Juniper防火墙使用心得

cqygq

Juniper防火墙使用心得：
1. Juniper防火墙ha状态下，SSG550(M)代表active, SSG550(I)代表standby。
2. Juniper防火墙在WEB下做的配置会即时保存，在命令行下需要save。
3. 在做ＮＡＴ时做MIP时优先级最高，如一个IP做了map,在策略选择是DIP，仍然会在nat时选择MIP的地址。
4. 防火墙在做MIP和DIP时是对应到相应端口上的，如果一个zone有多个地址，策略可以选择目的区域MIP和源地址转换DIP的相应地址，但实际只有做了MIP和DIP时的端口才能做转换，其他端口不能做转换。
5. 针对上一个问题，可以用 loopback口来解决，建立loopback接口，配IP（地址任意，不好和其他地址重复就行，代表此接口可以三层路由），再将其他的接口划到loopback接口下，做NAT转换时选择loopback接口做MIP和DIP）。
6. 做双向转换时，可以有两种方式，一种是在策略中先建一条源地址转换DIP，在建一条MIP目的地址转换。
   另一种是只建一条，同时做源地址转换DIP，和目的地址转换。
7. 从防火墙对端设备都要有到（源地址转换）转换后地址和（目的地址转换）目的地址的路由。
8. 防火墙双机热备时，状态为(M)为主用防火墙，(B)为备用防火墙，(I)状态不正常。
9. 在配置NSRP中的监控接口时，需要在两台防火墙分别设置监控的端口。
10.在做源地址转换时使用DIP方式，DIP地址要定义在目标区域接口上。