juniper防火墙设置安全策略,假设源地址是A域、ip地址是B,目的域是类似 mtp.mail.com 的网关地址,可以直接把域名加入untrust域的地址池吗?要怎么写安全策略呢?
我是这样写的 set security zones security-zone untrust address-book address mtp.mail.qq.com mtp.mail.qq.com
报错。
你的网关是域名,不是ip,不能用address-book
先上图,在 Policy > Policies 界面
这是Juniper防火墙策略的总览,看界面上的功能可以知道,可以新建策略,编辑策略,复制策略,删除策略,禁用启用策略。还能移动策略顺序,截图没截到,在最右边。
Juniper防火墙策略的执行顺序和ISA是一样的,从上到下执行,所以策略设置的时候要先弄清楚逻辑关系。
新建策略
选择源地址及目的地址所在zone,点击右上角的“new”可以新建一条策略。
上图标出了Juniper防火墙策略的四个基本策略:
Source Address 源地址:可以使用预定义的地址,也可以手动输入
Destination Address 目的地址
Service 服务
Action 动作:运行通过还是禁止通过,或者通过tunnel走VPN
另外还有一些其他选项设置:
Session-limit :限制这条策略的session数,在低版本的Juniper防火墙上是没有的
Logging :记录日志
Modify matching bidirectional VPN policy :建立vpn通道的同时反向建立一条策略。
高级设置
下面再看看高级设置里的一些设置:
NAT :可以设置源地址及目的地址的转换
Authentication :认证选项
Traffic Shaping :流量控制选项,可以设置这条策略的保证带宽,最大带宽
Counting :流量统计,可以查看该策略的流量状况
Schedule:设置该策略的生效时间。
Juniper防火墙的策略先写到这里,看过之后大致就可以了解如何设置Juniper防火墙的策略,关键还是如何设置防火墙的策略达到自己的要求
不可以,需要找到具体地址和端口号,然后在定义调用策略