Juniper SRX防火墙简明配置手册

Juniper SRX 防火墙简明配置手册

卞同超

Juniper 服务工程师

Juniper Networks, Inc.

北京市东城区东长安街1号东方经贸城西三办公室15层1508室

邮编:100738

电话:65288800

1.3 SRX 主要配置内容.....................................................................................................................4

二、SRX 防火墙配置对照说明......................................................................................................5

2.1 初始安装.....................................................................................................................................5

2.1.1 登陆..................................................................................................................................5

2.1.2 设置 root 用户口令..........................................................................................................5

2.1.3 设置远程登陆管理用户..................................................................................................6

2.1.4 远程管理 SRX 相关配置.................................................................................................6

2.2 Policy...........................................................................................................................................7

2.3 NAT..............................................................................................................................................7

2.3.1 Interface based NAT.........................................................................................................8

三、SRX 防火墙常规操作与维护........................................................................................................15

3.1 设备关机...................................................................................................................................15

3.2 设备重启...................................................................................................................................16

3.3 操作系统升级...........................................................................................................................16

3.4 密码恢复...................................................................................................................................16

3.5 常用监控维护命令...................................................................................................................17

Juniper SRX 防火墙简明配置手册

由、交换、安全性和一系列丰富的网络服务。目前 Juniper 公司的全系列路由器产品、交换机

产品和 SRX 安全产品均采用统一源代码的 JUNOS 操作系统，JUNOS 是全球首款将转发与控

制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS 作为电信级产品的精髓是

Juniper 真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性

和管理特性，JUNOS 软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

基于 NP 架构的 SRX 系列产品产品同时提供性能优异的防火墙、 NAT、IPSEC、IPS、SSL

VPN 和 UTM 等全系列安全功能，其安全功能主要来源于已被广泛证明的 ScreenOS 操作系统。

本文旨在为熟悉 Netscreen 防火墙 ScreenOS 操作系统的工程师提供 SRX 防火墙参考配

置，以便于大家能够快速部署和维护 SRX 防火墙，文档介绍 JUNOS 操作系统，并参考

ScreenOS 配置介绍 SRX 防火墙配置方法，最后对 SRX 防火墙常规操作与维护做简要说明。

一、JUNOS 操作系统介绍

1.1 层次化配置结构

JUNOS 采用基于 FreeBSD 内核的软件模块化操作系统，支持 CLI 命令行和 WEBUI 两种接

1.2 JunOS 配置管理

JUNOS 通过 set 语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate

Config）等待管理员提交确认，管理员通过输入 commit 命令来提交配置，配置内容在通过

SRX 语法检查后才会生效，一旦 commit 通过后当前配置即成为有效配置（Active config）。另

外，JUNOS 允许执行 commit 命令时要求管理员对提交的配置进行两次确认，如执行 commit

confirmed 2 命令要求管理员必须在输入此命令后 2 分钟内再次输入 commit 以确认提交，否则 2

分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对 SRX 的远程连接风险。

在执行 commit 命令前可通过配置模式下 show 命令查看当前候选配置（Candidate Config），

在执行 commit 后配置模式下可通过 run show config 命令查看当前有效配置（Active config）。

此外可通过执行 show | compare 比对候选配置和有效配置的差异。

相关配置不生效，并可通过执行 activate security nat/commit 使 NAT 配置再次生效。

SRX 通过 set 语句来配置防火墙，通过 delete 语句来删除配置，如 delete security nat 和 edit

security nat / delete 一样，均可删除 security 防火墙层级下所有 NAT 相关配置，删除配置和

ScreenOS 不同，配置过程中需加以留意。

1.3 SRX 主要配置内容

部署 SRX 防火墙主要有以下几个方面需要进行配置：

System ： 主 要 是 系 统 级 内 容 配 置 ， 如 主 机 名 、 管 理 员 账 号 口 令 及 权 限 、 时 钟 时 区 、

Syslog、SNMP、系统级开放的远程管理服务（如 telnet）等内容。

Interface:接口相关配置内容。

Security: 是 SRX 防火墙的主要配置内容，安全相关部分内容全部在 Security 层级下完成配置，