1、Juniper 防火墙出厂时可通过缺省设置的IP 地址使用Telnet 或者Web 方式管理。缺省IP 地址为:192.168.1.1/255.255.255.0。可以直接通过WEB来进行配置,但容易发生错误,建议使用设备自带的配置线连接计算机的COM口采用超级终端来行配置。1、我们先配置接口eth0/0绑定到trust安全区段,并设置IP为192.168.1.3/24,通过console口来配置:(先配置SSG140,登录的用户名和密码为默认密码:均为netscreen)SSG140- unset interface ethernet0/0 ip set interface ethernet
2、0/0 zone trust set interface ethernet0/0 ip 192.168.1.3/24 set interface ethernet0/0 manage web saveSave System Configuration .接下来我们就可以用WEB来管理设备,推荐使用IE浏览器:在IE浏览器地址栏里输入http:/192.168.1.3 用户名和密码均为:netscreen2、配置其它安全区段并配置地址定义内网接口 Network Interfaces Edit ( 对于 ethernet0/1): 修改红线部分,然后单击Apply:A Zone Name:这是定
3、义内部LAN的IP,所以应该在Trust安全区段B Static IP :我们做的是静态IP地址的实验(管理地址应和内网接口地址在同一网段)C Management Services:打开相应的管理服务,以方便远程管理。D Other services:允许ping ,方便测试和维护。定义外网接口: Edit ( 对于 ethernet0/3): 修改红线部分,然后单击 Apply:A.Zone Name:这是定义外部接口,所以应该在Untrust安全区段B.Static IP :C.Management Services:根据需要打开相应的管理服务,以方便远程管理。D.Other servi
4、ces:定义通道接口: New Tunnel IF:修改红线部分,然后单击 OK:A Zone(VR):通道接口绑定到Untrust区段B Unnumbered:选择绑定的接口定义内部LAN地址薄:(方便在策略里引用)Objects Addresses List New:,修改红线部分,然后单击 OK:A Address Name: 建立一个标识身份的名称B IP Adress/Netmask:输入IP地址和子网掩码,24位表示一个网段C Zone:选择相应的区段定义对端LAN地址薄:,修改红线部分,然后单击 OK输入对端IP地址和子网掩码,24位表示一个网段C 选择相应的区段VPN配置:第一
5、阶段:VPNs AutoKey Advanced Gateway 修改红线部分,:预共享密钥为:123456A Gateway Name:到达对端的网关地址。B Security Level:选择Custom 两方要一致C Static IP Address:静态IP地址D Preshared Key:预共享密钥 两方要一致 我们这里用123456E Outgoing Interface:选择到达对端网关的出口然后单击Advanced,修改红线部分并单击Return返回,并单击OK。A User Defined:选择Custom B Phase 1 Proposal 第一阶段提议 选择相应的加
6、密和认证算法 两方要一致C Mode(Initiator):模式 这里选择Main主模式(主模式提供身份保护,主动模式不提供身份保护)第二阶段: AutoKey IKE 输入以下内容,A VPN Name:建立名称选择Custom 两方配置要一致C Remote Gateway:Predefined 选择预定义,选择刚才建立的网关然后单击 Advanced,修改红线部分并单击Return返回,并单击OK。A. User Defined: 选择Custom 并且第二阶段提议以确定要在 SA 中应用的安全参数。两方配置要一致。B. Bind to :选择Tunnel interface 并且选择前
7、面建立的tunnel.1通道接口。C. Proxy-ID:选择 并且输入Local IP和Remote IP及子网掩码D. Service: ANY路由配置:默认路由 Routing Routing Entries trust-vr New:修改红线部分,然后单击 OK:通过通道接口通向目标的路由: 修改红线部分,然后单通向目标的NULL路由策略配置:配置从trust区段到untrust区段的策略,并加到顶部Policies (From: Trust, To: Untrust) New: 修改红线部分,然后单击 OK:配置从untrust区段到trust区段的策略,并加到顶部 Untrust,
8、 To: Trust) SSG140上已经配置好了接下来配置SSG20,以下配置为SSG20防火墙初始化SSG20防火墙,方法同SSG140相同,参照上文。初始化后,通过WEB来配置。配置思路和SSG140相同。我这里设置SSG20管理IP为192.168.1.4/192.168.1.4用户名和密码均为:1、配置安全区段并配置地址注意:绑定trust区段的接口默认为nat模式 Edit ( 对于 ethernet0/3 ): 修改红线部分,然后单击 定义内部LAN地址:定义对端LAN地址: 输入以下内容配置结束,我们进行简单的测试一下,SSG140和SSG20的内网口分别连接一个机器,IP地址改为对应的内网地址,用PING测试一下能否从一端的内网到另一端的内网。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1