1.4Juniper防火墙路由模式

防火墙基本配置步骤
防火墙的基本配置分三个步骤：
1、配置接口的IP地址和接口模式。

2、配置默认路由！
3、配置允许策略，TRUST到UNTRUST的策略！
这个是接口栏的截图：单击EDIT即可进行编辑！这里需要编辑trust口和untrust口！
这是点击trust口的edit后进入的配置界面，您只要输入IP地址和掩码位即可！注意：Manage ip* 对应的空白框一定不要填入内容，截图里的是自动生成的！其他保持默认，单击下面的OK即可完成！
下图是点击untrust口的edit进入编辑，选择static ip ,填入IP地址和掩码位，这里的IP是公网IP地址，manage ip那依然保持空白，模式为route,然后在service options选项栏中，将web ui,telnet,ping；三处打勾，如图！
然后点击OK即可完成！
点击左栏的Destination选项即可出现路由界面：新建点击NEW即可！
下图为点击NEW后出现的画面：如图填入内容，ip address/netmask填入0.0.0.0/0,
Next hop处选择gateway，在interface 处的下拉菜单中选择出口，gateway ip address填入UNTRUST口IP地址的下一跳网关即可！其他默认单击OK完成！
trust,TO处选择untrust，然后点击NEW！
点击new后的配置界面，如图配置即可！source address,destination address,service三处都选择ANY，action选permit, 在logging处打勾，其他保持默认，点击OK即可！
下图为蓝影标出的这条策略就是如上图配置完成后看到的结果！。

Juniper 防火墙的多路由共享方案●问题的提出在企业网维护实践中，常常遇到用户外网接口故障，导致用户邮件等业务中断，严重影响用户工作。

解决此类问题的方法是多运营商网络接口。

当一个接口故障时其它接口能保证用户业务正常运行。

●解决方案1.如何在防火墙上配置使用这些接口，首先想到的是首选路由/二选路由方案。

当首选路由故障后，使用二选路由。

路由数据示例如下：ID IP-Prefix Interface Gateway P Pref Mtr Vsys* 8 0.0.0.0/0 ethernet3 1.1.1.250 C 0 1 Root9 0.0.0.0/0 ethernet2 2.2.2.250 S 20 1 Root该方案的缺陷是不能充放利用多个运用商提供的带宽，二选路由只能在首选路由故障后才能使用。

2.使用等价多径路由EQUAL COST MULTIPATH ROUTING，正常情况下两个路由均衡负荷外网流量，充分利用现有的带宽资源。

Juniper Netscreen ECMP配置注意点：✓ScreenOS 5.1版本以上支持✓两条路由需具有相同的优先级和Metric值，两条路由的出接口需在同一安全区段。

✓配置的两条同一目标路由在路由表中有效（*号）。

✓启用ECMP功能路由数据示例如下：ID IP-Prefix Interface Gateway P Pref Mtr Vsys * 8 0.0.0.0/0 ethernet3 1.1.1.250 C 0 1 Root * 9 0.0.0.0/0 ethernet2 2.2.2.250 S 0 1 Root具体实施如下✓打开EQUAL COST MULTIPATH ROUTING功能✓设置静态路由的preference值为0（与连接路由的preference值相同）✓设置静态路由，保证两个共享的路由有相同的metricset route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 metric 1set route 0.0.0.0/0 interface ethernet4 gateway 2.2.2.250 metric 1。

Juniper 网络安全防火墙设备快速安装手册目录1、前言 (4)1.1 、J UNIPER防火墙配置概述 (4)1.2 、J UNIPER防火墙管理配置的基本信息 (4)1.3 、J UNIPER防火墙的常用功能 (5)2、JUNIPER防火墙三种部署模式及基本配置 (6)2.1 、NAT模式 (6)2.2 、R OUTE-路由模式 (7)2.3 、透明模式 (8)2.4 、基于向导方式的NAT/R OUTE模式下的基本配置 (8)2.5 、基于非向导方式的NAT/R OUTE模式下的基本配置 (17)2.5.1 、NS-5GT NAT/Route模式下的基本配置 (18)2.5.2 、NS-25-208 NAT/Route模式下的基本配置 (19)2.6 、基于非向导方式的透明模式下的基本配置 (20)3、JUNIPER防火墙几种常用功能的配置 (21)3.1 、MIP的配置 (21)3.1.1 、使用Web浏览器方式配置MIP (22)3.1.2 、使用命令行方式配置MIP (24)3.2 、VIP的配置 (24)3.2.1 、使用Web浏览器方式配置VIP (25)3.2.2 、使用命令行方式配置VIP (26)3.3 、DIP的配置 (27)3.3.1 、使用Web浏览器方式配置DIP (27)3.3.2 、使用命令行方式配置DIP (29)4、JUNIPER防火墙IPSEC VPN的配置 (29)4.1 、站点间IPS EC VPN配置：STAIC IP-TO-STAIC IP (29)4.1.1 、使用Web浏览器方式配置 (30)4.1.2 、使用命令行方式配置 (34)4.2 、站点间IPS EC VPN配置：STAIC IP-TO-DYNAMIC IP (36)4.2.1 、使用Web浏览器方式配置 (37)4.2.1、使用命令行方式配置 (40)5、JUNIPER中低端防火墙的UTM功能配置 (42)5.1 、防病毒功能的设置 (43)5.1.1 、Scan Manager的设置 (43)5.1.2 、Profile的设置 (44)5.1.3 、防病毒profile在安全策略中的引用 (46)5.2 、防垃圾邮件功能的设置 (48)5.2.1 、Action 设置 (49)5.2.2 、White List与Black List的设置 (49)5.2.3 、防垃圾邮件功能的引用 (51)5.3 、WEB/URL过滤功能的设置 (51)5.3.1 、转发URL过滤请求到外置URL过滤服务器 (51)5.3.2 、使用内置的URL过滤引擎进行URL过滤 (53)5.3.3 、手动添加过滤项 (54)5.4 、深层检测功能的设置 (58)5.4.1 、设置DI攻击特征库自动更新 (58)5.4.2 、深层检测（DI）的引用 (59)6、JUNIPER防火墙的HA（高可用性）配置 (61)6.1 、使用W EB浏览器方式配置 (62)6.2 、使用命令行方式配置 (64)7、JUNIPER防火墙一些实用工具 (65)7.1 、防火墙配置文件的导出和导入 (65)7.1.1 、配置文件的导出 (66)7.1.2 、配置文件的导入 (66)7.2 、防火墙软件（S CREEN OS）更新 (67)7.3 、防火墙恢复密码及出厂配置的方法 (68)8、JUNIPER防火墙的一些概念 (68)1、前言我们制作本安装手册的目的是使初次接触Juniper 网络安全防火墙设备（在本安装手册中简称为“Junip er防火墙”）的工程技术人员，可以通过此安装手册完成对Juniper防火墙基本功能的实现和应用。

juniper防火墙详细配置手册Juniper防火墙简明实用手册（版本号：V1.0）目录1juniper中文参考手册重点章节导读 (4)1.1第二卷：基本原理41.1.1第一章：ScreenOS 体系结构41.1.2第二章：路由表和静态路由41.1.3第三章：区段41.1.4第四章：接口41.1.5第五章：接口模式51.1.6第六章：为策略构建块51.1.7第七章：策略51.1.8第八章：地址转换51.1.9第十一章：系统参数61.2第三卷：管理61.2.1第一章：管理61.2.2监控NetScreen 设备61.3第八卷：高可用性61.3.1...................................................... NSRP61.3.2故障切换72Juniper防火墙初始化配置和操纵 (8)3查看系统概要信息 (9)4主菜单常用配置选项导航 (10)5Configration配置菜单 (11)5.1Date/Time:日期和时间115.2Update更新系统镜像和配置文件125.2.1更新ScreenOS系统镜像125.2.2更新config file配置文件135.3Admin管理155.3.1Administrators管理员账户管理155.3.2Permitted IPs：允许哪些主机可以对防火墙进行管理166Networks配置菜单 (17)6.1Zone安全区176.2Interfaces接口配置196.2.1查看接口状态的概要信息196.2.2设置interface接口的基本信息196.2.3设置地址转换216.2.4设置接口Secondary IP地址256.3Routing路由设置266.3.1查看防火墙路由表设置266.3.2创建新的路由条目277Policy策略设置 (28)7.1查看目前策略设置287.2创建策略298对象Object设置 (31)9策略Policy报告Report (33)1juniper中文参考手册重点章节导读版本：Juniper防火墙5.0中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

Juniper防火墙三种部署模式及基本配置Juniper防火墙三种部署模式及基本配置文章摘要: Juniper防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：基于TCP/IP协议三层的NAT模式；基于TCP/IP协议三层的路由模式；基于二层协议的透明模式。

1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往...Juniper防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：基于TCP/IP协议三层的NAT模式；基于TCP/IP协议三层的路由模式；基于二层协议的透明模式。

1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往 Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源 IP 地址和源端口号。

防火墙使用 Untrust 区（外网或者公网）接口的 IP 地址替换始发端主机的源IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：注册IP地址（公网IP地址）的数量不足；内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet；内部网络中有需要外显并对外提供服务的服务器。

2、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变（除非明确采用了地址翻译策略）。

与NAT模式下不同，防火墙接口都处于路由模式时，防火墙不会自动实施地址翻译；与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

路由模式应用的环境特征：防火墙完全在内网中部署应用；NAT模式下的所有环境；需要复杂的地址翻译。

3、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改 IP数据包包头中的任何信息。

Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（内网端口）处于NAT模式时，防火墙Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源IP 地址和源端口号。

防火墙使用Untrust 区（外网或者公网）接口的IP 地址替换始发端主机的源IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：① 注册IP地址（公网IP地址）的数量不足；2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。

① 与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射IP (MIP)和虚拟IP (VIP)地址；② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

路由模式应用的环境特征：① 注册IP（公网IP地址）的数量较多；② 非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；③ 防火墙完全在内网中部署应用。

2.3、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改IP数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN 的2层交换机或者桥接器，防火墙对于用户来说是透明的。