Juniper防火牆透明模式

最近一個小項目，三臺網絡設備的上架及配置，只有三臺設備仍是三個不一樣的廠商，

客戶要求H3C MSR5060路由器放到外面鏈接Internet和專線，路由器下面接Juniper SSG520防火牆，防火牆下面接Cisco 3750 ，Juniper防火牆要配置成透明模式。

根據客戶的要求以及給的IP信息，華三路由器很快就配置完成，在配置Cisco 3750和Juniper SSG520時發現登錄不進去，用戶名密碼不正確，無奈先破解密碼而後再配置。

之前配置Juniper防火牆時大可能是路由模式和NAT模式，今天客戶指定透明模式，只能這麼作了。

接口處於「透明」模式時，安全設備將過濾經過防火牆的封包，而不會修改 IP 封包的包頭中的任何源或目的地信息。全部接口運行起來都像是同一網絡中的一部分，而安全設備的做用更像是第2 層交換機或橋接器。在「透明」模式下，接口的 IP地址被設置爲 0.0.0.0，使得安全設備對於用戶來講是透明（不可見）的。

 

透明模式是一種保護服務器的方便手段。使用透明模式有如下優勢:

1．不須要從新配置路由器或受保護服務器的 IP 地址設置；

2．不須要爲到達受保護服務器的內向信息流建立映射或虛擬IP地址

 實施：

1.客戶不讓用V1-trust、V1-Untrust，在這裏咱們自定義新的Zone，L2-Router、L2-Server、L2-DMZ，

2.而後把接口加入到相應的Zone裏面，

3.接着給Vlan1分配IP地址192.168.240.200/24，開啓Web、SSL、SSH等管理功能，容許接口Ping，這樣便於排錯。

說明一下：路由器的內部接口IP(鏈接防火牆的接口)：192.168.240.254 

三層交換機的接口IP(鏈接防火牆的接口):  192.168.240.250

防火牆Vlan1的IP地址：192.168.240.200

 

4.設置Policy

在設置policy時，Juniper不容許二層到三層之間作Policy，只容許二層和二層之間作Policy，三層到三層之間作Policy，例如：新建一個從Untrust到L2-Router的策略，這是不容許的，由於Untrust屬於三層。

在這裏咱們只能作這樣的策略，從L2-Router到L2-Server的Policy，從L2-Server到L2-Router的Policy

從上圖能夠看出咱們創建了10個Policy,前8個Policy已經被廢棄掉了，由於咱們用一臺筆記本接到三層交換機上，配一個IP地址，可以Ping通192.168.240.254也就是路由器的內網接口地址，卻不能ping通防火牆的Vlan1地址192.168.240.200，使用Web方式及SSH均不能鏈接到防火牆上面；從路由器上面也不能ping通192.168.240.200，同時也不能對其進行管理。

客戶須要遠程管理防火牆，從內網進行管理或從外網。我一直覺得Policy加的不對，反覆修改，但沒能解決問題，最後問題解決了

注意：不只在接口下面啓用webui、ssh、ping等服務，新建zone的時候也要啓用webui、ssh、ping服務。