Juniper防火墙透明模式

最近一个小项目，三台网络设备的上架及配置，只有三台设备还是三个不同的厂商，

客户要求H3C MSR5060路由器放到外面连接Internet和专线，路由器下面接Juniper SSG520防火墙，防火墙下面接Cisco 3750 ，Juniper防火墙要配置成透明模式。

根据客户的要求以及给的IP信息，华三路由器很快就配置完成，在配置Cisco 3750和Juniper SSG520时发现登陆不进去，用户名密码不正确，无奈先破解密码然后再配置。

以前配置Juniper防火墙时大多是路由模式和NAT模式，今天客户指定透明模式，只能这么做了。

接口处于“透明”模式时，安全设备将过滤通过防火墙的封包，而不会修改 IP 封包的包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分，而安全设备的作用更像是第2 层交换机或桥接器。在“透明”模式下，接口的 IP地址被设置为 0.0.0.0，使得安全设备对于用户来说是透明（不可见）的。

 

透明模式是一种保护服务器的方便手段。使用透明模式有以下优点:

1．不需要重新配置路由器或受保护服务器的 IP 地址设置；

2．不需要为到达受保护服务器的内向信息流创建映射或虚拟IP地址

 实施：

1.客户不让用V1-trust、V1-Untrust，在这里我们自定义新的Zone，L2-Router、L2-Server、L2-DMZ，

2.然后把接口加入到相应的Zone里面，

3.接着给Vlan1分配IP地址192.168.240.200/24，开启Web、SSL、SSH等管理功能，允许接口Ping，这样便于排错。

说明一下：路由器的内部接口IP(连接防火墙的接口)：192.168.240.254 

三层交换机的接口IP(连接防火墙的接口):  192.168.240.250

防火墙Vlan1的IP地址：192.168.240.200

 

4.设置Policy

在设置policy时，Juniper不允许二层到三层之间做Policy，只允许二层和二层之间做Policy，三层到三层之间做Policy，例如：新建一个从Untrust到L2-Router的策略，这是不允许的，因为Untrust属于三层。

在这里我们只能做这样的策略，从L2-Router到L2-Server的Policy，从L2-Server到L2-Router的Policy

从上图可以看出我们建立了10个Policy,前8个Policy已经被废弃掉了，因为我们用一台笔记本接到三层交换机上，配一个IP地址，能够Ping通192.168.240.254也就是路由器的内网接口地址，却不能ping通防火墙的Vlan1地址192.168.240.200，使用Web方式及SSH均不能连接到防火墙上面；从路由器上面也不能ping通192.168.240.200，同时也不能对其进行管理。

客户需要远程管理防火墙，从内网进行管理或从外网。我一直以为Policy加的不对，反复修改，但没能解决问题，最后问题解决了

注意：不仅在接口下面启用webui、ssh、ping等服务，新建zone的时候也要启用webui、ssh、ping服务。