Juniper防火墙简单配置实例

1、netscreen防火墙简单配置实例对照两个文档，可以实现简单配置netscreen防火墙。netscreen-100防火墙的基本配置流程netscreen系列产品，是应用非常广泛的nat设备。netscreen 100就是其中的一种。 netscreen-100是个2方形的黑匣子，其正面面板上有四个接口。左边一个是db25串口， 右边三个是以太网网口，从左向右依次为trust interfacedmz interfaceuntrust interfaceo 其中trust interface相当于hub 口,下行连接内部网络设备。untrust interface相当于主机 口，上行连接上公

2、网的鯉遷等外部网关设备；两端口速率口适应(10m/100m) o dmz interface介绍从略。配置前的准备1. pc机通过直通网线与trust interface相连，用ie登录设备主页。设备缺省ip为 /,用户名和密码都为 netscreen ；2. 登录成功后修改system的ip和掩码，建议修改成与内部网段同网段，也可直接使用分 配给trust interface的地址。修改完毕点击ok,设备会重启；3. 把pc的地址改为与设备新的地址同网段，重新登录，即可进行配置4. 也可通过串口登录，在超级终端上通过命令行修改system ip

3、数据配置数据配置包括三部分内容：policy、interfaceroute tableo1. 配置 policy用ie登陆netscreen,在配置界面上，依次点击左边竖列中的network-) policy,然 后选 中outgoingo如系统原有的与此不同，可点击表中最后一列的remove来删除掉，然后点击 左下角的new policy,重新设置。2. 配置 interface在配置界面上，依次点击左边竖列中的configure-) interface选项，则显示如下所示的配置 界面，其中主要是配置trust interface> untrust interface,必要时修改sys

4、tem ipo在interface配置图当中；说明：1. trust interface f面的inside ip,即指端口本身的ip。因为该端口是设备用以与局域网内 部相连的，所以就相当于是设备对内的端口，故此把该端口的ip就叫做设备的inside ipo 同理,untrust interface下面的outside ip也是指该端口的ip ,因为该端口是面向局域网夕卜 部的；trust interface卜面的default gateway,指局域网内部与trust interace相连的设备的 接口的地址。在本例中即是上行口的地址。untrust interface下面的default

5、gateway是指外 出上公网的网关地址（即nat的下一跳），本例中指与nat相连的路由器的接口地址2. 在接口的配置选项中，traffic bandwidth选项是对该端口传输带宽的描述，不用设置。 因为两端口都是自适应的，会根据所连对端端口的带宽而口动调整。3. 在enable的选项中，trust interface端口按照缺省的选择即可。而untrust interface因为 面对公网，为安全起见，应当把ping、telnet等性能屏蔽掉，不要选择。只有当有必要进行 远程维护时，才把telnet选中。4. 对于system ip,当第一次登录后把它修改为与trust interface

6、或untrust interface的ip在 同一网段，则用八就只能从trust interface或untrust interface登录。为了实现从两个端口都 可登陆，以便管理，需要在上述界面上把system ip的值改为5. untrust interface和trust interface配置内容完全一样，上面的例图由于是用prtsc屏拷下 来的，不能把untrust interface的配置内容拷全，特此说明。3. 配置 route table在配置界面上，依次点击左边竖列中的configure -） route table选项，则显示图5所示界 面。系统要正常运行，在

7、nat内部有两条路由是必不可少的，一条是去内部网段下面的用户网 段的 路由，其网关是与nat相连的接口的地址。该路由为：100.0.0 1000.0.1 trust ；另一条是去外部公网的缺省路由，其网关是与nat相连的外部路rfl器的接口地址。 该路由为： 93 untrust-从路rti表中可以看出，后一条路rti是系统缺省自动生成的，所以只需手工添加的第一条路rti。 点击界面左下角的new entry创建新的路由。对于已生成的路由，可以通过点击edit>remove 进行修改或删除。至此，所有配置全部完成。

8、netscreen配置文档1、进入字符配置界面：用随机带的console线，一头接计算机串口，一头接e1端口，在计算机上打开超级终 端进行配置，用户名，密码都是netscreen«2、进入web配置界面：用交叉网线连接el和计算机的网主，将计算机ip改成 （与e1端口在同一网 段）。打开ie浏览器输入http:/l1 （1为e1端口管理ip）,用户名， 密码都是netscreeno3、配置端口 ip和管理ip：el：内部网端口端口 ip0 和管理 ip1更改为当地内部网的ip地

9、址,e1的端口 ip设为当地内部网网关，管理ip用于在内部网管 理netscreen防火墙。e3:外网端口端口 ip6 和管理 ipi8更改为当地电信所分配的ip地址，e3的管理ip用于外网管理者在internet上配置和 管理netscreen防火墙。4、配置由内网到外网的nat：在e3端口上配置nat,用于将内部网地址转换成当地电信所分配的公网ip地址，以便访 问internet信息。1. network > interfaces > edit （对于 ethemetl）:输入以下内容,然后单击 ok：zone na

10、me: trustip address/netmask: 1/24 （当地内部网网关 ip）2. network > interfaces > edit （对于 ethemet3）:输入以下内容,然后单击 ok：zone name: un trustip address/netmask: 1/24（当地电信所分配的 ip 地址）。3. network > interfaces > edit （对于 ethernet3） > dip > new：输入以下内容，然 后单击ok

11、：id: 6ip address rangestart: 2 （当地电信所分配的ip地址）end: 10 （当地电信所分配的ip地址，这是一个地址池，可大可小）port translation: enable4. policies > （from: untrust, to: trust） > new：输入以下内容，然后单击ok：source address:address book:（选择），anydestination address:address book:（选择），anyservice: anyaction: permit

12、> advanced:输入以下内容，然后单击return,设置高级选项并返回基本配置页：nat: ondipon:（选择）,6 （2-10）：上一步设的地址池。5、配置由外网到内网的vip：在e3端口上配置vip,可将一个外网ip和端口号对应到一个内网ip。通过这种方法可以将 web服务器,邮件服务器或其他服务放到内网，而从外网只看到一个公网ip,增加安全性。1. network > interfaces > edit （对于 ethernetl ）:输入以下内容,然后单击 apply：zone name: trus

13、tip address/netmask: /24 （当地内部网网关 ip）2. network > interfaces > edit （对于 ethernet3）:输入以下内容,然后单击 ok：zone name: untrustip address/netmask: /24 （当地电信所分配的 ip 地址）vip3. network > interfaces > edit（对于 ethernet3） > vip：输入以下地址,然后单击 add： virtual ip address: 0 （对外的服务器地址）4. network > interfaces > edit （对于 ethernet3） > vip > new vip service：输入以 下内容，然后单击ok：virtual port: 80map to service: http （80）：（此例为web服务器的配置，如果是其他的服务器，就加入其 服务与对应的端口号）map to ip: 0 （此为服务器本身ip,内网