实例讲解Juniper SSG550配置

4
需求:
1、内网用户能通过防火墙访问Internet,防火墙做NAT
2、Internet上用户能访问内部的Mail应用
3、Internet上用户能通过不同端口访问内部Web服务器

第一步:设置安全区域
WebUI设置安全区
选择Netwrok > Zone >,点击NEW键,可以添加新的安全区.
5
6
在Zone name: Intranet ———-安全区的名字
Virtual Router Name:trust ——–用默认的VR
Zone type:Layer 3 —————–ZONE类别为三层

CLI配置方式

set zone name Intranet

在配置防火墙的时候也可以不定义新的安全区域,使用防火墙预定义的安全区,默认的3层安全区有:Trust.UnTrust和DMZ这3个安全区,本文档使用的是防火墙预定义的安全区。
第二步:端口设置
WebUI设置端口
选择Network > Interfaces > trust >Edit
Zone Name:Trust ———-将trust绑定到trust zone
IP Address/Netmask: 10.1.1.254/24 ———-输入IP地址和掩码
7
选择Network > Interfaces > untrust >Edit
Zone Name:Untrust ———-将untrust绑定到untrust zone
IP Address/Netmask: 220.220.1.1/24 ———-输入IP地址和掩码
8
CLI配置方式

set interface e1/1 zone trust
set interface e1/2 zone untrust
set interface e1/1 ip 10.1.1.254/24
set interface e1/2 ip 220.220.1.1/24

第三步:设置路由
WebUI设置路由
Network > Routing > Routing Entries
9
增加对外的默认路由
Network > Routing > Routing Entries > Trust-vr >New
输入如下内容,单击OK按钮

Network Address / Netmask : 0.0.0.0/0
Gateway:
Interface:ethernet2/3
Gateway IP Address: 220.220.1.254 -----网关地址

10
11

12

CLI配置方式

set route 0.0.0.0/0 interface e2/3 gateway 220.220.1.254

第四步:端口的NAT设置
对绑定到Trust Zone的口的工作模式进行设置
Network > Interfaces > trust >Edit ——编辑绑定到Trust Zone的接口
13
将接口改为NAT模式
CLI配置方式

set infaces e1/1 nat

第五步:设置MIP地址翻译
选择Network > Interface >untrust > Edit —–编辑绑定到untrust zone的接口
14
点击MIP按钮,进入MIP的设置
15
16
输入需要映射的MIP地址
Mapped IP:220.220.1.100 ——-公网Mail服务器地址
Network:255.255.255.255
Host IP Address:10.1.1.100 ——-内网Maile服务器地址
Host Virtual Router Name :trust-vr
点击OK添加
17

CLI配置方式
set interface “untrust” mip 220.220.1.100 host 10.1.1.100 netmask 255.255.255.255 vrouter “trust-vr”

第六步:设置VIP地址转换
WebUI设置VIP地址转换
选择Network > Interface > untrust > Edit ——编辑绑定untrust zon的接口
请参考MIP地址来进入VIP设置界面
点击VIP进行VIP设置
18

输入Virtual IP Address:220.220.1.80 ——-公网WEB服务器IP
点击ADD添加
19
点击New VIP Service按键
20
输入需要映射的WEB服务器的地址和对外发服务端口
Virtual IP:220.220.1.80 ——公网WEB服务器地址

Virtual Port:80 ————–对外发布的服务端口
Map to service:HTTP(80) ——–内网WEB服务器的真实端口
Map to IP:10.1.1.10 ——–内网WEB服务器的IP地址
21

输入完毕后点击OK按钮。如果需要输入多个映射端口,重复上面步骤即可。
Virtaul IP :220.220.1.80 ——公网WEB服务器地址
Virtual Port :8080————–对外发布的服务端口
Map to service:HTTP(80)——–内网WEB服务器的真实端口
Map to IP:10.1.1.20——–内网WEB服务器的IP地址
22

Virtaul IP :220.220.1.80 ——公网WEB服务器地址
Virtual Port :8800————–对外发布的服务端口
Map to service:HTTP(80)——–内网WEB服务器的真实端口
Map to IP:10.1.1.30——–内网WEB服务器的IP地址

23

24

命令行配置方式

set interface ethernet2/3 vip 220.220.1.80 80 "HTTP" 10.1.1.10
set interface ethernet2/3 vip 220.220.1.80 + 8080 "HTTP" 10.1.1.20
set interface ethernet2/3 vip 220.220.1.80 + 8800 "HTTP" 10.1.1.30

第七步:设置端口服务
针对WEB服务器对外访问提供的非标准服务端口,需要我们自己定义服务端口。
选择Objects > Services > Custom >NEW 按钮,输入需要创建的服务内容,单击OK按钮。
25
26

重复上述步骤来增加其它 的服务:
27
CLI配置

set service "TCP-8080" protocol tcp src-port 0-65535 dst-port 8080-8080
set service "TCP-8800" protocol tcp src-port 0-65535 dst-port 8800-8800

第八步:定义策略
WebUI 设置从trust到untrust的安全策略
选择Policy,根据需求,为了让内部用户能访问INTERNET,我们需要定义从trust到untrust的Policy;而为了让外部用户能访问内部的服务器,则需要定从untrust到trust的Policy。方法如下:
选择Policy > From Trust > To > Untrust > NEW
28
输入以下内容,单击OK按钮,创建Policy
Source Address:Address Book Entry:——源地址
Destination Address:Address Book Entry:—–目的地址
Service:——–服务对象
Action:———策略的动作
Logging:——–打开或关闭流量日志
29
30
本策略建立一条允许内网(trust)访问外网(untrust)任务服务的策略。
CLI配置方式

set policy from trust to untrust any any any permit

WebUI 设置从ununtrust到trust的安全策略
选择Policy > From UNTrust > To > trust > NEW
31
Source Address:Address Book Entry:Any——源地址
Destination Address:Address Book Entry:MIP(220.220.1.100)—–目的地址
Service:Mail&POP3——–服务对象
Action:Permit———策略的动作
Logging:——–打开或关闭流量日志
32
选择Policy > From UNTrust > To > trust > NEW
Source Address:Address Book Entry:Any——源地址
Destination Address:Address Book Entry:VIP(220.220.1.80)—–目的地址
Service:HTTP——–服务对象
Action:Permit———策略的动作
Logging:——–打开或关闭流量日志
33

选择Policy > From UNTrust > To > trust > NEW
Source Address:Address Book Entry:Any——源地址
Destination Address:Address Book Entry:VIP(220.220.1.80)—–目的地址
Service:TCP-8080——–服务对象
Action:Permit———策略的动作
Logging:——–打开或关闭流量日志
34
选择Policy > From UNTrust > To > trust > NEW
Source Address:Address Book Entry:Any——源地址
Destination Address:Address Book Entry:VIP(220.220.1.80)—–目的地址
Service:TCP-8800——–服务对象
Action:Permit———策略的动作
Logging:——–打开或关闭流量日志
35
36

CLI配置

set policy id 1 from "Untrust" to "Trust" "Any" "MIP(220.220.1.100)" "MALL" permit
set policy id 1
set service "POP3"
set policy id 2 from "Untrust" to "Trust" "Any" "VIP(220.220.1.80)" "HTTP" permit
set policy id 3 from "Untrust" to "Trust" "Any" "VIP(220.220.1.80)" "TCP-8080" permit
set policy id 4 from "Untrust" to "Trust" "Any" "VIP(220.220.1.80)" "TCP-8800" permit
此条目发表在cisco分类目录,贴了标签。将固定链接加入收藏夹。