juniper SRX550 防火墙

一、SRX550业务网关

• 10个固定的Ethernet端口(6个10/100/1000铜缆, 4个SFP),
• 2个Mini-PIM插槽, 6个GPIM 插槽，或多种GPIM和XPIM组合
  • 支持T1/E1、serial、ADSL2/2+、VDSL、G.SHDSL、DS3/E3、GbE端口; 最多支持52个以太网端口(包括SFP)；
  • 40个 交换机端口，提供PoE选项，包括802.3at、PoE+、后向兼容802.3af (或50个非PoE 10/100/1000铜缆端口)、10GbE
• 内容安全加速器硬件，用于加快IPS和ExpressAV的性能
  • 全面的统一威胁管理(UTM)1 ；防病毒1 , 防垃圾邮件1 , 增强的Web过滤1 , 内容过滤
• 入侵防御系统1 ，基于用户角色的防火墙和AppSecure1
  • 威胁情报，用于防御与命令和控制(C&C)相关的僵尸网络病毒、Web应用威胁和高级恶意软件，以及基于GeoIP数据的策 略执行
• 2GB DRAM(默认)，2GB CF闪存(默认)
  • 冗余的交流电源选件; 支持PoE的标准交流电源; 250W PoE单电源或500W PoE双电源供电

二、防火墙参数

1、最大性能与容量

操作系统版本                                                            Junos OS 12.1

防火墙性能（大数据包）                                        5.5 Gbps

防火墙性能（IMIX）                                               1.7 Gbps

防火墙 + 路由PPS (64字节)                                  700 Kpps

防火墙性能3 (HTTP)                                                1.5 Gbps

IPsec VPN吞吐率(大数据包)                                   1.0 Gbps

IPsec VPN隧道                                                         2,000

AppSecure防火墙吞吐率3                                      1.5 Gbps

IPS(入侵防御系统)                                                 800 Mbps

防病毒                                                                        300 Mbps (Sophos AV)

每秒连接数                                                                27,000 3

最大并发会话数                                                        375 K 5

DRAM选项                                                               2 GB DRAM

最大安全策略数                                                        7,256

支持的最大用户数                                                    无限

2、网络连接

固定I/O                                                                      6 x 10/100/1000 BASE-T + 4 SFP

I/O插槽                                                            2 x SRX系列 Mini-PIM, 6 x GPIM或 多种GPIM和

业务和路由引擎插槽                                                无

WAN/LAN接口选项                                                参阅订购信息

PoE端口的最大数量                                                最多40个 802.3af/at

(一些SRX型号 提供PoE选项)                             端 口，最大

USB                                                                            2

3、路由

路由(数据包模式) PPS                                              1000Kpps

BGP实例                                                                   56

BGP对等体                                                                      192

BGP路由                                                                   712 K

OSPF实例                                                                 56

OSPF路由                                                                 712 K

RIP v1/v2实例                                                           56

RIP v2路由                                                                712 K

静态路由                                                                    712 K

基于源的路由                                                            有

基于策略的路由                                                        有

等价多径(ECMP)                                                       有

反向路径转发(RPF                                                    有

4、IPsec VPN

并发的VPN隧道                                                      2,000

隧道接口                                                                    456

DES(56位), 3DES(168位)和 AES(256位)            有

MD-5、SHA-1和SHA-2验证                                有

人工密钥、互联网密钥交换(IKE v1+v2)、      有

公共密钥基础设施(PKI) (X.509)

精确转发保密(DH组)                                               1, 2, 5

防重播攻击                                                                有

动态远程接入VPN                                                   有

IPsec NAT穿越                                                          有

冗余的VPN网关                                                      有

远程接入的用户数量                                                有

5、用户验证和接入控制

第三方用户验证                            RADIUS, RSA SecureID, LDAP

RADIUS记账                                                            有

XAUTH VPN, 基于Web, 802.X验证                    有

PKI 证书要求（PKCS 7和PKCS 10）                 有

支持的证书颁发机构                                                有

6、虚拟化

安全分区最大数量                                                    96

虚拟路由器最大数量                                                128

VLAN最大数量                                                        3,967

7、封装

PPP/MLPPP                                                                有

PPPoE                                                                         有

PPPoA                                                                        有

MLPPP最大物理接口数                                        12

帧中继                                                                        有

MLFR (FRF .15, FRF .16)                                         是

MLFR最大物理接口数                                            12

HDLC                                                                       是

8、无线

CX111 3G/4G LTE网桥支持                                    有

CX111的Junos/SRX系列管理                                有

内部的3G ExpressCard插槽支持                            无

USB 3G支持                                                             无

支持的最大WLAN接入点数量，采 用AX411   4

支持的WLA系列接入点和WLC系列                 > 4

控制器数量

9、闪存和内存

内存 (DRAM)                                                           2 GB (SRX550)

内存插槽                                                                    2 DIMM

闪存                                                                            2GB CF，内置

用于外部存储的USB端口                                      有

10、尺寸和电源

尺寸(W x H x D)                                                        17.5 x 3.5 x 18.2英寸

(44.4 x 8.8 x 46.2厘米)

重量(设备和电源)                                                      21.96磅 (9.96千克)

无接口模块 1个电源

可在机架上安装                                                        是,2U

电源(交流)                                            100-240 VAC, 1个

645W或 2个645W

最大的PoE功率                                                       247W冗余，或 494W

非冗余

平均功耗                                                                    85 W

输入频率                                                                    50-60 Hz

最大电流消耗                                                            7.5 A @ 100 VAC with

single PSU with PoE,

10.5 A @ 100 VAC with

dual PSU with PoE

最大浪涌电流                                                            45 A for ½ cycle

平均散热                                                                    238 BTU/hr

最大散热                                                                    1,449 BTU/hr

冗余电源(可热插拔)                                                  有(最大为一 个PSU

的最大 容量)

噪声水平 (按照ISO 7779标准)                              51.8 dB

11、环境要求

运行温度                                                                    32°至104° F (0°至

40°C)

不运行温度                                                                4°至158° F, (-20°至

70° C)

湿度(运行时)                                                              10%至90% (非凝露)

湿度(不运行时)                                                          5%至95% (非凝露)

平均无故障时间 (Telcordia型)                                9.6年 带冗余电源

三、配置

1、内网ip能上网

　　SRX550出厂缺省配置默认全部除ge-0/0/0外其他接口属于vlan.0，为二层端口，理论上只要把pc端ip配置为192.168.1.0/24网段的ip，接上防火墙除开ge-0/0/0口外其他接口就可以进行web管理。

　　也因此不能直接在接口下配置子接口ip地址，有两种方式解决：1、需要先去switch下vlan选项删除vlan.0后这些端口变成三层口便可以配置ip。2、可以编辑vlan.0下把所属接口下划出来。

　　需要注意的是删除了这些口之后先不要commit，先在web界面system properties选项下点击management access 再点击右上的编辑。

打开后选择中间的services 把你想要能通过http或https 进行web管理的子接口添加进去点击OK。

　　然后在web界面下选择interface选项，为你想要进行web管理的子接口配置ip，列如ge-0/0/0.0 ip地址:10.254.58.251/24（通过绑定Mac可以上网的外网地址）， ipge-0/0/1.0 ip地址：192.168.1.254/24 。

　　接口要在区域才能实现功能，即需要在web界面下点开security 下zones/Screens 创建untrust 和trust区域。把ge-0/0/0划入untrst（不信任区域），把ge-0/0/1划入trust（信任区域）。

区域功能设置在host-inbound traffic-zone （区域功能）和host-inbound traffic-interface（端口功能），ssh telnet http https tcp udp 等协议和功能都是在上面放开，两者只要配置其中一个就行，两个都配置就以interface为主。

　　然后开始配置NAT地址转换，打开web界面NAT选项，官方文档上写主要以Source为主配置NAT转换，Destination Nat 基于地址池的目标地址转换，这种 NAT 主要用于一对多的 IP 端口转换，类似于 SCREENOS 中的 VIP，常用于内部有多个地址端口要映射到公网，但公网地址又不够用的情况，可以对 IP 和端口同时转换。

　　在Source下add 创建一个name名为”tr-to-untr” ，From zone下选择 trust 和to zone下选择untrust 。

　　然后在下方rules 点击add 创建要rules name, 在source address and ports 下selected 点击add 增加你要进行转换的源地址网段，按照之前ge-0/0/1的IP地址所以这里可以写192.168.1.0/24进行转换 ，也可以写0.0.0.0/0表示所选区域的所有地址进行转换。

在destination address and ports 右边port选择any，最后在下方Action 动作选择第二个 Do sourec NAT with Egress interface address 进行源动作转换成出接口地址。

　　NAT完成之后最后配置策略，也可以配置策略后配置NAT,FZ缺一不可。

选择web界面security下的security policy ，点击add创建新策略。

　　policy name建议按照区域走向写，列如 tr-to-untr(表示trust区域去untrust区域) 。然后在policy context 选择zone  From内网网段所在的区域 trust  To 外网网段所在的区域untrust ，source address 选择any ，destinationaddress 选择any 。

　　下面source identity不用选，字面意思是源地址身份认证，右边的applications 选择any 表示所有应用，点击OK。

　　最后在web界面打开routing 点击static routing 增加一条0.0.0.0/0 next-hop 10.254.58.254，commit提交，此时环境应该是内网网段的IP地址可以上外网

了。

2、基于策略IPsec vpn配置

群上有涛哥发的官方文档，亲测有效。

基于策略的 VPN 与基于路由的 VPN 相比，无需创建 TUNNEL 接口，也不用创建到对 端的路由，VPN 是绑定到策略上的。

在 CLI 管理方式中的相关配置 在 SRXA 上的配置：

set security ike policy aike mode main

set security ike policy aike proposal-set standard

set security ike policy aike pre-shared-key ascii-text juniper

set security ike gateway gw1 ike-policy aike

set security ike gateway gw1 address 192.168.1.239

set security ike gateway gw1 external-interface ge-0/0/0.0

set security ipsec policy ap2 proposal-set standard

set security ipsec vpn vpn1 ike gateway gw1

set security ipsec vpn vpn1 ike ipsec-policy ap2

set security ipsec vpn vpn1 establish-tunnels immediately

set security policies from-zone trust to-zone untrust policy vpn-policy match source-address LanA

set security policies from-zone trust to-zone untrust policy vpn-policy match destination-address LanB

set security policies from-zone trust to-zone untrust policy vpn-policy match application any

set security policies from-zone trust to-zone untrust policy vpn-policy then permit tunnel ipsec-vpn vpn1

set security policies from-zone trust to-zone untrust policy vpn-policy then permit tunnel pair-policy vpn-policy

set security policies from-zone untrust to-zone trust policy vpn-policy match source-address LanB

set security policies from-zone untrust to-zone trust policy vpn-policy match destination-address LanA

set security policies from-zone untrust to-zone trust policy vpn-policy match application any

set security policies from-zone untrust to-zone trust policy vpn-policy then permit tunnel ipsec-vpn vpn1

set security policies from-zone untrust to-zone trust policy vpn-policy then permit tunnel pair-policy vpn-policy

set security zones security-zone trust address-book address LanA 172.16.1.0/24

set security zones security-zone untrust address-book address LanB 172.17.1.0/24

在 SRX210B 上做相应的变更