帮助我们改善您的体验。

让我们了解您的想法。

您是否能抽出两分钟的时间完成一份问卷调查?

header-navigation
keyboard_arrow_up
close
keyboard_arrow_left
list Table of Contents

机器翻译对您有帮助吗?

starstarstarstarstar
Go to English page
免责声明:

我们将使用第三方机器翻译软件翻译本页面。瞻博网络虽已做出相当大的努力提供高质量译文,但无法保证其准确性。如果对译文信息的准确性有任何疑问,请参阅英文版本. 可下载的 PDF 仅提供英文版.

防火墙策略示例

date_range 27-May-23

本主题通过各种示例提供有关 Contrail 服务编排 (CSO) 如何处理您在防火墙策略中定义的防火墙策略意图的信息。每个示例都详细说明了通过 CSO GUI 定义的防火墙策略意图如何解析为系统中的配置。

注意:

有关详细信息,请参阅 防火墙策略概述添加防火墙策略意图

为了便于理解,所有示例都定义为使用 图 1 所示的拓扑结构。在此拓扑中,有两个站点 - 站点 A 和站点 B。每个站点有两个部门,定义如下:

  • 站点 A - IT(LAN 段 LS1)和财务(LAN 网段 LS2)。

  • 站点 B - 财务(LAN 段 LS3)和销售(LAN 网段 LS4)。

图 1:拓扑图 Topology Diagram

以下定义适用于所有示例:

  • 创建站点时,您可以将某些 WAN 接口指定为分支接口。这些 WAN 接口可以传输站点到站点流量(通过信任区域)和分支流量(通过不信任区域)。WAN 接口也可以专门指定用于传输分支流量。

  • 信任区域是指包含站点之间创建的所有 GRE 隧道接口(如 gr-0/0/0.1、gr-0/0/0.2)和 IPSec 接口(如 st0.1、st0.2)的叠加接口。

  • 不信任区域是指底层接口(底层物理接口),例如 ge-0/0/0、ge-0/0/1。

  • 如果选择某个地址或服务作为目标端点,CSO 会将其视为托管在 Internet 上的地址或服务,除非所选地址或服务与站点相关联。

  • 表 1 捕获了 与图 1 所示拓扑中使用的 LAN 分段关联的地址。

    表 1:LAN 分段定义

    网站

    部门

    局域网分段

    LAN 分段地址

    站点 A

    信息技术

    LS1

    192.0.2.0/24

    站点 A

    金融

    LS2

    192.168.1.0/24

    站点 B

    金融

    LS3

    198.51.100.0/24

    站点 B

    销售

    LS4

    203.0.113.0/24

以下示例可帮助您了解如何为跨源和目标的各种流量方案创建基于意图的防火墙策略。

示例 1:允许从站点 A 中的部门到站点 B 中的部门的流量的防火墙策略

定义一个防火墙策略,以允许从站点 A 中的部门到站点 B 中的部门的流量。

表 2 显示了定义的防火墙策略意图:

表 2:防火墙策略意图定义,例如 - 1

目的地

行动

站点 A

站点 B

许可证

表 3 显示了如何解析此防火墙策略意图:

表 3:防火墙策略意图解析,例如 - 1

网站

源部

源地址

目标地址

服务

创建意图

站点 A

金融

[LS2]

信任

[LS3、LS4]

任何

意图 1__0

信息技术

[LS1]

信任

[LS3、LS4]

任何

意图 1__1

站点 B

信任

[LS3、LS4]

销售

[LS2]

任何

意图 1__0

信任

[LS3、LS4]

金融

[LS1]

任何

意图 1__1

配置输出示例

允许从站点 A 中的部门到站点 B 中的部门的流量的配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone FINANCE to-zone trust {
       policy Intent_1__0 {
        match {
            source-address ls-192.168.1.0/24-SP50-L2;
            destination-address [ls-198.51.100.0/24-SP50-L3,
				 ls-203.0.113.0/24-SP50-L4];
            application any;
	     }
	then { 
	    permit; 
	     }
         } 
     }
from-zone IT to-zone trust {
       policy Intent_1__1 {
        match {
            source-address ls-192.0.2.0/24-S42-L1;
            destination-address [ls-198.51.100.0/24-SP50-L3,
                         ls-203.0.113.0/24-SP50-L4];
            application any;
             }
        then { 
  	    permit; 
	     } 
         } 
    }		

允许从站点 B 中的部门到站点 A 中的部门的流量的配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone trust to-zone SALES {
       policy Intent_1__0 {
           match {
               source-address [ls-198.51.100.0/24-SP50-L3,
  			       ls-203.0.113.0/24-SP50-L4];
	       destination-address ls-192.0.2.0/24-S42-L1;
               application any;
                }
           then {
               permit;
		} 
           } 
      }
from-zone trust to-zone FINANCE {
     	policy Intent_1__1 {
          match {
              source-address [ls-198.51.100.0/24-SP50-L3,
			      ls-203.0.113.0/24-SP50-L4];
              destination-address ls-192.168.1.0/24-SP50-L2;
              application any;
              }
          then {
              permit;
               } 
	  } 
     }

示例 2:允许站点 A 和站点 B 中的所有部门访问 Internet 的防火墙策略

定义允许站点 A 和站点 B 中的所有部门访问 Internet 的防火墙策略。

表 4 显示了定义的防火墙策略意图:

表 4:防火墙策略意图定义,例如 - 2

目的地

行动

站点 A

HTTP、HTTPS、ICMP-PING、DNS

许可证

站点 B

HTTP、HTTPS、ICMP-PING、DNS

许可证

表 5 显示了如何解析此防火墙策略意图:

表 5:防火墙策略意图解析,例如 - 2

网站

源部

源地址

目标地址

服务

创建意图

站点 A

金融

[LS2]

不信任

任何

HTTP、HTTPS、ICMP-PING、DNS

意图 1__0

信息技术

[LSI]

不信任

任何

HTTP、HTTPS、ICMP-PING、DNS

意图 1__1

站点 B

销售

[LS4]

不信任

任何

HTTP、HTTPS、ICMP-PING、DNS

意图 1__0

金融

[LS3]

不信任

任何

HTTP、HTTPS、ICMP-PING、DNS

意图 1__1

配置输出示例

允许对站点 A 中的所有部门进行 Internet 访问的配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone Finance to-zone untrust {
     policy Intent_1__0 {
        match {
               source-address ls-192.168.1.0/24-SP50-L2;
               destination-address any;
               application [junos-http junos-dns-tcp junos-https 
                             junos-icmp-ping];
               }
         then {
                permit;
               }
           }
      }
from-zone IT to-zone untrust {
     policy Intent_1__1 {
        match {
               source-address ls-192.0.2.0/24-S42-L1;
               destination-address any;
               application [junos-http junos-dns-tcp junos-https
                             junos-icmp-ping];
               }
        then {
               permit;
             }
         }
     }
	policy-rematch;

允许对站点 B 中的所有部门进行 Internet 访问的配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone Sales to-zone untrust {
     policy Intent_1__0 {
        match {
               source-address ls-203.0.113.0/24-SP50-L4;
               destination-address any;
               application [junos-http junos-dns-tcp junos-https 
                             junos-icmp-ping];
              }
        then {
              permit;
             }
         }
     }
	from-zone Finance1 to-zone untrust {
      policy Intent_1__1 {
         match {
                source-address ls-198.51.100.0/24-SP50-L3;
                destination-address any;
                application [junos-http junos-dns-tcp junos-https 
                              junos-icmp-ping];
                }
          then {
                permit;
               }
           }
      }
	 policy-rematch;

示例 3:允许任何公共互联网地址访问站点 B 中的销售部门的防火墙策略

定义一个防火墙策略,该策略允许任何公用 Internet 地址访问站点 B 中销售部门托管的销售应用程序。

注意:

对于此示例,未启用分支,而是使用 MPLS 链路类型。

表 6 显示了定义的防火墙策略意图:

表 6:防火墙策略意图定义,例如 - 3

目的地

行动

互联网

销售,站点 B

许可证

表 7 显示了如何解析此防火墙策略意图:

表 7:防火墙策略意图解析,例如 - 3

源地址

目标地址

服务

创建意图

任何公共互联网地址

信任与销售(无突破)

[LS4]

任何

意图 1__0

配置输出示例

允许任何公用因特网地址访问站点 B 中的销售部门的配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone untrust to-zone Sales {
     policy Intent_1__0 {
        match {
               source-address any;
               destination-address ls-203.0.113.0/24-SP50-L4;
               application any;
               }
        then {
               permit;
             }
         }
     }

示例 4:允许对站点 A 中的所有部门进行社交媒体访问的防火墙策略

定义允许站点 A 中的所有部门访问 Facebook 的防火墙策略。

表 8 显示了定义的防火墙策略意图:

表 8:防火墙策略意图定义示例 - 4

目的地

行动

站点 A

Facebook

许可证

表 9 显示了如何解析此防火墙策略意图:

表 9:防火墙策略意图解析,例如 - 4

网站

源地址

目标地址

服务

创建意图

应用程序防火墙配置文件

站点 A

[LS2]

不信任

Facebook

任何

意图 1__0

AppFwProfile_0

站点 A

[LS1]

不信任

Facebook

任何

意图 1__1

AppFwProfile_0

配置输出示例

控制站点 A 对 Facebook 的访问的配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone Finance to-zone untrust {
     policy Intent_1__0 {
        match {
               source-address ls-192.168.1.0/24-SP50-L2;
               destination-address any;
               application any;
               }
         then {
               permit {
                  application-services {
                  application-firewall {
                  rule-set AppFwProfile_0;
                  }
                }
              }
            }
          }
        }
	from-zone IT to-zone untrust {
      policy Intent_1__1 {
         match {
                source-address ls-192.0.2.0/24-S42-L1;
                destination-address any;
                application any;
                }
          then {
                permit {
                   application-services {
                   application-firewall {
                   rule-set AppFwProfile_0;
                   }
                 }
               }
             }
           }
         }
		policy-rematch;

以下配置示例的层次结构级别为 [edit security application-firewall]

content_copy zoom_out_map
application-firewall {              
   rule-sets AppFwProfile_0 {
       rule rule-1 {
               match {
                   dynamic-application junos:FACEBOOK-APP;
                   ssl-encryption any;
                     }
                then {
                    permit;
                }
            }
        default-rule {
          deny;
            }
         }
      }

示例 5:控制各部门对特定应用程序的访问的防火墙策略

定义防火墙策略,用于控制各部门对特定应用程序的访问,其目的如下:

  • 位于站点A和站点B(位于不同地理位置)的财务部门被允许访问BBC和CNN的新闻应用程序。

  • 位于站点 A 的 IT 部门无法访问新闻应用程序 BBC 和 CNN。

  • 只有财务部门才能访问 Telnet 和 SSH 应用程序。

  • 除财务部门外,所有部门都拒绝访问 Telnet 和 SSH 应用程序。

表 10 显示了满足此要求的防火墙策略意图:

表 10:防火墙策略意图定义示例 - 5

目的地

行动

财务部,站点 A,财务部门,站点 B

英国广播公司和美国有线电视新闻网

许可证

IT 部门,站点 A

英国广播公司和美国有线电视新闻网

否认

财务部,站点 A,财务部门,站点 B

Telnet 和 SSH

许可证

任意(除财务部门外的所有地址)

Telnet 和 SSH

否认

注意:

意图的数量取决于给定部门内的源站点数和目标站点的数量。

表 11 显示了如何解析此防火墙策略意图:

表 11:防火墙策略意图解析,例如 - 5

源部

源地址

目标地址

服务

应用程序防火墙配置文件

金融

[LS2]

信任/不信任

任何

任何

AppFwProfile_1

许可证:美国有线电视新闻网/英国广播公司

定义规则:许可

金融

[LS3]

信任/不信任

任何

任何

AppFwProfile_1

许可证:美国有线电视新闻网/英国广播公司

定义规则:许可

信息技术

[LS1]

信任/不信任

任何

任何

AppFwProfile_3

否认:美国有线电视新闻网/英国广播公司

定义规则:拒绝

财务部,站点 A,财务部门,站点 B

[LS2、LS3]

信任/不信任

任何

Telnet、SSH

AppFwProfile_1-1

许可证:Telnet/SSH

定义规则:拒绝

IT 部门,站点 A

[LS1]

信任/不信任

任何

Telnet、SSH

AppFwProfile_3-1

拒绝:Telnet/SSH

定义规则:拒绝

配置输出示例

控制站点 A 中各个部门对特定应用程序的访问的配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone Finance to-zone trust {
   	  policy Intent_3 {
        match {
            source-address ls-192.168.1.0/24-SP50-L2;
            destination-address any;
            application [junos-telnet junos-ssh];
        }
        then {
            permit {
                application-services {  
                    application-firewall {
                        rule-set AppFwProfile_1-1;
                    }
                }
            }
        }
		    }
      policy Intent_1 {
        match {
            source-address ls-192.168.1.0/24-SP50-L2;
            destination-address any;
            application any;
        }
        then {
            permit {
                application-services {
                    application-firewall {
                        rule-set AppFwProfile_1;
                    }
                }
            }
        }
		    }
       policy Intent_4__0 {
        match {
            source-address any;
            destination-address any;
            application [junos-telnet junos-ssh];
        }
        then {
            permit;
        		  }
        		}
			  }
from-zone IT to-zone trust {
    	policy Intent_4__1-1 {
        match {
            source-address ls-192.0.2.0/24-S42-L1;
            destination-address any;
            application [junos-telnet junos-ssh];
       		 }
        then {
            permit {
                application-services {
                    application-firewall {
                        rule-set AppFwProfile_3-1;
                   }
                }
             }
          }
       }
    	policy Intent_2 {
        match {
            source-address ls-192.0.2.0/24-S42-L1;
            destination-address any;
            application any;
					 }
        then {
            permit {
                application-services {
                    application-firewall {
                        rule-set AppFwProfile_3;
                    }
                 }
              }
           }
         } 
       policy Intent_4__1 {
         match {
            source-address any;
            destination-address any;
            application [junos-telnet junos-ssh];
        	    }
        then {
            deny;
      		    }
    		  }
				}

以下配置示例的层次结构级别为 [edit security application-firewall]

content_copy zoom_out_map
rule-sets AppFwProfile_1-1 {
     rule rule-1 {
        match {
            dynamic-application [junos:BBC junos:CNN];
            ssl-encryption any;
             }
        then {
            permit;
             }
	          }
        default-rule {
        deny;
         }
       }
rule-sets AppFwProfile_3 {
     rule rule-2 {
        match {
            dynamic-application [junos:BBC junos:CNN];
            ssl-encryption any;
              }
        then {
            deny;
           }       
         }
        default-rule {
        deny;
         }
       }
rule-sets AppFwProfile_1 {
      rule rule-3 {
        match {
            dynamic-application [junos:BBC junos:CNN];
            ssl-encryption any;
      	       }
        then {
            permit;
            }
          }
        default-rule {
        deny;
         }
        }
rule-sets AppFwProfile_3-1 {
     rule rule-4 {
        match {
            dynamic-application [junos:BBC junos:CNN];
            ssl-encryption any;
             }
        then {
            deny;
             }
            }
      default-rule {
        deny;
          }
       }

控制站点 B 中各个部门对特定应用程序的访问的配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone Finance to-zone trust {
     policy appQoe-36600-Permit-rule {
        match {
            source-address any;
            destination-address any;
            application appQoe-36000;
        }
        then {
            permit;
        }
      }
     policy Intent_3 {
        match {
            source-address ls-198.51.100.0/24-SP50-L3;
            destination-address any;
            application [ junos-telnet junos-ssh ];
        }
        then {
            permit {
                application-services {  
                    application-firewall {
                        rule-set AppFwProfile_1-1;
                    }
                 }
              }
           }
        }
      policy Intent_1 {
        match {
            source-address ls-198.51.100.0/24-SP50-L3;
            destination-address any;
            application any;
    	      }
         then {
           permit {
               application-services {
                  application-firewall {
                        rule-set AppFwProfile_1;
                    }
                  }
                }
             }
          }
      policy Intent_4__1 {
         match {
            source-address any;
            destination-address any;
            application [junos-telnet junos-ssh];
          }
         then {
            deny;
    	        }
           }
        }
from-zone Sales to-zone trust {
      policy Intent_4__0 {
        match {
            source-address any;
            destination-address any;
            application [junos-telnet junos-ssh];
             }
        then {
            deny;
        		  }
    		 }
		  }
	 policy-rematch;

以下配置示例的层次结构级别为 [edit security application-firewall]

content_copy zoom_out_map
rule-sets AppFwProfile_1-1 {
     rule rule-ca2354d6-a7ba-488e-8c5a-91cbddfb9583-appFwRule {
        match {
            dynamic-application [junos:BBC junos:CNN];
             ssl-encryption any;
            }
        then {
            permit;
             }
          }
         default-rule {
         deny;
           }
         }
rule-sets AppFwProfile_1 {
       rule rule-ca2354d6-a7ba-488e-8c5a-91cbddfb9583-appFwRule {
         match {
            dynamic-application [junos:BBC junos:CNN];
            ssl-encryption any;
            }
          then {
            permit;
              }
            }
         default-rule {
        deny;
     }
  } 

示例 6:拒绝访问社交网站防火墙策略

定义一个防火墙策略,拒绝位于站点 A 中的 IT 和财务部门访问 Facebook 和 Twitter 等网络站点(定义为应用程序组社交网络)。

表 12 显示了满足此要求所需的防火墙策略意图:

表 12:防火墙策略意图定义,例如 - 6

目的地

行动

IT 和财务,站点 A

应用程序组社交网络(Facebook 和 Twitter)

否认

注意:

如果 IT 或财务部门位于不同的站点中,但您只想将此防火墙策略意图应用于站点 A 中的 IT 或财务部门,请添加站点 A。

表 13 显示了如何解析此防火墙策略意图:

表 13:防火墙策略意图解析,例如 - 6

源部

源地址

目标地址

服务

应用程序防火墙配置文件

金融

[LS2]

信任/不信任

任何

任何

AppFwProfile_0

拒绝:社交网络(应用)

定义规则:拒绝

信息技术

[LS1]

信任/不信任

任何

任何

AppFwProfile_1

拒绝:社交网络(应用)

定义规则:拒绝

配置输出示例

拒绝站点 A 中的部门访问社交网站配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone IT to-zone untrust {
        policy Intent_1__0 {
           match {
               source-address  ls-192.0.2.0/24-S42-L1;
               destination-address any;
               application any;
              }
              then {
                 permit {
                     application-services {
                     application-firewall {
                     rule-set AppFwProfile_0;
                        }
                     }
                 }
               }
            }
        }
from-zone Finance to-zone untrust {
         policy Intent_1__1 {
                match {
                    source-address ls-192.168.1.0/24-SP50-L2;
                    destination-address any;
                    application any;
                }
                then {
                    permit {
                        application-services {
                            application-firewall {
                                rule-set AppFwProfile_0;
                            }
                        }
                    }                   
                }
            }
        }
			

以下配置示例的层次结构级别为 [edit security application-firewall]

content_copy zoom_out_map
application-firewall {
        rule-sets AppFwProfile_0 {
            rule rule-b7e4ed02-e196-400a-88bf-f1de8973d30c-appFwRule {
                match {
                    dynamic-application-group Socialnetwork;
                    ssl-encryption any;
                }
                then {
                    deny;
                }
            }
            default-rule {
                deny;
            }
        }
     }
     

示例 7:控制通过互联网 (HTTP) 访问地址的防火墙策略

定义防火墙策略,用于控制各种站点或站点组通过 Internet (HTTP) 访问地址,其目的如下:

  • 允许站点 A 和站点 B 的 IP 地址前缀访问 example.com。

  • 拒绝站点组 Q1 的 IP 地址前缀访问 example-one.com。站点组 Q1 由站点 A 和站点 B 组成。

表 14 显示了满足此要求所需的防火墙策略意图:

表 14:防火墙策略意图定义,例如 - 7

服务

目的地

行动

IP 地址前缀,站点 A 和 IP 前缀,站点 B

HTTP

www.example.com

许可证

IP 地址前缀,站点组 Q1

HTTP

www.example-one.com

否认

表 15 显示了如何解析此防火墙策略意图:

表 15:防火墙策略意图解析,例如 - 7

源部

源地址

目标地址

服务

应用程序防火墙配置文件

站点 A 中的 IT、财务部门

[LS1、LS2]

信任/不信任

www.example.com

任何

AppFwProfile_0

允许:HTTP

定义规则:拒绝

B站点的财务、销售部门

[LS3、LS4]

信任/不信任

www.example.com

任何

AppFwProfile_1

允许:HTTP

定义规则:拒绝

站点 A 中的 IT、财务部门

[LS1、LS2]

信任/不信任

www.example-one.com

任何

AppFwProfile_2

拒绝:HTTP

定义规则:拒绝

B站点的财务、销售部门

[LS3、LS4]

信任/不信任

www.example-one.com

任何

AppFwProfile_3

拒绝:HTTP

定义规则:拒绝

配置输出示例

控制站点 A 通过互联网 (HTTP) 访问地址的配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone Finance to-zone untrust {
    	policy Intent_4__0 {
        match {
            source-address ls-192.168.1.0/24-SP50-L2;
            destination-address www.example.com;
            application junos-http;
        }
        then {                          
            permit {
                application-services {
                    application-firewall {
                        rule-set AppFwProfile_0;
                    }
                 }
              }
           }
       }
      policy Intent_1__0 {
        match {
            source-address ls-192.168.1.0/24-SP50-L2;
            destination-address addr2;
            application junos-http;
        }
        then {
            permit {
                application-services {
                    application-firewall {
                        rule-set AppFwProfile_1;
                    }
                 }
              }
           }
        }
     }
from-zone IT to-zone untrust {
    	policy Intent_4__1 {
        match {
            source-address ls-192.0.2.0/24-S42-L1;
            destination-address addr2;
            application junos-http;
        }
        then {
            permit {
                application-services {
                    application-firewall {
                        rule-set AppFwProfile_0;
                    }
                 }
              }
           }
        }                                   
		    policy Intent_1__1 {
         match {
            source-address ls-192.0.2.0/24-S42-L1;
            destination-address addr2;
            application junos-http;
         }
         then {
            permit {
                application-services {
                    application-firewall {
                        rule-set AppFwProfile_1;
                    }
                 }
              }
           }
        }
     }
	  policy-rematch;

以下配置示例的层次结构级别为 [edit security application-firewall]

content_copy zoom_out_map
rule-sets AppFwProfile_1 {
     rule rule-ca2354d6-a7ba-488e-8c5a-91cbddfb9583-appFwRule {
        match {
            dynamic-application junos:YOUTUBE;
            ssl-encryption any;
        }
        then {
            deny;
          }
        }
        default-rule {
        deny;
        }
       }
rule-sets AppFwProfile_0 {
    rule rule-00f3879c-f3d7-4cb3-89b6-78328e3bff38-appFwRule {
        match {
            dynamic-application junos:CNN;
            ssl-encryption any;
        }
        then {
            permit;
         }
       }
rule rule-ca2354d6-a7ba-488e-8c5a-91cbddfb9583-appFwRule {
        match {
            dynamic-application junos:YOUTUBE;
            ssl-encryption any;
          }
        then {
            deny;
          }
        }
        default-rule {
        deny;
        }
      }

控制站点 B 通过互联网 (HTTP) 访问地址的配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone Finance to-zone untrust {
       policy Intent_4__1 {
        match {
            source-address ls-198.51.100.0/24-SP50-L3;
            destination-address addr2;
            application junos-http;
        }
        then {                          
            permit {
                application-services {
                    application-firewall {
                        rule-set AppFwProfile_0;
                    }
                 }
              }
           }
        }
        policy Intent_1__1 {
    	    match {
            source-address ls-198.51.100.0/24-SP50-L3;
            destination-address addr2;
            application junos-http;
      			 }
        	  then {
            permit {
                application-services {
                    application-firewall {
                        rule-set AppFwProfile_1;
                    }
                  }
               }
            }
          }
       }
from-zone Sales to-zone untrust {
			    policy Intent_4__0 {
      			  match {
            	  source-address ls-203.0.113.0/24-SP50-L4;
			           destination-address addr2;
                 application junos-http;
             }
           then {
            permit {
                application-services {
                    application-firewall {
                        rule-set AppFwProfile_0;
                    }
                  }
                }
              }
  		      }                                   
				   policy Intent_1__0 {
			        match {
      			      source-address ls-203.0.113.0/24-SP50-L4;
			            destination-address addr2;
            		application junos-http;
      					  }
					   then {
            		permit {
                		application-services {
                     application-firewall {
                     rule-set AppFwProfile_1;
                    }
                  }
                }
              }
            }
          }
	  policy-rematch;

以下配置示例的层次结构级别为 [edit security application-firewall]

content_copy zoom_out_map
rule-sets AppFwProfile_1 {
     rule rule-ca2354d6-a7ba-488e-8c5a-91cbddfb9583-appFwRule {
        match {
            dynamic-application junos:YOUTUBE;
            ssl-encryption any;
         }
         then {
            deny;
           }
          }
         default-rule {
         deny;
        }
       }
 rule-sets AppFwProfile_0 {
		  rule rule-00f3879c-f3d7-4cb3-89b6-78328e3bff38-appFwRule {
        match {
            dynamic-application junos:CNN;
            ssl-encryption any;
        }
        then {
            permit;
          }
        }
      rule rule-ca2354d6-a7ba-488e-8c5a-91cbddfb9583-appFwRule {
        match {
            dynamic-application junos:YOUTUBE;
            ssl-encryption any;
             }
         then {
            deny;
             }
           }
          default-rule {
          deny;
         }
       }

示例 8:允许或拒绝使用 HTTP 或 FTP 即服务的防火墙策略

定义防火墙策略,允许或拒绝属于 IT 部门的特定 IP 地址将 HTTP 或 FTP 用作服务。

表 16 显示了满足此要求所需的防火墙策略意图:

表 16:防火墙策略意图定义示例 - 8

服务

目的地

行动

192.0.2.0

HTTP

example.com

许可证

192.0.2.0

Ftp

example.com

否认

表 17 显示了如何解析此防火墙策略意图:

表 17:防火墙策略意图解析,例如 - 8

源部

源地址

目标地址

服务

IT,站点 A

192.0.2.0

信任/不信任

example.com

Ftp

IT,站点 A

192.0.2.0

信任/不信任

example.com

HTTP

配置输出示例

允许访问 HTTP 的配置示例

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone IT to-zone trust {
      policy Intent_1__1 {
        match {
            source-address 192.0.2.0;
            destination-address example.com;
            application junos-ftp;
        }
        then {
            deny;
        }
      }
      policy Intent_4__1 {
        match {
            source-address 192.0.2.0;
            destination-address example.com;
            application junos-http;
          }
          then {
            permit;
          }
        }
      }
     policy-rematch;

示例 9:防火墙策略,拒绝站点 A 和站点 B 的财务部门访问 BitTorrent

定义一个防火墙策略,拒绝站点 A 和站点 B 中的财务部门访问 BitTorrent。

表 18 显示了满足此要求所需的防火墙策略意图:

表 18:例如防火墙策略意图定义 - 9

目的地

行动

站点 A,财务部

比特洪流

否认

站点 B,财务部

比特洪流

否认

表 19 显示了如何解析此防火墙策略意图:

表 19:防火墙策略意图解析,例如 - 9

网站

源地址

目标申请

服务

应用程序防火墙配置文件

财务部,站点 A

[LS2]

信任/不信任

比特洪流

任何

AppFwProfile_0

拒绝:BitTorrent

定义规则:拒绝

财务部,站点 B

[LS3]

信任/不信任

比特洪流

任何

AppFwProfile_0

拒绝:BitTorrent

定义规则:拒绝

配置输出示例

允许站点 A 访问 BitTorrent 的配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone Finance to-zone untrust {
      policy appQoe-36600-Permit-rule {
        match {
            source-address any;
            destination-address any;
            application appQoe-36000;
            }
        then {
            permit;
          }
       }
      policy Intent_1 {
        match {
            source-address ls-192.168.1.0/24-SP50-L2;
            destination-address any;
            application any;
             }
        then {                          
            permit {
                application-services {
                    application-firewall {
                        rule-set AppFwProfile_0;
                    }
                }
            }
            log {
                session-init;
                session-close;
                }
              }
           }
        }
       policy-rematch;

以下配置示例的层次结构级别为 [edit security application-firewall]

content_copy zoom_out_map
rule-sets AppFwProfile_0 {
     rule rule-2226740d-03a9-483c-b315-eddc9ae8619a-appFwRule {
        match {
            dynamic-application junos:BITTORRENT;
            ssl-encryption any;
        }
        then {
            deny;
          }
       }
         default-rule {
         deny;
        }
      }

允许站点 B 访问 BitTorrent 的配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone Finance1 to-zone untrust {
       policy appQoe-36600-Permit-rule {
          match {
            source-address any;
            destination-address any;
            application appQoe-36000;
           }
           then {
              permit;
           }
        }
      policy Intent_4 {
         match {
            source-address ls-198.51.100.0/24-SP50-L3;
            destination-address any;
            application any;
             }
          then {                          
            permit {
                application-services {
                    application-firewall {
                        rule-set AppFwProfile_0;
                    }
                 }
              }
            log {
                session-init;
                session-close;
               }
            }
         }
      }
      policy-rematch;

以下配置示例的层次结构级别为 [edit security application-firewall]

content_copy zoom_out_map
rule-sets AppFwProfile_0 {
     rule rule-00f3879c-f3d7-4cb3-89b6-78328e3bff38-appFwRule {
        match {
            dynamic-application junos:BITTORRENT;
            ssl-encryption any;
        }
        then {
            deny;
        }
      }
      default-rule {
         deny;
      } 
     }

示例 10:允许用户组 A 中的用户访问 Facebook 的防火墙策略

定义防火墙策略,其中属于用户组 A 的用户只能访问 Facebook,而不能访问其他应用程序。用户组 A 由位于站点 A 中的用户组成。

表 20 显示了满足此要求所需的防火墙策略意图:

表 20:防火墙策略意图定义,例如 - 10

目的地

行动

用户组 A,站点 A

Facebook

许可证

表 21 显示了如何解析此防火墙策略意图:

表 21:防火墙策略意图解析,例如 - 10

网站

用户/用户组

源地址范围

目标地址

应用

站点 A

用户组 A

192.0.2.0 至 192.0.2.20

任何

Facebook

配置输出示例

允许用户组 A 中的用户访问 Facebook 的配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone Finance to-zone untrust {
      policy appQoe-36600-Permit-rule {
        match {
            source-address any;
            destination-address any;
            application appQoe-36000;
         }
         then {
            permit;
            }
        }
      policy Intent_4__0 {
        match {
            source-address ls-192.168.1.0/24-SP50-L2;
            destination-address any;
            application any;
            source-identity "USERFW.LOCAL\Cert Publishers";
            }                               
        then {
            permit {
                application-services {
                    application-firewall {
                        rule-set AppFwProfile_0;
                    }
                }
            }
            log {
                session-init;
                session-close;
               }
            }
         }
      }
from-zone IT to-zone untrust {
      policy appQoe-36600-Permit-rule {
        match {
            source-address any;
            destination-address any;
            application appQoe-36000;
           }
        then {
            permit;
           }
        }
       policy Intent_4__1 {
         match {
            source-address ls-192.0.2.0/24-S42-L1;
            destination-address any;
            application any;
            source-identity "USERFW.LOCAL\Cert Publishers";
          }
          then {
            permit {
                application-services {
                    application-firewall {
                        rule-set AppFwProfile_0;
                    }
                }
            }
            log {
                session-init;
                session-close;
                }
             }
          }
       }
     policy-rematch;

以下配置示例的层次结构级别为 [edit security application-firewall]

content_copy zoom_out_map
rule-sets AppFwProfile_0 {
     rule rule-00f3879c-f3d7-4cb3-89b6-78328e3bff38-appFwRule {
        match {
            dynamic-application junos:FACEBOOK-APP;
            ssl-encryption any;
        }
        then {
            permit;
        }
      }
      default-rule {
        deny;
      }
    }

以下配置示例的层次结构级别为 [edit services user-identification identity-management]

content_copy zoom_out_map
connection {
       connect-method https;
       port 443;
       primary {
           address 10.213.50.50;
           client-id 1234;
           client-secret "$ABC123"; ## SECRET-DATA
           }
        token-api oauth_token/oauth;
        query-api user_query/v2;
        }  
        batch-query {
        items-per-batch 200;
        query-interval 5;
      } 
      ip-query {
      query-delay-time 15;
     }

示例 11:允许网站 A 中的用户 B 在启用内容安全的情况下访问 YouTube 的防火墙策略

定义防火墙策略,在该策略中,仅向位于站点 A 的用户 B 提供对启用了内容安全性的 YouTube 的访问权限。用户无权访问任何其他应用程序。

表 22 显示了满足此要求所需的防火墙策略意图:

表 22:防火墙策略意图定义,例如 - 11

目的地

行动

用户 B,站点 A

Youtube

许可证

表 23 显示了如何解析此防火墙策略意图:

表 23:防火墙策略意图解析,例如 - 11

网站

源地址

用户/用户组

目标地址

内容安全

应用

站点 A

192.0.2.22

用户 B

任何

启用

Facebook

配置输出示例

允许站点 A 中的用户 B 访问 YouTube 并启用内容安全性的配置示例。

以下配置示例的层次结构级别为 [edit security policies]

content_copy zoom_out_map
from-zone Finance to-zone untrust {
      policy Intent_4__0 {
         match {
            source-address ls-192.168.1.0/24-SP50-L2;
            destination-address any;
            application any;
            source-identity "userfw.local\CSO1";
          }                               
         then {
            permit {
                application-services {
                    utm-policy testUTM;
                    application-firewall {
                        rule-set AppFwProfile_0;
                    }
                }
            }
            log {
                session-init;
                session-close;
            	}
            }
         }
      }
from-zone IT to-zone untrust {
      policy Intent_4__1 {
        match {
            source-address ls-192.0.2.0/24-S42-L1;
            destination-address any;
            application any;
            source-identity "userfw.local\CSO1";
        }
        then {
            permit {
                application-services {
                    utm-policy testUTM;
                    application-firewall {
                        rule-set AppFwProfile_0;
                    }
                }
            }
            log {
                session-init;
                session-close;
              }
           }
        }
     }
    policy-rematch;

以下配置示例的层次结构级别为 [edit security utm]

content_copy zoom_out_map
feature-profile {
       web-filtering {
           type juniper-local;
           }
         }
       utm-policy testUTM {
       web-filtering {
       http-profile junos-wf-local-default;
        }
       anti-spam {
        smtp-profile junos-as-defaults;
        }
    traffic-options {
        sessions-per-client {
            over-limit log-and-permit;
           }
        }
     }

以下配置示例的层次结构级别为 [edit security application-firewall]

content_copy zoom_out_map
rule-sets AppFwProfile_0 {
     rule rule-00f3879c-f3d7-4cb3-89b6-78328e3bff38-appFwRule {
        match {
            dynamic-application junos:FACEBOOK-APP;
            ssl-encryption any;
        }
        then {
            permit;
        }
      }
      default-rule {
        deny;
       } 
     }

以下配置示例的层次结构级别为 [edit services user-identification identity-management]

content_copy zoom_out_map
connection {
       connect-method https;
       port 443;
       primary {
          address 10.213.50.50;
          client-id 1234;
          client-secret "$ABC123"; ## SECRET-DATA
        }
       token-api oauth_token/oauth;
       query-api user_query/v2;
      }
     batch-query {
       items-per-batch 200;
       query-interval 5;
      }
     ip-query {
       query-delay-time 15;
    }

示例 12:阻止访问互联网并允许访问 Google 云端硬盘的防火墙策略。

以下部分提供了一个示例防火墙策略,用于阻止对互联网的访问并允许访问 Google 云端硬盘。防火墙策略有一个基于企业的意图和一个基于区域的意图。

表 24 提供了基于企业的阻止访问互联网的意图。

表 24:基于企业的意图示例

规则名称

源终端节点

目标端点

行动

EnterpriseIntent_1

英格(部门)

互联网

否认

表 25 中提供了允许访问 Google 云端硬盘的基于区域的意图。

表 25:基于示例区域的意图

规则名称

源终端节点

目标端点

行动

ZoneIntent_1

engg (区域)

untrust(zone), google-drive

允许

表 24表 25 中的意图会产生表 26 中提供的防火墙规则顺序。

表 26:示例防火墙规则

规则名称

规则顺序

源终端节点

目标端点

行动

ZoneIntent_1

1

engg (区域)

untrust(zone), google-drive

允许

EnterpriseIntent_1

2

英格(部门)

互联网

否认

footer-navigation