項目中經常用到juniper ssg系列的防火牆,比如ssg5、ssg140和ssg520,網上也有很多的快速配置手冊,比如在網上就可以下載到聯強國際和神州數碼的關於juniper配置的內部資料,對於入門者很有用,而且一些常規的配置比如ipsec***、MIP、VIP、Policy等等都涉及到了,而實際配置中遇到的問題卻沒有涉及到,下面我就把自己平時遇到的問題或需要注意的地方說說:
1、不要忘記設置默認路由!否則你防火牆下面的電腦無法訪問因特網,這個問題可以參見我的一片文章http://yritech.blog.51cto.com/1504393/543973
2、DMZ區域的電腦或設備要訪問Internet,必須開啓DMZ->Untrust相關策略NAT的Source Translation功能,如圖3 ,否則無法訪問Internet,而Trust區域就不需要。
由下圖1可以看到,這是允許dmz區域訪問外網的策略,action是藍色,這說明啓用了
Source Translation功能,而普通的策略是綠色的,如圖2
圖1
圖2
圖3
3、如果需要對個別ip地址進行網站限制,可以做一下策略:
ID Source
Destination
Service Action
30
192.168.12.1/32
www.baidu.com http permit
www.sohu.com
dns
to-dns
31
192.168.12.1/32
any any deny
dns
pop3
https
解釋:策略從上至下依次執行,之前我們只有ID=1的策略,這條策略是允許內網訪問外網的,現在我們需要限制個別ip只能訪問個別網址,所以我們舉例限制192.168.12.1這個ip的主機,只能訪問www.baidu.com和www.sohu.com兩個網址,其他的網站不允許訪問,故而增加id=30和31兩個策略,這三個策略的順序不能改變!!有一點需要特別說明,就是id=30的策略,其中Destination的to-dns,這個必須加,這個to-dns是我們的dns地址,即202.106.0.20或者其他isp指定的dns服務器ip,否則你輸入的域名無法解析成ip,也就無法訪問網址了。
待續。。。。。。。。