前面介绍了Juniper的策略元素 [Juniper防火墙新手教程14：Juniper防火墙的策略元素] ，突然发现我现在写博客越来越罗嗦了，以前写博客是为了做些记录，以后查资料方便些，现在经某位朋友的要求，要把博客写的大多数人都能看懂，于是写个Juniper防火墙的专题，结果写到第15篇才写到Juniper防火墙最重要的策略设置。

废话不多说了，还是继续专题。

防火墙作为网络的第一道关卡，哪些流量运行通过防火墙，哪些访问需要阻挡，这大多都需要通过防火墙的策略来设置，因此防火墙的功能及安全程度很大程度上取决于防火墙的策略设置。

先上图，在 Policy > Policies 界面

这是Juniper防火墙策略的总览，看界面上的功能可以知道，可以新建策略，编辑策略，复制策略，删除策略，禁用启用策略。还能移动策略顺序，截图没截到，在最右边。

Juniper防火墙策略的执行顺序和ISA是一样的，从上到下执行，所以策略设置的时候要先弄清楚逻辑关系。

新建策略

选择源地址及目的地址所在zone，点击右上角的“new”可以新建一条策略。

上图标出了Juniper防火墙策略的四个基本策略：

Source Address 源地址：可以使用预定义的地址，也可以手动输入

Destination Address 目的地址

Service 服务

Action 动作：运行通过还是禁止通过，或者通过tunnel走VPN

另外还有一些其他选项设置：

Session-limit ：限制这条策略的session数，在低版本的Juniper防火墙上是没有的

Logging ：记录日志

Modify matching bidirectional VPN policy ：建立vpn通道的同时反向建立一条策略。

下面再看看高级设置里的一些设置：

NAT ：可以设置源地址及目的地址的转换

Authentication ：认证选项

Traffic Shaping ：流量控制选项，可以设置这条策略的保证带宽，最大带宽

Counting ：流量统计，可以查看该策略的流量状况

Schedule：设置该策略的生效时间。

Juniper防火墙的策略先写到这里，看过之后大致就可以了解如何设置Juniper防火墙的策略，关键还是如何设置防火墙的策略达到自己的要求，如果有兴趣可以参考一下以前的一篇文章[通过juniper netscreen防火墙禁qq和msn]