Juniper防火墙透明模式

最近一个小项目，三台网络设备的上架及配置，只有三台设备仍是三个不一样的厂商，

客户要求H3C MSR5060路由器放到外面链接Internet和专线，路由器下面接Juniper SSG520防火墙，防火墙下面接Cisco 3750 ，Juniper防火墙要配置成透明模式。

根据客户的要求以及给的IP信息，华三路由器很快就配置完成，在配置Cisco 3750和Juniper SSG520时发现登录不进去，用户名密码不正确，无奈先破解密码而后再配置。

之前配置Juniper防火墙时大可能是路由模式和NAT模式，今天客户指定透明模式，只能这么作了。

接口处于“透明”模式时，安全设备将过滤经过防火墙的封包，而不会修改 IP 封包的包头中的任何源或目的地信息。全部接口运行起来都像是同一网络中的一部分，而安全设备的做用更像是第2 层交换机或桥接器。在“透明”模式下，接口的 IP地址被设置为 0.0.0.0，使得安全设备对于用户来讲是透明（不可见）的。

 

透明模式是一种保护服务器的方便手段。使用透明模式有如下优势:

1．不须要从新配置路由器或受保护服务器的 IP 地址设置；

2．不须要为到达受保护服务器的内向信息流建立映射或虚拟IP地址

 实施：

1.客户不让用V1-trust、V1-Untrust，在这里咱们自定义新的Zone，L2-Router、L2-Server、L2-DMZ，

2.而后把接口加入到相应的Zone里面，

3.接着给Vlan1分配IP地址192.168.240.200/24，开启Web、SSL、SSH等管理功能，容许接口Ping，这样便于排错。

说明一下：路由器的内部接口IP(链接防火墙的接口)：192.168.240.254 

三层交换机的接口IP(链接防火墙的接口):  192.168.240.250

防火墙Vlan1的IP地址：192.168.240.200

 

4.设置Policy

在设置policy时，Juniper不容许二层到三层之间作Policy，只容许二层和二层之间作Policy，三层到三层之间作Policy，例如：新建一个从Untrust到L2-Router的策略，这是不容许的，由于Untrust属于三层。

在这里咱们只能作这样的策略，从L2-Router到L2-Server的Policy，从L2-Server到L2-Router的Policy

从上图能够看出咱们创建了10个Policy,前8个Policy已经被废弃掉了，由于咱们用一台笔记本接到三层交换机上，配一个IP地址，可以Ping通192.168.240.254也就是路由器的内网接口地址，却不能ping通防火墙的Vlan1地址192.168.240.200，使用Web方式及SSH均不能链接到防火墙上面；从路由器上面也不能ping通192.168.240.200，同时也不能对其进行管理。

客户须要远程管理防火墙，从内网进行管理或从外网。我一直觉得Policy加的不对，反复修改，但没能解决问题，最后问题解决了

注意：不只在接口下面启用webui、ssh、ping等服务，新建zone的时候也要启用webui、ssh、ping服务。