Juniper_SSG 140 SB 防火墙配置手册

初始化设置....................................................................................................................................... 2 Internet网络设置 ............................................................................................................................. 6 一般策略设置 ................................................................................................................................. 16 VPN连接设置 ................................................................................................................................ 28 命令行接入..................................................................................................................................... 39 恢复初始设置 ................................................................................................................................. 39

初始化设置

1.将防火墙设备通电，连接网线从防火墙e0\\0口连接到电脑网卡。

2.电脑本地连接设置静态IP地址，IP地址192.168.1.2（在192.168.1.0/24都可以），子网掩码255.255.255.0，默认网关192.168.1.1，如下图：

3.设置好IP地址后，测试连通，在命令行ping 192.168.1.1，如下图：

4.从IE浏览器登陆防火墙web页面，在地址栏输入192.168.1.1，如下图向导选择最下面No, skip——，然后点击下面的Next：

5.在登录页面输入用户名，密码，初始均为netscreen，如下图：

6.登陆到web管理页面，选择Configuration – Date/Time，然后点击中间右上角Sync Clock With Client选项，如下图：

7.选择Interfaces – List，在页面中间点击bgroup0最右侧的Edit，如下图：

8.此端口为Trust类型端口，建议IP设置选择Static IP，IP Address输入规划好的本地内网IP地址，如192.168.22.1/24，Manage IP 192.168.22.1。之后勾选Web UI，Telnet，SSH，SNMP，SSL，Ping。如下图：

Internet网络设置

1.修改本地IP地址为本地内网IP地址，如下图：

2.从IE浏览器打开防火墙web页面，输入用户名密码登陆，如下图：

3.选择Interfaces – List，点击页面中ethernet0/0最右侧的Edit选项，如下图：

4.此端口为Untrust类型端口，设置IP地址有以下三种方法：（根据ISP提供的网络服务类型选择） A．第一种设置IP地址是通过DHCP端获取IP地址，如下图：

B．第二种设置IP地址的方法是通过PPPoE拨号连接获取IP，如下图，然后选择Create new pppoe setting，

在如下图输入本地ADSL pppoe拨号账号，PPPoE Instance输入名称，Bound to Interface选择ethernet0/0，Username和Password输入ADSL账号密码，之后OK，如下图：

PPPoE拨号设置完毕之后，点击Connect，如下图：

回到Interface – List，可以看到此拨号连接的连接状态，如下图：ethernet0/0右侧PPPoE一栏有一个红叉，表示此连接已经设置但未连接成功，如连接成功会显示绿勾。

C．第三种设置IP地址方法是设置固定IP地址，如下图：选择Static IP，输入IP地址和Manage IP：10.10.10.1/30，勾选Web UI，Telnet，SSH，然后点OK。

设置之后显示如下图：

设置静态IP地址之后，需要设置一个路由下一跳才能正常使用，选择Routing – Destination，点击右上角New，如下图：

IP Address/Newmask设置0.0.0.0/0，Next Hop选择Gateway，Interface选择ethernet0/0，Gateway IP Address输入ISP网关地址，此处例如为：10.10.10.2，如下图：

设置完路由如下图：

5.设置DNS服务器（如果是DHCP或PPPoE可能无需设置此项），选择Network – DNS – Host，在如下图可以输入主机名称和DNS服务器地址。

6.设置本地内网DHCP功能，选择Network – DHCP，如下图：点击bgroup0右侧的Edit

7．选择DHCP Server，其他默认即可，如下图：

8．设置之后显示如下图，还未分配地址池，

9．再选择Network – DHCP，点击Address，出现如下图，输入分配地址池：

10．设置完成之后如下图：

一般策略设置

1．首先可以指定IP地址，根据IP地址作策略，选择Policy – Policy Elements – Addresses – List，然后在中间页面选择Trust，然后点击New，如下图：

2．在Address Name为指定IP地址设置识别名称，然后在下面输入具体IP，如下图：

3．设置之后如下图：

4．再设置一个指定IP地址，如下图：

5．设置之后两个都可以显示出来，如下图：

6．设置多个指定IP组，选择Policy – Policy Elements – Addresses – Groups，如下图：中间页面的Zone选择Trust，点击右侧的New。

7．为此IP组起识别名称，下面将需要加入组的IP添加到组里，点OK，如下图：

8．根据需求可以自定义服务，选择Policy – Policy Elements – Services – Customs，如下图：点击右侧New

9．输入此自定义服务的识别名称，然后下面可以选择服务类型和服务端口，如下图：

10．设置完之后如下图：

11．定制多个服务组，选择Policy – Policy Elements – Services – Groups，点击页面中间右侧的New，如下图：

12．为此定制服务组设置识别名称，将需要的服务添加进入，点击OK。

13．设置完成之后如下图：

14．策略设置，此处可以直接使用之前设置的指定IP地址（组），自定义服务（组）。选择Policy – Polices，如下图：选择From Untrust to Trust（可根据需要修改），点击右侧New，

15．如也可以设置From Trust to Untrust，如下图：

16．策略设置页面如下图，设置名称，选择源地址和目的地址，服务类型等，最后选择允许还是拒绝。

17．设置之后如下图：

18．也可以设置一个全拒绝的策略，如下图：

19．设置之后如下图：

20．可以点击ID为1的策略右侧的双箭头符号，出现脚本提示点确定，

21．这样可以把ID为1的策略放到下面，如下图策略含义为从Trust口到Untrust口的流量中，来自IT组的IP地址到任意目的地，服务类型属于CTG-APP中的流量允许通过，其他所有流量都拒绝。

22．可以为策略设置时间表，选择Policy – Schedules，如下图：点击New

23．输入时间表名称worktime，设置周期时间。

24．设置之后如下图：

VPN连接设置

设置VPN网络连接，根据具体情况有多种方法可选： A．方法一，通讯双方端口均为静态IP地址，配置如下： 1．设置对端网关信息，和本地Local ID（可选），如下图：IP地址为对端公网IP，之后点击Advanced

2．Preshared Key输入一串共享密钥，对端需要设置同样密钥才可成功连接，其他默认即可，点击下面OK

3．设置双端IKE VPN端口认证，选择VPNs – AutoKey IKE，输入VPN名称，之后Predefined选择已经设置好的Gateway，之后点Advanced，里面设置logging即可，之后点OK。

4．设置完成之后显示如下图：

5．设置VPN连接策略，选择Policy – Polices，From Trust to Untrust，点击右侧New，之后在如下页面输入源地址，目的地址，服务类型，Action选择Tunnel，Tunnel VPN选择设置好的VPN IKE，下面勾选Modify matching bidirectional VPN policy，勾选Logging，勾选Position at Top，之后点Advanced

6．在下面勾选Counting，其他默认，点击OK，

7．设置完策略如下图：

B．方法二，通讯双方有一个端口为静态IP地址，另一个端口IP地址为动态。

1．如果本地IP为ADSL，IP地址会发生变化，则需要使用Local ID设置Gateway，选择VPNs – AutoKey Advanced – Gateway，输入对端公网IP地址，选择ACVPN-Dynamic，Local ID输入本地名称（如bj）

2．则对端设置Gateway时，需要如下图设置，不输入对端IP地址，选择Dynamic IP Address，Peer ID输入对端Local ID（如bj）。之后步骤同方法一中的2-7步骤。

C．通过向导设置VPN连接

1．选择Wizards – Router-based，出现如下图向导页面，选择源端口和目的端口类型

2．选择Make new tunnel interface，选择ethernet0/0 (trust-vr)，选择Next

3．选择LAN-to-LAN，如下图：

4．根据通讯双方端口类型，如静态，动态IP地址，选择下面类型，如Local Static IP – Remote Static IP

5．输入对端公网IP地址，如192.168.25.1

6．选择通道加密类型，之后下面输入通讯密钥，双方端口要求一致

7．选择或者输入源地址和目的地址

8．选择服务类型和策略双向通讯

9．根据需要可以设置带宽，默认为不做

10．根据需要是否选择定制好的Schedule应用到此VPN策略

11．向导设置完毕，明细如下表：

12．配置确认。点击Finish完成。

13．根据向导做完VPN策略后，可以在路由表中看到自动添加了一条路由，选择Network – Routing – Destination，Interface为tunnel 1，说明此为向导制作的VPN链路。

命令行接入

可以通过Telnet 连接ethern0/0的IP地址，就可以了

恢复初始设置

1、在Console模式下，用设备的序列号作用用户名/密码进行登录

查看序列号：1、产品背后序列号 2、输入”get sys”获取

例如：

login: 00012008003751 注意这里的用户名就是我们的序列号，下面的密码也是我们的序列号 password:

!!! Lost Password Reset !!! You have initiated a command to reset the device to factory defaults, clearing all current configuration and settings. Would you like to continue? y/[n] y 在这里我们输入y

!! Reconfirm Lost Password Reset !! If you continue, the entire configuration of the device will be erased. In addition, a permanent counter will be incremented to signify that this device has been reset. This is your last chance to cancel this command. If you proceed,

the device will return to factory default configuration, which is: System IP: 192.168.1.1; username: netscreen, password: netscreen. Would you like to continue? y/[n] y 在这里我们输入y In reset ...

恢复出厂默认设置后，启动后用我们的默认用户名密码可以登录不