您好,抱歉我的英语不好。
我正在几台运行 Junos 15.1X49 的 Juniper SRX3xx 设备上设置防火墙过滤器。我实际上想要实现的是,在需要重新配置某些规则时,尽量减少我未来的手动操作。在 Cisco ASA 上,答案很简单:使用对象而不是实际 IP 地址。如果您需要更改某些服务器的 IP,则只需更改代表它的对象,同时保留所有相关规则。
Junos 有地址簿(安全地址簿......),它们的用途类似,只是它们不适用于(?!)防火墙规则(防火墙......过滤器......术语......)。它还有前缀列表(策略选项前缀列表......),理论上可以在防火墙规则(防火墙......过滤器......术语......来自源前缀列表......)中使用。有两组代表相同 IP 的对象很奇怪,但我可以接受。然而前缀列表似乎不仅仅是一些在其他地方使用的对象定义。或者我应该说根本不是我需要的对象定义?遗憾的是,Juniper 文档中对这个主题的描述非常不清楚,而在大多数情况下,文档都非常好。
所以我的问题是:典型的 Junos 管理员如何组织他的防火墙规则?应该是具有明确 IP 地址的规则,然后在需要更改单个地址时花几个小时编辑它吗?或者在防火墙规则中广泛使用前缀列表可以吗?或者也许我错过了什么?