Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置默认拒绝规则

以下准则介绍了何时配置默认拒绝规则:

  • 源地址在组播网络、环路地址或组播地址上定义。

  • 数据包的源地址或目标地址是链路本地地址、RFC 5735 中为 IPv4 指定的“保留供将来使用”的地址、RFC 3513 中为 IPv6 指定的“未指定地址”或“保留供将来定义和使用”的地址。

  • 接收到非法或乱序的 TCP 数据包。

  1. 开始之前,请在运行 Junos OS 版本 22.2 R1 S1 的 Junos OS 设备上使用您的 root 帐户登录并编辑配置。

    注意:

    您可以按任意顺序输入配置命令,并一次提交所有命令。

要配置默认拒绝规则:

  1. 配置安全屏幕功能并启用 IP 地址欺骗 IDS 选项。
  2. 配置安全流功能以记录丢弃的非法数据包。
  3. 配置规则以阻止保留地址。
    注意:

    运行设置安全流程高级选项丢弃匹配保留 IP 地址命令后,您必须在每台主机上通过与 SRX 设备的本地链路创建一个邻居缓存条目。例如,在 Linux 主机上,应输入以下命令:ip -6 neigh add 2001:db8:c18:1::2 lladdr 2c:6b:f5:69:ce:00 dev eth1 其中, 2001:db8:c18:1::2 是相邻 SRX 接口的 IPv6 地址, 2c:6b:f5:69:ce:00 是相邻 SRX 接口的 MAC 地址。您还需要在 SRX 系列防火墙上为本地链路上的所有主机创建邻居缓存条目,如以下示例所示:

    在此示例中, 2001:db8:c18:1::2 是 SRX ge-0/0/0 接口的 IPv6 地址, 2001:db8:c18:1::3 是本地链路上的主机, 00:0c:29:97:70:a5 也是该主机的 MAC 地址。

  4. 指定安全区域的名称和应用于该区域的 IDS 选项对象。
  5. 配置必需的 TCP 拒绝规则。