地址簿和地址集
通讯簿是地址和地址集的集合。通讯簿就像组件或构建基块一样,在其他配置(例如安全策略和安全区域)中被引用。您可以将地址添加到通讯簿中,也可以默认使用每个通讯簿可用的预定义地址
区域中的通讯簿可以由单独的地址或地址集组成。地址集是在通讯簿中定义的一组一个或多个地址。使用地址集,您可以组织逻辑组中的地址。当必须在安全策略、安全区域或 NAT 配置中多次引用一组地址时,地址集非常有用。
了解地址簿
通讯簿是地址和地址集的集合。Junos OS 允许您配置多个地址簿。默认情况下,您可以向通讯簿添加地址,或使用每个通讯簿可用的预定义地址。
通讯簿条目包括允许、阻止、加密或用户验证其流量的主机和子网的地址。这些地址可以是 IPv4 地址、IPv6 地址、通配符地址或域名系统 (DNS) 名称的任意组合。
预定义地址
您可以创建地址,也可以使用以下任何默认可用的预定义地址:
Any—此地址与任何 IP 地址匹配。当此地址在策略配置中用作源地址或目标地址时,它将与任何数据包的源地址和目标地址匹配。Any-ipv4- 此地址与任何 IPv4 地址匹配。Any-ipv6- 此地址与任何 IPv6 地址匹配。
地址簿中的网络前缀
您可以按前缀/长度格式将地址指定为网络前缀。例如,203.0.113.0/24 是可接受的通讯簿地址,因为它转换为网络前缀。但是,地址簿不接受 203.0.113.4/24,因为它超出了 24 位的子网长度。超出子网长度的所有内容都必须输入为 0(零)。在特殊情况下,您可以输入主机名,因为它可以使用完整的 32 位地址长度。
IPv6 地址前缀是 IPv6 前缀(地址)和前缀长度的组合。前缀采用 ipv6-prefix/prefix-length 格式,表示地址空间(或网络)块。ipv6-prefix 变量遵循常规 IPv6 寻址规则。/prefix-length 变量是一个十进制值,指示构成地址的网络部分的地址的连续高阶位数。例如,2001:db8::/32 可能是 IPv6 前缀。有关 IPv6 地址和地址前缀的文本表示形式的详细信息,请参阅 RFC 4291,IP 版本 6 寻址架构。
地址簿中的通配符地址
除了 IP 地址和域名,您还可以在地址簿中指定通配符地址。通配符地址表示为 A.B.C.D/wildcard-mask。通配符掩码确定应忽略 IP 地址 A.B.C.D 中的哪些位。例如,安全策略中的源 IP 地址 192.168.0.11/255.255.0.255 意味着安全策略匹配标准可以丢弃 IP 地址中的第三个八位位组(符号表示为 192.168.*.11)。因此,源 IP 地址为 192.168.1.11 和 192.168.22.11 的数据包符合匹配标准。但是,源 IP 地址为 192.168.0.1 和 192.168.1.21 的数据包不满足匹配标准。
通配符地址的使用不仅限于完整八位位组。您可以配置任何通配符地址。例如,通配符地址 192.168.7.1/255.255.7.255 表示在使策略匹配时,只需忽略通配符地址的第三个八位字节的前 5 位。如果通配符地址的使用仅限于完整八位位组,则只允许在四个八位位组中的每一个八位位组中使用 0 或 255 的通配符掩码。
地址簿中的 DNS 名称
默认情况下,您可以解析 DNS 的 IPv4 和 IPv6 地址。如果指定了 IPv4 或 IPv6 地址,则只能使用关键字 ipv4-only 和 ipv6-only 来解析这些地址。
为 DNS 配置源地址时,请考虑以下事项:
-
每个 DNS 服务器名称只能配置一个源地址作为源地址。
-
IPv6 DNS 服务器支持 IPv6 源地址,IPv4 服务器仅支持 IPv4 地址。不能为 IPv6 DNS 服务器配置 IPv4 地址,也不能为 IPv4 DNS 服务器配置 IPv6 地址。
要使所有管理流量都源自特定源地址,请配置系统名称服务器和源地址。例如:
user@host# set system name-server 10.5.0.1 source-address 10.4.0.1
必须先为 DNS 服务配置安全设备,然后才能将域名用于地址条目。有关 DNS 的信息,请参阅 DNS 概述。
了解全局通讯簿
名为“global”的地址簿始终存在于您的系统上。与其他通讯簿类似,全局通讯簿可以包括 IPv4 地址、IPv6 地址、通配符地址或域名系统 (DNS) 名称的任意组合。
您可以在全局通讯簿中创建地址,也可以使用预定义的地址(any、any-ipv4 和 any-ipv6)。但是,若要使用全局通讯簿中的地址,无需为其附加安全区域。全局通讯簿可用于所有没有附加通讯簿的安全区域。
在以下情况下使用全局通讯簿:
NAT 配置 – NAT 规则只能使用全局通讯簿中的地址对象。他们不能使用基于区域的通讯簿中的地址。
全局策略 – 必须在全局通讯簿中定义全局策略中使用的地址。全局通讯簿对象不属于任何特定区域。
了解地址集
通讯簿可能会增长到包含大量地址,并且变得难以管理。您可以创建称为地址集的地址组来管理大型通讯簿。使用地址集,您可以组织逻辑组中的地址,并使用它们轻松配置其他功能,例如策略和 NAT 规则。
系统会自动为每个安全区域创建包含any-ipv4和 any-ipv6 地址的预定义地址集any。
您可以使用现有用户创建地址集,也可以创建空地址集,然后用用户填充它们。创建地址集时,可以合并 IPv4 和 IPv6 地址,但地址必须位于同一安全区域中。
您还可以在地址集中创建地址集。这使您可以更有效地应用策略。例如,如果要将策略应用于两个地址集和 set1 set2,而不是使用两个语句,而只能使用一个语句将策略应用于新的地址集 set3,,其中包括地址集 set1 和 set2。
将地址添加到策略时,有时相同的地址子集可能存在于多个策略中,因此很难管理策略如何影响每个地址条目。引用策略中的地址集条目(如单个通讯簿条目),以允许您管理少量地址集,而不是管理大量单个地址条目。
配置地址和地址集
您可以在通讯簿中定义地址和地址集,然后在配置不同功能时使用它们。您还可以使用默认可用的预定义地址 any、 any-ipv4和 any-ipv6 地址。但是,您不能将预定义的地址 any 添加到通讯簿。
配置地址簿和地址集后,它们将用于配置不同的功能,例如安全策略、安全区域和 NAT。
地址和地址集
您可以将 IPv4 地址、IPv6 地址、通配符地址或域名系统 (DNS) 名称定义为通讯簿中的地址条目。
以下名为 book1 的示例通讯簿包含不同类型的地址和地址集。定义后,您可以在配置安全区域、策略或 NAT 规则时利用这些地址和地址集。
[edit security address-book book1] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.4/30 user@host# set address a4 2001:db8::/32 user@host# set address a5 2001:db8:1::1/127 user@host# set address example dns-name www.example.com user@host# set address-set set1 address a1 user@host# set address-set set1 address a2 user@host# set address-set set1 address a2 user@host# set address-set set2 address bbc
定义地址和地址集时,请遵循以下准则:
-
地址集只能包含属于同一安全区域的地址名。
-
地址名
any,any-ipv4是any-ipv6保留的;您不能使用它们来创建任何地址。 -
同一区域中的地址和地址集必须具有不同的名称。
-
地址名称不能与地址集名称相同。例如,如果使用名称
add1配置地址,则不要创建名称add1为 的地址集。 -
从通讯簿中删除单个通讯簿条目时,必须从所有地址集中删除该地址(无论引用何处);否则,系统将导致提交失败。
地址簿和安全区域
安全区域是具有相同安全要求的接口逻辑组。将安全区域附加到包含属于该区域的可寻址网络和终端主机(从而包括用户)条目的地址簿。
一个区域一次可以使用两个通讯簿 - 全局通讯簿和区域所附加的通讯簿。当安全区域未附加到任何通讯簿时,它将自动使用全局通讯簿。因此,当安全区域连接到地址簿时,系统会从此附加的地址簿中查找地址;否则,系统将从默认全局通讯簿中查找地址。默认情况下,全局通讯簿可用于所有安全区域;无需将区域附加到全局通讯簿。
将安全区域附加到通讯簿时,以下准则适用:
-
附加到安全区域的地址符合该区域的安全要求。
-
附加到安全区域的通讯簿必须包含该区域内可访问的所有 IP 地址。
-
在两个区域之间配置策略时,必须为每个区域的通讯簿定义地址。
-
用户定义的通讯簿中的地址比全局通讯簿中的地址具有更高的查找优先级。因此,对于连接到用户定义的通讯簿的安全区域,系统将首先搜索用户定义的通讯簿;如果未找到地址,则搜索全局通讯簿。
地址簿和安全策略
指定策略的匹配条件时,将使用地址和地址集。您必须先在通讯簿中为这些策略创建条目,然后才能配置策略以允许、拒绝或通过隧道传输进出各个主机和子网的流量。您可以定义不同类型的地址,例如 IPv4 地址、IPv6 地址、通配符地址和 DNS 名称,作为安全策略的匹配标准。
策略包含源地址和目标地址。您可以使用您在策略中指定的区域附加的通讯簿中为其指定的地址或地址来引用策略中设置的地址或地址。
-
将流量发送到区域时,流量发送到的区域和地址将用作策略中的目标区域和地址匹配标准。
-
从区域发送流量时,发送流量的区域和地址将用作策略中的源区域和地址匹配标准。
可用于安全策略的地址
为策略规则配置源地址和目标地址时,您可以在 CLI 中键入问号以列出可供选择的所有可用地址。
您可以对不同通讯簿中的不同地址使用相同的地址名。但是,CLI 仅列出其中一个地址,即查找优先级最高的地址。
例如,假设您在两个通讯簿中配置地址—global 和 book1.然后,显示可在策略中配置为源地址或目标地址的地址(请参阅 表 1)。
| 配置的地址 |
CLI 中显示的地址 |
|---|---|
[edit security address-book] set global address a1 203.0.113.0/24; set global address a2 198.51.100.0/24; set global address a3 192.0.2.0/24; set book1 address a1 203.0.113.128/25; |
[edit security policies from-zone trust to-zone untrust] user@host# set policy p1 match set match source-address ? Possible completions: [ Open a set of values a1 The address in address book book1 a2 The address in address book global a3 The address in address book global any Any IPv4 or IPv6 address any-ipv4 Any IPv4 address any-ipv6 Any IPv6 address |
此示例中显示的地址说明:
-
用户定义的通讯簿中的地址比全局通讯簿中的地址具有更高的查找优先级。
-
全局通讯簿中的地址比预定义地址
any、any-ipv4和any-ipv6具有更高的优先级。 -
当为两个或多个不同的地址配置相同的地址名称时,只有基于地址查找的最高优先级地址可用。在此示例中,CLI 显示 (203.0.113.128/25) 中的
book1地址a1,因为该地址的查找优先级高于全局地址a1(203.0.113.0/24)。
应用策略来地址集
在策略中指定地址集时,Junos OS 会自动将策略应用于每个地址集成员,因此您不必为每个地址逐个创建策略。此外,如果在策略中引用了地址集,则如果不删除策略中的引用,就无法删除地址集。但是,可以对其进行编辑。
请注意,对于每个地址集,系统都会为其成员创建单独的规则。它为组中的每个成员以及为每个用户配置的每个服务创建内部规则。如果在配置地址簿时不考虑这一点,则可能会超出可用策略资源的数量,尤其是在源地址和目标地址都是地址组且指定的服务为服务组的情况下。
图 1 显示了如何将策略应用于地址集。
在 NAT 配置中使用地址和地址集
在通讯簿中定义地址后,可以在源、目标或静态 NAT 规则中指定地址。在 NAT 规则配置中,指定有意义的地址名而不是 IP 前缀作为源地址和目的地址更简单。例如,您可以指定一个名为的地址 local ,其中包含地址 10.208.16.0/22,而不是将 10.208.16.0/22 指定为源地址。
您还可以在 NAT 规则中指定地址集,从而在地址集中添加多个地址,从而管理少量地址集,而不是管理大量单个地址条目。在 NAT 规则中指定地址集时,Junos OS 会自动将该规则应用于每个地址集成员,因此您不必逐个指定每个地址。
NAT 规则不支持以下地址和地址集类型:通配符地址、DNS 名称以及 IPv4 和 IPv6 地址的组合。
使用 NAT 配置通讯簿时,请遵循以下准则:
-
在 NAT 规则中,只能指定全局通讯簿中的地址。NAT 不支持用户定义的通讯簿。
-
您可以在源 NAT 规则中将地址集配置为源地址名称。但是,您不能在目标 NAT 规则中将地址集配置为目标地址名称。
以下示例 NAT 语句显示了源和目标 NAT 规则支持的地址和地址集类型:
[edit security nat source rule-set src-nat rule src-rule1] set match source-address 2001:db8:1::/64 set match source-address-name add1 set match source-address-name add-set1 set match destination-address 2001:db8::/64 set match destination-address-name add2 set match destination-address-name add-set2
[edit security nat destination rule-set dst-nat rule dst-rule1] set match source-address 2001:db8::/64 set match source-address-name add2 set match source-address-name add-set2 set match destination-address-name add1
-
在静态 NAT 规则中,您不能将地址集配置为源地址或目标地址名称。以下示例 NAT 语句显示了静态 NAT 规则支持的地址类型:
[edit security nat static rule-set stat] set rule stat-rule1 match destination-address 203.0.113.0/24 set rule stat-rule2 match destination-address-name add1
示例:配置地址簿和地址集
此示例说明如何在通讯簿中配置地址和地址集。它还演示了如何将地址簿附加到安全区域。
要求
开始之前:
配置用于网络通信的瞻博网络安全设备。
在服务器和成员设备上配置网络接口。请参阅 安全设备接口用户指南。
配置域名系统 (DNS) 服务。有关 DNS 的信息,请参阅 DNS 概述。
概述
在此示例中,您将使用地址和地址集配置通讯簿(参见 图 2),以简化公司网络的配置。创建一个名为的 Eng-dept 通讯簿,并添加工程部门成员的地址。您将创建另一个地址簿,并 Web 添加一个 DNS 名称。然后,将安全区域信任附加到 Eng-dept 通讯簿, Web 将安全区域不信任附加到通讯簿。您还可以创建地址集以对工程部门中的软件和硬件地址进行分组。您计划在将来的策略配置中将这些地址用作源地址和目标地址。
此外,还可以向全局通讯簿添加地址,以供任何没有附加通讯簿的安全区域使用。
拓扑学
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6 set security zones security-zone trust interfaces ge-0/0/0 set security zones security-zone untrust interfaces ge-0/0/1 set security address-book Eng-dept address a1 203.0.113.1 set security address-book Eng-dept address a2 203.0.113.2 set security address-book Eng-dept address a3 203.0.113.3 set security address-book Eng-dept address a4 203.0.113.4 set security address-book Eng-dept address-set sw-eng address a1 set security address-book Eng-dept address-set sw-eng address a2 set security address-book Eng-dept address-set hw-eng address a3 set security address-book Eng-dept address-set hw-eng address a4 set security address-book Eng-dept attach zone trust set security address-book Web address Intranet dns-name www-int.device1.example.com set security address-book Web attach zone untrust set security address-book global address g1 198.51.100.2
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的 在配置模式下使用 CLI 编辑器 。
要配置地址和地址集,请执行以下作:
配置以太网接口并为其分配 IPv4 地址。
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6
创建安全区域并为其分配接口。
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/0 user@host# set security zones security-zone untrust interfaces ge-0/0/1
创建通讯簿并在其中定义地址。
[edit security address-book Eng-dept ] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.2 user@host# set address a3 203.0.113.3 user@host# set address a4 203.0.113.4
创建地址集。
[edit security address-book Eng-dept] user@host# set address-set sw-eng address a1 user@host# set address-set sw-eng address a2 user@host# set address-set hw-eng address a3 user@host# set address-set hw-eng address a4
将通讯簿附加到安全区域。
[edit security address-book Eng-dept] user@host# set attach zone trust
创建另一个通讯簿并将其附加到安全区域。
[edit security address-book Web ] user@host# set address Intranet dns-name www-int.device1.example.com user@host# set attach zone untrust
在全局通讯簿中定义地址。
[edit] user@host# set security address-book global address g1 198.51.100.2
结果
在配置模式下,输入 show security zones 和 show security address-book 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security address-book
Eng-dept {
address a1 203.0.113.1/32;
address a2 203.0.113.2/32;
address a3 203.0.113.3/32;
address a4 203.0.113.4/32;
address-set sw-eng {
address a1;
address a2;
}
address-set hw-eng {
address a3;
address a4;
}
attach {
zone trust;
}
}
Web {
address Intranet {
dns-name www-int.device1.example.com;
}
attach {
zone untrust;
}
}
global {
address g1 198.51.100.2/32;
}
如果完成设备配置,请从配置模式输入 commit 。
验证
确认配置工作正常。
验证通讯簿配置
目的
显示有关已配置的通讯簿和地址的信息。
行动
从配置模式,输入 show security address-book 命令。
user@host# show security address-book
Eng-dept {
address a1 203.0.113.1/32;
address a2 203.0.113.2/32;
address a3 203.0.113.3/32;
address a4 203.0.113.4/32;
address-set sw-eng {
address a1;
address a2;
}
address-set hw-eng {
address a3;
address a4;
}
attach {
zone trust;
}
}
Web {
address Intranet {
dns-name www-int.device1.example.com;
}
attach {
zone untrust;
}
}
global {
address g1 198.51.100.2/32;
}
从策略中排除地址
Junos OS 允许用户将任意数量的源地址和目标地址添加到策略中。如果需要从策略中排除某些地址,可以将其配置为否定地址。当地址配置为否定地址时,将从策略中排除该地址。但是,您不能从策略中排除以下 IP 地址:
通配符
IPv6
任何
任何 IPv4
任何 IPv6
0.0.0.0
当一个地址范围或单个地址被否定时,可以将其划分为多个地址。这些否定地址显示为前缀或长度,需要更多内存才能存储在数据包转发引擎上。
每个平台都有有限数量的带有否定地址的策略。一个策略可以包含 10 个源地址或目标地址。策略的容量取决于平台支持的最大策略数。
在配置否定的源地址和/或目标地址之前,请执行以下作:
创建源通讯簿和/或目标通讯簿。
创建地址名,并将源地址和目标地址分配给地址名。
创建地址集以对源地址名和/或目标地址名进行分组。
将源和目标通讯簿附加到安全区域。例如,将源通讯簿附加到从区域 信任 ,将目标通讯簿附加到到区域 不信任。
指定匹配的源地址名和/或目标地址名。
执行 source-address-excluded 和 /或 destination-address excluded 命令。在源地址、目标地址簿和/或地址簿中添加的源地址、目标地址或同时地址都将从策略中排除。
全局通讯簿不需要附加到任何安全区域。
示例:从策略中排除地址
此示例说明如何配置否定的源地址和目标地址。它还显示了如何配置地址簿和地址集。
要求
概述
在此示例中,您将创建源和目标通讯簿、SOUR-ADDR 和 DES-ADDR,并向其添加源地址和目标地址。创建源地址和目标地址集 as1 和 as2,并将源地址和目标地址分组到它们。然后,将源通讯簿附加到安全区域信任,并将目标通讯簿附加到安全区域不信任。
您可以创建从区域信任和到区域不信任的安全区域。将策略名称指定为 p1,然后将匹配源地址的名称设置为 as1,将匹配目标地址的名称设置为 as2。指定 命令 source -address-excluded 和 destination -address-excluded 以排除在策略 p1 中配置的源地址和目标地址。最后,设置策略 p1 以允许从区域信任到到区域不信任的流量。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set security address-book SOU-ADDR address ad1 255.255.255.255/32 set security address-book SOU-ADDR address ad2 203.0.113.130/25 set security address-book SOU-ADDR address ad3 range-address 192.0.2.6 to 192.0.2.116 set security address-book SOU-ADDR address ad4 192.0.2.128/25 set security address-book SOU-ADDR address-set as1 address ad1 set security address-book SOU-ADDR address-set as1 address ad2 set security address-book SOU-ADDR address-set as1 address ad3 set security address-book SOU-ADDR address-set as1 address ad4 set security address-book SOU-ADDR attach zone trust set security address-book DES-ADDR address ad8 198.51.100.1/24 set security address-book DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 set security address-book DES-ADDR address ad10 198.51.100.0/24 set security address-book DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250 set security address-book DES-ADDR address-set as2 address ad8 set security address-book DES-ADDR address-set as2 address ad9 set security address-book DES-ADDR address-set as2 address ad10 set security address-book DES-ADDR address-set as2 address ad11 set security address-book DES-ADDR attach zone untrust set security policies from-zone trust to-zone untrust policy p1 match source-address as1 set security policies from-zone trust to-zone untrust policy p1 match source-address-excluded set security policies from-zone trust to-zone untrust policy p1 match destination-address as2 set security policies from-zone trust to-zone untrust policy p1 match destination-address-excluded set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的 在配置模式下使用 CLI 编辑器 。
要配置否定地址,请执行以下作:
创建源通讯簿和地址名。将源地址添加到通讯簿。
[edit security address book ] user@host#set SOU-ADDR address ad1 255.255.255.255/32 user@host#set SOU-ADDR address ad2 203.0.113.130/25 user@host#set SOU-ADDR ad3 range-address 192.0.2.6 to 192.0.2.116 user@host#set SOU-ADDR address ad4 192.0.2.128/25
创建一个地址集以对源地址名称进行分组。
[edit security address book ] user@host# set SOU-ADDR address-set as1 address ad1 user@host# set SOU-ADDR address-set as1 address ad2 user@host# set SOU-ADDR address-set as1 address ad3 user@host# set SOU-ADDR address-set as1 address ad4
将源通讯簿附加到安全从区域。
[edit security address book ] user@host# set SOU-ADDR attach zone trust
创建目标通讯簿和地址名。将目标地址添加到通讯簿。
[edit security address book ] user@host#set DES-ADDR address ad8 198.51.100.1/24 user@host#set DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 user@host#set DES-ADDR address ad10 198.51.100.0/24 user@host#set DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250
创建另一个地址集以对目标地址名称进行分组。
[edit security address book ] user@host# set DES-ADDR address-set as1 address ad8 user@host# set DES-ADDR address-set as1 address ad9 user@host# set DES-ADDR address-set as1 address ad10 user@host# set DES-ADDR address-set as1 address ad11
将目标通讯簿附加到安全到区域。
[edit security address book ] user@host# set DES-ADDR attach zone untrust
指定策略名称和源地址。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address as1
从策略中排除源地址。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address-excluded
指定目标地址。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address as2
从策略中排除目标地址。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address-excluded
配置安全策略应用。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match application any
允许从区域信任到到区域不信任的流量。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit
结果
在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address as1;
destination-address as2;
source-address-excluded;
destination-address-excluded;
application any;
}
then {
permit;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
确认配置工作正常。
验证策略配置
目的
验证策略配置是否正确。
行动
在作模式下,输入 show security policies policy-name p1 命令。
user@host>show security policies policy-name p1 node0: -------------------------------------------------------------------------- From zone: trust, To zone: untrust Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses(excluded): as1 Destination addresses(excluded): as2 Applications: any Action: permit
此输出汇总了策略配置。
验证策略配置详细信息
目的
验证策略以及否定的源地址和目标地址配置是否正确。
行动
在作模式下,输入 show security policies policy-name p1 detail 命令。
user@host>show security policies policy-name p1 detail
Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source addresses(excluded):
ad1(SOU-ADDR): 255.255.255.255/32
ad2(SOU-ADDR): 203.0.113.130/25
ad3(SOU-ADDR): 192.0.2.6 ~ 192.0.2.116
ad4(SOU-ADDR): 192.0.2.128/25
Destination addresses(excluded):
ad8(DES-ADDR): 198.51.100.1/24
ad9(DES-ADDR): 192.0.2.117 ~ 192.0.2.199
ad10(DES-ADDR): 198.51.100.0/24
ad11(DES-ADDR): 192.0.2.199 to 192.0.2.250
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No
此输出汇总了策略配置,并显示了从策略中排除的否定源地址和目标地址的名称。
特定于平台的地址簿和地址集行为
地址簿中特定于平台的 DNS 名称行为
使用 通讯簿 和 功能浏览器 确认平台和版本对特定功能的支持。
使用下表查看您的平台特定于平台的行为:
| 平台 |
差异 |
|---|---|
| SRX 系列和 vSRX3.0 |
|
特定于平台的地址和地址集行为
| 平台 |
差异 |
|
|---|---|---|
| SRX 系列 |
策略可以引用的地址对象数量是有限制的;对于不同的平台,每个策略的最大地址对象数不同,如下表所示。 有关 SRX 系列防火墙每个上下文的最大策略数的详细信息,请参阅 在 SRX 系列设备上定义策略的最佳实践 。 |
|