在Juniper防火墙中策略是非常重要的一部分,一台防火墙能实现什么功能,以及这台防火墙是否安全都和防火墙策略有最直接的关系。防火墙的许多功能都是通过策略来实现的,灵活应用防火墙的策略可以让你能实现许多意想不到的功能,只有把防火墙的策略用好了,才能使防火墙真正起到作用。

要学习防火墙策略首先要了解一下防火墙的策略元素,也就是说防火墙可以管一些什么,可以调用一些什么东西。

根据Juniper防火墙的ScreenOS版本不同,防火墙的策略元素所在的位置也不大一样,不过配置都是一样的。

Firmware Version: 5.4.0r3a.0 (Firewall+×××)

 

这是一台SSG-5的防火墙,ScreenOS的版本是5.0版的,策略元素单独列了一个列表“objects”

Firmware Version: 6.1.0r5a.0 (Firewall+×××)

 

这是一台ssg-140的防火墙,ScreenOS的版本是6.0的新版,策略元素被整合到了策略栏目下。

知道了策略元素所在的位置,下面就看看策略元素都有些什么内容。

地址元素

在Policy > Policy Elements > Addresses > List 界面

在地址元素中也有分类,上面的截图是Trust地址内容,在每个zone下都可以定义地址。

点击右上角的“new”,可以自定义地址

"address name" 给你定义的地址起个名字,方便以后调用。

在下面可以输入ip地址及掩码,Juniper不支持类似192.168.1.1-192.168.1.10这样的定义方法,只能定义一个ip或者一个网段。

另外还可以支持直接输入域名,前提条件是在Juniper防火墙中设置过DNS,不然防火墙无法解析域名IP。

定义好地址之后,还可以设置一些地址组,将多个地址定义为一个组,方便设置策略的时候调用,如下图经qq服务器定义为一个名为“qq server”的地址组。

在 Policy > Policy Elements > Addresses > Summary 界面下可以看到你防火墙所有zone定义的地址概况。

服务元素

所谓的服务元素,在Juniper防火墙上是根据端口号来定义服务的。

在 Policy > Policy Elements > Services > Predefined 界面下可以看到防火墙预定义的一些服务。

当然你也可以自定义一些预定义里没有的服务,在 Policy > Policy Elements > Services > Custom  下点击 “new”

时间元素

在 Policy > Policy Elements > Schedules 下可以定义时间元素,点击右上角的“new”新建事件元素

另外还可以定义Traffic Shaping 及 DIP ,这里先不做介绍。

总结一下,Juniper防火墙的策略元素主要是ip地址,服务(端口)以及时间三个主要元素,防火墙策略通过对这三个元素的管理来实现防火墙的主要功能。