欢迎来到天天文库
浏览记录
ID:48186240
大小:3.25 MB
页数:84页
时间:2020-01-18
《Juniper_FW_模拟实例配置.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、JuniperSSGFW模拟实例配置网络总体拓扑TrustZone:192.168.2.0/24.1应用服务器应用服务器:192.168.2.8/242总部A的基本配置系统基本参数设定接口设置以及安全区的划分内网交换机连接防火墙eth0/2接口,eth0/2接口绑定到bgp3接口;bgp3接口设定为trust区接口。内网网段为192.168.2.0/24,接口地址为192.168.2.1。公网路由器连接防火墙eth0/0接口,eth0/0接口绑定到Untrust区。公网路由器的地址为1.1.1.14/28,Untrust接口为1.1.1.1/28。设置默认路由将默认路由指向公网路由
2、器的地址,将出口指向Untrust接口。设置内网(Trust)到外网(Untrust)的访问策略3系统升级升级ScreenOS菜单选择ScreenOS搜索本地ScreenOS文件4此过程需要等候几分钟;在此过程内不做任何操作,直到WebUI弹出重新登陆界面系统升级5系统升级6系统时间设置进入SSG系统后首先同步防火墙时间7系统时间设置点击SyncClockWithClient>Yes8DNS基本设置9接口默认设置一览10将eth0/2绑定到bg3中。内网接口(TrustInterface)的设置11内网接口(TrustInterface)的设置续设置IP地址;设置可管理项。12外网
3、接口(UntrustInterface)的设置如果允许在外网进行网管请打开相关选项13默认路由的设置0.0.0.0/0代表默认路由指定出口以及网关地址14内网(Trust)到外网(Untrust)的访问策略Any代表任意地址允许内网访问外网15总部A的地址映射/服务器访问设置WEB服务器(真实地址192.168.1.180;公网映射地址1.1.1.12)在Untrust接口上设置MIP,做1vs1的地址映射。通过设置策略允许外网访问MIP上的WEB服务(80端口)。ERP服务器设置ERP服务器的真实地址192.168.1.190。设置ERP服务器的应用服务(TCP8888端口)。设
4、置B公司的内网地址段:192.168.2.0/24。设置C公司的内网地址段:192.168.3.0/24。通过设置策略允许B、C公司可以通过VPN隧道访问ERP服务器。16在Untrust接口设置MIP在这里输入公网地址在这里输入真实服务器地址17设置策略允许外网访问WEB服务器在目的地址里选择MIP地址。在服务里选择HTTP。18设置ERP服务器的应用服务(TCP8888)在这里选择端口号19设置ERP服务器的真实地址192.168.1.190单台主机的掩码使用/32。20设置B公司的内网地址段192.168.2.0/24该地址对于A来说是从属于UntrustZone的。21设置
5、C公司的内网地址段192.168.3.0/24该地址对于A来说是从属于UntrustZone的。22设置策略允许B公司访问ERP服务器23设置策略允许C公司访问ERP服务器24总部A的总体安全策略对于分公司B的访问总部A可以无限制访问分公司B的内网;对于公网的访问仅允许许http/https/dns/icmp/smtp/pop3/ftp/msn这八种服务。分公司B对于总部A的访问分公司B可以无限制访问总部A的内网;取消前面设定的默认策略撤销原先的内网对公网的默认策略25设置策略允许总部A访问分公司B26设置策略允许总部A访问公网的几种特定服务点击它,则弹出选择服务的菜单。27设置策
6、略允许分公司B访问总部A28取消默认策略/重复的策略29添加默认路由30添加默认路由31分公司B的基本配置设置方法参考A接口设置以及安全区的划分内网交换机连接防火墙Trust接口,Trust接口绑定到TrustZone。内网网段为192.168.2.0/24,Trust接口地址为192.168.2.1。公网路由器连接防火墙Untrust接口,Untrust接口绑定到UntrustZone。公网路由器的地址为2.2.2.14/28,Untrust接口为2.2.2.1/28。设置默认路由将默认路由指向公网路由器的地址,将出口指向Untrust接口。设置内网(Trust)到外网(Untr
7、ust)的访问策略32公司C的基本配置设置方法参考A接口设置以及安全区的划分内网交换机连接防火墙Trust接口,Trust接口绑定到TrustZone。内网网段为192.168.3.0/24,Trust接口地址为192.168.3.1。公网路由器连接防火墙Untrust接口,Untrust接口绑定到UntrustZone。公网路由器的地址为3.3.3.14/28,Untrust接口为3.3.3.1/28。设置默认路由将默认路由指向公网路由器的地址,将出口指向Untru
此文档下载收益归作者所有