WEB界面配置Juniper-SSG-140的基本应用

Web方式配置Juniper防火墙一、配置接口地址、新建区域1、点击network选项中的interface，里面有多个接口极其所属的区域。点击接口后面的edit编辑，右上角有NEW，可以新建接口。2、这次E0/0口是Untrust区域，也就是外网口，地址暂时没有。里面有多种配置，下面的managerServer选项中，可以选择这个接口能起什么服务。3、E0/1是Trust区域，是内网口，地址是172.16.7.18/29，下面的ManagementServer也是用来提供各种接入服务的。4、E0/2是Untrust2区域(这个区域是我新建的区域=点击network选项中有一个zone选项，里面有个NEW，可以新建区域)，地址是11.20.6.254/29。二、配置NAT(接口NAT)1、配置接口NAT：外网口地址下面有个模式选项，有NAT模式和Route模式，外网口选择Route模式；内网口下面也是有NAT和Route两个选项，选择NAT模式。之后配置到各个网段的路由。三、配置域间策略1、策略配置是在policy里面配置，点击policy选项右面上方有选项，由于这个防火墙有Untrust、Untrust2、Trust多个区域(我取消了DMZ区域)，所有的区域之间默认策略都是全部关闭的。需要哪个，开哪个。2、创建Trust-Untrust区域策略选择from中的Trust到to中的Untrust，点击New进入策略选项本次配置是允许Trust区域中的11.20.2.0/24和11.20.3.0/24访问UnTrust区域中的124.128.232网络。下面选项中有个sourceaddress中选择Newaddress，destinationaddress中也是选择Newaddress，下面的service是选择服务。3、创建Trust-Untrust2区域策略选择from中的Trust到to中的Untrust2，点击New自定义策略名称内网的所有地址可以访问外网的所有地址开启LOG;并把该策略置顶执行本次配置是允许内网的11.20.2.0/24和11.20.3.0/24访问Untrust2区域下面选项中有个sourceaddress中选择Newaddress，destinationaddress中也是选择Newaddress，下面的service是选择服务。配置和上面差不多，就是源网络和目的网络不一样。4、创建UnTrust2-Trust区域策略选择from中的trust到to中的Untrust2，点击New本次配置是允许Untrust2区域中的11.20.6.248/29地址访问安全区域中的10.1.2.0/24和10.1.3.0/24网络。下面选项中有个sourceaddress中选择Newaddress，destinationaddress中也是选择Newaddress，下面的service是选择服务。配置和上面差不多，就是源网络和目的网络不一样。每2个区域间的所有访问控制列表最后都有一条Denyany，在配置拒绝条目的时候要注意。5、配置区域间的规则，大概就是这样，无非是源目地址的变化，Service的变化。四、配置路由1、下图点击配置路由条目，右面的trus-vr是你往安全区域配置，还是非安全区域。然后点击New。添加路由条目按键本次配置了多条路由条目是往Untrust2和Trust区域的，里面的IPaddress/network是配置目标网络。下面的Nexthop是下一跳，选择Gateway，然后选择接口ethernet0/1。然后配置地址（本次）172.16.7.18。然后点击OK就可以了。其它路由的配置类似。五、新建帐号、修改密码、配置管理IP地址。1、在configuration选项中的admin中有帐号，默认是netscreen密码也是netscreen，进admin后下面有个administrators选项，里面就是帐号密码。点击new是新建(必须用root帐号netscreen)，下面是选择权限，有只读和读写2种。2、修改密码，帐号后面有个edit选项，然后输入旧密码，新密码，再次输入新密码。3、配置管理IP地址，是administrators选项下面有个ManagerIPS，里面可以添加能远程控制防火墙的地址和网络，默认是没有，也就是全部地址都可以控制防火墙。该选项最好配置完所有东西后再加。防止web无法配置墙。UnsetAdminManager-ip地址这次配置的大概就这些东西，墙的主要配置就是策略了，Juniper的墙可以配置得很细。如果你配置过程中导致网络不通，主要查看策略配置和路由配置时候正确，我有些问题也弄好长时间，大家相互学习。缺省路由配置格式防火墙互联网网关地址选择外网接口