了解运行 Junos OS 的设备上的安全流策略
运行 Junos OS 的设备上的安全流策略概述
您可以在运行 Junos OS 的设备上定义安全流策略,以检查和处理网络数据包。设备可以允许、拒绝和记录与每个策略关联的操作。其中每个策略都与绑定了不同网络接口的区域相关联。
可以为安全流策略定义以下模式,以确定设备如何引导流量:
绕过 — 该
Permit
选项会将遍历设备的流量引导通过状态防火墙检测,但不通过 IPsec VPN 隧道。丢弃 — 该
Deny
选项检查并丢弃所有与任何Permit
策略不匹配的数据包。保护 — 基于路由查找和
Permit
策略检查的组合,流量通过 IPsec 隧道进行路由。日志 - 此选项记录上述所有模式的流量和会话信息。
以下各节介绍如何为每种模式配置安全策略:
在防火墙旁路模式下配置安全流策略
要为防火墙绕过模式配置安全流策略,请执行以下操作:
配置安全策略。
[edit security policies] user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init user@host# set from-zone trustZone to-zone untrustZone policy policy1 then session-close
注意:此处
untrustZone
和trustZone
是预配置的安全区域和trustLan
预untrustLan
配置的网络地址。junos-ssh
是 Junos OS 默认预定义应用程序的示例,可以在安全策略中配置该应用程序以强制实施 SSH 流量。
在防火墙丢弃模式下配置安全策略
要为防火墙丢弃模式配置安全流策略,请执行以下操作:
配置安全策略。
[edit security policies] user@host# set from-zone untrustZone to-zone trustZone policy policy1 match source-address untrustLan user@host# set from-zone untrustZone to-zone trustZone policy policy1 match destination-address trustLan user@host# set from-zone untrustZone to-zone trustZone policy policy1 match application junos-telnet user@host# set from-zone untrustZone to-zone trustZone policy policy1 then deny user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-init user@host# set from-zone untrustZone to-zone trustZone policy policy1 then session-close
注意:此处 和
trustZone
untrustZone
是预配置的安全区域和trustLan
是untrustLan
预配置的网络地址。junos-telnet
是 Junos OS 默认预定义应用程序的示例,可以在安全策略中配置该应用程序以强制执行 Telnet 流量。
在 IPsec 保护模式下配置安全流策略
要为 IPSec 保护模式配置安全流策略,请执行以下操作:
配置 VPN。
[edit] user@host# set security ipsec vpn vpn1 ike gateway gw1 user@host# set security ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 user@host# set security ipsec vpn vpn1 bind-interface st0.0 user@host# set routing-options static route 198.51.100.14/24 qualified-next-hop st0.0 preference 1
注意:此处和
gw1
ipsec-policy1
预配置的 IKE 和 IPsec 策略。配置安全策略。
[edit security policies] user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init user@host# set from-zone trustZone to-zone untrustZone policy policy1 then session-close
注意:此处和
trustZone
untrustZone
是预配置的安全区域和trustLan
预untrustLan
配置的网络地址。
有关有状态会话行为的更多信息,请参阅 SRX 系列设备上的流量处理概述
有关如何配置已知良好和错误列表的详细信息,请参阅 配置安全策略