本页内容

了解租户系统筛选选项
示例：为租户系统配置屏幕选项

租户系统的筛选选项

SRX 系列防火墙上的租户系统的筛选选项可防止攻击，例如 IP 地址扫描、端口扫描、拒绝服务（DOS）攻击、ICMP、UDP 和与逻辑系统相同的 SYN 泛洪。有关更多信息，请参阅以下主题：

了解租户系统筛选选项

使用屏幕选项，设备通过检测，然后允许或拒绝需要跨越绑定到该区域的接口的所有连接尝试来保护区域。Junos OS 将防火墙策略应用于通过屏幕过滤器的流量，其中可以包含内容过滤和 IDP 组件。每个租户系统中也提供设备上提供的所有屏幕选项。

从 Junos OS 18.3R1 版开始，逻辑系统支持的筛选选项将扩展到租户系统。

示例：为租户系统配置屏幕选项

此示例说明如何为租户系统配置屏幕选项。

要求
概述
配置
验证

要求

开始之前：

了解租户系统配置过程。请参阅租户系统配置概述，了解此任务如何适合整个配置过程。
为租户系统配置区域。请参阅租户系统的安全区域，了解如何为租户系统配置区域。

概述

使用屏幕选项，安全设备可以防御安全区域的不同内部和外部攻击。您可以将租户系统中的并发会话数限制为相同的目标 IP 地址。设置基于目标的会话限制可以确保 Junos OS 仅允许访问任何一个主机的并发连接请求数（无论来自什么来源）。当对某个 IP 地址的并发连接请求数超过限制时，Junos OS 会阻止进一步连接到该 IP 地址的尝试。

配置

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层级的 [edit] CLI 中，然后从配置模式进入 commit 。

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明，请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器。

在租户系统中配置基于目标的会话限制：

以管理员身份登录租户系统并进入配置模式。

将租户系统名称定义为 TN1，并为基于目标的会话限制配置筛选选项。

配置 ICMP 筛选选项。

配置 IP 屏蔽选项。

配置 TCP 屏蔽选项。

配置 UDP 屏蔽选项。

将 IDS 配置文件连接到区域。

结果

在配置模式下，输入命令以确认 show tenants TN1 security screen 您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明，以便进行更正。

验证

要确认配置工作正常，请执行以下任务：

验证安全筛选状态

目的
行动
意义

目的

验证多个筛选选项的 IDS 配置文件配置是否正确：

行动

要验证配置是否工作正常，请在 show security screen ids-option jscreen tenant TN1 操作模式下输入和 show security zone tenant TN1命令。

意义

输出显示租户系统中的屏幕状态。

版本历史记录表

释放

描述

18.3R1