Juniper-SSG-140

Web方式配置Juniper防火墙

本次调试Juniper防火墙采用的web方式，主要是配置了，接口地址、路由、新建区域、更改密码、添加用户、配置管理防火墙的地址、区域间策略。

一、配置接口地址、新建区域

1、点击network选项中的interface，里面有多个接口极其所属的区域。点击接口后面的edit编辑，右上角有NEW，可以新建接口。

2、这次E0/0口是Untrust区域，也就是外网口，地址暂时没有。里面有多种配置，下面的manager Server选项中，可以选择这个接口能起什么服务。

3、E0/1是Trust区域，是内网口，地址是172.16.7.18/29，下面的Management Server 也是用来提供各种接入服务的。

4、E0/2是Untrust2区域(这个区域是我新建的区域=>点击network选项中有一个zone选项，里面有个NEW，可以新建区域)，地址是11.20.6.254/29。

二、配置NAT(接口NAT)

1、配置接口NA T：外网口地址下面有个模式选项，有NA T模式和Route模式，外网口选择Route模式；内网口下面也是有NA T和Route两个选项，选择NA T模式。之后配置到各个网段的路由。

三、配置域间策略

1、策略配置是在policy里面配置，点击policy选项右面上方有选项，由于这个防火墙有Untrust、Untrust

2、Trust多个区域(我取消了DMZ区域)，所有的区域之间默认策略都是全部关闭的。需要哪个，开哪个。

2、创建T rust- Untrust区域策略

选择from中的Trust 到to 中的Untrust，点击New

进入策略选项

本次配置是允许Trust 区域中的11.20.2.0/24和11.20.3.0/24访问UnTrust 区域中的

124.128.232网络。下面选项中有个source address 中选择New address ， destination address

中也是选择New address ，下面的service 是选择服务。

3、创建T rust- Untrust2区域策略

选择from 中的Trust 到to 中的Untrust2，点击New 自定义策略名称 内网的所有地址可以访问外网的所有

开启LOG; 并把该策略置顶执行

本次配置是允许内网的11.20.2.0/24和11.20.3.0/24访问Untrust2区域

下面选项中有个source address 中选择New address ，destination address 中也是选择

New address ，下面的service 是选择服务。配置和上面差不多，就是源网络和目的网络不一样。

4、创建UnT rust2- T rust区域策略

选择from中的trust 到to 中的Untrust2，点击New

本次配置是允许Untrust2区域中的11.20.6.248/29地址访问安全区域中的10.1.2.0/24和10.1.3.0/24网络。下面选项中有个source address 中选择New address ，destination address 中也是选择New address ，下面的service 是选择服务。配置和上面差不多，就是源网络和目的网络不一样。

添加路由每2个区域间的所有访问控制列表最后都有一条Deny any，在配置拒绝条目的时候要注意。

5、配置区域间的规则，大概就是这样，无非是源目地址的变化，Service的变化。

四、配置路由

1、下图点击配置路由条目，右面的trus-vr是你往安全区域配置，还是非安全区域。然后点击New。

缺省路由配

选择外

网接口

防火墙互联

网网关地址

本次配置了多条路由条目是往Untrust2和Trust区域的，里面的IP address/network是配

置目标网络。下面的Next hop 是下一跳，选择Gateway ，然后选择接口ethernet0/1 。然后

配置地址（本次）172.16.7.18。然后点击OK就可以了。其它路由的配置类似。

五、新建帐号、修改密码、配置管理IP地址。

1、在configuration选项中的admin中有帐号，默认是netscreen 密码也是netscreen，进admin

后下面有个administrators选项，里面就是帐号密码。点击new是新建(必须用root帐号netscreen)，下面是选择权限，有只读和读写2种。

2、修改密码，帐号后面有个edit选项，然后输入旧密码，新密码，再次输入新密码。

3、配置管理IP地址，是administrators选项下面有个Manager IPS，里面可以添加能远程控

制防火墙的地址和网络，默认是没有，也就是全部地址都可以控制防火墙。

该选项最好配置完所有东西后再加。防止web无法配置墙。

Unset Admin Manager-ip 地址

这次配置的大概就这些东西，墙的主要配置就是策略了，Juniper的墙可以配置得很细。如

果你配置过程中导致网络不通，主要查看策略配置和路由配置时候正确，我有些问题也弄好

长时间，大家相互学习。