本页内容

了解租户系统筛选选项
示例：为租户系统配置筛选选项

租户系统的筛选选项

SRX 系列防火墙上的租户系统筛选选项可像逻辑系统一样防止 IP 地址扫描、端口扫描、拒绝服务（DOS）攻击、ICMP、UDP 和 SYN 泛洪等攻击。有关更多信息，请参阅以下主题：

了解租户系统筛选选项

使用屏幕选项，设备通过检查，然后允许或拒绝需要跨越绑定到该区域的接口的所有连接尝试来保护区域。Junos OS 将防火墙策略（可以包含内容过滤和 IDP 组件）应用于通过屏幕过滤器的流量。设备上可用的所有屏幕选项在每个租户系统中也都可用。

从 Junos OS 18.3R1 版开始，逻辑系统支持的屏幕选项已扩展到租户系统。

示例：为租户系统配置筛选选项

此示例说明如何为租户系统配置屏幕选项。

要求
概述
配置
验证

要求

开始之前：

了解租户系统配置过程。请参阅租户系统配置概述，了解此任务如何适应整个配置过程。
为租户系统配置区域。请参阅租户系统的安全性区域，了解如何为租户系统配置区域。

概述

使用屏幕选项，安全设备可以防止安全区域的不同内部和外部攻击。您可以将并发会话数限制为租户系统中同一目标 IP 地址。设置基于目标的会话限制可以确保 Junos OS 仅允许可接受数量的并发连接请求（无论来源是什么）到达任一主机。当对某个 IP 地址的并发连接请求数超过限制时，Junos OS 会阻止对该 IP 地址的进一步连接尝试。

配置

CLI 快速配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 [edit] CLI 中，然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明，请参阅《Junos OS CLI 用户指南》中的在配置模式下使用CLI编辑器。

要在租户系统中配置基于目标的会话限制：

以管理员身份登录租户系统，进入配置模式。

将租户系统名称定义为 TN1，并为基于目标的会话限制配置筛选选项。

配置 ICMP 筛选选项。

配置 IP 筛选选项。

配置 TCP 屏蔽选项。

配置 UDP 筛选选项。

将 IDS 配置文件附加到区域。

结果

在配置模式下，输入 show tenants TN1 security screen 命令以确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明进行更正。

验证

要确认配置工作正常，请执行以下任务：

验证安全屏幕状态

目的
行动
意义

目的

验证多个筛选选项的 IDS 配置文件配置是否正确：

行动

要验证配置是否工作正常，请在作模式下输入 show security screen ids-option jscreen tenant TN1 and show security zone tenant TN1命令。

意义

输出显示租户系统中的屏幕状态。

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用功能资源管理器确定您的平台是否支持某个功能。

发布

描述

18.3R1