SRX系列防火墙属于Juniper最新推出的基于JUNOS操作系统的防火墙产品,其安全特性继承了原NetScreen ScreenOS安全特性,今后会逐渐淘汰原基于NetScreen ScreenOS操作系统的安全产品。
今天要介绍的配置不同点之一就是关于Policy和address的配置的区别:
SRX防火墙配置Policy调用的address必须先定义,不能像原NetScreen ScreenOS防火墙那样:先不定义地址本也可以,在配置Policy时直接输入系统会自动生成地址本。
下面是在SRX 3600防火墙上配置Policy时,事先没有定义好地址本,报错信息:
netscreen@SRX3600# set security policies from-zone untrust to-zone trust policy WebAuth match source-address 10.200.2.52/32
[edit]
netscreen@SRX3600# commit check
[edit security policies from-zone untrust to-zone trust]
'policy WebAuth'
Address or address_set (10.200.2.52/32) not found.
error: configuration check-out faile
系统报10.200.2.52/32未找到。定义地址本后再commit check,则不会报错了,如下所示:
netscreen@SRX3600# set security zones security-zone untrust address-book address 10.200.2.52/32 10.200.2.52/32
[edit]
netscreen@SRX3600# commit check
configuration check succeeds
[edit]
netscreen@SRX3600#