【正文】 置之后，點擊“Next”進行防火墻內網端口IP配置： 9. 在完成了上述的配置之后，防火墻的基本配置就完成了，點擊“Next”進行DHCP服務器配置。地址：。 重新開啟一個IE頁面，并在地址欄中輸入防火墻的內網端口地址，確定后，出現(xiàn)下圖中的登錄界面。 、基于非向導方式的NAT/Route模式下的基本配置 基于非向導方式的NAT和Route模式的配置建議首先使用命令行開始，最好通過控制臺的方式連接防火墻，這個管理方式不受接口IP地址的影響。策略的方向是：由zone trust 到 zone untrust， 源地址為：any，目標地址為：any，網絡服務為：any，策略動作為：permit允許，log：開啟日志記錄）； ⑧ Save （保存上述的配置文件）。通過控制臺連接防火墻的控制口，登錄命令行管理界面，通過如下命令及步驟進行二層透明模式的配置： ① Unset interface ethernet1 ip（將以太網1端口上的默認IP地址刪除）； ② Set interface ethernet1 zone v1trust（將以太網1端口分配到v1trust zone：基于二層的安全區(qū)，端口設置為該安全區(qū)后，則端口工作在二層模式，并且不能在該端口上配置IP地址）； ③ Set interface ethernet2 zone v1dmz（將以太網2端口分配到v1dmz zone）； ④ Set interface ethernet3 zone v1untrust（將以太網3端口分配到v1untrust zone）； ⑤ Set interface vlan1 ip （設置VLAN1的IP地址為：，該地址作為防火墻管理IP地址使用）； ⑥ Set policy from v1trust to v1untrust any any any permit log（設置一條由內網到外網的訪問策略）； ⑦ Save（保存當前的配置）； 總結： ① 帶有V1字樣的zone為基于透明模式的安全區(qū)，在進行透明模式的應用時，至少要保證兩個端口的安全區(qū)工作在二層模式； ② 雖然Juniper防火墻可以工作在混合模式下（二層模式和三層模式的混合應用），但是通常情況下，建議盡量使防火墻工作在一種模式下（三層模式可以混用：NAT和路由）。 MIP應用的網絡拓撲圖： 注：MIP配置在防火墻的外網端口（連接Internet的端口）。通常應用在只有很少的公網IP地址，卻擁有多個私有IP地址的服務器，并且，這些服務器是需要對外提供各種服務的。 、使用命令行方式配置VIP ① 配置接口參數(shù) set interface ethernet1 zone trust set interface ethernet1 ip set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip ② 定義VIP set interface ethernet3 vip 80 ③ 定義策略 set policy from untrust to trust any vip() permit save 注：VIP的地址可以利用防火墻設備的外網端口地址實現(xiàn)（限于低端設備）。 DIP應用的網絡拓撲圖： 、使用Web瀏覽器方式配置DIP ① 登錄防火墻設備，配置防火墻為三層部署模式； ② 定義DIP：Network=Interface=ethernet3=DIP，在定義了公網IP地址的untrust端口定義IP地址池； ③ 定義策略：定義由內到外的訪問策略，在策略的高級（ADV）部分NAT的相關內容中，啟用源地址NAT，并在下拉菜單中選擇剛剛定義好的DIP地址池，保存策略，完成配置； 策略配置完成之后擁有內部IP地址的網絡設備在訪問互聯(lián)網時會自動從該地址池中選擇一個公網IP地址進行NAT。 、站點間IPSec VPN配置：staic iptostaic ip 當創(chuàng)建站點兩端都具備靜態(tài)IP的VPN應用中，位于兩端的防火墻上的VPN配置基本相同，不同之處是在VPN gateway部分的VPN網關指向IP不同，其它部分相同。 IPSec VPN組網拓撲圖：staic iptodynamic ip 、使用Web瀏覽器方式配置 ① VPN第一階段的配置：動態(tài)公網IP地址端。 在VPN階段一的高級配置中動態(tài)公網IP一端的VPN的發(fā)起模式應該配置為：主動 模式（Aggressive） ③ VPN第一階段的配置：靜態(tài)公網IP地址端。 、使用命令行方式配置 CLI ( 設備A) ① 定義接口參數(shù) set interface ethernet1 zone trust set interface ethernet1 ip set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 dhcp client set interface ethernet3 dhcp client settings server ② 定義路由 set vrouter trustvr route ③ 定義用戶 set user pmason password Nd4syst4 ④ 定義地址 set address trust trusted network set address untrust mail server ⑤ 定義服務 set service ident protocol tcp srcport 065535 dstport 113113 set group service remote_mail set group service remote_mail add set group service remote_mail add ftp set group service remote_mail add telnet set group service remote_mail add ident set group service remote_mail add mail set group service remote_mail add pop3 ⑥ 定義VPN set ike gateway to_mail address aggressive localid pmason outgoinginterface ethernet3 preshare h1p8A24nG5 proposal preg23dessha set vpn branch_corp gateway to_mail seclevel patible ⑦ 定義策略 set policy top from trust to untrust trusted network mail server remote_mail tunnel vpn branch_corp auth server Local user pmason set policy top from untrust to trust mail server trusted network remote_mail tunnel vpn branch_corp save CLI ( 設備B) ① 定義接口參數(shù) set interface ethernet2 zone dmz set interface ethernet2 ip set interface ethernet3 zone untrust set interface ethernet3 ip ② 路由 set vrouter trustvr route ③ 定義地址 set address dmz mail server set address untrust branch office ④ 定義服務 set service ident protocol tcp srcport 065535 dstport 113113 set group service remote_mail set group service remote_mail add ident set group service remote_mail add mail set group service remote_mail add pop3 ⑤ 定義VPN set ike gateway to_branch dynamic pmason aggressive outgoinginterface ethernet3 preshare h1p8A24nG5 proposal preg23dessha set vpn corp_branch gateway to_branch tunnel seclevel patible ⑥ 定義策略 set policy top from dmz to untrust mail server branch office remote_mail tunnel vpn corp_branch set policy top from untrust to dmz branch office mail server remote_mail tunnel vpn corp_branch save Juniper防火墻的HA（高可用性）配置 為了保證網絡應用的高可用性，在部署Juniper防火墻過程中可以在需要保護的網絡邊緣同時部署兩臺相同型號的防火墻設備，實現(xiàn)HA的配置。 Weight: 255 ethernet3: ( 選擇)。 Weight: 255 ethernet3: ( 選擇)。 Juniper防火墻一些實用工具 、防火墻配置文件的導出和導入 Juniper防火墻的配置文件的導入導出功能為用戶提供了一個快速恢復當前配置的有效的手段。導入完成之后，防火墻設備會自動重新啟動，讀取新的配置文件并運行。 ScreenOS升級（WebUI）：Configuration Update ScreenOS/Keys。 安全區(qū)域概念的出現(xiàn)，使防火墻的配置能更靈活同現(xiàn)有的網絡結構相結合。 虛擬路由器（Virtual Router）： Juniper防火墻支持虛擬路由器技術，在一個防火墻設備里，將原來單一路由方式下的單一路由表，進化為多個虛擬路由器以及相應的多張獨立的路由表，提高了防火墻系統(tǒng)的安全性以及IP地址配置的靈活性。因此，通過對網絡服務的定義，以及IP地址的定義，使Juniper防火墻的策略細致程度大大加強，安全性也提高了。當防火墻收到一個目標地址為 MIP 的內向數(shù)據(jù)流時，通過策略控制防火墻將數(shù)據(jù)轉發(fā)至MIP 指向地址的主機；當MIP映射的主機發(fā)起出站數(shù)據(jù)流時，通過策略控制防火墻將該主機的源 IP 地址轉換成 MIP 地