Linux 网络学习之防火墙SRX550

[复制链接]
老菜鸟 发表于 2018-8-14 11:17:40 | 显示全部楼层 |阅读模式
本帖最后由 老菜鸟 于 2018-8-14 11:21 编辑

juniper SRX550 防火墙一、SRX550业务网关
  • 10个固定的Ethernet端口(6个10/100/1000铜缆, 4个SFP),
  • 2个Mini-PIM插槽, 6个GPIM 插槽,或多种GPIM和XPIM组合
    • 支持T1/E1、serial、ADSL2/2+、VDSL、G.SHDSL、DS3/E3、GbE端口; 最多支持52个以太网端口(包括SFP);
    • 40个 交换机端口,提供PoE选项,包括802.3at、PoE+、后向兼容802.3af (或50个非PoE 10/100/1000铜缆端口)、10GbE
  • 内容安全加速器硬件,用于加快IPS和ExpressAV的性能
    • 全面的统一威胁管理(UTM)1 ;防病毒1 , 防垃圾邮件1 , 增强的Web过滤1 , 内容过滤
  • 入侵防御系统1 ,基于用户角色的防火墙和AppSecure1
    • 威胁情报,用于防御与命令和控制(C&C)相关的僵尸网络病毒、Web应用威胁和高级恶意软件,以及基于GeoIP数据的策 略执行
  • 2GB DRAM(默认),2GB CF闪存(默认)
    • 冗余的交流电源选件; 支持PoE的标准交流电源; 250W PoE单电源或500W PoE双电源供电
二、防火墙参数1、最大性能与容量
              操作系统版本                                                            Junos OS 12.1
              防火墙性能(大数据包)                                        5.5 Gbps
              防火墙性能(IMIX)                                               1.7 Gbps
              防火墙 + 路由PPS (64字节)                                  700 Kpps
              防火墙性能3 (HTTP)                                                1.5 Gbps
              IPsec VPN吞吐率(大数据包)                                   1.0 Gbps
              IPsec VPN隧道                                                         2,000
              AppSecure防火墙吞吐率3                                      1.5 Gbps
              IPS(入侵防御系统)                                                 800 Mbps
              防病毒                                                                        300 Mbps (Sophos AV)
              每秒连接数                                                                27,000 3
              最大并发会话数                                                        375 K 5
              DRAM选项                                                               2 GB DRAM
              最大安全策略数                                                        7,256
              支持的最大用户数                                                    无限
2、网络连接     
固定I/O                                                                      6 x 10/100/1000 BASE-T + 4 SFP
I/O插槽                                                            2 x SRX系列 Mini-PIM, 6 x GPIM或 多种GPIM和
业务和路由引擎插槽                                                无
WAN/LAN接口选项                                                参阅订购信息
PoE端口的最大数量                                                最多40个 802.3af/at
(一些SRX型号 提供PoE选项)                             端 口,最大            
USB                                                                            2   
3、路由
              路由(数据包模式) PPS                                              1000Kpps
              BGP实例                                                                   56
              BGP对等体                                                                      192
              BGP路由                                                                   712 K
              OSPF实例                                                                 56
              OSPF路由                                                                 712 K
              RIP v1/v2实例                                                           56
              RIP v2路由                                                                712 K
              静态路由                                                                    712 K
              基于源的路由                                                            有
              基于策略的路由                                                        有         
              等价多径(ECMP)                                                       有
              反向路径转发(RPF                                                    有  
4、IPsec VPN
              并发的VPN隧道                                                      2,000
              隧道接口                                                                    456
              DES(56位), 3DES(168位)和 AES(256位)            有
              MD-5、SHA-1和SHA-2验证                                有
              人工密钥、互联网密钥交换(IKE v1+v2)、      有
公共密钥基础设施(PKI) (X.509)
精确转发保密(DH组)                                               1, 2, 5
防重播攻击                                                                有
动态远程接入VPN                                                   有
IPsec NAT穿越                                                          有
冗余的VPN网关                                                      有
远程接入的用户数量                                                有
5、用户验证和接入控制
第三方用户验证                            RADIUS, RSA SecureID, LDAP
RADIUS记账                                                            有
XAUTH VPN, 基于Web, 802.X验证                    有
PKI 证书要求(PKCS 7和PKCS 10)                 有
支持的证书颁发机构                                                有
6、虚拟化
              安全分区最大数量                                                    96
              虚拟路由器最大数量                                                128
              VLAN最大数量                                                        3,967
7、封装
              PPP/MLPPP                                                                有
              PPPoE                                                                         有
              PPPoA                                                                        有
              MLPPP最大物理接口数                                        12
              帧中继                                                                        有
              MLFR (FRF .15, FRF .16)                                         是
              MLFR最大物理接口数                                            12
              HDLC                                                                       是
8、无线
              CX111 3G/4G LTE网桥支持                                    有
              CX111的Junos/SRX系列管理                                有
              内部的3G ExpressCard插槽支持                            无
              USB 3G支持                                                             无
              支持的最大WLAN接入点数量,采 用AX411   4
              支持的WLA系列接入点和WLC系列                 > 4
控制器数量
9、闪存和内存
              内存 (DRAM)                                                           2 GB (SRX550)
              内存插槽                                                                    2 DIMM
              闪存                                                                            2GB CF,内置
              用于外部存储的USB端口                                      有
10、尺寸和电源
              尺寸(W x H x D)                                                        17.5 x 3.5 x 18.2英寸
                                                                                               (44.4 x 8.8 x 46.2厘米)
              重量(设备和电源)                                                      21.96磅 (9.96千克)
                                                                                                 无接口模块 1个电源
              可在机架上安装                                                        是,2U
              电源(交流)                                            100-240 VAC, 1个
                                                                                                  645W或 2个645W
最大的PoE功率                                                       247W冗余,或 494W
                                                                                    非冗余
              平均功耗                                                                    85 W
              输入频率                                                                    50-60 Hz
              最大电流消耗                                                            7.5 A @ 100 VAC with
                                                                                                  single PSU with PoE,
10.5 A @ 100 VAC with
dual PSU with PoE
              最大浪涌电流                                                            45 A for ½ cycle
              平均散热                                                                    238 BTU/hr
              最大散热                                                                    1,449 BTU/hr
              冗余电源(可热插拔)                                                  有(最大为一 个PSU
                                                                                                  的最大 容量)
              噪声水平 (按照ISO 7779标准)                              51.8 dB

11、环境要求   
              运行温度                                                                    32°至104° F (0°至
                                                                                                  40°C)
              不运行温度                                                                4°至158° F, (-20°至
                                                                                                  70° C)
              湿度(运行时)                                                              10%至90% (非凝露)
              湿度(不运行时)                                                          5%至95% (非凝露)
              平均无故障时间 (Telcordia型)                                9.6年 带冗余电源
三、配置1、内网ip能上网
  SRX550出厂缺省配置默认全部除ge-0/0/0外其他接口属于vlan.0,为二层端口,理论上只要把pc端ip配置为192.168.1.0/24网段的ip,接上防火墙除开ge-0/0/0口外其他接口就可以进行web管理。
  也因此不能直接在接口下配置子接口ip地址,有两种方式解决:1、需要先去switch下vlan选项删除vlan.0后这些端口变成三层口便可以配置ip。2、可以编辑vlan.0下把所属接口下划出来。
  需要注意的是删除了这些口之后先不要commit,先在web界面system properties选项下点击management access 再点击右上的编辑。
打开后选择中间的services 把你想要能通过http或https 进行web管理的子接口添加进去点击OK。
  然后在web界面下选择interface选项,为你想要进行web管理的子接口配置ip,列如ge-0/0/0.0 ip地址:10.254.58.251/24(通过绑定Mac可以上网的外网地址), ipge-0/0/1.0 ip地址:192.168.1.254/24 。
  接口要在区域才能实现功能,即需要在web界面下点开security 下zones/Screens 创建untrust 和trust区域。把ge-0/0/0划入untrst(不信任区域),把ge-0/0/1划入trust(信任区域)。
区域功能设置在host-inbound traffic-zone (区域功能)和host-inbound traffic-interface(端口功能),ssh telnet http https tcp udp 等协议和功能都是在上面放开,两者只要配置其中一个就行,两个都配置就以interface为主。
  然后开始配置NAT地址转换,打开web界面NAT选项,官方文档上写主要以Source为主配置NAT转换,Destination Nat 基于地址池的目标地址转换,这种 NAT 主要用于一对多的 IP 端口转换,类似于 SCREENOS 中的 VIP,常用于内部有多个地址端口要映射到公网,但公网地址又不够用的情况,可以对 IP 和端口同时转换。
  在Source下add 创建一个name名为”tr-to-untr” ,From zone下选择 trust 和to zone下选择untrust 。
  然后在下方rules 点击add 创建要rules name, 在source address and ports 下selected 点击add 增加你要进行转换的源地址网段,按照之前ge-0/0/1的IP地址所以这里可以写192.168.1.0/24进行转换 ,也可以写0.0.0.0/0表示所选区域的所有地址进行转换。
在destination address and ports 右边port选择any,最后在下方Action 动作选择第二个 Do sourec NAT with Egress interface address 进行源动作转换成出接口地址。
  NAT完成之后最后配置策略,也可以配置策略后配置NAT,FZ缺一不可。
选择web界面security下的security policy ,点击add创建新策略。
  policy name建议按照区域走向写,列如 tr-to-untr(表示trust区域去untrust区域) 。然后在policy context 选择zone  From内网网段所在的区域 trust  To 外网网段所在的区域untrust ,source address 选择any ,destinationaddress 选择any 。
  下面source identity不用选,字面意思是源地址身份认证,右边的applications 选择any 表示所有应用,点击OK。
  最后在web界面打开routing 点击static routing 增加一条0.0.0.0/0 next-hop 10.254.58.254,commit提交,此时环境应该是内网网段的IP地址可以上外网
了。
2、基于策略IPsec vpn配置
       群上有涛哥发的官方文档,亲测有效。
基于策略的 VPN 与基于路由的 VPN 相比,无需创建 TUNNEL 接口,也不用创建到对 端的路由,VPN 是绑定到策略上的。
在 CLI 管理方式中的相关配置 在 SRXA 上的配置:
set security ike policy aike mode main
set security ike policy aike proposal-set standard
set security ike policy aike pre-shared-key ascii-text juniper
set security ike gateway gw1 ike-policy aike
set security ike gateway gw1 address 192.168.1.239
set security ike gateway gw1 external-interface ge-0/0/0.0
set security ipsec policy ap2 proposal-set standard
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ike ipsec-policy ap2
set security ipsec vpn vpn1 establish-tunnels immediately
set security policies from-zone trust to-zone untrust policy vpn-policy match source-address LanA
set security policies from-zone trust to-zone untrust policy vpn-policy match destination-address LanB
set security policies from-zone trust to-zone untrust policy vpn-policy match application any
set security policies from-zone trust to-zone untrust policy vpn-policy then permit tunnel ipsec-vpn vpn1
set security policies from-zone trust to-zone untrust policy vpn-policy then permit tunnel pair-policy vpn-policy
set security policies from-zone untrust to-zone trust policy vpn-policy match source-address LanB
set security policies from-zone untrust to-zone trust policy vpn-policy match destination-address LanA
set security policies from-zone untrust to-zone trust policy vpn-policy match application any
set security policies from-zone untrust to-zone trust policy vpn-policy then permit tunnel ipsec-vpn vpn1
set security policies from-zone untrust to-zone trust policy vpn-policy then permit tunnel pair-policy vpn-policy
set security zones security-zone trust address-book address LanA 172.16.1.0/24
set security zones security-zone untrust address-book address LanB 172.17.1.0/24
在 SRX210B 上做相应的变更

本人英语;P附上翻译
authentication algorithm 认证算法
alarms 警报
aggregation 聚合
authentication 身份验证
authentication 身份验证
CLI tools 工具
class of service 类的服务
class of service 类的服务
chassis cluster 底层集群
dashboard 指示板
description 描述
identification 身份
monitor 监控
maintain 维护
policies 策略
received 收到了
resource utilization 资源利用率
severity 严重程度
security resources 安全资源
sessions 会话system properties 系统属性
troubleshoot 进行故障排除
wizards 向导
本文源自需求购置使用时,本人有幸测试调试之后发文笔记,欢迎交流批评。
若有损任何人和组织利益请联系本人删除。联系方式QQ2646140471。




上一篇:Linux 常用服务器Dell raid操作。
下一篇:Linux v>7 关闭防火墙seLinux命令(短)

本版积分规则

QQ|Archiver|手机版|小黑屋|RD之家 - 研发工程师的伊甸园 ( 京ICP备18037383号 )
360导航 360安全浏览器 蚂蚁搜索 速搜全球 酷帝网站目录 搜狗导航 114啦网址导航

GMT+8, 2018-9-22 09:29

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表