Junos | 在SRX上设定Security Policy

Security Policy是，在Security Zone之间，对traffic进行过滤的规则。

设定Security Policy的时候需要的基本信息：

1，发信地址
2，收信地址
3，允许使用的app

对于packet可执行的动作：

1，Permit 允许通过
2，Deny 禁止通过
3，Reject 废弃该packet并通知发信者
4，Log 取得处理日志，可选设定
5，Count 取得处理数量，可选设定

设定过程和命令

1,为了指定送信地址和收信地址，需要创建address-book.
不需要限定IP地址时，可以使用默认的「any」。

set security address-book [地址簿名称] address [ip地址名称] [ip地址/prefix]

2,然后，将地址簿设定在security zone中

set security address-book [地址簿名称] attach zone [Zone名称]

3,设定policy
为了缩短命令长度，可以使用edit命令进入较为下位的阶层后再进行设定。

edit security policies from-zone [Zone名称] to-zone [Zone名称]
set policy [policy名称] match source-address [送信地址名称]
set policy [policy名称] match destination-address any
set policy [policy名称] match application any
set policy [policy名称] then permit
set policy [policy名称] then count

4，如果不是Well-known的接口号码，则需要进行自定义

set applications application [app名称] protocol [tcp/udp]
set applications application [app名称] source-port 1-65535(全port)
set applications application [app名称] destination-port 23
set applications application [app名称] inactivity-timeout 28800/36000

5,可以将多个app设置在一个app set里

set applications application-set [app set名称] application [app名称1]
set applications application-set [app set名称] application [app名称2]
set applications application-set [app set名称] application [app名称3]

※show security alg status命令可以看到ALG功能的生效状况
如果需要关闭某个协议的ALG功能时，可使用下记命令：

set security alg [协议名称] disable

---

。
感觉自己中文又退化了。。。

---