SSG520配置操作文档2016预案.docVIP

XXX风电 SSG520配置操作文档 XXXX有限公司 2013年05月16日 目 录 ○．XXX风电网络结构图 3 第一部分：XXX风电广域网SSG520基本配置 4 一、Juniper SSG520防火墙登录界面 4 二、接口配置 5 三．路由配置 6 四．IP地址配置 7 五、服务端口配置 11 五．安全访问控制策略配置 14 六、到XXX国际的VPN备用线路设定 15 第二部分：使用Remote-VPN客户端（Win2000/XP系统） 20 一．SSG520防火墙上VPN配置 20 二．Remote-VPN客户端配置 27 三．验证测试VPN连接 31 四．Remote-VPN客户端配置保存 35 ○．XXX风电网络结构图  第一部分：XXX风电广域网SSG520基本配置 一、Juniper SSG520防火墙登录界面 管理用户登录：admin 密 码： 123456 登录成功后的界面 二、接口配置 1．主界面 2．内口配置 3、到会议室视频终端 4．互联网接口配置 5．与华瑞能源接口配置 接口二层配置 三．路由配置 1．路由界面 2．路由配置界面 四．策略IP地址配置 1．添加一个新的IP地址、Internet组 2．将IP地址添加Internet组 配置完成后： 3．增加一条Trust 区到Untrust的策略 策略编辑窗口 4．对上面增加的Trust 区到Untrust的策略进行限流设定，限流设定为10M。 点击策略编辑窗口下方的“Advanced” 选中“Traffic Shaping”，将“Policying Bandwith”设定为10000K 五、服务端口配置 1．添加服务端口 2．服务端口添加完毕 3．将服务端口添加成服务组 在策略设定中将上述增加的病毒传播端口封掉： 五．安全访问控制策略配置 1．添加阻挡病毒端口或非法端口策略 2． Internet访问策略 六、到XXX国际的VPN备用线路设定 增加一个Tunnel接口 接口增加成功后的界面 创建到XXX国际的VPN 网关 创建到XXX国际的VPN 通道 增加一条到XXX国际的路由 VPN通道建立成功后的界面 用Tracert命令测试数据包通过VPN通道连接到XXX国际经过的路径， 比较与通过专线连接到XXX国际经过的路径的区别。 第二部分：使用Remote-VPN客户端（Win2000/XP系统） 一．SSG520防火墙上VPN配置 1．建立IP Pool地址池，此处是远程PC连接到SSG520 后获取的IP地址。 配置完成后的界面 2、建立本地用户使用的IKE，并设置了最大的用户数是10个，此处，user password是自定义的，本处密码是yxfd（不能进行修改了，今后不需要再配置！）。 3．建立用户组，将本地用户使用的IKE添加到组内（此处以后不需要再配置了）。 4．添加远程VPN连接的用户帐号，此处用户名test和密码是123456，今后可按照下图格式进行添加新的用户帐号。 5．建立VPN网关，选择远程PC所在的拨号组。 继续点击高级选项，设置IKE Phase1阶段，预共享密钥也是123456（此处是与客户端一致的，不能进行修改了！），选择Outgoing接口（e0/3口），以及使用的加密算法，将NAT-Traversal打开。 点击OK后，看到如下界面 继续点击Xauth，将认证方式选择为XAuth Server使用默认的认证方式。 然后点击XAuth Settings设置分配的IP地址池。 6．建立VPN，选择设定的VPN网关。 继续点击高级选项，启用延时保护、VPN监视功能。 7．建立VPN策略，设定需要访问的内网资源。 查看VPN Policy 二．Remote-VPN客户端配置 1．安装NetScreen-Remote VPN客户端软件，安装完成后我们可以在Windows桌面的最右下方发现它的图标（一个蓝色的Juniper图标），双击该图标将弹出一个配置对话框，选择菜单栏的Edit Add Connection，新建立一个VPN连接。 2．首先将该连接命名“华瑞”，Connection Security定义为Secure，并选定Only Connect Manually（只能手动建立连接