在Juniper设备中策略是一个重点,因为安全设备基本上都是基于策略的管理和运行,下面就Juniper的如何配置进行简单的说明.
在Juniper防火墙中,区域是一个比较重要的感念,一般的Juniper设备都设置了Untrust,Trust和DMZ三个区域,也可以根据实际的需要自行定义区域,比如电信行业经常的BOSS,OA区域。
具体的使用命令:
netscreenisg1000->set zone id 1000 "boss"
netscreenisg1000->set zone id 1001 "oa"
然后使用命令讲相关的防火墙接口加入Zone中,具体的命令:netscreenisg1000->
set interface "ethernet2/4" zone "boss"
netscreenisg1000->
set interface "ethernet2/5" zone "oa"
并且在接口上配置相关的IP地址:
netscreeenisg1000->
set interface ethernet2/4 ip 10.10.161.14/25
set interface ethernet2/4 route
set interface ethernet2/5 ip 192.168.19.126/28
set interface ethernet2/5 nat
然后就是需要建立MIP/VIP.
比如需要建立一个MIP,私网地址10.10.81.54,公网地址10.10.161.54, 图形界面使用比较简单,比如ethernet1/1是一个untrust区域的接口地址。
netscreeenisg1000->set policy id 22 from "Untrust" to "Trust" "Any" "MIP(10.10.161.31)" "ANY" permit log
netscreeenisg1000->set policy id 19 from "Untrust" to "Trust" "Any" "MIP(10.10.161.105)" "HTTP" permit log
关于policy就写这么多,关于MIP的是使用后面会继续手写。
阅读(1384) | 评论(0) | 转发(0) |