发布时间 : 星期五 文章Juniper SRX3000工程开工指导书更新完毕开始阅读6612c87fa26925c52cc5bfaa
Juniper防火墙工程开通指导书
junos-dns-udp Application name junos-echo Application name junos-finger Application name junos-ftp Application name junos-gnutella Application name
Application同样允许用户自定义的应用类型,并且通过定义application-set来包含多个application,以方便策略引用。
以下以WAP网关需要开放及侦听的端口服务为例:自定义服务并把自定义服务放到一个application-set 组中 端口号 9200-9203(udp) 9208-9209(tcp) 14000(tcp) 用途 侦听服务端口 侦听服务端口(in) 侦听服务端口(in) 侦听服务端口(in)(超时时间为600秒) Brower ENUM_DNS QQ socket
定义自有服务:
set applications application Brower_udp protocol udp
set applications application Brower_udp source-port 0-65535
set applications application Brower_udp destination-port 9200-9203
set applications application Push_tcp-1 protocol tcp
set applications application Push_tcp-1 source-port 0-65535
set applications application Push_tcp-1 destination-port 8090-8091
set applications application QQ14000 protocol tcp
set applications application QQ14000 source-port 0-65535
set applications application QQ14000 destination-port 14000-14000
set applications application QQ14000 inactivity-timeout 600 (设置超时时间,600秒)
定义服务组TEST,包含自有服务Brower_udp、Push_tcp-2、QQ14000
set applications application-set TEST application Brower_udp set applications application-set TEST application Push_tcp-2 set applications application-set TEST application QQ14000
服务超时配置和查找
为服务设置的超时值决定会话超时值。可以为预定义服务或定制服务设置超时;您可以使用服务缺省超时、指定定制超时或根本不使用超时。
第21页
Juniper防火墙工程开通指导书
CLI:
set applications application QQ14000 protocol tcp
set applications application QQ14000 source-port 0-65535
set applications application QQ14000 destination-port 14000-14000
set applications application QQ14000 inactivity-timeout 600 (设置超时时间,
600秒)
二、制定策略
允许、拒绝或设置两点间指定类型单向信息流通道的策略。信息流 (或“服务”) 的类型、两端点的位置以及调用的动作构成了策略的基本元素。尽管可以有其它组件,但是共同构成策略核心部分的必要元素描述如下表。
可通过以下三种类型的策略控制信息流的流动 :
?? 区段之间策略 - 可以控制允许从一个安全区段传递到另一个安全区段的信息流的类型。 ?? 区段内部策略 - 可以控制允许跨越绑定到同一区段不同接口的信息流的类型。 ?? 全局策略 - 可以控制不同地址间的信息流,而不考虑它们的安全区段。
区段之间策略
区段之间策略提供对安全区段内部信息流的控制。可通过设置区段之间策略来拒绝、允许、丢弃从一个区段到另一个区段的信息流或对该信息流执行通道动作。使用状态式检查技术,安全设备保持活动 TCP 会话表和活动 UDP \会话表,以便允许它能回应服务请求。例如,如果有一个策略允许从 Trust 区段中的主机 A 到 Untrust 区段中的服务器 B 的 HTTP 请求,则当安全设备接收到从服务器 B 到主机 A 的 HTTP 回应时,安全设备将接收到的封包与它的表进行对照检查。当找到回应批准 HTTP 请求的封包时,安全设备允许来自 Untrust 区段中服务器 B 的封包穿越防火墙到达 Trust 区段中的主机 A。要允许由服务器 B 发起的流向主机 A 的信息流 (不只是回应由主机 A 发起的信息流 ),必须创建从 Untrust 区段中服务器 B 到 Trust 区段中主机 A 的第二个策略。
区段内部策略
区段内部策略提供对绑定到同一安全区段的接口间信息流的控制。源地址和目的地址都在同一安全区段中,但是通过安全设备上的不同接口到达。与区段之间策略一样,区段内部策略也控制信息流单向流动。要允许从数据路径任一端发起的信息流,必须创建两个策略,每个方向一个策略。
全局策略
与区段之间和区段内部策略不同,全局策略不引用特定的源和目的区段。全局策略引用用户定义的 junos-global 区段地址或预定义的 Global 区段地址 \。这些地址可以跨越多个安全区段。例如,如果要提供对多个区段的访问或从多个区段进行访问,则可以创建具有 Global 区段地址 \的全局策略,它包含所有区段中的所有地址。 注意:只有包含static_nat的配置时才能使用junos-global区域。
策略的结构
策略必须包含下列元素 : ?? 区段 (源区段和目的区段 )
第22页
Juniper防火墙工程开通指导书
?? 地址 (源地址和目的地址 ) ?? 服务
?? 动作 (deny、permit、reject、log、count)
三,策略的应用 查看策略
通过 WebUI 查
看策略,
创建策略
要允许信息流在两个区段之间流动,应创建策略以便在这些区段之间拒绝、允许、丢弃信息流或为信息流创建通道。如果安全设备唯一能够设置 ( 在策略中引用的 ) 源和目的地址间区段内部信息流的路由的网络设备,则也可创建策略,控制同一区段内的信息流。
要允许两个区段内部 ( 例如,Trust 和 Untrust 区段 ) 的双向信息流,需要创建从 Trust 到 Untrust 的策略,然后创建从 Untrust 到 Trust 的第二个策略。根据需要,两个策略可以使用相同或不同的 IP 地址,只是源地址和目的地址需反向。
创建区段之间策略邮件服务
set security policies from-zone Trust to-zone Untrust policy TO_Inter 1 match
第23页
Juniper防火墙工程开通指导书
source-address pc-group
set security policies from-zone Trust to-zone Untrust policy TO_Inter match destination-address any
set security policies from-zone Trust to-zone Untrust policy TO_Inter match application TEST
---调用2.3.2中定义的服务端口http
set security policies from-zone Trust to-zone Untrust policy TO_Inter match then permit
---设置为permit,当一个数据包满足以上所有条件时,允许通过防火墙。
重新排序策略
安全设备将所有穿越防火墙的尝试与策略进行对照检查,从列在相应列表的策略组中的第一个开始,并检查整个列表。由于安全设备将策略中指定的动作应用到列表中第一个匹配的策略,因此,必须按照从最具体到最一般的顺序安排策略。(具体策略不排除位于列表下部的更一般性策略的应用,但位于具体策略前的一般性策略会产生此排除效应。)在缺省情况下,最近创建的策略出现在策略组列表的底部。
CLI
insert security policies from-zone zone-name to-zone zone-name policy policy-name before policy policy-name
删除策略 CLI
Delete security policies from-zone zone-name to-zone zone-name policy policy-name
3.1.3会话连接限制
基于源和目的的会话限制
将限制 Trust 区段中的任一个服务器所能发起的会话数目10000,去往目的会话限制为500. CLI
set security screen ids-option limit limit-session source-ip-based 10000 set security screen ids-option limit limit-session destination-ip-based 500 set security zones security-zone trust screen session-limit
3.1.4 ALG
SRX可以支持的ALG类型如下,默认都为开启
ALG应用类型
启用ALG命令
关闭ALG命令 第24页