juniper防火墙配置.doc

1、配置思路 1）建立ZONE，规划接口，配置接口ip和静态路由 2）定义策略地址（华南这里配置没有具体到对地址对象的分组，所以这一步这里省略） 3）定义策略服务（先定义端口服务，然后完成VIP，MIP服务的定义） 匹配策略 5）恢复出厂配置（知道密码，不知密码的情况） 6）配置导出与导入 7）其他（添加用户，修改用户密码，同步） 2、具体操作 配置接口IP和静态路由 第一步，通过IE登录到防火墙的WEBUI （ip为）,选择跳过向导直接进入登录,输入用户密码（netscreen/netscreen）进入 第二步、为接口匹配iP（Zones和接口都用系统默认的就够用了，这里只需为接口配相应的IP） 进入Networkinterfaces界面 先编辑eth0/1 的地址： 其中Management Services 可根管理需求勾选，ping勾上 接着编辑eth0/2的地址： 这里Management Service 勾上Web UI 、Telnet及SSH，Ping也勾上，这样方便以后通过外网来管理防火墙。 最后方法同上修改eth0/0的ip为所要设的IP （华南这里：/24）,这里为方便管理Mangement Service 全勾上。 配置完成后，防火墙会自动重启，这时需要重新修改本机的IP与防火墙的eth0/0接口的IP同网段 (本机通过连接线连接在eth0/0口) 第三步、添加静态路由 进入Network??Routing??Destination 界面，点击右上角的NEW 来新建路由 i)添加到internet的缺省路由 目标网络： 网关：01 ii)同上方式添加一条连通DMZ与内、地区的路由（目标网络 /16 网关：） iii）同上方式添加一条连通DMZ到总部的路由（目标网络 /16 网关：） 添加完成后如下图示 2）定义策略地址（略） 3）定义策略服务（先定义端口服务，然后完成VIP，MIP服务的定义） 进入Policy Policy Elements Services Custom界面来自定义服务端口 第一步、对照之前准备的照服务端口映射表，统计需要定义的端口服务 注： 此图为端口服务映射表的部分 统计的端口有：50000，22000,51000,4489,81,8080,7761,3389,139,4899,4200 接着添加定义端口服务，点击右上角新建来定义端口 ，进入下面的界面： 服务名设为端口号，目标端口号因为只有一个，范围的最小最大值都为端口号，这样就定义好了一个端口服务。 用上面相同的操作，完成所有端口服务的添加。完成后如下图 第二步、参照端口服务映射表来把端口服务组合成映射所包含的服务组。如： 内网有两个端口服务映射给外网，这就可以把两个端口服务组合一起成一个服务组 具体操作：进入Policy Policy Elements Services Groups界面，点击右上角的NEW来新建服务组： 图注：为了方便下面策略配置服务，将组名设为含有对应的外网地址。从右边框中选择所需的端口服务，添加进服务组。 按照上面相似的操作，对应端口服务映射表，完成所有服务组的定义，完成如下： 另外，考虑到内网到DMZ的访问，这里需要建一个DMZ的服务组,服务组名字：DMZ_Service，然后，将DMZ区服务器的所有开放端口添加。 第三步、根据内网到外网映射服务的多对一，参照端口服务映射表在外网接口eth0/2 上来定义VIP服务。 进入Network Interfaces Edit （ethernet0/2） VIP/VIP Services界面 如图，在Vitual IP Address 中输入服务器端口服务映射表中统计的外网地址，点击添加，完成一个输入，依次将所有映射的外网地址输入。接着点击右上角的NEW VIP Service来定义VIP服务 图注：Virtual IP 中通过下列框选择映射出的外网IP，Map to Service 中的下列框中选择映射出的端口服务，Map to IP 输入对应内网地址 按照上述相似操作完成端口服务映射表的所有VIP 服务，完成后如下图 第四步，根据管理需求，也可定义一对一的映射也即MIP服务，将内网某个网络设备或服务器的访问映射出去 进入Network Interfaces Edit（ethernet0/2） MIP 界面，点击右上角的NEW新建MIP服务 为方便管理华南这边就内网中路由的telnet服务，以及一台服务器映射出去