SRX系列防火牆屬於Juniper最新推出的基於JUNOS操作系統的防火牆產品,其安全特性繼承了原NetScreen ScreenOS安全特性,今後會逐漸淘汰原基於NetScreen ScreenOS操作系統的安全產品。
今天要介紹的配置不同點之一就是關於Policy和address的配置的區別:
SRX防火牆配置Policy調用的address必須先定義,不能像原NetScreen ScreenOS防火牆那樣:先不定義地址本也可以,在配置Policy時直接輸入系統會自動生成地址本。
下面是在SRX 3600防火牆上配置Policy時,事先沒有定義好地址本,報錯信息:
netscreen@SRX3600# set security policies from-zone untrust to-zone trust policy WebAuth match source-address 10.200.2.52/32
[edit]
netscreen@SRX3600# commit check
[edit security policies from-zone untrust to-zone trust]
'policy WebAuth'
Address or address_set (10.200.2.52/32) not found.
error: configuration check-out faile
系統報10.200.2.52/32未找到。定義地址本後再commit check,則不會報錯了,如下所示:
netscreen@SRX3600# set security zones security-zone untrust address-book address 10.200.2.52/32 10.200.2.52/32
[edit]
netscreen@SRX3600# commit check
configuration check succeeds
[edit]
netscreen@SRX3600#