JuniperSSG-5-SB防火墙简单配置

JuniperJuniper 防火墙简单配置防火墙简单配置 初始配置 0 0 为 untrust 口 0 1 为 dmz 口 0 2 6 口为 trust 1 将防火墙连入网络 网线连接防火墙 Trust 口 0 2 0 4 将本机 ip 设置在 192 168 1 0 的网段 注意 ip 地址不能是 192 168 1 1 在本机 IE 地址栏中输入 http 192 168 1 1 来访问防火墙 就可 以看到如下的登陆界面了 设备初始设定的用户名和密码都是用户名和密码都是 netscreen 2 设置防火墙的时间设置防火墙的时间 在 Configuration Date Time 中 点击 Sync Clock With Client 可以 让防火墙的时间和本机的时间一致 然后点击 Apply 让设置生效 3 设置端口地址 设置端口地址 在 Network Interfaces 中 可以看到防火墙各端口的 ip 设置 点击 Trust 同一行的 Edit 就可以编辑 Trust 口的设置 通常都会选择静态 IP 就需要设置端口的 ip 地址 子网掩码 允许直接输入掩码的位数 再选好端口需要开启的服务 设置完毕后 可以点 击 OK 来完成设置 也可以点击 Apply 马上应用 点击 UnTrust 同一行的 Edit 就可以编辑 UnTrust 口的设置 如果选择静态 IP 就设置端口的 ip 地址 子网掩码 允许直接输入掩码的位数 防火墙端口还支持 DHCP 获得 ip 地址 或者通过 PPOE 拨号获得 IP 地址 ADSL 就是使用这种方式的 再选好端口需要开启的服务 设置完毕后 可以点击 OK 来完成设置 也可以点击 Apply 马上应用 4 设置默认路由 设置默认路由 在 Network Routing Routing Entries 中可以看到防火墙中路由的设置情况 红框选中的为默认路由 手动增加默认路由的方法 在 Network Routing Routing Entries 中 点击 New 进入在 Network Routing Routing Entries Configration 设置地址 网关 接口 可以参照图中所示 5 设置策略 设置策略 在 Policies 中添加策略 例如添加一条由内到外的策略 选择 From Trust To Untrust 然后点击 New 就可以看到如下界面 然后根据自己的实际情况设置策略就可以了 6 保存防火墙当前设置 保存防火墙当前设置 当一切设置完毕后 在 Configuration Update Config File 中将当前 防火墙的配置保存成文件 Vpn 配置同以前的 hsc 的相同 配置如下 为了保证 VPN 实施成功 需要总公司与分公司配合调试 类型发邮件 liliuyi 电话 01058289863 动态 VPN 1 Loacl User ID 输入 xxyy 这里 xxyy 表示省分支机构代号 比如广东佛山为 gdfs 2 分支机构网段 例如 10 39 3 0 24 3 接入方式 电信或者网通 静态 VPN 1 本地电信分配的静态 Internet 地址 2 分支机构网段 3 接入方式 电信或者网通 一 动态 VPN 动态 VPN 是指 HSC 防火墙通过 PPPOE 拨号方式从 ISP 动态获得公网 IP 地址 与它的对方 NetScreen204 外口地址为静态 IP 地址 建立 Site to Site VPN HSC VPN 配置步骤如下 1 新建一个 PPPOE 拨号 Network PPPoE New 在 PPPoE Instance 中输入一个名称 选 择 Enable 然后在 Username 输入用户名 在 Password 输入密码 然后按确定 2 将 untrust 端口配置为 PPPOE Network Interfaces untrust edit 选择 obtain IP using PPPoE 中 PPPoE 的名称 3 创建 VPN 使用导向完成 Site to Site VPN 配置 Wizards Route based VPN 选中 Local site 中 Trust 和 Remote site 中 Untrust 然后按 Next 4 选择 Make new tunnel interface Bind to unnumbered interface untrust truset vr 然后按 Next 5 选择 LAN to LAN 然后按 Next 6 选择 Loacl Dynamic IP Remote Static IP 在 Loacl User ID 输入 xxyy 可以改 变 但此输入一定于对端 Netscreen204 的 ID 相同 然后按 Next 7 在 Remote Gateway IP Address 输入对端 NS204 的 IP 地址 202 96 19 226 网通 VPN 服务器地 址 或 219 142 1 170 电信 VPN 服务器地址 然后按 Next 8 选择 Standard 128 168 bit encryption strength 然后在 Preshared Secret 中输入 ygbxsitevpn 然后按 Next 9 输入本地 IP 地址 Local Host Address 和远端 IP 地址 Remote Host Address 比如深圳宝安支公司网段 10 43 4 0 24 local 地址就是 10 43 4 0 24 remote 地址就是 10 10 0 0 16 总公司网段 10 选择 Service 为 any Policy created for 为 Both direction 然后按 Next 11 按 Next 进入下一步配置 12 按 Next 进入下一步配置 最后点击 Finish 即可完成 三 运营期备份线路设置 以上为筹备期临时线路配置 专线开通后作为备份线路 由路由器来控制在专线和备份线路间的浮 动 1 需修改bgroup0 trust 的 Static IP 地址为与路由互联地址 如 10 XX 253 XX 具体可咨询李 少武 关闭 DHCP 服务 2 增加一条本地网段到路由器 FE0 0 端口 增加路由操作方法 Network Routing Destination 右上角下拉选择 trust vr 后点击 new IP 地址填写机构本地网段 next hop 选择 gateway interface 下拉选择 bgroup0 gateway ip address 填写本地路由器 FE0 0 端口 接防火墙口 IP 点击 ok 即可 此项设置后机构本地网段可以通过 bgroup0 网址访问本机构 juniper vpn 设备 为维护方便也可类似 为分公司 ip 网段增加两条到机构路由器 FE0 0 接防火墙口 路由 参考列表 3 检查机构路由器 ip route 设置 ip route 0 0 0 0 0 0 0 0 10 XX 254 XX 10 XX 254 XX 为专线对端地址 默认路由指向专 线对端端口 ip route 10 10 0 0 255 255 0 0 10 XX 253 XX 200 10 XX 254 XX 为防火墙 bgroup0 地址 指定到总部 网段的下一跳指向 juniper 防火墙 ip route 10 65 0 0 255 255 0 0 10 XX 253 XX 200 10 XX 254 XX 为防火墙 bgroup0 地址 指定到总部 网段的下一跳指向 juniper 防火墙 二 静态 VPN 静态 VPN 是指 HSC 防火墙直接从 ISP 获得一个静态公网 IP 地址 与它的对方 NetScreen204 外口地址为静态 IP 地址 建立 Site to Site VPN 这种情况下 HSC VPN 配置步骤与 动态 VPN 唯一的不同是第六步 选择 Loacl Stat