安全区段

第2层

V1-Trust

同一区段内的接口通信不需要策略,不同区段之间的接口通信则需要策略.

Global区段没有接口

V1-Untrust

V1-DMZ

第3层

Trust

Untrust

DMZ

全局

Global

Tunnel区段

Untrust-Tun

功能区段

Null,Self,MGT,HA,VLAN

安全区段是一个或多个网段组成的集合,是绑定了一个或多个接口的逻辑实体。

Set zone name zone         //创建名为zone的区段

Set zone zone block       //封锁同一区段内主机间的信息流

Set zone zone vrouter name_str    //将区段放入name_str的路由选择域

更改或删除区段前必须先删除所有绑定到该区段的接口

子接口和冗余接口

同一接口的子接口共享带宽,可以位于不同的安全区段。冗余接口是将两个物理接口捆绑在一起,互为备用接口。

通道接口充当VPN通道的入口。

可以将一些物理接口绑定到L2(第2层)或L3(第3层)安全区段。由于子接口需要IP地址,所以子接口只能绑定到L3安全区段。将接口绑定到L3安全区段后才能将IP地址指定给接口。无限接口不能绑定到Untrust安全区段。

在将接口分配到某个组之前,必须将给接口设置为Null安全区段。

 set interface ethernet0/3 zone null

 set interface ehternet0/4 zone null

 set interface bgroup1 port ehternet0/3

 set interface bgroup1 port ethernet0/4

 set interface bgroup1 zone DMZ

 save

如果接口无编号,那可以直接解除与现安全区段的绑定然后绑定到另一个安全区段。如果接口有编号,那么必须首先将该接口的IP地址和网络掩码都设为0.0.0.0。

 set interface ethernet0/3 ip 0.0.0.0/0

 set interface ethernet0/3 zone null

 save

 unset interface bgroup1 port ethernet0/3

 set interface ethernet0/3 zone trust

 save

安全区段的缺省接口是绑定到该区段的第一个接口。

 set interface ethernet0/5 ip 210.1.1.1/24

 set interface ethernet0/5 manage-ip 210.1.1.5

 save

更改e0/1的管理IP地址为10.1.1.12,启用ssh和ssl,禁用telnet和web。

 set interface ethernet0/1 manage-ip 10.1.1.12

 set interface ethernet0/1 manage ssh

 set interface ethernet0/1 manage ssl

 unset interface ethernet0/1 manage telnet

 unset interface ethernet0/1 manage web

 save

设置子接口e0/1.3的VLAN标记为ID 3。

 set interface ethernet0/1.3 zone accounting

 set interface ethernet0/1.3 ip 10.2.1.1/24 tag 3

 save

回传接口是逻辑接口,只要其所在设备开启它便处于工作状态。但若要通过网络或驻留在其他区段的主机访问回传接口则必须定义策略。

创建回传接口并设置其用于管理。

 set interface loopback.1 zone untrust

 set interface loopback.1 ip 1.1.1.27

 set interface loopback.1 manage

 save

创建地址条目:

 set address trust Sunnyvale_Eng 10.1.10.0/24

 set address untrust Juniper www.juniper.net

 save

修改地址条目:

 unset address trust Sunnyvale_Eng

 set address trust Sunnyvale_Eng 10.1.40.0/24

 save

删除地址条目:

 unset address trust "Sunnyvale_SW_Eng"

 save

创建和编辑地址组:

 set group address trust "HQ 2nd Floor" add "Santa Clara Eng"

 set group address trust "HQ 2nd Floor" add "Tech Pubs"

 save

删除成员和组:

 unset group address trust "HQ 2nd Floor" remove Support

 unset group address trust Sales

 save

创建服务:

 set service cust-telnet protocol tcp src-port 1-65535 dst-port 23000-23000

 set service cust-telnet timeout 30

 save

修改服务(修改服务前必须先清除服务的定义)

 set service cust-telnet clear

 set service cust-telnet + tcp src-port 1-65535 dst-port 23230-23230

 save

删除服务:

 unset service cust-telnet

 save

创建服务组:

 set group service grp1

 set group service grp1 add ike

 set group service grp1 add ftp

 set group service grp1 add ldap

 save

修改服务组:

 unset group service grp1 clear

 set group service grp1 add http

 set group service grp1 add finger

 set group service grp1 add imap

 save

删除服务组:

 unset group service grp1

 save

创建全局策略:

 set adddress global server1 www.juniper.com

 set policy global any server1 http permit

 save

修改策略(在源地址或目的地址前加!表示排除该地址)

 set policy id 1

 device(policy:1)-> set src-address host2

 device(policy:1)-> set dst-address server2

 device(policy:1)-> set service ftp

 device(policy:1)-> set attack CRITICAL:HTTP:SIGS

禁用策略:

 set policy id id_num disable

 save

验证策略:

 exec policy verify

排序策略:

 set policy move id_num {before | after} number

 save

删除策略:

 unset policy id_num

这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。

1. MIP的配置

MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。

MIP应用的网络拓扑图:

 set interface ethernet1 zone trust

 set interface etnernet1 ip 10.1.1.1/24

 set interface ethernet nat

 set interface ethernet2 zone untrust

 set interface ethernet2 ip 1.1.1.1/24

 //定义MIP

 set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr

 set policy from untrust to trust any mip(1.1.1.5) http permit

2. VIP的配置

MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。

 set interface ethernet1 zone trust

 set interface ethernet1 ip 10.1.1.1/24

 set interface ethernet1 nat

 set interface ethernet3 zone untrust

 set interface ethernet3 ip 1.1.1.1/24

 //定义VIP

 set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10

 set policy from untrust to trust any vip(1.1.1.10) http permit

 save

3. DIP的配置

DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址。

DIP应用的网络拓扑图:

 set interface ethernet1 zone trust

 set interface ethernet1 ip 10.1.1.1/24

 set interface ethernet nat

 set interface ethernet3 zone untrust

 set interface ethernet3 ip 1.1.1.1/24

 //定义DIP

 set interface ethernet3 dip 5 1.1.1.30 1.1.1.30

 set policy from trust to untrust any any http nat src dip-id 5 permit

 save

  

ScreenOS学习笔记的更多相关文章

  1. js学习笔记:webpack基础入门(一)

    之前听说过webpack,今天想正式的接触一下,先跟着webpack的官方用户指南走: 在这里有: 如何安装webpack 如何使用webpack 如何使用loader 如何使用webpack的开发者 ...

  2. PHP-自定义模板-学习笔记

    1.  开始 这几天,看了李炎恢老师的<PHP第二季度视频>中的“章节7:创建TPL自定义模板”,做一个学习笔记,通过绘制架构图.UML类图和思维导图,来对加深理解. 2.  整体架构图 ...

  3. PHP-会员登录与注册例子解析-学习笔记

    1.开始 最近开始学习李炎恢老师的<PHP第二季度视频>中的“章节5:使用OOP注册会员”,做一个学习笔记,通过绘制基本页面流程和UML类图,来对加深理解. 2.基本页面流程 3.通过UM ...

  4. 2014年暑假c#学习笔记目录

    2014年暑假c#学习笔记 一.C#编程基础 1. c#编程基础之枚举 2. c#编程基础之函数可变参数 3. c#编程基础之字符串基础 4. c#编程基础之字符串函数 5.c#编程基础之ref.ou ...

  5. JAVA GUI编程学习笔记目录

    2014年暑假JAVA GUI编程学习笔记目录 1.JAVA之GUI编程概述 2.JAVA之GUI编程布局 3.JAVA之GUI编程Frame窗口 4.JAVA之GUI编程事件监听机制 5.JAVA之 ...

  6. seaJs学习笔记2 – seaJs组建库的使用

    原文地址:seaJs学习笔记2 – seaJs组建库的使用 我觉得学习新东西并不是会使用它就够了的,会使用仅仅代表你看懂了,理解了,二不代表你深入了,彻悟了它的精髓. 所以不断的学习将是源源不断. 最 ...

  7. CSS学习笔记

    CSS学习笔记 2016年12月15日整理 CSS基础 Chapter1 在console输入escape("宋体") ENTER 就会出现unicode编码 显示"%u ...

  8. HTML学习笔记

    HTML学习笔记 2016年12月15日整理 Chapter1 URL(scheme://host.domain:port/path/filename) scheme: 定义因特网服务的类型,常见的为 ...

  9. DirectX Graphics Infrastructure(DXGI):最佳范例 学习笔记

    今天要学习的这篇文章写的算是比较早的了,大概在DX11时代就写好了,当时龙书11版看得很潦草,并没有注意这篇文章,现在看12,觉得是跳不过去的一篇文章,地址如下: https://msdn.micro ...

随机推荐

  1. SQL数据库从高版本到低版本的迁移,同时解决sql脚本文件太大无法打开的尴尬问题

    as we known,sql数据库高版本向低版本还原是不太可能但是又经常会碰到的事,今天实测了一种方法 步骤:任务—>生成脚本—> 下一步->高级,选择数据库版本和编写脚本数据类型 ...

  2. 摘录 LDAP

    1.LDAP就是 light DAP, 轻量级目录访问协议     LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写     LDAP标准 ...

  3. c# 冒号 :

    1.表示继承关系 class classA:classB 2.继承构造, 调用自己这个类的某个构造函数,因为有的类构造函数很多参数,而有的参数又不是必须填写,或者可以提供一些默认值,就跟重载是一样的道 ...

  4. Sql视图创建语句及修改视图

    create view [dbo].[AllUsers] as select u.UserId, u.Firstname, u.Lastname, u.ts, am.Email, au.UserNam ...

  5. android开发游记:meterial design 5.0 开源控件整套合集 及使用demo

    android 的5.0公布不光google官方给出了一些新控件,同一时候还给出了一套符合material design风格的设计标准,这套标准将未来将覆盖google全部产品包括pc端,站点,移动端 ...

  6. atitit.bsh BeanShell 的动态脚本使用java

    atitit.bsh BeanShell 的动态脚本使用java 1.1. BeanShell是一个小巧免费的JAVA源码解释器 ,支持对象式的脚本语言特性,亦可嵌入到JAVA源代码中. 亦可嵌入到J ...

  7. Nginx访问日志和错误日志的拆分(Logstash)

    >> from zhuhaiqing.info input { file { type =>> "nginx-access" path =>> ...

  8. Unity3D性能优化之Draw Call Batching

    在屏幕上渲染物体,引擎需要发出一个绘制调用来访问图形API(iOS系统中为OpenGL ES).每个绘制调用需要进行大量的工作来访问图形API,从而导致了CPU方面显著的性能开销. Unity在运行时 ...

  9. APICloud打包Vue单页应用

    APICloud新建项目后,会生成以下目录结构 其中index.html是入口文件,而vue-cli打包生成的文件是在dist目录下 ├─dist│ └─static│ ├─css│ └─js │ └ ...

  10. java使用命令wsimport构建WebService客户端

    wsimport -d d: -keep -extension -p com.demo.client http://192.168.33.3//RECEPTIONws.ASMX?WSDL 客户端:在J ...