项目中经常用到juniper ssg系列的防火墙,比如ssg5、ssg140和ssg520,网上也有很多的快速配置手册,比如在网上就可以下载到联强国际和神州数码的关于juniper配置的内部资料,对于入门者很有用,而且一些常规的配置比如ipsec×××、MIP、VIP、Policy等等都涉及到了,而实际配置中遇到的问题却没有涉及到,下面我就把自己平时遇到的问题或需要注意的地方说说:
 
1、不要忘记设置默认路由!否则你防火墙下面的电脑无法访问因特网,这个问题可以参见我的一片文章 http://yritech.blog.51cto.com/1504393/543973


2、DMZ区域的电脑或设备要访问Internet,必须开启DMZ->Untrust相关策略NAT的Source Translation功能,如图3 ,否则无法访问Internet,而Trust区域就不需要。

由下图1可以看到,这是允许dmz区域访问外网的策略,action是蓝色,这说明启用了  Source Translation功能,而普通的策略是绿色的,如图2  
图1
图2
图3


3、如果需要对个别ip地址进行网站限制,可以做一下策略:




ID      Source            Destination      Service   Action


30     192.168.12.1/32    www.baidu.com     http     permit
                          www.sohu.com      dns
                           to-dns    


31     192.168.12.1/32      any              any      deny
   


1       192.168.12.0/24      any             http     permit   
                                             dns  
                                             pop3  
                                             https  
   

解释:策略从上至下依次执行,之前我们只有ID=1的策略,这条策略是允许内网访问外网的,现在我们需要限制个别ip只能访问个别网址,所以我们举例限制192.168.12.1这个ip的主机,只能访问www.baidu.com和www.sohu.com两个网址,其他的网站不允许访问,故而增加id=30和31两个策略,这三个策略的顺序不能改变!!有一点需要特别说明,就是id=30的策略,其中Destination的to-dns,这个必须加,这个to-dns是我们的dns地址,即202.106.0.20或者其他isp指定的dns服务器ip,否则你输入的域名无法解析成ip,也就无法访问网址了。



待续。。。。。。。。