ScreenOS学习笔记
安全区段 |
第2层 |
V1-Trust |
同一区段内的接口通信不需要策略,不同区段之间的接口通信则需要策略. Global区段没有接口 |
V1-Untrust |
|||
V1-DMZ |
|||
第3层 |
Trust |
||
Untrust |
|||
DMZ |
|||
全局 |
Global |
||
Tunnel区段 |
Untrust-Tun |
|
|
功能区段 |
Null,Self,MGT,HA,VLAN |
|
安全区段是一个或多个网段组成的集合,是绑定了一个或多个接口的逻辑实体。
Set zone name zone //创建名为zone的区段
Set zone zone block //封锁同一区段内主机间的信息流
Set zone zone vrouter name_str //将区段放入name_str的路由选择域
更改或删除区段前必须先删除所有绑定到该区段的接口
子接口和冗余接口
同一接口的子接口共享带宽,可以位于不同的安全区段。冗余接口是将两个物理接口捆绑在一起,互为备用接口。
通道接口充当VPN通道的入口。
可以将一些物理接口绑定到L2(第2层)或L3(第3层)安全区段。由于子接口需要IP地址,所以子接口只能绑定到L3安全区段。将接口绑定到L3安全区段后才能将IP地址指定给接口。无限接口不能绑定到Untrust安全区段。
在将接口分配到某个组之前,必须将给接口设置为Null安全区段。
1 set interface ethernet0/3 zone null 2 set interface ehternet0/4 zone null 3 set interface bgroup1 port ehternet0/3 4 set interface bgroup1 port ethernet0/4 5 set interface bgroup1 zone DMZ 6 save
如果接口无编号,那可以直接解除与现安全区段的绑定然后绑定到另一个安全区段。如果接口有编号,那么必须首先将该接口的IP地址和网络掩码都设为0.0.0.0。
1 set interface ethernet0/3 ip 0.0.0.0/0 2 set interface ethernet0/3 zone null 3 save 4 5 unset interface bgroup1 port ethernet0/3 6 set interface ethernet0/3 zone trust 7 save
安全区段的缺省接口是绑定到该区段的第一个接口。
1 set interface ethernet0/5 ip 210.1.1.1/24 2 set interface ethernet0/5 manage-ip 210.1.1.5 3 save
更改e0/1的管理IP地址为10.1.1.12,启用ssh和ssl,禁用telnet和web。
1 set interface ethernet0/1 manage-ip 10.1.1.12 2 set interface ethernet0/1 manage ssh 3 set interface ethernet0/1 manage ssl 4 unset interface ethernet0/1 manage telnet 5 unset interface ethernet0/1 manage web 6 save
设置子接口e0/1.3的VLAN标记为ID 3。
1 set interface ethernet0/1.3 zone accounting 2 set interface ethernet0/1.3 ip 10.2.1.1/24 tag 3 3 save
回传接口是逻辑接口,只要其所在设备开启它便处于工作状态。但若要通过网络或驻留在其他区段的主机访问回传接口则必须定义策略。
创建回传接口并设置其用于管理。
1 set interface loopback.1 zone untrust 2 set interface loopback.1 ip 1.1.1.27 3 set interface loopback.1 manage 4 save
创建地址条目:
1 set address trust Sunnyvale_Eng 10.1.10.0/24 2 set address untrust Juniper www.juniper.net 3 save
修改地址条目:
1 unset address trust Sunnyvale_Eng 2 set address trust Sunnyvale_Eng 10.1.40.0/24 3 save
删除地址条目:
1 unset address trust "Sunnyvale_SW_Eng" 2 save
创建和编辑地址组:
1 set group address trust "HQ 2nd Floor" add "Santa Clara Eng" 2 set group address trust "HQ 2nd Floor" add "Tech Pubs" 3 save
删除成员和组:
1 unset group address trust "HQ 2nd Floor" remove Support 2 unset group address trust Sales 3 save
创建服务:
1 set service cust-telnet protocol tcp src-port 1-65535 dst-port 23000-23000 2 set service cust-telnet timeout 30 3 save
修改服务(修改服务前必须先清除服务的定义)
1 set service cust-telnet clear 2 set service cust-telnet + tcp src-port 1-65535 dst-port 23230-23230 3 save
删除服务:
1 unset service cust-telnet 2 save
创建服务组:
1 set group service grp1 2 set group service grp1 add ike 3 set group service grp1 add ftp 4 set group service grp1 add ldap 5 save
修改服务组:
1 unset group service grp1 clear 2 set group service grp1 add http 3 set group service grp1 add finger 4 set group service grp1 add imap 5 save
删除服务组:
1 unset group service grp1 2 save
创建全局策略:
1 set adddress global server1 www.juniper.com 2 set policy global any server1 http permit 3 save
修改策略(在源地址或目的地址前加!表示排除该地址)
1 set policy id 1 2 device(policy:1)-> set src-address host2 3 device(policy:1)-> set dst-address server2 4 device(policy:1)-> set service ftp 5 device(policy:1)-> set attack CRITICAL:HTTP:SIGS
禁用策略:
1 set policy id id_num disable 2 save
验证策略:
1 exec policy verify
排序策略:
1 set policy move id_num {before | after} number 2 save
删除策略:
1 unset policy id_num
这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。
1. MIP的配置
MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。
MIP应用的网络拓扑图:
1 set interface ethernet1 zone trust 2 set interface etnernet1 ip 10.1.1.1/24 3 set interface ethernet nat 4 5 set interface ethernet2 zone untrust 6 set interface ethernet2 ip 1.1.1.1/24 7 8 //定义MIP 9 set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr 10 11 set policy from untrust to trust any mip(1.1.1.5) http permit
2. VIP的配置
MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。
1 set interface ethernet1 zone trust 2 set interface ethernet1 ip 10.1.1.1/24 3 set interface ethernet1 nat 4 5 set interface ethernet3 zone untrust 6 set interface ethernet3 ip 1.1.1.1/24 7 8 //定义VIP 9 set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10 10 11 set policy from untrust to trust any vip(1.1.1.10) http permit 12 save
3. DIP的配置
DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址。
DIP应用的网络拓扑图:
1 set interface ethernet1 zone trust 2 set interface ethernet1 ip 10.1.1.1/24 3 set interface ethernet nat 4 5 set interface ethernet3 zone untrust 6 set interface ethernet3 ip 1.1.1.1/24 7 8 //定义DIP 9 set interface ethernet3 dip 5 1.1.1.30 1.1.1.30 10 11 set policy from trust to untrust any any http nat src dip-id 5 permit 12 save