【正文】 sal preg23dessha set vpn tokyo_paris gateway to_paris seclevel patible ⑤ 定義策略 set policy top name To/From Paris from trust to untrust Trust_LAN paris_office any tunnel vpn tokyo_paris set policy top name To/From Paris from untrust to trust paris_office Trust_LAN any tunnel vpn tokyo_paris save CLI ( 巴黎) ① 定義接口參數(shù) set interface ethernet1 zone trust set interface ethernet1 ip set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip ② 定義路由 set vrouter trustvr route ③ 定義地址 set address trust Trust_LAN set address untrust tokyo_office ④ 定義IPSec VPN set ike gateway to_tokyo address main outgoinginterface ethernet3 preshare h1p8A24nG5 proposal preg23dessha set vpn paris_tokyo gateway to_tokyo seclevel patible ⑤ 定義策略 set policy top name To/From Tokyo from trust to untrust Trust_LAN tokyo_office any tunnel vpn paris_tokyo set policy top name To/From Tokyo from untrust to trust tokyo_office Trust_LAN any tunnel vpn paris_tokyo save 、站點間IPSec VPN配置：staic iptodynamic ip 在站點間IPSec VPN應用中，有一種特殊的應用，即在站點兩端的設備中，一端擁有靜態(tài)的公網(wǎng)IP地址，而另外一端只有動態(tài)的公網(wǎng)IP地址，以下講述的案例是在這種情況下，Juniper防火墻如何建立IPSec VPN隧道。 、使用命令行方式配置DIP ① 配置接口參數(shù) set interface ethernet1 zone trust set interface ethernet1 ip set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip ② 定義DIP set interface ethernet3 dip 5 ③ 定義策略 set policy from trust to untrust any any nat src dipid 5 permit save Juniper防火墻IPSec VPN的配置 Juniper所有系列防火墻都支持IPSec VPN，其配置方式有多種，包括：基于策略的VPN、基于路由的VPN、集中星形VPN和背靠背VPN等。 、DIP的配置 DIP的應用一般是在內(nèi)網(wǎng)對外網(wǎng)的訪問方面。 VIP應用的拓撲圖： 注：VIP配置在防火墻的外網(wǎng)連接端口上（連接Internet的端口）。 、使用Web瀏覽器方式配置MIP ① 登錄防火墻，將防火墻部署為三層模式（NAT或路由模式）； ② 定義MIP：Network=Interface=ethernet2=MIP，配置實現(xiàn)MIP的地址映射。 Juniper防火墻幾種常用功能的配置 這里講述的Juniper防火墻的幾種常用功能主要是指基于策略的NAT的實現(xiàn)，包括：MIP、VIP和DIP，這三種常用功能主要應用于防火墻所保護服務器提供對外服務。 、NS25208 NAT/Route模式下的基本配置 ① Unset interface ethernet1 ip（清除防火墻內(nèi)網(wǎng)口缺省IP地址）； ② Set interface ethernet1 zone trust（將ethernet1端口分配到trust zone）； ③ Set interface ethernet1 ip （定義ethernet1端口的IP地址）； ④ Set interface ethernet3 zone untrust（將ethernet3端口分配到untrust zone）； ⑤ Set interface ethernet3 ip （定義ethernet3端口的IP地址）； ⑥ Set route （定義防火墻對外的缺省路由網(wǎng)關）； ⑦ Set policy from trust to untrust any any any permit log（定義由內(nèi)網(wǎng)到外網(wǎng)的訪問控制策略）； ⑧ Save （保存上述的配置文件） 注：上述是在命令行的方式上實現(xiàn)的NAT模式的配置，因為防火墻出廠時在內(nèi)網(wǎng)端口（trust zone所屬的端口）上啟用了NAT，所以一般不用特別設置，但是其它的端口則工作在路由模式下，例如：untrust和DMZ區(qū)的端口。 注：在設備缺省的情況下，防火墻的信任區(qū)（Trust Zone）所在的端口是工作在NAT模式的，其它安全區(qū)所在的端口是工作在路由模式的。輸入正確的用戶名和密碼，登錄到防火墻之后，可以對防火墻的現(xiàn)有配置進行修改。如果計算機不能獲得或設置DNS服務器地址，無法訪問互聯(lián)網(wǎng)。 注：DHCP服務器配置在需要防火墻在網(wǎng)絡中充當DHCP服務器的時候才需要配置。 7. 完成了模式選擇，點擊“Next”進行防火墻外網(wǎng)端口IP配置。 6. 防火墻設備工作模式選擇，選擇：TrustUntrust Mode模式。 2. 使用缺省IP登錄之后，出現(xiàn)安裝向導： 注：對于熟悉Juniper防火墻配置的工程師，可以跳過該配置向導，直接點選：No，skip the wizard and go straight to the WebUI management session instead，之后選擇Next，直接登錄防火墻設備的管理界面。 通過Web瀏覽器登錄處于出廠狀態(tài)的防火墻時，防火墻的缺省管理參數(shù)如下： ① 缺省IP：； ② 缺省用戶名/密碼：netscreen/ netscreen； 注：缺省管理IP地址所在端口參見在前言部份講述的“Juniper防火墻缺省管理端口和IP地址”中查找?。? 在配置向導實現(xiàn)防火墻應用的同時，我們先虛擬一個防火墻設備的部署環(huán)境，之后，根據(jù)這個環(huán)境對防火墻設備進行配置。使用透明模式有以下優(yōu)點： ① 不需要修改現(xiàn)有網(wǎng)絡規(guī)劃及配置； ② 不需要為到達受保護服務器創(chuàng)建映射或虛擬 IP 地址； ③ 在防火墻的部署過程中，對防火墻的系統(tǒng)資源消耗最低。 路由模式應用的環(huán)境特征： ① 注冊IP（公網(wǎng)IP地址）的數(shù)量較多； ② 非注冊IP地址（私網(wǎng)IP地址）的數(shù)量與注冊IP地址（公網(wǎng)IP地址）的數(shù)量相當； ③ 防火墻完全在內(nèi)網(wǎng)中部署應用。 防火墻使用 Untrust 區(qū)（外網(wǎng)或者公網(wǎng)）接口的 IP 地址替換始發(fā)端主機的源 IP 地址；同時使用由防火墻生成的任意端口號替換源端口號。 、Juniper防火墻的常用功能 在一般情況下，防火墻設備的常用功能包括：透明模式的部署、NAT/路由模式的部署、NAT的應用、MIP的應用、DIP的應用、VIP的應用、基于策略VPN的應用。支持通過Console端口超級終端連接和Telnet防火墻管理IP地址連接兩種命令行登錄管理模式。 基本配置： 1. 確認防火墻的部署模式：NAT模式、路由模式、或者透明模式； 2. 為防火墻的端口配置IP地址（包括防火墻的管理IP地址），配置路由信息； 3. 配置訪問控制策略，完成基本配置。 關于本手冊的使用： ① 本手冊更多的從實際使用的角度去編寫，如果涉及到的一些概念上的東西表述不夠透徹、清晰，請使用者自行去找一些資料查證； ② 本手冊在編寫的過程中對需要使用者特別注的地方，都有“注”標識，請大家仔細閱讀相關內(nèi)容；對于粗體、紅、藍色標注的地方也需要多注意； ③ 本著技術共享的原則，我們編寫了該手冊，希望對在銷售、使用Juniper防火墻的相應技術人員有所幫助，大家在使用過程中有任何建議可反饋到：chuang_li ；jiajun_xiong ； ④ 本手冊歸“聯(lián)強國際（香港）有限公司”所有，嚴禁盜版。我們會不斷更新和完善“快速安裝手冊”，大家在使用過程中有任何好的建議和意見，請和我公司相關技術人員聯(lián)絡。 在配置Juniper防火墻之前我們通常需要先了解用戶現(xiàn)有網(wǎng)絡的規(guī)劃情況和用戶對防火墻配置及實現(xiàn)功能的諸多要求，建議參照以下思路和步驟對Juniper防火墻進行配置和管理。推薦使用IE瀏覽器進行登錄管理，需要知道防火墻對應端口的管理IP地址； ② 命令行方式。 Juniper防火墻缺省登錄管理賬號： ① 用戶名：netscreen； ② 密 碼：netscreen。 、NAT模式 當Juniper防火墻入口接口（“內(nèi)網(wǎng)端口”）處于NAT模式時，防火墻將通往 Untrust 區(qū)（外網(wǎng)或者公網(wǎng)）的IP 數(shù)據(jù)包包頭中的兩個組件進行轉換：源 IP 地址和源端口號。 ① 與NAT模式下不同，防火墻接口都處于路由模式時，不需要為了允許入站數(shù)據(jù)流到達某個主機而建立映射 IP (MIP) 和虛擬 IP (VIP) 地址； ② 與透明模式下不同，當防火墻接口都處于路由模式時，其所有接口都處于不同的子網(wǎng)中。 透明模式是一種保護內(nèi)部網(wǎng)絡從不可信源接收信息流的方便手段。例如：新的從未被調(diào)試過的設備，或者經(jīng)過命令行恢復為出廠狀態(tài)的防火墻設備。 1. 通過IE或與IE兼容的瀏覽器（推薦應用微軟IE瀏覽器）使用防火墻缺省IP地址登錄防火墻（建議：保持登錄防火墻的計算機與防火墻對應接口處于相同網(wǎng)段，直接相連）。 5. 在完成防火墻的登錄用戶名和密碼的設置之后，出現(xiàn)了一個比較關鍵的選擇，這個選擇決定了防火墻設備是工作在路由模式還是工作在NAT模式： 選擇Enable NAT，則防火墻工作在NAT模式； 不選擇Enable NAT，則防火墻工作在路由模式。目前，除NS5GT以外，Juniper其他系列防火墻不存在另外兩種模式的選擇。 8. 完成外網(wǎng)端口的IP地址配