安全区段

第2层

V1-Trust

同一区段内的接口通信不需要策略,不同区段之间的接口通信则需要策略.

Global区段没有接口

V1-Untrust

V1-DMZ

第3层

Trust

Untrust

DMZ

全局

Global

Tunnel区段

Untrust-Tun

功能区段

Null,Self,MGT,HA,VLAN

安全区段是一个或多个网段组成的集合,是绑定了一个或多个接口的逻辑实体。

Set zone name zone         //创建名为zone的区段

Set zone zone block       //封锁同一区段内主机间的信息流

Set zone zone vrouter name_str    //将区段放入name_str的路由选择域

更改或删除区段前必须先删除所有绑定到该区段的接口

子接口和冗余接口

同一接口的子接口共享带宽,可以位于不同的安全区段。冗余接口是将两个物理接口捆绑在一起,互为备用接口。

通道接口充当VPN通道的入口。

可以将一些物理接口绑定到L2(第2层)或L3(第3层)安全区段。由于子接口需要IP地址,所以子接口只能绑定到L3安全区段。将接口绑定到L3安全区段后才能将IP地址指定给接口。无限接口不能绑定到Untrust安全区段。

在将接口分配到某个组之前,必须将给接口设置为Null安全区段。

 set interface ethernet0/3 zone null

 set interface ehternet0/4 zone null

 set interface bgroup1 port ehternet0/3

 set interface bgroup1 port ethernet0/4

 set interface bgroup1 zone DMZ

 save

如果接口无编号,那可以直接解除与现安全区段的绑定然后绑定到另一个安全区段。如果接口有编号,那么必须首先将该接口的IP地址和网络掩码都设为0.0.0.0。

 set interface ethernet0/3 ip 0.0.0.0/0

 set interface ethernet0/3 zone null

 save

 unset interface bgroup1 port ethernet0/3

 set interface ethernet0/3 zone trust

 save

安全区段的缺省接口是绑定到该区段的第一个接口。

 set interface ethernet0/5 ip 210.1.1.1/24

 set interface ethernet0/5 manage-ip 210.1.1.5

 save

更改e0/1的管理IP地址为10.1.1.12,启用ssh和ssl,禁用telnet和web。

 set interface ethernet0/1 manage-ip 10.1.1.12

 set interface ethernet0/1 manage ssh

 set interface ethernet0/1 manage ssl

 unset interface ethernet0/1 manage telnet

 unset interface ethernet0/1 manage web

 save

设置子接口e0/1.3的VLAN标记为ID 3。

 set interface ethernet0/1.3 zone accounting

 set interface ethernet0/1.3 ip 10.2.1.1/24 tag 3

 save

回传接口是逻辑接口,只要其所在设备开启它便处于工作状态。但若要通过网络或驻留在其他区段的主机访问回传接口则必须定义策略。

创建回传接口并设置其用于管理。

 set interface loopback.1 zone untrust

 set interface loopback.1 ip 1.1.1.27

 set interface loopback.1 manage

 save

创建地址条目:

 set address trust Sunnyvale_Eng 10.1.10.0/24

 set address untrust Juniper www.juniper.net

 save

修改地址条目:

 unset address trust Sunnyvale_Eng

 set address trust Sunnyvale_Eng 10.1.40.0/24

 save

删除地址条目:

 unset address trust "Sunnyvale_SW_Eng"

 save

创建和编辑地址组:

 set group address trust "HQ 2nd Floor" add "Santa Clara Eng"

 set group address trust "HQ 2nd Floor" add "Tech Pubs"

 save

删除成员和组:

 unset group address trust "HQ 2nd Floor" remove Support

 unset group address trust Sales

 save

创建服务:

 set service cust-telnet protocol tcp src-port 1-65535 dst-port 23000-23000

 set service cust-telnet timeout 30

 save

修改服务(修改服务前必须先清除服务的定义)

 set service cust-telnet clear

 set service cust-telnet + tcp src-port 1-65535 dst-port 23230-23230

 save

删除服务:

 unset service cust-telnet

 save

创建服务组:

 set group service grp1

 set group service grp1 add ike

 set group service grp1 add ftp

 set group service grp1 add ldap

 save

修改服务组:

 unset group service grp1 clear

 set group service grp1 add http

 set group service grp1 add finger

 set group service grp1 add imap

 save

删除服务组:

 unset group service grp1

 save

创建全局策略:

 set adddress global server1 www.juniper.com

 set policy global any server1 http permit

 save

修改策略(在源地址或目的地址前加!表示排除该地址)

 set policy id 1

 device(policy:1)-> set src-address host2

 device(policy:1)-> set dst-address server2

 device(policy:1)-> set service ftp

 device(policy:1)-> set attack CRITICAL:HTTP:SIGS

禁用策略:

 set policy id id_num disable

 save

验证策略:

 exec policy verify

排序策略:

 set policy move id_num {before | after} number

 save

删除策略:

 unset policy id_num

这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。

1. MIP的配置

MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。

MIP应用的网络拓扑图:

 set interface ethernet1 zone trust

 set interface etnernet1 ip 10.1.1.1/24

 set interface ethernet nat

 set interface ethernet2 zone untrust

 set interface ethernet2 ip 1.1.1.1/24

 //定义MIP

 set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr

 set policy from untrust to trust any mip(1.1.1.5) http permit

2. VIP的配置

MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。

 set interface ethernet1 zone trust

 set interface ethernet1 ip 10.1.1.1/24

 set interface ethernet1 nat

 set interface ethernet3 zone untrust

 set interface ethernet3 ip 1.1.1.1/24

 //定义VIP

 set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10

 set policy from untrust to trust any vip(1.1.1.10) http permit

 save

3. DIP的配置

DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址。

DIP应用的网络拓扑图:

 set interface ethernet1 zone trust

 set interface ethernet1 ip 10.1.1.1/24

 set interface ethernet nat

 set interface ethernet3 zone untrust

 set interface ethernet3 ip 1.1.1.1/24

 //定义DIP

 set interface ethernet3 dip 5 1.1.1.30 1.1.1.30

 set policy from trust to untrust any any http nat src dip-id 5 permit

 save

  

最新文章

  1. [ASP.NET MVC] ASP.NET Identity登入技术应用
  2. Android强制设定横屏时,SurfaceView一直黑屏
  3. JSONArray的使用
  4. Html5 学习系列(六)Html5本地存储和本地数据库
  5. SQL防注入程序
  6. rsync服务器的配置和使用
  7. deep-learning-frameworks
  8. [RxJS] Filtering operators: skipWhile and skipUntil
  9. java字符串数组进行大小排序
  10. iOS 搜索框控件 最简单的dome
  11. 在windows上搭建ipv6代理
  12. javascript AOP
  13. IntentService学习
  14. babel基本用法
  15. Mybatis之旅第六篇-关联查询
  16. Apache配置对外访问默认路径(域名默认访问路径)
  17. python3 第二十五章 - comprehensions(推导式)
  18. python insert所用 插入到自定的位置
  19. Java线程小刀牛试
  20. python 阿狸的进阶之路(5)

热门文章

  1. OSX: 命令行制作U盘Recovery HD
  2. 解决:cant't run '/etc/init.d/rcS':No such file or directory
  3. Ansible 安装jdk
  4. oracle分区表和分区索引概述
  5. Linux 查看tomcat占用的端口号
  6. Weka学习之关联规则分析
  7. sublime使用技巧(2)-- 实用插件推荐【持续更新】
  8. Android自定义action与permission!!! (转)
  9. hdu_吃糖果(思维题)
  10. Java编码规范之数据对象命名