Приветствую и извиняюсь за мой английский.
Я устанавливаю фильтры брандмауэра на нескольких устройствах Juniper SRX3xx под управлением Junos 15.1X49. На самом деле я пытаюсь свести к минимуму мой будущий ручной труд на случай, если мне понадобится перенастроить некоторые правила. На Cisco ASA ответ прост: используйте объекты вместо реальных IP-адресов. В случае, если вам нужно изменить IP-адрес какого-либо сервера, следует изменить только объект, представляющий его, а все связанные правила остаются нетронутыми.
У Junos есть адресные книги (адресная книга безопасности ...), которые служат аналогичной цели, за исключением того, что они не применимы (?!) К правилам брандмауэра (брандмауэр ... фильтр ... термин ...). Он также имеет списки префиксов (список-префиксов параметров политики ...), которые теоретически могут использоваться в правилах брандмауэра (брандмауэр ... фильтр ... термин ... из списка-префиксов источника ...). Странно иметь два набора объектов, представляющих одинаковые IP-адреса, но я могу с этим жить. Однако списки префиксов кажутся намного больше, чем просто определения некоторых объектов для использования в других местах. Или я должен сказать совсем не те определения объектов, которые мне нужны? К сожалению, эта тема в документации Juniper довольно неясна, что в большинстве других случаев превосходно.
Итак, мой вопрос: как типичный администратор Junos организует свои правила брандмауэра? Должны ли быть правила с явными IP-адресами, а затем вы редактируете их в течение нескольких часов, когда вам нужно изменить один адрес? Или можно широко использовать списки префиксов в правилах брандмауэра? А может я что-то упускаю?