juniper防火墙设置

root@SRX240# show interfaces  #查看当前所有接口的设置root@SRX240# edit security zones   #新建一个区域
             set security-zone untrust6 interfaces ge-0/0/5             set security-zone untrust6 interfaces ge-0/0/5 host-inbound-traffic system-services all             set security-zone untrust6 interfaces ge-0/0/5 host-inbound-traffic protocols all
root@SRX240# set interfaces ge-0/0/5 unit 0 family inet address 183.238.148.70/30 #配置接口IP地址root@SRX240# edit routing-instances isp4  #编辑路由条目ISP4
             set instance-type virtual-router             set interface ge0/0/5             set routing-options static route 0.0.0.0/0 next-hop 183.238.148.69             set routing-options static route 192.168.0.0/16 next-table inet.0
root@SRX240# edit security nat source   #编辑源NAT
                set rule-set trust-2-untrust6 rule trust-2-untrust6                set rule-set trust-2-untrust6 from zone trust                set rule-set trust-2-untrust6 to zone untrust6                set rule-set trust-2-untrust6 rule trust-2-untrust6 match source-address 0.0.0.0/0                set rule-set trust-2-untrust6 rule trust-2-untrust6 match destination-address 0.0.0.0/0                set rule-set trust-2-untrust6 rule trust-2-untrust6 then source-nat interface
root@SRX240# edit firewall filter F1 term 6   #编辑防火墙过滤规则
                set from source-address 192.168.20.53/32                set then routing-instance isp41.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.

root@SRX240# edit security nat destination
             set pool ftp address 192.168.31.53/32 port 21
             set rule-set Test from zone untrust6             set rule-set Test rule ftp match source-address 0.0.0.0/0             set rule-set Test rule ftp match destination-address 183.238.148.70/32             set rule-set Test rule ftp match destination-port 21
             set rule-set Test rule ftp then destination-nat pool ftproot@SRX240# edit security zones security-zone trust
             set address-book address ftp 192.168.31.53/32
root@SRX240# edit applications
             #如果设置端口转发，两个端口都需要定义并允许通过
             set application 8080 protocol tcp             set application 8080 destination-port 8080root@SRX240# edit security policies
             set from-zone untrust6 to-zone trust             set from-zone untrust6 to-zone trust policy untrust6-to-trust match source-address any             set from-zone untrust6 to-zone trust policy untrust6-to-trust match destination-address ftp
             set from-zone untrust6 to-zone trust policy untrust6-to-trust match application ftp
             set from-zone untrust6 to-zone trust policy untrust6-to-trust then permit             set from-zone untrust6 to-zone trust policy untrust6-to-trust then log session-init             set from-zone untrust6 to-zone trust policy untrust6-to-trust then log session-close1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.

set firewall policer BW-limit if-exceeding bandwidth-limit 22m   #限制带宽set firewall policer BW-limit if-exceeding burst-size-limit 1m   #22m+1m峰值带宽set firewall policer BW-limit then discardset firewall filter USER-IN term 3 from source-address 192.168.1.0/24 #限制的是上传总带宽set firewall filter USER-IN term 3 then policer BW-limitset firewall filter USER-IN term 3 then acceptset firewall filter USER-OUT term 1 from destination-address 192.168.1.0/24 #下载总带宽set firewall filter USER-OUT term 1 then policer BW-limitset firewall filter USER-OUT term 1 then acceptset interfaces vlan unit 0 family inet filter input USER-IN  
set interfaces vlan unit 0 family inet filter output USER-OUTset interfaces vlan unit 0 family inet address 172.16.1.1/241.2.3.4.5.6.7.8.9.10.11.12.

root@SRX240# run show configuration | display setroot@SRX240# show security flow session  #查看实时会话root@SRX240> request system reboot  #重启设备root@SRX240# set system login user XXX uid 2002root@SRX240# set system login user xxx class super-userroot@SRX240# set system login user xxx authentication plain-text-password  #添加系统账号root@SRX240# set snmp community juniper authorization read-only clients 192.168.0.0/24  #开启snmproot@SRX240# set snmp trap-group juniper240 categories link root@SRX240# set snmp trap-group juniper240 targets 192.168.3.15  #防火墙主动trap到指定主机root@SRX240> show security flow statistics
root@SRX240> show system processes extensive
root@SRX240> show chassis forwarding
root@SRX240> show security flow session summary
root@SRX240> monitor interface ge-0/0/5
root# show | compare   #查看commit前的改动项root# show |display set |match pool    #精确匹配root# commit confirmed 5 #在五分钟后回滚最近配置，再次输入commit保存root> show route forwarding-table1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.