JuniperSRX防火墙配备手册一、JUNOS操作系统简介1.1层次化配备构造JUNOS采用基于FreeBSD内核软件模块化操作系统，支持CLI命令行和WEBUI两种接口配备方式，本文重要对CLI命令行方式进行配备阐明。JUNOSCLI使用层次化配备构造，分为操作（operational）和配备（configure）两类模式，在操作模式下可对当前配备、设备运营状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配备模式，在配备模式下可对各有关模块进行配备并可以执行操作模式下所有命令（run）。在配备模式下JUNOS采用分层分级模块下配备构造，如下图所示，edit命令进入下一级配备（类似unixcd命令）,exit命令退回上一级，top命令回到根级。1.2JunOS配备管理JUNOS通过set语句进行配备，配备输入后并不会及时生效，而是作为候选配备（CandidateConfig）等待管理员提交确认，管理员通过输入commit命令来提交配备，配备内容在通过SRX语法检查后才会生效，一旦commit通过后当前配备即成为有效配备（Activeconfig）。此外，JUNOS容许执行commit命令时规定管理员对提交配备进行两次确认，如执行commitconfirmed2命令规定管理员必要在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配备将自动回退，这样可以避免远程配备变更时管理员失去对SRX远程连接风险。在执行commit命令前可通过配备模式下show命令查看当前候选配备（CandidateConfig），在执行commit后配备模式下可通过runshowconfig命令查看当前有效配备（Activeconfig）。此外可通过执行show|compare比对候选配备和有效配备差别。SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效配备，并可通过执行rolback和commit命令返回到此前配备（如rollback0/commit可返回到前一commit配备）；也可以直接通过执行saveconfigname.conf手动保存当前配备，并执行loadoverrideconfigname.conf/commit调用前期手动保存配备。执行loadfactory-default/commit命令可恢复到出厂缺省配备。SRX可对模块化配备进行功能关闭与激活，如执行deactivatesecuritynat/comit命令可使NAT有关配备不生效，并可通过执行activatesecuritynat/commit使NAT配备再次生效。SRX通过set语句来配备防火墙，通过delete语句来删除配备，如deletesecuritynat和editsecuritynat/delete同样，均可删除security防火墙层级下所有NAT有关配备，删除配备和ScreenOS不同，配备过程中需加以留意。1.3SRX重要配备内容布置SRX防火墙重要有如下几种方面需要进行配备：System：重要是系统级内容配备，如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放远程管理服务（如telnet）等内容。Interface:接口有关配备内容。Security：是SRX防火墙重要配备内容，安全有关某些内容所有在Security层级下完毕配备，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等，可简朴理解为ScreenOS防火墙安全有关内容都迁移至此配备层次下，除了Application自定义服务。Application：自定义服务单独在此进行配备，配备内容与ScreenOS基本一致。routing-options：配备静态路由或router-id等系统全局路由属性配备。二、SRX防火墙配备对照阐明方略解决流程图2.1初始安装2.1.1登陆Console口(通用超级终端缺省配备)连接SRX，root顾客登陆，密码为空login：rootPassword：---JUNOS9.5R1.8built-07-1615:04:30UTCroot%cli//进入操作模式root>root>configure//进入配备模式[edit]Root#2.1.2设立root顾客口令设立root顾客口令root#setsystemroot-authenticationplain-text-passwordroot#newpassword：root123root#retypenewpassword：root123[edit]root#setsystemloginclasssuper-useridle-timeout3设立当前顾客超时时间密码将