Juniper SRX防火墙配置说明
该表会显示该vlan的一些基本信息。点击“commit”提交配置。
4 区域配置
SRX防火墙中区域分为2类:功能区域和安全区域。功能区域就是管理接口所处的区域,该区
域不能编辑,也不能删除,一般情况下,只需要将管理接口划分到该区域即可。
4.1 安全区域配置
安全区域是业务接口所属的区域,系统默认的安全区域包括:“trust”、“untrust”、“dmz”。安全区域可以自行添加或删除。在“configure”下选择“security-zones”,在“security zone”下点击“add”,增加1个新的安全区域。
19
Juniper SRX防火墙配置说明
? Zone name。区域的名称。根据需要填写
? System services。该区域允许的系统服务。选择“allow selected services”在下拉框中选
择需要的系统服务,点击“add”进行添加
20
Juniper SRX防火墙配置说明
? Interface。定义区域后,需要将需要的接口划分到该区域中。在右边的列表中选择需要的
接口,点击向左的箭头,加入到该区域中 配置完成后点击“ok”提交配置。
5 路由配置
SRX防火墙支持静态路由,rip、ospf、bgp动态路由协议以及策略路由。
5.1 静态路由配置
静态路由的配置与其它网络设备相同,需要配置的项包括:目的地址、子网掩码、下一跳地址。路由查找的原则同样是明细路由优先,直连路由优先级最高,静态路由次之。当设备配置了接口地址后,在路由表中会生成一个/32的local路由,还会自动生成一个与子网掩码相同的直连路由。
21
Juniper SRX防火墙配置说明
配置页面如下图,在“configure”中选择“routing-static routing”,点击“add”,在弹出的窗口中选择添加ipv4路由,在“next hop”中选择“add”,填入下一跳地址。
6 自定义应用配置
6.1 自定义服务配置
SRX防火墙中预定义了很多服务,在“configure-security-policy elements-applications-pre defined application”中,可以看到很多以“junos”开头的服务,这些都是防火墙中预定义的服务,预定义的服务不能修改,也不能删除。
当需要添加一个自定义的服务时,在“configure-security-policy elements-applications-cumstom applications”中,选择“add”,需要配置的部分包括:应用的名称、匹配的协议(tcp/udp等)、目的端口、源端口(一般选择1-65535),应用超时的时间。
22
Juniper SRX防火墙配置说明
注意:应用超时时间单位是秒,建议根据应用的实际情况设置一个合理的数值,而千万不要选择“never”。
6.2 应用组配置
同样,可以将多个应用(预定义的或是自定义的)归纳到一个应用组中。选择“configure-security-policy elements-applications- application sets”,点击“add”,新建一个应用组,需要填写的内容包括:应用组的名称,然后在左边的应用中选择需要的应用,点击向右箭头,将选中的应用加入到右边的应用组中。如果选择右边的应用,点击向左的箭头,则在该应用组中删除选中的应用。全部完成后选择“ok”,保存配置。
完成配置后如下图,可以看到其中也包含很多系统预定义的应用组。
23