视频: VLOG 015 Juniper EX2300端口vlan及DHCP设置 2024
您无法像管理路由器一样管理SRX服务网关。 SRX是一个锁定设备。即使它有一个有效的IP地址,你甚至不能在SRX上初始化一个接口。 SRX使用 嵌套安全区域的概念。区域是SRX配置中的关键概念。除非安全区域在SRX接口上正确配置,否则没有流量进出。 要配置安全区域,需要将接口关联到安全区域,然后需要将安全区域绑定到路由实例(如果有多个路由实例)。
<! - 1 - >
听起来很复杂,但事实并非如此。首先,配置区域,然后将接口与区域相关联。在这里,我们假设你只使用一个路由实例。您可以配置具有多个接口的区域。但是,每个接口只能属于一个区域。
现在,为简单的SRX配置建立两个安全区域。一个区域用于在接口ge-0/0/0上称为管理员(管理员)的本地局域网。 0,而另一个区域是连接到互联网的两个链接,称为untrust,接口为ge-0/0/1。 0和ge-0/0/2。 0:
<! - 编辑安全区域root#设置安全区域admins root#设置安全区域untrust root#设置安全区域admins接口ge-0/0/0。 0 root#设置安全区域untrust接口ge-0/0/1。 0 root#设置安全区域untrust接口ge-0/0/2。 0
始终从您正在配置的SRX的角度配置防区。许多其他区域可能在局域网上(信任,会计等)。但是,这个SRX只链接到管理员和不信任。现在您可以将服务添加到您刚配置的区域。假设允许来自不受信任的区域的入站ssh,ftp和ping流量。
这只是一个例子。在SRX上启用任何服务之前,请确保您确实需要它们。特别是FTP通常被认为是有风险的,因为FTP没有真正的安全性,而且在你的安全区域,你只是为它打了一个大洞。[编辑安全区域] root#set安全区域untrust主机 - 入站流量ssh root#设置安全区域untrust主机 - 入站流量ftp root#设置安全区域untrust主机 - 入站流量ping
您的配置现在看起来像这样:
[edit security] zones {security-zone untrust {host-inbound-traffic {system-services {ssh; FTP; ping;}} interfaces {ge-0/0/1。 0; GE-0/0/2。 0;}}安全区域管理员{interfaces {ge-0/0/0。 0;}}
如果您尚未配置路由和应用授权到您的SRX,当您尝试并提交安全配置时,您将收到一条提取错误消息。配置完成后,此错误将消失。
