地址簿和地址集
通讯簿是地址和地址集的集合。通讯簿类似于组件或构建基块,在其他配置(如安全策略和安全区域)中引用。您可以将地址添加到通讯簿,也可以使用默认情况下每个通讯簿可用的预定义地址
区域中的通讯簿可以由单个地址或地址集组成。地址集是在通讯簿中定义的一个或多个地址的集合。使用地址集,可以在逻辑组中组织地址。当您必须在安全策略、安全区域或 NAT 配置中多次引用一组地址时,地址集非常有用。
了解地址簿
通讯簿是地址和地址集的集合。Junos OS 允许您配置多个地址簿。您可以向通讯簿添加地址,也可以使用默认情况下每个通讯簿可用的预定义地址。
通讯簿条目包括允许、阻止、加密或用户身份验证流量的主机和子网的地址。这些地址可以是 IPv4 地址、IPv6 地址、通配符地址或域名系统 (DNS) 名称的任意组合。
预定义地址
您可以创建地址,也可以使用以下任何默认可用的预定义地址:
Any
- 此地址与任何 IP 地址匹配。当此地址用作策略配置中的源地址或目标地址时,它将匹配任何数据包的源地址和目标地址。Any-ipv4
— 此地址与任何 IPv4 地址匹配。Any-ipv6
—此地址与任何 IPv6 地址匹配。
通讯簿中的网络前缀
可以将地址指定为前缀/长度格式的网络前缀。例如,203.0.113.0/24 是可接受的通讯簿地址,因为它转换为网络前缀。但是,通讯簿不接受 203.0.113.4/24,因为它超过了 24 位的子网长度。超出子网长度的所有内容都必须输入为 0(零)。在特殊情况下,您可以输入主机名,因为它可以使用完整的 32 位地址长度。
IPv6 地址前缀是 IPv6 前缀(地址)和前缀长度的组合。前缀采用 ipv6 前缀/前缀长度的形式,表示地址空间块(或网络)。ipv6 前缀变量遵循常规 IPv6 寻址规则。/prefix-length 变量是一个十进制值,指示构成地址网络部分的地址的连续高阶位数。例如,2001:db8::/32 是可能的 IPv6 前缀。有关 IPv6 地址和地址前缀的文本表示形式的详细信息,请参阅 RFC 4291,IP 版本 6 寻址体系结构。
地址簿中的通配符地址
除了 IP 地址和域名之外,您还可以在地址簿中指定通配符地址。通配符地址表示为 A.B.C.D/通配符掩码。通配符掩码确定应忽略 IP 地址 A.B.C.D 中的哪些位。例如,安全策略中的源 IP 地址 192.168.0.11/255.255.0.255 意味着安全策略匹配标准可以丢弃 IP 地址中的第三个八位字节(符号表示为 192.168.*.11)。因此,具有源 IP 地址(如 192.168.1.11 和 192.168.22.11)的数据包符合匹配标准。但是,源 IP 地址(如 192.168.0.1 和 192.168.1.21)的数据包不满足匹配标准。
通配符地址的使用不仅限于完整的八位字节。您可以配置任何通配符地址。例如,通配符地址 192.168.7.1/255.255.7.255 意味着在进行策略匹配时,只需忽略通配符地址第三个八位字节的前 5 位。如果通配符地址的使用仅限于完整的八位位组,则仅允许在四个八位位组中的每一个八位位组中使用 0 或 255 的通配符掩码。
地址簿中的 DNS 名称
默认情况下,您可以解析 DNS 的 IPv4 和 IPv6 地址。如果指定了 IPv4 或 IPv6 地址,则只能分别使用关键字“仅 ipv4”和“仅 ipv6”解析这些地址。
对于 SRX5400、SRX5600 和 SRX5800 设备以及 vSRX 虚拟防火墙实例,从 Junos OS 15.1X49-D60 开始,管理流量可以源自域名系统 (DNS) 名称的特定源地址。
配置 DNS 的源地址时,请考虑以下事项:
只能将一个源地址配置为每个 DNS 服务器名称的源地址。
IPv6 DNS 服务器支持 IPv6 源地址,IPv4 服务器仅支持 IPv4 地址。不能为 IPv6 DNS 服务器配置 IPv4 地址,也不能为 IPv4 DNS 服务器配置 IPv6 地址。
要使所有管理流量源自特定源地址,请配置系统名称服务器和源地址。例如:
user@host# set system name-server 10.5.0.1 source-address 10.4.0.1
必须先为 DNS 服务配置安全设备,然后才能将域名用于地址条目。有关 DNS 的信息,请参阅 DNS 概述。
了解全球通讯簿
名为“全局”的地址簿始终存在于您的系统上。与其他通讯簿类似,全局通讯簿可以包含 IPv4 地址、IPv6 地址、通配符地址或域名系统 (DNS) 名称的任意组合。
您可以在全局通讯簿中创建地址,也可以使用预定义地址(任意地址、任意 IPv4 和任意 IPv6)。但是,要使用全局通讯簿中的地址,无需向其附加安全区域。全局通讯簿可用于未附加通讯簿的所有安全区域。
全局通讯簿用于以下情况:
NAT 配置 – NAT 规则只能使用全局通讯簿中的地址对象。他们不能使用基于区域的通讯簿中的地址。
全局策略 – 全局策略中使用的地址必须在全局通讯簿中定义。全局通讯簿对象不属于任何特定区域。
了解地址集
通讯簿可能会增长到包含大量地址,并且变得难以管理。您可以创建称为地址集的地址组来管理大型通讯簿。使用地址集,您可以在逻辑组中组织地址,并使用它们轻松配置其他功能,例如策略和 NAT 规则。
系统会自动为每个安全区域创建预定义地址集 any
,其中包含 any-ipv4
地址和 any-ipv6
地址。
您可以使用现有用户创建地址集,也可以创建空地址集,然后用用户填充它们。创建地址集时,可以组合 IPv4 和 IPv6 地址,但地址必须位于同一安全区域中。
您还可以在地址集中创建地址集。这使您可以更有效地应用策略。例如,如果要将策略应用于两个地址集, set1
并且 set2
,而不是使用两个语句,则可以只使用一个语句将策略应用于新地址集 set3
,其中包括地址集 set1
和 set2
。
向策略添加地址时,有时同一地址子集可能存在于多个策略中,因此很难管理策略如何影响每个地址条目。引用策略中的地址集条目(如单个通讯簿条目)以允许您管理少量地址集,而不是管理大量单个地址条目。
配置地址和地址集
您可以在地址簿中定义地址和地址集,然后在配置不同功能时使用它们。您还可以使用预定义地址 、 any-ipv4
和any-ipv6
默认可用的地址any
。但是,不能将预定义的地址any
添加到通讯簿中。
配置通讯簿和地址集后,它们将用于配置不同的功能,例如安全策略、安全区域和 NAT。
地址和地址集
您可以将 IPv4 地址、IPv6 地址、通配符地址或域名系统 (DNS) 名称定义为地址簿中的地址条目。
以下示例通讯簿 call book1
包含不同类型的地址和地址集。定义后,您可以在配置安全区域、策略或 NAT 规则时利用这些地址和地址集。
[edit security address-book book1] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.4/30 user@host# set address a4 2001:db8::/32 user@host# set address a5 2001:db8:1::1/127 user@host# set address example dns-name www.example.com user@host# set address-set set1 address a1 user@host# set address-set set1 address a2 user@host# set address-set set1 address a2 user@host# set address-set set2 address bbc
定义地址和地址集时,请遵循以下准则:
-
地址集只能包含属于同一安全区域的地址名称。
-
地址名称
any
,any-ipv4
并且any-ipv6
是保留的;不能使用它们来创建任何地址。 -
同一区域中的地址和地址集必须具有不同的名称。
-
地址名称不能与地址集名称相同。例如,如果使用名称
add1
配置地址,则不要创建具有名称add1
的地址集。 -
从地址簿中删除单个地址簿条目时,必须从所有地址集中删除该地址(无论它被引用在哪里);否则,系统将导致提交失败。
地址簿和安全区域
安全区域是一组具有相同安全要求的接口。您可以将安全区域附加到地址簿,这些地址簿包含属于该区域的可寻址网络和终端主机(以及用户)的条目。
一个区域一次可以使用两个通讯簿 - 全局通讯簿和区域附加到的通讯簿。当安全区域未附加到任何通讯簿时,它会自动使用全局通讯簿。因此,当安全区域附加到地址簿时,系统会从此附加的地址簿中查找地址;否则,系统将从默认全局通讯簿中查找地址。默认情况下,全局通讯簿可用于所有安全区域;不需要将区域附加到全局通讯簿。
将安全区域附加到通讯簿时,以下准则适用:
-
附加到安全区域的地址符合区域的安全要求。
-
附加到安全区域的通讯簿必须包含该区域内可访问的所有 IP 地址。
-
在两个区域之间配置策略时,必须为每个区域的地址簿定义地址。
-
用户定义的通讯簿中的地址具有比全局通讯簿中的地址更高的查找优先级。因此,对于附加到用户定义通讯录的安全区域,系统首先搜索用户定义的通讯簿;如果未找到地址,则搜索全局通讯簿。
地址簿和安全策略
指定策略的匹配标准时,将使用地址和地址集。在配置策略以允许、拒绝或隧道传输进出各个主机和子网的流量之前,必须在通讯簿中为其创建条目。您可以将不同类型的地址(如 IPv4 地址、IPv6 地址、通配符地址和 DNS 名称)定义为安全策略的匹配标准。
策略同时包含源地址和目标地址。您可以通过在附加到策略中指定区域的通讯簿中为其指定的名称来引用策略中设置的地址或地址。
-
将流量发送到区域时,流量发送到的区域和地址将用作策略中的目标区域和地址匹配标准。
-
从区域发送流量时,从中发送流量的区域和地址将用作策略中的源区域和地址匹配标准。
可用于安全策略的地址
配置策略规则的源地址和目标地址时,可以在 CLI 中键入问号以列出可供选择的所有可用地址。
您可以对不同通讯簿中的不同地址使用相同的地址名称。但是,CLI 仅列出其中一个地址,即具有最高查找优先级的地址。
例如,假设您在两个地址簿中配置地址 —global
和 book1
。然后,显示可在策略中配置为源地址或目标地址的地址(请参阅 表 1)。
配置的地址 |
CLI 中显示的地址 |
---|---|
[edit security address-book] set global address a1 203.0.113.0/24; set global address a2 198.51.100.0/24; set global address a3 192.0.2.0/24; set book1 address a1 203.0.113.128/25; |
[edit security policies from-zone trust to-zone untrust] user@host# set policy p1 match set match source-address ? Possible completions: [ Open a set of values a1 The address in address book book1 a2 The address in address book global a3 The address in address book global any Any IPv4 or IPv6 address any-ipv4 Any IPv4 address any-ipv6 Any IPv6 address |
此示例中显示的地址说明:
-
用户定义的通讯簿中的地址具有比全局通讯簿中的地址更高的查找优先级。
-
全局通讯簿中的地址的优先级高于预定义地址
any
、any-ipv4
和any-ipv6
。 -
为两个或多个不同的地址配置相同的地址名称时,只有基于地址查找的最高优先级地址可用。在此示例中,CLI 显示来自 (203.0.113.128/25) 的
book1
地址a1
,因为该地址的查找优先级高于全局地址a1
(203.0.113.0/24)。
将策略应用于地址集
在策略中指定地址集时,Junos OS 会自动将策略应用于每个地址集成员,因此您不必为每个地址逐个创建地址集。此外,如果在策略中引用了地址集,则如果不删除其在策略中的引用,则无法删除该地址集。但是,可以对其进行编辑。
考虑到对于每个地址集,系统为其成员创建单独的规则。它为组中的每个成员以及为每个用户配置的每个服务创建内部规则。如果在配置通讯簿时不考虑这一点,则可能会超出可用策略资源的数量,尤其是在源地址和目标地址都是地址组且指定的服务都是服务组的情况下。
图 1 显示了如何将策略应用于地址集。
安全策略中地址和地址集的限制
在 SRX 系列防火墙上,一个策略可以引用多个地址集和/或多个地址条目。一个地址集最多可以引用 16384 个地址条目和最多 256 个地址集。
策略可以引用的地址对象数量有限制;每个策略的最大地址对象数因平台而异,如 表 2 所示。
有关 SRX 系列防火墙每个情景的最大策略数的详细信息,请参阅 在 SRX 系列设备上定义策略的最佳实践 。
SRX 系列设备 |
地址对象 |
---|---|
SRX300SRX320 |
2048 |
SRX340 |
2048 |
SRX345 |
2048 |
SRX380 |
2048 |
SRX550M |
2048 |
SRX1500 |
4096 |
SRX4100 |
4096 |
SRX4200 |
4096 |
SRX4600 |
4096 |
SRX5400 SRX5600 SRX5800 |
16384 |
每个 IPv6 地址条目等于每个策略的一个地址对象。示例:要配置每个策略限制为 2048 个地址对象的 SRX345 设备,您可以配置 2040 个 IPv4 条目和 8 个 IPv6 条目 (2040 + 8 = 2048) 并提交配置。
配置 2040 个 IPv4 地址条目和 9 个 IPv6 地址条目 (2040+9 = 2049) 时,尝试提交配置时会收到以下错误消息:
“Error exceeding maximum limit of source addresses per policy (2048)
”
在 NAT 配置中使用地址和地址集
在地址簿中定义地址后,可以在源、目标或静态 NAT 规则中指定这些地址。在 NAT 规则配置中,将有意义的地址名称而不是 IP 前缀指定为源地址和目标地址会更简单。例如,您可以指定一个包含地址 10.208.16.0/22 的地址 local
,而不是指定 10.208.16.0/22 作为源地址。
您还可以在 NAT 规则中指定地址集,从而允许您在一个地址集中添加多个地址,从而管理少量地址集,而不是管理大量单个地址条目。在 NAT 规则中指定地址集时,Junos OS 会自动将该规则应用于每个地址集成员,因此您不必逐个指定每个地址。
NAT 规则不支持以下地址和地址集类型 - 通配符地址、DNS 名称以及 IPv4 和 IPv6 地址的组合。
使用 NAT 配置通讯簿时,请遵循以下准则:
-
在 NAT 规则中,只能指定全局通讯簿中的地址。NAT 不支持用户定义的通讯簿。
-
您可以在源 NAT 规则中配置设置为源地址名称的地址。但是,您无法在目标 NAT 规则中配置设置为目标地址名称的地址。
以下示例 NAT 语句显示了源和目标 NAT 规则支持的地址和地址集类型:
[edit security nat source rule-set src-nat rule src-rule1] set match source-address 2001:db8:1::/64 set match source-address-name add1 set match source-address-name add-set1 set match destination-address 2001:db8::/64 set match destination-address-name add2 set match destination-address-name add-set2
[edit security nat destination rule-set dst-nat rule dst-rule1] set match source-address 2001:db8::/64 set match source-address-name add2 set match source-address-name add-set2 set match destination-address-name add1
-
在静态 NAT 规则中,不能将地址集配置为源地址名称或目标地址名称。以下示例 NAT 语句显示了静态 NAT 规则支持的地址类型:
[edit security nat static rule-set stat] set rule stat-rule1 match destination-address 203.0.113.0/24 set rule stat-rule2 match destination-address-name add1
示例:配置通讯簿和地址集
此示例说明如何在地址簿中配置地址和地址集。它还演示如何将通讯簿附加到安全区域。
要求
准备工作:
配置瞻博网络安全设备以进行网络通信。
在服务器和成员设备上配置网络接口。请参阅 安全设备的接口用户指南。
配置域名系统 (DNS) 服务。有关 DNS 的信息,请参阅 DNS 概述。
概述
在此示例中,您将配置包含地址和地址集的地址簿(请参阅 图 2),以简化公司网络的配置。创建一个名为的 Eng-dept
通讯簿,并添加工程部门成员的地址。创建另一个地址簿, Web
并向其添加 DNS 名称。然后,将安全区域信任附加到通讯簿, Eng-dept
将安全区域不信任 Web
附加到通讯簿。您还可以创建地址集以对工程部门的软件和硬件地址进行分组。您计划在将来的策略配置中将这些地址用作源地址和目标地址。
此外,还可以将地址添加到全局通讯簿,以供未附加通讯簿的任何安全区域使用。
拓扑
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6 set security zones security-zone trust interfaces ge-0/0/0 set security zones security-zone untrust interfaces ge-0/0/1 set security address-book Eng-dept address a1 203.0.113.1 set security address-book Eng-dept address a2 203.0.113.2 set security address-book Eng-dept address a3 203.0.113.3 set security address-book Eng-dept address a4 203.0.113.4 set security address-book Eng-dept address-set sw-eng address a1 set security address-book Eng-dept address-set sw-eng address a2 set security address-book Eng-dept address-set hw-eng address a3 set security address-book Eng-dept address-set hw-eng address a4 set security address-book Eng-dept attach zone trust set security address-book Web address Intranet dns-name www-int.device1.example.com set security address-book Web attach zone untrust set security address-book global address g1 198.51.100.2
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要配置地址和地址集:
配置以太网接口并为其分配 IPv4 地址。
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6
创建安全区域并为其分配接口。
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/0 user@host# set security zones security-zone untrust interfaces ge-0/0/1
创建地址簿并在其中定义地址。
[edit security address-book Eng-dept ] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.2 user@host# set address a3 203.0.113.3 user@host# set address a4 203.0.113.4
创建地址集。
[edit security address-book Eng-dept] user@host# set address-set sw-eng address a1 user@host# set address-set sw-eng address a2 user@host# set address-set hw-eng address a3 user@host# set address-set hw-eng address a4
将通讯簿附加到安全区域。
[edit security address-book Eng-dept] user@host# set attach zone trust
创建另一个通讯簿并将其附加到安全区域。
[edit security address-book Web ] user@host# set address Intranet dns-name www-int.device1.example.com user@host# set attach zone untrust
在全局通讯簿中定义地址。
[edit] user@host# set security address-book global address g1 198.51.100.2
结果
在配置模式下,输入 show security zones
和 show security address-book
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit] user@host# show security zones security-zone trust { interfaces { ge-0/0/0.0; } } security-zone untrust { interfaces { ge-0/0/1.0; } } [edit] user@host# show security address-book Eng-dept { address a1 203.0.113.1/32; address a2 203.0.113.2/32; address a3 203.0.113.3/32; address a4 203.0.113.4/32; address-set sw-eng { address a1; address a2; } address-set hw-eng { address a3; address a4; } attach { zone trust; } } Web { address Intranet { dns-name www-int.device1.example.com; } attach { zone untrust; } } global { address g1 198.51.100.2/32; }
如果完成设备配置,请从配置模式输入 commit
。
验证
确认配置工作正常。
验证通讯簿配置
目的
显示有关已配置通讯簿和地址的信息。
行动
在配置模式下,输入 show security address-book
命令。
user@host#
show security address-book
Eng-dept {
address a1 203.0.113.1/32;
address a2 203.0.113.2/32;
address a3 203.0.113.3/32;
address a4 203.0.113.4/32;
address-set sw-eng {
address a1;
address a2;
}
address-set hw-eng {
address a3;
address a4;
}
attach {
zone trust;
}
}
Web {
address Intranet {
dns-name www-int.device1.example.com;
}
attach {
zone untrust;
}
}
global {
address g1 198.51.100.2/32;
}
从策略中排除地址
Junos OS 允许用户向策略添加任意数量的源地址和目标地址。如果需要从策略中排除某些地址,可以将其配置为否定地址。当地址配置为否定地址时,将从策略中排除该地址。但是,您不能从策略中排除以下 IP 地址:
通 配 符
IPv6
任何
任意 IPv4
任意 IPv6
0.0.0.0
当一个地址范围或单个地址被否定时,可以将其划分为多个地址。这些否定的地址显示为前缀或长度,需要更多内存才能在数据包转发引擎上存储。
每个平台都有有限数量的策略,其中包含否定的地址。一个策略可以包含 10 个源地址或目标地址。策略的容量取决于平台支持的最大策略数。
在配置否定源地址和/或目标地址之前,请执行以下操作:
创建源和/或目标地址簿。
创建地址名称并将源地址和目标地址分配给地址名称。
创建地址集以对源和/或目标地址名称进行分组。
将源地址簿和目标通讯簿附加到安全区域。例如,将源通讯簿附加到从区域 信任 ,将目标通讯簿附加到到区域 不信任。
指定匹配源和/或目标地址名称。
执行源地址排除和/或目标地址排除命令。源地址、目标地址或同时添加到源地址、目标地址或同时添加到同时添加到两个地址簿的地址将从策略中排除。
全局通讯簿不需要附加到任何安全区域。
示例:从策略中排除地址
此示例说明如何配置否定的源地址和目标地址。它还演示如何配置通讯簿和地址集。
要求
概述
在此示例中,您将创建源地址簿和目标地址簿、SOUR-ADDR 和 DES-ADDR,并向其添加源地址和目标地址。创建源地址和目标地址集 as1 和 as2,并将源地址和目标地址分组到它们。然后,将源通讯簿附加到安全区域信任,将目标通讯簿附加到安全区域不信任。
从区域信任和到区域不信任创建安全区域。将策略名称指定为 p1,然后将匹配源地址的名称设置为 as1,将匹配目标地址设置为 as2。您可以指定命令源 地址排除 和 目标地址排除 以排除策略 p1 中配置的源地址和目标地址。最后,将策略 p1 设置为允许从区域信任到区域不信任的流量。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set security address-book SOU-ADDR address ad1 255.255.255.255/32 set security address-book SOU-ADDR address ad2 203.0.113.130/25 set security address-book SOU-ADDR address ad3 range-address 192.0.2.6 to 192.0.2.116 set security address-book SOU-ADDR address ad4 192.0.2.128/25 set security address-book SOU-ADDR address-set as1 address ad1 set security address-book SOU-ADDR address-set as1 address ad2 set security address-book SOU-ADDR address-set as1 address ad3 set security address-book SOU-ADDR address-set as1 address ad4 set security address-book SOU-ADDR attach zone trust set security address-book DES-ADDR address ad8 198.51.100.1/24 set security address-book DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 set security address-book DES-ADDR address ad10 198.51.100.0/24 set security address-book DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250 set security address-book DES-ADDR address-set as2 address ad8 set security address-book DES-ADDR address-set as2 address ad9 set security address-book DES-ADDR address-set as2 address ad10 set security address-book DES-ADDR address-set as2 address ad11 set security address-book DES-ADDR attach zone untrust set security policies from-zone trust to-zone untrust policy p1 match source-address as1 set security policies from-zone trust to-zone untrust policy p1 match source-address-excluded set security policies from-zone trust to-zone untrust policy p1 match destination-address as2 set security policies from-zone trust to-zone untrust policy p1 match destination-address-excluded set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要配置否定地址:
创建源通讯录和地址名称。将源地址添加到通讯簿。
[edit security address book ] user@host#set SOU-ADDR address ad1 255.255.255.255/32 user@host#set SOU-ADDR address ad2 203.0.113.130/25 user@host#set SOU-ADDR ad3 range-address 192.0.2.6 to 192.0.2.116 user@host#set SOU-ADDR address ad4 192.0.2.128/25
创建地址集以对源地址名称进行分组。
[edit security address book ] user@host# set SOU-ADDR address-set as1 address ad1 user@host# set SOU-ADDR address-set as1 address ad2 user@host# set SOU-ADDR address-set as1 address ad3 user@host# set SOU-ADDR address-set as1 address ad4
将源通讯簿附加到区域的安全性。
[edit security address book ] user@host# set SOU-ADDR attach zone trust
创建目标通讯簿和地址名称。将目标地址添加到通讯簿。
[edit security address book ] user@host#set DES-ADDR address ad8 198.51.100.1/24 user@host#set DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 user@host#set DES-ADDR address ad10 198.51.100.0/24 user@host#set DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250
创建另一个地址集以对目标地址名称进行分组。
[edit security address book ] user@host# set DES-ADDR address-set as1 address ad8 user@host# set DES-ADDR address-set as1 address ad9 user@host# set DES-ADDR address-set as1 address ad10 user@host# set DES-ADDR address-set as1 address ad11
将目标通讯簿附加到安全区域。
[edit security address book ] user@host# set DES-ADDR attach zone untrust
指定策略名称和源地址。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address as1
从策略中排除源地址。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address-excluded
指定目标地址。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address as2
从策略中排除目标地址。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address-excluded
配置安全策略应用程序。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match application any
允许从区域信任到区域不信任的流量。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit
结果
在配置模式下,输入 show security policies
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit] user@host# show security policies from-zone trust to-zone untrust { policy p1 { match { source-address as1; destination-address as2; source-address-excluded; destination-address-excluded; application any; } then { permit; } } }
如果完成设备配置,请从配置模式输入 commit
。
验证
确认配置工作正常。
验证策略配置
目的
验证策略配置是否正确。
行动
在操作模式下,输入 show security policies policy-name p1
命令。
user@host>show security policies policy-name p1 node0: -------------------------------------------------------------------------- From zone: trust, To zone: untrust Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses(excluded): as1 Destination addresses(excluded): as2 Applications: any Action: permit
此输出汇总了策略配置。
验证策略配置详细信息
目的
验证策略以及否定的源地址和目标地址配置是否正确。
行动
在操作模式下,输入 show security policies policy-name p1 detail
命令。
user@host>show security policies policy-name p1 detail Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: untrust Source addresses(excluded): ad1(SOU-ADDR): 255.255.255.255/32 ad2(SOU-ADDR): 203.0.113.130/25 ad3(SOU-ADDR): 192.0.2.6 ~ 192.0.2.116 ad4(SOU-ADDR): 192.0.2.128/25 Destination addresses(excluded): ad8(DES-ADDR): 198.51.100.1/24 ad9(DES-ADDR): 192.0.2.117 ~ 192.0.2.199 ad10(DES-ADDR): 198.51.100.0/24 ad11(DES-ADDR): 192.0.2.199 to 192.0.2.250 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Per policy TCP Options: SYN check: No, SEQ check: No
此输出汇总了策略配置,并显示从策略中排除的否定源地址和目标地址的名称。