Juniper 防火墙 SRX210 问题

Juniper 防火墙 SRX210 问题

我对 Juniper 完全是新手。

好的,我已经摆弄 SRX210 防火墙上的 Web 界面几个小时了,看起来现在我需要具体的帮助。

因此,总体架构是,我有一个路由器将远程办公室连接到本地办公室。我希望防火墙位于本地路由器和 LAN 交换机之间,并且仅在流量进入/流出本地办公室 LAN 时进行 IP 过滤。唯一应该到达远程链路的流量应该是发往远程网络的流量,反之亦然。只有
当远程机器以某种方式被黑客入侵时,防火墙才会出现。不太可能,但以防万一,需要安装防火墙。

我在安全设置下制定了一些策略,以允许受信任区域和不受信任区域根据 FW 地址簿中列出的网络相互通信。

我有一个从受信任到不受信任的任意到任意的许可,从不受信任到受信任的 [远程网络] 到本地的许可 [编辑:已删除] 不受信任到受信任 任意到任意 拒绝

我已经在 FW f/02 和 f/03 上设置了两个端口,并将其设置为以太网模式访问且无 VLan,其中 f/02 为受信任,f/03 为不受信任。

我认为进出这些端口的任何内容都应根据策略过滤器进行过滤。

但并没有发生这种情况。我设置了两台笔记本电脑,分别插入每个端口,并将 IP 设置为与允许网络不同的网络,但它们仍然可以来回 ping。

由于我没有使用过 Juniper FW 或任何防火墙,除了糟糕的家用产品之外,大家是否知道我错过了什么?

谢谢。

[编辑:好的,我将其重置为出厂默认设置并按照 Juniper 设置指南之一进行操作,但仍然不起作用。下面是配置文件。我正在通过 Web 界面进行配置,因此如果有任何反馈可以参考该界面而不是 CLI,那将对我更有帮助……我需要学习的东西就少了一件,才能让它工作。]

## Last changed: 2013-04-18 15:36:25 PDT
version 11.2R4.3;
system {
host-name Office;
time-zone *************;
root-authentication {
    encrypted-password "*********************";
}
name-server {
    208.67.222.222;
    208.67.220.220;
}
services {
    ssh;
    telnet;
    xnm-clear-text;
    web-management {
        http {
            interface vlan.0;
        }
        https {
            system-generated-certificate;
            interface vlan.0;
        }
    }
    dhcp {
        router {
            192.168.1.1;
        }
        pool 192.168.1.0/24 {
            address-range low 192.168.1.2 high 192.168.1.254;
        }
        propagate-settings ge-0/0/0.0;
    }
}
syslog {
    archive size 100k files 3;
    user * {
        any emergency;
    }
    file messages {
        any critical;
        authorization info;
    }
    file interactive-commands {
        interactive-commands error;
    }
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
license {
    autoupdate {
        url https://ae1.juniper.net/junos/key_retrieval;
    }
}
}
interfaces {
ge-0/0/0 {
    unit 0 {
        family inet {
            dhcp;
        }
    }
}
ge-0/0/1 {
    unit 0 {
        family ethernet-switching {
            vlan {
                members vlan-trust;
            }
        }
    }
}
fe-0/0/2 {
    unit 0 {
        description Remote_Side;
        family ethernet-switching {
            port-mode access;
        }
    }
}
fe-0/0/3 {
    unit 0 {
        description Local_Side;
        family ethernet-switching {
            port-mode access;
        }
    }
}
fe-0/0/4 {
    unit 0 {
        family ethernet-switching {
            vlan {
                members vlan-trust;
            }
        }
    }
}
fe-0/0/5 {
    unit 0 {
        family ethernet-switching {
            vlan {
                members vlan-trust;
            }
        }
    }
}
fe-0/0/6 {
    unit 0 {
        family ethernet-switching {
            vlan {
                members vlan-trust;
            }
        }
    }
}
fe-0/0/7 {
    unit 0 {
        family ethernet-switching {
            vlan {
                members vlan-trust;
            }
        }
    }
}
vlan {
    unit 0 {
        family inet {
            address 192.168.1.1/24;
        }
    }
}
}
routing-options {
static {
    route 0.0.0.0/0 next-hop 10.1.0.254;
}
}
protocols {
stp;
}
security {
screen {
    ids-option untrust-screen {
        icmp {
            ping-death;
        }
        ip {
            source-route-option;
            tear-drop;
        }
        tcp {
            syn-flood {
                alarm-threshold 1024;
                attack-threshold 200;
                source-threshold 1024;
                destination-threshold 2048;
                timeout 20;
            }
            land;
        }
    }
}
nat {
    source {
        rule-set trust-to-untrust {
            from zone trust;
            to zone untrust;
            rule source-nat-rule {
                match {
                    source-address 0.0.0.0/0;
                }
                then {
                    source-nat {
                        interface;
                    }
                }
            }
        }
    }
}
policies {
    from-zone trust to-zone untrust {
        policy trust-to-untrust {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit;
            }
        }
    }
    from-zone untrust to-zone trust {
        policy InBound {
            match {
                source-address Remote;
                destination-address any;
                application any;
            }
            then {
                permit;
            }
        }
    }
}
zones {
    security-zone trust {
        host-inbound-traffic {
            system-services {
                all;
            }
            protocols {
                all;
            }
        }
        interfaces {
            vlan.0;
            fe-0/0/3.0;
        }
    }
    security-zone untrust {
        address-book {
            address Remote 175.17.1.0/24;
        }
        screen untrust-screen;
        interfaces {
            ge-0/0/0.0 {
                host-inbound-traffic {
                    system-services {
                        dhcp;
                        tftp;
                    }
                }
            }
            fe-0/0/2.0;
        }
    }
}
}
vlans {
vlan-trust {
    vlan-id 3;
    l3-interface vlan.0;
}
}

答案1

您尚未为 fe-0/0/2 或 fe-0/0/3 分配 VLAN,因此两者都位于默认 VLAN 中,并且应该只是在它们之间传递流量,而无需 SRX 的干预。

您需要将 SRX 设置为 IP 路由器才能完成其工作。SRX 确实有“透明模式”,但我不推荐它。

如果您只需要每侧一个端口,则可以避免使用 VLAN,而是手动配置端口。无论您走哪条路线,都不要忘记将端口添加到安全区域。

相关内容