JuniperFW模拟实例配置.ppt

Juniper SSG FW模拟实例配置,2,网络总体拓扑,Trust Zone：,.1,应用服务器,应用服务器：,3,总部A的基本配置,系统基本参数设定接口设置以及安全区的划分内网交换机连接防火墙eth0/2接口，eth0/2接口绑定到bgp3接口；bgp3接口设定为trust区接口。内网网段为，接口地址为。公网路由器连接防火墙eth0/0接口，eth0/0接口绑定到Untrust区。公网路由器的地址为，Untrust接口为。设置默认路由将默认路由指向公网路由器的地址，将出口指向Untrust接口。设置内网（Trust）到外网（Untrust）的访问策略,4,系统升级,升级Screen OS 菜单,选择Screen OS,搜索本地Screen OS文件,5,此过程需要等候几分钟;在此过程内不做任何操作,直到WebUI弹出重新登陆界面,系统升级,6,系统升级,7,系统时间设置,进入SSG系统后首先同步防火墙时间,8,系统时间设置,点击Sync Clock With Client Yes,9,DNS基本设置,10,接口默认设置一览,11,将eth0/2绑定到bg3中。,内网接口（Trust Interface）的设置,12,内网接口（Trust Interface）的设置 续,设置IP地址；设置可管理项。,13,外网接口（Untrust Interface）的设置,如果允许在外网进行网管请打开相关选项,14,默认路由的设置,代表默认路由,指定出口以及网关地址,15,内网（Trust）到外网（Untrust）的访问策略,Any代表任意地址,允许内网访问外网,16,总部A的地址映射/服务器访问设置,WEB服务器（真实地址；公网映射地址）在Untrust接口上设置MIP，做1vs1的地址映射。通过设置策略允许外网访问MIP上的WEB服务（80端口）。ERP服务器设置ERP服务器的真实地址。设置ERP服务器的应用服务（TCP8888端口）。设置B公司的内网地址段：。设置C公司的内网地址段：。通过设置策略允许B、C公司可以通过VPN隧道访问ERP服务器。,17,在Untrust接口设置MIP,在这里输入公网地址,在这里输入真实服务器地址,18,设置策略允许外网访问WEB服务器,在目的地址里选择MIP地址。,在服务里选择HTTP。,19,设置ERP服务器的应用服务（TCP 8888）,在这里选择端口号,20,设置ERP服务器的真实地址,单台主机的掩码使用/32。,21,设置B公司的内网地址段,该地址对于A来说是从属于Untrust Zone的。,22,设置C公司的内网地址段,该地址对于A来说是从属于Untrust Zone的。,23,设置策略允许B公司访问ERP服务器,24,设置策略允许C公司访问ERP服务器,25,总部A的总体安全策略,对于分公司B的访问总部A可以无限制访问分公司B的内网；对于公网的访问仅允许许http/https/dns/icmp/smtp/pop3/ftp/msn这八种服务。分公司B对于总部A的访问分公司B可以无限制访问总部A的内网；取消前面设定的默认策略撤销原先的内网对公网的默认策略,26,设置策略允许总部A访问分公司B,27,设置策略允许总部A访问公网的几种特定服务,点击它，则弹出选择服务的菜单。,28,设置策略允许分公司B访问总部A,29,取消默认策略/重复的策略,30,添加默认路由,31,添加默认路由,32,分公司B的基本配置 设置方法参考A,接口设置以及安全区的划分内网交换机连接防火墙Trust接口，Trust接口绑定到Trust Zone。内网网段为，Trust接口地址为。公网路由器连接防火墙Untrust接口，Untrust接口绑定到Untrust Zone。公网路由器的地址为，Untrust接口为。设置默认路由将默认路由指向公网路由器的地址，将出口指向Untrust接口。设置内网（Trust）到外网（Untrust）的访问策略,33,公司C的基本配置 设置方法参考A,接口设置以及安全区的划分内网交换机连接防火墙Trust接口，Trust接口绑定到Trust Zone。内网网段为，Trust接口地址为。公网路由器连接防火墙Untrust接口，Untrust接口绑定到Untrust Zone。公网路由器的地址为，Untrust接口为。设置默认路由将默认路由指向公网路由器的地址，将出口指向Untrust接口。设置内网（Trust）到外网（Untrust）的访问策略,34,总部A与分公司B之间的Site to Site VPN,总部A部分的Site to Site VPN设置VPN Gateway的设置VPN 的设置路由的设置分公司B部分的Site to Site VPN设置VPN Gateway的设置VPN的设置路由的设置,35,总部A Gateway的设置,对方VPN设备的网关,36,总部A Gateway的设置,选择VPN通道的出口,37,总部A Gateway的设置 高级选项,VPN双方的模式必须一致,38,总部A Tunnel Interface的设置,Tunnel Interface的地址借用出口接口的地址,39,总部A IKE VPN配置,在下拉菜单选取前面定义的IKE Gateway,40,总部A IKE VPN配置 高级选项,绑定tunnel.1接口,填入本地/远端地址段,41,总部A 路由的设置,写入分公司B内网的地址,选择tunnel.1作为出口,42,分公司B Gateway的设置,对方VPN设备的网关,43,分公司B Gateway的设置,选择VPN通道的出口,44,分公司B Gateway的设置 高级选项,VPN双方的模式必须一致,45,分公司B Tunnel Interface的设置,Tunnel Interface的地址借用外出接口的地址,46,分公司B IKE VPN配置,在下拉菜单选取前面定义的IKE Gateway,47,分公司B IKE VPN配置 高级选项,绑定tunnel.1接口,填入本地/远端地址段,48,分公司B 路由的设置,选择tunnel.1作为出口,B公司所有的对外访问都要通过到总部A的VPN隧道；故选择的默认路由,49,总部A与公司C之间的Site to Site VPN,总部A部分的Site to Site VPN设置VPN Gateway的设置VPN 的设置VPN策略设置公司C部分的Site to Site VPN设置VPN Gateway的设置VPN的设置VPN策略设置,50,总部A Gateway的设置,对方VPN设备的网关,51,选择VPN通道的出口,总部A Gateway的设置,52,总部A Gateway的设置 高级选项,VPN双方的模式必须一致,53,总部A IKE VPN配置,在下拉菜单选取前面定义的IKE Gateway,54,总部A IKE VPN配置 高级选项,55,总部A VPN策略的设置,Action选择Tunnel,选择A到C的VPN,56,总部C Gateway的设置,对方VPN设备的网关,选择VPN通道的出口,57,总部C Gateway的设置,选择VPN通道的出口,58,总部C Gateway的设置 高级选项,VPN双方的模式必须一致,59,总部C IKE VPN配置,在下拉菜单选取前面定义的IKE Gateway,60,总部C IKE VPN配置 高级选项,61,总部C VPN策略的设置,Action选择Tunnel,选择C到A的VPN,62,远程用户1通过IPsec Dialup VPN访问总部A,Phase 1 部分 IKE Gateway VPN的向外接口IKE Gateway 地址Phase 1 协议Pre-shared KeyDiffie-Hellman group numberEncryption AlgorithmAuthentication AlgorithmPhase 2 部分 VPN n名称Phase 2 proposalDiffie-Hellman group number for PFS(optional)IPSec protocol(ESP or AH)Encryption AlgorithmAuthentication AlgorithmVPN 安全策略Netscreen Remote 客户端的设置,Dial-up User 设定部分 设定用户的IKE ID,63,配置Dial-up用户,设置IKE ID,设定其它值会导致异常,客户端也须配置两者须一致,64,配置dialup VPN Gateway,IKE Phase 1,选择dialup user，并在对应下拉菜单选择我们刚才设定的用户。,设置共享密钥，客户端也须设置相同的值（最少8位）,65,配置dialup VPN Gateway 高级选项,IKE Phase 1,注意dial-up VPN使用Aggressive模式,如果VPN连接中有NAT存在，请勾选此项，开启穿透功能；并做UDP Checksum检查,66,配置 dialup VPN,IKE Phase 2,在下拉菜单选取前面定义的IKE Gateway,67,配置dialup VPN 高级选项,IKE Phase 2,VPNs AutoKey IKE Edit(Advanced),68,总部A VPN策略的设置,Action选择Tunnel,选择dialup VPN,源地址选择Dial-Up VPN（系统自定义）,69,Netscreen Remote远程客户端的配置 01,新建一个连接，取名后，点中它，出现右方基本配置界面。,在该选项中输入我们的目标地址，即安全网关后面的内部子网/主机的地址。,选中该选项，并在ID中选取IP Address，输入安全网关的外网口地址。,70,Netscreen Remote远程客户端的配置 02,点击新建连接的加号键，点中My Identity进行设置,在Select中选择None；在Pre-Shared Key中输入与前面安全网关Gateway配置中一致的值。,在ID选项中选择E-mail Address，然后输入与前面安全网关Dial-up 用户配置中一致的值。,71,Netscreen Remote远程客户端的配置 03,选中Security Policy进行设置。,在Select Phase 1 Negotiation Mode中选择Aggressive Mode。,根据前面在安全网关中IKE VPN中Phase 2 Proposal选择的不同，选择是否使用PFS。,72,Netscreen Remote远程客户端的配置 04,选中Proposal 1,进行Phase 1的设置。,根据前面在安全网关中IKE Gateway中Phase 1Proposal的选择，选择一致的选项。,73,Netscreen Remote远程客户端的配置 05,选中Proposal 2,进行Phase 2的设置。,根据前面在安全网关中IKE VPN中Phase 2Proposal的选择，选择一致的选项。,74,远程用户2通过L2TP VPN访问总部A的ERP服务器,L2TP Tunnel的设置 VPN 安全策略Windows客户端的设置,L2TP User 设定部分 设定L2TP用户名/密码,75,配置L2TP用户,设定用户名,分配给L2TP用户的地址,设定密码,76,配置L2TP Tunnel,选择Tunnel的接口,选择L2TP用户,77,L2TP Tunnel策略的设置,Action选择Tunnel,选择L2TP Tunnel,源地址选择Dial-Up VPN（系统自定义）,78,Windows 客户端的配置 01,79,Windows 客户端的配置 02,80,Windows 客户端的配置 03,81,Windows 客户端的配置 04,82,Windows 客户端的配置 05,83,Windows 客户端的配置 06,84,Windows 客户端的配置 07,