Первоначальная настройка Juniper SRX. Серия SRX 100, SRX 210,SRX 240

Первоначальная настройка фаерволов Juniper. Настройка ОС Junos для моделей Juniper Серия SRX 100, SRX 210, SRX 240



Полезная ссылка: О нас и наших клиентах

 

 

 

Первоначальная настройка Juniper SRX 100 , Juniper SRX 210, Juniper SRX 240 . Поскольку оборудование SRX работает под. управлением ОС Junos, то конфигурация ниже применима ко всей линейки оборудования SRX.

Первое, что необходимо сделать это войти в режим конфигурации оборудования(без пароля) с помощью CLI команд и удалить текущую конфигурацию:

root@R1> edit !! команда для захода в режим конфигурации

Entering configuration mode

 

[edit]

root@R1# delete !! команда удаления текущей конфигурации оборудования Juniper SRX 

This will delete the entire configuration

Delete everything under this level? [yes,no] (no) yes

 

Проверим, удалилась ли *старая* конфигурация:

[edit]

root@R1# show !! команда просмотра конфигурации

 

[edit]

root@R1#

 

Полезная ссылка: Сетевые администраторы Juniper

Без установки пароля, Junos запрещает совершить конфигурировать оборудование:

root@R1# set system root-authentication plain-text-password

New password:

Retype new password:

Команды добавления имени оборудования, конфигурации SSH аутентификации, команда добавления пользователя:

[edit]

root@R1# set system host-name R1 !! задаем имя оборудования

 

[edit]

root@R1# set system services ssh !! настройка SSH аутентификации

 

root@R1# set system login user admin2 class super-user full-name "Admin 2" authentication plain-text-password !! добавляем пользователя Admin 2 с правами super-user

New password:

Retype new password:

 

Для того, что бы применить текущую конфигурацию необходимо ввести команды:

root@R1# commit check !!проверяет, правильно ли мы ввели конфигурацию, если нет, то выдает ошибку

root@R1# commit !! подтверждаем применение конфигурации

 

Проверка текущей конфигурации:

[edit]

Admin2@R1# show | display set !! команда показывает все введенные команды с текстом set

set system host-name R1

set system root-authentication encrypted-password "$1$rqnMR5or$EkGp.o9TcDxXVtPvmRgqp0"

set system login user admin2 full-name "Chris Jones"

set system login user admin2 class super-user

set system login user admin2 authentication encrypted-password "$1$p2RMgNSM$GDlMyrBX05TIaYFwfhz9l."

set system services ssh

 

Создаем интерфейс управления подсети. Для этого используем виртуальный маршрутизатор для того, чтобы держать управление маршрутами отдельно от основного RIB. В этом случае, наше управление сетью 10.255.255.0/24 с шлюзом по умолчанию 10.255.255.254

Настраиваем интерфейс (fe-0/0/7.0 в данном случае) и назначаем IP-адрес:

[edit]

admin2@R1# set interfaces fe-0/0/7 unit 0 family inet address 10.255.255.1/24

 

Создаем виртуальный роутер и прикрепляем интерфейс fe-0/0/7.0 к данному роутеру:

[edit]

admin2@R1# set routing-instances MANAGEMENT instance-type virtual-router interface fe-0/0/7.0

 

Создаем статический маршрут по умолчанию в виртуальном роутере MANAGEMENT:

[edit]

admin2@R1# set routing-instances MANAGEMENT routing-options static route 0.0.0.0/0 next-hop 10.255.255.254

 

ПРИМЕЧАНИЕ: В виртуальном роутере конфигурация иерархическая, например, OSPF конфигурация будет в разделе " routing-instances protocols ospf ".

Проверяем текущие настройки Juniper SRX 100:

[edit]

admin2@R1# show

## Last changed: 2011-08-08 21:56:40 UTC

system {

host-name R1;

root-authentication {

encrypted-password "$1$rqnMR5or$EkGp.o9TcDxXVtPvmRgqp0"; ## SECRET-DATA

}

login {

user admin2 {

full-name "Chris Jones";

class super-user;

authentication {

encrypted-password "$1$p2RMgNSM$GDlMyrBX05TIaYFwfhz9l."; ## SECRET-DATA

}

}

}

services {

ssh;

}

}

interfaces {

fe-0/0/7 {

unit 0 {

family inet {

address 10.255.255.1/24;

}

}

}

}

routing-instances {

MANAGEMENT {

instance-type virtual-router;

interface fe-0/0/7.0;

routing-options {

static {

route 0.0.0.0/0 next-hop 10.255.255.254;

}

}

}

}

[edit]

admin2@R1# show | display set

set system host-name R1

set system root-authentication encrypted-password "$1$rqnMR5or$EkGp.o9TcDxXVtPvmRgqp0"

set system login user admin2 full-name "Chris Jones"

set system login user admin2 class super-user

set system login user admin2 authentication encrypted-password "$1$p2RMgNSM$GDlMyrBX05TIaYFwfhz9l."

set system services ssh

set interfaces fe-0/0/7 unit 0 family inet address 10.255.255.1/24

set routing-instances MANAGEMENT instance-type virtual-router

set routing-instances MANAGEMENT interface fe-0/0/7.0

set routing-instances MANAGEMENT routing-options static route 0.0.0.0/0 next-hop 10.255.255.254

 

Добавляем untrust (outside) и trust (inside) интерфейсы. Наша связь с ISP через интерфейс ge-0/0/1 IP адрес 1.2.2.2/30 IP адрес шлюза по умолчанию 1.2.2.1, и внутренний интерфейс ge-0/0/2 с внутренней сетью 10.0.0.1/24:

[edit]

admin2@R1# set interfaces ge-0/0/1 unit 0 family inet address 1.2.2.2/30

[edit]

admin2@R1# set interfaces ge-0/0/2 unit 0 family inet address 10.0.0.1/24

 

Создаем маршрут по умолчанию:

[edit]

admin2@R1# set routing-options static route 0.0.0.0/0 next-hop 1.2.2.1

 

Примечение: пакетный режим передачи данных работает на большинстве маршрутизаторов Juniper (M/MX, and older J-Series).

Настройка Juniper SRX 100 на пакетный режим передачи данных:

delete security

set security forwarding-options family inet6 mode packet-based

set security forwarding-options family mpls mode packet-based

 

Для того, что бы SRX будь-то 100 серия, 210 или 240 серия работал как фаервол, необходимо настроить политики безопасности. Для этого необходимо создать зоны . В данном примере создадим две зоны UNTRUST and TRUST.

[edit]

admin2@R1# set security zones security-zone UNTRUST interfaces ge-0/0/1.0

[edit]

admin2@R1# set security zones security-zone TRUST interfaces ge-0/0/2.0

 

Зона UNTRUST назначается на внешний интерфейс, который смотрит на ISP, зона TRUST на внутренний интерфейс, который смотрит на внутренние сети.

Следующий шаг, создаем политику безопасности. Если у вас в зоне TRUST отсутствуют сервисы, которым нужен доступ в Internet, то настройки по умолчанию из зоны UNTRUSTà TRUST это запрет всего трафика. Это настройки политики безопасности SRX по умолчанию.

Что бы разрешить прохождения трафика из зоны TRUST в Internet (UNTRUST) необходимо создать политику безопасности. В примере указано пропустить весь исходящий трафик.

[edit]

admin2@R1# set security policies from-zone TRUST to-zone UNTRUST policy PERMIT_ALL match source-address any destination-address any application any

[edit]

admin2@R1# set security policies from-zone TRUST to-zone UNTRUST policy PERMIT_ALL then permit

 

В нашем случае мы еще добавим политику intra-zone трафика между зонами TRUST- TRUST (хотя в данной конфигурации у нас используется только один интерфейс):

[edit]

admin2@R1# set security policies from-zone TRUST to-zone TRUST policy PERMIT_ALL match source-address any destination-address any application any

[edit]

admin2@R1# set security policies from-zone TRUST to-zone TRUST policy PERMIT_ALL then permit

 

Теперь у нас трафик начинает ходить между внутренней сетью и Internet, но в Junos есть особенность, вы не сможете пропинговать интерфейс, потому что по умолчанию пинг закрыт, нам необходимо позволить входящий трафик протокола ping в зоне TRUST. Команда для пингования интерфейсов в TRUST зоне:

[edit]

admin2@R1# set security zones security-zone TRUST host-inbound-traffic system-services ping

 

Также можно использовать host-inbound-traffic более конкретно. Как пример используется трафик протокола OSPF.

[edit]

admin2@R1# set security zones security-zone TRUST interfaces ge-0/0/2.0 host-inbound-traffic system-services ping

 

[edit]

admin2@R1# set security zones security-zone TRUST interfaces ge-0/0/2.0 host-inbound-traffic protocols ospf

 

Примечание: host-inbound-traffic полностью перекрывает zone-level настройки, что означает, что необходимы настройки протокола ping и OSPF на interface-level.

Добавить возможность отправлять трафик SSH на интерфейс управления.

[edit]

admin2@R1# set security zones security-zone MANAGEMENT interfaces fe-0/0/7.0 host-inbound-traffic system-services ssh

 

Теперь добавим NAT на Juniper SRX 100, 210, 240

Создаем простой NAT из всей TRUST зоны в IP адрес UNTRUST интерфейса ge-0/0/1.0 :

[edit]

admin2@R1# set security nat source rule-set ALL_TRUST from zone TRUST

 

[edit]

admin2@R1# set security nat source rule-set ALL_TRUST to zone UNTRUST

 

[edit]

admin2@R1# set security nat source rule-set ALL_TRUST rule RULE_1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0

 

[edit]

admin2@R1# set security nat source rule-set ALL_TRUST rule RULE_1 then source-nat interface

 

Посмотрим настройки NAT :

admin2@R1# show security nat

source {

rule-set ALL_TRUST {

from zone TRUST;

to zone UNTRUST;

rule RULE_1 {

match {

source-address 0.0.0.0/0;

destination-address 0.0.0.0/0;

}

then {

source-nat {

interface;

}

}

}

}

}

 

[edit]

admin2@R1# show security nat | display set

set security nat source rule-set ALL_TRUST from zone TRUST

set security nat source rule-set ALL_TRUST to zone UNTRUST

set security nat source rule-set ALL_TRUST rule RULE_1 match source-address 0.0.0.0/0

set security nat source rule-set ALL_TRUST rule RULE_1 match destination-address 0.0.0.0/0

set security nat source rule-set ALL_TRUST rule RULE_1 then source-nat interface

 

Вся секция безопасности Juniper SRX:

[edit]

admin2@R1# show security

nat {

source {

rule-set ALL_TRUST {

from zone TRUST;

to zone UNTRUST;

rule RULE_1 {

match {

source-address 0.0.0.0/0;

destination-address 0.0.0.0/0;

}

then {

source-nat {

interface;

}

}

}

}

}

}

policies {

from-zone TRUST to-zone UNTRUST {

policy PERMIT_ALL {

match {

source-address any;

destination-address any;

application any;

}

then {

permit;

}

}

}

}

zones {

security-zone UNTRUST {

interfaces {

ge-0/0/1.0;

}

}

security-zone TRUST {

host-inbound-traffic {

system-services {

ping;

}

}

interfaces {

ge-0/0/2.0 {

host-inbound-traffic {

system-services {

ping;

}

protocols {

ospf;

}

}

}

}

}

security-zone MANAGEMENT {

interfaces {

fe-0/0/7.0 {

host-inbound-traffic {

system-services {

ssh;

}

}

}

}

}

}

 

[edit]

admin2@R1# show security | display set

set security nat source rule-set ALL_TRUST from zone TRUST

set security nat source rule-set ALL_TRUST to zone UNTRUST

set security nat source rule-set ALL_TRUST rule RULE_1 match source-address 0.0.0.0/0

set security nat source rule-set ALL_TRUST rule RULE_1 match destination-address 0.0.0.0/0

set security nat source rule-set ALL_TRUST rule RULE_1 then source-nat interface

set security policies from-zone TRUST to-zone UNTRUST policy PERMIT_ALL match source-address any

set security policies from-zone TRUST to-zone UNTRUST policy PERMIT_ALL match destination-address any

set security policies from-zone TRUST to-zone UNTRUST policy PERMIT_ALL match application any

set security policies from-zone TRUST to-zone UNTRUST policy PERMIT_ALL then permit

set security zones security-zone UNTRUST interfaces ge-0/0/1.0

set security zones security-zone TRUST host-inbound-traffic system-services ping

set security zones security-zone TRUST interfaces ge-0/0/2.0 host-inbound-traffic system-services ping

set security zones security-zone TRUST interfaces ge-0/0/2.0 host-inbound-traffic protocols ospf

set security zones security-zone MANAGEMENT interfaces fe-0/0/7.0 host-inbound-traffic system-services ssh

Вот вся первоначальная настройка оборудования Juniper SRX 100 , Juniper SRX 210, Juniper SRX 240

[edit]

admin2@R1# show

## Last changed: 2011-08-08 22:35:43 UTC

system {

host-name R1;

root-authentication {

encrypted-password "$1$rqnMR5or$EkGp.o9TcDxXVtPvmRgqp0"; ## SECRET-DATA

}

login {

user admin2 {

full-name "Chris Jones";

class super-user;

authentication {

encrypted-password "$1$p2RMgNSM$GDlMyrBX05TIaYFwfhz9l."; ## SECRET-DATA

}

}

}

services {

ssh;

}

}

interfaces {

ge-0/0/1 {

unit 0 {

family inet {

address 1.2.2.2/30;

}

}

}

ge-0/0/2 {

unit 0 {

family inet {

address 10.0.0.1/24;

}

}

}

fe-0/0/7 {

unit 0 {

family inet {

address 10.255.255.1/24;

}

}

}

}

security {

nat {

source {

rule-set ALL_TRUST {

from zone TRUST;

to zone UNTRUST;

rule RULE_1 {

match {

source-address 0.0.0.0/0;

destination-address 0.0.0.0/0;

}

then {

source-nat {

interface;

}

}

}

}

}

}

policies {

from-zone TRUST to-zone UNTRUST {

policy PERMIT_ALL {

match {

source-address any;

destination-address any;

application any;

}

then {

permit;

}

}

}

}

zones {

security-zone UNTRUST {

interfaces {

ge-0/0/1.0;

}

}

security-zone TRUST {

host-inbound-traffic {

system-services {

ping;

}

}

interfaces {

ge-0/0/2.0 {

host-inbound-traffic {

system-services {

ping;

}

protocols {

ospf;

}

}

}

}

}

security-zone MANAGEMENT {

interfaces {

fe-0/0/7.0 {

host-inbound-traffic {

system-services {

ssh;

}

}

}

}

}

}

}

routing-instances {

MANAGEMENT {

instance-type virtual-router;

interface fe-0/0/7.0;

routing-options {

static {

route 0.0.0.0/0 next-hop 10.255.255.254;

}

}

}

}

 

[edit]

admin2@R1# show |display set

set system host-name R1

set system root-authentication encrypted-password "$1$rqnMR5or$EkGp.o9TcDxXVtPvmRgqp0"

set system login user admin2 full-name "Chris Jones"

set system login user admin2 class super-user

set system login user admin2 authentication encrypted-password "$1$p2RMgNSM$GDlMyrBX05TIaYFwfhz9l."

set system services ssh

set interfaces ge-0/0/1 unit 0 family inet address 1.2.2.2/30

set interfaces ge-0/0/2 unit 0 family inet address 10.0.0.1/24

set interfaces fe-0/0/7 unit 0 family inet address 10.255.255.1/24

set security nat source rule-set ALL_TRUST from zone TRUST

set security nat source rule-set ALL_TRUST to zone UNTRUST

set security nat source rule-set ALL_TRUST rule RULE_1 match source-address 0.0.0.0/0

set security nat source rule-set ALL_TRUST rule RULE_1 match destination-address 0.0.0.0/0

set security nat source rule-set ALL_TRUST rule RULE_1 then source-nat interface

set security policies from-zone TRUST to-zone UNTRUST policy PERMIT_ALL match source-address any

set security policies from-zone TRUST to-zone UNTRUST policy PERMIT_ALL match destination-address any

set security policies from-zone TRUST to-zone UNTRUST policy PERMIT_ALL match application any

set security policies from-zone TRUST to-zone UNTRUST policy PERMIT_ALL then permit

set security zones security-zone UNTRUST interfaces ge-0/0/1.0

set security zones security-zone TRUST host-inbound-traffic system-services ping

set security zones security-zone TRUST interfaces ge-0/0/2.0 host-inbound-traffic system-services ping

set security zones security-zone TRUST interfaces ge-0/0/2.0 host-inbound-traffic protocols ospf

set security zones security-zone MANAGEMENT interfaces fe-0/0/7.0 host-inbound-traffic system-services ssh

set routing-instances MANAGEMENT instance-type virtual-router

set routing-instances MANAGEMENT interface fe-0/0/7.0

set routing-instances MANAGEMENT routing-options static route 0.0.0.0/0 next-hop 10.255.255.254

Проверка правильности ввода команд:

[edit]

admin2@R1# commit check

configuration check succeeds

Применение данных команд:

[edit]

admin2@R1# commit and-quit

commit complete

Exiting configuration mode

 

admin2@R1>

И еще последнее, команды мониторинга сетевых атак из зоны UNTRUST в TRUST.

set security screen ids-option untrusted-internet icmp ping-death
set security screen ids-option untrusted-internet ip bad-option
set security screen ids-option untrusted-internet ip spoofing
set security screen ids-option untrusted-internet ip source-route-option
set security screen ids-option untrusted-internet ip unknown-protocol
set security screen ids-option untrusted-internet ip tear-drop
set security screen ids-option untrusted-internet tcp syn-flood alarm-threshold 1024
set security screen ids-option untrusted-internet tcp syn-flood attack-threshold 200
set security screen ids-option untrusted-internet tcp syn-flood source-threshold 1024
set security screen ids-option untrusted-internet tcp syn-flood destination-threshold 2048
set security screen ids-option untrusted-internet tcp syn-flood queue-size 2000
set security screen ids-option untrusted-internet tcp syn-flood timeout 20
set security screen ids-option untrusted-internet tcp land
set security screen ids-option untrusted-internet udp flood threshold 1000

Удачной настройки SRX!

 

Полезные ссылки

Услуги по настройке оборудования Juniper SRX, Juniper NetScreen, Juniper SSG

Услуги по настройке оборудования Cisco ASA, Cisco PIX

 

 



Обновлен 12 июл 2014. Создан 29 мар 2013



  Комментарии       
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником

____

______
Яндекс.Метрика