chap04-配置安全策略(针对穿越流量).pdf
立即下载
谦成
2024-05-09
策略
设置
目标
流量
zone
名称
security
address-book
set
policies
176.7 KB
安全策略的功能
阻止流量或放行流量
Juniper SRX默认的策略是:阻止所有流量穿越、到达
所以针对Juniper SRX的设置就是放行流量
白名单模式:
阻止所有,允许个别
Cisco ASA对于流量的默认策略
高安全级别--->低安全级别 是放行
低安全级别--->高安全级别 是阻止
root# run show security policies detail
Default policy: deny-all
Juniper对于穿越设备的流量:zone间的流量
在设置穿越流量的时候,设置从哪个zone到哪个zone
set security policies from-zone 源zone to-zone 目标zone
每个策略都需要一个名称
set security policies from-zone 源zone to-zone 目标zone policy 策略名称
策略元素
1、源IP、目标IP
2、源端口、目标端口
3、执行动作:permit(允许)、deny(拒绝)、reject、tunnel
对于源IP和目标IP,可以设置address-book,然后再调用到策略中去匹配
在设置address-book的时候,一定要指明这个地址(段)属于哪个zone
设置address-book的命令:
set security zones security-zone 区域名称 address-book address 地址簿的名称地址段
源端口和目标端口,可以通过设置application,再调用到策略中去匹配
set applications application 名称 protocol TCP/UDP destination-port 目标端口号
把设置好的address-book和application调用到策略中
set security policies from-zone 源zone to-zone 目标zone policy 策略名称 match source-address 源IP地址的地址薄名称
set security policies from-zone 源zone to-zone 目标zone policy 策略名称 match destination-addres
策略/设置/目标/流量/zone/名称/security/address-book/set/policies/
策略/设置/目标/流量/zone/名称/security/address-book/set/policies/
-->