前面介紹了Juniper的策略元素 [Juniper防火墻新手教程14：Juniper防火墻的策略元素] ，突然發(fā)現(xiàn)我現(xiàn)在寫(xiě)博客越來(lái)越羅嗦了，以前寫(xiě)博客是為了做些記錄，以后查資料方便些，現(xiàn)在經(jīng)某位朋友的要求，要把博客寫(xiě)的大多數(shù)人都能看懂，于是寫(xiě)個(gè)Juniper防火墻的專(zhuān)題，結(jié)果寫(xiě)到第15篇才寫(xiě)到Juniper防火墻最重要的策略設(shè)置。

廢話不多說(shuō)了，還是繼續(xù)專(zhuān)題。

防火墻作為網(wǎng)絡(luò)的第一道關(guān)卡，哪些流量運(yùn)行通過(guò)防火墻，哪些訪問(wèn)需要阻擋，這大多都需要通過(guò)防火墻的策略來(lái)設(shè)置，因此防火墻的功能及安全程度很大程度上取決于防火墻的策略設(shè)置。

先上圖，在 Policy > Policies 界面

這是Juniper防火墻策略的總覽，看界面上的功能可以知道，可以新建策略，編輯策略，復(fù)制策略，刪除策略，禁用啟用策略。還能移動(dòng)策略順序，截圖沒(méi)截到，在最右邊。

Juniper防火墻策略的執(zhí)行順序和ISA是一樣的，從上到下執(zhí)行，所以策略設(shè)置的時(shí)候要先弄清楚邏輯關(guān)系。

新建策略

選擇源地址及目的地址所在zone，點(diǎn)擊右上角的“new”可以新建一條策略。

上圖標(biāo)出了Juniper防火墻策略的四個(gè)基本策略：

Source Address 源地址：可以使用預(yù)定義的地址，也可以手動(dòng)輸入

Destination Address 目的地址

Service 服務(wù)

Action 動(dòng)作：運(yùn)行通過(guò)還是禁止通過(guò)，或者通過(guò)tunnel走VPN

另外還有一些其他選項(xiàng)設(shè)置：

Session-limit ：限制這條策略的session數(shù)，在低版本的Juniper防火墻上是沒(méi)有的

Logging ：記錄日志

Modify matching bidirectional VPN policy ：建立vpn通道的同時(shí)反向建立一條策略。

下面再看看高級(jí)設(shè)置里的一些設(shè)置：

NAT ：可以設(shè)置源地址及目的地址的轉(zhuǎn)換

Authentication ：認(rèn)證選項(xiàng)

Traffic Shaping ：流量控制選項(xiàng)，可以設(shè)置這條策略的保證帶寬，最大帶寬

Counting ：流量統(tǒng)計(jì)，可以查看該策略的流量狀況

Schedule：設(shè)置該策略的生效時(shí)間。

Juniper防火墻的策略先寫(xiě)到這里，看過(guò)之后大致就可以了解如何設(shè)置Juniper防火墻的策略，關(guān)鍵還是如何設(shè)置防火墻的策略達(dá)到自己的要求，如果有興趣可以參考一下以前的一篇文章[通過(guò)juniper netscreen防火墻禁qq和msn]