创建服务和服务组

开始之前

阅读主题。
收集用于创建服务的协议的所有信息，包括源端口和目标端口以及协议类型（如 TCP 或 UDP）。
检查克隆现有服务是否比创建新服务更有效。
查看服务主页以了解您当前的数据集。有关字段说明，请参阅。

Security Director 中的服务是指设备上的应用程序，例如域名服务（DNS）。服务基于应用程序使用的协议和端口，当添加到策略时，配置的服务可以应用于 Security Director 管理的所有设备。创建服务后，可以将其与其他服务组合以形成服务组。当您希望将同一策略应用于多个服务时，服务组非常有用。

可用于创建服务的协议包括：TCP、UDP、SUN-RPC、MS-RPC、ICMP、ICMPv6 和其他。

在设备更新期间，您可以通过在 Junos Space 中更新设备下选择一个选项来删除所有未使用的服务和服务组。默认情况下，当您执行 Security Director 的全新安装或从先前版本升级时，将启用此选项。

注意：

瞻博网络为常用服务定义了一些服务对象，但您无法修改或删除它们。当您安装新版本的 Security Director 时，会出现这些服务。

要配置服务：

选择配置>共享对象>服务。
单击创建。
根据表 1 至表 3 中的准则完成配置。
单击“确定”。

将创建具有您的配置的新服务或服务组。您可以在策略中使用此对象。您还可以将其分配给域;请参阅将策略和配置文件分配给域。

表 1：服务设置
设置	指引
`General Information`
对象类型	选择“服务”或“服务组”。如果选择“服务组”，则屏幕将更改，以便您可以选择要包含在服务组中的服务。
名字	必填。输入服务的唯一名称。它必须以字母数字字符开头，并且不能超过 63 个字符。允许使用短划线和下划线。
描述	输入服务的说明。您应使此说明对所有管理员尽可能有用。
`Create Protocol`
名字	输入协议的唯一名称。它必须以字母数字字符开头，并且不能超过 63 个字符。允许使用短划线和下划线。
描述	输入协议的说明。它不能超过 1,024 个字符。
类型	选择协议类型并填写相应的字段。可用类型包括：TCP、UDP、ICMP、SUN-RPC、MS-RPC、ICMPv6 和其他。如果选择 TCP，请继续处理此表。有关其他协议类型，请参阅表 2。
目标端口	输入 TCP 的目标端口号。这是一个介于 0 到 65,535 之间的值或值范围。如果未在目标端口字段中提供任何值，则会显示一条消息，指出默认值将为 Any。“任意”表示空或空。单击取消并输入目标端口，或单击确定继续使用默认值。
`Advanced Settings`
启用非活动超时	默认选中。输入此协议的超时值（以秒或分钟为单位）。最大值为 129,600 秒和 2,160 分钟。
ALG	选择 ALG （应用层网关）服务选项（如果适用）。
源端口和端口范围	输入协议的源端口或端口范围。如果未在源端口字段中提供任何值，则会显示一条消息，指出默认值将为 Any。“任意”表示空或空。单击取消并输入源端口，或单击确定继续使用默认值。

注意：

从 Security Director 18.3R1 版开始，不能创建具有重复协议详细信息（如名称、目标端口、超时持续时间和源端口或端口范围）的服务对象。创建具有重复内容的服务基于 Junos Space 网络管理平台中的共享对象设置。

默认情况下，您可以创建重复的服务对象。如果不希望允许在 Security Director 中创建重复的服务，请转至网络管理平台并选择管理>应用程序>修改应用程序设置>共享对象。选中该复选框可防止创建具有重复内容的服务。在安全控制器中选择任何重复内容时，将显示一条错误消息。

表 2 包括各种协议类型的设置和指南。

表 2：创建协议类型设置
设置	指引
`UDP`
目标端口	输入 UDP 的目标端口号。这是一个介于 0 到 65,535 之间的值或值范围。如果未在目标端口字段中提供任何值，则会显示一条消息，指出默认值将为 Any。“任意”表示空或空。单击取消输入目标端口，或单击确定继续使用默认值。
`Advanced Settings`
启用非活动超时	默认选中。输入此协议的超时值（以秒或分钟为单位）。最大值为 129,600 秒和 2,160 分钟。
ALG	选择 ALG（应用层网关）服务选项（如果适用）。
源端口和端口范围	输入 UDP 的源端口或端口范围。这是一个介于 0 到 65,535 之间的值或值范围。如果未在源端口字段中提供任何值，则会显示一条消息，指出默认值将为 Any。“任意”表示空或空。单击取消输入源端口，或单击确定继续使用默认值。
`ICMP`
启用非活动超时	默认选中。输入此协议的超时值（以秒或分钟为单位）。最大值为 129,600 秒和 2,160 分钟。
ICMP 类型	为 ICMP 消息类型输入一个介于 0 到 225 之间的值。例如，输入 1 表示主机无法访问。您可以在 RFC 792 中找到这些值。
ICMP 代码	为 ICMP 代码输入一个介于 0 到 225 之间的值。例如，输入 0 作为回显回复。您可以在 RFC 792 中找到这些值。
`SUN-RPC`
目标端口（如果选择了“启用 ALG”则可用）	输入 SUN-RPC 的目标端口。这是一个介于 0 到 65,535 之间的值或值范围。如果未在目标端口字段中提供任何值，则会显示一条消息，指出默认值将为 Any。“任意”表示空或空。单击取消输入目标端口，或单击确定继续使用默认值。
启用非活动超时	默认选中。输入此协议的超时值（以秒或分钟为单位）。最大值为 129,600 秒和 2,160 分钟。
启用 ALG	默认情况下未选中。如果为此协议启用 ALG，则必须在变为可用的字段中输入目标端口。
RPC 程序编号	输入 RPC（远程过程调用）服务的值或值范围。例如，输入 100,017 进行远程执行。您可以在 RFC 5531 中找到这些值。
协议类型	选择 TCP 或 UDP 作为协议类型。
`MS-RPC`
目标端口（如果选择了“启用 ALG”则可用）	输入 MS-RPC 的目标端口。这是一个介于 0 到 65,535 之间的值或值范围。如果未在目标端口字段中提供任何值，则会显示一条消息，指出默认值将为 Any。“任意”表示空或空。单击取消输入目标端口，然后单击确定继续使用默认值。
启用非活动超时	默认选中。输入此协议的超时值（以秒或分钟为单位）。最大值为 129,600 秒和 2,160 分钟。
启用 ALG	默认情况下未选中。如果为此协议启用 ALG，则必须在可用的字段中输入目标端口号。
Uuid	输入 MS-RPC 服务的相应 UUID 值。有关预定义值，请参阅 MS-RPC UUID 映射。
协议类型	选择 TCP 或 UDP 作为协议类型。
`ICMPv6`
启用非活动超时	默认选中。输入此协议的超时值（以秒或分钟为单位）。最大值为 129,600 秒和 2,160 分钟。
ICMP 类型	为 ICMPv6 消息类型输入一个介于 0 到 225 之间的值。您可以在 RFC 4443 中找到这些值。
ICMP 代码	为 ICMPv6 代码输入一个介于 0 到 225 之间的值。您可以在 RFC 4443 中找到这些值。
目标端口	使用 other 创建与提供的类型类别不匹配的协议。输入其他协议的目标端口。这是一个介于 0 到 65,535 之间的值或值范围。如果未在目标端口字段中提供任何值，则会显示一条消息，指出默认值将为 Any。“任意”表示空或空。单击取消输入目标端口，然后单击确定继续使用默认值。
`Advanced Settings`
启用非活动超时	默认选中。输入此协议的超时值（以秒或分钟为单位）。最大值为 129,600 秒和 2,160 分钟。
ALG	选择 ALG（应用层网关）服务选项（如果适用）。
源端口和端口范围	输入其他协议的源端口或端口范围。如果未在源端口字段中提供任何值，则会显示一条消息，指出默认值将为 Any。“任意”表示空或空。单击取消输入源端口，或单击确定继续使用默认值。
协议编号	输入协议类型的协议号。RFC 791 包含协议列表及其相应的编号。此数字标识协议堆栈中数据传递到的下一个更高级别中的服务。

表 3 包括服务组的设置和准则。

表 3：服务组设置
设置	指引
`General Information`
对象类型	选择“服务组”。选择“服务组”时，屏幕将发生变化，以便您可以选择要包含在服务组中的服务。
名字	输入服务组的唯一名称。它必须以字母数字字符开头，并且不能超过 63 个字符。允许使用短划线和下划线。
描述	输入服务组的说明。您应使此说明对所有管理员尽可能有用。
服务	选中要包含在服务组中的每个服务旁边的复选框。单击箭头可将选定的一个或多个服务从“可用”列移动到“所选”列。请注意，您可以使用每列顶部的字段来搜索列出的服务。如果所选服务组已可用，则根据 Junos Space 网络管理平台中的共享对象设置创建具有重复内容的服务组。默认情况下，您可以创建重复的服务组。如果不希望允许在 Security Director 中创建重复的服务组，请转至网络管理平台并选择管理>应用程序>修改应用程序设置>共享对象。选中该复选框可防止创建具有重复内容的服务组。在安全控制器中选择任何重复内容时，将显示一条错误消息。

创建服务和服务组

相关文档