全站搜索
 
 
新闻详情
 
当前位置
juniper srx650防护防火墙公网IP被攻击方法一
作者:管理员    发布于:2012-07-03 09:28:51    文字:【】【】【
内网通过源地址的NAT上网,通常情况下,这个公网IP是防火墙的IP,即内网公网IP。这个IP默认情况下管理员为了便于管理,会打开http、https、ssh等端口。这样容易被外网的人猜测到密码。现采取以下措施:
 
开放系统的相关服务:
 
设置安全区的安全区Untrust接口ge-0/0/0.0主机的入站的交通系统服务的ssh
 
设置系统服务SSH
 
设置系统服务的telnet
 
设置系统服务网络的管理HTTP接口ge-0/0/3.0
 
设置系统服务网络的管理HTTPS系统生成的证书
 
设置系统服务网络的管理HTTPS接口ge-0/0/1.0
 
设置安全区的安全区的信任主机的入站流量系统的所有服务
 
设置安全区的安全区的信任主机的入站流量的所有协议
 
设置安全区的安全区的信任接口ge-0/0/1.0入站流量的主机系统服务DHCP
 
设置安全区的安全区的信任接口ge-0/0/1.0主机的入站的交通系统服务平
 
设置安全区的安全区的信任接口ge-0/0/1.0主机的入站的交通系统服务HTTP
 
设置安全区的安全区的信任接口ge-0/0/1.0入站流量的主机系统服务HTTPS
 
设置安全区的安全区的信任接口ge-0/0/1.0入站流量的主机系统服务SSH
 
现思路如下:
 
将该公网的ip的服务关闭,然后将防火墙内网IP的管理端口映射到其它公网的某个端口
 
删除安全区的安全区的untrust接口ge-0/0/0.0主机的入站的交通系统服务的ssh
 
/ * /建立元素
 
设置安全区的安全区的信任地址簿地址juniper2541 192.168.254.1/32
 
#建立NAT
 
设置安全的目标NAT池2541地址192.168.254.1/32
 
设置安全NAT目的地池2541地址端口22
 
设置安全NAT目的地的规则集1第2541匹配源地址0.0.0.0 / 0
 
设置安全NAT目的地的规则集1第2541匹配的目标地址113.106.95.x/32
 
NAT设置安全目标的规则集1规则2541匹配目标端口1055
 
NAT设置安全目标的规则集1规则2541然后目的地NAT池2541
 
#建立策略
 
设置安全策略区不可信区的信任策略yc2541匹配源地址的任何
 
设置安全策略从区的Untrust区的信任策略yc2541匹配的目标地址juniper2541
 
设置安全策略从区不可信区的信任策略yc2541匹配的应用juniper1055
 
设置安全策略,从区不可信区信托政策yc2541然后允许
脚注信息

        京ICP备14020546号     版权所有 ©    北京嘉益润景科技有限公司  

51客服