内网通过源地址的NAT上网,通常情况下,这个公网IP是防火墙的IP,即内网公网IP。这个IP默认情况下管理员为了便于管理,会打开http、https、ssh等端口。这样容易被外网的人猜测到密码。现采取以下措施:
开放系统的相关服务:
设置安全区的安全区Untrust接口ge-0/0/0.0主机的入站的交通系统服务的ssh
设置系统服务SSH
设置系统服务的telnet
设置系统服务网络的管理HTTP接口ge-0/0/3.0
设置系统服务网络的管理HTTPS系统生成的证书
设置系统服务网络的管理HTTPS接口ge-0/0/1.0
设置安全区的安全区的信任主机的入站流量系统的所有服务
设置安全区的安全区的信任主机的入站流量的所有协议
设置安全区的安全区的信任接口ge-0/0/1.0入站流量的主机系统服务DHCP
设置安全区的安全区的信任接口ge-0/0/1.0主机的入站的交通系统服务平
设置安全区的安全区的信任接口ge-0/0/1.0主机的入站的交通系统服务HTTP
设置安全区的安全区的信任接口ge-0/0/1.0入站流量的主机系统服务HTTPS
设置安全区的安全区的信任接口ge-0/0/1.0入站流量的主机系统服务SSH
现思路如下:
将该公网的ip的服务关闭,然后将防火墙内网IP的管理端口映射到其它公网的某个端口
删除安全区的安全区的untrust接口ge-0/0/0.0主机的入站的交通系统服务的ssh
/ * /建立元素
设置安全区的安全区的信任地址簿地址juniper2541 192.168.254.1/32
#建立NAT
设置安全的目标NAT池2541地址192.168.254.1/32
设置安全NAT目的地池2541地址端口22
设置安全NAT目的地的规则集1第2541匹配源地址0.0.0.0 / 0
设置安全NAT目的地的规则集1第2541匹配的目标地址113.106.95.x/32
NAT设置安全目标的规则集1规则2541匹配目标端口1055
NAT设置安全目标的规则集1规则2541然后目的地NAT池2541
#建立策略
设置安全策略区不可信区的信任策略yc2541匹配源地址的任何
设置安全策略从区的Untrust区的信任策略yc2541匹配的目标地址juniper2541
设置安全策略从区不可信区的信任策略yc2541匹配的应用juniper1055
设置安全策略,从区不可信区信托政策yc2541然后允许