Juniper防火墙简单配置说明.docVIP

Juniper防火墙简单配置说明 Netscreen-25从左向右依次为Trust Interface、DMZ Interface、Untrust Interface、Null。其中Trust Interface相当于HUB口，下行连接内部网络设备。Untrust Interface相当于主机口，上行连接上公网的路由器等外部网关设 备；两端口速率自适应（10M/100M）。DMZ Interface、 Null介绍从略。  下文仅简单地以马可尼网管服务器和南瑞通信综合网管系统中一台前置机通信为例。南瑞综合网管系统前置机地址为，马可尼传输网管地址为2。配置完成后，实现马可尼网管只能与前置机通信，其他192.168.1.X机器都无法访问马可尼网管。 配置前的准备 1.先更改控制终端(如果用自己笔记本调试自己笔记本就是控制终端)的IP地址为192.168.1.X ，子网 控制终端通过直通网线与Trust Interface相连（也就是第一个口），用IE登录设备主页（最好用IE，其他浏览器可能会出现不兼容的状况）。在地址栏里输入。出现下图： 跳跃过初始化防火墙步骤. 选择第三行,点击next. 输入缺省登陆帐号: netscreen 密码:netscreen 登陆后出现主页面 展开左边资源树，单击Interface后，出现下图界面。 首先配置ethernet1口（即第一个口）的IP和子网掩码。单击上图ethernet1行中的Edit，出现下图： Netscreen-25防火墙默认第一个口为Trust区，即信任区。 选择Static IP输入ethernet1端口的配置地址43/24后点击Apply后单击OK。如果不点击OK，设备重启配置则无效。 用同样方法配置第三个口Untrust区，即非信任区。设置IP为43/24 设置完成后点击OK，保存设置。 在此例中192.168.1.X是连接南瑞综合网管系统，所以端口一设置192.168.1.X网段的. 192.168.0.X是连接马可尼网管的，所以端口二设置成192.168.0.X网段的。由于防火墙具有一定的路由功能，可以实现不同网段之间的通信。（注意在配置端口时可以把Sevie Option项目里的Ping前打上勾，这样可以在完成配置后测试是否可以正常通信） 配置完Interface后进行防火墙的策略配置。 用IE按照前面方法登陆NetScreen，在配置界面上，点击左边树中的Policy。在右边会显示已有防火墙策略。如果是新防火墙则为空。 在界面上部选择两端区域，本例中选择TRUST TO UNTRUST，点击GO进行配置 在Name（optional）填入策略名称，随便填写。 在Source Address中选择New Address，填入/32。此例中为南瑞综合网管系统地址为的协议转换服务器的地址。这个意思就是只允许IP 地址为的主机通过防火墙访问另一个区域。（如果当选中Address Book 且选择了ANY 时所有机器都可以访问另一个区域。） 同样在Destination Address里填入2/32。此例中为马可尼MV36/38网管服务器地址。此操作实现马可尼网管只访问南瑞综合网管的一个地址，即前面设置的地址为的协议转换服务器。 如果要选择开放什么服务，可以在Service里选择诸如FTP等等服务，此例中开放所有服务，选择ANY。 添加完成后点击OK保存。出现下图，一次添加，可以添加策略2。 策略是按先后分配，先定义的规则级别高，后定义的规则级别低，当两个规则有冲突时，以满足先定义的规则为准。