收藏小站
Juniper SRX 防火墙配置管理手册 下载本文

2.3.4 添加策略配置举例

Policy配置方法与ScreenOS基本一致,仅在配置命令上有所区别,其中策略的允许/拒绝的动作(Action)需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上配置语句)。Policy需要手动配置policy name,policy name可以是字符串,也可以是数字(与ScreenOS的policy ID类似,只不过需要手工指定)。 首先需要注意系统缺省策略配置:

root# show security policies default-policy 查看当前系统缺省策略动作 root# set security policies default-policy ? 设置系统缺省策略动作 Possible completions:

deny-all Deny all traffic if no policy match permit-all Permit all traffic if no policy match

根据实验拓扑进行策略配置举例说明

set security zones security-zone trust address-book address pc1 20.1.1.200/32

set security zones security-zone untrust address-book address server1 192.168.1.200/32

/***与ScreenOS一样,在trust和untrust zone下分别定义地址对象便于策略调用,地址对象的名称可以是地址/掩码形式***/

set security zones security-zone trust address-book address-set addr-group1 address pc1

/***在trust zone下定义名称为add-group1的地址组,并将pc1地址放到该地址组中***/

Set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application any

set security policies from-zone trust to-zone untrust policy 001 then permit

/***定义从trust 到untrust方向permit策略,允许addr-group1组的源地址访问server1地址any服务***/

set security policies from-zone trust to-zone untrust policy 001 then log session-init set security policies from-zone trust to-zone untrust policy 001 then log session-close set security policies from-zone trust to-zone untrust policy 001 then count

<可选配置>/***定义从trust 到untrust方向策略,针对当前策略记录日志并统计策略流量

root# set security policies from-zone trust to-zone untrust policy 001 scheduler-name happy-time root# set security policies from-zone trust to-zone dmz policy 001 scheduler-name work-time

<可选配置>/***定义当前策略,引用时间调度对象,符合时间条件策略生效,否则策略将处于非工作状态

root# set security policies from-zone trust to-zone untrust policy t-u then permit application-services ? Possible completions:

+ apply-groups Groups from which to inherit configuration data + apply-groups-SRXcept Don't inherit configuration data from these groups gprs-gtp-profile Specify GPRS Tunneling Protocol profile name idp Intrusion detection and prevention redirect-wx Set WX redirection reverse-redirect-wx Set WX reverse redirection uac-policy Enable unified access control enforcement of policy utm-policy Specify utm policy name [edit]

<可选配置>/***定义当前策略,选择是否客气IDP\\UAC\\UTM等操作,如果针对策略开启相应的检查,请先定义好相应的功能。

第 9 页 共 26 页

2.3.5 策略删除

删除SRX防火墙策略命令,在JUNOS系统中删除全部都使用delete命令,因此删除策略的命令如下: srx3400@root#delete security policies from trust to untrust policy 1 /*** 删除从trust到 untrust 策略ID为1的策略 ***/

命令如下:srx3400@root#delete security policies from zone-name to zone-name policy policy-id Zone-name:表示自定义或者预定义的zone名字。例如:trust、untrust、dmz等 Policy-id:表示策略的ID号,例如:1、2、3、4、n。

注意:如果不加策略ID将表示删除从From-zone 到 TO zone 的全部策略

2.3.6 调整策略顺序

SRX防火墙的策略执行顺序是自上而下,逐一检查进行匹配。新添加的策略将排列在策略的最后一个,默认策略是全部阻止,因此如果前面有模糊匹配的策略,精确匹配策略将不再执行,所以需要调整策略顺序。 命令如下:(1) srx3400@root#insert security policies from trust to untrust policy 1 before policy 2

/*** 将从trust区域到untrust区域的策略1插入到策略2的前面 ***/

(2) srx3400@root#insert security policies from trust to untrust policy 1 after policy 2

/*** 将从trust区域到untrust区域的策略1插入到策略2的后面 ***/

命令格式:srx3400@root#insert security policies from zone-name to zone-name policy policy-id before

policy policy-id

srx3400@root#insert security policies from zone-name to zone-name policy policy-id after

policy policy-id

2.3.7 策略失效与激活

在SRX防火墙中准备暂停某条策略,等待测试结束后再激活启用,使用如下命令进行设置 命令如下:策略失效

(1) srx3400@root#deactive security policies from trust to untrust policy 1

/*** 将从trust区域到untrust区域的策略1 暂时停用 ***/ 策略激活

(2)srx3400@root#active security policies from trust to untrust policy 1

/*** 将从trust区域到untrust区域的策略1 激活 ***/

激活和失效配置完成后都要进行commit操作。 命令如下:srx3400@root#commit

2.4 地址转换

SRX NAT较ScreenOS在功能实现方面基本保持一致,但在功能配置上有较大区别,配置的主要差异在于ScreenOS的NAT与policy是绑定的,无论是MIP/VIP/DIP还是基于策略的NAT,在policy中均要体现出NAT内容(除了缺省基于untrust接口的Souec-NAT模式外),而SRX 的NAT则作为网络层面基础内容进行独立配置(独立定义地址映射的方向、映射关系及地址范围),Policy中不再包含NAT相关配置信息,这样的好处是易于理解、

第 10 页 共 26 页

简化运维,当网络拓朴和NAT映射关系发生改变时,无需调整Policy配置内容。

SRX NAT和Policy执行先后顺序为:目的地址转换-目的地址路由查找-执行策略检查-源地址转换,结合这个执行顺序,在配置Policy时需注意:Policy中源地址应是转换前的源地址,而目的地址应该是转换后的目的地址,换句话说,Policy中的源和目的地址应该是源和目的两端的真实IP地址,这一点和ScreenOS存在区别,需要加以注意。

SRX中不再使用MIP/VIP/DIP这些概念,其中MIP被Static静态地址转换取代,两者在功能上完全一致;DIP被Source NAT取代;基于Policy的目的地址转换及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址转换被保留下来,但在SRX中不再是缺省模式(SRX中Trust Zone接口没有NAT模式概念),需要手工配置。类似ScreenOS,Static属于双向NAT,其他类型均属于单向NAT。

此外,SRX还多了一个proxy-arp概念,如果定义的IP Pool(可用于源或目的地址转换)需配置SRX对这个Pool内的地址提供ARP代理功能,这样对端设备能够解析到IP Pool地址的MAC地址(使用接口MAC地址响应对方),以便于返回报文能够送达SRX。下面是配置举例及相关说明:

2.4.1 Interface based NAT 基于接口的源地址转换

图片仅供参考,下列配置参考实验拓扑

NAT配置:

set security nat source rule-set 1 from zone trust 指定源区域 set security nat source rule-set 1 to zone untrust 指定目标区域

set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0 指定源和目标匹配的地址或者地址段,0.0.0./0代表所有

set security nat source rule-set 1 rule rule1 then source-nat interface 指定通过接口IP进行源翻译

上述配置定义NAT源地址映射规则,从Trust Zone访问Untrust Zone的所有流量用Untrust Zone接口IP做源地址转换。

Policy配置:

set security policies from-zone trust to-zone untrust policy 1 match source-address pc-1 set security policies from-zone trust to-zone untrust policy 1 match destination-address any set security policies from-zone trust to-zone untrust policy 1 match application any set security policies from-zone trust to-zone untrust policy 1 then permit

上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行接口源地址转换。 第 11 页 共 26 页

2.4.2 Pool based Source NAT基于地址池的源地址转换

图片仅供参考,下列配置参考实验拓扑

NAT配置:

set security nat source pool pool-1 address 192.168.1.50 to 192.168.1.150 set security nat source rule-set 1 from zone trust set security nat source rule-set 1 to zone untrust

set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0

set security nat source rule-set 1 rule rule1 then source-nat pool pool-1

set security nat proxy-arp interface ge-0/0/0 address 192.168.1.50 to 192.168.1.150

上述配置表示从trust方向(any)到untrust方向(any)访问时提供源地址转换,源地址池为pool1(192.168.1.50-192.168.1.150),同时fe-0/0/0接口为此pool IP提供ARP代理。需要注意的是:定义Pool时不需要与Zone及接口进行关联。配置proxy-arp目的是让返回包能够送达SRX,如果Pool与出接口IP不在同一子网,则对端设备需要配置指向fe-0/0/0接口的Pool地址路由。

Policy:

set security policies from-zone trust to-zone untrust policy 1 match source-address pc-1 set security policies from-zone trust to-zone untrust policy 1 match destination-address any set security policies from-zone trust to-zone untrust policy 1 match application any set security policies from-zone trust to-zone untrust policy 1 then permit

上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行源地址转换。

2.4.3 Pool base destination NAT基于地址池的目标地址转换

第 12 页 共 26 页

Word文档下载:Juniper SRX 防火墙配置管理手册.doc
搜索更多:Juniper SRX 防火墙配置管理手册


最新浏览


热门浏览
All rights reserved Powered by 南京廖华答案网 
资料来自互联网, 有任何疑问,请联系客服:779662525☒qq.com 苏ICP备20003344号-2