Embed Size (px)
DESCRIPTION
Citation preview
Juniper Netscreen 模拟实例配置
分公司 B总部 A
192.168.1.180
1.1.1.1 1.1.1.14
192.168.1.1
ERP
WEB
192.168.1.190
2.2.2.14 2.2.2.1
192.168.2.1
3.3.3.14 3.3.3.1
192.168.3.1
合作伙伴 C
L2TPIPsec
WEB Server 的公网映射地址为 1.1.1.12. 2.2.2.0 的子网掩码是 255.255.255.240.1.1.1.0 的子网掩码是 255.255.255.240. 3.3.3.0 的子网掩码是 255.255.255.240.
总部 A 的基本配置
• 接口设置以及安全区的划分o 内网交换机连接防火墙 Trust 接口, Trust 接口绑定到 Trust Zone 。o 内网网段为 192.168.1.0/24 , Trust 接口地址为 192.168.1.1 。o 公网路由器连接防火墙 Untrust 接口, Untrust 接口绑定到 Untrust
Zone 。o 公网路由器的地址为 1.1.1.14/28 , Untrust 接口为 1.1.1.1/28 。
• 设置默认路由o 将默认路由指向公网路由器的地址,将出口指向 Untrust 接口。
• 设置内网( Trust )到外网( Untrust )的访问策略
内网接口( Trust Interface )的设置
将 Trust 口绑定到 Trust Zone
设置接口 IP 地址
外网接口( Untrust Interface )的设置
如果允许在外网进行网管请打开相关选项
默认路由的设置
0.0.0.0/0 代表默认路由
指定出口以及网关地址
内网( Trust )到外网( Untrust )的访问策略
Any 代表任意地址
允许内网访问外网
总部 A 的地址映射 / 服务器访问设置
• WEB 服务器(真实地址 192.168.1.180 ;公网映射地址 1.1.1.12 )o 在 Untrust 接口上设置 MIP ,做 1vs1 的地址映射。o 通过设置策略允许外网访问 MIP 上的 WEB 服务( 80 端口)。
• ERP 服务器o 设置 ERP 服务器的真实地址 192.168.1.190 。o 设置 ERP 服务器的应用服务( TCP8888 端口)。o 设置 B 公司的内网地址段: 192.168.2.0/24 。o 设置 C 公司的内网地址段: 192.168.3.0/24 。o 通过设置策略允许 B 、 C 公司可以通过 VPN 隧道访问 ERP 服务器。
在 Untrust 接口设置 MIP
在这里输入公网地址
在这里输入真实服务器地址
设置策略允许外网访问 WEB 服务器
在目的地址里选择MIP 地址。
在服务里选择HTTP 。
设置 ERP 服务器的应用服务( TCP 8888 )
在这里选择端口号
设置 ERP 服务器的真实地址 192.168.1.190
单台主机的掩码使用 /32 。
设置 ERP 服务器的应用服务( TCP 8888 )
在这里选择端口号
设置 B 公司的内网地址段 192.168.2.0/24
该地址对于 A 来说是从属于 Untrust Zone
的。
设置 C 公司的内网地址段 192.168.3.0/24
该地址对于 A 来说是从属于 Untrust Zone
的。
设置策略允许 B 公司访问 ERP 服务器
设置策略允许 C 公司访问 ERP 服务器
总部 A 的总体安全策略
• 对于分公司 B 的访问o 总部 A 可以无限制访问分公司 B 的内网;
• 对于公网的访问o 仅允许许 http/https/dns/icmp/smtp/pop3/ftp/msn 这八种服务。
• 分公司 B 对于总部 A 的访问o 分公司 B 可以无限制访问总部 A 的内网;
• 取消前面设定的默认策略o 撤销原先的内网对公网的默认策略
设置策略允许总部 A 访问分公司 B
设置策略允许总部 A 访问公网的几种特定服务
点击它,则弹出选择服务的菜单。
设置策略允许分公司 B 访问总部 A
取消默认策略 / 重复的策略
分公司 B 的基本配置 设置方法参考 A
• 接口设置以及安全区的划分o 内网交换机连接防火墙 Trust 接口, Trust 接口绑定到 Trust Zone 。o 内网网段为 192.168.2.0/24 , Trust 接口地址为 192.168.2.1 。o 公网路由器连接防火墙 Untrust 接口, Untrust 接口绑定到 Untrust
Zone 。o 公网路由器的地址为 2.2.2.14/28 , Untrust 接口为 2.2.2.1/28 。
• 设置默认路由o 将默认路由指向公网路由器的地址,将出口指向 Untrust 接口。
• 设置内网( Trust )到外网( Untrust )的访问策略
公司 C 的基本配置 设置方法参考 A
• 接口设置以及安全区的划分o 内网交换机连接防火墙 Trust 接口, Trust 接口绑定到 Trust Zone 。o 内网网段为 192.168.3.0/24 , Trust 接口地址为 192.168.3.1 。o 公网路由器连接防火墙 Untrust 接口, Untrust 接口绑定到 Untrust
Zone 。o 公网路由器的地址为 3.3.3.14/28 , Untrust 接口为 3.3.3.1/28 。
• 设置默认路由o 将默认路由指向公网路由器的地址,将出口指向 Untrust 接口。
• 设置内网( Trust )到外网( Untrust )的访问策略
总部 A 与分公司 B 之间的 Site to Site VPN
• 总部 A 部分的 Site to Site VPN 设置o VPN Gateway 的设置o VPN 的设置o 路由的设置
• 分公司 B 部分的 Site to Site VPN 设置o VPN Gateway 的设置o VPN 的设置o 路由的设置
总部 A Gateway 的设置
对方 VPN 设备的网关
选择 VPN 通道的出口
总部 A Gateway 的设置 高级选项
VPN 双方的模式必须一致
总部 A Tunnel Interface 的设置
Tunnel Interface 的地址借用Untrust 接口的地址
总部 A IKE VPN 配置
在下拉菜单选取前面定义的 IKE Gateway
总部 A IKE VPN 配置 高级选项
绑定 tunnel.1 接口
填入本地 / 远端地址段
总部 A 路由的设置
写入分公司 B 内网的地址
选择 tunnel.1 作为出口
分公司 B Gateway 的设置
对方 VPN 设备的网关
选择 VPN 通道的出口
分公司 B Gateway 的设置 高级选项
VPN 双方的模式必须一致
分公司 B Tunnel Interface 的设置
Tunnel Interface 的地址借用Untrust 接口的地址
分公司 B IKE VPN 配置
在下拉菜单选取前面定义的 IKE Gateway
分公司 B IKE VPN 配置 高级选项
绑定 tunnel.1 接口
填入本地 / 远端地址段
分公司 B 路由的设置
选择 tunnel.1 作为出口
B 公司所有的对外访问都要通过到总部 A 的VPN 隧道;故选择
0.0.0.0/0 的默认路由
总部 A 与公司 C 之间的 Site to Site VPN
• 总部 A 部分的 Site to Site VPN 设置o VPN Gateway 的设置o VPN 的设置o VPN 策略设置
• 公司 C 部分的 Site to Site VPN 设置o VPN Gateway 的设置o VPN 的设置o VPN 策略设置
总部 A Gateway 的设置
对方 VPN 设备的网关
选择 VPN 通道的出口
总部 A Gateway 的设置 高级选项
VPN 双方的模式必须一致
总部 A IKE VPN 配置
在下拉菜单选取前面定义的 IKE Gateway
总部 A IKE VPN 配置 高级选项
总部 A VPN 策略的设置
Action 选择 Tunnel
选择 A 到 C 的 VPN
总部 C Gateway 的设置
对方 VPN 设备的网关
选择 VPN 通道的出口
总部 C Gateway 的设置 高级选项
VPN 双方的模式必须一致
总部 C IKE VPN 配置
在下拉菜单选取前面定义的 IKE Gateway
总部 C IKE VPN 配置 高级选项
总部 C VPN 策略的设置
Action 选择 Tunnel
选择 C 到 A 的 VPN
远程用户 1 通过 IPsec Dialup VPN 访问总部 A
• Phase 1 部分 o IKE Gateway o VPN 的向外接口o IKE Gateway 地址o Phase 1 协议
Pre-shared Key Diffie-Hellman group number Encryption Algorithm Authentication Algorithm
• Phase 2 部分 o VPN n 名称o Phase 2 proposal
Diffie-Hellman group number for PFS (optional) IPSec protocol (ESP or AH) Encryption Algorithm Authentication Algorithm
• VPN 安全策略• Netscreen Remote 客户端的设置
Dial-up User 设定部分- 设定用户的 IKE ID
配置 Dial-up 用户
• 设置 IKE ID
设定其它值会导致异常
客户端也须配置两者须一致
配置 dialup VPN Gateway
• IKE Phase 1
选择 dialup user ,并在对应下拉菜单选择我们刚才设定的用户。
设置共享密钥,客户端也须设置相同的值(最少 8 位)
配置 dialup VPN Gateway 高级选项
• IKE Phase 1
注意 dial-up VPN 使用Aggressive 模式
如果 VPN 连接中有 NAT 存在,请勾选此项,开启穿透功能;并
做 UDP Checksum 检查
配置 dialup VPN
• IKE Phase 2
在下拉菜单选取前面定义的 IKE Gateway
配置 dialup VPN 高级选项
• IKE Phase 2
VPNs > AutoKey IKE > Edit (Advanced)
总部 A VPN 策略的设置
Action 选择 Tunnel
选择 dialup VPN
源地址选择 Dial-Up VPN (系统自定义)
Netscreen Remote 远程客户端的配置 01
新建一个连接,取名后,点中它,出现右方基本配置界
面。
在该选项中输入我们的目标地址,即安全网关后面
的内部子网 / 主机的地址。
选中该选项,并在 ID 中选取 IP Address ,输入安全
网关的外网口地址。
Netscreen Remote 远程客户端的配置 02
点击新建连接的加号键,点中 My
Identity 进行设置
在 Select 中选择 None ;在 Pre-Shared Key 中输入与前面安全网关 Gateway
配置中一致的值。
在 ID 选项中选择 E-mail Address ,然后输入与前面安全网关 Dial-up 用户
配置中一致的值。
Netscreen Remote 远程客户端的配置 03
选中 Security Policy 进行设置。
在 Select Phase 1 Negotiation Mode 中选择
Aggressive Mode 。
根据前面在安全网关中 IKE VPN 中 Phase 2 Proposal 选
择的不同,选择是否使用PFS 。
Netscreen Remote 远程客户端的配置 04
选中 Proposal 1, 进行 Phase 1 的设置。
根据前面在安全网关中 IKE Gateway 中 Phase 1Proposal
的选择,选择一致的选项。
Netscreen Remote 远程客户端的配置 05
选中 Proposal 2, 进行 Phase 2 的设置。
根据前面在安全网关中 IKE VPN 中 Phase 2Proposal 的
选择,选择一致的选项。
远程用户 2 通过 L2TP VPN 访问总部 A 的 ERP 服务器
• L2TP Tunnel 的设置 • VPN 安全策略• Windows 客户端的设置
L2TP User 设定部分- 设定 L2TP 用户名 / 密码
配置 L2TP 用户
设定用户名
分配给 L2TP 用户的地址
设定密码
配置 L2TP Tunnel
选择 Tunnel 的接口
选择 L2TP 用户
L2TP Tunnel 策略的设置
Action 选择 Tunnel
选择 L2TP Tunnel
源地址选择 Dial-Up VPN (系统自定义)
Windows 客户端的配置 01
Windows 客户端的配置 02
Windows 客户端的配置 03
Windows 客户端的配置 04
Windows 客户端的配置 05
Windows 客户端的配置 06
Windows 客户端的配置 07
