juniper防火墙基础（一）

SRX防火墙基础知识

1、关于防火墙

网络安全问题成为近年来网络问题的焦点

网络安全包括基础设施安全、边界安全和管理安全等全方位策略

防火墙的主要作用是划分边界安全，实现关键系统与外部环境的安

全隔离，保护内部网络免受外部***

与路由器相比,防火墙提供了更丰富的安全防御策略，提高了安全策

略下数据报转发速率

由于防火墙用于边界安全，因此往往兼备NAT、***等功能

2、防火墙分类

 

包过滤防火墙(Packet Filtering)

包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。

包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。

 

• 代理型防火墙（application gateway）

代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。

代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富

的业务，只能针对某些应用提供代理支持。

• 状态检测防火墙

状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被

维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。

软件防火墙。一般是直接安装在PC上的一套软件，基于PC提供基本的安全防护，此时防火墙基本上

就是一个应用软件。

 

l 工控机类型防火墙。采用PC硬件结构，基于linux等开发源代码的操作系统内核，开发了安全防护的一

些基本特性构成硬件防火墙产品形态。从外观上面看，该种防火墙是一个硬件防火墙产品，但是其软

件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。

 

l 电信级硬件防火墙。采用独立设计的硬件结构，在CPU、电源、风扇、PCI总线设计、扩展插卡等方面

优化结构，保证防火墙产品可以得到最优的处理性能和高可靠性。

 

l 基于NP电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈，基于网络处

理器（NP）的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能，使得防火墙产品可

以达到1G线速的处理能力。

3、深度检测

ALG、ASPF、INSPECT

它检查应用层协议信息并且监控基于连接的应用层协议状态，还能够对

应用层报文的内容加以检测，以对一部分***加以检测和防范

4、主要防火墙性能指标

 

吞吐量

其中吞吐量业界一般都是使用1K～1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200

字节报文，因此需要考察防火墙小包转发下性能。因防火墙需要配置ACL规则，因此需要考察防火墙支

持大量规则下转发性能。

 

每秒建立连接速度

指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态连接的，是根据当前通

信双方状态而动态建立的表项。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙

建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在

受到***时，这个指标越大，抗***能力越强。这个指标越大，状态备份能力越强。

l

并发连接数目

由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一

个连接就是一个TCP/UDP的访问

5、UTM

什么 是UTM？

l Unified Threat Management

l 统一威胁管理

l 防火墙+***+上网行为+AV防病毒+IPS+URL过滤

6、防火墙区域概念

TRUST 信任区域

UNTRUST 非信任区域

DMZ 非军事区

 

INSIDE 信任区域

OUSIDE 非信任区域

DMZ 非军事区

6、工作模式：透明模式

transparent模式：（透明模式）

在transparent模式下，设备检查通过防火墙的数据包，但并不改变ip包头中的任何源地

址和目的地址信息。因为它不改变地址，所以保护网内的ip必须在untrust连接的网络内

是有效且可寻路的，untrust很可能就接互连网了。

在transparent模式下，对于trust区和untrust区的ip地址就设为0.0.0.0，这样可以使防火

墙在网络中不可见。但是，防火墙、***和流量管理还是要通过配置设备的策略来生效。

防火墙相当于一个2层交换机（2层交换机本身是没有ip地址的）

7、工作模式：路由模式

当设备处于route模式下，每一个接口都被设立为route模式或nat模式。不像

transparent模式，所有的网口都处于不同的子网当中。这个网口处理通过的流

量时不nat，即ip包头中的源地址和端口号都保持不变

8、工作模式：NAT模式

当一个网口处于nat模式，防火墙会把从trust口往外的ip包中的源ip地址和源端口改掉，

将源地址改为untrust口的ip地址，而且，更换源端口为一个随机的产生的端口、或是

一对一转换、或是基于端口转换等多种情况方式。

NAT不仅限于公网私网地址转换、也可以用在隐藏内网主机信息、解决外部地址稀缺、

无路由或路由冲突的情况。

9、接口与区域

接口：接口的作用相当于一个出入口，信息流通过接口进入和退出设备。

许多接口可以有完全相同的安全要求；但是，不同的接口对入站和出站数据包也可以有不同的安全

要求。

安全要求完全相同的接口可以一起分组到一个安全区段中。（多个接口可属于同一个安全区域）

 

安全区域：一个安全区段是一个或多个网络段的集合，这些网络段需要遵守按策略入站和出站信息流的

规定。安全区段是绑定了一个或多个接口的逻辑实体。

在单个设备上，可以配置多个安全区段，将网络分成多段，可对这些网段应用各种安全选项以满

足各段的需要。必须最少定义两个安全区段，以便在网络的不同区段间分开提供基本的保护。

从安全策略的角度来看，信息流进入一个安全区段，然后离开到另一个安全区段上去。from-zone

（源区段）和to-zone（目标区段）的这种组合被定义为环境。每个环境都包含一个按顺序排列

的策略列表

区域、接口和路由实例

Interfaces、zones、routing instances之间的关系示意图

区域（zone）类型

Zone是共 享相 同安 全级别 的一 组网 络接口 的集 合。SRX3K/5K的所有接口默认都放在null zone内。Null zone是一种系统预定义的特殊的安全域，null zone内的接口不能接受外界的任何报文，也不能对外发送任何报文，即null zone内的接口是不参与业务转发的。因此要配置安全策略，必须先创建zone，并把接口分配到相应的zone里去

User-Defined Zones

共同的特性：

• 可配置

• 可分配接口

§包括两种类型：

• Security zone

• Functional zone

Security Zone

Security zones:

• 由一个或多个网段利用策略进行出、入流量的控制

• 用于用户的业务数据流量传输：

• 在intrazone和interzone之间必须配置安全策略来控制业务数据流量的传输

• 没有默认定义的security zones

• 同一个zone不能属于不同的routing instances

Functional Zones

Functional zones 是一个特殊用途的 zones

• 目前只有一个用途—management zone

• 用于设备的带外网管

• 不能指定策略

• 该management zone不能传输用户业务数据

• 一个设备只能定义一个management zone

管理区段承载管理接口。

• 进入管理区段的信息流不匹配策略；因此，如果在管理接口中接收了信息流，则

无法从其他任何接口传出信息流。

• 管理区段只能用于专用管理接口。

System-defined Zones

junos-globalzone:

• 作为static NAT addresses的存储

• 不可配置

• 不能分配接口

§Null zone:

• 不可配置

• 所有的接口默认均属于Null zone

• 当接口从一个zone中删除，该接口会重新属于Null zone

• 所有属于Null zone的接口均不能传输数据

Defaults Zones

Only one system-defined

default zone:

•Null

§Factory-default

configuration defines two

security zones:

•Trust：默认包括

ge-0/0/0.0

•Untrust：默认没有接口

Default Zones

Null

Factory- - Default Zones

trust

ge-0/0/0.0

Untrust

缺省情况下，接口位于Null 区段。在将接口分配到区段之前，接口不会传递信息流。

Zone配置

1、创建安全域zone

set security zones security-zone trust

set security zones security-zone untrust

2、分配接口到相应安全域zone

set security zones security-zone trust interfaces ge-0/0/0.0

set security zones security-zone untrustinterfaces ge-0/0/1.0

set security zones functional-zone management interfaces ge-0/0/2.100

 

当然了，接口还配置IP：

set interfaces ge-0/0/1 unit 0 family inet address 10.12.12.1/24

Zone配置

每个zone还可以定义自己的DDoS防护选项，这是通过[Screen]配置来实现的

1、定义Screen的ips-options模板test

set securityscreen ids-optiontesticmpfragment

set securityscreen ids-optiontesticmpflood

set securityscreen ids-optiontesttcpport-scan

set securityscreen ids-optiontesttcpsyn-flood

set securityscreen ids-optiontesttcpland

set securityscreen ids-optiontesttcpwinnuke

set securityscreen ids-optiontestudpflood

2、在securityzone上引用Screen的ips-options模板test

set securityzonessecurity-zonetrustscreentest

Zone配置

SRX安全策略里不能直接使用IPv4/IPv6的prefix作为策略匹配的源地址和目标地址，

必须先在相关zone的地址本里创建地址本对象，再在安全策略里引用这些对象。

配置举例：

set security zones security-zone trust address-book address internal-192.168.1.0/24

192.168.1.0/24

set security zonessecurity-zoneuntrust address-book address webserver 202.103.78.29/32

address-book还支持创建address-set来包含多个离散的地址，以方便策略引用

非穿越流量：管理流量

默认直接访问SRX设备的流量是禁止的：

• 利用host-inbound-traffic 参数来控制哪些流量允许从zone或接口访问SRX设备

• 所有从SRX设备本身往外访问的流量都是允许的

1、允许trust zone接受telnet/ssh管理流量

set security zones security-zone trust host-inbound-traffic system-services ssh

set security zones security-zone trust host-inbound-traffic system-services telnet

也可限制接口

set security zones security-zone trust interfaces ge-0/0/1 host-inbound-traffic system-

services http

也可以用except

set security zones security-zone trust host-inbound-traffic system-services all

set security zones security-zone trust host-inbound-traffic system-services telnet except

非穿越流量：协议流量

2、允许trust zone接受ospf/bgp路由信令

set security zones security-zone trust host-inbound-traffic protocols ospf

set security zones security-zone trust host-inbound-traffic protocols bgp

Monitoring Zones

The show security zonescommand provides information about:

• Zone types

• Zone names

• Number of interfaces bound to corresponding zones

• Interface names bound to corresponding zones

Additional interface-specific zone information is available by using the show

interfaces interface-name extensivecommand:

 

user@host> show interfaces ge-0/0/3.200 extensive

Logical interface ge-0/0/3.200 (Index 69) (SNMP ifIndex 47) (Generation 136)

Flags: SNMP-Traps VLAN-Tag [ 0x8100.200 ] Encapsulation: ENET2

Traffic statistics: