Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

示例:控制 SRX 系列设备上的管理访问

 

此示例演示如何限制对 SRX 系列设备上特定 IP 地址的管理访问,以管理设备。

要求

在配置此功能之前,不需要进行设备初始化以外的特殊配置。

概述

要限制可管理设备的 IP 地址,您可以配置防火墙过滤器。此防火墙过滤器必须包括拒绝除允许管理设备的 IP 地址之外的所有流量的术语。您必须将防火墙过滤器应用于回传接口(lo0),因为这可确保只过滤管理信息流(到设备的信息流)。

在此示例中,您可以:

  • 配置调用manager-ip的前缀列表。此列表定义了一组允许管理 SRX 系列设备的 IP 地址。

  • 配置防火墙过滤器FILTER1 ,拒绝除manager-ip前缀列表中的可用 IP 地址之外的所有申请者。通过这种方式,您可以确保前缀列表中指定的 IP 地址列表能够管理设备。

  • FILTER1过滤器应用于回传接口。每当数据包点击设备上的任何接口时,回传接口就会应用过滤器FILTER1

配置

配置 IP 地址列表以限制对设备的管理访问

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

  1. 在前缀列表中定义一组允许的主机地址。
    注意

    在实际过滤器中引用配置的列表,您可以在其中更改定义的地址集。

  2. 配置防火墙过滤器,拒绝来自除在前缀列表中定义的 IP 地址之外的所有 IP 地址的流量。

    当流量来自列表中的地址时,将拒绝使用列出的任何目标端口的管理流量。

  3. 配置接受所有其他流量的默认术语。
  4. 将无状态防火墙过滤器应用于回传接口,以过滤源自您向其授予管理访问权限的主机的数据包。

    此配置适用于在设备本身终止的信息流。如果您拥有 IPsec 流量,或者 OSPF、RIP、BGP 或在设备接口处终止的任何其他流量,则必须将接口的 IP 地址添加到前缀列表中。

结果

从配置模式,输入show configuration命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

针对

确认配置是否正常工作。

验证接口

用途

验证接口是否配置正确。

操作

在操作模式下,输入以下命令:

  • 显示策略-选项

  • 显示防火墙

  • show interfaces