Juniper SRX 650的内部流量

Question

我想知道如果所有设备都来自内部网络范围，Juniper默认是否允许所有源端口和目标端口。

对于例如，Src-10.10.x.x SrcPrt-任何Des-10.20.x.x DesPrt-23都是默认允许的，或者我们需要ACL策略来允许Juniper SRX系列防火墙中的通信量。

Answer 1

根据Juniper，您实际上可以通过以下方法检查默认值：

1. 以根用户身份登录并提供凭据。
2. 在shell模式下，导航到/etc/config文件夹。(% cd /etc/config)
3. 使用ls列出哪些文件是可用的，应该有类似于are 650-facy.conf或are 650-defaults.conf的内容。
4. 使用vi文件名查看内容

从硬650服务网关硬件指南中采取的步骤，如果有疑问，也可以看到上述步骤的示例。

系统默认安全

拒绝所有过境运输。

默认情况下，Junos OS拒绝通过SRX系列设备进行所有通信。事实上，存在拒绝所有数据包的隐式默认安全策略。您可以通过配置允许某些类型流量的标准安全策略，或者通过配置默认策略以允许所有通信量来更改此行为。

工厂默认安全策略

对信任许可信任，对不信任许可信任，对拒绝信任不信任

1. 信任-信任区域策略:允许信任区域内的所有区域内通信；
2. 信任到不信任区域策略:允许从信任区域到不信任区域的所有通信量；以及
3. 不信任区域策略:拒绝从不信任区域到信任区域的所有通信量。

*引用JNCIS-SEC研究指南-第1部分，第3章:安全政策