juniper防火墻培訓(xùn)(SRX系列)

JUNIPER防火墻培訓(xùn)2012年07月深圳市奧怡軒實(shí)業(yè)有限公司議程基本配置規(guī)范13Junos簡(jiǎn)介2SRX3400硬件結(jié)構(gòu)基本維護(hù)操作命令4議程XXXXXXXX13XXXXXXXX2SRX3400硬件結(jié)構(gòu)XXXXXXXX4SRX3400硬件結(jié)構(gòu)SRX3400機(jī)箱是剛性金屬結(jié)構(gòu)，用于其他部件的放置,JuniperSRX3400插槽位分別位于SRX3400的前后面板上，如圖1和圖2所示：圖1前面板插槽位圖2后面板插槽位根據(jù)SRX3400對(duì)RE、SFB、SPC、NPC和IOC對(duì)應(yīng)插槽位的要求，IOC只能插在前面板的Slot1到Slot4的插槽中，NPC只能插在Slot5到Slot7的插槽位上，而SPC可以插在Slot1到Slot7任何一個(gè)插槽位中。SRX3400硬件結(jié)構(gòu)交換矩陣和控制板(SCB)交換矩陣和控制板(SCB)是動(dòng)態(tài)業(yè)務(wù)架構(gòu)的核心組件，可將機(jī)箱從簡(jiǎn)單的模塊容器轉(zhuǎn)變?yōu)楦咝У木W(wǎng)狀網(wǎng)絡(luò)。SCB旨在支持機(jī)箱中的所有模塊通過極高的帶寬發(fā)送流量。路由引擎(RE)路由引擎(RE)與SCB緊密集成，就好比整個(gè)架構(gòu)的中樞神經(jīng)系統(tǒng)。RE是機(jī)箱的控制平面，為系統(tǒng)管理員提供完整的管理和通信支持，還能為路由網(wǎng)絡(luò)流量計(jì)算路由表。服務(wù)處理卡(SPC)作為SRX3000業(yè)務(wù)網(wǎng)關(guān)背后的“大腦”，服務(wù)處理卡(SPC)旨在處理網(wǎng)關(guān)上的所有可用的服務(wù)。由于無需購(gòu)買專用硬件來支持特定服務(wù)或功能，因而不會(huì)出現(xiàn)某些硬件的使用超出極限，而其他硬件卻處于空閑狀態(tài)的情況。SPC的所有處理能力均可用于支持網(wǎng)關(guān)上的任意或全部服務(wù)和功能。SRX3600和SRX3400業(yè)務(wù)網(wǎng)關(guān)上使用了相同的SPC。（注：要想實(shí)現(xiàn)正常的系統(tǒng)功能，至少需要1個(gè)NPC和1個(gè)SPC）SRX3400硬件結(jié)構(gòu)-名詞解釋網(wǎng)絡(luò)處理卡(NPC)為了確保實(shí)現(xiàn)最大的處理性能和靈活性，SRX3000業(yè)務(wù)網(wǎng)關(guān)系列利用網(wǎng)絡(luò)處理卡(NPC)來將進(jìn)出的流量分配給相應(yīng)的SPC和IOC，同時(shí)應(yīng)用QoS功能，以及執(zhí)行DoS/DDoS防護(hù)功能。SRX3600可配置用于支持1到3個(gè)NPC，而SRX3400可配置用于支持1到2個(gè)NPC。向這些網(wǎng)關(guān)添加更多NPC可支持企業(yè)定制解決方案，以滿足其特定的性能要求。（注：要想實(shí)現(xiàn)正常的系統(tǒng)功能，至少需要1個(gè)NPC和1個(gè)SPC）輸入/輸出卡(IOC)除了能夠完美支持內(nèi)置銅線端口、小型可熱插拔(SFP)端口和高可用性(HA)端口的組合外，與同類產(chǎn)品相比，SRX3000系列還可實(shí)現(xiàn)最大的I/O端口密度。每一個(gè)SRX3000業(yè)務(wù)網(wǎng)關(guān)均可以安裝一個(gè)或多個(gè)輸入/輸出卡(IOC)，每一個(gè)IOC可以支持16個(gè)千兆位接口（16個(gè)銅線或光纖千兆以太網(wǎng)），或者20個(gè)千兆位接口（2個(gè)萬兆XFP以太網(wǎng)）。憑借能夠添加更多IOC的出色靈活性，SRX3000業(yè)務(wù)網(wǎng)關(guān)系列可支持在接口和處理能力之間實(shí)現(xiàn)最佳平衡。（注：要想實(shí)現(xiàn)正常的系統(tǒng)功能，至少需要1個(gè)NPC和1個(gè)SPC）SRX3400硬件結(jié)構(gòu)-名稱解釋Junos簡(jiǎn)介SRX系列防火墻是Juniper公司基于JUNOS操作系統(tǒng)的安全系列產(chǎn)品，JUNOS集成了路由、交換、安全性和一系列豐富的網(wǎng)絡(luò)服務(wù)。目前Juniper公司的全系列路由器產(chǎn)品、交換機(jī)產(chǎn)品和SRX安全產(chǎn)品均采用統(tǒng)一源代碼的JUNOS操作系統(tǒng)，JUNOS是全球首款將轉(zhuǎn)發(fā)與控制功能相隔離，并采用模塊化軟件架構(gòu)的網(wǎng)絡(luò)操作系統(tǒng)。JUNOS作為電信級(jí)產(chǎn)品的精髓是Juniper真正成功的基石，它讓企業(yè)級(jí)產(chǎn)品同樣具有電信級(jí)的不間斷運(yùn)營(yíng)特性，更好的安全性和管理特性，JUNOS軟件創(chuàng)新的分布式架構(gòu)為高性能、高可用、高可擴(kuò)展的網(wǎng)絡(luò)奠定了基礎(chǔ)。基于NP架構(gòu)的SRX系列產(chǎn)品產(chǎn)品同時(shí)提供性能優(yōu)異的防火墻、NAT、IPSEC、IPS、UTM等全系列安全功能，其安全功能主要來源于已被廣泛證明的ScreenOS操作系統(tǒng)。Junos簡(jiǎn)介2議程XXXXXXXX3XXXXXXXX4XXXXXXXX1Junos簡(jiǎn)介-層次化配置結(jié)構(gòu)JUNOS采用基于FreeBSD內(nèi)核的軟件模塊化操作系統(tǒng)，支持CLI命令行和WEBUI兩種接口配置方式。JUNOSCLI使用層次化配置結(jié)構(gòu)，分為操作（operational）和配置（configure）兩類模式，在操作模式下可對(duì)當(dāng)前配置、設(shè)備運(yùn)行狀態(tài)、路由及會(huì)話表等狀態(tài)進(jìn)行查看及設(shè)備運(yùn)維操作，并通過執(zhí)行config或edit命令進(jìn)入配置模式，在配置模式下可對(duì)各相關(guān)模塊進(jìn)行配置并能夠執(zhí)行操作模式下的所有命令（run）。Junos簡(jiǎn)介-配置管理JUNOS通過set語句進(jìn)行配置，配置輸入后并不會(huì)立即生效，而是作為候選配置（CandidateConfig）等待管理員提交確認(rèn)，管理員通過輸入commit命令來提交配置，配置內(nèi)容在通過SRX語法檢查后才會(huì)生效，一旦commit通過后當(dāng)前配置即成為有效配置（Activeconfig）。

在執(zhí)行commit命令前可通過配置模式下show命令查看當(dāng)前候選配置（CandidateConfig），在執(zhí)行commit后配置模式下可通過runshowconfig命令查看當(dāng)前有效配置（Activeconfig）。此外可通過執(zhí)行show|compare比對(duì)候選配置和有效配置的差異。另外，JUNOS允許執(zhí)行commit命令時(shí)要求管理員對(duì)提交的配置進(jìn)行兩次確認(rèn)，如執(zhí)行commitconfirmed2命令要求管理員必須在輸入此命令后2分鐘內(nèi)再次輸入commit以確認(rèn)提交，否則2分鐘后配置將自動(dòng)回退，這樣可以避免遠(yuǎn)程配置變更時(shí)管理員失去對(duì)SRX的遠(yuǎn)程連接風(fēng)險(xiǎn)。4213SRX可對(duì)模塊化配置進(jìn)行功能關(guān)閉與激活，如執(zhí)行deactivate命令可使相關(guān)配置不生效，并可通過執(zhí)行activatesecurity使配置再次生效。SRX通過set語句來配置防火墻，通過delete語句來刪除配置，如deletesecuritynat和editsecuritynat/delete一樣，均可刪除security防火墻層級(jí)下所有NAT相關(guān)配置，刪除配置和ScreenOS不同，配置過程中需加以留意。XXXXXXXX基本配置規(guī)范13XXXXXXXX2XXXXXXXXXXXXXXXX4基本配置規(guī)范設(shè)備關(guān)機(jī)在提示符下輸入下面的命令：user@host>requestsystemhalt…Theoperatingsystemhashalted.Pleasepressanykeytoreboot(除非需要重啟設(shè)備，此時(shí)不要敲任何鍵，否則設(shè)備將進(jìn)行重啟)設(shè)備重啟在提示符下輸入下面的命令：user@host>requestsystemreboot密碼恢復(fù)SRXRoot密碼丟失，并且沒有其他的超級(jí)用戶權(quán)限，那么就需要執(zhí)行密碼恢復(fù)，該操作需要中斷設(shè)備正常運(yùn)行，但不會(huì)丟失配置信息，這點(diǎn)與ScreenOS存在區(qū)別?；九渲靡?guī)范SRX主要配置內(nèi)容：部署SRX防火墻主要有以下幾個(gè)方面需要進(jìn)行配置：System：主要是系統(tǒng)級(jí)內(nèi)容配置，如主機(jī)名、管理員賬號(hào)口令及權(quán)限、時(shí)鐘時(shí)區(qū)、Syslog、SNMP、系統(tǒng)級(jí)開放的遠(yuǎn)程管理服務(wù)（如telnet）等內(nèi)容。Interface:接口相關(guān)配置內(nèi)容Security:是SRX防火墻的主要配置內(nèi)容，Security層級(jí)下完成配置，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等，可簡(jiǎn)單理解為ScreenOS防火墻安全相關(guān)內(nèi)容都遷移至此配置層次下，除了Application自定義服務(wù)。Application：自定義服務(wù)單獨(dú)在此進(jìn)行配置，配置內(nèi)容與ScreenOS基本一致。routing-options：配置靜態(tài)路由或router-id等系統(tǒng)全局路由屬性配置。基本配置規(guī)范1、設(shè)置root用戶口令root#setsystemroot-authenticationplain-text-passwordroot#newpassword:root123 root#retypenewpassword:root123注意：默認(rèn)情況下root用戶是沒有設(shè)置密碼，在沒有設(shè)置root密碼的時(shí)候，無法執(zhí)行Commit來提交配置文件.默認(rèn)情況下root用戶只能通過Console方式來登錄，如果需要通過WEB或TELNET的方式來登錄SRX設(shè)備，需要設(shè)置一個(gè)遠(yuǎn)程用戶強(qiáng)烈建議不要使用其它加密選項(xiàng)來加密root和其它user口令(如encrypted-password加密方式),采用這種加密方式手工輸入時(shí)存在密碼無法通過驗(yàn)證風(fēng)險(xiǎn).2、設(shè)置遠(yuǎn)程登陸管理用戶root#setsystemloginuserlabclasssuper-userauthenticationplain-text-passwordroot#newpassword:lab123 root#retypenewpassword:lab123基本配置規(guī)范-PolicyPolicy策略四要素Ip地址執(zhí)行動(dòng)作服務(wù)端口定義流量基本配置規(guī)范-JSRPJSRP是JuniperSRX的私有HA協(xié)議，對(duì)應(yīng)ScreenOS的NSRP雙機(jī)集群協(xié)議，支持A/P和A/A模式.JSRP和NSRP最大的區(qū)別在于JSRP是完全意義上的Cluster概念，兩臺(tái)設(shè)備完全當(dāng)作一臺(tái)設(shè)備來看待,JSRP要求兩臺(tái)設(shè)備在軟件版本、硬件型號(hào)、板卡數(shù)量、插槽位置及端口使用方面嚴(yán)格一一對(duì)應(yīng)。整個(gè)JSRP配置過程包括如下7個(gè)步驟：配置Clusterid和Nodeid(對(duì)應(yīng)ScreenOSNSRP的clusterid并需手工指定設(shè)備使用節(jié)點(diǎn)id）指定ControlPort（指定控制層面使用接口，用于配置同步及心跳）指定FabricLinkPort（指定數(shù)據(jù)層面使用接口，主要session等RTO同步）配置RedundancyGroup（類似NSRP的VSDgroup，優(yōu)先級(jí)與搶占等配置）每個(gè)機(jī)箱的個(gè)性化配置（單機(jī)無需同步的個(gè)性化配置，如主機(jī)名、帶外管理口IP地址等）配置RedundantEthernetInterface（類似NSRP的Redundant冗余接口）配置InterfaceMonitoring（類似NSRPinterfacemonitor，是RG數(shù)據(jù)層面切換依據(jù)）基本配置規(guī)范-JSRPJSRP維護(hù)命令a) 手工切換JSRPMaster，RG1原backup將成為Masterroot@srx5800a>requestchassisclusterfailoverredundancy-group1node1b) 手工恢復(fù)JSRP狀態(tài)，按照優(yōu)先級(jí)重新確定主備關(guān)系（高值優(yōu)先）root@srx5800b>requestchassisclusterfailoverresetredundancy-group1c) 查看clusterinterfaceroot@router>showchassisclusterinterfacesd) 查看cluster狀態(tài)、節(jié)點(diǎn)狀態(tài)、主備關(guān)系lab@srx5800a#runshowchassisclusterstatuse) 取消cluster配置srx5800a#setchassisclusterdisablerebootf) 恢復(fù)處于disabled狀態(tài)的node當(dāng)controlport或fabriclink出現(xiàn)故障時(shí)，為避免出現(xiàn)雙master(split-brain)現(xiàn)象，JSRP會(huì)把出現(xiàn)故障前狀態(tài)為secdonary的node設(shè)為disabled狀態(tài)，即除了RE，其余部件都不工作。想要恢復(fù)必須reboot該node?；九渲靡?guī)范-SYSLOGSRX的日志分為兩類:events和stream(trafficlog)Events是設(shè)備自身產(chǎn)生的log，比如設(shè)備接口up/down,設(shè)備板卡online/offline，管理員登錄記錄，RPD/MGD等系統(tǒng)進(jìn)程狀態(tài)發(fā)生變化等等.Stream與設(shè)備無關(guān)，是由穿越防火墻的業(yè)務(wù)流量產(chǎn)生的日志記錄，記錄信息包括會(huì)話開始/結(jié)束的時(shí)間，源地址/端口，目標(biāo)地址/端口，傳輸協(xié)議號(hào)，NAT前后的地址，傳輸?shù)陌鼈€(gè)數(shù)/字節(jié)數(shù)，命中的安全策略名稱等等，這類事件日志稱為Stream(TrafficLog)。Stream的配置。setsecuritylogmodestreamsetsecuritylogformatsd-syslogsetsecuritylogsource-addressX.X.X.XsetsecuritylogstreamsyslogseveritywarningsetsecuritylogstreamsyslogformatsyslogsetsecuritylogstreamsyslogcategoryallsetsecuritylogstreamsysloghostX.X.X.XEvents的配置setsystemsysloghost10.250.65.125anyanysetsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesanyinfosetsystemsyslogfileinteractive-commandsinteractive-commandsanyXXXXXXXXXXXXXXXX13XXXXXXXX2XXXXXXXX基本維護(hù)操作命令4下列操作命令在操作模式下使用，或在配置模式下runshow… Showsystemsof