juniper防火墙基于源地址路由配置步骤

Juniper SSG-5（NS-5GT）防火墙配置手册一样策略设置1．第一能够指定IP地址，依照IP地址作策略，选择Policy – Policy Elements – Addresses – List，然后在中间页面选择Trust，然后点击New，如以下图：2．在Address Name为指定IP地址设置识别名称，然后在下面输入具体IP，如以下图：3．设置以后如以下图：4．再设置一个指定IP地址，如以下图：5．设置以后两个都能够显示出来，如以下图：6．设置多个指定IP组，选择Policy – Policy Elements – Addresses – Groups，如以下图：中间页面的Zone选择Trust，点击右边的New。

7．为此IP组起识别名称，下面将需要加入组的IP添加到组里，点OK，如以下图：8．依照需求能够自概念效劳，选择Policy – Policy Elements – Services – Customs，如以下图：点击右边New9．输入此自概念效劳的识别名称，然后下面能够选择效劳类型和效劳端口，如以下图：10．设置完以后如以下图：11．定制多个效劳组，选择Policy – Policy Elements – Services – Groups，点击页面中间右边的New，如以下图：12．为此定制效劳组设置识别名称，将需要的效劳添加进入，点击OK。

13．设置完成以后如以下图：14．策略设置，此处能够直接利用之前设置的指定IP地址（组），自概念效劳（组）。

选择Policy – Polices，如以下图：选择From Untrust to Trust（可依照需要修改），点击右边New，15．如也能够设置From Trust to Untrust，如以下图：16．策略设置页面如以下图，设置名称，选择源地址和目的地址，效劳类型等，最后选择许诺仍是拒绝。

17．设置以后如以下图：18．也能够设置一个全拒绝的策略，如以下图：19．设置以后如以下图：20．能够点击ID为1的策略右边的双箭头符号，显现脚本提示点确信，21．如此能够把ID为1的策略放到下面，如以下图策略含义为从Trust口到Untrust口的流量中，来自IT 组的IP地址到任意目的地，效劳类型属于CTG-APP中的流量许诺通过，其他所有流量都拒绝。

防⽕墙三种部署模式及基本配置防⽕墙三种部署模式及基本配置Juniper防⽕墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：①基于TCP/IP协议三层的NAT模式；②基于TCP/IP协议三层的路由模式；③基于⼆层协议的透明模式。

2.1、NAT模式当Juniper防⽕墙⼊⼝接⼝（“内⽹端⼝”）处于NAT模式时，防⽕墙将通往Untrust 区（外⽹或者公⽹）的IP 数据包包头中的两个组件进⾏转换：源 IP 地址和源端⼝号。

防⽕墙使⽤ Untrust 区（外⽹或者公⽹）接⼝的 IP 地址替换始发端主机的源IP 地址；同时使⽤由防⽕墙⽣成的任意端⼝号替换源端⼝号。

NAT模式应⽤的环境特征：①注册IP地址（公⽹IP地址）的数量不⾜；②内部⽹络使⽤⼤量的⾮注册IP地址（私⽹IP地址）需要合法访问Internet；③内部⽹络中有需要外显并对外提供服务的服务器。

2.2、Route-路由模式当Juniper防⽕墙接⼝配置为路由模式时，防⽕墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端⼝号保持不变。

①与NAT模式下不同，防⽕墙接⼝都处于路由模式时，不需要为了允许⼊站数据流到达某个主机⽽建⽴映射 IP (MIP) 和虚拟IP (VIP) 地址；②与透明模式下不同，当防⽕墙接⼝都处于路由模式时，其所有接⼝都处于不同的⼦⽹中。

路由模式应⽤的环境特征：①注册IP（公⽹IP地址）的数量较多；②⾮注册IP地址（私⽹IP地址）的数量与注册IP地址（公⽹IP地址）的数量相当；③防⽕墙完全在内⽹中部署应⽤。

2.3、透明模式当Juniper防⽕墙接⼝处于“透明”模式时，防⽕墙将过滤通过的IP数据包，但不会修改 IP数据包包头中的任何信息。

防⽕墙的作⽤更像是处于同⼀VLAN 的2 层交换机或者桥接器，防⽕墙对于⽤户来说是透明的。

透明模式是⼀种保护内部⽹络从不可信源接收信息流的⽅便⼿段。

Juniper防火墙新手教程10：Juniper 防火墙使用固定IP接入上网分类: Juniper学习作者: 刘苏平Juniper防火墙有多种上网接入方法：固定IP，DHCP自动获取IP，ADSL拨号。

这三种接入方式基本涵盖了目前所有的上网接入方法，是Juniper防火墙具有很强的网络适应能力。

首先介绍Juniper防火墙使用固定IP接入上网的配置方法进入防火墙的Web界面，设置接口地址Trust接口Network > Interfaces > Edit （对于Trust Interface）Zone Name: TrustStatic IP: IP Address/Netmask: 192.168.1.1/24 （内网IP，可以根据自己的需要修改，默认IP为192.168.1.1/24 ）Interface Mode: NAT默认的管理地址（Manage IP）与接口地址相同，但也可以更改，但管理地址必须与接口地址在同一网段中。

Untrust接口Network > Interfaces > Edit （对于Untrust Interface）Zone Name: UntrustStatic IP: IP Address/Netmask: 外网IP （输入接入商给的外网IP 及掩码地址）Interface Mode: Route设置路由只有对于使用固定IP地址线路接入方式，才需要设置默认路由。

其他两种接入方式，防火墙会自动添加默认路由的。

Network > Routing > Destination选择trust-vr，NewIP Address/Netmask: 0.0.0.0/0.0.0.0选择Gageway，Interface选择Untrust接口，Gateway IP Address填写接入商提供的网关IP。

设置策略部分低端的防火墙中默认有一条From Trust To Untrust，原地址为ANY，目标地址为ANY，服务为ANY的允许策略。

Junipersrx100防火墙配置指导#一、初始化安装1。

1设备登录Juniper SRX系列防火墙。

开机之后，第一次必须通过console 口(通用超级终端缺省配置）连接SRX ，输入root 用户名登陆,密码为空，进入到SRX设备之后可以开始加载基线配置。

特别注意:SRX低端系列防火墙，在第一次登陆时，执行命令“show configuration”你会发现系统本身已经具备一些配置内容（包括DNS名称、DHCP服务器等），建议删除这些配置,重新配置. Delete 删除设备开机请直接通过console 连接到防火墙设备Login ： rootPassword : /＊＊＊初始化第一次登陆的时候，密码为空**/Root% cli /**进入操作模式*＊/Root>Root〉 configure /** 进入配置模式＊*/Root# delete /*＊*配置模式执行命令“delete”全局删除所有的系统缺省配置*＊＊/ 1.2 系统基线配置Set system host—name name/***配置设备名称“name”*＊＊/Set system time-zone Asia/Chongqing/＊＊＊配置系统时区＊*＊/Set system root—authentication plain-text-password 输入命令，回车New password: 第一次输入新密码，Retype new password 重新确认新密码/＊**配置系统缺省根账号密码，不允许修改根账号名称“root” *＊＊/注意:root帐号不能用于telnet,但是可以用于web和ssh管理登录到设备S et system login user topsci class super—user authentication plain-text-password New password 输入密码Retype new password 确认密码/**＊创建一个系统本地账号“name“,set system services sshset system services telnetset system services web—management http interface allset systhm services web—management http port 81 interface allset system services web—management https system—generated-certificateset system services web—management https interface all/＊**全局开启系统管理服务，ssh\telnet\http\https＊*＊/set interfacesge-0/0/2unit 0 family inet address 10.10.10。

juniper防火墙详细配置手册Juniper防火墙简明实用手册（版本号：V1.0）目录1juniper中文参考手册重点章节导读 (4)1.1第二卷：基本原理41.1.1第一章：ScreenOS 体系结构41.1.2第二章：路由表和静态路由41.1.3第三章：区段41.1.4第四章：接口41.1.5第五章：接口模式51.1.6第六章：为策略构建块51.1.7第七章：策略51.1.8第八章：地址转换51.1.9第十一章：系统参数61.2第三卷：管理61.2.1第一章：管理61.2.2监控NetScreen 设备61.3第八卷：高可用性61.3.1...................................................... NSRP61.3.2故障切换72Juniper防火墙初始化配置和操纵 (8)3查看系统概要信息 (9)4主菜单常用配置选项导航 (10)5Configration配置菜单 (11)5.1Date/Time:日期和时间115.2Update更新系统镜像和配置文件125.2.1更新ScreenOS系统镜像125.2.2更新config file配置文件135.3Admin管理155.3.1Administrators管理员账户管理155.3.2Permitted IPs：允许哪些主机可以对防火墙进行管理166Networks配置菜单 (17)6.1Zone安全区176.2Interfaces接口配置196.2.1查看接口状态的概要信息196.2.2设置interface接口的基本信息196.2.3设置地址转换216.2.4设置接口Secondary IP地址256.3Routing路由设置266.3.1查看防火墙路由表设置266.3.2创建新的路由条目277Policy策略设置 (28)7.1查看目前策略设置287.2创建策略298对象Object设置 (31)9策略Policy报告Report (33)1juniper中文参考手册重点章节导读版本：Juniper防火墙5.0中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

Juniper防火墙安装手册神州数码（深圳）有限公司二零零五年十二月Juniper 防火墙安装手册目录一、透明模式 (6)1．1、网络结构图 (6)1．2、配置文件 (6)二、NAT模式 (9)2．1、网络结构图 (9)2．2、安装步骤 (9)2.2.1 初始化配置 (9)2.2.2 管理功能设置 (12)2.2.3 安全区 (13)2.2.4 端口设置 (14)2.2.5 设置路由 (15)2.2.6 NAT设置 (17)2.2.7 端口服务 (20)2.2.8 定义策略 (22)三、路由模式 (25)3．1、网络结构图 (25)3．2、安装步骤 (25)3.2.1 初始化配置 (25)3.2.2 管理功能设置 (28)3.2.3 安全区 (29)3.2.4 端口设置 (30)3.2.5 Route 模式设置 (31)3.2.6 设置路由 (32)3.2.7 定义策略 (33)四、动态路由 (36)4．1RIP路由协议 (36)4．2OSPF协议 (38)五、VPN (39)5．1C LIENT TO SITE (39)5．2建立L2TP (48)5.2.1网络结构图 (48)5.2.2配置防火墙 (49)5.2.3 测试 (58)5．3动态地址VPN (59)5.3.1、地址分布图 (59)5.3.2、配置步骤： (60)5．4S ITE TO S ITE VPN (63)5.4.1、网络图 .............................................................................................. 错误！未定义书签。

5.4.2、配置步骤........................................................................................... 错误！未定义书签。

Juniper防火墙的配置方法为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。

一、设备重启动：Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。

二、操作系统备份：日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。

三、操作系统恢复：当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统，命令行方式：save software from tftp x.x.x.x filename to flash，或通过web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。

四、配置文件备份：日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种：1、启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。

2、通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config配置信息记录到本地。

3、通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。

五、配置文件恢复：防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种：1、启动tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。

Juniper SSG-5防火墙配置手册中文版初始化设置1.将防火墙设备通电，连接网线从防火墙e0\2口连接到电脑网卡。

2.电脑本地连接设置静态IP地址，IP地址（在都可以），子网掩码，默认网关，如下图：3.设置好IP地址后，测试连通，在命令行ping ，如下图：4.从IE浏览器登陆防火墙web页面，在地址栏输入，如下图向导选择最下面No, skip ——，然后点击下面的Next：5.在登录页面输入用户名，密码，初始均为netscreen，如下图：6.登陆到web管理页面，选择Configuration –Date/Time，然后点击中间右上角Sync Clock With Client选项，如下图：7.选择Interfaces – List，在页面中间点击bgroup0最右侧的Edit，如下图：8.此端口为Trust类型端口，建议IP设置选择Static IP，IP Address输入规划好的本地内网IP地址，如，Manage IP 。

之后勾选Web UI，Telnet，SSH，SNMP，SSL，Ping。

如下图：Internet网络设置1.修改本地IP地址为本地内网IP地址，如下图：2.从IE浏览器打开防火墙web页面，输入用户名密码登陆，如下图：3.选择Interfaces – List，点击页面中ethernet0/0最右侧的Edit选项，如下图：4.此端口为Untrust类型端口，设置IP地址有以下三种方法：（根据ISP提供的网络服务类型选择）A．第一种设置IP地址是通过DHCP端获取IP地址，如下图：B．第二种设置IP地址的方法是通过PPPoE拨号连接获取IP，如下图，然后选择Create new pppoe setting，在如下图输入本地ADSL pppoe拨号账号，PPPoE Instance输入名称，Bound to Interface选择ethernet0/0，Username和Password输入ADSL账号密码，之后OK，如下图：PPPoE拨号设置完毕之后，点击Connect，如下图：回到Interface –List，可以看到此拨号连接的连接状态，如下图：ethernet0/0右侧PPPoE一栏有一个红叉，表示此连接已经设置但未连接成功，如连接成功会显示绿勾。

Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（内网端口）处于NAT模式时，防火墙Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源IP 地址和源端口号。

防火墙使用Untrust 区（外网或者公网）接口的IP 地址替换始发端主机的源IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：① 注册IP地址（公网IP地址）的数量不足；2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。

① 与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射IP (MIP)和虚拟IP (VIP)地址；② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

路由模式应用的环境特征：① 注册IP（公网IP地址）的数量较多；② 非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；③ 防火墙完全在内网中部署应用。

2.3、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改IP数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN 的2层交换机或者桥接器，防火墙对于用户来说是透明的。

Junipersrx100防火墙配置指导＃一、初始化安装1。

1设备登录Juniper SRX系列防火墙。

开机之后，第一次必须通过console 口（通用超级终端缺省配置）连接SRX ，输入root 用户名登陆,密码为空，进入到SRX设备之后可以开始加载基线配置. 特别注意：SRX低端系列防火墙,在第一次登陆时，执行命令“show configuration" 你会发现系统本身已经具备一些配置内容（包括DNS名称、DHCP服务器等），建议删除这些配置,重新配置。

Delete 删除设备开机请直接通过console 连接到防火墙设备Login ： rootPassword ： /***初始化第一次登陆的时候，密码为空＊*/Root％ cli /＊*进入操作模式**/Root〉Root> configure /＊* 进入配置模式*＊/Root# delete /***配置模式执行命令“delete”全局删除所有的系统缺省配置**＊/1。

2 系统基线配置Set system host-name name/***配置设备名称“name”＊**/Set system time-zone Asia/Chongqing/***配置系统时区＊＊*/Set system root—authentication plain-text—password 输入命令，回车New password：第一次输入新密码，Retype new password 重新确认新密码/＊**配置系统缺省根账号密码，不允许修改根账号名称“root”＊＊＊/注意：root帐号不能用于telnet,但是可以用于web和ssh管理登录到设备S et system login user topsci class super-user authentication plain-text—password New password 输入密码Retype new password 确认密码/＊**创建一个系统本地账号“name“，set system services sshset system services telnetset system services web-management http interface allset systhm services web—management http port 81 interface allset system services web—management https system-generated—certificateset system services web—management https interface all/*＊＊全局开启系统管理服务，ssh\telnet\http\https*＊*/set interfacesge-0/0/2unit 0 family inet address 10.10。