前面介紹了Juniper的策略元素 [Juniper防火墻新手教程14：Juniper防火墻的策略元素] ，突然發(fā)現(xiàn)我現(xiàn)在寫博客越來越羅嗦了，以前寫博客是為了做些記錄，以后查資料方便些，現(xiàn)在經(jīng)某位朋友的要求，要把博客寫的大多數(shù)人都能看懂，于是寫個Juniper防火墻的專題，結(jié)果寫到第15篇才寫到Juniper防火墻最重要的策略設(shè)置。

廢話不多說了，還是繼續(xù)專題。

防火墻作為網(wǎng)絡(luò)的第一道關(guān)卡，哪些流量運行通過防火墻，哪些訪問需要阻擋，這大多都需要通過防火墻的策略來設(shè)置，因此防火墻的功能及安全程度很大程度上取決于防火墻的策略設(shè)置。

先上圖，在 Policy > Policies 界面

這是Juniper防火墻策略的總覽，看界面上的功能可以知道，可以新建策略，編輯策略，復(fù)制策略，刪除策略，禁用啟用策略。還能移動策略順序，截圖沒截到，在最右邊。

Juniper防火墻策略的執(zhí)行順序和ISA是一樣的，從上到下執(zhí)行，所以策略設(shè)置的時候要先弄清楚邏輯關(guān)系。

新建策略

選擇源地址及目的地址所在zone，點擊右上角的“new”可以新建一條策略。

上圖標(biāo)出了Juniper防火墻策略的四個基本策略：

Source Address 源地址：可以使用預(yù)定義的地址，也可以手動輸入

Destination Address 目的地址

Service 服務(wù)

Action 動作：運行通過還是禁止通過，或者通過tunnel走VPN

另外還有一些其他選項設(shè)置：

Session-limit ：限制這條策略的session數(shù)，在低版本的Juniper防火墻上是沒有的

Logging ：記錄日志

Modify matching bidirectional VPN policy ：建立vpn通道的同時反向建立一條策略。

下面再看看高級設(shè)置里的一些設(shè)置：

NAT ：可以設(shè)置源地址及目的地址的轉(zhuǎn)換

Authentication ：認(rèn)證選項

Traffic Shaping ：流量控制選項，可以設(shè)置這條策略的保證帶寬，最大帶寬

Counting ：流量統(tǒng)計，可以查看該策略的流量狀況

Schedule：設(shè)置該策略的生效時間。

Juniper防火墻的策略先寫到這里，看過之后大致就可以了解如何設(shè)置Juniper防火墻的策略，關(guān)鍵還是如何設(shè)置防火墻的策略達(dá)到自己的要求，如果有興趣可以參考一下以前的一篇文章[通過juniper netscreen防火墻禁qq和msn]