安全区段

第2层

V1-Trust

同一区段内的接口通信不需要策略,不同区段之间的接口通信则需要策略.

Global区段没有接口

V1-Untrust

V1-DMZ

第3层

Trust

Untrust

DMZ

全局

Global

Tunnel区段

Untrust-Tun

功能区段

Null,Self,MGT,HA,VLAN

安全区段是一个或多个网段组成的集合,是绑定了一个或多个接口的逻辑实体。

Set zone name zone         //创建名为zone的区段

Set zone zone block       //封锁同一区段内主机间的信息流

Set zone zone vrouter name_str    //将区段放入name_str的路由选择域

更改或删除区段前必须先删除所有绑定到该区段的接口

子接口和冗余接口

同一接口的子接口共享带宽,可以位于不同的安全区段。冗余接口是将两个物理接口捆绑在一起,互为备用接口。

通道接口充当VPN通道的入口。

可以将一些物理接口绑定到L2(第2层)或L3(第3层)安全区段。由于子接口需要IP地址,所以子接口只能绑定到L3安全区段。将接口绑定到L3安全区段后才能将IP地址指定给接口。无限接口不能绑定到Untrust安全区段。

在将接口分配到某个组之前,必须将给接口设置为Null安全区段。

 set interface ethernet0/3 zone null

 set interface ehternet0/4 zone null

 set interface bgroup1 port ehternet0/3

 set interface bgroup1 port ethernet0/4

 set interface bgroup1 zone DMZ

 save

如果接口无编号,那可以直接解除与现安全区段的绑定然后绑定到另一个安全区段。如果接口有编号,那么必须首先将该接口的IP地址和网络掩码都设为0.0.0.0。

 set interface ethernet0/3 ip 0.0.0.0/0

 set interface ethernet0/3 zone null

 save

 unset interface bgroup1 port ethernet0/3

 set interface ethernet0/3 zone trust

 save

安全区段的缺省接口是绑定到该区段的第一个接口。

 set interface ethernet0/5 ip 210.1.1.1/24

 set interface ethernet0/5 manage-ip 210.1.1.5

 save

更改e0/1的管理IP地址为10.1.1.12,启用ssh和ssl,禁用telnet和web。

 set interface ethernet0/1 manage-ip 10.1.1.12

 set interface ethernet0/1 manage ssh

 set interface ethernet0/1 manage ssl

 unset interface ethernet0/1 manage telnet

 unset interface ethernet0/1 manage web

 save

设置子接口e0/1.3的VLAN标记为ID 3。

 set interface ethernet0/1.3 zone accounting

 set interface ethernet0/1.3 ip 10.2.1.1/24 tag 3

 save

回传接口是逻辑接口,只要其所在设备开启它便处于工作状态。但若要通过网络或驻留在其他区段的主机访问回传接口则必须定义策略。

创建回传接口并设置其用于管理。

 set interface loopback.1 zone untrust

 set interface loopback.1 ip 1.1.1.27

 set interface loopback.1 manage

 save

创建地址条目:

 set address trust Sunnyvale_Eng 10.1.10.0/24

 set address untrust Juniper www.juniper.net

 save

修改地址条目:

 unset address trust Sunnyvale_Eng

 set address trust Sunnyvale_Eng 10.1.40.0/24

 save

删除地址条目:

 unset address trust "Sunnyvale_SW_Eng"

 save

创建和编辑地址组:

 set group address trust "HQ 2nd Floor" add "Santa Clara Eng"

 set group address trust "HQ 2nd Floor" add "Tech Pubs"

 save

删除成员和组:

 unset group address trust "HQ 2nd Floor" remove Support

 unset group address trust Sales

 save

创建服务:

 set service cust-telnet protocol tcp src-port 1-65535 dst-port 23000-23000

 set service cust-telnet timeout 30

 save

修改服务(修改服务前必须先清除服务的定义)

 set service cust-telnet clear

 set service cust-telnet + tcp src-port 1-65535 dst-port 23230-23230

 save

删除服务:

 unset service cust-telnet

 save

创建服务组:

 set group service grp1

 set group service grp1 add ike

 set group service grp1 add ftp

 set group service grp1 add ldap

 save

修改服务组:

 unset group service grp1 clear

 set group service grp1 add http

 set group service grp1 add finger

 set group service grp1 add imap

 save

删除服务组:

 unset group service grp1

 save

创建全局策略:

 set adddress global server1 www.juniper.com

 set policy global any server1 http permit

 save

修改策略(在源地址或目的地址前加!表示排除该地址)

 set policy id 1

 device(policy:1)-> set src-address host2

 device(policy:1)-> set dst-address server2

 device(policy:1)-> set service ftp

 device(policy:1)-> set attack CRITICAL:HTTP:SIGS

禁用策略:

 set policy id id_num disable

 save

验证策略:

 exec policy verify

排序策略:

 set policy move id_num {before | after} number

 save

删除策略:

 unset policy id_num

这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。

1. MIP的配置

MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。

MIP应用的网络拓扑图:

 set interface ethernet1 zone trust

 set interface etnernet1 ip 10.1.1.1/24

 set interface ethernet nat

 set interface ethernet2 zone untrust

 set interface ethernet2 ip 1.1.1.1/24

 //定义MIP

 set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr

 set policy from untrust to trust any mip(1.1.1.5) http permit

2. VIP的配置

MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。

 set interface ethernet1 zone trust

 set interface ethernet1 ip 10.1.1.1/24

 set interface ethernet1 nat

 set interface ethernet3 zone untrust

 set interface ethernet3 ip 1.1.1.1/24

 //定义VIP

 set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10

 set policy from untrust to trust any vip(1.1.1.10) http permit

 save

3. DIP的配置

DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址。

DIP应用的网络拓扑图:

 set interface ethernet1 zone trust

 set interface ethernet1 ip 10.1.1.1/24

 set interface ethernet nat

 set interface ethernet3 zone untrust

 set interface ethernet3 ip 1.1.1.1/24

 //定义DIP

 set interface ethernet3 dip 5 1.1.1.30 1.1.1.30

 set policy from trust to untrust any any http nat src dip-id 5 permit

 save

  

ScreenOS学习笔记的更多相关文章

  1. js学习笔记:webpack基础入门(一)

    之前听说过webpack,今天想正式的接触一下,先跟着webpack的官方用户指南走: 在这里有: 如何安装webpack 如何使用webpack 如何使用loader 如何使用webpack的开发者 ...

  2. PHP-自定义模板-学习笔记

    1.  开始 这几天,看了李炎恢老师的<PHP第二季度视频>中的“章节7:创建TPL自定义模板”,做一个学习笔记,通过绘制架构图.UML类图和思维导图,来对加深理解. 2.  整体架构图 ...

  3. PHP-会员登录与注册例子解析-学习笔记

    1.开始 最近开始学习李炎恢老师的<PHP第二季度视频>中的“章节5:使用OOP注册会员”,做一个学习笔记,通过绘制基本页面流程和UML类图,来对加深理解. 2.基本页面流程 3.通过UM ...

  4. 2014年暑假c#学习笔记目录

    2014年暑假c#学习笔记 一.C#编程基础 1. c#编程基础之枚举 2. c#编程基础之函数可变参数 3. c#编程基础之字符串基础 4. c#编程基础之字符串函数 5.c#编程基础之ref.ou ...

  5. JAVA GUI编程学习笔记目录

    2014年暑假JAVA GUI编程学习笔记目录 1.JAVA之GUI编程概述 2.JAVA之GUI编程布局 3.JAVA之GUI编程Frame窗口 4.JAVA之GUI编程事件监听机制 5.JAVA之 ...

  6. seaJs学习笔记2 – seaJs组建库的使用

    原文地址:seaJs学习笔记2 – seaJs组建库的使用 我觉得学习新东西并不是会使用它就够了的,会使用仅仅代表你看懂了,理解了,二不代表你深入了,彻悟了它的精髓. 所以不断的学习将是源源不断. 最 ...

  7. CSS学习笔记

    CSS学习笔记 2016年12月15日整理 CSS基础 Chapter1 在console输入escape("宋体") ENTER 就会出现unicode编码 显示"%u ...

  8. HTML学习笔记

    HTML学习笔记 2016年12月15日整理 Chapter1 URL(scheme://host.domain:port/path/filename) scheme: 定义因特网服务的类型,常见的为 ...

  9. DirectX Graphics Infrastructure(DXGI):最佳范例 学习笔记

    今天要学习的这篇文章写的算是比较早的了,大概在DX11时代就写好了,当时龙书11版看得很潦草,并没有注意这篇文章,现在看12,觉得是跳不过去的一篇文章,地址如下: https://msdn.micro ...

随机推荐

  1. WCF获取元数据

    所谓获取WCF的服务元数据(Metadata),归根结点,实际上就是获取服务的终结点(Endpoint)的信息,这是服务公开在外的数据信息,包括Address.Binding与Contract,也就是 ...

  2. cocos2d-x 3.0 Android环境搭建(亲測通过)

    网上一大堆讲述coco2d-x 3.0 版本号的android环境搭建.真是不忍直視.讲的不清不楚,真是不知道他们自己有没有測试过.今天正好忙完项目有点时间去部署了下android环境. cocos2 ...

  3. asp.net repeater Container.ItemIndex

    <asp:Repeater ID="myRepeater" runat="server"> <HeaderTemplate> <t ...

  4. Away3D引擎学习笔记(二)CameraController相机控制的应用

    cameraController---相机控制器 这里针对Away3D里面封装的CameraController的区别和使用做些简单介绍.相机控制器的设计思路比较清晰,所以难点东西不多.使用方面附上源 ...

  5. poj 2762 Going from u to v or from v to u?(强连通、缩点、拓扑)

    题意:(理解错了)在一个洞穴中有多个room,要求任意选两个room:u.v,都能保证u.v之间有通路,注意洞穴中的路是有向边.. 分析:强连通子图中的点必然两两之间可以互通,两个强连通子图之间有通路 ...

  6. windows upd广播包无法发送到局域网解决方法

    不能发送广播包的电脑和可以发送广播报的主机对比,发现不能发送广播报的主机上都有安装虚拟机,也有虚拟网卡,将所有的虚拟网卡关闭,然后再进行测试,都正常了,无论是Win7,Win10还是Xp. 禁用VMw ...

  7. linux模块导出符号 EXPORT_SYMBOL_GPL&EXPORT_SYMBOL(转)

    转自:http://blog.csdn.net/angle_birds/article/details/7396748 一个模块mod1中定义一个函数func1:在另外一个模块mod2中定义一个函数f ...

  8. Codeforces 38G Queue 伸展树

    题目链接:点击打开链接 题意: 给定n个人来排队 每一个人有2个參数.身份优先级和脸皮厚度 == 来的那个人会排到队尾 假设这个人的优先级比他前面那个人的优先级大就会和前面那个人交换位置. 交换一次脸 ...

  9. linux 进程线程

    linux下进程的最大线程数.进程最大数.进程打开的文件数   ===========最大线程数============== linux 系统中单个进程的最大线程数有其最大的限制 PTHREAD_TH ...

  10. python 求下个月的最后一天

    [1]根据当前月求上个月.下个月的最后一天 (1)求当前月最后一天 (2)求前一个月的最后一天 (3)求下一个月的最后一天 学习示例与应用实例,代码如下: #!/usr/bin/python3 #-* ...