目的:了解防火墙在安全配置中的一些问题工具:Juniper防火墙;SecureCRT;关键:security_zones;source&&destination_address1.判断所提的要求是否合
.
目的:了解防火墙在安全配置中的一些问题工具:Juniper防火墙;Secure CRT;关键:security_zones;source&&destination_address1.判断所提的要求是否合理。包括IP地址是否符合要求;所属的网段是否正确;是否需要开防火墙;判断安全域等(后续补充) 2.防火墙的策略配置需要:address;sercice;policy三项当接到请求判断请求合理后1.登录到防火墙----Secure CRT工具2.>是用户+特权模式 #配置模式 在用户模式下可以查看一些命令,如show、restart、request等 在配置模式下可以edit、set等3.1)首先在用户模式下:show configuration security zone |match +IP|display set ##显示此IP地址所属的安全域,显示的安全域最好copy到一个txt文档上,方便以后用##2)若此IP地址没有划分安全域,configuration进入配置模式 #run show route +IP ##显示此IP地址的路由表,根据最长匹配原则找到此IP的出口,确定此IP所属的区域 3)划分区域 set security zones security-zone xx-zone(此处是安全域) address-book address +NAME +IP ##此处的名字要符合当地的命名规则,安全域划分在防火墙的WEB界面上是可以检查出来的 ##划分好以后再返回到步骤1输入命令就可以显示安全域了。3)配置策略 #edit security policies from-zone xx-zone(源zone)to-zone xx-zone(目的zone)policy +名字 #set match source-address +源名字 ##匹配源地址 #set match destination-address +目的名称 ##匹配目的地址 #set match application +应用名字 ##匹配应用名称 #set then permit(deny等) ##应用生效,允许通过,或者拒绝通过 ######################################################### 至此,基本配置完了,接下来要先检查一下,配置是否合理,方能提交。。。 ######################################################### #top #show | compare ##看看是不是正确,对应检查一下source-address, destination-address,policy_name是否被别人用了等问题 #commit ##如果一切OK,那么就可以提交了 #delete + 你所eidt的命令或者set的命令 ##万一不小心在没有确认正确前commit,或者防火墙有其他人做了配置,你被他人commit了,遇到问题时需要删除。 好了,你可以complete你的任务了。
.
