http://noahchou.wordpress.com/2008/12/23/%E8%A8%AD%E5%AE%9Ajuniper-%E9%98%B2%E7%81%AB%E7%89%86-%E5%95%9F%E7%94%A8nat%E6%A8%A1%E5%BC%8F/
Juniper 防火牆的部署模式有NAT模式、路由模式、或者透明模式這三種,在設定前需先確定所使用的Juniper 防火牆型號。
設定前所需要了解的資訊:
- Juniper防火牆預設管理埠和:192.168.1.1/255.255.255.0
- 預設的IP位址通常設置在防火牆的Trust埠上(NS-5GT)、最小埠編號的物理埠上(NS-25/50/204/208/SSG系列)、或者專用的管理埠上(ISG-1000/2000,NS-5200/5400)
- Juniper防火牆預設登錄管理帳號:
帳號:netscreen
密碼:netscreen - Juniper SSG-20 防火牆的預埠口設定說明:(我所練習的機種)
第1埠為Untrust;第 2埠為DMZ;第3~5埠為Trust。
Interface:第1埠為ethemet0/0,第2埠為ethemet0/1,其他埠口照順序排列
使用Web來進行設定:
- 在流覽器上輸入Juniper防火牆預設的IP位置
- 使用設定精靈來進入設定。(因為我是恢復為出廠預設值,尚未作任何設定)
請直接選擇:Next
PS:對於你是熟悉Juniper防火牆設定的工程師,可
以跳過該設定精靈,直接點選:No,skip the wizard and go straight to the WebUI
management session instead,之後選擇Next,直接登入防火牆設備的管理介面。
- 出現“Welcome to the Initial Configuration Wizard.”畫面,請選擇Next。
- 進入登錄用戶名和密碼的修改畫面
這裏所設定的帳號和密碼是防火牆設備上的ADMIN帳戶,這個帳戶對於防火牆設備來說具有最高的許可權,請在設定好後好好保存修改後的帳號和密碼。
- 選擇Untrust,DMZ,Trust所使用的介面
- 設定外部線路
- 設定DMZ區域
- 設定內部線路
- 防火牆的基本配置完成
- 進行DHCP伺服器配置
DHCP伺服器配置在需要防火牆在網路中充當DHCP伺服器的時候才需要配置。否則請選擇“NO”跳過
- 完成DHCP伺服器選項設置,點選“Next”會彈出之前所有設定的匯總資訊,確認配置沒有問題,點擊“Next”。
- 點選“Finish”完成設定
完成後防火牆會建立對來自內部網路到外部網路的連線啟用使用埠位址的NAT,同時防火牆設備會自動在策略清單部分建立一條由內部網路到外部網路的訪問策略:
策略:策略方向由Trust到Untrust,來源位址:ANY,目標位址:ANY,網路服務內容:ANY;
策略作用:允許來自內部網路的任意IP位址穿過防火牆訪問外部網路網的任意位址。
使用指令模式來進行設定:
set admin password “netscreen”
set interface eth0/0 zone untrust
set interface eth0/0 ip 59.120.3.16 255.255.255.0
set interface eth0/0 gateway 59.120.3.254
set interface eth0/1 zone dmz
set interface eth0/1 ip 192.168.100.1 255.255.255.0
set interface bgroup0 zone trust
set interface bgroup0 ip 192.168.1.1 255.255.255.0
set interface bgroup0 manage
set interface bgroup0 port ethernet0/2
set interface bgroup0 port ethernet0/3
set interface bgroup0 port ethernet0/4
set interface bgroup0 dhcp server ip 192.168.1.101 to 192.168.1.200
