Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

用户逻辑系统的筛选选项

SRX 系列防火墙上的筛选选项可防止攻击,例如 IP 地址扫描、端口扫描、拒绝服务 (DOS) 攻击、ICMP、UDP 和 SYN 泛洪。有关更多信息,请参阅以下主题:

了解逻辑系统筛选选项

Junos OS 筛选选项会检查、然后允许或拒绝所有需要跨越与该区域绑定的接口的连接尝试来保护区域。然后,Junos OS 会将防火墙策略(可包含内容过滤和 IDP 组件)应用于通过屏幕过滤器的流量。

每个逻辑系统中都提供设备上的所有屏幕选项。每个用户逻辑系统管理员都可以为其用户逻辑系统配置筛选选项。主管理员可以为主逻辑系统以及所有用户逻辑系统配置屏幕选项。

用户逻辑系统管理员可以配置和查看用户逻辑系统中的所有屏幕选项。用户逻辑系统中的所有屏幕选项对主管理员可见。

示例:为用户逻辑系统配置屏幕选项

此示例说明如何为用户逻辑系统配置屏幕选项。

要求

开始之前:

概述

此示例配置 示例:创建用户逻辑系统、管理员、用户和互连逻辑系统中显示的 ls-product 设计用户逻辑系统。

您可以将并发会话数限制为用户逻辑系统中的相同目标 IP 地址。设置基于目标的会话限制可以确保 Junos OS 仅允许访问任何一个主机的并发连接请求数(无论来自什么来源)。当对某个 IP 地址的并发连接请求数超过限制时,Junos OS 会阻止进一步连接到该 IP 地址的尝试。此示例将创建 表 1 中描述的筛选选项。

表 1:用户逻辑系统筛选选项配置

名字

配置参数

限制目标会话

  • 将向目标 IP 的并发连接请求限制为 80。

  • 应用于 ls-product-design-untrust 区域。

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

在用户逻辑系统中配置基于目标的会话限制:

  1. 以逻辑系统管理员身份登录用户逻辑系统并进入配置模式。

  2. 为基于目标的会话限制配置筛选选项。

  3. 为屏幕选项设置安全区域。

结果

在配置模式下,输入和 show security zone 命令以确认show security screen您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

为简洁起想,此命令 show 输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。

完成设备配置后,请从配置模式进入 commit