type surf-control-integrated; surf-control-integrated {
profile block-selected-sites { category { News {
action block; }
}
default log-and-permit;
custom-block-message \work! If you have questions, Please contact technical, support This is the Juniper solution!\ } } }
}
utm-policy web_filtering {
web-filtering {
http-profile block-selected-sites; } }
[edit]
root# show security policies from-zone trust to-zone untrust policy t-u match {
source-address any; destination-address any; application any; } then {
permit {
application-services {
utm-policy web_filtering;针对此条策略开启WEB_Fitering
[edit]
第四步:查看WEB-过滤功能工作状态命令:
root# run show security utm web-filtering ? Possible completions:
statistics Show web-filtering statistics status Show web-filtering status [edit]
root# run show security utm web-filtering
第 37 页 共 52 页
2.9 SRX Branch 系列与UAC联动配置说明
JUNIPER SRX Branch系列防火墙可以与Juniper统一接入控制器UAC进行3层访问控制联动工作,下面将具体介绍UAC、SRX配置,主要通过截图来进行说明: 主要事项:
1、 SRX与UAC设备系统时间必须一致
2、 SRX设备与UAC设备证书必须来自同一个根证书颁发
3、 SRX与UAC之间通过SSL连接<如果通过防火墙或者ACL等控制>必须将其443端口放开
第一步:生成并获取UAC设备证书,并导入设备证书和根服务器证书<由于此操作需要通过第三方证书服务器来完成>为此我单独有WORD文档来介绍。
第二步:生成并获取SRX设备证书,具体步骤如下:
user@host> request security pki generate-key-pair certificate-id uac 手工生成certificate-id user@host> request security pki generate-certificate-request certificate-id uac domain-name juniper.net subject CN=abc 手工生成证书信息 The following certificate request is displayed in PEM format. Generated certificate request
-----BEGIN CERTIFICATE REQUEST-----
MIHxMIGcAgEAMA4xDDAKBgNVBAMTA2htMTBcMA0GCSqGSIb3DQEBAQUAA0sAMEgC QQCbhaiWzmctH0ZDldCn+mSNM62kyiSgc4cmN68U/j9El09/DgGoMNy2y+RYA1xU sr4B0NedGrZZJx5L1sIYjHr/AgMBAAGgKTAnBgkqhkiG9w0BCQ4xGjAYMBYGA1Ud EQQPMA2CC2p1bmlwZXIubmV0MA0GCSqGSIb3DQEBBQUAA0EAleLR6Hp2ity8Dugs MW4HI6SxfwMc2eYM5Nj2UhwpEEpsce77dUBZriKdehAgli7vwNsHGIuhHjEaFzfO hpM3tA==
-----END CERTIFICATE REQUEST----- 通过windows证书服务器或者OPENSSL生成并获取证书 Fingerprint:
9e:d5:7d:44:e8:e7:b6:d7:4b:58:d4:4e:2b:fb:c6:b2:4b:b7:8b:82 (sha1) b0:8d:c7:6d:41:d5:58:61:dc:a0:3e:4e:d6:39:02:d7 (md5)
user@host> request security pki local-certificate load certificate-id uac filename /var/tmp/device.cer 手工加载证书到设备
此证书是通过证书服务器生成后由FTP等方式传入到设备中。
lab# run show security pki local-certificate detail 查看当前证书信息 Certificate identifier: uac Certificate version: 3
Serial number: 61069676000000000006 Issuer:
Common name: srx \\\\\\*** 部分显示信息省略***\\\\\\\\
第三步:配置UAC设备Infranet enforcer connection,根据截图配置步骤如下:
第 38 页 共 52 页
定义Infranet enforcer connection连接参数<设备序列号、共享密钥等>
定义Resource 内部资源
定义认证列表匹配到的enforcer
第 39 页 共 52 页
定义roles <注意 enable host enforcer选项>
定义Host enforcer policys
客户端尝试登陆,输入用户名和密码
第 40 页 共 52 页