Juniper SRX路由器命令配置手册

Juniper SRX配置手册目录一、JUNOS操作系统介绍 (3)1.1 层次化配置结构 (3)1.2 JunOS配置管理 (3)1.3 SRX主要配置内容 (4)二、SRX防火墙配置对照说明 (5)2.1 初始安装 (5)2.1.1 登陆 (5)2.1.2 设置root用户口令 (5)2.1.3 设置远程登陆管理用户 (5)2.1.4 远程管理SRX相关配置 (6)2.2 Policy (6)2.3 NAT (7)2.3.1 Interface based NAT (7)2.3.2 Pool based Source NAT (8)2.3.3 Pool base destination NAT (9)2.3.4 Pool base Static NAT (10)2.4 IPSEC VPN (10)2.5 Application and ALG (12)2.6 JSRP (12)三、SRX防火墙常规操作与维护 (14)3.1 设备关机 (14)3.2 设备重启 (15)3.3 操作系统升级 (15)3.4 密码恢复 (15)3.5 常用监控维护命令 (16)Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

前言、版本说明 (3)一、界面菜单管理 (5)2、WEB管理界面 (6)（1）Web管理界面需要浏览器支持Flash控件。

(6)（2）输入用户名密码登陆： (7)（3）仪表盘首页 (7)3、菜单目录 (10)二、接口配置 (16)1、接口静态IP (16)2、PPPoE (17)3、DHCP (18)三、路由配置 (20)1、静态路由 (20)2、动态路由 (21)四、区域设置Zone (23)五、策略配置 (25)1、策略元素定义 (25)2、防火墙策略配置 (29)3、安全防护策略 (31)六、地址转换 (32)1、源地址转换-建立地址池 (33)2、源地址转换规则设置 (35)七、VPN配置 (37)1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (38)2、建立第一阶段IKE策略 (39)3、建立第一阶段IKE Gateway (40)4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (41)5、建立第一阶段IKE策略 (42)6、建立VPN策略 (43)八、Screen防攻击 (46)九、双机 (48)十、故障诊断 (49)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9.6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本（CPU持续保持在60%以上，甚至90%）9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：rootsrx240-1%输入cli命令进入JUNOS访问模式：rootsrx240-1% clirootsrx240-1>输入configure进入JUNOS配置模式：rootsrx240-1% clirootsrx240-1> configureEntering configuration mode[edit]rootsrx240-1#防火墙至少要进行以下配置才可以正常使用：(1)设置root密码（否则无法保存配置）(2)开启ssh/telnet/http服务(3)添加用户（root权限不能作为远程telnet，可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面（1）Web管理界面需要浏览器支持Flash控件。

前言、版本说明 (2)一、界面菜单管理 (4)2、WEB管理界面 (4)（1）Web管理界面需要浏览器支持Flash控件。

(4)（2）输入用户名密码登陆： (4)（3）仪表盘首页 (5)3、菜单目录 (7)二、接口配置 (12)1、接口静态IP (12)2、PPPoE (13)3、DHCP (14)三、路由配置 (16)1、静态路由 (16)2、动态路由 (16)四、区域设置Zone (18)五、策略配置 (20)1、策略元素定义 (20)2、防火墙策略配置 (22)3、安全防护策略 (25)六、地址转换 (26)1、源地址转换-建立地址池 (26)2、源地址转换规则设置 (27)七、VPN配置 (30)1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (30)2、建立第一阶段IKE策略 (31)3、建立第一阶段IKE Gateway (32)4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (33)5、建立第一阶段IKE策略 (34)6、建立VPN策略 (35)八、Screen防攻击 (37)九、双机 (38)十、故障诊断 (38)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9.6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本（CPU持续保持在60%以上，甚至90%）9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：root@srx240-1%输入cli命令进入JUNOS访问模式：root@srx240-1% cliroot@srx240-1>输入configure进入JUNOS配置模式：root@srx240-1% cliroot@srx240-1> configureEntering configuration mode[edit]root@srx240-1#防火墙至少要进行以下配置才可以正常使用：(1)设置root密码（否则无法保存配置）(2)开启ssh/telnet/http服务(3)添加用户（root权限不能作为远程telnet帐户，可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面（1）Web管理界面需要浏览器支持Flash控件。

Juniper路由器配置命令介绍Juniper路由器配置命令介绍⒈系统配置命令⑴ `set system hostname`：设置设备的主机名。

⑵ `set system domn-name`：设置设备的域名。

⑶ `set system login user`：设置设备的登录用户信息。

⒉接口配置命令⑴ `set interfaces interface-name unit logical-unit-number family inet address ip-address/subnet-mask`：配置接口的IP地址和子网掩码。

⑵ `set interfaces interface-name unit logical-unit-number family inet6 address ipv6-address/prefix-length`：配置接口的IPv6地址和前缀长度。

⑶ `set interfaces interface-name unit logical-unit-number vlan-id vlan-tagged`：配置接口的VLAN标签。

⒊路由配置命令⑴ `set routing-options static route destination next-hop`：配置静态路由。

⑵ `set protocols ospf area area-id`：配置OSPF路由协议。

⒋安全配置命令⑴ `set security zones security-zone zone-nameinterfaces interface-name`：将接口分配给安全区域。

⑵ `set security policies from-zone source-zone to-zone destination-zone policy policy-name then permit`：配置安全策略以允许数据流动。

⒌ VPN配置命令⑴ `set security ike proposal proposal-name authentication-method pre-shared-keys`：配置IKE提议的预共享密钥认证方法。

JUNIPer配置说明〉操作模式#配置模式#show interface#show interface deatil | math fe‐0/0/0>hlpe apropes arp>config ３种模式#edit interface 一层一层配置#up 退出#show |display set （显示所有可刷的命令）#edit security nat source#rename rule‐set trust‐to‐untrust to rule‐set inside‐to‐outside (重命令nat名字) #rollback (恢复到以前的配置，可选５０份)#commit at 201207200800(定时提交)>clear system commit (清除未提交的配置)#commit comment "beyond"（为提交的配置进行说明）# run show system commit（查看提交的配置说明，用于快速恢复的配置） #commit confirmed (十分钟之内不对配置进行确认，自动恢复配置到提交之前) #copy interface ge‐0/0/1 to ge0/0/3 （复制配置）#show system update (查看系统时间)>request system reboot (重启系统)>request system power‐off (关闭系统)#edit sytem login user class ? (设置用户，有４种权限)#edit system service (设置系统服务)#set ssh /telnet /web‐ma….>show system license (查看授权)>request system license add terminal (加载授权信息)> show system processes extensive（查看系统进程）> restart chassis‐control gracefully（重启系统进程）> load update xxx (加载以前的配置文件)run show security flow session summary（查看防火墙会话数）run show security flow session（查看防火墙具体会话数）1, root密码设置set system root‐authentication plain‐text‐passworderpo@66982, 远程登录用户set system login user erpo class super‐user authentication plain‐text‐passworderpo6698３，设置时间run set date 201207091908４，设置时区为上海set system time‐zone Asia/shanghai５，设置主机名set system host‐name FW６，设置ＮＤＳ服和器Set system name‐server 208.67.222.222; 208.67.220.220;７，端口交换机属性设置root@ex2200# edit vlans test #新建vlan名称为testroot@ex2200# set vlan-id 10 #设置vlan idroot@ex2200# set description “Test VLAN” #设置vlan描述root@ex2200# set mac-limit 200 #设置mac数量,范围是(1..65535)，通常可以不配置root@ex2200# set mac-table-aging-time 600 #”设置mac生存时间(秒)，范围是(60-1000000) ”root@ex2200# set l3-interface vlan.10 #”将绑定三层逻辑子端口”root@ex2200# set interface ge-0/0/1.0 #”将端口加入到VLAN中”root@ex2200# set interface ge-0/0/2.0 #”将端口加入到VLAN中”(2)创建三层逻辑子端口root@ex2200# top #”回到最外层菜单”root@ex2200# set interfaces vlan unit 10 family inet address 192.168.1.1/24 #设置网关(3)将交换机端口修改为access模式并加入到新创建的VLAN中root@ex2200# top #”回到最外层菜单”root@ex2200# set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode accessroot@ex2200# set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 10root@ex2200# set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode accessroot@ex2200# set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 10(4)commit提交：root@ex2200#commit８， DHCP 配置(DHCP Server)set system services dhcp pool 192.168.1.0/24 address-range low 192.168.1.33set system services dhcp pool 192.168.1.0/24 address-range high 192.168.1.64et system services dhcp pool 192.168.1.0/24 domain-name set system services dhcp pool 192.168.1.0/24 name-server 192.168.1.1set system services dhcp pool 192.168.1.0/24 router 192.168.1.1set system services dhcp pool 192.168.1.0/24 default-lease-time 3600set security zones security-zone untrust interfaces fe-0/0/5.0 host-inbound-traffic system-services dhcpuser@host# set security zones security-zone untrust interfaces fe-0/0/6.0 host-inbound-traffic system-services dhcp user@host# set interfaces fe-0/0/6 unit 0 family inet address 192.168.1.1/24DHCP设置(DHCP Client)user@host# set interfaces fe‐0/0/7 unit 0 family inet dhcpuser@host# set security zones security‐zone untrust interfaces fe‐0/0/7.0 host‐inbound‐traffic system‐services dhcpDHCP设置（DHCP Relay）user@host# set forwarding‐options helpers bootp description "Global DHCP relay service"user@host# set forwarding‐options helpers bootp server 192.18.24.38user@host# set forwarding‐options helpers bootp maximum‐hop‐count 4user@host# set forwarding‐options helpers bootp interface fe‐0/0/7.0user@host# set security zones security‐zone untrust interfaces fe‐0/0/7 host‐inbound‐traffic system‐services dhcpuser@host# set security zones security‐zone untrust interfaces fe‐0/0/8 host‐inbound‐traffic system‐services dhcp９，接口设置user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.168.20.2/24或者set interfaces ge-0/0/1.0 family inet address 192.168.20.2/249.2 设置区域user@host# set security zones security-zone trustuser@host# set security zones security-zone trust interfaces ge-0/0/1.0…ge-0/0/1.0 host-inbound-traffic system-services http (允许的服务)10, 静态路由user@host# set routing-options static route 10.2.2.0/24 next-hop 10.1.1.254user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.25411,在系统级开启ftp/telnet/http远程接入管理服务Set system services ftpSet system services sshSet system services telnetSet system services web‐management http12, 在untrust zone 打开允许远程登录管理服务Set security zones security‐zone untrnst host‐inbound‐traffic system‐services ssh13,防火墙策略安全设备的缺省行为是拒绝安全区段之间的所有信息流，允许绑定到同一区段的接口间的所有信息流。

SRX WEB模式实验手册前言、版本说明 (2)一、界面菜单管理 (4)2、WEB管理界面 (4)（1）Web管理界面需要浏览器支持Flash控件。

(4)（2)输入用户名密码登陆： (5)（3）仪表盘首页 (5)3、菜单目录 (7)二、接口配置 (11)1、接口静态IP (11)2、PPPoE (13)3、DHCP (13)三、路由配置 (14)1、静态路由 (14)2、动态路由 (15)四、区域设置Zone (16)五、策略配置 (17)1、策略元素定义 (17)2、防火墙策略配置 (20)3、安全防护策略 (23)六、地址转换 (23)1、源地址转换—建立地址池 (24)2、源地址转换规则设置 (25)七、VPN配置 (27)1、建立第一阶段加密建议IKE Proposal (Phase 1） (或者用默认提议). 282、建立第一阶段IKE策略 (29)3、建立第一阶段IKE Gateway (30)4、建立第二阶段加密提议IKE Proposal (Phase 2） (或者用默认提议）315、建立第一阶段IKE策略 (32)6、建立VPN策略 (32)八、Screen防攻击 (34)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9。

6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本(CPU持续保持在60％以上，甚至90%)9。

6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root）、密码(空），显示如下：root＠srx240-1%输入cli命令进入JUNOS访问模式：root@srx240—1％ cliroot@srx240—1〉输入configure进入JUNOS配置模式：root＠srx240—1% cliroot＠srx240-1〉 configureEntering configuration mode[edit]root@srx240-1#防火墙至少要进行以下配置才可以正常使用：(1）设置root密码（否则无法保存配置）（2）开启ssh/telnet/http服务(3）添加用户（root权限不能作为远程telnet帐户,可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面(1）Web管理界面需要浏览器支持Flash控件。

Juniper SRX防火墙配置手册1系统配置 (1)1。

1 配置ROOT帐号密码 (1)1。

2 配置用户名和密码 (2)2接口配置 (7)2。

1 IPV4地址配置 (8)2.2 接口T RUNK模式配置 (12)2。

3 接口A CCESS模式配置 (13)3VLAN配置 (14)3。

1 创建VLAN配置 (14)4路由配置 (18)4。

1 静态路由配置 (20)5自定义应用配置 (21)5。

1 自定义服务配置 (21)5。

2 应用组配置 (22)6地址组配置 (23)6。

1 地址簿配置 (23)6.2 地址组配置 (24)7日程表配置 (26)8NAT配置 (29)8.1 S TATIC NAT配置 (29)1 系统配置1.1 配置root帐号密码首次登陆设备时，需要采用console方式，登陆用户名为:root，密码为空，登陆到cli下以后,执行如下命令，设置root帐号的密码。

root＃ set system root—authentication plain-text—passwordroot# new password ： root123root＃ retype new password： root123密码将以密文方式显示。

注意：必须要首先配置root帐号密码，否则后续所有配置的修改都无法提交。

SRX系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在trust 区域，配置一个ip地址192。

168.1.1,允许ping、telnet、web等管理方式，可以通过该地址登陆设备.登陆后显示页面如下:在该页面上，可以看到设备的基本情况,在左边的chassis view中可以看到端口up/down 情况，在system identification中可以看到设备序列号、设备名称、软件版本等信息，在resource utilization中可以看到cpu、menory、session、存储空间等信息，在security resources中可以看到当前的会话统计、策略数量统计等信息。

简略目录关于本指南 (xxxix)第一部分基于流和基于数据包的处理第一章处理概述 (3)第二章基于流的处理 (11)第三章IPV6基于流的处理 (55)第四章基于数据包的处理 (99)第二部分安全区段和接口第五章安全区段和接口 (127)第三部分通讯簿和地址集第六章通讯簿和地址集 (149)第四部分安全策略第七章安全策略 (163)第八章安全全局策略 (191)第九章安全策略时间表 (199)第十章安全策略应用 (205)第五部分应用层网关第十一章ALG (231)第十二章H.323ALG (239)第十三章用于IKE和ESP的ALG (271)第十四章SIP ALG (281)第十五章SCCP ALG (335)第十六章MGCP ALG (355)第十七章RPC ALG (385)第六部分用户认证第十八章防火墙用户认证 (395)第十九章Infranet认证 (425)Junos OS安全配置指南第七部分虚拟专用网第二十章互联网协议安全性 (453)第二十一章证书公开密钥密码术 (637)第二十二章动态VPN (663)第二十三章组VPN (721)第八部分入侵检测和防护第二十四章IDP策略 (765)第二十五章应用级分布式拒绝服务 (823)第二十六章IDP特征数据库 (835)第二十七章IDP应用识别 (851)第二十八章IDP SSL检查 (859)第二十九章IDP服务类别操作 (865)第三十章IDP性能与容量调整 (873)第三十一章IDP日志记录 (875)第九部分统一威胁管理第三十二章统一威胁管理概述 (891)第三十三章反垃圾邮件过滤 (897)第三十四章完全防病毒保护 (915)第三十五章快速防病毒保护 (971)第三十六章Sophos防病毒保护 (991)第三十七章内容过滤 (1009)第三十八章Web过滤 (1023)第三十九章机箱集群中的统一威胁管理支持 (1061)第十部分攻击检测和防护第四十章攻击检测和防护 (1067)第四十一章侦查威慑 (1069)第四十二章可疑数据包属性 (1097)第四十三章拒绝服务攻击 (1107)第十一部分应用标识第四十四章Junos OS应用标识 (1141)第四十五章应用防火墙 (1167)第四十六章AppTrack应用跟踪 (1177)第四十七章应用服务质量 (1183)第十二部分机箱集群第四十八章机箱集群 (1195)简略目录第十三部分IP监控第四十九章IP监控 (1375)第十四部分网络地址转换第五十章网络地址转换 (1381)第十五部分GPRS第五十一章通用分组无线业务 (1483)第五十二章流控制传输协议 (1539)第十六部分索引索引 (1553)Junos OS安全配置指南目录关于本指南 (xxxix)J系列和SRX系列文档和发行说明 (xxxix)目标 (xxxix)读者..............................................................xl支持的路由平台.....................................................xl文档约定...........................................................xl文档反馈.........................................................xlii请求技术支持.....................................................xlii自助在线工具和资源.............................................xlii使用JTAC打开案例.............................................xlii 第一部分基于流和基于数据包的处理第一章处理概述 (3)Juniper Networks设备处理概述 (3)了解基于流的处理 (4)区段和策略 (4)流和会话 (5)了解基于数据包的处理 (5)无状态防火墙过滤器 (5)服务等级功能 (5)筛选 (6)了解SRX系列服务网关中心点架构 (6)组合模式下的负载分布 (7)在组合模式下共享处理能力和内存 (7)按设备扩展会话容量 (7)在SRX3400或SRX3600设备上扩展会话容量 (8)在SRX5800设备上扩展会话容量 (8)了解中心点会话扩展 (9)在SRX5800设备上恢复缺省的会话容量 (9)验证当前的会话容量 (9)了解J系列服务路由器的状态式和无状态数据处理 (10)第二章基于流的处理 (11)SRX系列服务网关的会话 (11)SRX系列服务网关的会话特征 (11)了解SRX系列服务网关的会话特征 (11)示例：控制SRX系列服务网关的会话终止 (12)示例：禁用SRX系列服务网关的TCP数据包安全检查 (13)示例：为SRX系列服务网关的所有TCP会话设置最大片段大小 (14)了解按策略进行TCP会话检查 (15)Junos OS安全配置指南示例：配置按策略进行TCP数据包安全检查 (16)监控SRX系列服务网关会话 (17)了解如何获取SRX系列服务网关的会话信息 (17)显示所有SRX系列服务网关全局会话参数 (20)显示SRX系列服务网关的会话摘要 (20)显示SRX系列服务网关会话和与会话有关的流信息 (21)显示SRX系列服务网关会话和与特定会话有关的流信息 (21)使用过滤器显示SRX系列服务网关的会话和流信息 (22)SRX系列服务网关的会话日志中提供的信息 (22)清除SRX系列服务网关会话 (26)终止SRX系列服务网关会话 (26)终止SRX系列服务网关的特定会话 (26)使用过滤器指定要终止的SRX系列服务网关会话 (27)SRX5600和SRX5800服务网关处理概述 (27)了解第一个数据包的处理 (28)了解快速路径处理 (29)了解单播会话的数据路径 (30)会话查找和数据包匹配标准 (30)了解会话创建：第一个数据包处理 (30)了解快速路径处理 (32)了解数据包处理 (34)了解服务处理单元 (35)了解时间表的特征 (35)了解网络处理器捆绑 (35)网络处理器捆绑限制 (35)SRX1400、SRX3400和SRX3600服务网关处理概述 (36)参与会话设置的组件 (36)了解单播会话的数据路径 (37)会话查找和数据包匹配标准 (37)了解会话创建：第一个数据包处理 (37)了解快速路径处理 (39)服务卸载概述 (39)示例：在策略中启用服务卸载 (40)SRX210服务网关处理概述 (42)了解流处理和会话管理 (42)了解第一个数据包的处理 (42)了解会话创建 (42)了解快速路径处理 (43)了解J系列服务路由器的状态式和无状态数据处理 (44)J系列服务路由器的会话特征 (44)了解J系列服务路由器的会话特征 (44)示例：控制J系列服务路由器的会话终止 (45)示例：禁用J系列服务路由器的TCP数据包安全检查 (47)示例：调节J系列服务路由器的端到端TCP通信 (48)了解J系列服务路由器的数据路径 (50)了解转发处理 (51)了解基于会话的处理 (51)会话查找 (51)第一个数据包路径处理 (51)目录快速路径处理 (52)了解转发功能 (52)了解主动会话超时 (53)第三章IPV6基于流的处理 (55)了解IP版本6(IPv6) (56)关于IPv6地址空间、编址和地址类型 (56)关于IPv6地址类型以及用于SRX系列服务网关和J系列设备的Junos OS如何使用它们 (57)关于IPv6地址格式 (58)IPv6数据包包头和SRX系列与J系列设备概述 (58)关于IPv6基本数据包包头 (59)了解IPv6数据包包头扩展名 (60)关于由SRX系列和J系列设备的流模块执行的IPv6数据包包头验证 (61)IPv6高级流 (62)了解IPv6双栈Lite (63)示例：配置IPv6双栈Lite (66)了解SRX系列和J系列设备处理ICMPv6数据包的方式 (68)了解用于IPv6数据包的路径MTU消息 (69)了解SRX系列和J系列设备如何处理IPv6流的数据包分片 (70)了解IPv6流会话 (71)了解SRX5600和SRX5800架构和流处理 (71)为IPv6信息流启用基于流的处理 (73)使用过滤器显示SRX系列服务网关的IPv6会话和流信息 (75)IPv6NAT (79)IPv6NAT概述 (79)受IPv6NAT支持的源NAT转换 (79)受IPv6NAT支持的目标NAT映射 (80)受IPv6NAT支持的静态NAT映射 (80)IPv6NAT PT概述 (81)IPv6NAT-PT通信概述 (82)示例：使用缺省目标地址前缀静态映射配置由IPv4发起到IPv6节点的连接 (82)示例：使用静态目标地址一对一映射配置由IPv4发起到IPv6节点的连接 (85)示例：使用缺省目标地址前缀静态映射配置由IPv6发起到IPv4节点的连接 (88)示例：使用静态目标地址一对一映射配置由IPv6发起到IPv4节点的连接 (91)IPv6ALG (94)用于路由、NAT和NAT-PT的IPv6DNS ALG (94)NAT模式下的IPv6DNS ALG信息流 (94)NAT-PT模式下的IPv6DNS ALG信息流 (94)用于路由的IPv6FTP ALG (95)针对IPv6的FTP ALG支持 (95)EPRT模式 (96)EPSV模式 (96)TFTP ALG支持IPv6 (96)了解针对ICMP的IPV6ALG支持 (96)ICMP错误消息 (97)ICMP ALG功能 (97)Junos OS安全配置指南第四章基于数据包的处理 (99)了解基于数据包的处理 (99)了解选择性无状态基于数据包的服务 (100)选择性无状态基于数据包的服务配置概述 (101)示例：配置选择性无状态基于数据包的服务，用于端到端基于数据包的转发 (103)示例：配置选择性无状态基于数据包的服务，用于基于数据包到基于流的转发 (112)了解服务卸载解决方案 (120)服务卸载许可证概述 (122)第二部分安全区段和接口第五章安全区段和接口 (127)安全区段和接口概述 (127)了解安全区段接口 (127)了解接口端口 (128)安全区段 (128)了解功能区段 (128)了解安全区段 (129)示例：创建安全区段 (129)主机入站信息流 (131)了解如何根据信息流类型控制入站信息流 (131)支持的主机入站信息流系统服务 (132)示例：根据信息流类型控制入站信息流 (134)协议 (136)了解如何根据协议控制入站信息流 (136)示例：根据协议控制入站信息流 (137)TCP-Reset参数 (139)了解如何使用TCP-Reset参数识别重复的会话 (139)示例：配置TCP-Reset参数 (139)DNS (140)DNS概述 (141)DNS组件 (141)DNS服务器缓存 (141)示例：配置DNS服务器缓存的TTL值 (141)DNSSEC概述 (142)示例：配置DNSSEC (142)示例：配置DNSSEC密钥 (143)示例：配置DNSSEC安全域和可信任密钥 (143)第三部分通讯簿和地址集第六章通讯簿和地址集 (149)了解通讯簿 (149)预定义地址 (149)通讯簿中的网络前缀 (149)通讯簿中的通配符地址 (150)通讯簿中的DNS名称 (150)了解全局通讯簿 (150)了解地址集 (151)目录配置地址和地址集 (151)地址和地址集 (151)通讯簿和安全区段 (152)通讯簿和安全策略 (152)可用于安全策略的地址 (153)将策略应用于地址集 (153)通讯簿和NAT (154)示例：配置通讯簿和地址集 (155)地址和地址集的限制 (159)第四部分安全策略第七章安全策略 (163)安全策略概述 (163)了解安全策略规则 (165)了解通配符地址 (167)了解安全策略元素 (168)了解自信息流的安全策略 (169)安全策略配置概述 (169)使用防火墙向导配置策略 (170)示例：配置安全策略以允许或拒绝所有信息流 (170)示例：配置安全策略以允许或拒绝选定信息流 (174)示例：配置安全策略以允许或拒绝通配符地址信息流 (178)了解安全策略排序 (181)示例：策略重新排序 (182)安全策略故障排除 (183)检查安全策略提交失败 (183)验证安全策略提交 (184)调试策略查找 (184)监控策略统计信息 (184)匹配安全策略 (185)了解审核日志的搜索和排序 (186)了解数据包流报警和审核 (187)示例：在响应策略违规时生成安全报警 (188)第八章安全全局策略 (191)全局策略概述 (191)示例：配置全局策略 (192)在高端SRX系列设备上定义策略的最佳实践 (194)检查内存状态 (196)第九章安全策略时间表 (199)安全策略时间表概述 (199)示例：配置时间表 (200)验证预定的策略 (202)Junos OS安全配置指南第十章安全策略应用 (205)安全策略应用概述 (205)策略应用集概述 (206)示例：配置应用和应用集 (206)定制策略应用 (208)了解定制策略应用 (208)定制应用映射 (208)示例：添加和修改定制策略应用 (209)示例：定义定制ICMP应用 (210)策略应用超时 (212)了解策略应用超时配置和查找 (212)了解策略应用超时意外情况 (213)示例：设置策略应用超时 (214)了解ICMP预定义策略应用 (215)ICMP不可访问错误的缺省行为 (218)了解与互联网相关的预定义策略应用 (219)了解Microsoft预定义策略应用 (220)了解动态路由协议预定义策略应用 (221)了解流视频预定义策略应用 (222)了解Sun RPC预定义策略应用 (222)了解安全和通道预定义策略应用 (223)了解与IP相关的预定义策略应用 (224)了解即时消息传递预定义策略应用 (224)了解管理预定义策略应用 (225)了解邮件预定义策略应用 (226)了解UNIX预定义策略应用 (227)了解其他预定义策略应用 (227)第五部分应用层网关第十一章ALG (231)ALG概述 (231)了解ALG类型 (232)了解VoIP DSCP重写规则 (233)示例：配置VoIP DSCP重写规则 (234)了解DNS修正 (235)禁用DNS修正（CLI过程） (236)第十二章H.323ALG (239)了解H.323ALG (239)了解Avaya H.323ALG (241)Avaya H.323ALG特有功能 (241)Avaya H.323ALG中的呼叫流详细信息 (241)H.323ALG配置概述 (242)H.323ALG端点注册超时 (243)了解H.323ALG端点注册超时 (243)示例：设置H.323ALG端点注册超时 (243)H.323ALG媒体源端口范围 (244)了解H.323ALG媒体源端口范围 (244)示例：设置H.323ALG媒体源端口范围 (245)H.323ALG DoS攻击保护 (246)了解H.323ALG DoS攻击保护 (246)示例：配置H.323ALG DoS攻击保护 (246)H.323ALG未知消息类型 (247)了解H.323ALG未知消息类型 (247)示例：允许未知H.323ALG消息类型 (248)示例：允许H.323ALG信息流通过专用区段中的关守 (249)示例：允许H.323ALG信息流通过外部区段中的关守 (254)示例：结合使用NAT和H.323ALG来启用内向呼叫 (259)示例：结合使用NAT和H.323ALG来启用外向呼叫 (265)第十三章用于IKE和ESP的ALG (271)了解用于IKE和ESP的ALG (271)了解用于IKE和ESP的ALG操作 (272)示例：配置IKE与ESP ALG (272)示例：启用IKE与ESP ALG并设置超时 (277)第十四章SIP ALG (281)了解SIP ALG (281)SIP ALG操作 (282)SDP会话说明 (283)针孔创建 (283)了解SIP ALG请求方法 (285)SIP ALG配置概述 (286)SIP ALG呼叫持续时间和超时 (286)了解SIP ALG呼叫持续时间和超时 (286)示例：设置SIP ALG呼叫持续时间和超时 (287)SIP ALG DoS攻击保护 (288)了解SIP ALG DoS攻击保护 (289)示例：配置SIP ALG DoS攻击保护 (289)SIP ALG未知消息类型 (290)了解SIP ALG未知消息类型 (290)示例：允许未知SIP ALG消息类型 (291)SIP ALG暂停资源 (292)了解SIP ALG暂停资源 (292)保留SIP ALG暂停资源（J-Web过程） (292)保留SIP ALG暂停资源（CLI过程） (293)SIP ALG和NAT (293)了解SIP ALG和NAT (293)外向呼叫 (294)内向呼叫 (294)已转移呼叫 (295)呼叫终止 (295)呼叫Re-INVITE消息 (295)呼叫会话计时器 (295)呼叫取消 (295)分支 (295)SIP消息 (295)SIP包头 (296)SIP正文 (298)SIP NAT场景 (298)SIP响应的类别 (300)了解使用SIP Registrar和NAT的内向SIP ALG呼叫支持 (302)示例：为内向SIP呼叫配置接口源NAT (303)示例：为内向SIP呼叫配置源NAT池 (308)示例：为内向SIP呼叫配置静态NAT (313)示例：配置专用区段中的SIP代理和公共区段中的NAT (318)示例：配置三区段SIP ALG和NAT场景 (323)验证SIP ALG配置 (330)验证SIP ALG (330)验证SIP ALG呼叫 (330)验证SIP ALG呼叫详细信息 (331)验证SIP ALG计数器 (331)验证SIP ALG消息的速率 (332)第十五章SCCP ALG (335)了解SCCP ALG (335)SCCP安全性 (336)SCCP组件 (336)SCCP客户端 (336)呼叫管理器 (337)集群 (337)SCCP事务 (337)客户端初始化 (337)客户端注册 (337)呼叫设置 (338)媒体设置 (338)SCCP控制消息和RTP流 (338)SCCP消息 (339)SCCP ALG配置概述 (340)SCCP ALG静止媒体超时 (340)了解SCCP ALG静止媒体超时 (340)示例：设置SCCP ALG静止媒体超时 (341)SCCP ALG未知消息类型 (342)了解SCCP ALG未知消息类型 (342)示例：允许未知SCCP ALG消息类型 (342)SCCP ALG DoS攻击保护 (343)了解SCCP ALG DoS攻击保护 (343)示例：配置SCCP ALG DoS攻击保护 (344)示例：在专用区段中配置SCCP ALG呼叫管理器或TFTP服务器 (345)验证SCCP ALG配置 (351)验证SCCP ALG (351)验证SCCP呼叫 (352)验证SCCP呼叫详细信息 (352)验证SCCP计数器 (353)第十六章MGCP ALG (355)了解MGCP ALG (355)MGCP安全性 (356)MGCP中的实体 (356)端点 (356)连接 (356)呼叫 (357)呼叫代理 (357)命令 (357)响应代码 (359)MGCP ALG配置概述 (360)MGCP ALG呼叫持续时间和超时 (360)了解MGCP ALG呼叫持续时间和超时 (361)示例：设置MGCP ALG呼叫持续时间 (361)示例：设置MGCP ALG静止媒体超时 (363)示例：设置MGCP ALG事务超时 (364)MGCP ALG DoS攻击保护 (365)了解MGCP ALG DoS攻击保护 (365)示例：配置MGCP ALG DoS攻击保护 (365)MGCP ALG未知消息类型 (366)了解MGCP ALG未知消息类型 (366)示例：允许未知MGCP ALG消息类型 (367)示例：使用MGCP ALG配置用户家中的媒体网关 (368)示例：使用MGCP ALG和NAT配置ISP托管三区段服务 (375)第十七章RPC ALG (385)了解RPC ALG (385)Sun RPC ALG (385)了解Sun RPC ALG (386)启用Sun RPC ALG（J-Web过程） (386)启用Sun RPC ALG（CLI过程） (387)Sun RPC服务和应用程序 (387)了解Sun RPC服务 (387)自定义Sun RPC应用程序（CLI过程） (388)Microsoft RPC ALG (389)了解Microsoft RPC ALG (389)启用Microsoft RPC ALG（J-Web过程） (389)启用Microsoft RPC ALG（CLI过程） (390)Microsoft RPC服务和应用程序 (390)了解Microsoft RPC服务 (390)自定义Microsoft RPC应用程序（CLI过程） (390)验证Microsoft RPC ALG表 (391)第六部分用户认证第十八章防火墙用户认证 (395)防火墙用户认证概述 (395)传递认证 (396)了解传递认证 (396)示例：配置传递认证 (397)Web认证 (402)了解Web认证 (402)示例：配置Web认证 (404)外部认证 (410)了解外部认证服务器 (410)了解SecurID用户认证 (410)示例：配置RADIUS和LDAP用户认证 (411)示例：配置SecurID用户认证 (415)示例：删除SecurID节点机密文件 (418)用于防火墙认证的客户端组 (419)了解用于防火墙认证的客户端组 (419)示例：为客户端组配置本地用户 (420)防火墙认证标题自定义 (421)了解防火墙认证标题自定义 (421)示例：自定义防火墙认证标题 (422)第十九章Infranet认证 (425)UAC和Junos OS (425)了解Junos OS环境中的UAC (425)在Junos OS环境中启用UAC（CLI程序） (427)Junos OS执行器和IC系列UAC设备通信 (427)了解Junos OS执行器和IC系列UAC设备之间的通信 (427)配置Junos OS执行器和IC系列UAC设备之间的通信（CLI程序） (428)Junos OS执行器策略执行 (429)了解Junos OS执行器策略执行 (430)使用仅测试模式测试Junos OS执行器策略访问决定（CLI程序） (431)验证Junos OS执行器策略执行 (431)显示来自Junos OS执行器的IC系列UAC设备认证表条目 (431)显示来自Junos OS执行器的IC系列UAC设备资源访问策略 (431)Junos OS执行器和IPsec (432)了解使用IPsec的Junos OS执行器实施 (432)示例：将设备配置为使用IPsec的Junos OS执行器(CLI) (433)Junos OS执行器和Infranet代理端点安全 (440)了解使用Infranet代理与Junos OS执行器的端点安全 (440)配置使用Infranet代理与Junos OS执行器的端点安全 (440)Junos OS执行器和捕获门户 (440)了解Junos OS执行器上的捕获门户 (441)了解Junos OS执行器上的捕获门户配置 (442)示例：在Junos OS执行器上创建捕获门户策略 (443)了解捕获门户重定向URL选项 (445)示例：配置捕获门户的重定向URL (446)Junos OS执行器和IC系列UAC设备集群故障切换 (447)了解Junos OS执行器与IC系列UAC设备集群之间的通信 (448)配置Junos OS执行器故障切换选项（CLI程序） (448)第七部分虚拟专用网第二十章互联网协议安全性 (453)VPN概述 (453)IPsec VPN拓扑 (454)比较基于策略的VPN与基于路由的VPN (454)安全关联 (455)IPsec密钥管理 (456)手动密钥 (456)自动密钥IKE (456)Diffie-Hellman交换 (457)IPsec安全协议 (457)AH协议 (457)ESP协议 (458)IPsec通道协商 (458)SRX系列服务网关中的分布式VPN (459)了解IKE和IPsec数据包处理 (459)通道模式下的数据包处理 (459)IKE数据包处理 (461)IPsec数据包处理 (464)了解IKE通道协商的阶段1 (466)主模式 (467)积极模式 (467)了解IKE通道协商的阶段2 (468)代理ID (468)完全向前保密 (469)回放攻击保护 (469)了解互联网密钥交换版本2 (469)基于路由的VPN (470)了解基于路由的IPsec VPN (470)示例：配置基于路由的VPN (471)示例：为IKEv2配置基于路由的VPN (487)基于策略的VPN (503)了解基于策略的IPsec VPN (503)示例：配置基于策略的VPN (503)集中星型VPN (520)了解集中星型VPN (520)示例：配置集中星型VPN (521)NAT穿透 (551)了解NAT-T (551)示例：在仅响应方位于NAT之后时配置基于路由的VPN (552)示例：在发起方和响应方均位于NAT设备之后时配置基于策略的VPN (575)使用VPN向导配置IPsec VPN (600)了解IPv6IKE和IPsec数据包处理 (600)IPv66in6通道模式下的数据包处理 (601)IPv6IKE数据包处理 (601)IPv6IPsec数据包处理 (602)IPv6中的AH协议 (602)IPv6中的ESP协议 (603)IPv6中的完整性校验值(ICV)计算 (603)IPv6通道模式下的包头结构 (603)IPv6IPsec配置概述 (604)示例：配置IPv6IPsec手动VPN (605)示例：配置IPv6自动密钥IKE基于策略的VPN (607)全局SPI和VPN监控功能 (623)了解全局SPI和VPN监控功能 (623)示例：配置全局SPI和VPN监控功能 (623)针对基于路由的VPN的虚拟路由器支持 (624)示例：在虚拟路由器中配置st0接口 (625)了解虚拟路由器限制 (629)了解VPN报警和审核 (629)示例：配置FIPS自检 (631)示例：设置声音警报作为安全报警的通知 (633)示例：生成安全报警以响应潜在的违反情况 (634)第二十一章证书公开密钥密码术 (637)了解证书和PKI (637)证书签名和验证 (638)公开密钥基础 (638)PKI管理和实施 (640)互联网密钥交换 (641)数字证书配置概述 (641)在线启用数字证书：配置概述 (642)手动生成数字证书：配置概述 (642)公钥-私钥对 (643)了解公开密钥密码术 (643)示例：生成公钥-私钥对 (643)CA配置文件 (644)了解证书授权机构配置文件 (644)示例：配置CA配置文件 (645)证书注册 (646)了解在线CA证书注册 (646)使用SCEP在线注册CA证书 (646)示例：使用SCEP在线注册本地证书。