Juniper-SSG5(NS5GT)防火墻配置手冊(cè)

可編輯 精品文檔 JuniperSSG-5(NS-5GT)防火墻配置手冊(cè) VPN 27可編輯精品文檔初始化設(shè)置1.將防火墻設(shè)備通電，連接網(wǎng)線從防火墻e0\2口連接到電腦網(wǎng)卡。2.電腦本地連接設(shè)置靜態(tài)IP地址，IP地址192.168.1.2(在192.168.1.0/24都可以)，子網(wǎng)3.設(shè)置好IP地址后，測(cè)試連通，在命令行ping192.168.1.1，如下圖：精品文檔No,skip——，然后點(diǎn)擊下面的Next：5.在登錄頁(yè)面輸入用戶名，密碼，初始均為netscreen，如下圖：精品文檔WithClient選項(xiàng)，如下圖：7.選擇Interfaces–List，在頁(yè)面中間點(diǎn)擊bgroup0最右側(cè)的Edit，如下圖：精品文檔精品文檔Internet網(wǎng)絡(luò)設(shè)置1.修改本地IP地址為本地內(nèi)網(wǎng)IP地址，如下圖：2.從IE瀏覽器打開防火墻web頁(yè)面，輸入用戶名密碼登陸，如下圖：精品文檔3.選擇Interfaces–List，點(diǎn)擊頁(yè)面中ethernet0/0最右側(cè)的Edit選項(xiàng)，如下圖：類型選擇)A．第一種設(shè)置IP地址是通過(guò)DHCP端獲取IP地址，如下圖：精品文檔B．第二種設(shè)置IP地址的方法是通過(guò)PPPoE撥號(hào)連接獲取IP，如下圖，然后選擇Createnewpppoesetting，InstanceBoundtoInterface選擇ethernet0/0，Username和Password輸入ADSL賬號(hào)密碼，之后OK，如下圖：精品文檔PPPoE撥號(hào)設(shè)置完畢之后，點(diǎn)擊Connect，如下圖：PPPoE一欄有一個(gè)紅叉，表示此連接已經(jīng)設(shè)置但未連接成功，如連接成功會(huì)顯示綠勾。精品文檔C．第三種設(shè)置IP地址方法是設(shè)置固定IP地址，如下圖：選擇StaticIP，輸入IP地址和ManageIP：10.10.10.1/30，勾選WebUI，Telnet，SSH，然后點(diǎn)OK。精品文檔設(shè)置靜態(tài)IP地址之后，需要設(shè)置一個(gè)路由下一跳才能正常使用，選擇Routing–Destination，點(diǎn)擊右上角New，如下圖：IPAddress/Newmask設(shè)置0.0.0.0/0，NextHop選擇Gateway，Interface選擇精品文檔5.設(shè)置DNS服務(wù)器(如果是DHCP或PPPoE可能無(wú)需設(shè)置此項(xiàng))，選擇Network–DNSHost，在如下圖可以輸入主機(jī)名稱和DNS服務(wù)器地址。精品文檔t精品文檔9．再選擇Network–DHCP，點(diǎn)擊Address，出現(xiàn)如下圖，輸入分配地址池：精品文檔精品文檔一般策略設(shè)置List頁(yè)面選擇Trust，然后點(diǎn)擊New，如下圖：AddressNameIP置識(shí)別名稱，然后在下面輸入具體IP，如下圖：精品文檔4．再設(shè)置一個(gè)指定IP地址，如下圖：精品文檔中間頁(yè)面的Zone選擇Trust，點(diǎn)擊右側(cè)的New。精品文檔7．為此IP組起識(shí)別名稱，下面將需要加入組的IP添加到組里，點(diǎn)OK，如下圖：cyElementsServicesCustoms下圖：點(diǎn)擊右側(cè)New精品文檔9．輸入此自定義服務(wù)的識(shí)別名稱，然后下面可以選擇服務(wù)類型和服務(wù)端口，如下圖：精品文檔Groups12．為此定制服務(wù)組設(shè)置識(shí)別名稱，將需要的服務(wù)添加進(jìn)入，點(diǎn)擊OK。精品文檔14．策略設(shè)置，此處可以直接使用之前設(shè)置的指定IP地址(組)，自定義服務(wù)(組)。精品文檔15．如也可以設(shè)置FromTrusttoUntrust，如下圖：16．策略設(shè)置頁(yè)面如下圖，設(shè)置名稱，選擇源地址和目的地址，服務(wù)類型等，最后選擇精品文檔精品文檔20．可以點(diǎn)擊ID為1的策略右側(cè)的雙箭頭符號(hào)，出現(xiàn)腳本提示點(diǎn)確定，精品文檔21．這樣可以把ID為1的策略放到下面，如下圖策略含義為從Trust口到Untrust口的流量中，來(lái)自IT組的IP地址到任意目的地，服務(wù)類型屬于CTG-APP中的流量允許通過(guò)，所有流量都拒絕。22．可以為策略設(shè)置時(shí)間表，選擇Policy–Schedules，如下圖：點(diǎn)擊New精品文檔23．輸入時(shí)間表名稱worktime，設(shè)置周期時(shí)間。精品文檔VPN連接設(shè)置設(shè)置VPN網(wǎng)絡(luò)連接，根據(jù)具體情況有多種方法可選：A．方法一，通訊雙方端口均為靜態(tài)IP地址，配置如下：1．設(shè)置對(duì)端網(wǎng)關(guān)信息，和本地LocalID(可選)，如下圖：IP地址為對(duì)端公網(wǎng)IP，之后點(diǎn)擊Advanced精品文檔2．PresharedKey輸入一串共享密鑰，對(duì)端需要設(shè)置同樣密鑰才可成功連接，其他默認(rèn)即可，點(diǎn)擊下面OK3．設(shè)置雙端IKEVPN端口認(rèn)證，選擇VPNs–AutoKeyIKE，輸入VPN名稱，之后Predefined選擇已經(jīng)設(shè)置好的Gateway，之后點(diǎn)Advanced，里面設(shè)置logging即可，之后點(diǎn)OK。精品文檔之后在如下頁(yè)面輸入源地址，目的地址，服務(wù)類型，Action選擇Tunnel，TunnelVPN選擇設(shè)置好的VPNIKE，下面勾選ModifymatchingbidirectionalVPNpolicy，勾選Logging，勾選PositionatTop，之后點(diǎn)Advanced精品文檔6．在下面勾選Counting，其他默認(rèn)，點(diǎn)擊OK，精品文檔B．方法二，通訊雙方有一個(gè)端口為靜態(tài)IP地址，另一個(gè)端口IP地址為動(dòng)態(tài)。1．如果本地IP為ADSL，IP地址會(huì)發(fā)生變化，則需要使用LocalID設(shè)置Gateway，選擇VPNs–AutoKeyAdvanced–Gateway，輸入對(duì)端公網(wǎng)IP地址，選擇ACVPN-Dynamic，LocalID輸入本地名稱(如bj)2．則對(duì)端設(shè)置Gateway時(shí)，需要如下圖設(shè)置，不輸入對(duì)端IP地址，選擇DynamicIPAddress，PeerID輸入對(duì)端LocalID(如bj)。之后步驟同方法一中的2-7步驟。精品文檔C．通過(guò)向?qū)гO(shè)置VPN連接1．選擇Wizards–Router-based，出現(xiàn)如下圖向?qū)ы?yè)面，選擇源端口和目的端口類型2．選擇Makenewtunnelinterface，選擇ethernet0/0(trust-vr)，選擇Next精品文檔3．選擇LAN-to-LAN，如下圖：ticIPRemoteStaticIP精品文檔5．輸入對(duì)端公網(wǎng)IP地址，如192.168.