Juniper 防火墙策略路由配置

防火墙基本配置步骤
防火墙的基本配置分三个步骤：
1、配置接口的IP地址和接口模式。

2、配置默认路由！
3、配置允许策略，TRUST到UNTRUST的策略！
这个是接口栏的截图：单击EDIT即可进行编辑！这里需要编辑trust口和untrust口！
这是点击trust口的edit后进入的配置界面，您只要输入IP地址和掩码位即可！注意：Manage ip* 对应的空白框一定不要填入内容，截图里的是自动生成的！其他保持默认，单击下面的OK即可完成！
下图是点击untrust口的edit进入编辑，选择static ip ,填入IP地址和掩码位，这里的IP是公网IP地址，manage ip那依然保持空白，模式为route,然后在service options选项栏中，将web ui,telnet,ping；三处打勾，如图！
然后点击OK即可完成！
点击左栏的Destination选项即可出现路由界面：新建点击NEW即可！
下图为点击NEW后出现的画面：如图填入内容，ip address/netmask填入0.0.0.0/0,
Next hop处选择gateway，在interface 处的下拉菜单中选择出口，gateway ip address填入UNTRUST口IP地址的下一跳网关即可！其他默认单击OK完成！
trust,TO处选择untrust，然后点击NEW！
点击new后的配置界面，如图配置即可！source address,destination address,service三处都选择ANY，action选permit, 在logging处打勾，其他保持默认，点击OK即可！
下图为蓝影标出的这条策略就是如上图配置完成后看到的结果！。

J u n i p e r防火墙H A配置详解_主从(L3路由模式)------------------------------------------作者xxxx------------------------------------------日期xxxxJuniper HA 主双（L3）路由模式配置实际环境中防火墙做主双是不太可能实现全互联结构，juniper防火墙标配都是4个物理以太网端口，全互联架构需要防火墙增加额外的以太网接口（这样会增加用户成本），或者在物理接口上使用子接口（这样配置的复杂性增加许多），最主要的是用户的网络中大多没有像全互联模式那样多的设备。

因此主双多数实现在相对冗余的网络环境中。

HAG 2/23G 2/1G 2/1G 2/23G 2/24G 2/24防火墙A上执行的命令set hostname ISG1000-Aset intset interface "ethernet1/4" zone "HA"set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority 10set nsrp vsd-group id 0 preemptset nsrp vsd-group id 0 monitor interface ethernet1/1 set nsrp vsd-group id 0 monitor interface ethernet1/2 set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 manage-ipset interface ethernet2 zone Untrustset .254/24set inter.1set interface eth1 manageset interface eth2 manage防火墙B上执行的命令set hostname ISG1000-Bset interface "ethernet1/4" zone "HA"set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority 100set nsrp vsd-group id 0 preemptset nsrp vsd-group id 0 monitor interface ethernet1/1 set nsrp vsd-group id 0 monitor interface ethernet1/2 set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 manage-ipset interface ethernet2 zone Untrustset interface ethernet2 manage-ip 172.16.1.2set interface eth1 manageset interface eth2 manage任意一个防火墙上执行的命令即可set policy id 2 from "Trust" to "Untrust" "Any" "Any" "ANY" permitset policy id 3 from "UnTrust" to "trust" "Any" "Any" "ANY" permit___________________________________________________________最后 A 和 B 都必须执行的命令exec nsrp sync global save。

Juniper 防火墙策略路由PBR配置手册目录一、网络拓扑图二、建立extended acl三、配置match group四、配置action group五、配置policy六、配置policy binding七、配置访问策略要求：1、默认路由走电信；2、源地址为192.168.1.10的pc访问电信1.0.0.0/8的地址，走电信，访问互联网走网通。

二、建立extended acl1、选择network---routing---pbr---extended acl list,点击new添加：Extended acl id:acl编号Sequence No：条目编号源地址：192.168.1.10/32目的地址：1.0.0.0/8Protocol：选择为any端口号选择为：1-65535点击ok2、点击add seg No.再建立一条同样的acl，但protocol为icmp，否则在trace route的时候仍然走默认路由:3、建立目的地址为0.0.0.0的acl：切记添加一条协议为icmp的acl，命令行：set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol icmp entry 20三、配置match group：1、network---routing---pbr---match group，点击add：Match group的作用就是关联acl按照同样的方法将两个acl 进行关联：命令行：set match-group name group_10set match-group group_10 ext-acl 10 match-entry 10 set match-group name group_20set match-group group_20 ext-acl 20 match-entry 10四、配置action group1、network---routing---pbr---action group，点击add：在这里指定下一跳接口和地址。

Juniper SSG—5(NS—5GT)防火墙配置手册初始化设置 (2)Internet网络设置 (6)一般策略设置 (16)VPN连接设置 (28)初始化设置1。

将防火墙设备通电，连接网线从防火墙e0\2口连接到电脑网卡.2.电脑本地连接设置静态IP地址，IP地址192。

168。

1。

2（在192.168。

1。

0/24都可以）,子网掩码255。

255.255。

0，默认网关192.168.1.1，如下图:3。

设置好IP地址后，测试连通，在命令行ping 192。

168.1.1，如下图：4.从IE浏览器登陆防火墙web页面，在地址栏输入192。

168。

1.1，如下图向导选择最下面No，skip--，然后点击下面的Next：5.在登录页面输入用户名，密码，初始均为netscreen，如下图：6。

登陆到web管理页面,选择Configuration – Date/Time，然后点击中间右上角Sync Clock With Client选项，如下图：7。

选择Interfaces – List，在页面中间点击bgroup0最右侧的Edit，如下图：8.此端口为Trust类型端口，建议IP设置选择Static IP,IP Address输入规划好的本地内网IP地址，如192。

168.22。

1/24，Manage IP 192。

168。

22。

1。

之后勾选Web UI,Telnet,SSH，SNMP，SSL，Ping。

如下图:Internet网络设置1.修改本地IP地址为本地内网IP地址，如下图：2.从IE浏览器打开防火墙web页面，输入用户名密码登陆，如下图：3。

选择Interfaces – List，点击页面中ethernet0/0最右侧的Edit选项，如下图：4。

此端口为Untrust类型端口，设置IP地址有以下三种方法：（根据ISP提供的网络服务类型选择）A．第一种设置IP地址是通过DHCP端获取IP地址，如下图：B．第二种设置IP地址的方法是通过PPPoE拨号连接获取IP，如下图，然后选择Create new pppoe setting,在如下图输入本地ADSL pppoe拨号账号,PPPoE Instance输入名称，Bound to Interface选择ethernet0/0，Username和Password输入ADSL账号密码，之后OK，如下图:PPPoE拨号设置完毕之后，点击Connect，如下图:回到Interface –List，可以看到此拨号连接的连接状态，如下图:ethernet0/0右侧PPPoE一栏有一个红叉，表示此连接已经设置但未连接成功，如连接成功会显示绿勾。

juniper Netscreen防火墙策略路由配置Netscreen-25 概述Juniper网络公司NetScreen-25和NetScreen-50是面向大企业分支办事处和远程办事处、以及中小企业的集成安全产品。

它们可提供网络周边安全解决方案，并带有多个DMZ和VPN，可以确保无线LAN的安全性，或保护内部网络的安全。

NetScreen-25设备可提供100 Mbps 的防火墙和20 Mbps的3DES或AES VPN性能，可支持32,000条并发会话和125条VPN 隧道。

NetScreen-50设备是高性能的集成安全产品，可提供170 Mbps的防火墙和45 Mbps 的3DES或AES VPN性能，可支持64,000条并发会话和500 条VPN隧道。

一、特性与优势NetScreen-25和NetScreen-50产品的主要特性和优势如下：集成的深层检测防火墙可以逐策略提供应用层攻击防护，以保护互联网协议安全；集成的Web过滤功能，可制订企业Web使用策略、提高整体生产率、并最大限度地减少因滥用企业资源而必须承担的赔偿责任；拒绝服务攻击防护功能，可抵御30多种不同的内外部攻击；高可用性功能，可最大限度地消除单点故障；动态路由支持，以减少对手工建立新路由的依赖性；冗余的VPN隧道和VPN监控，可缩短VPN连接的故障切换时间；虚拟路由器支持，可将内部、专用或重叠的IP地址映射到全新的IP地址，提供到最终目的地的备用路由，且不被公众看到；可定制的安全区，能够提高接口密度，无需增加硬件开销、降低策略制订成本、限制未授权用户接入与攻击、简化VPN管理；通过图形Web UI、CLI或NetScreen-Security Manager集中管理系统进行管理；基于策略的管理，用于进行集中的端到端生命周期管理；.二、技术规格Netscreen－25或Netscreen－50都有两种不同的许可选项（Advanced/Baseline），提供不同级别的功能和容量。

Juniper 防火墙v6.0以上版本 L2tpvpn (for XP Win7)配置图解防火墙端配置1、新建地址池Objects – IP Pools – NewIP Pool Name ：用户自定义名称Start IP ：用户自定义一段地址的起始地址End IP ：用户自定义一段地址的结束地址2、修改L2TP 默认设置VPNs – L2TP – Default Settings3、建立用户和组3.1 新建用户Objects – Users – Local -- New重复这个过程，建立多个用户3.2 新建用户组Objects – Users – Local Group -- New4、建立Vpn Tunnel建立tunnel前，先确定好用于拨入VPN的接口编号。

VPNs – L2TP – Tunnel -- New5、建立策略Policy – Policies – NewSource Address : 选择 Dial-UP VPNDestination Address : 选择 New Address ，填入你要访问的目的地址或目的地址段Service ：选择要访问的服务Action : 选择 tunnelL2TP ：选择新建的L2TP vpn tunnelLogging ：可选记录访问日志客户端配置1.1XP端配置1.1.1建立拨号网上邻居右键属性-点击新建连接向导图标点击完成，vpn拨号配置建立完，后面进行配置调整在新建的vpn连接上右键属性提示保留配置时选择Y1.1.2修改注册表点击开始—运行 --- 键入 regedit命令点击确定，进入注册表配置。

进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Paramete rs ，在右侧新建值命名为“ProhibitIpSec”注意大小写，数值为1修改完毕后重启计算机，进行vpn拨号测试用户名和密码栏中填入防火墙端配置的用户名和密码。

Juniper简单入门介绍-端口,静态路由,策略Juniper简单入门介绍（配置端口，静态路由，配置防火墙策略）登陆Juniper设备后，需输入edit或者configuration 命令进入系统配置模式Juniper 系统自带命令和变量可按“空格”键补齐Juniper 系统“用户自定义”变量可按TAB键补齐一、配置端口Juniper配置端口是基于物理端口下的逻辑端口进行配置，例如set interfaces ge-0/0/5 unit 0 family inet address 192.168.1.1 以上命令为ge-0/0/5口添加一个ip地址为192.168.1.1，其中unit为逻辑端口单元，范围0~16385，若再执行命令set interfaces ge-0/0/5 unit 1 family inet address 192.168.2.1 则ge-0/0/5现在有两个ip分别为192.168.1.1和192.168.2.1 以上命令也可以写成set interfaces ge-0/0/5.0 family inet address 192.168.1.1其中.0代表unit 0二、配置静态路由举例：现有网段125.39.91.240/28Juniper ge-0/0/0.0 设置ip为192.168.88.1set routing-options static route 0.0.0.0/0 next-hop 192.168.88.1其中0.0.0.0/0 表示任意目标地址，192.168.88.1为路由器直连网关。

再举例：让所有访问192.168.77.X的路由走192.168.99.1set routing-options static route 192.168.77.0/24 next-hop 192.168.99.1以上192.168.77段，掩码为24，而192.168.99.1为路由器直连网关。

juniper防火墙策略如何设置juniper防火墙策略设置好坏会直接影响我们，要怎么样设置呢?下面由店铺给你做出详细的juniper防火墙策略设置方法介绍!希望对你有帮助!juniper防火墙策略设置方法一：Juniper防火墙IPSec 的配置Juniper所有系列防火墙都支持IPSec ，其配置方式有多种，包括：基于策略的、基于路由的、集中星形和背靠背等。

在这里，我们主要介绍最常用的模式：基于策略的。

站点间(Site-to-Site)的是IPSec 的典型应用，这里我们介绍两种站点间基于策略的实现方式：站点两端都具备静态公网IP地址;站点两端其中一端具备静态公网IP地址，另一端动态公网IP地址。

4.1、站点间IPSec 配置：staic ip-to-staic ip当创建站点两端都具备静态IP的应用中，位于两端的防火墙上的配置基本相同，不同之处是在 gateway部分的网关指向IP不同，其它部分相同。

组网拓扑图：staic ip-to-staic ip4.1.1、使用Web浏览器方式配置① 登录防火墙设备，配置防火墙为三层部署模式;② 定义第一阶段的相关配置：s=>Autokey Adwanced=>Gateway配置 gateway部分，定义网关名称、定义“对端设备的公网IP地址”为本地设备的网关地址、定义预共享密钥、选择发起服务的物理端口;juniper防火墙策略设置方法二：1、确定一下从是否能PING通外网。

2、跟踪路由，看看网关在哪里。

说实话，网御神州带的SSL 很烂的，比起专业的SSL 产品象Juniper、Enlink、深信服这些差远啦。

juniper防火墙策略设置方法三：1、首先排除终端的问题，将甲电脑的防火墙关闭，测试是否可以ping通。

如果可以就下一步排查2、可以ping 通，故障解决。

ping不同的话，继续排查3、由于ping不同，排除了终端问题。

查看甲方的防火墙，查看策略和路由是否有问题。

关于Juniper 防火墙设备虚拟路由和策略路由的应用说明来源：作者：netscreen时间：01-03 06:09:20浏览：147【大中小】在Juniper防火墙设备的OS中，集成了虚拟路由和策略路由功能，在一般的情况下，这两个功能都很少使用，但是，在某些特殊的环境中就需要这两个功能的应用了。

虚拟路由在逻辑上，可以看做是一个独立的路由器，并有独立的路由列表。

在Juniper 防火墙的OS中，默认有两个虚拟路由：trust-vr和untrust-vr。

防火墙中的各种基于流量转发的安全区（ZONE），则默认工作在trust-vr中。

虚拟路由的功能在一些特殊的环境下，可以将一个独立的多端口防火墙，在逻辑上作为两台独立的防火墙使用（不启用虚拟系统：VSYS），则两个拥有独立路由列表的安全设备可以拥有各自独立的外网线路，并且，互相之间不受影响。

策略路由，在Juniper的防火墙中也被称为源地址路由，该路由的作用是：对内部地址外出访问互联网或其它网络时，进行外出线路选择。

策略路由一般的应用环境是：在防火墙设备实现多链路接入应用并有负载分配需求时，对内部网络IP地址的外出访问互联网时进行人为指定方式的外出链路选择。

策略路由的优先级别在默认的情况下为最高，所以在使用策略路由时，如果防火墙设备还定义了基于trust-vr 的DMZ区应用时，一定会受到策略路由优先的影响，从而导致对DMZ区访问的失败。

为了解决这个问题，则需要对防火墙的安全域进行调整，从而，应用到了另外一个虚拟路由：untrust-vr。

具体的实例说明：某客户的网络环境描述：电信和网通的两条专线连接，内部有若干台服务器，若干台内部办公计算机。

某客户的网络应用需求：1、服务器需要与内部办公网络进行隔离；2、内部办公网络中的计算机在访问互联网时，指定部分计算机强制使用网通线路，部分计算机强制使用电信线路。

3、实现访问控制。

仔细分析客户的网络环境和应用需求我们可以知道确定防火墙应用中的如下信息：1）防火墙设备要工作在三层的NAT/ROUTE模式下。

1、配置思路1）建立ZONE，规划接口，配置接口ip和静态路由2）定义策略地址（华南这里配置没有具体到对地址对象的分组，所以这一步这里省略）3）定义策略服务（先定义端口服务，然后完成VIP，MIP服务的定义）3）匹配策略5）恢复出厂配置（知道密码，不知密码的情况）6）配置导出与导入7）其他（添加用户，修改用户密码，同步）2、具体操作1）配置接口IP和静态路由第一步，通过IE登录到防火墙的WEBUI（ip为https://192.168.1.1）,选择跳过向导直接进入登录,输入用户密码（netscreen/netscreen）进入第二步、为接口匹配iP（Zones和接口都用系统默认的就够用了，这里只需为接口配相应的IP）进入Network>interfaces界面先编辑eth0/1 的地址：其中Management Services可根管理需求勾选，ping勾上接着编辑eth0/2的地址：这里Management Service 勾上Web UI、Telnet及SSH，Ping也勾上，这样方便以后通过外网来管理防火墙。

最后方法同上修改eth0/0的ip为所要设的IP （华南这里：172.31.11.1/24）,这里为方便管理Mangement Service全勾上。

配置完成后，防火墙会自动重启，这时需要重新修改本机的IP与防火墙的eth0/0接口的IP同网段(本机通过连接线连接在eth0/0口)第三步、添加静态路由进入Network > Routing > Destination界面，点击右上角的NEW来新建路由i)添加到internet的缺省路由目标网络：0.0.0.0 0.0.0.0 网关：202.105.115.201ii)同上方式添加一条连通DMZ与内、地区的路由（目标网络172.31.0.0/16 网关：172.31.11.2）iii）同上方式添加一条连通DMZ到总部的路由（目标网络172.17.0.0/16 网关：172.31.11.2）添加完成后如下图示2）定义策略地址（略）3）定义策略服务（先定义端口服务，然后完成VIP，MIP服务的定义）进入Policy > Policy Elements > Services > Custom界面来自定义服务端口第一步、对照之前准备的照服务端口映射表，统计需要定义的端口服务注：此图为端口服务映射表的部分统计的端口有：50000，22000,51000,4489,81,8080,7761,3389,139,4899,4200接着添加定义端口服务，点击右上角新建来定义端口，进入下面的界面：服务名设为端口号，目标端口号因为只有一个，范围的最小最大值都为端口号，这样就定义好了一个端口服务。

Juniper路由器配置详解第一章：Juniper路由器概述Juniper Networks是全球知名的网络设备供应商之一，其路由器产品以高性能和可靠性而闻名。

本章将介绍Juniper路由器的基本概念和架构。

首先将介绍Junos操作系统，然后探讨Juniper路由器的不同系列和型号。

第二章：Juniper路由器接口配置Juniper路由器的接口配置非常重要，它决定了如何连接路由器以及与其他设备进行通信。

本章将详细讨论接口类型、接口配置命令以及不同接口的特性和用途。

第三章：基本路由配置路由是网络中数据包传输的基础，对于Juniper路由器的配置来说非常重要。

本章将介绍如何配置静态路由和动态路由，包括OSPF和BGP等常用路由协议。

第四章：高级路由配置高级路由配置允许更复杂的路由策略和动态路由选择。

本章将讨论路由策略配置和路由过滤列表等高级路由功能，以及如何实现路由红istribution和路由聚合。

第五章：安全配置网络安全对于任何企业来说都是至关重要的。

本章将介绍如何配置Juniper路由器的安全功能，包括防火墙、虚拟私有网络（VPN）和安全策略等。

我们还将谈及如何使用Juniper安全套件提供的高级保护机制来保护网络。

第六章：QoS配置服务质量（QoS）是保证网络性能的重要因素之一。

本章将详细讨论如何使用Juniper路由器的QoS功能来管理带宽、优化流量和提供最佳用户体验。

第七章：管理配置管理配置是确保Juniper路由器正常运行的关键。

本章将讨论如何配置远程访问、系统日志和故障排除等管理功能。

我们还将介绍如何使用Junos Space网络管理平台来实现集中化管理和配置。

第八章：高可用性配置高可用性是企业网络的重要要求之一。

本章将介绍如何配置Juniper路由器的高可用性功能，包括冗余路由器、Virtual Chassis和Link Aggregation等。

我们还将讨论如何实现网络故障恢复和负载均衡。

Juniper防火墙简单配置说明Netscreen-25从左向右依次为Trust Interface、DMZ Interface、Untrust Interface、Null。

其中Trust Interface相当于HUB口，下行连接内部网络设备。

Untrust Interface相当于主机口，上行连接上公网的路由器等外部网关设备；两端口速率自适应（10M/100M）。

DMZ Interface、 Null介绍从略。

下文仅简单地以马可尼网管服务器和南瑞通信综合网管系统中一台前置机通信为例。

南瑞综合网管系统前置机地址为192.168.1.4，马可尼传输网管地址为192.168.0.32。

配置完成后，实现马可尼网管只能与192.168.1.4前置机通信，其他192.168.1.X机器都无法访问马可尼网管。

配置前的准备1.先更改控制终端(如果用自己笔记本调试自己笔记本就是控制终端)的IP地址为192.168.1.X，子网255.255.255.0控制终端通过直通网线与Trust Interface相连（也就是第一个口），用IE登录设备主页（最好用IE，其他浏览器可能会出现不兼容的状况）。

在地址栏里输入192.168.1.1。

出现下图：跳跃过初始化防火墙步骤. 选择第三行,点击next.输入缺省登陆帐号: netscreen 密码:netscreen登陆后出现主页面展开左边资源树，单击Interface后，出现下图界面。

首先配置ethernet1口（即第一个口）的IP和子网掩码。

单击上图ethernet1行中的Edit，出现下图：Netscreen-25防火墙默认第一个口为Trust区，即信任区。

选择Static IP输入ethernet1端口的配置地址192.168.1.243/24后点击Apply 后单击OK。

如果不点击OK，设备重启配置则无效。

用同样方法配置第三个口Untrust区，即非信任区。

设置IP为192.168.0.243/24设置完成后点击OK，保存设置。

（完整版）juniper策略路由做法Juniper策略路由做法环境：网关在交换机上，接口连接服务器，接口配置为2层接口。

要求特定的地址发出的包走特定的链路。

实现方法有两个，juniper技术工程师张强给的方案是在2层上做转发，小波哥的方案是把三层转发应用到vlan下。

张强：set interfaces xe-0/1/3 unit 0 family inet address 117.143.111.254/30 出口地址set interfaces vlan unit 3508 family inet address 115.239.254.49/28 PBL vlan地址set interfaces ge-0/0/5 unit 0 family ethernet-switching port-mode trunkset interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 2set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 3508 下联接口配置set firewall family ethernet-switching filter fil term 1 from source-address 115.239.254.48/28 创建2层数据流匹配set firewall family ethernet-switching filter fil term 1 then interface xe-0/1/3.0 创建2层数据流动作set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input 策略应用到接口这个方案在接口入方向匹配数据包，直接从接口扔出去。

Juniper防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：①基于TCP/IP协议三层的NAT模式；②基于TCP/IP协议三层的路由模式；③基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源IP 地址和源端口号。

防火墙使用Untrust 区（外网或者公网）接口的IP 地址替换始发端主机的源IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：①注册IP地址（公网IP地址）的数量不足；②内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet；③内部网络中有需要外显并对外提供服务的服务器。

2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。

①与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射IP (MIP) 和虚拟IP (VIP) 地址；②与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

路由模式应用的环境特征：①注册IP（公网IP地址）的数量较多；②非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；③防火墙完全在内网中部署应用。

2.3、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改IP 数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器，防火墙对于用户来说是透明的。

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。

使用透明模式有以下优点：①不需要修改现有网络规划及配置；②不需要为到达受保护服务器创建映射或虚拟IP 地址；③在防火墙的部署过程中，对防火墙的系统资源消耗最低。

Juniper防火墙基本配置1.将防火墙连入网络，网线连接防火墙Trust口。

将本机ip设置在192.168.1.0的网段，注意ip地址不能是192.168.1.1。

在本机IE地址栏中输入http://192.168.1.1/来访问防火墙，就可以看到如下的登陆界面了。

设备初始设定的用户名和密码都是netscreen。

2.设置防火墙的时间。

在【Configuration－Date/Time】中，点击“Sync Clock With Client”，可以让防火墙的时间和本机的时间一致；然后点击“Apply”让设置生效。

3.设置端口地址。

在【Network－Interfaces】中，可以看到防火墙各端口的ip设置。

点击Trust 同一行的“Edit”，就可以编辑Trust口的设置。

通常都会选择静态IP，就需要设置端口的ip地址、子网掩码（允许直接输入掩码的位数），再选好端口需要开启的服务。

设置完毕后，可以点击“OK”来完成设置，也可以点击“Apply”马上应用。

点击UnTrust 同一行的“Edit”，就可以编辑UnTrust口的设置。

如果选择静态IP，就设置端口的ip地址、子网掩码（允许直接输入掩码的位数）；防火墙端口还支持DHCP获得ip地址，或者通过PPOE拨号获得IP地址（ADSL就是使用这种方式的）；再选好端口需要开启的服务。

设置完毕后，可以点击“OK”来完成设置，也可以点击“Apply”马上应用。

4.设置默认路由。

在【Network－Routing－Routing Entries】中可以看到防火墙中路由的设置情况。

红框选中的为默认路由。

手动增加默认路由的方法：在【Network－Routing－Routing Entries】中，点击“New”，进入在【Network－Routing－Routing Entries－Configration】，设置地址、网关、接口，可以参照图中所示。

5.设置策略。

juniper防火墙简单配置（Juniper firewall simple configuration）取消重点保护使设置时钟的时区7设置时钟DST重复启动2 0 3日02:00结束平日1 0 11 02:00vrouter信任虚拟共享设置设置“不信任vrouter VR”出口集vrouter信任VR”设置自动路径导出出口集appleichat使ALG不appleichat重新装配使ALG集ALG SCTP使认证服务器设置“本地”ID 0认证服务器设置“本地”服务器名称“地方”认证服务器设置“本地”ID 1认证服务器设置“本地”服务器名称“地方”设置默认的认证服务器认证的“地方”设置认证RADIUS记帐端口1646设置管理员名称”txbfhq”设置管理员密码”npd4p / ryerllc51dfsub2fgt96d5on”设置管理访问尝试1集失败960管理员访问锁设置管理员认证网络超时0设置管理认证服务器的“本地”设置管理员认证远程根设置管理格式设置区的“信任”vrouter信任VR”设置区的“不信任”的vrouter信任VR”集区dmz vrouter信任VR”集区”vrouter VLAN”“信任VR”设置区的“不信任”的信任vrouter屯“VR”设置区的“信任”的TCP RST不带“不信任”的块不带“不信任”的TCP RST集区”管理”模块不带“V1信任“TCP RST不带“V1不信任”的TCP RST不带“DMZ”TCP RST不带“v1-dmz”TCP RST不带“VLAN”TCP RST设置区的“信任”屏幕IP欺骗基于区不带“不信任”的屏幕的泪滴不带“不信任”的屏幕SYN洪水不带“不信任”的屏幕平死不带“不信任”的屏幕的IP筛选器SRC 不带“不信任”的屏幕的土地设置区的“不信任”的屏幕区基于IP欺骗集区V1不信任”的屏幕的泪滴集区V1不信任”的屏幕SYN洪水集区V1不信任”的屏幕平死集区V1不信任”屏幕的IP筛选器SRC集区V1不信任”屏幕的土地集区dmz屏幕报警不降集区“DMZ”屏幕上的隧道集区dmz屏幕ICMP洪水集区dmz屏幕泛滥集区dmz屏幕WinNuke集区dmz屏幕端口扫描集区dmz屏幕IP扫描集区“DMZ”屏幕的泪滴集区dmz屏幕SYN洪水集区dmz屏幕IP欺骗集区dmz屏平死集区“DMZ”屏幕的IP筛选器SRC 集区“DMZ”屏幕的土地集区“DMZ”屏幕的SYN片段集区dmz屏幕TCP没有国旗集区dmz筛选未知协议集区dmz屏幕IP不坏的选择集区“DMZ”屏幕的IP记录路由集区“DMZ”屏幕选择IP时间戳集区dmz屏幕IP安全选择集区dmz屏幕IP松散的src路径集区dmz屏幕IP严格的src路径集区“DMZ”屏幕选择IP流集区dmz屏幕ICMP片段集区dmz ICMP大屏幕集区dmz屏幕同翅集区dmz屏翅无确认集区dmz屏幕限制会话的源IP集区dmz屏幕SYN ACK ACK代理集区dmz屏幕块碎片集区dmz屏幕限制会话的IP目标集区dmz屏幕组件块拉链集区dmz屏幕组件块罐集区dmz屏幕组件块EXE集区dmz屏幕组件阻止ActiveX集区dmz屏幕ICMP ID集区dmz屏幕TCP扫描集区dmz屏幕UDP扫描集区dmz屏幕IP欺骗下降RPF路由设置界面“Ethernet0 / 0区”“信任”设置界面“Ethernet0 / 1“区”非军事区”设置界面“Ethernet0 / 2区”“不信任”设置界面“Ethernet0 / 3“区”V1空”设置IP 10.0.3.9/24接口Ethernet0 / 0设置NAT接口Ethernet0 / 0设置接口VLAN1的IP设置IP 192.168.2.1/24接口Ethernet0 / 1 设置NAT接口Ethernet0 / 1设置IP 218.89.188.50/24接口Ethernet0 / 2 设置NAT接口Ethernet0 / 2设置接口VLAN1绕过其他IPSec设置接口VLAN1旁路非IP设置接口Ethernet0 / 0 IP管理设置接口Ethernet0 / 1 IP管理设置接口Ethernet0 / 2 IP管理设置接口Ethernet0 / 1管理SSH设置管理Telnet接口Ethernet0 / 1设置管理SNMP接口Ethernet0 / 1设置接口Ethernet0 / 1管理SSL设置接口Ethernet0 / 1管理网络设置接口Ethernet0 / 2管理平设置接口Ethernet0 / 2管理SSH设置管理Telnet接口Ethernet0 / 2设置管理SNMP接口Ethernet0 / 2设置接口Ethernet0 / 2管理SSL设置接口Ethernet0 / 2管理网络设置接口Ethernet0接口IP 8079 / 1 VIP“http”218.89.189.232设置接口Ethernet0接口IP 8080 / 1 VIP“http”218.89.188.50设置接口Ethernet0接口IP 8077 / 1 VIP“http”10.0.3.10设置接口Ethernet0接口IP 8078 / 1 VIP“http”10.0.3.9设置界面“Ethernet0 / 2“218.89.188.50主机子网掩码255.255.255.255 10.0.3.10 MIP VR”信任VR”设置流量没有TCP序列检查设置流SYN校验设置流TCP SYN位检查设置流量反向路径清晰的文本选择设置流量反向路由隧道总是设置默认的权限模式PKI SCEP“自动”设置默认路径部分PKI X509证书设置地址的“信任”“10.0.3.1 / 24“10.0.3.1 255.255.255.0设置地址的“信任”“218.89.189.1 / 24“218.89.189.1 255.255.255.0设置地址“DMZ”“123”192.168.2.3 255.255.255.255设置地址“DMZ”kbx”10.0.3.10 255.255.255.0设置地址“DMZ”oda1”1.2.1.8 255.255.255.255设置地址“DMZ”oda2”1.2.1.8 255.255.255.255设置用户“恒源祥”UID 3设置用户“恒源祥”型奥特湾设置用户“恒源祥”密码“rvx4ldt9nz8bftsee1cajiiyq + nq9j3hyq = =“设置用户“恒源祥”“启用”设置用户“DW”UID 4设置用户“DW”型奥特湾设置用户“DW”密码“jbbrzotvn7ma6ssjcacxvyrw9jnjo3uwmg = =“设置用户“DW”“启用”设置用户的“kbx UID 1设置用户的“kbx”型奥特湾设置用户的“kbx“密码”sbofmfycngvprksk1mcvhzgdovnjbjd5rq = =“设置用户的“kbx”“启用”设置密码策略出口设置IKE响应不良SPI 1集艾克IKEv2 IKE SA软寿命60撤消艾克ikeid枚举撤消艾克DOS保护设置访问会话启用IPSec集IPSec接入会话最大5000集IPSec接入会话上限0集IPSec接入会议门槛降低0集IPSec接入会话dead-p2-sa-timeout 0 设置IPSec接入会话日志错误设置IPSec接入会话信息交换连接设置IPSec接入会话使用错误日志设置“不信任vrouter VR”出口集vrouter信任VR”出口设置URL协议Websense出口将策略ID从“信任”设置为“信任”、“任何”、“任何”、“任何”允许日志。