【正文】 Juniper SSG5（ NS5GT） 防火墻配置手冊 初始化設(shè)置 ...................................................................................................................... 2 Inter網(wǎng)絡(luò)設(shè)置 .............................................................................................................. 6 一般策略設(shè)置 ................................................................................................................. 16 VPN 連接設(shè)置 ................................................................................................................ 28 初始化設(shè)置 ，連接網(wǎng)線從防火墻 e0\2 口連接到電腦網(wǎng)卡。 IP 地址， IP 地址 （在 ），子網(wǎng)掩碼 ，默認(rèn)網(wǎng)關(guān) ，如下圖： IP 地址后，測試連通，在命令行 ping ，如下圖： IE 瀏覽器登陸防火墻 web 頁面，在地址欄輸入 ，如下圖向?qū)нx擇最下面 No, skip—— ，然后點(diǎn)擊下面的 Next： ，密碼，初始均為 screen，如下圖： web管理頁面，選擇 Configuration – Date/Time，然后點(diǎn)擊中間右上角 Sync Clock With Client 選項(xiàng) ，如下圖： Interfaces – List，在頁面中間點(diǎn)擊 bgroup0 最右側(cè)的 Edit，如下圖： Trust 類型端口，建議 IP 設(shè)置選擇 Static IP， IP Address 輸入規(guī)劃好的本地內(nèi)網(wǎng) IP 地址，如 ， Manage IP 。之后勾選 Web UI， Tel， SSH，SNMP， SSL， Ping。如下圖： Inter 網(wǎng)絡(luò)設(shè)置 IP 地址為本地內(nèi)網(wǎng) IP 地址，如下圖： IE 瀏覽器打開防火墻 web 頁面，輸入用戶名密碼登陸，如下圖： Interfaces – List，點(diǎn)擊頁面中 ether0/0 最右側(cè)的 Edit 選項(xiàng)，如下圖： Untrust 類型端口，設(shè)置 IP 地址有以下三種方法：（根據(jù) ISP 提供的網(wǎng)絡(luò)服務(wù)類型選擇） A．第一種設(shè)置 IP 地址是通過 DHCP 端獲取 IP 地址，如下圖： B．第二種設(shè)置 IP 地址的方法是通過 PPPoE 撥號連接獲取 IP，如下圖，然后選擇Create new pppoe setting， 在如下圖輸入本地 ADSL pppoe 撥號賬號， PPPoE Instance 輸入名稱， Bound to Interface 選擇 ether0/0， Username 和 Password 輸入 ADSL 賬號密碼，之后 OK，如下圖： PPPoE 撥號設(shè)置完畢之后，點(diǎn)擊 Connect，如下圖： 回到 Interface – List，可以看到此撥號連接的連接狀態(tài)，如下圖： ether0/0右側(cè)PPPoE 一欄有一個(gè)紅叉，表示此連接已經(jīng)設(shè)置但未連接成功，如連接成功會顯示綠勾。 C．第三種設(shè)置 IP 地址方法是設(shè)置固定 IP 地址，如下圖：選擇 Static IP，輸入 IP地址 和 Manage IP： ，勾選 Web UI， Tel， SSH，然后點(diǎn) OK。 設(shè)置之后顯示如下圖： 設(shè)置靜態(tài) IP 地址之后，需要設(shè)置一個(gè)路由下一跳才能正常使用，選擇 Routing – Destination，點(diǎn)擊右上角 New，如下圖： IP Address/Newmask 設(shè)置 ， Next Hop 選擇 Gateway， Interface 選擇ether0/0， Gateway IP Address 輸入 ISP 網(wǎng)關(guān)地址，此處例如為： ， 如下圖： 設(shè)置完路由如下圖： DNS服務(wù)器（如果是 DHCP 或 PPPoE 可能無需設(shè)置此項(xiàng)），選擇 Network – DNS – Host，在如下圖可以輸入主機(jī)名稱和 DNS 服務(wù)器地址。 DHCP 功能，選擇 Network – DHCP，如下圖：點(diǎn)擊 bgroup0右側(cè)的 Edit 7．選擇 DHCP Server，其他默認(rèn)即可，如下圖： 8．設(shè)置之后顯示如下圖，還未分配地址池， 9．再選擇 Network – DHCP，點(diǎn)擊 Address，出 現(xiàn)如下圖，輸入分配地址池： 10．設(shè)置完成之后如下圖： 一般策略設(shè)置 1．首先可以指定 IP 地址，根據(jù) IP 地址作策略，選擇 Policy – Policy Elements – Addresses – List，然后在中間頁面選擇 Trust，然后點(diǎn)擊 New，如下圖： 2．在 Address Name 為指定 IP 地址設(shè)置識別名稱，然后在下面輸入具體 IP，如下圖： 3．設(shè)置之后如下圖： 4．再設(shè)置一個(gè)指定 IP 地址，如下圖： 5．設(shè)置之后兩個(gè)都可以顯示出來，如下圖： 6．設(shè)置多個(gè)指定 IP 組，選擇 Policy – Policy Elements – Addresses – Groups，如下圖：中間頁面的 Zone 選擇 Trust，點(diǎn)擊右側(cè)的 New。 7．為此 IP 組起識別名稱，下面將需要加入組的 IP 添加到組里，點(diǎn) OK，如下圖： 8．根據(jù)需求可以自定義服務(wù)，選擇 Policy – Policy Elements – Services – Customs，如下圖：點(diǎn)擊右側(cè) New 9．輸入此自定義服務(wù)的識別名稱， 然后下面可以選擇服務(wù)類型和服務(wù)端口，如 下圖： 10．設(shè)置完之后如下圖： 11．定制多個(gè)服務(wù)組，選擇 Policy – Policy Elements – Services – Groups，點(diǎn)擊頁面中間右側(cè)的 New，如下圖： 12．為此定制服務(wù)組設(shè)置識別名稱，將需要的服務(wù)添加進(jìn)入，點(diǎn)擊 OK。 13．設(shè)置完成之后如下圖： 14．策略設(shè)置，此處可以直接使用之前設(shè)置的指定 IP 地址（組），自定義服務(wù)（組）。選擇 Policy – Polices，如下圖：選擇 From Untrust to Trust（可根據(jù)需要 修改），點(diǎn)擊右側(cè) New， 15．如也可以設(shè)置 From Trust to Untrust，如下圖： 16．策略設(shè)置頁面如下圖，設(shè)置名稱，選擇源地址和目的地址，服務(wù)類型等，最后選擇允許還是拒絕。 17．設(shè)置之后如下圖： 18．也可以設(shè)置一個(gè)全拒絕的策略，如下圖： 19．設(shè)置之后如下圖： 20．可以點(diǎn)擊 ID 為 1 的策略右側(cè)的 雙箭頭符號，出現(xiàn)腳本提示點(diǎn)確定， 21．這樣可以把 ID 為 1的策略放到下面，如下圖策略含義為從 Trust 口到 Untrust口的流量中， 來自 IT 組的 IP 地址到任意目的地，服務(wù)類型屬于 CTGAPP 中的流量允許通過，其他所有流量都拒絕。 22．可以為策略設(shè)置時(shí)間表，選擇 Policy – Schedules，如下圖：點(diǎn)擊 New 23．輸入時(shí)間表名稱 worktime，設(shè)置周期時(shí)間。 24．設(shè)置之后如下圖： VPN 連接設(shè)置 設(shè)置 VPN 網(wǎng)絡(luò)連接，根據(jù)具體情況有多種方法可選： A．方法一，通訊雙方端口均為靜態(tài) IP 地址，配置如下： 1．設(shè)置對端網(wǎng)關(guān)信息，和本地 Local ID（可選），如下圖： IP 地址為對端公網(wǎng) IP，之后點(diǎn)擊 Advanced 2． Preshared Key 輸入一串共享密鑰，對端需要設(shè)置同樣密鑰才可成功連接，其他默認(rèn)即可，點(diǎn)擊下面 OK 3．設(shè)置雙端 IKE VPN 端口認(rèn)證， 選擇 VPNs – AutoKey IKE，輸入 VPN 名稱，之后Predefined 選擇已經(jīng)設(shè)置好的 Gateway，之后點(diǎn) Advanced，里面設(shè)置 logging 即可，之后點(diǎn)OK。 4．設(shè)置完成之后顯示如下圖： 5．設(shè)置 VPN連接策略，選擇 Policy – Polices， From Trust to Untrust，點(diǎn)擊右側(cè) New，之后在如下頁面輸入源地址，目的地址，服務(wù)類型， Action 選擇 Tunnel， Tunnel VPN 選擇設(shè)置好的 VPN IKE，下面勾選 Modify matching bidirectional VPN policy，勾選 Logging，勾選 Position at Top，之后點(diǎn) Advanced 6．在下面勾選 Counting，其他默認(rèn)，點(diǎn)擊 OK， 7．設(shè)置完策略如下圖： B．方法二，通訊雙方有一個(gè)端口為靜態(tài) IP 地址，另一個(gè)端口 IP 地址為動態(tài)。 1．如果本 地 IP 為 ADSL， IP 地址會發(fā)生變化，則需要使用 Local ID 設(shè)置 Gateway，選擇 VPNs – AutoKey Advanced – Gateway，輸入對端公網(wǎng) IP 地址，選擇 ACVPNDynamic，Local ID 輸入本地名稱（如 bj） 2．則對端設(shè)置 Gateway 時(shí)，需要如下圖設(shè)置，不輸入對端 IP 地址，選擇 Dynamic IP Address， Peer ID 輸入對端 Local ID（如 bj）。之后步驟 同方法一中的 27 步驟。 C．通過向?qū)гO(shè)置 VPN 連接 1．選擇 Wizards – Routerbased，出現(xiàn)如下圖向?qū)ы撁?，選擇源端口和目的端口類型 2．選擇 Make new tunnel interface，選擇 ether0/0 (trustvr)，選擇 Next 3．選擇 LANtoLAN，如下圖： 4．根據(jù)通訊雙方端口類型，如靜態(tài)，動態(tài) IP 地址，選擇下面類型，如 Local Static IP – Remote Static IP 5．輸入對端公網(wǎng) IP 地址，如 6．選擇通道加密類型，之后下面輸入 通訊密鑰，雙方端口要求一致 7．選擇或者輸入源地址和目的地址 8．選擇服務(wù)類型和策略雙向通訊 9．根據(jù)需要可以設(shè)置帶寬限制，默認(rèn)為不做限制 10．根據(jù)需要是否選擇定制好的 Schedule 應(yīng)用到此 VPN 策略 11． 向?qū)гO(shè)置完畢，明細(xì)如下表： 12．配置確認(rèn)。點(diǎn)擊 Finish 完成。 13．根據(jù)向?qū)ё鐾?VPN策略后，可以在路由表中看到自動添加了一條路由，選擇 Network – Routing – Destination， Interface 為 tunnel 1，說明此為向?qū)е谱鞯?VPN 鏈路。 P2TP VPN Client to P2TP VPN Gateway configuration (20201101 20:39) 分類： work P2TP VPN Client to P2TP VPN Gateway configuration P2TP VPN Client to P2TP VPN Gateway configuration screen 5gt 靜態(tài) ip，在 xp 下測試成功！ P2TP VPN Gateway 1. 創(chuàng)建 LAN_Address 備注：創(chuàng)建一個(gè)要訪問的 LAN_Address。 (vpn server site LAN for vpn client access.) 2. 創(chuàng)建一個(gè)撥號 vpn 客戶端地址段 備 注 ： 不 能 與 LAN_Address 相 同 子 網(wǎng) 段 ， 但 Zone 要 同 屬 一 個(gè) Zone 。(vpn client using this address to access vpn server LAN) 3. 創(chuàng)建一個(gè) IP 地址池 備注：創(chuàng)建撥號用戶獨(dú)立子網(wǎng)段的 IP 地址池分配。 4. 創(chuàng)建一個(gè)用戶，關(guān)聯(lián) IP 地址池，選擇 L2TP Remote，并添加 user password。 備注：上面的 IP P