考,下列配置參考實驗拓撲NAT配置：set security nat source pool pool-1 address 0 to 50set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat source rule-set 1 rule rule1 match

48、 source-address /0 destination-address /0set security nat source rule-set 1 rule rule1 then source-nat pool pool-1set security nat proxy-arp interface ge-0/0/0 address 0 to 50上述配置表示從trust方向（any）到untrust方向(any)訪問時提供源地址轉換，源地址池為pool1(0-50)，同時fe-0/0/0接口為此pool IP提供ARP代理。需要注意的是：定義Pool時不需要與Zone及接口進行關聯(lián)。配置pr

49、oxy-arp目的是讓返回包能夠送達SRX，如果Pool與出接口IP不在同一子網(wǎng)，則對端設備需要配置指向fe-0/0/0接口的Pool地址路由。Policy：set security policies from-zone trust to-zone untrust policy 1 match source-address pc-1set security policies from-zone trust to-zone untrust policy 1 match destination-address anyset security policies from-zone trust to-

50、zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定義Policy策略，允許Trust zone 地址訪問Untrust方向任何地址，根據(jù)前面的NAT配置，SRX在建立session時自動執(zhí)行源地址轉換。2.4.3 Pool base destination NAT基于地址池的目標地址轉換圖片僅供參考,下列配置參考實驗拓撲NAT配置：set security nat destination pool 11

51、1 address 00/32set security nat destination rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address /0set security nat destination rule-set 1 rule 111 match destination-address 50/32set security nat destination rule-set 1 rule 111 then destination-nat pool 1

52、11上述配置將外網(wǎng)any訪問50地址映射到內網(wǎng)00地址，注意：定義的Dst Pool是內網(wǎng)真實IP地址，而不是映射前的公網(wǎng)地址。這點和Src-NAT Pool有所區(qū)別。Policy：set security policies from-zone trust to-zone untrust policy 1 match source-address anyset security policies from-zone trust to-zone untrust policy 1 match destination-address PC-1set security policies from-zo

53、ne trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定義Policy策略，允許Untrust方向任何地址訪問Trust方向PC-1：00，根據(jù)前面的NAT配置，公網(wǎng)訪問50時，SRX自動執(zhí)行到00的目的地址轉換。ScreenOS VIP功能對應的SRX Dst-nat配置：set security nat destination pool 222 address 00/32 port

54、 8080set security nat destination rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address /0set security nat destination rule-set 1 rule 111 match destination-address 50/32set security nat destination rule-set 1 rule 111 match destination-port 8080set securi

55、ty nat destination rule-set 1 rule 111 then destination-nat pool 222上述NAT配置定義：訪問50地址8080端口映射至00地址8080端口，功能與ScreenOS VIP端口映射一致。2.4.4 Pool base Static NAT基于地址池的靜態(tài)地址轉換圖片僅供參考,下列配置參考實驗拓撲NAT：set security nat static rule-set static-nat from zone untrustset security nat static rule-set static-nat rule rule1

56、 match destination-address 50set security nat static rule-set static-nat rule rule1 then static-nat prefix 00Policy:set security policies from-zone trust to-zone untrust policy 1 match source-address anyset security policies from-zone trust to-zone untrust policy 1 match destination-address pc-1set

57、security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permitStatic NAT概念與ScreenOS MIP一致，屬于靜態(tài)雙向一對一NAT，上述配置表示訪問50時轉換為00，當00訪問Internet時自動轉換為50，并且優(yōu)先級比其他類型NAT高。2.5 IPSEC VPNSRX IPSEC VPN支持Site-to-Site VPN 和基于NS-

58、remote的撥號VPN以及基于IPSEC的動態(tài)VPN，訪問方式通過WEB界面進行，和ScreenOS一樣，site-to-site VPN也支持路由模式和Policy模式，在配置方面也和ScreenOS基本一致。SRX中的加密/驗證算法在命名上和ScreenOS存在一些區(qū)別，配置過程中建議選擇ike和ipsec的proposal為 standard模式，standard中包含SRX支持的全部加密/驗證算法，只要對端設備支持其中任何一種即可。SRX中通道接口使用st0接口，對應ScreenOS中的tunnel虛擬接口。本次將列舉如下配置案例：基于策略的LAN TO LAN IPSEC VPN基

59、于路由的LAN TO LAN IPSEC VPN基于REMOTE VPN客戶端撥號VPN基于IPSEC動態(tài)VPN注意在REMOTE VPN客戶端撥號VPN中我們將列舉JUNIPER REMOTE VPN客戶端和第三方ShrewSoft VPN Client,另外基于IPSEC動態(tài)VPN是通過WEB界面訪問,初次登陸系統(tǒng)自動或人工下載一個JAVA客戶端。2.5.1 基于路由的LAN TO LAN IPSEC VPNSRX配置：下面是圖中左側SRX基于路由方式Site-to-site VPN配置：set interfaces st0 unit 0 family inet address /24se

60、t security zones security-zone untrust interfaces st0.0 set routing-options static route /24 next-hop st0.0 定義st0 tunnel接口地址/Zone及通過VPN通道到對端網(wǎng)絡路由set security ike policy ABC mode mainset security ike policy ABC proposal-set standardset security ike policy ABC pre-shared-key ascii-text juniper定義IKE Pha