安全区段

第2层

V1-Trust

同一区段内的接口通信不需要策略,不同区段之间的接口通信则需要策略.

Global区段没有接口

V1-Untrust

V1-DMZ

第3层

Trust

Untrust

DMZ

全局

Global

Tunnel区段

Untrust-Tun

功能区段

Null,Self,MGT,HA,VLAN

安全区段是一个或多个网段组成的集合,是绑定了一个或多个接口的逻辑实体。

Set zone name zone         //创建名为zone的区段

Set zone zone block       //封锁同一区段内主机间的信息流

Set zone zone vrouter name_str    //将区段放入name_str的路由选择域

更改或删除区段前必须先删除所有绑定到该区段的接口

子接口和冗余接口

同一接口的子接口共享带宽,可以位于不同的安全区段。冗余接口是将两个物理接口捆绑在一起,互为备用接口。

通道接口充当VPN通道的入口。

可以将一些物理接口绑定到L2(第2层)或L3(第3层)安全区段。由于子接口需要IP地址,所以子接口只能绑定到L3安全区段。将接口绑定到L3安全区段后才能将IP地址指定给接口。无限接口不能绑定到Untrust安全区段。

在将接口分配到某个组之前,必须将给接口设置为Null安全区段。

 set interface ethernet0/3 zone null

 set interface ehternet0/4 zone null

 set interface bgroup1 port ehternet0/3

 set interface bgroup1 port ethernet0/4

 set interface bgroup1 zone DMZ

 save

如果接口无编号,那可以直接解除与现安全区段的绑定然后绑定到另一个安全区段。如果接口有编号,那么必须首先将该接口的IP地址和网络掩码都设为0.0.0.0。

 set interface ethernet0/3 ip 0.0.0.0/0

 set interface ethernet0/3 zone null

 save

 unset interface bgroup1 port ethernet0/3

 set interface ethernet0/3 zone trust

 save

安全区段的缺省接口是绑定到该区段的第一个接口。

 set interface ethernet0/5 ip 210.1.1.1/24

 set interface ethernet0/5 manage-ip 210.1.1.5

 save

更改e0/1的管理IP地址为10.1.1.12,启用ssh和ssl,禁用telnet和web。

 set interface ethernet0/1 manage-ip 10.1.1.12

 set interface ethernet0/1 manage ssh

 set interface ethernet0/1 manage ssl

 unset interface ethernet0/1 manage telnet

 unset interface ethernet0/1 manage web

 save

设置子接口e0/1.3的VLAN标记为ID 3。

 set interface ethernet0/1.3 zone accounting

 set interface ethernet0/1.3 ip 10.2.1.1/24 tag 3

 save

回传接口是逻辑接口,只要其所在设备开启它便处于工作状态。但若要通过网络或驻留在其他区段的主机访问回传接口则必须定义策略。

创建回传接口并设置其用于管理。

 set interface loopback.1 zone untrust

 set interface loopback.1 ip 1.1.1.27

 set interface loopback.1 manage

 save

创建地址条目:

 set address trust Sunnyvale_Eng 10.1.10.0/24

 set address untrust Juniper www.juniper.net

 save

修改地址条目:

 unset address trust Sunnyvale_Eng

 set address trust Sunnyvale_Eng 10.1.40.0/24

 save

删除地址条目:

 unset address trust "Sunnyvale_SW_Eng"

 save

创建和编辑地址组:

 set group address trust "HQ 2nd Floor" add "Santa Clara Eng"

 set group address trust "HQ 2nd Floor" add "Tech Pubs"

 save

删除成员和组:

 unset group address trust "HQ 2nd Floor" remove Support

 unset group address trust Sales

 save

创建服务:

 set service cust-telnet protocol tcp src-port 1-65535 dst-port 23000-23000

 set service cust-telnet timeout 30

 save

修改服务(修改服务前必须先清除服务的定义)

 set service cust-telnet clear

 set service cust-telnet + tcp src-port 1-65535 dst-port 23230-23230

 save

删除服务:

 unset service cust-telnet

 save

创建服务组:

 set group service grp1

 set group service grp1 add ike

 set group service grp1 add ftp

 set group service grp1 add ldap

 save

修改服务组:

 unset group service grp1 clear

 set group service grp1 add http

 set group service grp1 add finger

 set group service grp1 add imap

 save

删除服务组:

 unset group service grp1

 save

创建全局策略:

 set adddress global server1 www.juniper.com

 set policy global any server1 http permit

 save

修改策略(在源地址或目的地址前加!表示排除该地址)

 set policy id 1

 device(policy:1)-> set src-address host2

 device(policy:1)-> set dst-address server2

 device(policy:1)-> set service ftp

 device(policy:1)-> set attack CRITICAL:HTTP:SIGS

禁用策略:

 set policy id id_num disable

 save

验证策略:

 exec policy verify

排序策略:

 set policy move id_num {before | after} number

 save

删除策略:

 unset policy id_num

这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。

1. MIP的配置

MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。

MIP应用的网络拓扑图:

 set interface ethernet1 zone trust

 set interface etnernet1 ip 10.1.1.1/24

 set interface ethernet nat

 set interface ethernet2 zone untrust

 set interface ethernet2 ip 1.1.1.1/24

 //定义MIP

 set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr

 set policy from untrust to trust any mip(1.1.1.5) http permit

2. VIP的配置

MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。

 set interface ethernet1 zone trust

 set interface ethernet1 ip 10.1.1.1/24

 set interface ethernet1 nat

 set interface ethernet3 zone untrust

 set interface ethernet3 ip 1.1.1.1/24

 //定义VIP

 set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10

 set policy from untrust to trust any vip(1.1.1.10) http permit

 save

3. DIP的配置

DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址。

DIP应用的网络拓扑图:

 set interface ethernet1 zone trust

 set interface ethernet1 ip 10.1.1.1/24

 set interface ethernet nat

 set interface ethernet3 zone untrust

 set interface ethernet3 ip 1.1.1.1/24

 //定义DIP

 set interface ethernet3 dip 5 1.1.1.30 1.1.1.30

 set policy from trust to untrust any any http nat src dip-id 5 permit

 save

  

ScreenOS学习笔记的更多相关文章

  1. js学习笔记:webpack基础入门(一)

    之前听说过webpack,今天想正式的接触一下,先跟着webpack的官方用户指南走: 在这里有: 如何安装webpack 如何使用webpack 如何使用loader 如何使用webpack的开发者 ...

  2. PHP-自定义模板-学习笔记

    1.  开始 这几天,看了李炎恢老师的<PHP第二季度视频>中的“章节7:创建TPL自定义模板”,做一个学习笔记,通过绘制架构图.UML类图和思维导图,来对加深理解. 2.  整体架构图 ...

  3. PHP-会员登录与注册例子解析-学习笔记

    1.开始 最近开始学习李炎恢老师的<PHP第二季度视频>中的“章节5:使用OOP注册会员”,做一个学习笔记,通过绘制基本页面流程和UML类图,来对加深理解. 2.基本页面流程 3.通过UM ...

  4. 2014年暑假c#学习笔记目录

    2014年暑假c#学习笔记 一.C#编程基础 1. c#编程基础之枚举 2. c#编程基础之函数可变参数 3. c#编程基础之字符串基础 4. c#编程基础之字符串函数 5.c#编程基础之ref.ou ...

  5. JAVA GUI编程学习笔记目录

    2014年暑假JAVA GUI编程学习笔记目录 1.JAVA之GUI编程概述 2.JAVA之GUI编程布局 3.JAVA之GUI编程Frame窗口 4.JAVA之GUI编程事件监听机制 5.JAVA之 ...

  6. seaJs学习笔记2 – seaJs组建库的使用

    原文地址:seaJs学习笔记2 – seaJs组建库的使用 我觉得学习新东西并不是会使用它就够了的,会使用仅仅代表你看懂了,理解了,二不代表你深入了,彻悟了它的精髓. 所以不断的学习将是源源不断. 最 ...

  7. CSS学习笔记

    CSS学习笔记 2016年12月15日整理 CSS基础 Chapter1 在console输入escape("宋体") ENTER 就会出现unicode编码 显示"%u ...

  8. HTML学习笔记

    HTML学习笔记 2016年12月15日整理 Chapter1 URL(scheme://host.domain:port/path/filename) scheme: 定义因特网服务的类型,常见的为 ...

  9. DirectX Graphics Infrastructure(DXGI):最佳范例 学习笔记

    今天要学习的这篇文章写的算是比较早的了,大概在DX11时代就写好了,当时龙书11版看得很潦草,并没有注意这篇文章,现在看12,觉得是跳不过去的一篇文章,地址如下: https://msdn.micro ...

随机推荐

  1. 【优才原创】Android的拖放机制

    优才网 [优才原创]Android的拖放机制 2016-04-18 优才学院 优才网 一.拖放机制概述 ² 拖放操作是手指触摸屏幕上的某一对象.然后拖动该对象.最后在屏幕的某个位置释放该对象并运行某种 ...

  2. 本地文件上传到linux

    首先下载插件,输入下面命令: yum -y install lrzsz 然后输入rz选择上传文件: rz 如果rz命令不好使的话,就输入: rz -be

  3. 【已解决】 iView-admin 动态路由问题

    IView-admin 在使用的时候 跳转客户详细后,点击其它页面,然后再从选项卡进入页面时,发下控制台 报错,不能正常打开客户详细页面 [vue-router] Route with name 'c ...

  4. java学习笔记——java中对象的创建,初始化,引用的解析

    如果有一个A类. 1.例如以下表达式: A  a1 = new A(); 那么A是类,a1是引用.new A()是对象.仅仅是a1这个引用指向了new A()这个对象. 2.又如: A  a2; A代 ...

  5. The best way to predict the future is to invent it,预测未来最好的方法是创造它!

    The best way to predict the future is to invent it,预测未来最好的方法是创造它! ——Smalltalk发明人Alan Kay “预测未来的最好方法, ...

  6. 机器学习5—logistic回归学习笔记

    机器学习实战之logistic回归 test5.py #-*- coding:utf-8 import sys sys.path.append("logRegres.py") fr ...

  7. ConcurrentHashMap的使用和原理

    呵呵呵,原理nmb. HashTable,HashMap,ConcurrentHashMap 当你作为一个菜鸡的时候,别人就会那这个来问你. 为什么要用ConcurrentHashMap,因为Hash ...

  8. Linux的各个文件夹名称解释(FHS)

    对于接触和已经接触过一段时间Linux的使用者来说,系统的各个文件夹名字还是挺让人费解的,什么etc,usr,var等等,大部分也是耳濡目染才有一个大概的概念,例如usr是存放自己编译安装的软件,et ...

  9. c++中如何查看一个类的内存布局

    打开VS command prompt,输入下述命令可以看到对象的内存布局. cl a.cpp -d1 reportSingleClassLayout[classname] //  reportSin ...

  10. PHP-Manual的学习----【语言参考】----【类型】-----【NULL】

    2017年8月24日11:34:061.特殊的 NULL 值表示一个变量没有值.NULL 类型唯一可能的值就是 NULL. 2.在下列情况下一个变量被认为是 NULL: ◦ 被赋值为 NULL. ◦ ...