juniper SRX550 防火牆
一、SRX550業務網關
- 10個固定的Ethernet端口(6個10/100/1000銅纜, 4個SFP),
- 2個Mini-PIM插槽, 6個GPIM 插槽,或多種GPIM和XPIM組合
- 支持T1/E1、serial、ADSL2/2+、VDSL、G.SHDSL、DS3/E3、GbE端口; 最多支持52個以太網端口(包括SFP);
- 40個 交換機端口,提供PoE選項,包括802.3at、PoE+、后向兼容802.3af (或50個非PoE 10/100/1000銅纜端口)、10GbE
- 內容安全加速器硬件,用於加快IPS和ExpressAV的性能
- 全面的統一威脅管理(UTM)1 ;防病毒1 , 防垃圾郵件1 , 增強的Web過濾1 , 內容過濾
- 入侵防御系統1 ,基於用戶角色的防火牆和AppSecure1
- 威脅情報,用於防御與命令和控制(C&C)相關的僵屍網絡病毒、Web應用威脅和高級惡意軟件,以及基於GeoIP數據的策 略執行
- 2GB DRAM(默認),2GB CF閃存(默認)
- 冗余的交流電源選件; 支持PoE的標准交流電源; 250W PoE單電源或500W PoE雙電源供電
二、防火牆參數
1、最大性能與容量
操作系統版本 Junos OS 12.1
防火牆性能(大數據包) 5.5 Gbps
防火牆性能(IMIX) 1.7 Gbps
防火牆 + 路由PPS (64字節) 700 Kpps
防火牆性能3 (HTTP) 1.5 Gbps
IPsec VPN吞吐率(大數據包) 1.0 Gbps
IPsec VPN隧道 2,000
AppSecure防火牆吞吐率3 1.5 Gbps
IPS(入侵防御系統) 800 Mbps
防病毒 300 Mbps (Sophos AV)
每秒連接數 27,000 3
最大並發會話數 375 K 5
DRAM選項 2 GB DRAM
最大安全策略數 7,256
支持的最大用戶數 無限
2、網絡連接
固定I/O 6 x 10/100/1000 BASE-T + 4 SFP
I/O插槽 2 x SRX系列 Mini-PIM, 6 x GPIM或 多種GPIM和
業務和路由引擎插槽 無
WAN/LAN接口選項 參閱訂購信息
PoE端口的最大數量 最多40個 802.3af/at
(一些SRX型號 提供PoE選項) 端 口,最大
USB 2
3、路由
路由(數據包模式) PPS 1000Kpps
BGP實例 56
BGP對等體 192
BGP路由 712 K
OSPF實例 56
OSPF路由 712 K
RIP v1/v2實例 56
RIP v2路由 712 K
靜態路由 712 K
基於源的路由 有
基於策略的路由 有
等價多徑(ECMP) 有
反向路徑轉發(RPF 有
4、IPsec VPN
並發的VPN隧道 2,000
隧道接口 456
DES(56位), 3DES(168位)和 AES(256位) 有
MD-5、SHA-1和SHA-2驗證 有
人工密鑰、互聯網密鑰交換(IKE v1+v2)、 有
公共密鑰基礎設施(PKI) (X.509)
精確轉發保密(DH組) 1, 2, 5
防重播攻擊 有
動態遠程接入VPN 有
IPsec NAT穿越 有
冗余的VPN網關 有
遠程接入的用戶數量 有
5、用戶驗證和接入控制
第三方用戶驗證 RADIUS, RSA SecureID, LDAP
RADIUS記賬 有
XAUTH VPN, 基於Web, 802.X驗證 有
PKI 證書要求(PKCS 7和PKCS 10) 有
支持的證書頒發機構 有
6、虛擬化
安全分區最大數量 96
虛擬路由器最大數量 128
VLAN最大數量 3,967
7、封裝
PPP/MLPPP 有
PPPoE 有
PPPoA 有
MLPPP最大物理接口數 12
幀中繼 有
MLFR (FRF .15, FRF .16) 是
MLFR最大物理接口數 12
HDLC 是
8、無線
CX111 3G/4G LTE網橋支持 有
CX111的Junos/SRX系列管理 有
內部的3G ExpressCard插槽支持 無
USB 3G支持 無
支持的最大WLAN接入點數量,采 用AX411 4
支持的WLA系列接入點和WLC系列 > 4
控制器數量
9、閃存和內存
內存 (DRAM) 2 GB (SRX550)
內存插槽 2 DIMM
閃存 2GB CF,內置
用於外部存儲的USB端口 有
10、尺寸和電源
尺寸(W x H x D) 17.5 x 3.5 x 18.2英寸
(44.4 x 8.8 x 46.2厘米)
重量(設備和電源) 21.96磅 (9.96千克)
無接口模塊 1個電源
可在機架上安裝 是,2U
電源(交流) 100-240 VAC, 1個
645W或 2個645W
最大的PoE功率 247W冗余,或 494W
非冗余
平均功耗 85 W
輸入頻率 50-60 Hz
最大電流消耗 7.5 A @ 100 VAC with
single PSU with PoE,
10.5 A @ 100 VAC with
dual PSU with PoE
最大浪涌電流 45 A for ½ cycle
平均散熱 238 BTU/hr
最大散熱 1,449 BTU/hr
冗余電源(可熱插拔) 有(最大為一 個PSU
的最大 容量)
噪聲水平 (按照ISO 7779標准) 51.8 dB
11、環境要求
運行溫度 32°至104° F (0°至
40°C)
不運行溫度 4°至158° F, (-20°至
70° C)
濕度(運行時) 10%至90% (非凝露)
濕度(不運行時) 5%至95% (非凝露)
平均無故障時間 (Telcordia型) 9.6年 帶冗余電源
三、配置
1、內網ip能上網
SRX550出廠缺省配置默認全部除ge-0/0/0外其他接口屬於vlan.0,為二層端口,理論上只要把pc端ip配置為192.168.1.0/24網段的ip,接上防火牆除開ge-0/0/0口外其他接口就可以進行web管理。
也因此不能直接在接口下配置子接口ip地址,有兩種方式解決:1、需要先去switch下vlan選項刪除vlan.0后這些端口變成三層口便可以配置ip。2、可以編輯vlan.0下把所屬接口下划出來。
需要注意的是刪除了這些口之后先不要commit,先在web界面system properties選項下點擊management access 再點擊右上的編輯。
打開后選擇中間的services 把你想要能通過http或https 進行web管理的子接口添加進去點擊OK。
然后在web界面下選擇interface選項,為你想要進行web管理的子接口配置ip,列如ge-0/0/0.0 ip地址:10.254.58.251/24(通過綁定Mac可以上網的外網地址), ipge-0/0/1.0 ip地址:192.168.1.254/24 。
接口要在區域才能實現功能,即需要在web界面下點開security 下zones/Screens 創建untrust 和trust區域。把ge-0/0/0划入untrst(不信任區域),把ge-0/0/1划入trust(信任區域)。
區域功能設置在host-inbound traffic-zone (區域功能)和host-inbound traffic-interface(端口功能),ssh telnet http https tcp udp 等協議和功能都是在上面放開,兩者只要配置其中一個就行,兩個都配置就以interface為主。
然后開始配置NAT地址轉換,打開web界面NAT選項,官方文檔上寫主要以Source為主配置NAT轉換,Destination Nat 基於地址池的目標地址轉換,這種 NAT 主要用於一對多的 IP 端口轉換,類似於 SCREENOS 中的 VIP,常用於內部有多個地址端口要映射到公網,但公網地址又不夠用的情況,可以對 IP 和端口同時轉換。
在Source下add 創建一個name名為”tr-to-untr” ,From zone下選擇 trust 和to zone下選擇untrust 。
然后在下方rules 點擊add 創建要rules name, 在source address and ports 下selected 點擊add 增加你要進行轉換的源地址網段,按照之前ge-0/0/1的IP地址所以這里可以寫192.168.1.0/24進行轉換 ,也可以寫0.0.0.0/0表示所選區域的所有地址進行轉換。
在destination address and ports 右邊port選擇any,最后在下方Action 動作選擇第二個 Do sourec NAT with Egress interface address 進行源動作轉換成出接口地址。
NAT完成之后最后配置策略,也可以配置策略后配置NAT,FZ缺一不可。
選擇web界面security下的security policy ,點擊add創建新策略。
policy name建議按照區域走向寫,列如 tr-to-untr(表示trust區域去untrust區域) 。然后在policy context 選擇zone From內網網段所在的區域 trust To 外網網段所在的區域untrust ,source address 選擇any ,destinationaddress 選擇any 。
下面source identity不用選,字面意思是源地址身份認證,右邊的applications 選擇any 表示所有應用,點擊OK。
最后在web界面打開routing 點擊static routing 增加一條0.0.0.0/0 next-hop 10.254.58.254,commit提交,此時環境應該是內網網段的IP地址可以上外網
了。
2、基於策略IPsec vpn配置
群上有濤哥發的官方文檔,親測有效。
基於策略的 VPN 與基於路由的 VPN 相比,無需創建 TUNNEL 接口,也不用創建到對 端的路由,VPN 是綁定到策略上的。
在 CLI 管理方式中的相關配置 在 SRXA 上的配置:
set security ike policy aike mode main
set security ike policy aike proposal-set standard
set security ike policy aike pre-shared-key ascii-text juniper
set security ike gateway gw1 ike-policy aike
set security ike gateway gw1 address 192.168.1.239
set security ike gateway gw1 external-interface ge-0/0/0.0
set security ipsec policy ap2 proposal-set standard
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ike ipsec-policy ap2
set security ipsec vpn vpn1 establish-tunnels immediately
set security policies from-zone trust to-zone untrust policy vpn-policy match source-address LanA
set security policies from-zone trust to-zone untrust policy vpn-policy match destination-address LanB
set security policies from-zone trust to-zone untrust policy vpn-policy match application any
set security policies from-zone trust to-zone untrust policy vpn-policy then permit tunnel ipsec-vpn vpn1
set security policies from-zone trust to-zone untrust policy vpn-policy then permit tunnel pair-policy vpn-policy
set security policies from-zone untrust to-zone trust policy vpn-policy match source-address LanB
set security policies from-zone untrust to-zone trust policy vpn-policy match destination-address LanA
set security policies from-zone untrust to-zone trust policy vpn-policy match application any
set security policies from-zone untrust to-zone trust policy vpn-policy then permit tunnel ipsec-vpn vpn1
set security policies from-zone untrust to-zone trust policy vpn-policy then permit tunnel pair-policy vpn-policy
set security zones security-zone trust address-book address LanA 172.16.1.0/24
set security zones security-zone untrust address-book address LanB 172.17.1.0/24
在 SRX210B 上做相應的變更