Juniper防火墙维护手册 下载本文

《Juniper维护手册》深圳发展银行

2.8 Policy策略设置

2.8.1 查看目前策略设置

可以选择查看从某个源安全区到某个目的安全区的策略,也可以选择从ALL到ALL来查看所有的策略。

Service是系统预定义或我们自定义的服务端口号。

Action动作是指策略是允许或拒绝,允许是一个对勾,拒绝是一个X,另外如果是绿色图表说明没有做源地址转换,蓝色图表说明做了源地址转换。

在Option下如果有一个小记事本的图表,说明我们要记录此数据流,当数据流通过时可以看到详细的地址转换情况。 生效:可以通过取消对勾让本策略暂时失效。

37

《Juniper维护手册》深圳发展银行

移动:可以调整策略查找的顺序,策略的查找和匹配默认是从上到下,我们可以通过移动来控制策略生效的顺序。 CLI : get policy (from zone to zone )

2.9创建策略

源地址和目的地址如果以前曾经设置过,可以用下拉菜单进行选择,否则需要在New Address新地址栏进行输入。

如果地址曾经输入过,做策略时我们仍在New Address栏中进行输入,点击确定的时候系统会出现重复IP地址条目的提示信息,但不影响策略的设置。

入侵检测的配置如果自己不是特别了解应用的特性建议不要做任何配置,保持原有默认配置不变。

38

《Juniper维护手册》深圳发展银行

在进行调试时建议打开LOG记录,看是否有数据流通过及地址转换情况。

如果要进行源或目的地址的转换需要点击高级选项进入二级配置菜单。

源地址转换点击DIP下拉菜单后前面的选择框会自动选中。 目的地址转换必须手工点击选中前面的目标地址转换的选择框。 CLI:

set policy from trust to dmz corp_net mail_svr MAIL-POP3 permit

set policy from dmz to untrust mail_svr r-mail_svr MAIL permit set policy from untrust to dmz r-mail_svr mail_svr MAIL permit

39

《Juniper维护手册》深圳发展银行

2.10对象Object设置

对象Object的设置主要是为了简化和方便策略的引用和设置,比如地址组和服务组等,下面我们重点介绍一下服务的设置。

服务其实就是给对方提供的一些协议端口号,其中大部分的常见服务设备已经提前设置好,比如web,telnet等等,但是一些非常用的端口号,比如TCP 8888等就需要我们自己进行自定义设置了。 查看自定义的服务:Policy > Policy Elements > Services > Custom

技巧:我们可以给服务一个名称,可用中文描述一个中间业务的名称,然后在策略里进行引用,这样在进行排错的时候我们就可以很方便地找到相应的策略,虽然我们也可以给策略一个名称,但在策略汇总表中是不显示出来的。

40