前面介绍了Juniper的策略元素 [Juniper防火墙新手教程14:Juniper防火墙的策略元素] ,突然发现我现在写博客越来越罗嗦了,以前写博客是为了做些记录,以后查资料方便些,现在经某位朋友的要求,要把博客写的大多数人都能看懂,于是写个Juniper防火墙的专题,结果写到第15篇才写到Juniper防火墙最重要的策略设置。
废话不多说了,还是继续专题。
防火墙作为网络的第一道关卡,哪些流量运行通过防火墙,哪些访问需要阻挡,这大多都需要通过防火墙的策略来设置,因此防火墙的功能及安全程度很大程度上取决于防火墙的策略设置。
先上图,在 Policy > Policies 界面
这是Juniper防火墙策略的总览,看界面上的功能可以知道,可以新建策略,编辑策略,复制策略,删除策略,禁用启用策略。还能移动策略顺序,截图没截到,在最右边。
Juniper防火墙策略的执行顺序和ISA是一样的,从上到下执行,所以策略设置的时候要先弄清楚逻辑关系。
新建策略
选择源地址及目的地址所在zone,点击右上角的“new”可以新建一条策略。
上图标出了Juniper防火墙策略的四个基本策略:
Source Address 源地址:可以使用预定义的地址,也可以手动输入
Destination Address 目的地址
Service 服务
Action 动作:运行通过还是禁止通过,或者通过tunnel走VPN
另外还有一些其他选项设置:
Session-limit :限制这条策略的session数,在低版本的Juniper防火墙上是没有的
Logging :记录日志
Modify matching bidirectional VPN policy :建立vpn通道的同时反向建立一条策略。
下面再看看高级设置里的一些设置:
NAT :可以设置源地址及目的地址的转换
Authentication :认证选项
Traffic Shaping :流量控制选项,可以设置这条策略的保证带宽,最大带宽
Counting :流量统计,可以查看该策略的流量状况
Schedule:设置该策略的生效时间。
Juniper防火墙的策略先写到这里,看过之后大致就可以了解如何设置Juniper防火墙的策略,关键还是如何设置防火墙的策略达到自己的要求,如果有兴趣可以参考一下以前的一篇文章[通过juniper netscreen防火墙禁qq和msn]
联系客服