juniper SRX550 防火墙
一、SRX550业务网关
- 10个固定的Ethernet端口(6个10/100/1000铜缆, 4个SFP),
- 2个Mini-PIM插槽, 6个GPIM 插槽,或多种GPIM和XPIM组合
- 支持T1/E1、serial、ADSL2/2+、VDSL、G.SHDSL、DS3/E3、GbE端口; 最多支持52个以太网端口(包括SFP);
- 40个 交换机端口,提供PoE选项,包括802.3at、PoE+、后向兼容802.3af (或50个非PoE 10/100/1000铜缆端口)、10GbE
- 内容安全加速器硬件,用于加快IPS和ExpressAV的性能
- 全面的统一威胁管理(UTM)1 ;防病毒1 , 防垃圾邮件1 , 增强的Web过滤1 , 内容过滤
- 入侵防御系统1 ,基于用户角色的防火墙和AppSecure1
- 威胁情报,用于防御与命令和控制(C&C)相关的僵尸网络病毒、Web应用威胁和高级恶意软件,以及基于GeoIP数据的策 略执行
- 2GB DRAM(默认),2GB CF闪存(默认)
- 冗余的交流电源选件; 支持PoE的标准交流电源; 250W PoE单电源或500W PoE双电源供电
二、防火墙参数
1、最大性能与容量
操作系统版本 Junos OS 12.1
防火墙性能(大数据包) 5.5 Gbps
防火墙性能(IMIX) 1.7 Gbps
防火墙 + 路由PPS (64字节) 700 Kpps
防火墙性能3 (HTTP) 1.5 Gbps
IPsec VPN吞吐率(大数据包) 1.0 Gbps
IPsec VPN隧道 2,000
AppSecure防火墙吞吐率3 1.5 Gbps
IPS(入侵防御系统) 800 Mbps
防病毒 300 Mbps (Sophos AV)
每秒连接数 27,000 3
最大并发会话数 375 K 5
DRAM选项 2 GB DRAM
最大安全策略数 7,256
支持的最大用户数 无限
2、网络连接
固定I/O 6 x 10/100/1000 BASE-T + 4 SFP
I/O插槽 2 x SRX系列 Mini-PIM, 6 x GPIM或 多种GPIM和
业务和路由引擎插槽 无
WAN/LAN接口选项 参阅订购信息
PoE端口的最大数量 最多40个 802.3af/at
(一些SRX型号 提供PoE选项) 端 口,最大
USB 2
3、路由
路由(数据包模式) PPS 1000Kpps
BGP实例 56
BGP对等体 192
BGP路由 712 K
OSPF实例 56
OSPF路由 712 K
RIP v1/v2实例 56
RIP v2路由 712 K
静态路由 712 K
基于源的路由 有
基于策略的路由 有
等价多径(ECMP) 有
反向路径转发(RPF 有
4、IPsec VPN
并发的VPN隧道 2,000
隧道接口 456
DES(56位), 3DES(168位)和 AES(256位) 有
MD-5、SHA-1和SHA-2验证 有
人工密钥、互联网密钥交换(IKE v1+v2)、 有
公共密钥基础设施(PKI) (X.509)
精确转发保密(DH组) 1, 2, 5
防重播攻击 有
动态远程接入VPN 有
IPsec NAT穿越 有
冗余的VPN网关 有
远程接入的用户数量 有
5、用户验证和接入控制
第三方用户验证 RADIUS, RSA SecureID, LDAP
RADIUS记账 有
XAUTH VPN, 基于Web, 802.X验证 有
PKI 证书要求(PKCS 7和PKCS 10) 有
支持的证书颁发机构 有
6、虚拟化
安全分区最大数量 96
虚拟路由器最大数量 128
VLAN最大数量 3,967
7、封装
PPP/MLPPP 有
PPPoE 有
PPPoA 有
MLPPP最大物理接口数 12
帧中继 有
MLFR (FRF .15, FRF .16) 是
MLFR最大物理接口数 12
HDLC 是
8、无线
CX111 3G/4G LTE网桥支持 有
CX111的Junos/SRX系列管理 有
内部的3G ExpressCard插槽支持 无
USB 3G支持 无
支持的最大WLAN接入点数量,采 用AX411 4
支持的WLA系列接入点和WLC系列 > 4
控制器数量
9、闪存和内存
内存 (DRAM) 2 GB (SRX550)
内存插槽 2 DIMM
闪存 2GB CF,内置
用于外部存储的USB端口 有
10、尺寸和电源
尺寸(W x H x D) 17.5 x 3.5 x 18.2英寸
(44.4 x 8.8 x 46.2厘米)
重量(设备和电源) 21.96磅 (9.96千克)
无接口模块 1个电源
可在机架上安装 是,2U
电源(交流) 100-240 VAC, 1个
645W或 2个645W
最大的PoE功率 247W冗余,或 494W
非冗余
平均功耗 85 W
输入频率 50-60 Hz
最大电流消耗 7.5 A @ 100 VAC with
single PSU with PoE,
10.5 A @ 100 VAC with
dual PSU with PoE
最大浪涌电流 45 A for ½ cycle
平均散热 238 BTU/hr
最大散热 1,449 BTU/hr
冗余电源(可热插拔) 有(最大为一 个PSU
的最大 容量)
噪声水平 (按照ISO 7779标准) 51.8 dB
11、环境要求
运行温度 32°至104° F (0°至
40°C)
不运行温度 4°至158° F, (-20°至
70° C)
湿度(运行时) 10%至90% (非凝露)
湿度(不运行时) 5%至95% (非凝露)
平均无故障时间 (Telcordia型) 9.6年 带冗余电源
三、配置
1、内网ip能上网
SRX550出厂缺省配置默认全部除ge-0/0/0外其他接口属于vlan.0,为二层端口,理论上只要把pc端ip配置为192.168.1.0/24网段的ip,接上防火墙除开ge-0/0/0口外其他接口就可以进行web管理。
也因此不能直接在接口下配置子接口ip地址,有两种方式解决:1、需要先去switch下vlan选项删除vlan.0后这些端口变成三层口便可以配置ip。2、可以编辑vlan.0下把所属接口下划出来。
需要注意的是删除了这些口之后先不要commit,先在web界面system properties选项下点击management access 再点击右上的编辑。
打开后选择中间的services 把你想要能通过http或https 进行web管理的子接口添加进去点击OK。
然后在web界面下选择interface选项,为你想要进行web管理的子接口配置ip,列如ge-0/0/0.0 ip地址:10.254.58.251/24(通过绑定Mac可以上网的外网地址), ipge-0/0/1.0 ip地址:192.168.1.254/24 。
接口要在区域才能实现功能,即需要在web界面下点开security 下zones/Screens 创建untrust 和trust区域。把ge-0/0/0划入untrst(不信任区域),把ge-0/0/1划入trust(信任区域)。
区域功能设置在host-inbound traffic-zone (区域功能)和host-inbound traffic-interface(端口功能),ssh telnet http https tcp udp 等协议和功能都是在上面放开,两者只要配置其中一个就行,两个都配置就以interface为主。
然后开始配置NAT地址转换,打开web界面NAT选项,官方文档上写主要以Source为主配置NAT转换,Destination Nat 基于地址池的目标地址转换,这种 NAT 主要用于一对多的 IP 端口转换,类似于 SCREENOS 中的 VIP,常用于内部有多个地址端口要映射到公网,但公网地址又不够用的情况,可以对 IP 和端口同时转换。
在Source下add 创建一个name名为”tr-to-untr” ,From zone下选择 trust 和to zone下选择untrust 。
然后在下方rules 点击add 创建要rules name, 在source address and ports 下selected 点击add 增加你要进行转换的源地址网段,按照之前ge-0/0/1的IP地址所以这里可以写192.168.1.0/24进行转换 ,也可以写0.0.0.0/0表示所选区域的所有地址进行转换。
在destination address and ports 右边port选择any,最后在下方Action 动作选择第二个 Do sourec NAT with Egress interface address 进行源动作转换成出接口地址。
NAT完成之后最后配置策略,也可以配置策略后配置NAT,FZ缺一不可。
选择web界面security下的security policy ,点击add创建新策略。
policy name建议按照区域走向写,列如 tr-to-untr(表示trust区域去untrust区域) 。然后在policy context 选择zone From内网网段所在的区域 trust To 外网网段所在的区域untrust ,source address 选择any ,destinationaddress 选择any 。
下面source identity不用选,字面意思是源地址身份认证,右边的applications 选择any 表示所有应用,点击OK。
最后在web界面打开routing 点击static routing 增加一条0.0.0.0/0 next-hop 10.254.58.254,commit提交,此时环境应该是内网网段的IP地址可以上外网
了。
2、基于策略IPsec vpn配置
群上有涛哥发的官方文档,亲测有效。
基于策略的 VPN 与基于路由的 VPN 相比,无需创建 TUNNEL 接口,也不用创建到对 端的路由,VPN 是绑定到策略上的。
在 CLI 管理方式中的相关配置 在 SRXA 上的配置:
set security ike policy aike mode main
set security ike policy aike proposal-set standard
set security ike policy aike pre-shared-key ascii-text juniper
set security ike gateway gw1 ike-policy aike
set security ike gateway gw1 address 192.168.1.239
set security ike gateway gw1 external-interface ge-0/0/0.0
set security ipsec policy ap2 proposal-set standard
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ike ipsec-policy ap2
set security ipsec vpn vpn1 establish-tunnels immediately
set security policies from-zone trust to-zone untrust policy vpn-policy match source-address LanA
set security policies from-zone trust to-zone untrust policy vpn-policy match destination-address LanB
set security policies from-zone trust to-zone untrust policy vpn-policy match application any
set security policies from-zone trust to-zone untrust policy vpn-policy then permit tunnel ipsec-vpn vpn1
set security policies from-zone trust to-zone untrust policy vpn-policy then permit tunnel pair-policy vpn-policy
set security policies from-zone untrust to-zone trust policy vpn-policy match source-address LanB
set security policies from-zone untrust to-zone trust policy vpn-policy match destination-address LanA
set security policies from-zone untrust to-zone trust policy vpn-policy match application any
set security policies from-zone untrust to-zone trust policy vpn-policy then permit tunnel ipsec-vpn vpn1
set security policies from-zone untrust to-zone trust policy vpn-policy then permit tunnel pair-policy vpn-policy
set security zones security-zone trust address-book address LanA 172.16.1.0/24
set security zones security-zone untrust address-book address LanB 172.17.1.0/24
在 SRX210B 上做相应的变更