ScreenOS学习笔记

安全区段	第2层	V1-Trust	同一区段内的接口通信不需要策略，不同区段之间的接口通信则需要策略. Global区段没有接口
		V1-Untrust
		V1-DMZ
	第3层	Trust
		Untrust
		DMZ
	全局	Global
Tunnel区段	Untrust-Tun
功能区段	Null，Self，MGT，HA，VLAN

安全区段是一个或多个网段组成的集合，是绑定了一个或多个接口的逻辑实体。

Set zone name zone //创建名为zone的区段

Set zone zone block //封锁同一区段内主机间的信息流

Set zone zone vrouter name_str //将区段放入name_str的路由选择域

更改或删除区段前必须先删除所有绑定到该区段的接口

子接口和冗余接口

同一接口的子接口共享带宽，可以位于不同的安全区段。冗余接口是将两个物理接口捆绑在一起，互为备用接口。

通道接口充当VPN通道的入口。

可以将一些物理接口绑定到L2（第2层）或L3（第3层）安全区段。由于子接口需要IP地址，所以子接口只能绑定到L3安全区段。将接口绑定到L3安全区段后才能将IP地址指定给接口。无限接口不能绑定到Untrust安全区段。

在将接口分配到某个组之前，必须将给接口设置为Null安全区段。

1 set interface ethernet0/3 zone null
2 set interface ehternet0/4 zone null
3 set interface bgroup1 port ehternet0/3
4 set interface bgroup1 port ethernet0/4
5 set interface bgroup1 zone DMZ
6 save

如果接口无编号，那可以直接解除与现安全区段的绑定然后绑定到另一个安全区段。如果接口有编号，那么必须首先将该接口的IP地址和网络掩码都设为0.0.0.0。

1 set interface ethernet0/3 ip 0.0.0.0/0
2 set interface ethernet0/3 zone null
3 save
4
5 unset interface bgroup1 port ethernet0/3
6 set interface ethernet0/3 zone trust
7 save

安全区段的缺省接口是绑定到该区段的第一个接口。

1 set interface ethernet0/5 ip 210.1.1.1/24
2 set interface ethernet0/5 manage-ip 210.1.1.5
3 save

更改e0/1的管理IP地址为10.1.1.12，启用ssh和ssl，禁用telnet和web。

1 set interface ethernet0/1 manage-ip 10.1.1.12
2 set interface ethernet0/1 manage ssh
3 set interface ethernet0/1 manage ssl
4 unset interface ethernet0/1 manage telnet
5 unset interface ethernet0/1 manage web
6 save

设置子接口e0/1.3的VLAN标记为ID 3。

1 set interface ethernet0/1.3 zone accounting
2 set interface ethernet0/1.3 ip 10.2.1.1/24 tag 3
3 save

回传接口是逻辑接口，只要其所在设备开启它便处于工作状态。但若要通过网络或驻留在其他区段的主机访问回传接口则必须定义策略。

创建回传接口并设置其用于管理。

1 set interface loopback.1 zone untrust
2 set interface loopback.1 ip 1.1.1.27
3 set interface loopback.1 manage
4 save

创建地址条目：

1 set address trust Sunnyvale_Eng 10.1.10.0/24
2 set address untrust Juniper www.juniper.net
3 save

修改地址条目：

1 unset address trust Sunnyvale_Eng
2 set address trust Sunnyvale_Eng 10.1.40.0/24
3 save

删除地址条目：

1 unset address trust "Sunnyvale_SW_Eng"
2 save

创建和编辑地址组：

1 set group address trust "HQ 2nd Floor" add "Santa Clara Eng"
2 set group address trust "HQ 2nd Floor" add "Tech Pubs"
3 save

删除成员和组：

1 unset group address trust "HQ 2nd Floor" remove Support
2 unset group address trust Sales
3 save

创建服务：

1 set service cust-telnet protocol tcp src-port 1-65535 dst-port 23000-23000
2 set service cust-telnet timeout 30
3 save

修改服务（修改服务前必须先清除服务的定义）

1 set service cust-telnet clear
2 set service cust-telnet + tcp src-port 1-65535 dst-port 23230-23230
3 save

删除服务：

1 unset service cust-telnet
2 save

创建服务组：

1 set group service grp1
2 set group service grp1 add ike
3 set group service grp1 add ftp
4 set group service grp1 add ldap
5 save

修改服务组：

1 unset group service grp1 clear
2 set group service grp1 add http
3 set group service grp1 add finger
4 set group service grp1 add imap
5 save

删除服务组：

1 unset group service grp1
2 save

创建全局策略：

1 set adddress global server1 www.juniper.com
2 set policy global any server1 http permit
3 save

修改策略（在源地址或目的地址前加！表示排除该地址）

1 set policy id 1
2 device(policy:1)-> set src-address host2
3 device(policy:1)-> set dst-address server2
4 device(policy:1)-> set service ftp
5 device(policy:1)-> set attack CRITICAL:HTTP:SIGS

禁用策略：

1 set policy id id_num disable
2 save

验证策略：

1 exec policy verify

排序策略：

1 set policy move id_num {before | after} number
2 save

删除策略：

1 unset policy id_num

时间： 2024-10-15 02:15:32

ScreenOS学习笔记的相关文章

vector 学习笔记

vector 使用练习: /**************************************** * File Name: vector.cpp * Author: sky0917 * Created Time: 2014年04月27日 11:07:33 ****************************************/ #include <iostream> #include <vector> using namespace std; int main

Caliburn.Micro学习笔记(一)----引导类和命名匹配规则

Caliburn.Micro学习笔记(一)----引导类和命名匹配规则用了几天时间看了一下开源框架Caliburn.Micro 这是他源码的地址http://caliburnmicro.codeplex.com/ 文档也写的很详细,自己在看它的文档和代码时写了一些demo和笔记,还有它实现的原理记录一下学习Caliburn.Micro要有MEF和MVVM的基础先说一下他的命名规则和引导类以后我会把Caliburn.Micro的 Actions IResult,IHandle ICondu

jQuery学习笔记（一）：入门

jQuery学习笔记(一):入门一.JQuery是什么 JQuery是什么?始终是萦绕在我心中的一个问题: 借鉴网上同学们的总结,可以从以下几个方面观察. 不使用JQuery时获取DOM文本的操作如下: 1 document.getElementById('info').value = 'Hello World!'; 使用JQuery时获取DOM文本操作如下: 1 $('#info').val('Hello World!'); 嗯,可以看出,使用JQuery的优势之一是可以使代码更加简练,使开

[原创]java WEB学习笔记93：Hibernate学习之路---Hibernate 缓存介绍，缓存级别，使用二级缓存的情况，二级缓存的架构集合缓存，二级缓存的并发策略，实现步骤，集合缓存，查询缓存，时间戳缓存

本博客的目的:①总结自己的学习过程,相当于学习笔记 ②将自己的经验分享给大家,相互学习,互相交流,不可商用内容难免出现问题,欢迎指正,交流,探讨,可以留言,也可以通过以下方式联系. 本人互联网技术爱好者,互联网技术发烧友微博:伊直都在0221 QQ:951226918 -----------------------------------------------------------------------------------------------------------------

Activiti 学习笔记记录（三）

上一篇:Activiti 学习笔记记录(二) 导读:上一篇学习了bpmn 画图的常用图形标记.那如何用它们组成一个可用文件呢? 我们知道 bpmn 其实是一个xml 文件

HTML&CSS基础学习笔记8-预格式文本

<pre>标签的主要作用是预格式化文本.被包围在 pre 标签中的文本通常会保留空格和换行符.而文本也会呈现为等宽字体. <pre>标签的一个常见应用就是用来表示计算机的源代码.当然你也可以在你需要在网页中预显示格式时使用它. 会使你的文本换行的标签(例如<h>.<p>)绝不能包含在 <pre> 所定义的块里.尽管有些浏览器会把段落结束标签解释为简单地换行,但是这种行为在所有浏览器上并不都是一样的. 更多学习内容,就在码芽网http://www.

java/android 设计模式学习笔记（14）---外观模式

这篇博客来介绍外观模式(Facade Pattern),外观模式也称为门面模式,它在开发过程中运用频率非常高,尤其是第三方 SDK 基本很大概率都会使用外观模式.通过一个外观类使得整个子系统只有一个统一的高层的接口,这样能够降低用户的使用成本,也对用户屏蔽了很多实现细节.当然,在我们的开发过程中,外观模式也是我们封装 API 的常用手段,例如网络模块.ImageLoader 模块等.其实我们在开发过程中可能已经使用过很多次外观模式,只是没有从理论层面去了解它. 转载请注明出处:http://bl

[原创]java WEB学习笔记48：其他的Servlet 监听器：域对象中属性的变更的事件监听器（3 个），感知 Session 绑定的事件监听器（2个）

本博客为原创:综合尚硅谷(http://www.atguigu.com)的系统教程(深表感谢)和网络上的现有资源(博客,文档,图书等),资源的出处我会标明本博客的目的:①总结自己的学习过程,相当于学习笔记 ②将自己的经验分享给大家,相互学习,互相交流,不可商用内容难免出现问题,欢迎指正,交流,探讨,可以留言,也可以通过以下方式联系. 本人互联网技术爱好者,互联网技术发烧友微博:伊直都在0221 QQ:951226918 ---------------------------------

java/android 设计模式学习笔记（10）---建造者模式

这篇博客我们来介绍一下建造者模式(Builder Pattern),建造者模式又被称为生成器模式,是创造性模式之一,与工厂方法模式和抽象工厂模式不同,后两者的目的是为了实现多态性,而 Builder 模式的目的则是为了将对象的构建与展示分离.Builder 模式是一步一步创建一个复杂对象的创建型模式,它允许用户在不知道内部构建细节的情况下,可以更精细地控制对象的构造流程.一个复杂的对象有大量的组成部分,比如汽车它有车轮.方向盘.发动机.以及各种各样的小零件,要将这些部件装配成一辆汽车,这个装配过