Juniper Netscreen模拟实例配置PPT
- 2. 总部A 分公司B 1.1.1.1 1.1.1.14 2.2.2.1 2.2.2.14 192.168.2.1 192.168.1.1 192.168.1.180 WEB 合作伙伴C ERP 3.3.3.14 3.3.3.1 192.168.1.190 192.168.3.1 IPsec L2TP WEB Server的公网映射地址为1.1.1.12. 2.2.2.0的子网掩码是255.255.255.240. 1.1.1.0的子网掩码是255.255.255.240. 3.3.3.0的子网掩码是255.255.255.240.
- 3. 总部A的基本配置 • 接口设置以及安全区的划分 o 内网交换机连接防火墙Trust接口,Trust接口绑定到Trust Zone。 o 内网网段为192.168.1.0/24,Trust接口地址为192.168.1.1。 o 公网路由器连接防火墙Untrust接口,Untrust接口绑定到Untrust Zone 。 o 公网路由器的地址为1.1.1.14/28,Untrust接口为1.1.1.1/28。 • 设置默认路由 o 将默认路由指向公网路由器的地址,将出口指向Untrust接口。 • 设置内网(Trust)到外网(Untrust)的访问策略
- 4. 内网接口(Trust Interface)的设置 将Trust口绑定到Trust Zone 设置接口IP地址
- 5. 外网接口(Untrust Interface)的设置 如果允许在外网进行 网管请打开相关选项
- 6. 默认路由的设置 0.0.0.0/0代表 默认路由 指定出口以及网 关地址
- 7. 内网(Trust)到外网(Untrust)的访问策略 Any代表任意地址 允许内网访问外 网
- 8. 总部A的地址映射/服务器访问设置 • WEB服务器(真实地址192.168.1.180;公网映射地址1.1.1.12) o 在Untrust接口上设置MIP,做1vs1的地址映射。 o 通过设置策略允许外网访问MIP上的WEB服务(80端口)。 • ERP服务器 o 设置ERP服务器的真实地址 192.168.1.190。 o 设置ERP服务器的应用服务(TCP8888端口)。 o 设置B公司的内网地址段:192.168.2.0/24。 o 设置C公司的内网地址段:192.168.3.0/24。 o 通过设置策略允许B、C公司可以通过VPN隧道访问ERP服务器。
- 9. 在Untrust接口设置MIP 在这里输入公网 地址 在这里输入真实 服务器地址
- 10. 设置策略允许外网访问WEB服务器 在目的地址里选 择MIP地址。 在服务里选择 HTTP。
- 11. 设置ERP服务器的应用服务(TCP 8888) 在这里选择端 口号
- 12. 设置ERP服务器的真实地址 192.168.1.190 单台主机的掩 码使用/32。
- 13. 设置ERP服务器的应用服务(TCP 8888) 在这里选择端 口号
- 14. 设置B公司的内网地址段 192.168.2.0/24 该地址对于A来说是从 属于Untrust Zone的 。
- 15. 设置C公司的内网地址段 192.168.3.0/24 该地址对于A来说是从 属于Untrust Zone的 。
- 18. 总部A的总体安全策略 • 对于分公司B的访问 o 总部A可以无限制访问分公司B的内网; • 对于公网的访问 o 仅允许许http/https/dns/icmp/smtp/pop3/ftp/msn这八种服务。 • 分公司B对于总部A的访问 o 分公司B可以无限制访问总部A的内网; • 取消前面设定的默认策略 o 撤销原先的内网对公网的默认策略
- 19. 设置策略允许总部A访问分公司B
- 20. 设置策略允许总部A访问公网的几种特定服务 点击它,则弹出选择 服务的菜单。
- 21. 设置策略允许分公司B访问总部A
- 22. 取消默认策略/重复的策略
- 23. 分公司B的基本配置 设置方法参考A • 接口设置以及安全区的划分 o 内网交换机连接防火墙Trust接口,Trust接口绑定到Trust Zone。 o 内网网段为192.168.2.0/24,Trust接口地址为192.168.2.1。 o 公网路由器连接防火墙Untrust接口,Untrust接口绑定到Untrust Zone 。 o 公网路由器的地址为2.2.2.14/28,Untrust接口为2.2.2.1/28。 • 设置默认路由 o 将默认路由指向公网路由器的地址,将出口指向Untrust接口。 • 设置内网(Trust)到外网(Untrust)的访问策略
- 24. 公司C的基本配置 设置方法参考A • 接口设置以及安全区的划分 o 内网交换机连接防火墙Trust接口,Trust接口绑定到Trust Zone。 o 内网网段为192.168.3.0/24,Trust接口地址为192.168.3.1。 o 公网路由器连接防火墙Untrust接口,Untrust接口绑定到Untrust Zone 。 o 公网路由器的地址为3.3.3.14/28,Untrust接口为3.3.3.1/28。 • 设置默认路由 o 将默认路由指向公网路由器的地址,将出口指向Untrust接口。 • 设置内网(Trust)到外网(Untrust)的访问策略
- 25. 总部A与分公司B之间的Site to Site VPN • 总部A部分的Site to Site VPN设置 o VPN Gateway的设置 o VPN 的设置 o 路由的设置 • 分公司B部分的Site to Site VPN设置 o VPN Gateway的设置 o VPN的设置 o 路由的设置
- 26. 总部A Gateway的设置 对方VPN设备的网关 选择VPN通道的出口
- 27. 总部A Gateway的设置 高级选项 VPN双方的模式必须一致
- 28. 总部A Tunnel Interface的设置 Tunnel Interface的地址借用 Untrust接口的地址
- 29. 总部A IKE VPN配置 在下拉菜单选取前面定义 的IKE Gateway
- 30. 总部A IKE VPN配置 高级选项 绑定tunnel.1接口 填入本地/远端地址段
- 31. 总部A 路由的设置 写入分公司B内网的地 址 选择tunnel.1作为出口
- 32. 分公司B Gateway的设置 对方VPN设备的网关 选择VPN通道的出口
- 33. 分公司B Gateway的设置 高级选项 VPN双方的模式必须一致
- 34. 分公司B Tunnel Interface的设置 Tunnel Interface的地址借用 Untrust接口的地址
- 35. 分公司B IKE VPN配置 在下拉菜单选取前面定义 的IKE Gateway
- 36. 分公司B IKE VPN配置 高级选项 绑定tunnel.1接口 填入本地/远端地址段
- 37. 分公司B 路由的设置 B公司所有的对外访问 都要通过到总部A的 VPN隧道;故选择 0.0.0.0/0的默认路由 选择tunnel.1作为出口
- 38. 总部A与公司C之间的Site to Site VPN • 总部A部分的Site to Site VPN设置 o VPN Gateway的设置 o VPN 的设置 o VPN策略设置 • 公司C部分的Site to Site VPN设置 o VPN Gateway的设置 o VPN的设置 o VPN策略设置
- 39. 总部A Gateway的设置 对方VPN设备的网关 选择VPN通道的出口
- 40. 总部A Gateway的设置 高级选项 VPN双方的模式必须一致
- 41. 总部A IKE VPN配置 在下拉菜单选取前面定义 的IKE Gateway
- 42. 总部A IKE VPN配置 高级选项
- 43. 总部A VPN策略的设置 Action选择Tunnel 选择A到C的VPN
- 44. 总部C Gateway的设置 对方VPN设备的网关 选择VPN通道的出口
- 45. 总部C Gateway的设置 高级选项 VPN双方的模式必须一致
- 46. 总部C IKE VPN配置 在下拉菜单选取前面定义 的IKE Gateway
- 47. 总部C IKE VPN配置 高级选项
- 48. 总部C VPN策略的设置 Action选择Tunnel 选择C到A的VPN
- 49. 远程用户1通过IPsec Dialup VPN访问总部A Dial-up User 设定部分 - 设定用户的IKE ID • Phase 1 部分 o IKE Gateway o VPN的向外接口 o IKE Gateway 地址 o Phase 1 协议 Pre-shared Key Diffie-Hellman group number Encryption Algorithm Authentication Algorithm • Phase 2 部分 o VPN n名称 o Phase 2 proposal Diffie-Hellman group number for PFS (optional) IPSec protocol (ESP or AH) Encryption Algorithm Authentication Algorithm • VPN 安全策略 • Netscreen Remote 客户端的设置
- 50. 配置Dial-up用户 • 设置IKE ID 设定其它值会导致异常 客户端也须配置两者须 一致
- 51. 配置dialup VPN Gateway • IKE Phase 1 选择dialup user,并在对应下拉 菜单选择我们刚才设定的用户。 设置共享密钥,客户端也须 设置相同的值(最少8位)
- 52. 配置dialup VPN Gateway 高级选项 • IKE Phase 1 注意dial-up VPN使用 Aggressive模式 如果VPN连接中有NAT存在,请 勾选此项,开启穿透功能;并做 UDP Checksum检查
- 53. 配置 dialup VPN • IKE Phase 2 在下拉菜单选取前面定 义的IKE Gateway
- 54. 配置dialup VPN 高级选项 • IKE Phase 2 VPNs > AutoKey IKE > Edit (Advanced)
- 55. 总部A VPN策略的设置 源地址选择Dial-Up VPN(系统自定义) Action选择Tunnel 选择dialup VPN
- 56. Netscreen Remote远程客户端的配置 01 新建一个连接,取 名后,点中它,出 现右方基本配置界 面。 在该选项中输入我们的目 标地址,即安全网关后面 的内部子网/主机的地址。 选中该选项,并在ID中选 取IP Address,输入安全网 关的外网口地址。
- 57. Netscreen Remote远程客户端的配置 02 点击新建连接的加 号键,点中My Identity进行设置 在Select中选择None;在 Pre-Shared Key中输入与 前面安全网关Gateway配 置中一致的值。 在ID选项中选择E-mail Address,然后输入与前面 安全网关Dial-up 用户配置 中一致的值。
- 58. Netscreen Remote远程客户端的配置 03 选中Security Policy 进行设置。 在Select Phase 1 Negotiation Mode中选择 Aggressive Mode。 根据前面在安全网关中IKE VPN中Phase 2 Proposal选择 的不同,选择是否使用PFS。
- 59. Netscreen Remote远程客户端的配置 04 选中Proposal 1,进 行Phase 1的设置。 根据前面在安全网关中IKE Gateway中Phase 1Proposal 的选择,选择一致的选项。
- 60. Netscreen Remote远程客户端的配置 05 选中Proposal 2,进 行Phase 2的设置。 根据前面在安全网关中IKE VPN中Phase 2Proposal的选 择,选择一致的选项。
- 61. 远程用户2通过L2TP VPN访问总部A的ERP服务器 L2TP User 设定部分 - 设定L2TP用户名/密码 • L2TP Tunnel的设置 • VPN 安全策略 • Windows客户端的设置
- 62. 配置L2TP用户 设定用户名 设定密码 分配给L2TP用户的地址
- 63. 配置L2TP Tunnel 选择L2TP用户 选择Tunnel的接口
- 64. L2TP Tunnel策略的设置 源地址选择Dial-Up VPN(系统自定义) Action选择Tunnel 选择L2TP Tunnel