發新話題
打印

[轉貼]Juniper SSG-5-SH 新手配置手册2

[轉貼]Juniper SSG-5-SH 新手配置手册2

http://www.zdh1909.com/html/Cisco/17028_2.html
备出 file。接着就等SSG5更新完毕

SSG5三十天就上手-Day 5 SSG5 Security Zones
Security Zones-安全区设定
你可以通过 Security Zones 将你的SSG5 切个为多个安全区域,在SSG5中预设会有下列Zones:
Null
Trust
Untrust
Self
Global
HA
MGT
Untrust-Tun
V1-Null
V1-Trust
V1-Untrust
DMZ
V1-DMZ
VLAN
其中建议你最少要使用两个Security Zones将你的网络进行区隔。在默认值中会将ethernet0/0放到Untrust,ethernet0/1放到DMZ,其它放到Trust。假设你只有一条对外线,建议你将该线路放到 ethernet0/0 (Untrust),内部就放到Trust。然后再设定SSG5的 Policy 来保护内部网络。
SSG5三十天就上手-Day 6 SSG5 Interface
Interface 是SSG5中实际封包进出的出入口,经由Interface 让封包来进出security zone。为了让网络封包能够进出security zone,你必须将bind 一个interface到该security zone,如果你要让两个security zone互通封包时,你就必须设定 policies (就像是iptables)。
你可以把多个Interface bind到同一个security zone,但是一个 Interface只能被bind 到一个security zone,也就是说Interface 跟 security zone 是多对一的关系。
Interface Types
Physical Interfaces
这就是你SSG5中的实体网络 port ,你可以对照SSG5机体上的编号:eth0/0 ~ eth0/6 共有七个网络 port
Bridge Group Interfaces
Subinterfaces
Aggregate Interfaces
Redundant Interfaces
Virtual Security Interfaces
SSG5三十天就上手-Day 7 SSG5 Interface Modes

在SSG5 Interface 可以以下列几种方式运作:
Transparent Mode
NAT(Network Address Translation) Mode 
Route Mode
Interface 被bind 在 Layer 3 且有设定 IP 时可以选择使用 NAT 或 Route方式运作。
Interface 被bind 在 Layer 2的Zone 时,Interface 需以Transparent 方式运作。
Transparent Mode:当Interface 在此模式时, IP address 会设定为0.0.0.0,此时SSG5不会对于封包中的source 或destination信息做任何的修改。SSG5此时就像扮演 Layer 2 switch 或 bridge。
NAT Mode:此时你的SSG5就像扮演 Layer 3 Switch 或是 Router,会对封包进行转译(translates),他会换掉流向 Untrust zone 封包的 Source IP 跟 Port。
Route Mode:当SSG5的Interface在此模式时,防火墙不会对于两个不同zone之间的封包做Source NAT。
SSG5三十天就上手-Day 8 SSG5 Policies
Policies 你可以将它想成 iptables
在SSG5中,预设会将跨security zone的封包(interzone traffic) deny ,bind 在同一个zone的interface 的封包(intrazone traffic)预设为allow
如果你需要对以上预设行为进行调整,那你就必须透过 Policies来进行。
Policies 由下列基本元素所组成:
Direction:这是指封包的流向从 source zone 流向 destination zone
Source Address:这是封包起始的地址
Destination Address:这是封包要送到的地址
Service:这是封包的服务种类,如DNS、http等等
Action :这是当收到封包满足此Polices时要进行的动作。

举例来说:假设你要设定任何地址都可以由Trust zone 到 Untrust Zone 中的

TOP

發新話題