SRX防火墙基础介绍(system层级配置)

Juniper SRX采用Junos操作系统,简单介绍Junos的基础操作命令:
set: 建立一个配置(set system hostname srx-test);
delete:删除一个配置(delete system hostname srx-test);
commit: 建立,删除,修改配置都需要保存配置,使生效;
commit check: 检测候选配置的合法性;
show | compare: 查看当前配置与激活配置的区别;

system层级,用于配置防火墙系统配置,在系统配置中涉及用户,远程接入方式,日志等信息的配置:

一、创建用户(修改root用户密码,创建普通用户)

  1. 修改root用户的密码
    admin@SRX# set system root-authentication plain-text-password
    New password:
    Retype new password:

[edit]
admin@SRX#

  1. 创建普通用户
    admin@SRX# set system login user admin class super-user authentication plain-text-password
    New password:
    Retype new password:

[edit]
admin@SRX#

  1. Junos默认的用户权限
    [edit]
    admin@SRX# set system login user admin class ?
    Possible completions:
    <class> Login class
    operator permissions [ clear network reset trace view ]
    read-only permissions [ view ]
    super-user permissions [ all ]
    unauthorized permissions [ none ]
    [edit]
    admin@SRX# set system login user admin class
  2. 查看用户权限
    show cli authorization
  3. 手工配置class分类,并在用户中调试新权限
    set system login class class-test permissions all
    set system login class class-test deny-configuration "shell|configuration|request"

set system login user admin class class-test
set system login user admin authentication encrypted-password "$1$u83mA/sa$aeMk9kBBqyOLRQepJkA2.1"

admin@SRX> show cli authorization
Current user: ‘admin ‘ class ‘class-test‘
Permissions:
admin -- Can view user accounts
.........
all-control -- Can modify any configuration
Individual command authorization:
Allow configuration regular expression: none
Deny configuration regular expression: shell|configuration|request

admin@SRX>

  1. 默认junos远程用户登录网络不会超时,设置10分钟超时
    set system login class super-all idle-timeout 10
    set system login user admin class super-all .....

二、SRX防火墙创建radius认证

  1. SRX防火墙指定radius服务器
    set system radius-server 10.250.0.254 secret "$9$5znCO1hKMXtuMX7-2gTz3"
    set system radius-server 10.250.0.254 source-address 10.10.1.1
  2. SRX防火墙指定认证顺序,默认为本地认证
    set system authentication-order radius
    set system authentication-order password

三、SRX防火墙配置NTP时间同步

  1. 配置防火墙的所在地的时区
    set system time-zone Asia/Shanghai
  2. 配置NTP服务器
    set system ntp boot-server 100.100.100.1
    set system ntp server 100.100.100.1 prefer
    set system ntp source-address 10.10.1.1

注:当有多个NTP Server存在是,使用prefer优先选择

admin@SRX> set date ntp 100.100.100.1 强制NTP同步

  1. 配置NTP认证
    set system ntp authentication-key 1 type md5
    set system ntp authentication-key 1 value "$9$g8aGiP5FApBk.pBIEeK4aZ"
    set system ntp server 100.100.100.1 key 1 /单个server指定认证
    set system ntp trusted-key 1 /
    所有Server指定认证
  2. 查看NTP同步状态
    show ntp associations
    show ntp status

四、防火墙开启远程访问服务

  1. 开启防火墙服务
    set system services ftp
    set system services ssh
    set system services telnet
    set system services web-management http
    set system services web-management https system-generated-certificate
  2. 对服务进行优化
    (1)FTP、Telent、SSH
    set system services ftp connection-limit 10
    set system services ftp rate-limit 10
    set system services ssh root-login deny
    set system services telnet connection-limit 10
    set system services telnet rate-limit 10

    (2)WEB
    set system services web-management management-url admin
    set system services web-management http
    set system services web-management https port 8443
    set system services web-management https system-generated-certificate
    set system services web-management https interface ge-0/0/0.0

  3. 在防火墙zone下开启所有服务的,否则不能访问防火墙,包括(radius和ntp协议等)
    host-inbound-traffic:允许管理流量到达防火墙自身
    [edit security zones security-zone trust]
    admin@SRX# set host-inbound-traffic system-services ?
    Possible completions:
    all All system services
    bootp Bootp and dhcp relay-agent service
    dhcp Dynamic Host Configuration Protocol
    dhcpv6 Enable Dynamic Host Configuration Protocol for IPv6
    dns DNS service
    ftp FTP
    http Web management service using HTTP
    https Web management service using HTTP secured by SSL
    ike Internet Key Exchange
    ntp Network Time Protocol service
    ping Internet Control Message Protocol echo requests
    snmp Simple Network Management Protocol service
    snmp-trap Simple Network Management Protocol traps
    ssh SSH service
    telnet Telnet service
    tftp TFTP

[edit security zones security-zone trust]
admin@SRX# set host-inbound-traffic protocols ?
Possible completions:
all All protocols
bfd Bidirectional Forwarding Detection
bgp Border Gateway Protocol
dvmrp Distance Vector Multicast Routing Protocol
igmp Internet Group Management Protocol
msdp Multicast Source Discovery Protocol
nhrp Next Hop Resolution Protocol
ospf Open Shortest Path First
ospf3 Open Shortest Path First version 3
pgm Pragmatic General Multicast
pim Protocol Independent Multicast
rip Routing Information Protocol
ripng Routing Information Protocol next generation
sap Session Announcement Protocol
vrrp Virtual Router Redundancy Protocol
或者还有防火墙策略中放行

五、SNMP简单管理协议(v2c)

  1. snmp基础配置:
    set snmp community public authorization read-only
  2. snmp trap配置:
    set snmp trap-group test categories chassis
    set snmp trap-group test categories chassis-cluster
    set snmp trap-group test categories configuration
    set snmp trap-group test categories link
    set snmp trap-group test categories routing
    set snmp trap-group test categories service
    set snmp trap-group test categories startup
    set snmp trap-group test targets 100.100.100.1

六、系统日志配置
Junos的控制日志,可以给日志服务器、写在日志文件中、或者直接输出在CLI中
set system syslog archive size 1m
set system syslog archive world-readable
set system syslog user * any emergency
set system syslog host 10.10.1.100 any notice
set system syslog host 10.10.1.100 authorization info
set system syslog file messages any notice
set system syslog file messages authorization info
set system syslog file interactive-commands interactive-commands any
set system syslog console any warning
set system syslog time-format year
set system syslog source-address 10.10.1.1

set system syslog file messages match "!(kernel time sync enabled)" /*过滤日志

Junos数据平面日志,将生成的session状态信息发送给日志服务器
set security log mode stream
set security log mode stream
set security log source-address 10.10.1.1
set security log stream log severity notice
set security log stream log host 10.10.1.10

七、设置console的参数
set system ports console log-out-on-disconnect
set system ports console disable
以上为Junos防火墙的基础配置,请参考!

原文地址:https://blog.51cto.com/ciscosyh/2362455

时间: 2024-11-08 13:26:15

SRX防火墙基础介绍(system层级配置)的相关文章

Juniper老司机经验谈(SRX防火墙NAT与策略篇)视频课程上线了

继前面的<Juniper老司机经验谈(SRX防火墙优化篇)>之后,Juniper老司机经验谈(SRX防火墙NAT与策略篇)第二部视频课程也录制上线了 1.两个课程完全独立又相结合, SRX防火墙优化篇是针对防火墙双机.配置优化内容. SRX防火墙NAT与策略篇则是针对防火NAT.策略内容 . 两部除了前几4单节基础理论与模拟环境搭建部分一样外,其他内容完全不重叠. 2.本课程内容: 大家在QQ群.论坛里经常提的问题,许多人对SRX使用中NAT\策略问题不是很理解,实际工作中碰见太多问题,惹出了

Juniper老司机经验谈(SRX防火墙优化篇)视频课程上线了

大家在QQ群.论坛里经常提的问题,许多人对SRX双机不是很理解,实际工作中碰见太多问题,惹出了少少麻烦. 针对这个我录制了一个Juniper老司机经验谈(SRX防火墙优化篇)视频课程,上线了.只有9块钱,象征性收费,几天卖出了50多份. 主要内容如下: 1 juniper模拟器使用(windows篇) [免费观看] 40分钟 本章节介绍windows环境下,juniper模拟器的部署.为学习实验做好准备. 2 juniper模拟器使用(MAC篇) 17分钟 本章节介绍在MAC BOOK下,jun

Juniper SRX防火墙HA配置

一.实验环境介绍1)vsrx 12.1X47-D20.7 二.实验拓扑 vSRXA1与vSRXA2之间建议Chassis Clusterge-0/0/0为带外管理接口(系列默认,不可改)ge-0/0/1为control-link(系统配置,不可改)ge-0/0/4为data-link(手工配置,可改)control-link与data-link采用背靠背的连接方式. 在低端的SRX防火墙带外管理接口.控制接口.数据接口都是业务接口.在高端的SRX防火墙管理接口.控制接口即为专用接口,只有数据接口

Linux防火墙基础知识及配置

Linux防火墙基础知识 Linux的防火墙正确的来说并不算是防火墙,只是一种防火墙的功能体现.我们现在来讲解下Linux的这个防火墙功能的详细解释. Linux的防火墙是由iptables与netfilter两个程序组成的,而iptables是一个单独的程序,netfilter是集成到内核中的一个程序,两个程序合作才能拥有完整的防火墙功能. Iptables的功能是向netfiler提供规则,netfilter则是将规则执行起来. Linux防火墙还分为主机防火墙与网络防火墙. 主机防火墙:工

lvs基础介绍及实验演示

LVS基础介绍 LVS是Linux Virtual Server的简写,意即Linux虚拟服务器,是一个开源的软件,可以基于软件的方法实现LINUX平台下的负载均衡,由章文嵩博士于1998年5月研发,是中国国内最早出现的自由软件项目之一. LVS集群采用IP负载均衡技术和基于内容请求分发技术.调度器具有很好的吞吐率,将请求均衡地转移到不同的服务器上执行,且调度器自动屏蔽掉服务器的故障,从而将一组服务器构成一个高性能的.高可用的虚拟服务器.整个服务器集群的结构对客户是透明的,而且无需修改客户端和服

mycat基础实验之主从配置读写分离和分表

mycat实验之主从配置读写分离和分表 架构图: 1.实验环境: vmware虚机3个   (虚机太少了,电脑有点吃力,3个虚机只能达到基本的测试) 系统centos7     (实验是关闭防火墙和selinux做的) mysql版本5.7 mycat版本1.6 虚机名字和ip: mysql1 192.168.211.138 mysql2 192.168.211.139 mysql3 192.168.211.142 mycat安装在mysql1(192.168.211.138) 这台主机须能够解

MySQL基础环境_安装配置教程(Windows7 64或Centos7.2 64、MySQL5.7)

MySQL基础环境_安装配置教程(Windows7 64或Centos7.2 64.MySQL5.7) 安装包版本 1)     VMawre-workstation版本包 地址: https://my.vmware.com/web/vmware/details?downloadGroup=WKST-1411-WIN&productId=686&rPId=20814 包名:VMware-workstation-full-12.5.7.20721.exe 2)     Windows版本包

Linux防火墙基础与编写防火墙规则

Iptables采用了表和链的分层结构,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,raw表,mangle表,nat表,filter表,每个表容器内包括不同的规则链,根据处理数据包的不同时机划分为五种链,而决定是否过滤或处理数据包的各种规则,按先后顺序存放在各规则链中. 1.防火墙:内核中具有包过滤体系 内核态:netfilter 用户态:iptables  管理工具 工作在网络层:可以对ip地址.端口.协议等信息进行处理 2.规则链:规则的集合 五种链:(必须大

Yeslab 华为安全HCIE七门之-防火墙基础(12篇)

Yeslab 全套华为安全HCIE七门之第二门防火墙基础(12篇),第一门课论坛很早就有了,可自行下载,后面的陆续分享给大家. 华为安全HCIE-第二门-防火墙基础(12篇)\1_网络安全简述.avi华为安全HCIE-第二门-防火墙基础(12篇)\2_华为安全认证体系及相关产品介绍.avi华为安全HCIE-第二门-防火墙基础(12篇)\3_防火墙互联技术.avi华为安全HCIE-第二门-防火墙基础(12篇)\4_防火墙初始化配置.avi华为安全HCIE-第二门-防火墙基础(12篇)\5_安全策略