ScreenOS学习笔记
安全区段 |
第2层 |
V1-Trust |
同一区段内的接口通信不需要策略,不同区段之间的接口通信则需要策略. Global区段没有接口 |
V1-Untrust |
|||
V1-DMZ |
|||
第3层 |
Trust |
||
Untrust |
|||
DMZ |
|||
全局 |
Global |
||
Tunnel区段 |
Untrust-Tun |
||
功能区段 |
Null,Self,MGT,HA,VLAN |
安全区段是一个或多个网段组成的集合,是绑定了一个或多个接口的逻辑实体。
Set zone name zone //创建名为zone的区段
Set zone zone block //封锁同一区段内主机间的信息流
Set zone zone vrouter name_str //将区段放入name_str的路由选择域
更改或删除区段前必须先删除所有绑定到该区段的接口
子接口和冗余接口
同一接口的子接口共享带宽,可以位于不同的安全区段。冗余接口是将两个物理接口捆绑在一起,互为备用接口。
通道接口充当VPN通道的入口。
可以将一些物理接口绑定到L2(第2层)或L3(第3层)安全区段。由于子接口需要IP地址,所以子接口只能绑定到L3安全区段。将接口绑定到L3安全区段后才能将IP地址指定给接口。无限接口不能绑定到Untrust安全区段。
在将接口分配到某个组之前,必须将给接口设置为Null安全区段。
set interface ethernet0/3 zone null
set interface ehternet0/4 zone null
set interface bgroup1 port ehternet0/3
set interface bgroup1 port ethernet0/4
set interface bgroup1 zone DMZ
save
如果接口无编号,那可以直接解除与现安全区段的绑定然后绑定到另一个安全区段。如果接口有编号,那么必须首先将该接口的IP地址和网络掩码都设为0.0.0.0。
set interface ethernet0/3 ip 0.0.0.0/0
set interface ethernet0/3 zone null
save unset interface bgroup1 port ethernet0/3
set interface ethernet0/3 zone trust
save
安全区段的缺省接口是绑定到该区段的第一个接口。
set interface ethernet0/5 ip 210.1.1.1/24
set interface ethernet0/5 manage-ip 210.1.1.5
save
更改e0/1的管理IP地址为10.1.1.12,启用ssh和ssl,禁用telnet和web。
set interface ethernet0/1 manage-ip 10.1.1.12
set interface ethernet0/1 manage ssh
set interface ethernet0/1 manage ssl
unset interface ethernet0/1 manage telnet
unset interface ethernet0/1 manage web
save
设置子接口e0/1.3的VLAN标记为ID 3。
set interface ethernet0/1.3 zone accounting
set interface ethernet0/1.3 ip 10.2.1.1/24 tag 3
save
回传接口是逻辑接口,只要其所在设备开启它便处于工作状态。但若要通过网络或驻留在其他区段的主机访问回传接口则必须定义策略。
创建回传接口并设置其用于管理。
set interface loopback.1 zone untrust
set interface loopback.1 ip 1.1.1.27
set interface loopback.1 manage
save
创建地址条目:
set address trust Sunnyvale_Eng 10.1.10.0/24
set address untrust Juniper www.juniper.net
save
修改地址条目:
unset address trust Sunnyvale_Eng
set address trust Sunnyvale_Eng 10.1.40.0/24
save
删除地址条目:
unset address trust "Sunnyvale_SW_Eng"
save
创建和编辑地址组:
set group address trust "HQ 2nd Floor" add "Santa Clara Eng"
set group address trust "HQ 2nd Floor" add "Tech Pubs"
save
删除成员和组:
unset group address trust "HQ 2nd Floor" remove Support
unset group address trust Sales
save
创建服务:
set service cust-telnet protocol tcp src-port 1-65535 dst-port 23000-23000
set service cust-telnet timeout 30
save
修改服务(修改服务前必须先清除服务的定义)
set service cust-telnet clear
set service cust-telnet + tcp src-port 1-65535 dst-port 23230-23230
save
删除服务:
unset service cust-telnet
save
创建服务组:
set group service grp1
set group service grp1 add ike
set group service grp1 add ftp
set group service grp1 add ldap
save
修改服务组:
unset group service grp1 clear
set group service grp1 add http
set group service grp1 add finger
set group service grp1 add imap
save
删除服务组:
unset group service grp1
save
创建全局策略:
set adddress global server1 www.juniper.com
set policy global any server1 http permit
save
修改策略(在源地址或目的地址前加!表示排除该地址)
set policy id 1
device(policy:1)-> set src-address host2
device(policy:1)-> set dst-address server2
device(policy:1)-> set service ftp
device(policy:1)-> set attack CRITICAL:HTTP:SIGS
禁用策略:
set policy id id_num disable
save
验证策略:
exec policy verify
排序策略:
set policy move id_num {before | after} number
save
删除策略:
unset policy id_num
这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。
1. MIP的配置
MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。
MIP应用的网络拓扑图:
set interface ethernet1 zone trust
set interface etnernet1 ip 10.1.1.1/24
set interface ethernet nat set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24 //定义MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr set policy from untrust to trust any mip(1.1.1.5) http permit
2. VIP的配置
MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24 //定义VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10 set policy from untrust to trust any vip(1.1.1.10) http permit
save
3. DIP的配置
DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址。
DIP应用的网络拓扑图:
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet nat set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24 //定义DIP
set interface ethernet3 dip 5 1.1.1.30 1.1.1.30 set policy from trust to untrust any any http nat src dip-id 5 permit
save
最新文章
- [ASP.NET MVC] ASP.NET Identity登入技术应用
- Android强制设定横屏时,SurfaceView一直黑屏
- JSONArray的使用
- Html5 学习系列(六)Html5本地存储和本地数据库
- SQL防注入程序
- rsync服务器的配置和使用
- deep-learning-frameworks
- [RxJS] Filtering operators: skipWhile and skipUntil
- java字符串数组进行大小排序
- iOS 搜索框控件 最简单的dome
- 在windows上搭建ipv6代理
- javascript AOP
- IntentService学习
- babel基本用法
- Mybatis之旅第六篇-关联查询
- Apache配置对外访问默认路径(域名默认访问路径)
- python3 第二十五章 - comprehensions(推导式)
- python insert所用 插入到自定的位置
- Java线程小刀牛试
- python 阿狸的进阶之路(5)
热门文章
- OSX: 命令行制作U盘Recovery HD
- 解决:cant&;#39;t run &;#39;/etc/init.d/rcS&;#39;:No such file or directory
- Ansible 安装jdk
- oracle分区表和分区索引概述
- Linux 查看tomcat占用的端口号
- Weka学习之关联规则分析
- sublime使用技巧(2)-- 实用插件推荐【持续更新】
- Android自定义action与permission!!! (转)
- hdu_吃糖果(思维题)
- Java编码规范之数据对象命名