Juniper SRX3000工程开工指导书

Juniper防火墙工程开通指导书

后，启用 ge-0/0/0 上的 SNMP 可管理性，它是此前已绑定到 Trust 区段上的接口。这是 SNMP 管理器应用程序用来与安全设备中的 SNMP 代理通信的接口。

WebUI

CLI

set snmp community public authorization read-write set snmp trap-group \set snmp trap-group \

set snmp trap-group \

set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services snmp （在需要与snmpserver通讯的接口打开SNMP服务） commit

2.1.4日期/时间/NTP配置方法

Juniper Networks 安全设备应始终设置成正确的时间，这一点很重要。首先，为确保设备始终维持正确的时间，必须将系统时钟设置为当前时间.

日期和时间

通过 CLI，使用以下命令手动输入日期和时间，来设置时钟 :

run set date YYYYMMDDhhmm.ss /***设置系统时钟***/ set system time-zone Asia/Shanghai /***设置时区为上海***/

网络时间协议

为确保安全设备始终保持正确时间，可以使用“网络时间协议”(NTP) 通过互联网来同步系统时钟与 NTP 服务器的时钟。您可以手动同步.

第17页

Juniper防火墙工程开通指导书

配置NTP 服务器 CLI

set system ntp server 192.168.0.189

set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ntp commit

手工与NTP server 同步:

>set date ntp 192.168.0.155

2.1.5其它基本参数配置

set system host-name SRX3400-A /***设置主机名***/

如图可以看到硬件、软件、串号、主机名等信息。

CLI

查看版本

lab> show version Model: srx3600

JUNOS Software Release [10.2R3.10]

查看硬件信息：

lab> show chassis hardware detail Hardware inventory:

Item Version Part number Serial number Description Chassis AB2310AA0016 SRX 3600

Midplane REV 08 710-020310 AABH8129 SRX 3600 Midplane

第18页

Juniper防火墙工程开通指导书

PEM 0 rev 08 740-027644 G087FB000B08P AC Power Supply PEM 1 rev 08 740-027644 G087FB001308P AC Power Supply CB 0 REV 16 750-021914 AAAW8561 SRX3k RE-12-10 Routing Engine BUILTIN BUILTIN Routing Engine

ad0 977 MB SILICONSYSTEMS UDMA 1GB C940319128721BJ2F003 Compact Flash ad2 15392 MB Wintec SSD 16GB WT1027AA016007A Hard Disk

CPP BUILTIN BUILTIN Central PFE Processor Mezz REV 08 710-021035 AAAV3620 SRX3k HD Mezzanine Card FPC 0 REV 13 750-021882 AABA6495 SRX3k SFB 12GE

PIC 0 BUILTIN BUILTIN 8x 1GE-TX 4x 1GE-SFP FPC 8 REV 12 750-016077 AABK1756 SRX3k SPC PIC 0 BUILTIN BUILTIN SPU Cp-Flow FPC 10 REV 14 750-017866 AABJ2552 SRX3k NPC PIC 0 BUILTIN BUILTIN NPC PIC FPC 12 REV 14 750-017866 AABE7477 SRX3k NPC PIC 0 BUILTIN BUILTIN NPC PIC

Fan Tray 0 REV 06 750-021599 AAAR5096 SRX 3600 Fan Tray

三、防火墙特性功能

3.1.1配置安全区域

首次启动安全设备时，默认没有任何区域。默认建立的区 创建trust 区段 。 CLI

set security zones security-zone trust

删除区段 CLI

delete security zones security-zone trust

3.1.2 Policy策略配置

定义地址薄

SRX 服务网关地址对象需要自定义后才可以在策略中进行引用,默认只有any 对象,必须先在相关zone的地址薄里创建地址薄对象，再在安全策略里引用这些对象。address-book还支持创建address-set来包含多个离散的地址，以方便策略引用

建立Trust区域的address-book

set security zones security-zone trust address-book address pc-1 20.1.1.200/32 set security zones security-zone trust address-book address pc-2 20.1.1.210/32 建立Trust区域的address-set（地址组，组名为pc-group）

第19页

Juniper防火墙工程开通指导书

set security zones security-zone trust address-book address-set pc-group address pc-1

set security zones security-zone trust address-book address-set pc-group address pc-2

建立Untrust区域的address-book

set security zones security-zone Untrust address-book address web-server 200.1.1.2/32

set security zones security-zone Untrust address-book address mail-server 210.1.1.2/32

建立Untrust区域的address-set

set security zones security-zone Untrust address-book address-set Inter-group address web-server

set security zones security-zone Untrust address-book address-set Inter-group address mail-server

删除地址 CLI

Delete security zones security-zone trust address-book address pc-1

关于服务 预定义服务

SRX安全策略里不允许直接使用协议号，源端口，目标端口来匹配业务应用，只能使用[application]下系统预定义的应用类型或用户自定义的业务类型。系统预定义的业务类型名字都是以”junos-“开头的。如下：

root# show groups junos-defaults applications application ? Possible completions:

Application name any Application name junos-aol Application name junos-bgp Application name junos-biff Application name junos-bootpc Application name junos-bootps Application name junos-chargen Application name junos-cvspserver Application name junos-dhcp-client Application name junos-dhcp-relay Application name junos-dhcp-server Application name junos-discard Application name junos-dns-tcp Application name

第20页