juniper防火墙配置Word文档下载推荐.docx

1、第二步、为接口匹配iP（Zones和接口都用系统默认的就够用了，这里只需为接口配相应的IP）进入Networkinterfaces界面 先编辑eth0/1 的地址：其中Management Services 可根管理需求勾选，ping勾上接着编辑eth0/2的地址：这里Management Service 勾上Web UI 、Telnet及SSH，Ping也勾上，这样方便以后通过外网来管理防火墙。最后方法同上修改eth0/0的ip为所要设的IP （华南这里：172.31.11.1/24）,这里为方便管理Mangement Service 全勾上。配置完成后，防火墙会自动重启，这时需要重新修改本

2、机的IP与防火墙的eth0/0接口的IP同网段 （本机通过连接线连接在eth0/0口）第三步、添加静态路由进入NetworkRoutingDestination 界面，点击右上角的NEW 来新建路由i）添加到internet的缺省路由 目标网络：0.0.0.0 0.0.0.0 网关：202.105.115.201ii）同上方式添加一条连通DMZ与内、地区的路由（目标网络 172.31.0.0/16 网关：172.31.11.2）iii）同上方式添加一条连通DMZ到总部的路由（目标网络 172.17.0.0/16 网关：添加完成后如下图示2）定义策略地址（略）进入Policy Policy El

3、ements Services Custom界面来自定义服务端口第一步、对照之前准备的照服务端口映射表，统计需要定义的端口服务 注： 此图为端口服务映射表的部分统计的端口有：50000，22000,51000,4489,81,8080,7761,3389,139,4899,4200接着添加定义端口服务，点击右上角新建来定义端口 ，进入下面的界面：服务名设为端口号，目标端口号因为只有一个，范围的最小最大值都为端口号，这样就定义好了一个端口服务。 用上面相同的操作，完成所有端口服务的添加。完成后如下图第二步、参照端口服务映射表来把端口服务组合成映射所包含的服务组。如：内网有两个端口服务映射给外网，

4、这就可以把两个端口服务组合一起成一个服务组具体操作： Groups界面，点击右上角的NEW来新建服务组： 图注：为了方便下面策略配置服务，将组名设为含有对应的外网地址。从右边框中选择所需的端口服务，添加进服务组。按照上面相似的操作，对应端口服务映射表，完成所有服务组的定义，完成如下：另外，考虑到内网到DMZ的访问，这里需要建一个DMZ的服务组,服务组名字：DMZ_Service，然后，将DMZ区服务器的所有开放端口添加。第三步、根据内网到外网映射服务的多对一，参照端口服务映射表在外网接口eth0/2上来定义VIP服务。 进入Network Interfaces Edit （ethernet0/

5、2） VIP/VIP Services界面如图，在Vitual IP Address 中输入服务器端口服务映射表中统计的外网地址，点击添加，完成一个输入，依次将所有映射的外网地址输入。接着点击右上角的NEW VIP Service来定义VIP服务Virtual IP 中通过下列框选择映射出的外网IP，Map to Service 中的下列框中选择映射出的端口服务，Map to IP 输入对应内网地址按照上述相似操作完成端口服务映射表的所有VIP 服务，完成后如下图第四步，根据管理需求，也可定义一对一的映射也即MIP服务，将内网某个网络设备或服务器的访问映射出去进入Network Edit（et

6、hernet0/2） MIP 界面，点击右上角的NEW新建MIP服务 为方便管理华南这边就内网中路由的telnet服务，以及一台服务器映射出去。5）匹配策略进入 Policy Policies界面，点击右上角的NEW新建策略i）From Trust To Untrust内网访问internet，因 据华南网络拓扑图知，内网是不会通过防火墙访问internet的，所以，这里的策略应该不起什么作用。若内网需要访问外网，一般都是所有的ip和服务都放行。ii）From Trust To DMZ 将DMZ的所有开放的服务（包含在之前定义的DMZ_Service 服务组中）允许Trust 用户应用图注：这

7、里源地址和目标地址都选择any，service选择应该选DMZ_Service，但应之前DMZ_Service漏加ping服务，所以点击Multiple，定义为DMZ_Servcie加上ping 。完成后：iii）From DMZ To trust 所有DMZ的用户都可访问trust区其他网络设备。 源IP :any 目标IP:any Service:any Action: permitiv）From DMZ TO Untrust所有DMZ的网络设备都可正常访问internet，但需要将源地址NAT映射，这里直接通过外网接口转换。只需在正常设置后，进入Advanced，勾上源地址转换，选择使用

8、接口地址即可V）From Untrust To Trust华南这里分别将trust区的路由的f0/0/1的地址的telnet服务通过MIP的方式以及一个内网地址172.31.0.7映射出去。操作如下完成后如下：Action显蓝色，说明做了地址转换Vi）From Untrust To DMZ DMZ服务器所有开放的端口服务，华南这里主要是以VIP的方式Vip服务的策略添加如下图：目的地址选上VIP，service则选择对应的服务组5）恢复出厂配置 操作准备：一条反转线，接路由Console口，另一端通过网卡串口转usb转换器连到PC上，然后通过pc的超级终端进行登录。超级终端：在PC机上 开始程

9、序附件通讯超级终端新建连接名称自定义，连接时使用选择通讯端口（通讯端口可通过PC的设备管理器中端口中查看到USB Serial Port），端口属性还原为默认值，确定进入编辑窗口，双击Entre，进入编辑。i）知道用户密码的情况：在超级终端窗口按提示输入用户名和密码输入get int 可查看接口的ip输入get config 可查看已有的配置清除配置，还原出厂配置如下操作：unset all /清除配置reset /重启系统 ii）不知道密码的情况下： 记录下防火墙的序列号（又称Serial Number，在防火墙机身上面可找到） 记录下来的序列号作为登录的用户名/密码，进入控制台输入用户/密

10、码，接着方法同上。 6）配置的导出与导入进入Configuration Update Config File界面i）配置文件的导出点选：Save to file，将当前的防火墙设备的配置文件导出为一个无后缀名的可编辑文本文件。（CLI方式的配置文件导出：ns208- save config from flash to tftp IP 用户名.cfg ）ii）配置文件的导入1、点选：Merge to Current Configuration，覆盖当前配置并保留不同之处；2、点选：Replace Current Configuration 替换当前配置文件。（CLI方式配置文件的导入： save config from tftp IP 文件名.cfg to flash /恢复到flash或者ns208-save config from tftp IP 文件名.cfg merge /恢复到RAM）7）其他i）进入Configuration Admin Administrators 界面在local Administrator Database 中可Edit用户信息ii）进入Configuration Date/Time 界面，点击右上角的 Sync Clock with Client,可实现系统时间的同步