7 Policy策略设置
7.1 查看目前策略设置
可以选择查看从某个源安全区到某个目的安全区的策略,也可以选择从ALL到ALL来查看所有的策略。
Service是系统预定义或我们自定义的服务端口号。
Action动作是指策略是允许或拒绝,允许是一个对勾,拒绝是一个X,另外如果是绿色图表说明没有做源地址转换,蓝色图表说明做了源地址转换。
在Option下如果有一个小记事本的图表,说明我们要记录此数据流,当数据流通过时可以看到详细的地址转换情况。
生效:可以通过取消对勾让本策略暂时失效。
移动:可以调整策略查找的顺序,策略的查找和匹配默认是从上到下,我们可以通过移动来控制策略生效的顺序。 7.2 创建策略
源地址和目的地址如果以前曾经设置过,可以用下拉菜单进行选择,否则需要在New Address新地址栏进行输入。
如果地址曾经输入过,做策略时我们仍在New Address栏中进行输入,点击确定的时候系统会出现重复IP地址条目的提示信息,但不影响策略的设置。
入侵检测的配置如果自己不是特别了解应用的特性建议不要做任何配置,保持原有默认配置不变。
在进行调试时建议打开LOG记录,看是否有数据流通过及地址转换情况。 如果要进行源或目的地址的转换需要点击高级选项进入二级配置菜单。 源地址转换点击DIP下拉菜单后前面的选择框会自动选中。 目的地址转换必须手工点击选中前面的目标地址转换的选择框。
8 对象Object设置
对象Object的设置主要是为了简化和方便策略的引用和设置,比如地址组和服务组等,下面我们重点介绍一下服务的设置。
服务其实就是给对方提供的一些协议端口号,其中大部分的常见服务设备已经提前设置好,比如web,telnet等等,但是一些非常用的端口号,比如TCP 8888等就需要我们自己进行自定义设置了。
查看自定义的服务:Objects-Services-Custom
技巧:我们可以给服务一个名称,可用中文描述一个中间业务的名称,然后在策略里进行引用,这样在进行排错的时候我们就可以很方便地找到相应的策略,虽然我们也可以给策略一个名称,但在策略汇总表中是不显示出来的。
创建一个新的服务
目标协议和端口号我们可以设置多个组合,例如TCP 8888+UDP+ICMP等
我们一般仅设置目标端口号,源端口号不做限制,例如我们要提供一个WWW的服务,类似设置就是:
TCP 0 65535 80 80
如果设置允许ICMP的PING,可以设置为:ICMP 8 0
9 策略Policy报告Report
如果我们想看具体某一条策略是否有流量或流量的源地址、目的地址以及源和目的转换的情况我们可以在策略中点击记事本直接进行观看。
另外系统也提供一个汇总的方式让我们能够方便地观测所有策略的数据流的概要信息,比如在一个时刻都有哪些业务在运行,每种业务的数据量等等。
点击Reports-Polices:
如上图所示,我们可以直观地看到某个时刻都有哪些业务流在进行,灰色的记事本代表没有业务,蓝色的代表有业务数据流,点击蓝色记事本可以查看业务数据流的详细信息。
juniper防火墙详细配置手册
