客戶端形式的動態IP鏈接SRX的***站點

之前寫過SSG鏈接的例子web

如今SSG快沒了,替代品SRX安全

原理上由於SRX就是SSG的替代型號,不少地方原理是同樣的,因此就不在累述了。ide

這裏只說明SRX的配置,做爲固定IP方出現測試

JUNOS Software Release [12.1R7.9]版本下經過測試。加密

    st0 {
        unit 2 {
            description "To Remote×××";
            family inet;
            family inet6;
        }
    }  //創建虛擬接口
spa

security {
    ike {
        proposal pre-g2-aes128-sha1 {
            authentication-method pre-shared-keys;
            dh-group group2;
            authentication-algorithm sha1;
            encryption-algorithm aes-128-cbc;
            lifetime-seconds 28800;
        }  //起了個集合的名字pre-g2-aes128-sha1,使用共享祕鑰authentication-method pre-shared-keys,DH組用了group2,認證效驗是sha1,加密效驗是aes-128-cbc,生存時間是28800
3d

        policy RemoteIKE {
            mode aggressive;
            proposals pre-g2-aes128-sha1;
            pre-shared-key ascii-text "$9$w9gZDiH.QF6GDO1EhKvgoaUHmz36p0I"; ## SECRET-DATA
        }  //創建和遠程鏈接的加密策略,使用aggressive模式,這是關鍵,通常兩個固定IP使用的是main模式,調用上面創建的pre-g2-aes128-sha1的ike集合,pre-shared-key就是祕鑰,固然是加過密的。orm

        gateway RemoteGW {
            ike-policy RemoteIKE;
            dynamic hostname shenxu.dyndns.org;
            external-interface ge-0/0/0;
            version v1-only;
        }  由於使用的是接口模式,因此創建ike網關,調用已經創建的加密策略RemoteIKEdynamic hostname shenxu.dyndns.org是用來確認對端的身份的,能夠用hostname,也能夠用email地址,只要兩端一致就能夠,版本用的1,如今有2版了,還沒搞懂
dns

    }  //這個大的組合是定義了ike協商的標準接口

    ipsec {
        proposal esp-3des-sha1 {
            protocol esp;
            authentication-algorithm hmac-sha1-96;
            encryption-algorithm 3des-cbc;
            lifetime-seconds 3600;
        }   //定義ipsec採用的加密方式,協議使用esp,如今差很少站點都採用esp,認證效驗和加密效驗以及生存期的時間3600秒
        policy g2-esp-3des-sha1 {
            perfect-forward-secrecy {
                keys group2;
            }  //用的pfs的group2,這個地方各個廠商有可能很差配合,之前思科和微軟的就不行,如今不知道
            proposals esp-3des-sha1;
        } //  創建一個ipsec的加密策略

         *** Remote××× {
            bind-interface st0.2;
            ***-monitor {
                optimized;
            }
            ike {
                gateway RemoteGW;
                ipsec-policy g2-esp-3des-sha1;
            }
            establish-tunnels on-traffic;
        }
    } //創建***集合,既然是接口模式的***,必然要綁定接口bind-interface st0.2,要先創建一個虛擬接口st0.2,***-monitor 是監視***隧道死活的,若是死了接口就down了,這樣就能夠使用路由的切換,有時候也不太靈。ike是調用前面創建好的GW和安全策略,establish-tunnels on-traffic必定要是on-traffic,由於是一端發起的,是被動的,不能選immediately,兩個固定IP能夠用。

還須要訪問的安全策略,沒啥難度,在web界面就能夠很容易的完成,這裏再也不累述。

    zones {

        security-zone Remote××× {
            address-book {
                address relay 172.26.136.224/28;
            }
            interfaces {
                st0.2;
            }
        }  //創建安全區,一個是定義這個zone的地址,另外就是綁定接口st0.2,其實我以爲這個順序應該寫在訪問的安全策略前面,由於必須先有zone才能寫訪問的安全策略。這裏我以爲比ssg要好,ssg綁定接口Unnumbered必需要鏈接到一個物理接口,若是作的不對很容易形成信息泄露,好比路由協議,我在一次偶然的抓包才發現的。SRX在作Unumbered的時候沒有綁定到物理接口,只有到zone,這樣安全性提升了,不過這樣彷佛就不是Unumbered了。

相關文章
相關標籤/搜索