Juniper SRX300系列 —— 防火墙DMZ配置详解

最新推荐文章于 2024-04-27 15:05:51 发布
最新推荐文章于 2024-04-27 15:05:51 发布
阅读量453 收藏 2
点赞数 1
分类专栏: 网络设备 文章标签: 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46167705/article/details/132431129
版权

前言

上一章节已全面详解了SRX300防火墙的基础配置,本次详解将带入DMZ(服务器)安全域的配置。

接口配置

#配置dmz接口,vlan id和irb后面的虚拟接口名称可以不进行变更
set vlans vlan-dmz vlan-id 5
set vlans vlan-dmz l3-interface irb.2

#配置dmz开放的协议
set security zones security-zone dmz interfaces irb.2 host-inbound-traffic system-services snmp
set security zones security-zone dmz interfaces irb.2 host-inbound-traffic system-services ping

#配置irb.2为三层口及IP地址
set interfaces irb unit 2 family inet address 172.16.2.1/24

#将g0/0/4和g0/0/5两个物理口设置成二层口,并且划到vlan-dmz区域。
del interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members vlan-trust
del interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members vlan-trust
set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members vlan-dmz
set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members vlan-dmz

安全策略配置

假设允许访问的源地址为服务器地址172.16.2.50/32,目的地址为公网地址114.114.114.114,端口8080,配置如下:

#配置端口池
set applications application 8080-tcp protocol tcp
set applications application 8080-tcp source-port 0-65535
set applications application 8080-tcp destination-port 8080

#绑定用户dmz_172.16.2.50
set security zones security-zone dmz address-book address dmz_172.16.2.50 172.16.2.50/32
#绑定用户untrust_114.114.114.114
set security zones security-zone dmz address-book address untrust_114.114.114.114 114.114.114.114/32

#dmz区域绑定到irb.2
set security zones security-zone dmz interfaces irb.2

set security policies from-zone dmz to-zone untrust policy d-u match source-address dmz_172.16.2.50
set security policies from-zone dmz to-zone untrust policy d-u match destination-address untrust_114.114.114.114
set security policies from-zone dmz to-zone untrust policy d-u match application 8080-tcp
set security policies from-zone dmz to-zone untrust policy d-u then permit
茉清语
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ISA防火墙DMZ配置
09-15
主要介绍了DMZ区域的配置过程和注意事项
JUNIPER SRX配置手册(中文)
05-15
JUNIPER SRX系列防火墙中文配置手册,官方版本. 包括junOS概述,端口配置,策略配置
什么是 DMZ(Demilitarized Zone)网络架构安全策略
SAP 资深技术专家 Jerry Wang 的技术分享
10-26 1529
它是一种网络安全措施,旨在保护内部网络免受潜在威胁和攻击,同时允许受信任的用户和系统与外部网络进行通信。总结,DMZ是一种用于网络和安全管理的策略,用于隔离内部受信任网络和外部不受信任网络之间的中间区域。在军事领域,DMZ通常指的是朝鲜半岛的韩国和朝鲜之间的非军事区域,它是一个实际存在的示例。防火墙根据预定义的规则和策略,控制流入和流出DMZ的流量,以确保只有经过授权的流量能够进入内部网络。:这些系统常常部署在DMZ中,用于监视网络流量,检测潜在的威胁和攻击,并采取必要的措施来保护网络安全。
关于DMZ区介绍及相关策略
热门推荐
Julia & Rust & Python
05-07 1万+
两个防火墙之间的空间被称为DMZ。 与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。 DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网...
华为防火墙 DMZ 设置
一直被模仿,从未被超越
11-21 1266
例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器,但不可能接触到存放在内网中的信息,就算黑客入侵DMZ服务器,也不会影响到公司内部网络安全,不允许任何外部网络的直接访问,实现内外网分离,在企业的信息安全防护加了一道屏障。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个位于内部网络与外部网络之间的缓冲区,在这个网络区域内可以放置一些公开的服务器资源。DMZ 是英文"Demilitarized Zone"的缩写,中文名称为"隔离区"
Juniper SRX300系列 —— 防火墙基础配置详解
茉清语
08-17 1480
本文详解juniper srx系列防火墙配置手册,内容清晰简要,对于不太了解juniper设备的同僚会有很大的帮助,请不要忘记点个赞哦
华为防火墙区域配置
qq_45049184的博客
11-03 3887
防火墙区域配置 1、trust区域内的R1的L0和L1接口能访问DMZ区域的web服务器 2、trust区域内的R1的L2和L3接口能访问DMZ区域的ftp服务器 3、位于untrust区域的全部环回口都能够访问dmz区域的web服务器和ftp服务器 4、rust区域的环回口能访问untrust区域
安全防御策略trust-untrust-dmz(1)
weixin_56102955的博客
03-16 943
一,规划分析和拓扑图的搭建 二,配置思路 1,先配置FW000口的IP 2,使用IP进入防火墙图形化界面,并且可以创建安全区域 3,配置FW100口,其它同理 4,配置AR1 5,配置SERVER2 6.添加静态路由器 7,LSW1创建VLAN配置IP 8,链路聚合 9,配置SERVER1-3 三,配置防火墙策略 1,trust-untrust修改策略 2,在ISP-AR和LSW1配置缺省路由 3,trust-dmz(在DMZ创建地址组) 4,untrust-dmz(创建地址组) 5,命中结果显示 6,测试
Juniper SRX300系列 —— 防火墙IPSec VPN配置详解
茉清语
09-01 937
上一章节已详细讲解了防火墙的基础配置dmz相关配置,在实际项目实践中往往离不开VPN的使用。IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。
Juniper SRX300系列 —— 防火墙PPPOE配置详解
茉清语
09-04 396
PPPoE是以太网上的点对点协议,是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议。由于协议中集成PPP协议,所以实现出传统以太网不能提供的身份验证、加密以及压缩等功能,也可用于缆线调制解调器(cable modem)和数字用户线路(DSL)等以以太网协议向用户提供接入服务的协议体系。本质上,它是一个允许在以太网广播域中的两个以太网接口间创建点对点隧道的协议。它使用传统的基于PPP的软件来管理一个不是使用串行线路而是使用类似于以太网的有向分组网络的连接。
飞塔防火墙DMZ配置
10-17
飞塔防火墙DMZ配置,让你远离病毒和攻击
h3c防火墙典型配置实例
07-30
本文档针对Secoway USG2200/5120/5150(USG)的各种典型应用场景,通过配置举例介绍了系统管理、接入、IP业务、IP路由、安全防范、QoS、可靠性等各种功能的配置方法。
学习笔记记录ensp中防火墙配置(trust,unstrus,dmz 资源下载可用)
04-23
学习笔记记录ensp中防火墙配置(trust,unstrus,dmz 资源下载可用)
选用单防火墙DMZ还是双防火墙DMZ
03-03
你已经接受了这种想法,就是使用隔离区(DMZ)为你的机器提供更多的安全和强大的保护功能,而不是简单地在你的整个网络前面使用一个传统的防火墙。这对你会有好处,但是,仍存在一个问题:你会采用简单的路由并在你的...
网络安全与密码学
最新发布
weixin_61074128的博客
04-27 489
一、密码学是一门研究信息安全保密的学科,主要涉及对信息进行加密、解密以及相关的安全技术和理论。它通过使用各种加密算法和技术,将明文信息转换为密文,以确保信息在传输和存储过程中的保密性、完整性和真实性。密码学在通信、电子商务、金融、军事等领域都有着广泛的应用。密码学包括对称加密、非对称加密、哈希函数、数字签名等重要内容。同时,密码学也在不断发展和创新,以应对不断变化的安全挑战。大家要注意的是我们平时用来认证身份的密码(passwd)翻译成口令更准确。
实战对抗DDoS攻击
NSME1的博客
04-26 536
对DDoS的深入理解才能更好的做防护
Verilog 不可综合部分
Arthur...J的博客
04-22 633
Verilog中存在部分用于仿真验证的子集,只在仿真时使用,因为没有对应的硬件元件,因此不可综合。
Mac 上可以使用 ping 端口
qq_37194189的博客
04-24 396
在 Mac 上可以使用 ping 命令来检查与另一台计算机或网络设备的连通性。要 ping 一个端口,你需要使用另一个命令 nc(也称为 netcat)。
python封装modbus-tcp协议,实现03,06,功能码
weixin_49577420的博客
04-22 486
在写modbus协议时要注意每个功能码的格式要求是不一样的,返回的格式意义也不太一样。每个功能码发送报文和返回报文参考如下,可以按照格式自行实现功能。
华为防火墙dmz和trust互通配置
06-11
华为防火墙DMZ和Trust互通配置可以按照以下步骤进行: 1. 配置安全区域:在防火墙配置DMZ和Trust两个安全区域。 ``` security-zone trust security-zone dmz ``` 2. 配置ACL:在防火墙配置允许DMZ和Trust...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

茉清语

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值