标签:
|
安全区段 |
第2层 |
V1-Trust |
同一区段内的接口通信不需要策略,不同区段之间的接口通信则需要策略. Global区段没有接口 |
|
V1-Untrust |
|||
|
V1-DMZ |
|||
|
第3层 |
Trust |
||
|
Untrust |
|||
|
DMZ |
|||
|
全局 |
Global |
||
|
Tunnel区段 |
Untrust-Tun |
|
|
|
功能区段 |
Null,Self,MGT,HA,VLAN |
|
|
安全区段是一个或多个网段组成的集合,是绑定了一个或多个接口的逻辑实体。
Set zone name zone //创建名为zone的区段
Set zone zone block //封锁同一区段内主机间的信息流
Set zone zone vrouter name_str //将区段放入name_str的路由选择域
更改或删除区段前必须先删除所有绑定到该区段的接口
子接口和冗余接口
同一接口的子接口共享带宽,可以位于不同的安全区段。冗余接口是将两个物理接口捆绑在一起,互为备用接口。
通道接口充当VPN通道的入口。
可以将一些物理接口绑定到L2(第2层)或L3(第3层)安全区段。由于子接口需要IP地址,所以子接口只能绑定到L3安全区段。将接口绑定到L3安全区段后才能将IP地址指定给接口。无限接口不能绑定到Untrust安全区段。
在将接口分配到某个组之前,必须将给接口设置为Null安全区段。
1 set interface ethernet0/3 zone null 2 set interface ehternet0/4 zone null 3 set interface bgroup1 port ehternet0/3 4 set interface bgroup1 port ethernet0/4 5 set interface bgroup1 zone DMZ 6 save
如果接口无编号,那可以直接解除与现安全区段的绑定然后绑定到另一个安全区段。如果接口有编号,那么必须首先将该接口的IP地址和网络掩码都设为0.0.0.0。
1 set interface ethernet0/3 ip 0.0.0.0/0 2 set interface ethernet0/3 zone null 3 save 4 5 unset interface bgroup1 port ethernet0/3 6 set interface ethernet0/3 zone trust 7 save
安全区段的缺省接口是绑定到该区段的第一个接口。
1 set interface ethernet0/5 ip 210.1.1.1/24 2 set interface ethernet0/5 manage-ip 210.1.1.5 3 save
更改e0/1的管理IP地址为10.1.1.12,启用ssh和ssl,禁用telnet和web。
1 set interface ethernet0/1 manage-ip 10.1.1.12 2 set interface ethernet0/1 manage ssh 3 set interface ethernet0/1 manage ssl 4 unset interface ethernet0/1 manage telnet 5 unset interface ethernet0/1 manage web 6 save
设置子接口e0/1.3的VLAN标记为ID 3。
1 set interface ethernet0/1.3 zone accounting 2 set interface ethernet0/1.3 ip 10.2.1.1/24 tag 3 3 save
回传接口是逻辑接口,只要其所在设备开启它便处于工作状态。但若要通过网络或驻留在其他区段的主机访问回传接口则必须定义策略。
创建回传接口并设置其用于管理。
1 set interface loopback.1 zone untrust 2 set interface loopback.1 ip 1.1.1.27 3 set interface loopback.1 manage 4 save
创建地址条目:
1 set address trust Sunnyvale_Eng 10.1.10.0/24 2 set address untrust Juniper www.juniper.net 3 save
修改地址条目:
1 unset address trust Sunnyvale_Eng 2 set address trust Sunnyvale_Eng 10.1.40.0/24 3 save
删除地址条目:
1 unset address trust "Sunnyvale_SW_Eng" 2 save
创建和编辑地址组:
1 set group address trust "HQ 2nd Floor" add "Santa Clara Eng" 2 set group address trust "HQ 2nd Floor" add "Tech Pubs" 3 save
删除成员和组:
1 unset group address trust "HQ 2nd Floor" remove Support 2 unset group address trust Sales 3 save
创建服务:
1 set service cust-telnet protocol tcp src-port 1-65535 dst-port 23000-23000 2 set service cust-telnet timeout 30 3 save
修改服务(修改服务前必须先清除服务的定义)
1 set service cust-telnet clear 2 set service cust-telnet + tcp src-port 1-65535 dst-port 23230-23230 3 save
删除服务:
1 unset service cust-telnet 2 save
创建服务组:
1 set group service grp1 2 set group service grp1 add ike 3 set group service grp1 add ftp 4 set group service grp1 add ldap 5 save
修改服务组:
1 unset group service grp1 clear 2 set group service grp1 add http 3 set group service grp1 add finger 4 set group service grp1 add imap 5 save
删除服务组:
1 unset group service grp1 2 save
创建全局策略:
1 set adddress global server1 www.juniper.com 2 set policy global any server1 http permit 3 save
修改策略(在源地址或目的地址前加!表示排除该地址)
1 set policy id 1 2 device(policy:1)-> set src-address host2 3 device(policy:1)-> set dst-address server2 4 device(policy:1)-> set service ftp 5 device(policy:1)-> set attack CRITICAL:HTTP:SIGS
禁用策略:
1 set policy id id_num disable 2 save
验证策略:
1 exec policy verify
排序策略:
1 set policy move id_num {before | after} number 2 save
删除策略:
1 unset policy id_num
标签:
原文地址:http://www.cnblogs.com/xianglongsdu/p/4719057.html
