Juniper防火墙简单配置
初始配置:
0/0为untrust口,0/1为dmz口,0/2-6口为trust
1.将防火墙连入网络,网线连接防火墙Trust口(0/2-0/4)。将本机ip设置在19
2.168.1.0的网段,
注意ip地址不能是192.168.1.1。在本机IE地址栏中输入http://192.168.1.1/来访问防火墙,就可以看到如下的登陆界面了。设备初始设定的用户名和密码都是netscreen。
2.设置防火墙的时间。在【Configuration-Date/Time】中,点击“Sync Clock With Client”,可以让
防火墙的时间和本机的时间一致;然后点击“Apply”让设置生效。
3.设置端口地址。在【Network-Interfaces】中,可以看到防火墙各端口的ip设置。
点击Trust 同一行的“Edit”,就可以编辑Trust口的设置。通常都会选择静态IP,就需要设置端口的ip地址、子网掩码(允许直接输入掩码的位数),再选好端口需要开启的服务。设置完毕后,可以点击“OK”来完成设置,也可以点击“Apply”马上应用。
点击UnTrust 同一行的“Edit”,就可以编辑UnTrust口的设置。如果选择静态IP,就设置端口的ip 地址、子网掩码(允许直接输入掩码的位数);防火墙端口还支持DHCP获得ip地址,或者通过PPOE 拨号获得IP地址(ADSL就是使用这种方式的);再选好端口需要开启的服务。设置完毕后,可以点击“OK”来完成设置,也可以点击“Apply”马上应用。
4.设置默认路由。在【Network-Routing-Routing Entries】中可以看到防火墙中路由的设置情况。
红框选中的为默认路由。
手动增加默认路由的方法:在【Network-Routing-Routing Entries】中,点击“New”,进入在【Network -Routing-Routing Entries-Configration】,设置地址、网关、接口,可以参照图中所示。
5.设置策略。在Policies中添加策略。
选择From――Trust,To――Untrust;然后点击“New”,
就可以看到如下界面。然后根据自己的实际情况设置策略就可以了。
6.保存防火墙当前设置。当一切设置完毕后,在【Configuration-Update-Config File】中将当前防
火墙的配置保存成文件。
Vpn配置同以前的hsc的相同,配置如下:
为了保证VPN实施成功,需要总公司与分公司配合调试。
一、动态VPN
动态VPN是指HSC防火墙通过PPPOE拨号方式从ISP动态获得公网IP地址,与它的对方NetScreen204(外口地址为静态IP地址),建立Site-to-Site VPN。HSC VPN配置步骤如下:
1、新建一个PPPOE拨号,”Network”→”PPPoE”→”New”,在”PPPoE Instance”中输入一个名称,选
择”Enable”,然后在“Username”输入用户名,在“Password”输入密码,然后按确定。
2、将untrust端口配置为PPPOE,”Network”→”Interfaces”→”untrust”→”edit”,选择”obtain IP using
PPPoE”中PPPoE的名称。
site”中Trust和“Remote site”中Untrust。然后按“Next”;
4、选择“Make new tunnel interface. Bind to unnumbered interface: untrust(truset-vr)”,然后按“Next”;
5、选择“LAN-to-LAN”,然后按“Next”;
6、选择“Loacl Dynamic IP Remote Static IP”,在Loacl User ID 输入xxyy@https://www.doczj.com/doc/7113880014.html,(可以改变,
但此输入一定于对端Netscreen204的ID相同)。然后按“Next”;
7、在“Remote Gateway IP Address”输入对端NS204的IP地址202.96.19.226(网通VPN服务器地
址)或219.142.1.170(电信VPN服务器地址),然后按“Next”;
8、选择“Standard(128/168-bit encryption strength)”,然后在Preshared Secret中输入:ygbxsitevpn,
然后按“Next”;
9、输入本地IP地址(Local Host Address)和远端IP地址(Remote Host Address)
比如深圳宝安支公司网段10.43.4.0/24,local地址就是10.43.4.0/24,remote地址就是10.10.0.0/16(总公司网段)
10、选择“Service”为any,“Policy created for”为Both direction,然后按“Next”;
11、按“Next”,进入下一步配置;
12、按“Next”,进入下一步配置;
最后点击“Finish”即可完成。
三、运营期备份线路设置:
以上为筹备期临时线路配置,专线开通后作为备份线路,由路由器来控制在专线和备份线路间的浮动。
1.需修改bgroup0(trust)的Static IP地址为与路由互联地址,如:10.XX.253.XX,具体可咨询李少武。关闭DHCP服务。
2. 增加一条本地网段到路由器FE0/0端口。
增加路由操作方法:
”Network”→“ Routing ”→”Destination”;右上角下拉选择“trust-vr”后点击“new”
IP地址填写机构本地网段,next hop选择gateway;interface下拉选择bgroup0;gateway ip address 填写本地路由器FE0/0端口(接防火墙口)IP,点击“ok”即可。
此项设置后机构本地网段可以通过bgroup0网址访问本机构juniper vpn设备。为维护方便也可类似为分公司ip网段增加两条到机构路由器FE0/0(接防火墙口)路由。
参考列表:
3.检查机构路由器ip route设置。
ip route 0.0.0.0 0.0.0.0 10.XX.254.XX 10.XX.254.XX为专线对端地址,默认路由指向专线
对端端口
ip route 10.10.0.0 255.255.0.0 10.XX.253.XX 200 10.XX.254.XX为防火墙bgroup0地址,指定到总部
网段的下一跳指向juniper防火墙
ip route 10.65.0.0 255.255.0.0 10.XX.253.XX 200 10.XX.254.XX为防火墙bgroup0地址,指定到总部
网段的下一跳指向juniper防火墙
二、静态VPN
静态VPN是指HSC防火墙直接从ISP获得一个静态公网IP地址,与它的对方NetScreen204(外口地址为静态IP地址),建立Site-to-Site VPN。这种情况下HSC VPN配置步骤与动态VPN唯一的不同是第六步:
选择“Loacl Static IP Remote Static IP”,然后直接按“Next”就可以了。
三、恢复出厂设置的方法
方法一:使用序列号作为用户名和密码登陆进防火墙即可。
方法二:使用telnet方式或者console线登陆到防火墙中,输入命令unset all
然后reset提示是否保存的时候选择no,confirm选择yes,重启后即可恢复出厂设置。