案例:公司内网的电脑无法使用微信多客服
因为不确定微信的端口号,所以使用的是开放所有端口,即无限制,这里用192.168.1.50作为不受限制电脑
首先,定义ip地址名称,juniper所有策略应用都无法直接使用IP地址和端口号,必须要先将要使用的IP地址和端口号定义一个名字,然后在策略里面添加使用。比如要让192.168.1.50不受防火墙限制。
1、定义ip
在Policy>policy elements>addresses>list,选择右上角的new,新建定义IP
在address name里填写需定义的IP名字,可随意定义,但要便于自己记忆,这里就写50, comment可不填。在ip address/netmask,这里输入192.168.1.50/32,zone:trunst(这里因为是由内网访问外网,所以选trust,如果是定义外网访问内网就选untrust)。
定义目标地址也类似,一般选untrust.
2、定义IP地址组
在policy>policy elements>addresses>groups
在左上角选择trust(刚才定义ip的时候选择的trust),然后点击右上角的new。如图:
group name自己随便写,便于记忆就好,这里写50访问外网,comment不写,在右侧窗口选择好自己的刚才定义的IP名称50,选《,将50添加到左侧,点击OK。
3、定义端口
在policy>policy elements>services>custom,如图:
service name随便,便于记忆就行,在no.1选择对应的协议,source port 0~65535,destination port 需开通的端口,其他不用填写
4、定义策略
policy>policies如图:
因为是访问外网策略,所以要选择from trust ,to untrust,然后选择new,
目标地址,如果是无限制,可在new address 0.0.0.0/32,service:选择定义的端口号,如果是无限制,选择any。然后确定。。。最后在改好的策略后面查看enable是否勾选,最后的箭头可以设置策略的顺序。