Juniper SSG 550M防火墙 - 图文

电信WAP网关SSG550配置手册

具体配置将参照下表进行配置： 固定接口 固定I/0接口 端口类型 10/100/1000M Auto 10/100/1000M Auto 10/100/1000M Auto 10/100/1000M Auto ? 在此项目实施中，将对interface eth0/0 接口配置manage-ip为方便对安全设备进行管

理维护！

? 在生产环境实施过程中千万注意，内网地址可以有项目组讨论并根据实际情况定义分配，

但是连接CN2\\ENI两个网络的接口IP地址、业务地址、设备互联地址，需要向上级机构提前申请（如：电信等ISP）！

? 申请的地址信息包括（NAT地址、设备互联地址、子网掩码、网关等信息），具体参数将按照实际实施环境及需求决定。

? 申请地址信息后建议立即测试，以免在实施过程中带来不必要的麻烦！

Eth0/3 0.0.0.0 0 Eth0/2 物理接口IP地址：211.136.136.4/28 211.136.136.1 物理连接163网络，CN2\\DCN网络流量也经过此接口 HA Eth0/1 端口名称 Eth0/0 端口IP地址 物理接口IP地址192.168.0.1/24 SSG-550M-1_Manage-ip:192.168.0.5 SSG-550M-2_Manage-ip:192.168.0.6 物理接口IP地址：10.0.0.167/28 10.0.0.161 连接PDSN网络 网关 连接内部业务网 用途 CN2地址段：172.16.1.96/28 DCN地址段：192.168.100.96/28 3.4 防火墙策略定义规划

由于在此项目中，涉及到4个网络，并且针对每个网络内部服务器都需要提供相应的服务，内部用户访问其4个网络也需要通过源地址翻译与目标网络进行通信，因此在策略的规划中，请遵循下列规则进行配置：

在定义安全策略前，请提供以下内容：

1、 源地址（可以是any或者单个地址或者地址组） 2、 目标地址（可以是any或者单个地址或者地址组） 3、 服务内容（可以是单个服务或者多个服务）

4、 按照需求是否需要基于策略的地址转换（源地址、目标地址），其中源地址转换还包含接口

地址转换、DIP地址池转换方式，基于目标地址转换可以是单个IP地址，或者IP加端口。 5、 新建内部服务器地址（服务器地址：10.0.0.165/32、172.16.1.100/32、192.168.200.100/32）。

6、 自定义服务（包含需要对外开放的端口及服务名称，如：9200、9203等等）.

第9页 共41页

电信WAP网关SSG550配置手册 7、 注意策略的优先级（默认从上到下检查策略匹配，可以根据实际情况进行调整）

下表将列出此次安全访问策略的规则：

（从DMZ区域：PDSN网络到Trust区域）： 源地址 Any Any Any Any Any 目标地址 10.0.0.165/32 10.0.0.165/32 10.0.0.165/32 10.0.0.165/32 10.0.0.165/32 服务 80(HTTP) 9200 9203 1813 1812 目标地址转换 192.168.0.133:8000 192.168.0.133:9200 192.168.0.133:9203 192.168.0.133:1813 192.168.0.133:1812 备注 端口转换成8000 端口转换成9200 端口转换成9203 端口转换成1813 端口转换成1812 （从Trust区域到DMZ区域）： 源地址 192.168.0.133/32(服务器) 192.168.0.0/24(其他用户) 目标地址 服务 Any Any Any Any 源地址转换 DIP地址池转换 10.0.0.165 接口地址转换 10.0.0.167 备注 访问外网转换成 10.0.0.165 访问外网转换成 10.0.0.165 （从DMZ区域到Un-trust：163公网）

源地址 Any(根据具体地址需求而定) 目标地址 服务端口 Any Any 源地址转换 DIP地址池转换成Untrust 区域物理接口IP 备注 访问公网163网络 （从Trust区域到Untrust区域） 源地址 Server-IP 目标地址 CN2-172.16.0.0/16 服务 Any 源地址转换 扩展DIP 172.16.1.100 Server-IP DCN-192.168.0.0/16 Any 扩展DIP 192.168.200.100 192.168.0.0/24 CN2-172.16.0.0/16 Any 扩展DIP 172.16.1.99 192.168.0.0/24 DCN-192.168.0.0/16 Any 扩展DIP 192.168.200.99 192.168.0.0/24 Any Any 接口地址转换 第10页 共41页

电信WAP网关SSG550配置手册

(Untrust 区域到 Trust 区域) 源地址 CN2-172.16.0.0/16 Any 目标地址 CN2-172.16.1.100 MIP(211.136.136.2) 服务 TCP\\8090 TCP\\8090 地址转换 192.168.0.133 192.168.0.133 备注 基于策略的目标地址转换 一对一地址映射 4 防火墙配置安装步骤

4.1 初始化配置

步骤1：连接防火墙

方式一：Console方式

基于Console终端配置SSG-550M 的准备

安装Windows操作系统的PC一台（安装超级终端） SSG-550M设备标准配置自带的Console电缆一条

使用超级终端建立一个连接，通过Console电缆一端连接SSG-550M任何一

台设备，一端连接COM口，COM的参数设置如：

第11页 共41页

电信WAP网关SSG550配置手册

使用Console 端口做初始化配置，Netscreen 防火墙的初始账号和密码： login: netscreen password:netscreen

方式二：基于WEB方式

将PC机连接到Trust zone中交换机的某一个接口，在IE浏览器地址栏键入http://（SSG-550M设备管理IP地址），如果你输入的是接口IP地址，缺省情况下只能连接到Master设备，所以建议采用防火墙管理IP地址对设备进行管理维护。 在 Web 用户界面 (WebUI) 中，每个任务的指令集都分为导航路径和配置设置。要打开可用来输入配置设置的 WebUI 页面，可单击屏幕左侧导航树中的某个菜单项，然后单击随后出现的项目。在您进行操作时，导航路径会出现在屏幕顶部，每个页面都由尖括号分隔。

导航树还提供了 Help > Config Guide 配置页，帮助您配置安全策略和“互联网协 议安全性”(IPSec)。从下拉菜单选择一个选项，然后按照该页面上的说明进行操 作。单击 Config Guide 左上方的? 字符可获得“在线帮助”。 如下图：

可以根据实际管理需要，Juniper防火墙还可以通过telnet\\SSH\\SSL等方式管理，配置仅需在接口设置下开启相应的服务即可。 SSG-550M-> set hostname SSG-550M-1 SSG-550M-> set hostname SSG-550M-2

如果需要恢复出厂安全设备，可以在命令行界面下，输入：

SSG-550M>unset all 此时会提示yes/no，在此选择yes,接下来再输入另外一条命令：reset 此时会提示是否保存配置，则选择no，接着提示是否重启，则选择

第12页 共41页