我对 Juniper 完全是新手。
好的,我已经摆弄 SRX210 防火墙上的 Web 界面几个小时了,看起来现在我需要具体的帮助。
因此,总体架构是,我有一个路由器将远程办公室连接到本地办公室。我希望防火墙位于本地路由器和 LAN 交换机之间,并且仅在流量进入/流出本地办公室 LAN 时进行 IP 过滤。唯一应该到达远程链路的流量应该是发往远程网络的流量,反之亦然。只有
当远程机器以某种方式被黑客入侵时,防火墙才会出现。不太可能,但以防万一,需要安装防火墙。
我在安全设置下制定了一些策略,以允许受信任区域和不受信任区域根据 FW 地址簿中列出的网络相互通信。
我有一个从受信任到不受信任的任意到任意的许可,从不受信任到受信任的 [远程网络] 到本地的许可 [编辑:已删除] 不受信任到受信任 任意到任意 拒绝
我已经在 FW f/02 和 f/03 上设置了两个端口,并将其设置为以太网模式访问且无 VLan,其中 f/02 为受信任,f/03 为不受信任。
我认为进出这些端口的任何内容都应根据策略过滤器进行过滤。
但并没有发生这种情况。我设置了两台笔记本电脑,分别插入每个端口,并将 IP 设置为与允许网络不同的网络,但它们仍然可以来回 ping。
由于我没有使用过 Juniper FW 或任何防火墙,除了糟糕的家用产品之外,大家是否知道我错过了什么?
谢谢。
[编辑:好的,我将其重置为出厂默认设置并按照 Juniper 设置指南之一进行操作,但仍然不起作用。下面是配置文件。我正在通过 Web 界面进行配置,因此如果有任何反馈可以参考该界面而不是 CLI,那将对我更有帮助……我需要学习的东西就少了一件,才能让它工作。]
## Last changed: 2013-04-18 15:36:25 PDT
version 11.2R4.3;
system {
host-name Office;
time-zone *************;
root-authentication {
encrypted-password "*********************";
}
name-server {
208.67.222.222;
208.67.220.220;
}
services {
ssh;
telnet;
xnm-clear-text;
web-management {
http {
interface vlan.0;
}
https {
system-generated-certificate;
interface vlan.0;
}
}
dhcp {
router {
192.168.1.1;
}
pool 192.168.1.0/24 {
address-range low 192.168.1.2 high 192.168.1.254;
}
propagate-settings ge-0/0/0.0;
}
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
dhcp;
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/2 {
unit 0 {
description Remote_Side;
family ethernet-switching {
port-mode access;
}
}
}
fe-0/0/3 {
unit 0 {
description Local_Side;
family ethernet-switching {
port-mode access;
}
}
}
fe-0/0/4 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/5 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/6 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/7 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
vlan {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 10.1.0.254;
}
}
protocols {
stp;
}
security {
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy InBound {
match {
source-address Remote;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
fe-0/0/3.0;
}
}
security-zone untrust {
address-book {
address Remote 175.17.1.0/24;
}
screen untrust-screen;
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
}
}
}
fe-0/0/2.0;
}
}
}
}
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
答案1
您尚未为 fe-0/0/2 或 fe-0/0/3 分配 VLAN,因此两者都位于默认 VLAN 中,并且应该只是在它们之间传递流量,而无需 SRX 的干预。
您需要将 SRX 设置为 IP 路由器才能完成其工作。SRX 确实有“透明模式”,但我不推荐它。
如果您只需要每侧一个端口,则可以避免使用 VLAN,而是手动配置端口。无论您走哪条路线,都不要忘记将端口添加到安全区域。