Juniper防火墙安全设置中的问题二三

目的:了解防火墙在安全配置中的一些问题
工具:Juniper防火墙;Secure CRT;
关键:security_zones;source&&destination_address


1.判断所提的要求是否合理。包括IP地址是否符合要求;所属的网段是否正确;是否需要开防火墙;判断安全域等(后续补充) 
2.防火墙的策略配置需要:address;sercice;policy三项

当接到请求判断请求合理后
1.登录到防火墙----Secure CRT工具
2.>是用户+特权模式 #配置模式
  在用户模式下可以查看一些命令,如show、restart、request等
  在配置模式下可以edit、set等
3.1)首先在用户模式下:show configuration security zone |match +IP|display  set    
##显示此IP地址所属的安全域,显示的安全域最好copy到一个txt文档上,方便以后用##
2)若此IP地址没有划分安全域,configuration进入配置模式
 #run show route +IP  ##显示此IP地址的路由表,根据最长匹配原则找到此IP的出口,确定此IP所属的区域
 3)划分区域
    set security zones security-zone xx-zone(此处是安全域) address-book address +NAME +IP 
    ##此处的名字要符合当地的命名规则,安全域划分在防火墙的WEB界面上是可以检查出来的
    ##划分好以后再返回到步骤1输入命令就可以显示安全域了。
3)配置策略
  #edit security policies from-zone xx-zone(源zone)to-zone xx-zone(目的zone)policy +名字
  #set match source-address +源名字           ##匹配源地址
  #set match destination-address +目的名称   ##匹配目的地址
  #set match application +应用名字             ##匹配应用名称
  #set then permit(deny等)                  ##应用生效,允许通过,或者拒绝通过
  #########################################################
  至此,基本配置完了,接下来要先检查一下,配置是否合理,方能提交。。。
  #########################################################
  #top
  #show | compare  ##看看是不是正确,对应检查一下source-address, destination-address,policy_name是否被别人用了等问题
  #commit  ##如果一切OK,那么就可以提交了
  #delete + 你所eidt的命令或者set的命令    ##万一不小心在没有确认正确前commit,或者防火墙有其他人做了配置,你被他人commit了,遇到问题时需要删除。 
好了,你可以complete你的任务了。

     

本文出自 “菜鸟成长” 博客,谢绝转载!

你可能感兴趣的:(Security,IP地址,Address)