因應學校於2020年更換防火牆,發現自己什麼都不懂。四年保固期到期後,也就是2024年過保後,學校防火牆設定就要自己來。想到這點,自己就害怕。到時學校又有新的需求,需要修改防火牆設定。那我要如何變更設定呢?
那我就開始找資料,進行資料整理。將資料整理的過程,整理在自己的Blogger上。
那我就開始整理資料來源1。現在將整理的資料呈現在下方:
那我就開始找資料,進行資料整理。將資料整理的過程,整理在自己的Blogger上。
那我就開始整理資料來源1。現在將整理的資料呈現在下方:
SRX是一個非常靈活的安全平台,您可以通過多種方式連接到SRX系列產品,進行配置與管理的工作,正因為SRX是一個基於Junos操作系統的產品,這也意味著您可以通過Console控制台埠(port),CLI 命令列介面,設備的Web介面(也就是J-Web),也可以使用Junos Space Security Director或者Contrail Services Orchestrator 這種集中管理平台進行管理,還可以例如Sky Enterprise這樣的雲端管理系統進行管理,更進一步,SRX還支持更加靈活的自動化維運工具,例如Python或者Ruby這樣的自動化腳本等。
上述提到的配置方式,在第一次使用時仍需要初始化的配置,並不是所有的配置和管理都能通過所有介面登入(login)來實現,因此,理解每一個管理方式將有助於根據自己的環境選擇最適合的方式。
如之前所提,本書主要集中在J-Web的配置和管理,但是其他的管理方式也同樣有其用武之地。
通過Console Port 控制台埠
每一個SRX實體防火牆不管從大到小,都會有一個RJ45的控制台埠,通過使用專用的全反序列埠連接線連接您的電腦到控制台服務,這個連接不需要任何的初始化設置,並且登入的介面就是CLI,這種連接方式沒有任何的限制,這種連接配置也是所有設備管理中最簡單也是最有效的配置,通常現場配置或者在緊急的備份登入環境下往往就是使用這個配置。要想使用這種連接,您需要一根控制線,一個有控制埠的PC(埠或者USB轉接頭),PC上執行一個終端模擬軟體。
附註:我們往往在現場配置中使用console方式,同時因為console配置沒有任何限制,所以,在配置完成後,建議配置登入驗證的密碼,來防止未經授權的登入配置行為。
通過CLI進行連接(命令列介面)
通過console埠可以進入CLI(命令列介面),您也可以通過網路埠以及任何其他段埠telnet或者ssh的當時,一樣可以進入CLI模式,但是前提是須要給設備的埠配置一個可以登入的IP位址。如果您準備使用IP位址進行登入管理,您可以使用一個標準的網路線直接連接設備,也可以通過遠端的方式進行登入管理(當然,設備同樣需要一個遠端的登入IP位址)。
通常情況下,當通過console進行初始化配置之後,大多數管理員都會通過配置SSH來允許遠端的訪問,通過CLI可以配置很多遠端訪問的管理,在本書的後面章節我們將會進一步描述。CLI通過遠端登入或者console登入的方式基本一致。
注:部分高端SRX除了console之外還會有專用的控制埠,這個埠稱為fxp0,通常存在SRX的控制平面上,不能用於轉發用戶數據(為了防止受數據平面流量的影響,所以fxp0專門用於轉發控制數據),在SRX的文件上可以看到那個埠會作為fxp0成為專用的管理埠。
通過GUI J-Web進行連接
J-Web在新的SRX產品中重新設計,在新的Web頁面下,您可以利用瀏覽器登入設備,通過圖形化的介面完成大部分的管理工作,這個功能在所有的SRX設備(實體或者虛擬化防火牆)上均可支持。
通過J-Web連接和CLI連接類似,需要一些初始的配置(例如IP位址和子網遮罩,以及開啟服務),當位址和服務配置完成後,就可以使用圖形化介面進行配置了。
Junos Space Security Director 進行集中管理
Junos Space Security Director(後續簡稱SD)是詹博網路提供的集中管理SRX產品的工具。如果您有數百上千台的SRX的話,您就需要考慮使用SD進行簡化管理和監控的工作,通過一些簡單的點擊,您就可以把配置的變更推送到整個網路的SRX設備上,將複雜的管理簡化。
SD的部署,配置與操作可能需要另一本教材來做描述,當然,在官網上有專門的文件供您參考。本書只是介紹這個產品的基本組件和功能。
如果您已經使用SD開始管理您的第一台SRX,您需要為SRX配置一個IP位址並且開啟管理服務,然後使用SD進行搜索和管理防火牆的工作,當SD找到這個IP位址之後,就可以將防火牆導入到SD的管理介面中進行管理。
出於功能設計的考慮,SD並不適合於類似單一設備排障的工作(在設備本身進行檢查),但是從另一個方面,SD卻可以集中地對安全事件,日誌和策略的分析進行統一的管理,對所有安全設備進行監控,創建自定義的IPS策略和應用簽名,批次推送配置,將您的網路保持在最佳化的安全狀態。
雲端管理:Juniper Sky Enterprise
為了給客戶更簡單的部署和管理Juniper設備的方式,Juniper提供了一種雲端的管理工具-
Sky Enterprise
作為一個雲端服務功能,Sky Enterprise可以幫助管理員降低軟體維護窗口的時間和遠端管理的成本,該解決方案提供了一個集中管理的架構和統一用戶介面,提供諸如零接觸線上(ZTP),設備配置和監控等功能。
軟體定義廣域網路SD-WAN,安全和網路功能虛擬化(NFV)管理:Contrail服務編排
Contrail服務編排是一個用於網路中部署SD-WAN和網路功能虛擬化(NFV),管理SRX和NFX設備的管理平台。可以支持零接觸上線(ZTP),軟體定義廣域網路,和NFV設備服務鍊的配置。
第一次連接SRX
當剛剛拆開包裝,並且已經將設備上架後,您可以使用很多不同的方法(控制線,ZTP或者精靈模式)來完成初始化的配置,本書主要聚焦在使用J-Web的精靈模式,但是也提供CLI的配置命令,來供您在使用控制線配置的時候參考。
通過J-Web連接您的SRX
通過圖形介面(J-Web)連接您的SRX並且開始執行精靈操作。通過網路線連接到您的電腦和SRX的管理埠。把您的網卡位址配置為192.168.1.2 子網路遮罩為255.255.255.0;打開瀏覽器,輸入網址:https://192.168.1.1。
如果您想使用GUI進行初始化連接,可以直接跳過到第三章,如果使用console進行介面的初始化配置,可以繼續閱讀。
重要注意,本書中使用ge-0/0/0連接內部服務器網路,使用ge-0/0/2連接DMZ,使用ge-0/0/3連接互聯網,您的網路環境可能和這裡並不相同,也可能是使用ge-0/0/0作為廣域網連接,在SRX系列產品中,並沒有WAN埠或者LAN埠的說法,每個埠都是同樣的功能。
使用控制埠(Console Port)連接到您的SRX
通過控制線連接到您的電腦和SRX,打開終端模擬程式,例如Windows的超級終端,選擇序列埠連接,在設置上參考如下參數:
Bits per second:9600; Data bits:8; Parity: None; Stop bits: 1.
Flow control: None.
如果是Mac終端,您需要一個USB序列埠轉換頭,安裝必要的驅動後,可以通過如下命令開啟,首先找到序列埠的埠號:
macOSX:user$ cd /dev
macOSX:user$ ls -ltr /dev/*usb*
crw-rw-rw- 1 root wheel 10, 66 Jan 2 23:46 tty. USA19H142P1.1
然後使用這個命令開啟埠:
macOSX:user$ screen /dev/tty. USA19H142P1.1 9600
登入完成後,就可以開始進行後續的初始化配置。
設備初始化配置
1.使用 root 登入,不需要輸入密碼
2.鍵入 cli 開始 CLI輸入
3.鍵入 configure 進入配置模式
4.設置root 密碼,命令如下(注意,必須使用plain-text-password參數,密碼顯示將會是密碼),鍵入兩次密碼之後,設置生效
set system root-authentication plain-text-password
5.鍵入 commit 提交配置
6.設置SRX 主機名
set system host-name (name of the device)
EX:set system host-name skjh-vsrx
7.這是埠位址:
set interfaces interface name unit 0 family inet address (IP address/prefix-length)
EX:set interfaces ge-0/0/0 unit 0 family inet address 192.168.3.1/24
8.配置預設路由:
set routing-options static route 0.0.0.0/0 next-hop (gateway IP)
EX:set routing-options static route 0.0.0.0/0 next-hop 192.168.3.254
9.配置基本的安全Zone 並綁定對應埠
set security zones security-zone Trust interfaces ge-0/0/0
set security zones security-zone Internet interfaces ge-0/0/3
10.允許信任埠開啟必要服務
set security zones security-zone Trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all
11.配置基本策略
set security policies from-zone Trust to-zone Internet policy (policy-name) match source-address any destination-address any application any
set security policies from-zone Trust to-zone Internet policy (policy-name) then permit
12.創建NAT策略
set security nat source rule-set (ruleset-name) from zone Trust set security nat source rule-set (ruleset-name) to zone Internet
set security nat source rule-set (ruleset-name) rule (rule-name) match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set (ruleset-name) rule (rule-name) then source-nat interface
13.commit 提交配置
注意,如上是CLI的簡單配置,對於配置的每一個步驟,在後面的章節都會有延伸描述。
資料來源:
1.第一天就上手: SRX 系列防火墙基本和高级安全配置
1.第一天就上手: SRX 系列防火墙基本和高级安全配置
沒有留言:
張貼留言