温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

JUNIA第三天(FWV三层操作)

发布时间:2020-05-01 13:28:50 来源:网络 阅读:500 作者:康先生142 栏目:安全技术

默认情况下,所有的Zone都属于Trunst-VR虚拟路由器
查看防火墙的虚拟路由器
ns5gt-> get vrouter
由于防火墙需要链接多个ZOne ,不通ZOne属于不同的的网段,需要Zone之间进行互通的话,防火墙需要路由


Juniper防火墙静态路由配置
ns5gt-> set route 12.1.1.0/24 gateway 10.1.1.1
ns5gt-> set vrouter trust-vr 
ns5gt(trust-vr)-> set route 10.3.1.0/24 gateway 10.1.1.1 

查看静态路由学习到的条目
ns5gt(trust-vr)-> get route protocol static 

 

Juniper定义地址组建和地址组
a.定义一个地址

ns5gt-> set address untrust 172.16.1.1 172.16.1.1/32

ns5gt-> set address untrust 172.16.2.1 172.16.2.1/32
b.定义一个地址组

ns5gt-> set group address untrust huda add 172.16.1.1
ns5gt-> set group address untrust huda add 172.16.2.1

 

通过WEBUI界面添加地址组建和地址组
JUNIA第三天(FWV三层操作)
JUNIA第三天(FWV三层操作)

c.应用外网到内网区段的策略ns5gt-> set policy from untrust to home huda any any permit

d.应用外网到Home区段所有的服务都进入
ns5gt-> set policy from untrust to home any any any permit

JUNIA第三天(FWV三层操作)

 

查看Policy
ns5gt-> get policy 
删除Policy
ns5gt-> unset policy id 6


配置Juniper防火墙的三层功能
a.建立一个Zone(如果不使用默认Zone的话)
ns5gt-> set zone name kang
b.建立一个接口,将接口划分进Zone中,并且配置IP地址
ns5gt-> set interface loopback.1 zone kang
ns5gt-> set interface lo.1 ip 1.1.1.1/32
c.配置防火墙的静态路由
ns5gt-> set route 10.1.2.0/24 interface eth4 gateway 192.168.1.1

 

三层的查看命令
1.查看到达目的地主机的路由条目
 ns5gt-> get route ip 10.1.2.1
2.查看到达目的地网段的路由条目
 ns5gt-> get route prefix 10.1.2.0/24
3.查看静态的路由条目
ns5gt-> get route protocol static


跟踪路由
ns5gt-> trace-route 192.168.1.12

 

Juniper防火墙的Debug信息
1.Debug信息可以实时的监控网络发送流量的数据包
   默认Juniper防火墙Debug信息是放到缓存中的
2.Deug信息的配置:
a.打开Debug信息
 ns5gt-> debug flow basic
b.查看DB的缓存
ns5gt-> get db stream
c.查看DB缓存的状态
 ns5gt-> get db info
d.设置DB缓存的大小
 ns5gt-> set db size 4096
e. 清除缓存计数
 ns5gt-> clear dbuf
f.直接将Debug信息通过Console接口输出
 ns5gt-> unset console dbuf

配置Juniper防火墙流过滤
 Flow Filter:
a.基于IP地址
b.基于TCP/UDP端口号
c.基于IP协议号 

ns5gt-> undebug all
关闭所有的Debug信息 


通过Debug信息查看数据包经过防火墙的详细过程
a.设置Flow Filter
ns5gt-> set ff src-ip 192.168.1.12
b.查看Flow Filter
 ns5gt-> get ff
c.打开Debug的信息
ns5gt-> debug flow basic
d.清楚DB的缓存
ns5gt-> clear dbuf

 

详细过程
1.Screen Filter的检查
packet passed sanity check
2.查找是否存在会话
flow got session
3.查找路由条目
4.查找Policy
5.查找普通的NAT
6.建立Session
7.路由数据包
8.解析下一跳IP的MAC地址(使用ARP)

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI