Juniper防火墙新手教程.docVIP

在Juniper防火墙中策略是非常重要的一部分，一台防火墙能实现什么功能，以及这台防火墙是否安全都和防火墙策略有最直接的关系。防火墙的许多功能都是通过策略来实现的，灵活应用防火墙的策略可以让你能实现许多意想不到的功能，只有把防火墙的策略用好了，才能使防火墙真正起到作用。 要学习防火墙策略首先要了解一下防火墙的策略元素，也就是说防火墙可以管一些什么，可以调用一些什么东西。 根据Juniper防火墙的ScreenOS版本不同，防火墙的策略元素所在的位置也不大一样，不过配置都是一样的。 Firmware Version:?5.4.0r3a.0 (Firewall+VPN) ? 这是一台SSG-5的防火墙，ScreenOS的版本是5.0版的，策略元素单独列了一个列表“objects” Firmware Version:?6.1.0r5a.0 (Firewall+VPN) ? 这是一台ssg-140的防火墙，ScreenOS的版本是6.0的新版，策略元素被整合到了策略栏目下。 知道了策略元素所在的位置，下面就看看策略元素都有些什么内容。 地址元素 在Policy Policy Elements Addresses List 界面 在地址元素中也有分类，上面的截图是Trust地址内容，在每个zone下都可以定义地址。 点击右上角的“new”，可以自定义地址 address name 给你定义的地址起个名字，方便以后调用。 在下面可以输入ip地址及掩码，Juniper不支持类似192.168.1.1-192.168.1.10这样的定义方法，只能定义一个ip或者一个网段。 另外还可以支持直接输入域名，前提条件是在Juniper防火墙中设置过DNS，不然防火墙无法解析域名IP。 定义好地址之后，还可以设置一些地址组，将多个地址定义为一个组，方便设置策略的时候调用，如下图经qq服务器定义为一个名为“qq server”的地址组。 在 Policy Policy Elements Addresses Summary 界面下可以看到你防火墙所有zone定义的地址概况。 服务元素 所谓的服务元素，在Juniper防火墙上是根据端口号来定义服务的。 在 Policy Policy Elements Services Predefined 界面下可以看到防火墙预定义的一些服务。 当然你也可以自定义一些预定义里没有的服务，在 Policy Policy Elements Services Custom? 下点击 “new” 时间元素 在 Policy Policy Elements Schedules 下可以定义时间元素，点击右上角的“new”新建事件元素 另外还可以定义Traffic Shaping 及 DIP ，这里先不做介绍。 总结一下，Juniper防火墙的策略元素主要是ip地址，服务（端口）以及时间三个主要元素，防火墙策略通过对这三个元素的管理来实现防火墙的主要功能。