Junos | 在SRX上设定Security Policy

Security Policy是,在Security Zone之间,对traffic进行过滤的规则。

设定Security Policy的时候需要的基本信息:

1,发信地址
2,收信地址
3,允许使用的app

对于packet可执行的动作:

1,Permit 允许通过
2,Deny 禁止通过
3,Reject 废弃该packet并通知发信者
4,Log 取得处理日志,可选设定
5,Count 取得处理数量,可选设定

设定过程和命令

1,为了指定送信地址和收信地址,需要创建address-book.
不需要限定IP地址时,可以使用默认的「any」。

set security address-book [地址簿名称] address [ip地址名称] [ip地址/prefix]

2,然后,将地址簿设定在security zone中

set security address-book [地址簿名称] attach zone [Zone名称]

3,设定policy
为了缩短命令长度,可以使用edit命令进入较为下位的阶层后再进行设定。

edit security policies from-zone [Zone名称] to-zone [Zone名称]
set policy [policy名称] match source-address [送信地址名称]
set policy [policy名称] match destination-address any
set policy [policy名称] match application any
set policy [policy名称] then permit
set policy [policy名称] then count

4,如果不是Well-known的接口号码,则需要进行自定义

set applications application [app名称] protocol [tcp/udp]
set applications application [app名称] source-port 1-65535(全port)
set applications application [app名称] destination-port 23
set applications application [app名称] inactivity-timeout 28800/36000

5,可以将多个app设置在一个app set里

set applications application-set [app set名称] application [app名称1]
set applications application-set [app set名称] application [app名称2]
set applications application-set [app set名称] application [app名称3]

※show security alg status命令可以看到ALG功能的生效状况
如果需要关闭某个协议的ALG功能时,可使用下记命令:

set security alg [协议名称] disable


感觉自己中文又退化了。。。


你可能感兴趣的:(Junos | 在SRX上设定Security Policy)