创建服务和服务组
准备工作
阅读主题。
收集用于创建服务的协议的所有信息,包括源端口和目标端口以及 TCP 或 UDP 等协议类型。
检查克隆现有服务是否比创建新服务更有效。
查看服务主页,了解您当前的数据集。有关字段说明,请参阅。
Security Director 中的服务指的是设备上的应用,如域名服务 (DNS)。服务基于应用使用的协议和端口,添加到策略中后,配置的服务可应用到 Security Director 管理的所有设备上。创建服务后,可以将其与其他服务组合以形成服务组。当您希望将同一策略应用于多个服务时,服务组非常有用。
可用于创建服务的协议包括:TCP、UDP、SUN-RPC、MS-RPC、ICMP、ICMPv6 和其他。
在设备更新期间,您可以通过选择 Junos Space 中的“更新设备”下的可用选项来删除所有未使用的服务和服务组。默认情况下,当您执行全新安装 Security Director 或从以前的版本升级时,此选项处于启用状态。
瞻博网络为常用服务定义了服务对象,但您无法修改或删除它们。当您安装全新版本的 Security Director 时,将显示这些服务。
要配置服务,请执行以下作:
将创建包含您的配置的新服务或服务组。您可以在策略中使用此对象。您也可以将其分配给域;请参阅 将策略和配置文件分配给域。
设置 |
指引 |
|---|---|
General Information |
|
对象类型 |
选择“服务”或“服务组”。如果选择“服务组”,则屏幕将发生变化,以便您可以选择要包含在服务组中的服务。 |
名字 |
必填。输入服务的唯一名称。它必须以字母数字字符开头,不能超过 63 个字符。允许使用破折号和下划线。 |
描述 |
输入服务的描述。您应使此说明对所有管理员尽可能有用。 |
Create Protocol |
|
名字 |
输入协议的唯一名称。它必须以字母数字字符开头,不能超过 63 个字符。允许使用破折号和下划线。 |
描述 |
输入协议的说明。它不能超过 1,024 个字符。 |
类型 |
选择协议类型并填写相应的字段。可用类型包括:TCP、UDP、ICMP、SUN-RPC、MS-RPC、ICMPv6 和其他。如果选择“TCP”,请继续执行此表。其他协议类型参见表 2。 |
目标端口 |
输入 TCP 的目标端口号。这是一个介于 0 到 65,535 之间的值或值范围。 如果未在目标端口字段中提供任何值,则会显示一条消息,默认值将为 Any。“Any”表示 null 或空。单击 “取消 ”并输入目标端口,或单击“ 确定 ”继续使用默认值。 |
Advanced Settings |
|
启用非活动超时 |
默认选中。输入此协议的超时值(以秒或分钟为单位)。最大值为 129,600 秒和 2,160 分钟。 |
ALG |
如果适用,请选择 ALG (应用层网关)服务选项。 |
源端口和端口范围 |
输入协议的源端口或端口范围。 如果未在源端口字段中提供任何值,则会显示一条消息,指出默认值将为 Any。“Any”表示 null 或空。单击 “取消 ”并输入源端口,或单击“ 确定 ”继续使用默认值。 |
从 Security Director 18.3R1 版开始,您无法创建具有重复协议详细信息(如名称、目标端口、超时持续时间以及源端口或端口范围)的服务对象。创建内容重复的服务基于 Junos Space 网络管理平台中的共享对象设置。
默认情况下,您可以创建重复的服务对象。如果不想允许在Security Director中创建重复服务,请转到 网络管理平台 ,然后选择 “管理”>“应用程序”>“修改应用程序设置”>“共享对象”。选中该复选框可防止创建具有重复内容的服务。在 Security Director 中选择任何重复内容时,将显示错误消息。
表 2 包括各种协议类型的设置和准则。
设置 |
指引 |
|---|---|
UDP |
|
目标端口 |
输入 UDP 的目标端口号。这是一个介于 0 到 65,535 之间的值或值范围。 如果未在目标端口字段中提供任何值,则会显示一条消息,默认值将为 Any。“Any”表示 null 或空。单击 “取消 ”输入目标端口,或单击 “确定 ”继续使用默认值。 |
Advanced Settings |
|
启用非活动超时 |
默认选中。输入此协议的超时值(以秒或分钟为单位)。最大值为 129,600 秒和 2,160 分钟。 |
ALG |
如果适用,请选择 ALG(应用层网关)服务选项。 |
源端口和端口范围 |
输入 UDP 的源端口或端口范围。这是一个介于 0 到 65,535 之间的值或值范围。 如果未在源端口字段中提供任何值,则会显示一条消息,指出默认值将为 Any。“Any”表示 null 或空。单击 “取消 ”进入源端口,或单击 “确定 ”继续使用默认值。 |
ICMP |
|
启用非活动超时 |
默认选中。输入此协议的超时值(以秒或分钟为单位)。最大值为 129,600 秒和 2,160 分钟。 |
ICMP 类型 |
输入一个介于 0 到 225 之间的值作为 ICMP 消息类型。例如,输入 1 表示主机无法访问。可以在 RFC 792 中找到这些值。 |
ICMP 代码 |
输入一个介于 0 到 225 之间的值作为 ICMP 代码。例如,输入 0 作为回显回复。可以在 RFC 792 中找到这些值。 |
SUN-RPC |
|
目标端口(如果选择了启用 ALG,则可用) |
输入 SUN-RPC 的目标端口。这是一个介于 0 到 65,535 之间的值或值范围。 如果未在目标端口字段中提供任何值,则会显示一条消息,默认值将为 Any。“Any”表示 null 或空。单击 “取消 ”输入目标端口,或单击 “确定 ”继续使用默认值。 |
启用非活动超时 |
默认选中。输入此协议的超时值(以秒或分钟为单位)。最大值为 129,600 秒和 2,160 分钟。 |
启用 ALG |
默认情况下未选择。如果为此协议启用 ALG,则必须在可用的字段中输入目标端口。 |
RPC 程序编号 |
输入 RPC(远程过程调用)服务的值或值范围。例如,输入 100,017 作为远程执行。您可以在 RFC 5531 中找到这些值。 |
协议类型 |
选择“TCP”或“UDP”作为协议类型。 |
MS-RPC |
|
目标端口(如果选择了启用 ALG,则可用) |
输入 MS-RPC 的目标端口。这是一个介于 0 到 65,535 之间的值或值范围。 如果未在目标端口字段中提供任何值,则会显示一条消息,默认值将为 Any。“Any”表示 null 或空。单击 “取消 ”输入目标端口,然后单击“ 确定 ”继续使用默认值。 |
启用非活动超时 |
默认选中。输入此协议的超时值(以秒或分钟为单位)。最大值为 129,600 秒和 2,160 分钟。 |
启用 ALG |
默认情况下未选择。如果为此协议启用 ALG,则必须在可用的字段中输入目标端口号。 |
UUID |
输入 MS-RPC 服务的相应 UUID 值。有关预定义值,请参阅 MS-RPC UUID 映射。 |
协议类型 |
选择“TCP”或“UDP”作为协议类型。 |
ICMPv6 |
|
启用非活动超时 |
默认选中。输入此协议的超时值(以秒或分钟为单位)。最大值为 129,600 秒和 2,160 分钟。 |
ICMP 类型 |
为 ICMPv6 消息类型输入一个介于 0 到 225 之间的值。您可以在 RFC 4443 中找到这些值。 |
ICMP 代码 |
为 ICMPv6 代码输入一个介于 0 到 225 之间的值。您可以在 RFC 4443 中找到这些值。 |
目标端口 |
使用 other 创建与提供的类型类别不匹配的协议。输入其他协议的目标端口。这是一个介于 0 到 65,535 之间的值或值范围。 如果未在目标端口字段中提供任何值,则会显示一条消息,默认值将为 Any。“Any”表示 null 或空。单击 “取消 ”输入目标端口,然后单击“ 确定 ”继续使用默认值。 |
Advanced Settings |
|
启用非活动超时 |
默认选中。输入此协议的超时值(以秒或分钟为单位)。最大值为 129,600 秒和 2,160 分钟。 |
ALG |
如果适用,请选择 ALG(应用层网关)服务选项。 |
源端口和端口范围 |
输入其他协议的源端口或端口范围。 如果未在源端口字段中提供任何值,则会显示一条消息,指出默认值将为 Any。“Any”表示 null 或空。单击 “取消 ”进入源端口,或单击 “确定 ”继续使用默认值。 |
协议编号 |
输入协议类型的协议号。RFC 791 包含协议列表及其对应的编号。此数字标识数据传递到的协议堆栈中下一个更高级别的服务。 |
表 3 包括服务组的设置和准则。
设置 |
指引 |
|---|---|
General Information |
|
对象类型 |
选择“服务组”。选择“服务组”时,屏幕将发生变化,以便您可以选择要包含在服务组中的服务。 |
名字 |
输入服务组的唯一名称。它必须以字母数字字符开头,不能超过 63 个字符。允许使用破折号和下划线。 |
描述 |
输入服务组的说明。您应使此说明对所有管理员尽可能有用。 |
服务业 |
选中要包含在服务组中的每个服务旁边的复选框。单击箭头可将所选服务从“可用”列移动到“已选择”列。请注意,您可以使用每列顶部的字段来搜索列出的服务。 如果所选服务组已可用,则基于 Junos Space 网络管理平台中的共享对象设置创建具有重复内容的服务组。 默认情况下,您可以创建重复的服务组。如果不想允许在Security Director中创建重复的服务组,请转到 网络管理平台 ,然后选择 “管理”>“应用程序”>“修改应用程序设置”>“共享对象”。选中该复选框可防止创建内容重复的服务组。在 Security Director 中选择任何重复内容时,将显示错误消息。 |