Juniper_SSG-5(NS-5GT)vpn防火墻配置手冊(cè)

1、Juniper SSG-5(NS-5GT防火墻配置手冊(cè)初始化設(shè)置 (2Internet網(wǎng)絡(luò)設(shè)置 (6一般策略設(shè)置 (16VPN連接設(shè)置 (28初始化設(shè)置1.將防火墻設(shè)備通電,連接網(wǎng)線從防火墻e02口連接到電腦網(wǎng)卡。2.電腦本地連接設(shè)置靜態(tài)IP地址,IP地址192.168.1.2(在192.168.1.0/24都可以,子網(wǎng)掩碼255.255.255.0,默認(rèn)網(wǎng)關(guān)192.168.1.1,如下圖: 3.設(shè)置好IP地址后,測(cè)試連通,在命令行ping 192.168.1.1,如下圖: 4.從IE瀏覽器登陸防火墻web頁面,在地址欄輸入192.168.1.1,如下圖向?qū)нx擇最下面No, skip,然后點(diǎn)擊

2、下面的Next: 5.在登錄頁面輸入用戶名,密碼,初始均為netscreen,如下圖: 6.登陸到web管理頁面,選擇Configuration Date/Time,然后點(diǎn)擊中間右上角Sync Clock With Client選項(xiàng),如下圖: 7.選擇Interfaces List,在頁面中間點(diǎn)擊bgroup0最右側(cè)的Edit,如下圖: 8.此端口為Trust類型端口,建議IP設(shè)置選擇Static IP,IP Address輸入規(guī)劃好的本地內(nèi)網(wǎng)IP地址,如192.168.22.1/24,Manage IP 192.168.22.1。之后勾選Web UI,Telnet,SSH, SNMP,SSL

3、,Ping。如下圖: Internet網(wǎng)絡(luò)設(shè)置1.修改本地IP地址為本地內(nèi)網(wǎng)IP地址,如下圖: 2.從IE瀏覽器打開防火墻web頁面,輸入用戶名密碼登陸,如下圖: 3.選擇Interfaces List,點(diǎn)擊頁面中ethernet0/0最右側(cè)的Edit選項(xiàng),如下圖: 4.此端口為Untrust類型端口,設(shè)置IP地址有以下三種方法:(根據(jù)ISP提供的網(wǎng)絡(luò)服務(wù)類型選擇A.第一種設(shè)置IP地址是通過DHCP端獲取IP地址,如下圖: B.第二種設(shè)置IP地址的方法是通過PPPoE撥號(hào)連接獲取IP,如下圖,然后選擇Create new pppoe setting, 在如下圖輸入本地ADSL pppoe撥號(hào)賬

4、號(hào),PPPoE Instance輸入名稱,Bound to Interface選擇ethernet0/0,Username和Password輸入ADSL賬號(hào)密碼,之后OK,如下圖: PPPoE撥號(hào)設(shè)置完畢之后,點(diǎn)擊Connect,如下圖: 回到Interface List,可以看到此撥號(hào)連接的連接狀態(tài),如下圖:ethernet0/0右側(cè)PPPoE一欄有一個(gè)紅叉,表示此連接已經(jīng)設(shè)置但未連接成功,如連接成功會(huì)顯示綠勾。 C.第三種設(shè)置IP地址方法是設(shè)置固定IP地址,如下圖:選擇Static IP,輸入IP 地址和Manage IP:10.10.10.1/30,勾選Web UI,Telnet,SSH

5、,然后點(diǎn)OK。 設(shè)置之后顯示如下圖: 設(shè)置靜態(tài)IP地址之后,需要設(shè)置一個(gè)路由下一跳才能正常使用,選擇Routing Destination,點(diǎn)擊右上角New,如下圖: IP Address/Newmask設(shè)置0.0.0.0/0,Next Hop選擇Gateway,Interface選擇ethernet0/0,Gateway IP Address輸入ISP網(wǎng)關(guān)地址,此處例如為:10.10.10.2,如下圖: 設(shè)置完路由如下圖: 5.設(shè)置DNS服務(wù)器(如果是DHCP或PPPoE可能無需設(shè)置此項(xiàng),選擇Network DNS Host,在如下圖可以輸入主機(jī)名稱和DNS服務(wù)器地址。 6.設(shè)置本地內(nèi)網(wǎng)DH

6、CP功能,選擇Network DHCP,如下圖:點(diǎn)擊bgroup0右側(cè)的Edit 7.選擇DHCP Server,其他默認(rèn)即可,如下圖: 8.設(shè)置之后顯示如下圖,還未分配地址池, 9.再選擇Network DHCP,點(diǎn)擊Address,出現(xiàn)如下圖,輸入分配地址池: 10.設(shè)置完成之后如下圖: 一般策略設(shè)置1.首先可以指定IP地址,根據(jù)IP地址作策略,選擇Policy Policy Elements Addresses List,然后在中間頁面選擇Trust,然后點(diǎn)擊New,如下圖: 2.在Address Name為指定IP地址設(shè)置識(shí)別名稱,然后在下面輸入具體IP,如下圖: 3.設(shè)置之后如下圖:

7、 4.再設(shè)置一個(gè)指定IP地址,如下圖: 5.設(shè)置之后兩個(gè)都可以顯示出來,如下圖: 6.設(shè)置多個(gè)指定IP組,選擇Policy Policy Elements Addresses Groups,如下圖:中間頁面的Zone選擇Trust,點(diǎn)擊右側(cè)的New。 7.為此IP組起識(shí)別名稱,下面將需要加入組的IP添加到組里,點(diǎn)OK,如下圖: 8.根據(jù)需求可以自定義服務(wù),選擇Policy Policy Elements Services Customs,如下圖:點(diǎn)擊右側(cè)New 9.輸入此自定義服務(wù)的識(shí)別名稱,然后下面可以選擇服務(wù)類型和服務(wù)端口,如下圖: 10.設(shè)置完之后如下圖: 11.定制多個(gè)服務(wù)組,選擇Po

8、licy Policy Elements Services Groups,點(diǎn)擊頁面中間右側(cè)的New,如下圖: 12.為此定制服務(wù)組設(shè)置識(shí)別名稱,將需要的服務(wù)添加進(jìn)入,點(diǎn)擊OK。 13.設(shè)置完成之后如下圖: 14.策略設(shè)置,此處可以直接使用之前設(shè)置的指定IP地址(組,自定義服務(wù)(組。選擇Policy Polices,如下圖:選擇From Untrust to Trust(可根據(jù)需要修改,點(diǎn)擊右側(cè)New, 15.如也可以設(shè)置From Trust to Untrust,如下圖: 16.策略設(shè)置頁面如下圖,設(shè)置名稱,選擇源地址和目的地址,服務(wù)類型等,最后選擇允許還是拒絕。 18.也可以設(shè)置一個(gè)全拒絕的

9、策略,如下圖: 20.可以點(diǎn)擊ID為1的策略右側(cè)的雙箭頭符號(hào),出現(xiàn)腳本提示點(diǎn)確定, 21.這樣可以把ID為1的策略放到下面,如下圖策略含義為從Trust口到Untrust口的流量中,來自IT組的IP地址到任意目的地,服務(wù)類型屬于CTG-APP中的流量允許通過,其他所有流量都拒絕。 22.可以為策略設(shè)置時(shí)間表,選擇Policy Schedules,如下圖:點(diǎn)擊New 23.輸入時(shí)間表名稱worktime,設(shè)置周期時(shí)間。 24.設(shè)置之后如下圖: VPN連接設(shè)置設(shè)置VPN網(wǎng)絡(luò)連接,根據(jù)具體情況有多種方法可選:A.方法一,通訊雙方端口均為靜態(tài)IP地址,配置如下:1.設(shè)置對(duì)端網(wǎng)關(guān)信息,和本地Local

10、ID(可選,如下圖:IP地址為對(duì)端公網(wǎng)IP,之后點(diǎn)擊Advanced 2.Preshared Key輸入一串共享密鑰,對(duì)端需要設(shè)置同樣密鑰才可成功連接,其他默認(rèn)即可,點(diǎn)擊下面OK 3.設(shè)置雙端IKE VPN端口認(rèn)證,選擇VPNs AutoKey IKE,輸入VPN名稱,之后Predefined選擇已經(jīng)設(shè)置好的Gateway,之后點(diǎn)Advanced,里面設(shè)置logging即可,之后點(diǎn)OK。 4.設(shè)置完成之后顯示如下圖: 5.設(shè)置VPN連接策略,選擇Policy Polices,From Trust to Untrust,點(diǎn)擊右側(cè)New,之后在如下頁面輸入源地址,目的地址,服務(wù)類型,Action選

11、擇Tunnel,Tunnel VPN選擇設(shè)置好的VPN IKE,下面勾選Modify matching bidirectional VPN policy,勾選Logging,勾選Position at Top,之后點(diǎn)Advanced 6.在下面勾選Counting,其他默認(rèn),點(diǎn)擊OK, 7.設(shè)置完策略如下圖: B.方法二,通訊雙方有一個(gè)端口為靜態(tài)IP地址,另一個(gè)端口IP地址為動(dòng)態(tài)。1.如果本地IP為ADSL,IP地址會(huì)發(fā)生變化,則需要使用Local ID設(shè)置Gateway,選擇VPNs AutoKey Advanced Gateway,輸入對(duì)端公網(wǎng)IP地址,選擇ACVPN-Dynamic, L

12、ocal ID輸入本地名稱(如bj 2.則對(duì)端設(shè)置Gateway時(shí),需要如下圖設(shè)置,不輸入對(duì)端IP地址,選擇Dynamic IP Address,Peer ID輸入對(duì)端Local ID(如bj。之后步驟同方法一中的2-7步驟。 1.選擇Wizards Router-based,出現(xiàn)如下圖向?qū)ы撁?選擇源端口和目的端口類型 2.選擇Make new tunnel interface,選擇ethernet0/0 (trust-vr,選擇Next 3.選擇LAN-to-LAN,如下圖: 4.根據(jù)通訊雙方端口類型,如靜態(tài),動(dòng)態(tài)IP地址,選擇下面類型,如Local Static IP Remote St

13、atic IP 6.選擇通道加密類型,之后下面輸入通訊密鑰,雙方端口要求一致 9.根據(jù)需要可以設(shè)置帶寬限制,默認(rèn)為不做限制 11.向?qū)гO(shè)置完畢,明細(xì)如下表: 12.配置確認(rèn)。點(diǎn)擊Finish完成。 13.根據(jù)向?qū)ё鐾闢PN策略后,可以在路由表中看到自動(dòng)添加了一條路由,選擇Network Routing Destination,Interface為tunnel 1,說明此為向?qū)е谱鞯腣PN鏈路。 分類:networkP2TP VPN Client to P2TP VPN Gateway configurationP2TP VPN Client to P2TP VPN Gateway config

14、urationnetscreen 5gt 靜態(tài)ip,在xp下測(cè)試成功!P2TP VPN Gateway1. 創(chuàng)建LAN_Address 備注:創(chuàng)建一個(gè)要訪問的LAN_Address。(vpn server site LAN for vpn client access.2. 創(chuàng)建一個(gè)撥號(hào)vpn客戶端地址段 備注:不能與LAN_Address相同子網(wǎng)段,但Zone要同屬一個(gè)Zone。(vpn client using this address to access vpn server LAN3. 創(chuàng)建一個(gè)IP地址池 備注:創(chuàng)建撥號(hào)用戶獨(dú)立子網(wǎng)段的IP地址池分配。4. 創(chuàng)建一個(gè)用戶,關(guān)聯(lián)IP地址池,

15、選擇L2TP Remote,并添加user password。 備注:上面的IP Pool:一定要選擇。5. 創(chuàng)建一個(gè)vpn用戶組,并把相關(guān)應(yīng)用l2tp協(xié)議vpn連接的用戶添加到左邊作組成員。 6. 修改L2TP隧道的默認(rèn)設(shè)置,ip pool關(guān)聯(lián),添加當(dāng)?shù)鼐€路的isp提供的dns等。 7. 在tunnel頁面選擇第3步創(chuàng)建的用戶組作為撥號(hào)組,并選擇之前設(shè)定的外網(wǎng)口,關(guān)聯(lián)第1步設(shè)定的ip地址池。 8. 創(chuàng)建一條策略from untrust to trust,源地址為Dial-Up VPN,目的地址為指定的IP地址:192.168.2.4/32,并在Action修改為:tunnel,L2TP:vpn_test,然后,在Position at top!Vpn Client config: 使用網(wǎng)絡(luò)連接建立 vpn 撥號(hào)連接 vpn server 輸入 netscreen 設(shè)備 untrust 接口地址。然后 修改 18. 點(diǎn)擊“屬性” ，選擇“安全”選項(xiàng)；選取“高級(jí)” ，點(diǎn)擊“設(shè)置” ； 19. 在數(shù)據(jù)加密選取 “可選加密 （沒有加密也可以連接） 允許這些協(xié)議， ， 質(zhì)詢握手身份驗(yàn)證協(xié)議 （