返回
Juniper SSG 550M防火墙

Juniper SSG 550M防火墙

ID:39465038

大小:5.97 MB

页数:42页

时间:2019-07-03

Juniper SSG 550M防火墙_第1页
Juniper SSG 550M防火墙_第2页
Juniper SSG 550M防火墙_第3页
Juniper SSG 550M防火墙_第4页
Juniper SSG 550M防火墙_第5页
资源描述:

《Juniper SSG 550M防火墙》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、电信WAP网关SSG550配置手册WAP项目现场安装文档(SSG550M防火墙)V1.0JuniperNetworks.2008-9-6第42页共42页电信WAP网关SSG550配置手册第42页共42页电信WAP网关SSG550配置手册目录1概述32电信WAP中心网络规划42.1Zone规划42.2访问策略实现62.2.1PDSN访问实现62.2.2163公网访问实现72.2.3DCN访问实现72.2.4CN2访问实现73设备端口连接规划73.1设备端口编号73.2设备端口连接表73.3防火墙接口地址规划83.4防火

2、墙策略定义规划94防火墙配置安装步骤114.1初始化配置114.2防火墙冗余NSRP设置134.3设置设备接口参数204.4设置路由234.5定义WAP中心主机及信息服务端口254.6配置NAT(DIPNAT-DstMIP)264.7定义安全访问策略314.8用户账号管理324.9配置文件备份334.10版本升级步骤354.11常用排错步骤及命令汇总365附录:防火墙配置文件375.1SSG-550M-1防火墙配置375.2SSG-550M-2防火墙配置41第42页共42页电信WAP网关SSG550配置手册1概述

3、电信WAP网关采用两台ZXR10T40G三层交换机做为核心交换机,并且采用两台JuniperSSG-550M防火墙来做安全控制。WAP网关通过电信的CE路由器分别连接PDSN、CN2、DCN和电信163公网4个网络,以内蒙古电信WAP为例,网络结构图如下:在逻辑结构上,WAP网关需要和PDSN、CN2、DCN和163公网4个网络进行网络互联。第42页共42页电信WAP网关SSG550配置手册此次项目通过JUNIPER防火墙实现的主要功能如下:1.PDSN网络(10.0.0.0/8)的主机需要访问10.0.0.165主

4、机TCP的80端口,UDP的9200-9203、1813、1812端口。通过防火墙后,即访问我内部主机192.168.0.133TCP的8000端口,UDP的9200-9203、1813、1812。2.内部的多台主机(包括192.168.0.133)需要访问163公网上的任何资源,而且192.168.0.133的TCP的8090端口需要被163公网上的主机访问。这样报文在出防火墙时,需要转换成公网地址。3.内部的多台主机(包括192.168.0.133)需要与CN2上相互访问,这样内部主机需要转换成CN2的地址与CN

5、2的主机进行通讯。而且192.168.0.133的TCP的8090端口需要被CN2上的主机访问,其他的端口还不确定。4.内部的多台主机(包括192.168.0.133)需要与DCN的主机进行互相访问。也需要转换成DCN的地址进行互通。5.PDSN网络的主机需要通过防火墙去访问163公网上的资源,需要在防火墙上将源地址变换成公网地址。1电信WAP中心网络规划1.1Zone规划根据WAP业务访问需求,由于在此项目中使用的JuniperSSG-550M防火墙为标准配置,仅自带4个千兆接口,其中eth0/3接口作为HA传输心

6、跳等信息,至此实际能应用到此网络环境中进行数据传输的接口只有3个(eth0/0、eth0/1、eth0/2),并且每台CE路由器也仅能提供2个接口通过交换机与我们的设备进行通信。内部网络占用一个端口,这样实际上剩下2个端口来接电信的4个网络。为保证内部用户与其4个网络互相通信,并正常访问,在此将对网络连接接口进行如下规划:1、PDSN单独划分为一个DMZzone,CN2DCN163公网划分到Untrustzone。2、PDSN网络单独一根线通过交换机接到防火墙的eth0/1接口,该接口为DMZzone。3、163

7、网络单独一根线通过交换机接到防火墙的eth0/2接口,该接口为Untrustzone。4、CN2DCN网络所以流量将通过eth0/2接口进出,该接口为Untrustzone。第42页共42页电信WAP网关SSG550配置手册Untrust区域:每台SSG550M的固定第3个接口eth0/2与交换机相连接入163CN2DCN网络,物理接口配置163公网地址,通过MIP对外开放服务端口,但是访问DCNCN2网络进出所有流量也通过此区域接口,通过在此接口下启用扩展DIP功能,实现源地址转换。Trust区域:SSG5

8、50M的固定第1个接口eth0/0与交换机相连接入WAP内网,配置内网地址192.168.0.1/24。DMZ区域:SSG550M的固定第2个接口eth0/1与交换机相连接入PDSN网络,配置IP地址:10.0.0.167/28.物理结构图和数据流向如下图所示:第42页共42页电信WAP网关SSG550配置手册1.1访问策略实现1.1.1PDS

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。