|
要學(xué)SSG5之前���,當(dāng)然是要先知道什么是SSG5��,本篇文章����,會(huì)先對(duì)SSG5作簡(jiǎn)單的介紹讓大家知道SSG5是什么? 它有哪些功能? 以及如何運(yùn)用它���?
Juniper SSG-5(基本型)參數(shù)細(xì)節(jié)(2007.07上市)
基本規(guī)格
防火墻類(lèi)型:企業(yè)級(jí)防火墻
網(wǎng)絡(luò)吞吐量:160Mbps
并發(fā)連接數(shù):4000
主要功能:地址轉(zhuǎn)換,防火墻,統(tǒng)一威脅管理/ 內(nèi)容安全,VoIP 安全性,vpn,防火墻和VPN 用戶驗(yàn)證,路由,封裝,流量管理(QoS),系統(tǒng)管理,日志記錄和監(jiān)視
網(wǎng)絡(luò)
網(wǎng) 絡(luò)管理:系統(tǒng)管理,NetIQ WebTrends,SNMP (v2),SNMP full custom MIB,console,telne,SSH,NetScreen-Security Manager,All management via VPN tunnel on any interface,Rapid deployment
端口類(lèi)型:7x 10/100,廣域網(wǎng):出廠配置的RS232 Serial/AUX或 ISDN BRI S/T 或 V.92
安全性
過(guò)濾帶寬:40Mbps
人數(shù)限制:無(wú)用戶數(shù)限制
入侵檢測(cè):Dos��,DDoS
安全標(biāo)準(zhǔn):CSA����,CB
端口參數(shù)
控制端口:console
電氣規(guī)格
電源電壓:100~240 VAC
外觀參數(shù)
產(chǎn)品質(zhì)量:0.59kg
長(zhǎng)度(mm):143
寬度(mm):222
高度(mm):41
環(huán)境參數(shù)
工作溫度:0~40
工作濕度:10% - 90%,非冷凝
存儲(chǔ)溫度:-20~ 65℃
存儲(chǔ)濕度:10% - 90%�,非冷凝
企業(yè)用途
一般網(wǎng)絡(luò)工程師最頭痛的莫過(guò)于受到外部網(wǎng)絡(luò)的攻擊,有了SSG5 讓你的外網(wǎng)可以搭建簡(jiǎn)單而又不失安全性��。
如果公司有一條與外線相連����,通過(guò)SSG5可以輕輕松松幫你建立 site to site 的VPN。
SSG5三十天就上手-Day 2 SSG5 如何還原到出廠設(shè)定值��。
方法一:在 SSG5的后面有一個(gè)Reset 的針孔����,如果今天只是要跟你說(shuō)用針插一下這個(gè)孔,那我就略掉了����。當(dāng)然它絕對(duì)不是你所想得這么簡(jiǎn)單,要使用Reset 重啟按鈕����,你需要對(duì)該針孔插兩次針�,且不是隨便插��,你必須配合它的燈號(hào)�����,第一次插大約4秒不動(dòng)���,然后燈號(hào)變成一紅一綠,在將針拔出間隔約1秒之后�����,再將針插入約4秒�����,如此才能完成Reset 操作�����。
方法二:Console Reset:需要連到SSG5的Console 線一根�,它是一端為Com port 另一端為RJ45,跟Cisco Switch 用的線一樣��。將線連接到SSG5的Console port 后,使用超級(jí)終端連接SSG5����,然后賬號(hào)密碼都輸入SSG5背后貼紙的序號(hào)。接著按下兩次Y�,如此你就可以還原到原廠設(shè)定值。還原后的SSG5預(yù)設(shè)賬號(hào)和密碼都為netscreen����。
SSG5三十天就上手-Day 3 SSG5 如何進(jìn)行備份與還原。
一般如果有兩臺(tái)SSG5要互相替換�,當(dāng)然最佳的方法是做HA ,可惜在沒(méi)有錢(qián)的IT界��,一定是一臺(tái)SSG5來(lái)當(dāng)很多臺(tái)的Backup��,此時(shí)如果在線的SSG5掛了��,如何讓你Backup的SSG5�����,可以快速還原就非常重要�����!
第一、平時(shí)要對(duì)你在線的SSG5進(jìn)行Config的 Backup�����,請(qǐng)登入你SSG5的Web頁(yè)面���,在左邊的選單中����,進(jìn)入 <Configuration> --> <Update>
然后在右邊畫(huà)面中���,點(diǎn)選 <Save To File> 如此就能Backup 你的 Configuration。
第 二�����、進(jìn)行快速還原�����,請(qǐng)登入你Backup的SSG5的Web頁(yè)面�,在左邊的選項(xiàng)中,進(jìn)入 <Configuration> --> <Update>��,在右邊畫(huà)面中Upload Configuration to Device 選擇 Replace Current Configuration ,并按下<瀏覽> 選擇出第一步驟中所備份出 file�。
SSG5三十天就上手-Day 4 SSG5 如何進(jìn)行軟件更新。
新版軟件會(huì)幫你解決一些舊版的bug 之外���,還會(huì)進(jìn)行功能的改進(jìn)�,因此對(duì)SSG5進(jìn)行軟件升級(jí)就變成你必備的技能。
下載軟件
你可以拿你SSG5的序列號(hào),到Juniper 的網(wǎng)頁(yè)��,注冊(cè)一個(gè)賬號(hào)���,注冊(cè)后你可以download 新版 SSG5 的軟件。
更新軟件
準(zhǔn) 備好軟件檔案后����,登入你的SSG5的Web頁(yè)面,在左邊的選單中�,進(jìn)入 <Configuration> --> <Update>--> <ScreenOS/Keys>,在右邊畫(huà)面中選擇 Firmware Update (ScreenOS) �����,并按下<瀏覽> 選擇出第一步驟中所備出 file����。接著就等SSG5更新完畢��!
SSG5三十天就上手-Day 5 SSG5 Security Zones
Security Zones-安全區(qū)設(shè)定
你可以通過(guò) Security Zones 將你的SSG5 切個(gè)為多個(gè)安全區(qū)域��,在SSG5中預(yù)設(shè)會(huì)有下列Zones:
Null
Trust
Untrust
Self
Global
HA
MGT
Untrust-Tun
V1-Null
V1-Trust
V1-Untrust
DMZ
V1-DMZ
VLAN
其中建議你最少要使用兩個(gè)Security Zones將你的網(wǎng)絡(luò)進(jìn)行區(qū)隔��。在默認(rèn)值中會(huì)將ethernet0/0放到Untrust����,ethernet0/1放到DMZ��,其它放到Trust����。假設(shè)你只有一條對(duì)外線�����,建議你將該線路放到 ethernet0/0 (Untrust)�,內(nèi)部就放到Trust。然后再設(shè)定SSG5的 Policy 來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)�。
SSG5三十天就上手-Day 6 SSG5 Interface
Interface 是SSG5中實(shí)際封包進(jìn)出的出入口,經(jīng)由Interface 讓封包來(lái)進(jìn)出security zone����。為了讓網(wǎng)絡(luò)封包能夠進(jìn)出security zone����,你必須將bind 一個(gè)interface到該security zone��,如果你要讓兩個(gè)security zone互通封包時(shí)�����,你就必須設(shè)定 policies (就像是iptables)�。
你可以把多個(gè)Interface bind到同一個(gè)security zone,但是一個(gè) Interface只能被bind 到一個(gè)security zone�����,也就是說(shuō)Interface 跟 security zone 是多對(duì)一的關(guān)系����。
Interface Types
Physical Interfaces
這就是你SSG5中的實(shí)體網(wǎng)絡(luò) port ,你可以對(duì)照SSG5機(jī)體上的編號(hào):eth0/0 ~ eth0/6 共有七個(gè)網(wǎng)絡(luò) port
Bridge Group Interfaces
Subinterfaces
Aggregate Interfaces
Redundant Interfaces
Virtual Security Interfaces
SSG5三十天就上手-Day 7 SSG5 Interface Modes
在SSG5 Interface 可以以下列幾種方式運(yùn)作:
Transparent Mode
NAT(Network Address Translation) Mode
Route Mode
Interface 被bind 在 Layer 3 且有設(shè)定 IP 時(shí)可以選擇使用 NAT 或 Route方式運(yùn)作��。
Interface 被bind 在 Layer 2的Zone 時(shí)���,Interface 需以Transparent 方式運(yùn)作�����。
Transparent Mode:當(dāng)Interface 在此模式時(shí)�����, IP address 會(huì)設(shè)定為0.0.0.0�����,此時(shí)SSG5不會(huì)對(duì)于封包中的source 或destination信息做任何的修改�。SSG5此時(shí)就像扮演 Layer 2 switch 或 bridge。
NAT Mode:此時(shí)你的SSG5就像扮演 Layer 3 Switch 或是 Router�,會(huì)對(duì)封包進(jìn)行轉(zhuǎn)譯(translates),他會(huì)換掉流向 Untrust zone 封包的 Source IP 跟 Port�。
Route Mode:當(dāng)SSG5的Interface在此模式時(shí),防火墻不會(huì)對(duì)于兩個(gè)不同zone之間的封包做Source NAT��。
SSG5三十天就上手-Day 8 SSG5 Policies
Policies 你可以將它想成 iptables
在SSG5中�,預(yù)設(shè)會(huì)將跨security zone的封包(interzone traffic) deny �,bind 在同一個(gè)zone的interface 的封包(intrazone traffic)預(yù)設(shè)為allow
如果你需要對(duì)以上預(yù)設(shè)行為進(jìn)行調(diào)整,那你就必須透過(guò) Policies來(lái)進(jìn)行����。
Policies 由下列基本元素所組成:
Direction:這是指封包的流向從 source zone 流向 destination zone
Source Address:這是封包起始的地址
Destination Address:這是封包要送到的地址
Service:這是封包的服務(wù)種類(lèi),如DNS、http等等
Action :這是當(dāng)收到封包滿足此Polices時(shí)要進(jìn)行的動(dòng)作���。
舉例來(lái)說(shuō):假設(shè)你要設(shè)定任何地址都可以由Trust zone 到 Untrust Zone 中的 10.0.0.1 的 FTP Server����,則你的基本policies元素如下:
Direction: 從Trust 到 Untrust
Source Address: any
Destination Address: 10.0.0.1
Service: ftp (File Transfer Protocol)
Action: permit
Three Types of Policies
你可以通過(guò)下列三種型態(tài)的Policies 來(lái)控制您的封包:
Interzone Policies—控制一般Zone與zone之間的封包����。
Intrazone Policies—控制同一Zone之間的封包
Global Policies—套用到所有zone
SSG5三十天就上手-Day 9 SSG5 Domain Name System (DNS) Support
SSG5 也支持DNS,讓你可以通過(guò)DNS Name 來(lái)找到 IP Address��。在你要使用DNS之前�����,你需要先在你的SSG5 上設(shè)定DNS Server����。
假設(shè)你的DNS Server的 IP 為 192.168.1.2 跟 192.168.1.3 ,并且你要將DNS 設(shè)定為每天晚上11 點(diǎn) refresh���。
請(qǐng)登入你SSG5的web 頁(yè)面��,點(diǎn)擊左邊的 "Network" ==>"DNS" ==>"Host" 然后在右邊的頁(yè)面中�,輸入下列之信息:
Primary DNS Server: 192.168.1.2
Secondary DNS Server: 192.168.1.3
DNS Refresh: (請(qǐng)勾選) 并手動(dòng)在Every Day at:字段上輸入 23:00 ,然后按下Apply ��,這樣你SSG5 的 DNS 就設(shè)定完成了�����。
SSG5三十天就上手-Day 10 SSG5 DHCP(Dynamic Host Configuration Protocol)Support
DHCP (Dynamic Host Configuration Protocol) 可以用來(lái)讓網(wǎng)絡(luò)中的計(jì)算機(jī)自動(dòng)獲取IP ��。通過(guò)DHCP 可以讓網(wǎng)絡(luò)工程師對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)設(shè)定更容易��。SSG5 在DHCP 中可以辦演下列角色:
DHCP Client:可以通過(guò)網(wǎng)絡(luò)中的DHCP Server 取得所配發(fā)的 IP ����。
DHCP Server:可以在網(wǎng)絡(luò)中配發(fā)IP 給 DHCP Client。
DHCP Relay Agent:負(fù)責(zé)接收網(wǎng)絡(luò)中的 DHCP Client 要求 IP 的封包���,并轉(zhuǎn)給(relay)給指定的DHCP Server��,必取得Server 所配IP之訊后�,轉(zhuǎn)回給 Client�。
要在SSG5 中設(shè)定 DHCP ,請(qǐng)登入 SSG5 的 web 管理接口�����,點(diǎn)選左的 "Network" ==>"DHCP" 然后在右邊的頁(yè)面中�����,選擇要設(shè)定的Interface �,點(diǎn)選 Configure 字段中的 edit。如此就可以設(shè)定DHCP 相關(guān)信息��。
當(dāng)你的Interface 為Down 或 ip 設(shè)定為 0.0.0.0/0(就是沒(méi)設(shè)ip) �,你只能選擇 DHCP Client。其它你可以在上述中的三個(gè)角色三選一�。
若選擇DHCP Relay Agent,接著設(shè)定Relay Agent Server IP 或 Domain Name�。
若選擇DHCP Server,接著設(shè)定DHCP Server 其它相關(guān)設(shè)定:
Server Mode->可選擇Auto (Probing)��、Enable����、Disable 一般會(huì)選擇Enable
Lease ->預(yù)設(shè)為Unlimited
接著 Gateway Netmask DNS WINS 等相關(guān)信息即可。
SSG5三十天就上手-Day 11 SSG5 Setup PPPoE(Point-to-Point Protocol over Ethernet)
如 果公司的外線沒(méi)有固定IP�,那大多會(huì)使用(大多是ADSL)PPPoE 撥號(hào)上網(wǎng)。SSG5 對(duì) PPPoE 的支持也沒(méi)有問(wèn)題����,在SSG5 的默認(rèn)值中���,通常會(huì)將 eth0/0 設(shè)定在Untrust 的 Zone ,并使用 eth0/0 來(lái)當(dāng)做對(duì)外線路�,所以這里也建議你可以利用eth0/0來(lái)設(shè)定PPPoE的撥號(hào)上網(wǎng)。
Setting Up PPPoE 請(qǐng)登入 SSG5 的 web 管理接口����,點(diǎn)選左邊的 "Network"= > "Interfaces" ,然后在右邊的頁(yè)面�,對(duì)eth0/0點(diǎn)選"Edit",進(jìn)入編輯頁(yè)面后��,點(diǎn)選"Obtain IP using PPPoE"�����,并接著在選項(xiàng)后面有一個(gè) Link (Create new pppoe setting ) 可以讓您點(diǎn)選并Create 你的PPPoE的 Profile��,或者你已經(jīng)是前就先Create后�,也可以直接在選項(xiàng)后直接使用下拉選單挑選事先Create 好的 PPPoE Porfile。
Create PPPoE Profile 請(qǐng) 登入 SSG5 的 web 管理接口�����,點(diǎn)選左邊的 "Network"= > "PPP" =>"PPPoE Profile" �,然后在右邊的頁(yè)面右上方�,按下"New"的按鈕�����,接著設(shè)定PPPoE Instance (這是這個(gè)Profile的名子)�����、接著輸入從ISP那邊拿來(lái)的賬號(hào)密碼���。這樣你的SSG5就可以使用PPPoE撥號(hào)上網(wǎng)了。
SSG5三十天就上手-Day 12 SSG5 Setup Network Boot (SSG5支持網(wǎng)絡(luò)開(kāi)機(jī))
當(dāng) 你的環(huán)境中����,可以網(wǎng)絡(luò)開(kāi)機(jī)時(shí)候,你可以讓SSG5 也支持這樣的設(shè)定�。一般如果你要讓network boot 可以正常work ,你必須在你的DHCP Server中�,設(shè)定兩個(gè)項(xiàng)目:1.next-server :這個(gè) IP 是TFTP server的 IP address 2.filenam: 這是Bootfile 的 file name 。這樣DHCP Client 如果設(shè)定使用網(wǎng)絡(luò)開(kāi)機(jī)的時(shí)候���,他就知道拿完IP之后�����,要去找哪一臺(tái) TFTP Server 來(lái)download bootfile進(jìn)行開(kāi)機(jī)�����。在SSG5中����,你在設(shè)定DHCP的時(shí)候,只要指定上述兩個(gè)數(shù)值即可讓你的SSG5支持網(wǎng)絡(luò)開(kāi)機(jī)���。設(shè)定方法如下:
請(qǐng)登入 SSG5 的 web 管理接口��,點(diǎn)選左邊的 "Network" ==>"DHCP" 然后在右邊的頁(yè)面中�,選擇要設(shè)定的Interface �,點(diǎn)選 Configure 字段中的 edit。請(qǐng)選擇設(shè)定為DHCP Server����,并設(shè)定 Next Server Ip ,這里選擇From Input 并輸入 IP����。 接著點(diǎn)選右下角的Custom Options,進(jìn)入 Custom Options 設(shè)定頁(yè)面。再點(diǎn)選右上角的"New"����,在code 輸入 67,type選擇 string����,value中輸入bootfile的 file name ����。這樣就完成設(shè)定,接著你就可以測(cè)試看看�。
PS: 如果你的 Firmware Version: 6.3.0r4.0 (Firewall+VPN) ,會(huì)遇到帶出的bootfile 的 filename 多了一個(gè)怪怪符號(hào)����,目前看來(lái)是這一版的bug。
SSG5三十天就上手-Day 13 SSG5 管理員賬號(hào)和密碼
前 面講了SSG5 的功能如何設(shè)定�,接下來(lái)要跟大家講解最基本的安全問(wèn)題,那就是SSG5的管理員賬號(hào)和密碼����。SSG5的預(yù)設(shè)管理員賬號(hào)和密碼為 netscreen/netscreen,如果要修改可以通過(guò)console接口進(jìn)行修改���,如果手上沒(méi)有console的線�,也可以通過(guò)下列方式。
當(dāng) 拿到一臺(tái)新的SSG5或是將SSG5 reset 到原廠設(shè)定值的時(shí)候�����,它預(yù)設(shè)會(huì)將 eth0/2~eth0/6 設(shè)定為一個(gè)bgroup0�,并且會(huì)當(dāng)DHCP Server配發(fā) IP,該bgroup0的IP會(huì)設(shè)定為 192.168.1.1��?����?梢詫⒛愕挠?jì)算機(jī)連接到該bgroup0的port����,取得 IP 之后,透過(guò)Telnet 進(jìn)入Console�。
進(jìn)入Console后,先用預(yù)設(shè)賬號(hào)和密碼登入��。登入后先利用下列指令修改管理員的賬號(hào)名稱(chēng)����。
set admin name "管理員賬號(hào)"
接這SSG5會(huì)提示時(shí)已將密碼設(shè)定為netscreen,并建議你立即修改密碼,再利用下列指令修改管理員的密碼����。
set admin password "管理員密碼" 這樣就完成了修改管理員賬號(hào)和密碼的工作。
SSG5三十天就上手-Day 14 SSG5 變更管理port
SSG5預(yù)設(shè)的http管理web是通過(guò)80端口�。假設(shè)你的interface ip 為 192.168.1.1 ,預(yù)設(shè)開(kāi)啟web 管理時(shí)可以通過(guò)http://192.168.1.1 來(lái)進(jìn)行管理�,如果你把端口變更為5522,你則需用下列方式連接:http://192.168.1.1:5522 變更登錄方式為:請(qǐng)登入 SSG5 的 web 管理接口��,點(diǎn)選左邊的 "Configuration" ==>"Admin"==>"Management"�,然后在HTTP Port 字段輸入你的port ���,如5522�。
SSG5三十天就上手-Day 15 SSG5 Event Log
通過(guò)SSG5 的Event Log可以讓你知道你的SSG5發(fā)生了什么事情�����。比如SSG5本身產(chǎn)的訊息或是alarms等等����。
在SSG5將Event Log分為下列Level:
[Alert]: 這個(gè)信息是需要馬上被注意的,如防火墻遭到攻擊��。
[Critical]: 這個(gè)信息是有可能會(huì)影響運(yùn)作或是功能,如HA (High Availability)狀態(tài)改變���。
[Error]: 這個(gè)信息是SSG5發(fā)生錯(cuò)誤且可能造成運(yùn)作上或是功能上的錯(cuò)誤�����,如連上SSH Servers.
[Warning]: 這個(gè)信息是SSG5發(fā)生了會(huì)影響功能方面的事件�,如認(rèn)證失敗����。
[Notification]: 這是發(fā)生一般正常的事件,給予管理這常態(tài)的通知����,如管理人員變更網(wǎng)絡(luò)參數(shù)設(shè)定,是否需開(kāi)通上網(wǎng)功能��。
[Debugging]: 這是提供詳細(xì)的信息讓你用來(lái)做debug用途��。
你可以登入 SSG5 的web管理頁(yè)面��,并在 "Reports" => "System Log" => "Event" 查看 SSG5的 Event Log����。
SSG5三十天就上手-Day 16 SSG5 Sending Email Alerts
身為一位網(wǎng)絡(luò)工程師人員����,每天看Log可以說(shuō)是天命�。但是天天進(jìn)系統(tǒng)看Log實(shí)在會(huì)累死人,尤其是當(dāng)你可以能會(huì)用十幾臺(tái)SSG5的時(shí)候��。
這個(gè)時(shí)候當(dāng)然是要叫SSG5 每天自動(dòng)把 alarm 用e-mail 寄給你����!設(shè)定的方法如下:
登入 SSG5 的web管理頁(yè)面,并進(jìn)入 "Configuration" => "Report Settings" => "Email" ����,在右邊的頁(yè)面,你就可以設(shè)定下列信息:
1.SMTP Server Name
2.E-mail Address 1
3.E-mail Address 2
請(qǐng) 在 SMTP Server Name設(shè)定你的mail server����,假設(shè)我的mail server為 192.168.171.25���,那就將192.168.171.25輸入到SMTP Server Name的字段��。當(dāng)然如果你有將SSG5 DNS enable�����,你就可以使用hostname(如mail.126.com)�����。
接著在E-mail Address 的字段輸入要被通知的網(wǎng)絡(luò)工程師的郵箱���。如 WhiteRose1989 At 126.com 然后按下Apply即可���。
PS:當(dāng)然你要將Enable E-mail Notification for Alarms 勾選,另外還可以選擇Include Traffic Log��。
SSG5三十天就上手-Day 17 SSG5 How to setup Radius Server
SSG5 可以讓你設(shè)定外部的 Radius Server 來(lái)進(jìn)行認(rèn)證的工作��,假設(shè)你有一臺(tái) freeradius ��,已經(jīng)安裝好���, IP 為 192.168.191.18�,監(jiān)聽(tīng)的端口為:1812�����,且設(shè)定Shared Secret為 ithome�。你只要進(jìn)行下列設(shè)定�����,就可以讓你的SSG5可以使用這臺(tái)Radius 進(jìn)行認(rèn)證�����。
登入 SSG5 的web管理頁(yè)面���,并進(jìn)入 "Configuration" => "Auth" => "Auth Servers " ,在右邊的頁(yè)面右上方��,點(diǎn)選NEW�����,你就可以設(shè)定下列信息:Name 輸入你要為這臺(tái)Server取的名稱(chēng)�����,假設(shè)我們?nèi)?Radius����。IP/Domain Name 輸入這臺(tái)Server的 IP 192.168.191.18
Account Type 由于我們想要用在認(rèn)證���,所以勾選AuthRADIUS Port 輸入1812 ��,Shared Secret 輸入ithome����,接著按下OK ,這樣你的 Auth Server 就設(shè)定完成���。
SSG5三十天就上手-Day 18 SSG5 如何利用 Radius Server 控制上網(wǎng)權(quán)限
通 常公司都會(huì)管控公司網(wǎng)絡(luò)的上網(wǎng)權(quán)限����,避免有人可以來(lái)亂上網(wǎng)���。在SSG5可以輕松做到對(duì)上網(wǎng)進(jìn)行權(quán)限管控���。在Day 5我們有介紹過(guò)SSG5 Security Zones,假設(shè)你將你的LAN放在Trust 的Zone���,把上網(wǎng)的線路�����,放在Untrust的Zone�。在Day 8 我們有介紹過(guò)Policies ,你可以通過(guò)Policies 來(lái)控制兩個(gè)Zone之間的traffic�����。我們可以通過(guò)Policies 中的進(jìn)階設(shè)定�,設(shè)定我們?cè)贒ay 16 所設(shè)定完成的Radius來(lái)進(jìn)行認(rèn)證,只讓認(rèn)證通過(guò)的user可以上網(wǎng)��。設(shè)定方法如下:
請(qǐng)登入你SSG5 的 web 管理接口���,點(diǎn)選左邊的 "Policy" ==>"Policies" �����,然后在右邊頁(yè)面中�����,上方的From選擇"Trust"���,To選擇 "Untrust",然后按下最右邊的 "New"�。設(shè)定好 Source Address 跟 Destination Address ,此范例中都選擇 Any �,Service也選擇 Any。接著按下"Advanced"進(jìn)入進(jìn)階設(shè)定頁(yè)面�����,勾選"Authentication"�,并選擇我們?cè)O(shè)定好的Radius Server。按下OK ��,這樣你就可以通過(guò)Radius Server控制上網(wǎng)權(quán)限���。
SSG5三十天就上手-Day 19 SSG5 如何 Creating a Secondary IP Address
讓 你的Interface 掛多個(gè)IP ��。有些情況�,你會(huì)需要讓你的 Interface掛兩個(gè) IP �����,一個(gè)掛外面 public ip�����,另一個(gè)掛里面的private ip����。這個(gè)時(shí)候你就可以利用SSG5 Secondary IP Address的功能��,設(shè)定方法如下:
請(qǐng)登入你SSG5的 web 管理接口�����,點(diǎn)選左邊的 "Network" ==>"Interfaces"�����,然后在右邊頁(yè)面中�,對(duì)于您要編輯的interface按下edit��。
在edit的頁(yè)面中����,上面link 會(huì)有一個(gè) Secondary IP,點(diǎn)下 Link后�,進(jìn)入Secondary IP編輯頁(yè)面,按下Add�,輸入IP跟Netmask入下:
IP Address/Netmask: 192.168.2.1/24 。這樣SSG5 就可以在一個(gè)interface 掛兩個(gè) IP ���。
SSG5三十天就上手-Day 20 SSG5 Simple Network Management Protocol(SNMP)
SSG5 也支持SNMP�,你可以通過(guò)SNMP 監(jiān)控SSG5的狀態(tài),如CPU或流量等等�,很多范例都是通過(guò)Cacti來(lái)抓SSG5 SNMP ,由Cacti了解SSG5使用狀態(tài)�。如果你要讓Cacti可以利用SNMP抓取SSG5狀態(tài)��,你需要先對(duì)SSG5進(jìn)行設(shè)定����,設(shè)定的方式如下:
請(qǐng) 登入你SSG5的web 管理接口,點(diǎn)選左邊的 "Configuration " ==>"Report Settings"==>"SNMP"�����,然后在右邊頁(yè)面中按下右上角的 New Community ���,然后設(shè)定你的 Community Name�����,如 poblic�,勾選你的 Permissions����,默認(rèn)值是全部勾選,然后選擇支持的Version。最后設(shè)定 Hosts IP Address 跟 Netmask����,此設(shè)定需要將你Cacti的主機(jī)包含進(jìn)去。然后選擇此設(shè)定的 Source Interface�,這樣你就可以通過(guò)SNMP抓取SSG5的狀態(tài)。
SSG5三十天就上手-Day 21 SSG5 Address Groups
假設(shè)你在設(shè)定Policy 的時(shí)候���,希望可以設(shè)定嚴(yán)格一點(diǎn)���,比如說(shuō)source address不想要用any,但是你可能又有一堆a(bǔ)ddress 需要設(shè)定進(jìn)去�,這個(gè)時(shí)候你就可以利用SSG5的 address groups。設(shè)定方法如下:
請(qǐng) 登入您SSG5的 web 管理接口�����,點(diǎn)選左邊的 "Policy" ==>"Policy Elements"==>"Addresses"==>"Groups"����,然后在右邊頁(yè)面中左上方選擇要新增的Zone之后按下右上角的 New ,然后設(shè)定你的Group Name����,如 My Network�,接著將你的address由右邊拉到左邊��,然后按下OK即可���。如果在上列步驟沒(méi)有你要的address可以選擇�����,那就到"Policy" ==>"Policy Elements"==>"Addresses"==>"List"中,然后在右邊頁(yè)面中左上方選擇要新增的Zone之后按下右上角的 New ��,然后設(shè)定你的 address即可�����。
SSG5三十天就上手-Day 22 SSG5 Destination Static Routing
為了讓你的SSG5知道要讓封包走哪一條路�,最簡(jiǎn)單的方式,就是在SSG5上面設(shè)定 Destination Static Routing����,讓他知道這個(gè)目的地的地址,要走哪一條路�。設(shè)定的方法如下:
請(qǐng) 登入您SSG5的 web 管理接口,點(diǎn)選左邊的 "Network" ==>"Routing "==>" Destination"��,然后在右邊頁(yè)面中右上角的 New ,最簡(jiǎn)單的方式����,就是設(shè)定Next Hop為 Gateway 的方式,當(dāng)然在 IP Address/Netmask要設(shè)定目的地的 IP如 192.168.1.0/24��,Next Hop挑選Gateway�����,并選擇 Interface以及設(shè)定Gateway IP Address����,如 eth0/2 與 192.168.3.1 (通常這個(gè)時(shí)候代表 192.168.3.1 這臺(tái)會(huì)知道接下來(lái)怎么走到 192.168.1.0/24)。這樣最簡(jiǎn)單的 Destination Static Routing就設(shè)定完成了�����。
SSG5三十天就上手-Day 23 SSG5 Site-to-Site VPN(Virtual Private Networks )
SSG5 最主要的用途����,除了一般做NAT跟Routing,另外就是讓你拿來(lái)建 VPN �。今天就跟大家介紹如何在SSG5上建立 Site-to-Site VPN。
在SSG5 只需要簡(jiǎn)單三步驟:
步驟一:建立VPN Gateway����,讓你的SSG5知道要跟誰(shuí)建VPN���。
步驟二:建立VPN Tunnel Interface,讓你的VPN有一條隧道可以走�。
步驟三:建立VPN
以下步驟請(qǐng)先登入您SSG5的 web 管理接口,后進(jìn)行操作��,此范例假設(shè)我們兩個(gè)端點(diǎn)都是Static IP Address�����。
建立VPN Gateway:
點(diǎn)選"VPNs" ==> "AutoKey Advanced" ==> "Gateway"��,然后按下右上角的New�����,設(shè)定Gateway Name�,設(shè)定Static IP Address����,按下Advanced,進(jìn)入進(jìn)階設(shè)定頁(yè)面�����。
設(shè)定Preshared Key,請(qǐng)注意Preshared Key兩個(gè)端點(diǎn)要設(shè)定相同��,選擇Outgoing Interface��,一般就是你上網(wǎng)的那個(gè)Interface����。按下下Return回到設(shè)定頁(yè)面后,再按下OK����。
建立VPN Tunnel Interface:
點(diǎn)選"Network" ==> "Interfaces" ==> "List",右上角選擇Tunnel IF 后按下New����,設(shè)定Tunnel Interface Name可以挑選(1~10) ,設(shè)定Zone��,選擇Unnumbered(假設(shè)我們Tunnel Interface 不設(shè)IP)�,接著按下OK。
建立VPN:
點(diǎn)選"VPNs" ==> "AutoKey IKE"�,然后按下右上角的New,設(shè)定VPN Name��,Remote Gateway 選擇Predefined 然后選擇你在第一步驟中設(shè)定的Gateway,按下Advanced�����,進(jìn)入進(jìn)階設(shè)定頁(yè)面��。Bind to請(qǐng)選擇Tunnel Interface�,并選擇你在第二步驟中新增的Tunnel Interface。按下下Return回到設(shè)定頁(yè)面后��,再按下OK��。將你的兩個(gè)端點(diǎn)依上列三個(gè)步驟執(zhí)行后����,大致上你的VPN就已經(jīng)沒(méi)有問(wèn)題,不過(guò)因?yàn)闆](méi)有封包��,接著你就設(shè)定你的Routing�,設(shè)置你的SSG5 路由怎么走����,封包來(lái)時(shí)VPN就會(huì)幫你UP。
SSG5三十天就上手-Day 24 SSG5 VPN Options
如 果你看完Day 23����,那你已經(jīng)知道如何在SSG5 設(shè)定VPN ��,當(dāng)然接下來(lái)你會(huì)希望�,可以讓SSG5 監(jiān)控你的VPN 狀態(tài)��。通常我會(huì)建議你可以設(shè)定下列兩個(gè)選項(xiàng)為enable:VPN Monitor 和 Rekey ���。你可以在昨天的步驟三建立的時(shí)候��,在Advanced 的設(shè)定頁(yè)面中����,將上列兩個(gè)選項(xiàng)打勾�。當(dāng)你勾選了 VPN Monitor ,SSG5 會(huì)幫你用 ping 來(lái)監(jiān)控��,此時(shí)你就可以在VPN Monitor的頁(yè)面中查看VPN的狀態(tài)��。
另外當(dāng)你勾選了 Rekey����,SSG5就會(huì)立即幫你送出 ICMP echo requests。所以當(dāng)你在昨天的第三步驟勾選這兩個(gè)選項(xiàng)后,你就會(huì)發(fā)現(xiàn)VPN 設(shè)定完后馬上就會(huì)UP��。
SSG5三十天就上手-Day 25 SSG5 VPN Debug
Phase 1: Retransmission limit has been reached.
一 般如果你按照VPN 三步驟建好VPN之后��,通常不會(huì)有什么問(wèn)題�,不過(guò)總是會(huì)有粗心大意的時(shí)候,在這里就分享一個(gè)案例�����。一般如果VPN建不起來(lái)���,建議都先去看看SSG5 的 event log�����,看看SSG5 告訴你發(fā)生什么事����。此案例中���,SSG5 log寫(xiě)說(shuō) Phase 1: Retransmission limit has been reached. 這邊遇到這個(gè)問(wèn)題大多會(huì)想說(shuō)兩端點(diǎn)是不是有通,曾經(jīng)我就遇到過(guò)�,兩邊都互相 ping的到,設(shè)定也都沒(méi)有錯(cuò),可是就是建不起來(lái)����。最后才發(fā)現(xiàn),原來(lái)如果來(lái)回的路走不一樣�����,也會(huì)讓你建不起來(lái)����。會(huì)來(lái)回走不一樣的原因是因?yàn)橛幸欢说?SSG5 有多條線路。
解法就是調(diào)整的Routing ���,確保來(lái)回路都走一樣�����,就可以解決這個(gè)問(wèn)題����。
SSG5三十天就上手-Day 26 SSG5 Interface States
在SSG5的 interface 有下列四個(gè) states:
Physically Up
這是當(dāng)你的網(wǎng)絡(luò) cable 實(shí)際讓你的 SSG5 接到一個(gè) Network Device (如 switch 或 Notebook)�,線路正常的狀態(tài)。
Logically Up
你可以在邏輯定義上���,讓你interface設(shè)為 up ���,此時(shí) traffic才能通過(guò)你的 interface����。
Physically Down
這是當(dāng)你的網(wǎng)絡(luò) cable 實(shí)際讓你的 SSG5 接到一個(gè) Network Device (如 switch 或 Notebook)��,線路斷線的狀態(tài)����。
Logically Down
你可以在邏輯定義上,讓你interface設(shè)為 down �����,此時(shí) traffic無(wú)法通過(guò)你的 interface�。
SSG5三十天就上手-Day 27 SSG5 Open Shortest Path First
如 果有很多site,那給個(gè)site都可以放一臺(tái)SSG5��,你會(huì)發(fā)現(xiàn)維護(hù)你的routing 會(huì)是很累人的事��。尤其當(dāng)你有兩條線路要手動(dòng)切備援��,更是累人�����。此時(shí)建議你就可以 on ospf�����,讓SSG5 幫你自動(dòng)算 routing ���,要讓SSG5 on OSPF 只要以下幾個(gè)簡(jiǎn)步驟�。
步驟一����,Create OSPF Instance
步驟二,設(shè)定Area 中的 interface
步驟三��,在Interface中將 OSPF 設(shè)定為 enable
這樣你的SSG5就會(huì)啟動(dòng) OSPF�。OSPF 會(huì)依據(jù)本身的設(shè)定放出的routing,放出讓鄰居(另外一臺(tái)SSG5)學(xué)習(xí)����,每一條連接都有自己的COST,然后他會(huì)幫你算出最便宜的路���,最后讓你的Routing 走最便宜的路線��。
SSG5三十天就上手-Day 28 SSG5 OSPF - Areas
Areas
SSG5 預(yù)設(shè)在你啟用ospf 的時(shí)候����,會(huì)將所有的 routers 群組放入一個(gè)單獨(dú)的“backbone” area 這個(gè)area 叫做 area 0 (你會(huì)在你的SSG5中看到 area 0.0.0.0)。不過(guò)通常如果你的架構(gòu)中�����,是一個(gè)很大的網(wǎng)絡(luò)�����,那你會(huì)把他劃分為幾個(gè)小的 area�。
在SSG5中,你可以在新增area 時(shí)�,設(shè)定你的 area type ,除了normal����,另外兩種類(lèi)型說(shuō)明如下:
Stub
Stub area — 接收來(lái)自backbone area 的 route summaries 但是不接收來(lái)自其它的area 的 link-state。
Not So Stubby Area (NSSA)
像是一個(gè)normal stub area�����, NSSAs 不能接收非本area外的 OSPF 以外的資源�����。
SSG5三十天就上手-Day 29 SSG5 OSPF - Security Configuration
Configuring an MD5 Password
為了避免有人利用OSPF 偷偷當(dāng)你的非法鄰居,亂放 routing 給你學(xué)�,害你的site掛掉,建議你要對(duì)你的SSG5 的 OSPF 設(shè)定安全性����。
SSG5 可以讓你在 interface 中設(shè)定明碼或是MD5 編碼的密碼���,在這里建議你選用MD5�����,他最多可以讓你輸入16個(gè)字符�,設(shè)定方式如下:
請(qǐng)登入你SSG5 的web 管理接口����。
在左邊選擇"Network" => "Interfaces" =>然后對(duì)你要編輯的interface按下 Edit =接著在上方的Link中點(diǎn)選OSPF
進(jìn)入OSPF 設(shè)定頁(yè)面后,挑選 MD5的選項(xiàng)���,并輸入你的key與Key ID����,最后要選Preferred。然后按下apply即可�。
這樣沒(méi)有這定這個(gè)key的就不能來(lái)當(dāng)鄰居啰!
SSG5三十天就上手-Day 30 SSG5 OSPF - Network Types
SSG5 支援下列 OSPF 的 network types:
Broadcast
broadcast network 這是你接到一個(gè)有很多 router的網(wǎng)絡(luò)�,且可以送出廣播。在 broadcast network 的router 都假設(shè)可以彼此互相通訊�����。最簡(jiǎn)單的范例就是Ethernet�����。在broadcast networks中�����,OSPF 會(huì)讓 router 送出hello packets到multicast address 224.0.0.5 以便動(dòng)態(tài)的偵測(cè)決定他的neighbor routers����。
Point-to-Point
point-to-point network 典型的透過(guò)WAN(Wide Area Network) 將兩個(gè)router 加在一起。最簡(jiǎn)單的范例就是兩個(gè)SSG5 透過(guò)IPsec VPN tunnel 連接����。在point-to-point networks中。OSPF 會(huì)讓 router 送出hello packets到multicast address 224.0.0.5 以便動(dòng)態(tài)的偵測(cè)決定他的 neighbor routers 。
Point-to-Multipoint
OSPF 對(duì)point-to-multipoint network 會(huì)看成是一個(gè) non-broadcast network���。他是連接的對(duì)方是 point-to-point 的links. 在SSG5 只有 Tunnel interface 才支持Point-to-Multipoint�����。
==================================================================================================
實(shí)例:深圳XXX 公司購(gòu)買(mǎi)了一臺(tái)Juniper SSG-5-SH 防火墻來(lái)搭建公司與外部相連的主要設(shè)備���,天津分公司也是使用Juniper SSG-5-SH。
要求:
1:公司劃分五組用戶����。
設(shè)備組|Equipment :192.168.1.1~192.168.1.20 (劃分給設(shè)備使用�,如路由器、防火墻���、門(mén)禁設(shè)備�、監(jiān)控設(shè)備����、機(jī)器設(shè)備等。)
普通員工組| User:192.168.21~192.168.1.99(劃分給公司普通員工使用�����,但不能上網(wǎng)。)
辦公室員工組| Office:192.168.1.100~192.168.199 (劃分給公司辦公室員工使用��,能接收發(fā)外部郵件����、上指定網(wǎng)站。)
高層管理者組| Management :192.168.1.200~192.168.1.219(劃分給公司高層管理者使用����。能接收發(fā)郵件和上大部分網(wǎng)站。)
來(lái)賓組| Autoconfig :192.168.1.220~192.168.1.253(劃分給公司來(lái)賓在會(huì)議室使用�,無(wú)任何限制。)
192.168.1.254 (公司租用電信兩條ADSL��,此IP供Cisco 1720 Router 使用����,與XX公司專(zhuān)用網(wǎng)絡(luò)線路相連。)
2:如何設(shè)置電腦登錄指定網(wǎng)站��,或是開(kāi)通相關(guān)網(wǎng)站的端口號(hào)(我們這里給電腦指定IP地址)���。
3:如何與天津分公司搭建VPN���。
A1:
登錄SSG5的Web頁(yè)面����,Policy>Policy Elements>Addresses>Groups. 在Zone中選擇Trust���, 按New.
如下圖設(shè)置:
A2: 給指定電腦(192.168.1.105) 設(shè)置相關(guān)參數(shù)如下圖����。
====================================================================
下面是管理層組員的設(shè)置
Source Address ---- Address Book Entry ��,按 Multiple 按鈕���。如下圖所示:
Destination Address----Address Book Entry 按Multiple 按鈕,如下圖所示:
Service ���,點(diǎn)擊Multiple 按鈕���,如下圖所示:
=================================================================================
下面設(shè)置上指定Internet 網(wǎng)站。
Policy>Policy Elements>Addresses>List
Untrust 按New 按鈕��。
=======================================================================
下面是設(shè)置特殊端口號(hào):
A3:
========================================================================
四層連接----源地址�、源端口號(hào)、目的地址、目的端口號(hào)共同確定的一個(gè)數(shù)據(jù)流就是一個(gè)四層連接����。可能是一個(gè)TCP連接��,也可能是一個(gè)UDP會(huì)話或一個(gè)ICMP會(huì)話�����。限制四層連接之后�����,共享上網(wǎng)瀏覽或收發(fā)郵件不會(huì)受到影響���。但掃描之類(lèi)的事情就行不通�。
|
