总计新手到Juniper。
好吧,我一直在SRX210防火墙上的网页界面上乱了几个小时,看起来像我现在需要特定的帮助。
所以总体架构是我有一台路由器将远程办公室连接到本地办公室。 我希望防火墙位于本地路由器和局域网交换机之间,只有当stream量进出局域网时才进行IP过滤。 应该打到远程链路的唯一stream量应该是去往远程networking的stream量,反之亦然。
只有在某种程度上远程机器被黑客攻击的时候,FW才会在那里。 不太可能,但防火墙需要安装。
我已经在“安全”设置下设置了一些策略,以允许受信任和不受信任的区域根据FW的地址簿中列出的networking相互通话。
我有一个值得信任任何任何许可不信任的信任[远程networking]本地许可[编辑:删除]不信任任何信任任何拒绝
我已经在FW f / 02和f / 03上设置了两个端口,被设置为以太网模式访问,而没有VL / FAN为f / 02,f / 03为不可信。
我认为任何进出这些端口的东西都应该根据策略filter进行过滤。
虽然没有发生。 我将两台笔记本电脑设置为插入每个端口,并将IP设置为与允许的networking不同的networking,并且仍然可以来回ping。
由于我对Juniper FW或任何其他防火墙以外的任何防火墙都没有经验,所以你们有没有想过我错过了什么?
谢谢。
[编辑:好的,我重置为出厂默认设置,并在其中一个Juniper设置指南中,但它仍然无法正常工作。 这里是下面的configuration文件。 我正在通过networking界面进行configuration,所以如果有任何反馈可以参考,而不是CLI,这将帮助我更多…一个我需要学习,以使其工作的东西。
## Last changed: 2013-04-18 15:36:25 PDT version 11.2R4.3; system { host-name Office; time-zone *************; root-authentication { encrypted-password "*********************"; } name-server { 208.67.222.222; 208.67.220.220; } services { ssh; telnet; xnm-clear-text; web-management { http { interface vlan.0; } https { system-generated-certificate; interface vlan.0; } } dhcp { router { 192.168.1.1; } pool 192.168.1.0/24 { address-range low 192.168.1.2 high 192.168.1.254; } propagate-settings ge-0/0/0.0; } } syslog { archive size 100k files 3; user * { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 5; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } } interfaces { ge-0/0/0 { unit 0 { family inet { dhcp; } } } ge-0/0/1 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/2 { unit 0 { description Remote_Side; family ethernet-switching { port-mode access; } } } fe-0/0/3 { unit 0 { description Local_Side; family ethernet-switching { port-mode access; } } } fe-0/0/4 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/5 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/6 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/7 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } vlan { unit 0 { family inet { address 192.168.1.1/24; } } } } routing-options { static { route 0.0.0.0/0 next-hop 10.1.0.254; } } protocols { stp; } security { screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } } } nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy InBound { match { source-address Remote; destination-address any; application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { vlan.0; fe-0/0/3.0; } } security-zone untrust { address-book { address Remote 175.17.1.0/24; } screen untrust-screen; interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { dhcp; tftp; } } } fe-0/0/2.0; } } } } vlans { vlan-trust { vlan-id 3; l3-interface vlan.0; } } 您没有为fe-0/0/2或fe-0/0/3分配VLAN,因此两者都在默认VLAN中,并且应该只是在它们之间传递stream量,而不受SRX的干预。
你需要真正把SRX做成IP路由器来完成它的工作。 SRX有一个“透明模式”,但我不会推荐它。
如果你只需要在每一端都有一个端口,你可以避免使用VLAN,并手动configuration端口。 无论你走什么路线,都不要忘记将端口添加到安全区域。