juniper srx防火墙-nat实际现网配置实例

Junipersrx550建⽴NAT端⼝映射⼀、Juniper srx 550建⽴NAT端⼝映射公司Juniper srx 550路由器，因为很少去设置，所以怕到时设置时步骤⼜给忘记了，这⾥做个备注，以便⽇后查NAT配置界⾯介绍：Rule Name：对该NAT的命名（不影响配置）；Source Address：对源地址的限制（可以不填，若要限制可以在Policy处设置）。

Deatination Address & Port：外⽹地址，对应的外⽹地址端⼝。

Actions：设置NAT的⾏为；⼆、配置⽅式1、配置NAT①、配置NAT内部终端映射端⼝。

选择NAT-----Deastination NAT-----Deastination NAT Pool-----add设置Pool的名字，以及内部终端IP，需要放出去的端⼝。

返回Destination Rule Set，配置NAT映射。

在r1规则中建⽴NAT映射，选择右下⾓的Add①输⼊Rule Name（不影响配置）；②对应的外⽹地址，已经映射的外⽹端⼝。

③在右⽅选择Do Destination NAT With Pool，并选择之前建⽴的Deastination NAT Pool这⾥注意下，有可能在保存的时候要求填source address，可先将0.0.0.0 :32 添加进去，保存成功后在删除⼆、以上为⽌NAT已经配好，但是还需要配置Policy,才能让外⾯的终端访问成功。

①、添加地址本，路径选择Security----Policy Elements----Address Book------点击右上⾓的Add分别填写，内⽹终端的相关信息，所在的防⽕墙Zone，地址名称（不影响配置），内⽹终端的IP地址。

②、添加服务端⼝路径选择：Security----Policy Elements----Applications------点击右上⾓的Add填写服务名称（不影响设置），使⽤协议，已经对应的端⼝。

前言、版本说明 (3)一、界面菜单管理 (5)2、WEB管理界面 (6)（1）Web管理界面需要浏览器支持Flash控件。

(6)（2）输入用户名密码登陆： (7)（3）仪表盘首页 (7)3、菜单目录 (10)二、接口配置 (16)1、接口静态IP (16)2、PPPoE (17)3、DHCP (18)三、路由配置 (20)1、静态路由 (20)2、动态路由 (21)四、区域设置Zone (23)五、策略配置 (25)1、策略元素定义 (25)2、防火墙策略配置 (29)3、安全防护策略 (31)六、地址转换 (32)1、源地址转换-建立地址池 (33)2、源地址转换规则设置 (35)七、VPN配置 (37)1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (38)2、建立第一阶段IKE策略 (39)3、建立第一阶段IKE Gateway (40)4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (41)5、建立第一阶段IKE策略 (42)6、建立VPN策略 (43)八、Screen防攻击 (46)九、双机 (48)十、故障诊断 (49)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9.6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本（CPU持续保持在60%以上，甚至90%）9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：rootsrx240-1%输入cli命令进入JUNOS访问模式：rootsrx240-1% clirootsrx240-1>输入configure进入JUNOS配置模式：rootsrx240-1% clirootsrx240-1> configureEntering configuration mode[edit]rootsrx240-1#防火墙至少要进行以下配置才可以正常使用：(1)设置root密码（否则无法保存配置）(2)开启ssh/telnet/http服务(3)添加用户（root权限不能作为远程telnet，可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面（1）Web管理界面需要浏览器支持Flash控件。

Juniper SRX防火墙简明配置手册目录一、 JUNOS 操作系统介绍 (3)1.1层次化配置结构 (3)1.2 JunOS 配置管理 (4)1.3 SRX 主要配置内容 (4)二、 SRX 防火墙配置说明 (5)2.1初始安装 (5)2.1.1登陆 (5)2.1.2设置 root 用户口令 (9)2.1.3JSRP 初始化配置 (9)2.1.4设置远程登陆管理用户 (14)2.1.5远程管理 SRX相关配置 (15)2.1.6ZONE 及相关接口的配置 (15)2.2 Policy (16)2.3 NAT (17)2.3.1Interface based NAT (18)2.3.2Pool based Source NAT (18)2.3.3Pool base destination NAT (19)2.3.4Pool base Static NAT (20)2.4 IPSEC VPN (21)2.5 Application and ALG (22)三、 SRX 防火墙常规操作与维护 (22)3.1单机设备关机 (22)3.2单机设备重启 (23)3.3单机操作系统升级 (23)3.4双机模式下主备 SRX 关机 (23)3.5双机模式下主备设备重启 (24)3.6双机模式下操作系统升级 (24)3.7双机转发平面主备切换及切换后恢复 (25)3.8双机控制平面主备切换及切换后恢复 (25)3.9双机模式下更换备SRX (25)3.10双机模式下更换主SRX (26)3.11双机模式更换电源 (27)3.12双机模式更换故障板卡 (27)3.13配置备份及还原方法 (27)3.14密码修改方法 (28)3.15磁盘文件清理方法 (28)3.16密码恢复 (28)3.17常用监控维护命令 (29)四、 SRX 防火墙介绍 (31)Juniper SRX防火墙简明配置手册SRX系列防火墙是 Juniper 公司基于 JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

SRX NATSRX的NAT配置与ScreenOS显著不同，为保证系统的灵活性，SRX把NAT配置从安全策略里剥离出来，单独成为一个层次：即在SRX JUNOS中安全策略只负责控制业务数据的转发与否，NAT策略只控制业务数据的源地址和端口的翻译规则，两者各自独立。

SRX的NAT配置分为源地址翻译(source NAT), 目标地址翻译(destination NAT)和静态地址翻译(static NAT)三种，其配置语法都类似，只是nat rule必须被放到rule-set里使用，任意两个zone或任意两个网络逻辑接口之间只允许有一个rule-set。

值得注意的是SRX不会自动为NAT规则生成proxy-arp配置，因此如果NAT地址翻译之后的地址跟出向接口地址不同但在同一网络内时，必须手工配置相应接口proxy-arp以代理相关IP地址的ARP查询回应，否则下一条设备会由于不能通过ARP得到NAT地址的MAC 地址而不能构造完整的二层以太网帧头导致通信失败。

配置：set security nat source rule-set src-nat from zone trustset security nat source rule-set src-nat to zone untrustset security nat source rule-set src-nat rule src-1 match source-address 192.168.1.0/24set security nat source rule-set src-nat rule src-1 then source-nat interfaceset security nat destination pool 10-26-105-172-p1812 address 10.26.105.172/32set security nat destination pool 10-26-105-172-p1812 address port 1812set security nat destination rule-set dst-nat from zone ggsnset security nat destination rule-set dst-nat rule 30 match destination-address 10.0.0.173/32set security nat destination rule-set dst-nat rule 30 match destination-port 1645set security nat destination rule-set dst-nat rule 30 then destination-nat pool 10-26-105-172-p1812 set security nat destination rule-set dst-nat rule 40 match destination-address 10.0.0.173/32set security nat static rule-set static from zone cmnetset security nat static rule-set static rule static-10 match destination-address 211.137.59.27/32set security nat static rule-set static rule static-10 then static-nat prefix 10.26.105.170/32set security nat proxy-arp interface reth2.0 address 211.137.59.27/32set security nat proxy-arp interface reth0.0 address 10.0.0.173/32 或lab@srx210# show securitynat {source {rule-set src {from zone trust;to zone cmnet;rule src-10 {match {source-address 0.0.0.0/0;}then {source-nat {interface;}}}}}destination {pool 10-26-105-172-p1812 {address 10.26.105.172/32 port 1812;}rule-set dst-nat {from zone ggsn;rule 30 {match {destination-address 10.0.0.173/32;destination-port 1645;}then {destination-nat pool 10-26-105-172-p1812;}}static {rule-set static {from zone cmnet;rule static-10 {match {destination-address 211.137.59.27/32;}then {static-nat prefix 10.26.105.170/32;}}proxy-arp {interface reth2.0 {address {211.137.59.27/32;}}interface reth0.0 {address {10.0.0.173/32;}}}}。

Junipersrx100防火墙配置指导#一、初始化安装1。

1设备登录Juniper SRX系列防火墙。

开机之后，第一次必须通过console 口(通用超级终端缺省配置）连接SRX ，输入root 用户名登陆,密码为空，进入到SRX设备之后可以开始加载基线配置。

特别注意:SRX低端系列防火墙，在第一次登陆时，执行命令“show configuration”你会发现系统本身已经具备一些配置内容（包括DNS名称、DHCP服务器等），建议删除这些配置,重新配置. Delete 删除设备开机请直接通过console 连接到防火墙设备Login ： rootPassword : /＊＊＊初始化第一次登陆的时候，密码为空**/Root% cli /**进入操作模式*＊/Root>Root〉 configure /** 进入配置模式＊*/Root# delete /*＊*配置模式执行命令“delete”全局删除所有的系统缺省配置*＊＊/ 1.2 系统基线配置Set system host—name name/***配置设备名称“name”*＊＊/Set system time-zone Asia/Chongqing/＊＊＊配置系统时区＊*＊/Set system root—authentication plain-text-password 输入命令，回车New password: 第一次输入新密码，Retype new password 重新确认新密码/＊**配置系统缺省根账号密码，不允许修改根账号名称“root” *＊＊/注意:root帐号不能用于telnet,但是可以用于web和ssh管理登录到设备S et system login user topsci class super—user authentication plain-text-password New password 输入密码Retype new password 确认密码/**＊创建一个系统本地账号“name“,set system services sshset system services telnetset system services web—management http interface allset systhm services web—management http port 81 interface allset system services web—management https system—generated-certificateset system services web—management https interface all/＊**全局开启系统管理服务，ssh\telnet\http\https＊*＊/set interfacesge-0/0/2unit 0 family inet address 10.10.10。

Juniper SRX防火墙NAT配置简介基于源IP地址的NAT基本的实验拓扑：◆实验前的基本配置◆NAT配置前我们首先保证从Trust路由器可以直接访问Untrust路由器，防火墙的基本配置如下：#初始化化防火墙接口，并将接口划入到相应的Zoneset interfaces ge-0/0/0 unit 0 family inet address 10.1.1.10/24set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.10/24set interfaces ge-0/0/2 unit 0 family inet address 202.100.1.10/24set security zones security-zone trust interfaces ge-0/0/0.0set security zones security-zone DMZ interfaces ge-0/0/1.0set security zones security-zone untrust interfaces ge-0/0/2.0#配置策略明确方向Trust到Untrust的流量set security zones security-zone trust address-book address Inside-local 10.1.1.0/24set security zones security-zone untrust address-book address Untrust-client 202.100.1.0/24set security policies from-zone untrust to-zone trust policy Telnet match source-address Untrust -client set security policies from-zone untrust to-zone trust policy Telnet match destination-address Inside-local set security policies from-zone untrust to-zone trust policy Telnet match application junos-telnetset security policies from-zone untrust to-zone trust policy Telnet then permitset security policies from-zone trust to-zone untrust policy Out match source-address Inside-localset security policies from-zone trust to-zone untrust policy Out match destination-address untrust-client set security policies from-zone trust to-zone untrust policy Out match application anyset security policies from-zone trust to-zone untrust policy Out then permit从Trust路由器telnet到Untrust路由器，检验初始配置上图说明现在我们是直接使用Trust路由地的地址进行访问的◆配置NAT with no-pat#首先配置一个NAT地址池set security nat source pool To-Internet address 202.100.1.150/32 to 202.100.1.151/32 #配置NAT转换策略set security nat source pool To-Internet port no-translation关键字no-pat说明不使用端口转换set security nat source rule-set To-Internet from zone trustset security nat source rule-set To-Internet to zone untrustset security nat source rule-set To-Internet rule Internet match source-address 10.1.1.0/24set security nat source rule-set To-Internet rule Internet then source-nat pool To-Internetset security nat proxy-arp interface ge-0/0/2.0 address 202.100.1.150/32 to 202.100.1.151/32#上图说明我们的地址转换成功了上图说明我们发起的连接的端口没有被转换，只是转换了源地址◆配置NAPT⏹基于地址池的NAPT#首先配置一个NAT地址池set security nat source pool To-Internet address 202.100.1.150/32 to 202.100.1.151/32#配置NAT转换策略set security nat source rule-set To-Internet from zone trustset security nat source rule-set To-Internet to zone untrustset security nat source rule-set To-Internet rule Internet match source-address 10.1.1.0/24set security nat source rule-set To-Internet rule Internet then source-nat pool To-Internetset security nat proxy-arp interface ge-0/0/2.0 address 202.100.1.150/32 to 202.100.1.151/32上图说明我们的NAT策略成功上图说明我们的NAT不仅转换源地址，而且转换了源端口注意:在未启用persistent-nat特性的时候SRX不能够像ASA一样通过show xlate查看转换槽位⏹基于端口的NAPT#在NAT的rule-set下调用Interface关键字启用基于端口的NATset security nat source rule-set To-Internet from zone trustset security nat source rule-set To-Internet to zone untrustset security nat source rule-set To-Internet rule Telnet match source-address 10.1.1.0/24set security nat source rule-set To-Internet rule Telnet then source-nat interface#上图显示我们的NAT的源地址被转换为防火墙的外网口地址上图说明我们的NAT不仅转换源地址，而且转换了源端口⏹产生转换槽位的NAT#调用persistent-nat关键字启用NAT的转换槽位set security nat source pool Internet address 202.100.1.150/32 to 202.100.1.151/32set security nat source rule-set To-Internet from zone trustset security nat source rule-set To-Internet to zone untrustset security nat source rule-set To-Internet rule Telnet match source-address 10.1.1.0/24set security nat source rule-set To-Internet rule Telnet then source-nat pool Internetset security nat source rule-set To-Internet rule Telnet then source-nat pool persistent-nat permit any-remote-hostset security nat proxy-arp interface ge-0/0/3.0 address 202.100.1.150/32 to 202.100.1.151/32persistent-nat的三种模式：any-remote-host 在完成转换后，任意地址的任意都能与转换后的地址互通target-host 在完成转换后，至允许目标地址与转化后的地址互通target-host-port 在完成转换后，只允许目标地址的目标端口与转换后的地址互通上图显示了SRX产生的类似ASA的转换槽位基于目的IP地址的NAT实验网络拓扑如下：实验目标：实现Trust-Client(10.1.1.100)访问202.100.1.200:2323的时候完成对服务器Untrust-server的TELNET的访问实验实际配置步骤：#定义Zone和地址簿set security zones security-zone trust address-book address Trust-local 10.1.1.0/24set security zones security-zone trust interfaces ge-0/0/0.0set security zones security-zone untrust address-book address Untrust-client 202.100.1.0/24set security zones security-zone untrust interfaces ge-0/0/2.0#配置安全策略放行访问流量set security policies from-zone trust to-zone untrust policy Permit-telnet match source-address Trust-localset security policies from-zone trust to-zone untrust policy Permit-telnet match destination-address Untrust-client set security policies from-zone trust to-zone untrust policy Permit-telnet match application junos-telnetset security policies from-zone trust to-zone untrust policy Permit-telnet then permit#进行基于目的IP的NAT配置set security nat destination pool telnet address 202.100.1.100/32set security nat destination pool telnet address port 23set security nat destination rule-set telnet from zone trustset security nat destination rule-set telnet rule telnet match source-address 10.1.1.0/24set security nat destination rule-set telnet rule telnet match destination-address 202.100.1.200/32set security nat destination rule-set telnet rule telnet match destination-port 2323set security nat destination rule-set telnet rule telnet then destination-nat pool telnetset security nat proxy-arp interface ge-0/0/3.0 address 202.100.1.200/32双向NAT⏹配置Trust区域无网关配置的NAT server在实际的工作环境中，有些内网的服务器可能不止一块网卡，而且服务的网关已经设置在了其他的网络，这个时候就需要使用NAT Inbound将外网访问的源地址NAT到服务器同一网段进行解决◆实验网络拓扑：◆实验目标：将Trust-server（10.1.1.100）的TELNET服务映射到202.100.1.200在Trust-server不配置路由的情况下Untrust-client可以访问202.100.1.200的TELNET服务◆实验配置步骤：首先我们先做NAT server将Trust-server的地址映射到外网提供FTP服务#定义Zone和地址簿set security zones security-zone trust address-book address Trust-local 10.1.1.0/24set security zones security-zone trust interfaces ge-0/0/0.0set security zones security-zone untrust address-book address Untrust-client 202.100.1.0/24set security zones security-zone untrust interfaces ge-0/0/2.0#配置安全策略放行访问流量set security policies from-zone untrust to-zone trust policy Permit-Telnet match source-addressUntrust-clientset security policies from-zone untrust to-zone trust policy Permit-Telnet match destination-addressTrust-localset security policies from-zone untrust to-zone trust policy Permit-Telnet match application junos-telnetset security policies from-zone untrust to-zone trust policy Permit-Telnet then permit#配置Untrust静态NAT，完成内网到外网的转换set security nat static rule-set TELNET-SERVER from zone untrustset security nat static rule-set TELNET-SERVER rule SERVER match destination-address202.100.1.200/32set security nat static rule-set TELNET-SERVER rule SERVER match destination-port 23set security nat static rule-set TELNET-SERVER rule SERVER then static-nat prefix 10.1.1.100/32set security nat static rule-set TELNET-SERVER rule SERVER then static-nat prefix mapped-port 23set security nat proxy-arp interface ge-0/0/2.0 address 202.100.1.200/32在服务器配置网关的时候，进行测试如下删除服务器配置网关的时候进行测试如下：客户之所以无法访问内网的服务器，是因为内网服务器没有去往外网的路由条目。

SRX NA T和Policy执行先后顺序为：目的地址转换－目的地址路由查找－执行策略检查－源地址转换。

需注意：Policy中源地址应是转换前的源地址，而目的地址应是转换后的目的地址，即Policy中的源和目的地址应是两端的真实IP地址。

Static为双向NAT，其他类型均为单向NAT。

1.1 Interface based NATNAT：set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat source rule-set 1set security nat source rule-set 1 rule rule1 then source-nat interfacePolicy: set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.2.2 set security policies from-zone trust to-zone untrust policy 1 match destination-address anyset security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定义Policy策略，允许Trust zone 10.1.2.2地址访问Untrust方向任何地址，根据前面的NA T配置，SRX在建立session时自动执行接口源地址转换。

拓扑图：需求：PC1和PC2主机访问http服务走ge-0/0/0（wan1），访问telnet服务走ge-0/0/1（wan2）。

其余走ge-0/0/0（wan1）。

配置过程：第一步，创建路由实例(routing-instance)set routing-instances wan1 instance-type forwardingset routing-instances wan1 routing-options static route 0.0.0.0/0 next-hop 202.100.1.1set routing-instances wan2 instance-type forwardingset routing-instances wan2 routing-options static route 0.0.0.0/0 next-hop 202.100.2.1wan1：路由实例的名称forwarding：路由实例的类型PS：每一个路由实例可以理解为一个单独的路由转发表。

第二步：设置路由信息组（rib-groups）set routing-options rib-groups routing_table_group import-rib inet.0set routing-options rib-groups routing_table_group import-rib wan1.inet.0set routing-options rib-groups routing_table_group import-rib wan2.inet.0说明：routing_table_group：路由信息组名称wan1.inet.0：如果wan1的话，它的路由转发表的命名就是wan1.inet.0，是自动生成的。

PS:As the two ISPs are part of inet.0, the rib-group configuration is required to import the directly connected routes of the ISP into the routing-instance. (来自官方解释)意思就是需要将直连的路由输入到路由实例中。