SSG520配置操作文档2016

admin管理员组

文章数量:1568354

2023年12月14日发(作者：)

XXX风电

SSG520配置操作文档

XXXX有限公司

2013年05月16日 XXX风电SSG520配置操作文档

目 录

○．XXX风电网络结构图 ................................................................................................................3

第一部分：XXX风电广域网SSG520基本配置 ..............................................................................4

一、Juniper SSG520防火墙登录界面 ....................................................................................4

二、接口配置 ...........................................................................................................................5

三．路由配置 ...........................................................................................................................8

四．IP地址配置 ......................................................................................................................9

五、服务端口配置 .................................................................................................................13

五．安全访问控制策略配置 .................................................................................................16

六、到XXX国际的VPN备用线路设定 ............................................................................17

第二部分：使用Remote-VPN客户端（Win2000/XP系统） ......................................................22

一．SSG520防火墙上VPN配置 .........................................................................................22

二．Remote-VPN客户端配置 ..............................................................................................31

三．验证测试VPN连接 .......................................................................................................36

四．Remote-VPN客户端配置保存 ......................................................................................40

2 XXX风电SSG520配置操作文档

○．XXX风电网络结构图

3 XXX风电SSG520配置操作文档

第一部分：XXX风电广域网SSG520基本配置

一、Juniper SSG520防火墙登录界面

管理用户登录：admin

密 码： 123456

登录成功后的界面

4 XXX风电SSG520配置操作文档

二、接口配置

1．主界面

2．内口配置

5 XXX风电SSG520配置操作文档

3、到会议室视频终端

4．互联网接口配置

6 XXX风电SSG520配置操作文档

5．与华瑞能源接口配置

接口二层配置

7 XXX风电SSG520配置操作文档

三．路由配置

1．路由界面

2．路由配置界面

8 XXX风电SSG520配置操作文档

四．策略IP地址配置

1．添加一个新的IP地址、Internet组

9 XXX风电SSG520配置操作文档

2．将IP地址添加Internet组

配置完成后：

10 XXX风电SSG520配置操作文档

3．增加一条Trust 区到Untrust的策略

策略编辑窗口

11 XXX风电SSG520配置操作文档

4．对上面增加的Trust 区到Untrust的策略进行限流设定，限流设定为10M。

点击策略编辑窗口下方的“Advanced”

选中“Traffic Shaping”，将“Policying Bandwith”设定为10000K

12 XXX风电SSG520配置操作文档

五、服务端口配置

1．添加服务端口

2．服务端口添加完毕

13 XXX风电SSG520配置操作文档

3．将服务端口添加成服务组

14 XXX风电SSG520配置操作文档

在策略设定中将上述增加的病毒传播端口封掉：

15 XXX风电SSG520配置操作文档

五．安全访问控制策略配置

1．添加阻挡病毒端口或非法端口策略

2． Internet访问策略

16

XXX风电SSG520配置操作文档

六、到XXX国际的VPN备用线路设定

增加一个Tunnel接口

接口增加成功后的界面

17 XXX风电SSG520配置操作文档

创建到XXX国际的VPN 网关

创建到XXX国际的VPN 通道

18 XXX风电SSG520配置操作文档

19 XXX风电SSG520配置操作文档

增加一条到XXX国际的路由

VPN通道建立成功后的界面

20 XXX风电SSG520配置操作文档

用Tracert命令测试数据包通过VPN通道连接到XXX国际经过的路径，

比较与通过专线连接到XXX国际经过的路径的区别。

21 XXX风电SSG520配置操作文档

第二部分：使用Remote-VPN客户端（Win2000/XP系统）

一．SSG520防火墙上VPN配置

1．建立IP Pool地址池，此处是远程PC连接到SSG520 后获取的IP地址。

配置完成后的界面

22 XXX风电SSG520配置操作文档

2、建立本地用户使用的IKE，并设置了最大的用户数是10个，此处，user

password是自定义的，本处密码是yxfd（不能进行修改了，今后不需要再配置！）。

23 XXX风电SSG520配置操作文档

3．建立用户组，将本地用户使用的IKE添加到组内（此处以后不需要再配置了）。

4．添加远程VPN连接的用户帐号，此处用户名test和密码是123456，今后可按照下图格式进行添加新的用户帐号。

24 XXX风电SSG520配置操作文档

5．建立VPN网关，选择远程PC所在的拨号组。

继续点击高级选项，设置IKE Phase1阶段，预共享密钥也是123456（此处是与客户端一致的，不能进行修改了！），选择Outgoing接口（e0/3口），以及使

25 XXX风电SSG520配置操作文档

用的加密算法，将NAT-Traversal打开。

点击OK后，看到如下界面

继续点击Xauth，将认证方式选择为XAuth Server使用默认的认证方式。

26 XXX风电SSG520配置操作文档

然后点击XAuth Settings设置分配的IP地址池。

27 XXX风电SSG520配置操作文档

6．建立VPN，选择设定的VPN网关。

继续点击高级选项，启用延时保护、VPN监视功能。

28 XXX风电SSG520配置操作文档

7．建立VPN策略，设定需要访问的内网资源。

29 XXX风电SSG520配置操作文档

查看VPN Policy

30 XXX风电SSG520配置操作文档

二．Remote-VPN客户端配置

1．安装NetScreen-Remote VPN客户端软件，安装完成后我们可以在Windows桌面的最右下方发现它的图标（一个蓝色的Juniper图标），双击该图标将弹出一个配置对话框，选择菜单栏的Edit > Add > Connection，新建立一个VPN连接。

2．首先将该连接命名“华瑞”，Connection Security定义为Secure，并选定Only Connect Manually（只能手动建立连接，若不选定此项，则当NetScreen-Remote程序检测到有要使用到VPN连接的数据包出现时将自动建立VPN连接），Remote Party Identity and Addressing中的ID选择为IP Subnet，Subnet中输入我们在防火墙上定义的需要访问的内网网段，Mask中输入内网网段网络号对应的子网掩码，Protocol选择All，选择Connect using Secure

Gateway Tunnel，这里的ID选择IP Address（IP地址），在下面的输入栏输入

31 XXX风电SSG520配置操作文档

防火墙Untrust口的IP地址（SSG520防火墙的外接口IP地址）。

3．然后打开该连接的内容，进入My Identity分页，首先点击Pre-Share Key按钮 > Enter Key按钮，在输入栏输入在配置防火墙的VPN网关时设定的IPSEC共享密钥（此处与防火墙设置的密钥相同，均是hdpiyxfd，不能修改了！），在ID处选定E-mail Address，在下面的输入栏输入建立VPN用户时设定的IKE身份定义值（IKE Identity），此处是hdpi@（此处仅仅是一个表示，没有实际意义，与防火墙设置相同，不能修改了！）。

32 XXX风电SSG520配置操作文档

此处输入的是配置防火墙的VPN网关时设定的IPSEC共享密钥hdpiyxfd。

4．点击进入Security Policy分页，在Select Phase 1 Negotiation Mode中选择我们原来在防火墙上选定的Aggressive Mode。

33 XXX风电SSG520配置操作文档

5．再打开Security Policy的内容，进入Security > Authentication (Phase 1) >

Proposal 1分页，这里需要修改的就仅仅只是认证方法（Authenticaion）这个参数了，在这里我们选定“Pre-Shared Key; Extended Authentication”用于IPSEC-XAuth，然后下面的加密算法是与防火墙上相一致的。

34 XXX风电SSG520配置操作文档

：

6、进入Security > Key Exchange (Phase 2) > Proposal 1分页，这里要与设备配置的IKE第二阶段相同，按照如下参数配置即可，加密算法也是与防火墙上相一致的。

35 XXX风电SSG520配置操作文档

三．验证测试VPN连接

通过程序菜单栏的File > Save保存当前配置，然后回到WINDOWS桌面，用鼠标右键点击右下方的NetScreen-Remote图标，在弹出的菜单中选定 > My Connections。

此时系统将弹出一个提示VPN连接成功的对话框，输入用户名和密码即可。

36 XXX风电SSG520配置操作文档

输入用户名：test,密码：123456,然后会提示是否连接成功，下面是连接成功后的界面，可以看见该PC被分配了 10.141.11.200的地址。

连接完成后右下角图标变化如下所示:

37 XXX风电SSG520配置操作文档

在防火墙上可以查看VPN Monitor状态。

38 XXX风电SSG520配置操作文档

测试VPN连接情况，ping内部设备，可以看见是可以正常通讯的。

39 XXX风电SSG520配置操作文档

同时，在防火墙上相应的Policy下可以看见Log信息。

四．SSG 520 防火墙日常维护

1、SSG 520配置文件保存、恢复

配置文件的保存

40 XXX风电SSG520配置操作文档

41 XXX风电SSG520配置操作文档

将保存的SSG520配置恢复

42 XXX风电SSG520配置操作文档

2、SSG520 报警灯状态维护

43 XXX风电SSG520配置操作文档

SSG520 检测到内网计算机异常行为后，前面板的红色“Alarm”LED指示灯点亮。同时系统中“System Most Recent Alarms/Events”会出现相应的提示。

红色“Alarm”LED在计算机终止异常行为后常亮，只能通过命令行方式才能关掉。

Telnet 到 SSG520：

输入用户名、密码

44 XXX风电SSG520配置操作文档

登录成功：

输入命令：clear led alarm ,回车后，SSG 520 红色Alarm 指示灯灭

输入命令：exit ,退出登录

45 XXX风电SSG520配置操作文档

3、Remote-VPN客户端配置保存

导出客户端安全策略配置：

双击一下右下角“netscreen-remote ”

点一下”File”,选中“Export security poliey”

46 XXX风电SSG520配置操作文档

保存到桌面，备用

47 XXX风电SSG520配置操作文档

将导出客户端安全策略配置：

点一下”File”,选中“Import security poliey”,选中

点击“OK”

48

本文标签： 配置风电连接