Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

用户逻辑系统的筛选选项

SRX 系列防火墙上的筛选选项可防止 IP 地址扫描、端口扫描、拒绝服务 (DOS) 攻击、ICMP、UDP 和 SYN 泛洪等攻击。有关更多信息,请参阅以下主题:

了解逻辑系统筛选选项

Junos OS 屏幕选项通过检查然后允许或拒绝需要通过绑定到该区域的接口的所有连接尝试来保护区域。然后,Junos OS 将防火墙策略(可能包含内容过滤和 IDP 组件)应用于通过屏幕过滤器的流量。

设备上可用的所有屏幕选项在每个逻辑系统中都可用。每个用户逻辑系统管理员都可以为其用户逻辑系统配置屏幕选项。主管理员可以为主逻辑系统以及所有用户逻辑系统配置屏幕选项。

用户逻辑系统管理员可以配置和查看用户逻辑系统中的所有屏幕选项。用户逻辑系统中的所有屏幕选项对主管理员可见。

也可以看看

示例:为用户逻辑系统配置屏幕选项

此示例说明如何为用户逻辑系统配置屏幕选项。

要求

开始之前:

概述

此示例配置 ls-product-design 用户逻辑系统,如示例所示: 创建用户逻辑系统、其管理员、其用户和互连逻辑系统

您可以将并发会话数限制为用户逻辑系统中的同一目标 IP 地址。设置基于目标的会话限制可以确保 Junos OS 仅允许可接受数量的并发连接请求(无论来源是什么)到达任何一台主机。当对某个 IP 地址的并发连接请求数超过限制时,Junos OS 会阻止对该 IP 地址的进一步连接尝试。此示例创建 了 表 1 中描述的屏幕选项。

表 1:用户逻辑系统屏幕选项配置

姓名

配置参数

limit-destination-sessions

  • 将对目标 IP 的并发连接请求限制为 80 个。

  • 应用于 ls-product-design-untrust 区域。

配置

过程

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器

要在用户逻辑系统中配置基于目标的会话限制:

  1. 以逻辑系统管理员身份登录到用户逻辑系统,进入配置模式。

  2. 为基于目标的会话限制配置屏幕选项。

  3. 设置屏幕选项的安全区域。

结果

在配置模式下,输入和show security screenshow security zone命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。

如果完成设备配置,请从配置模式进入。commit

也可以看看

相关文档