Juniper SSG test plan

Juniper SSG-5（NS-5GT）防火墙配置手册初始化设置....................................................................................................... 错误!未定义书签。

Internet网络设置 ............................................................................................. 错误!未定义书签。

一般策略设置................................................................................................... 错误!未定义书签。

VPN连接设置.................................................................................................. 错误!未定义书签。

一般策略设置1．首先可以指定IP地址，根据IP地址作策略，选择Policy – Policy Elements – Addresses – List，然后在中间页面选择Trust，然后点击New，如下图：2．在Address Name为指定IP地址设置识别名称，然后在下面输入具体IP，如下图：3．设置之后如下图：4．再设置一个指定IP地址，如下图：5．设置之后两个都可以显示出来，如下图：6．设置多个指定IP组，选择Policy – Policy Elements – Addresses – Groups，如下图：中间页面的Zone选择Trust，点击右侧的New。

7．为此IP组起识别名称，下面将需要加入组的IP添加到组里，点OK，如下图：8．根据需求可以自定义服务，选择Policy – Policy Elements – Services – Customs，如下图：点击右侧New9．输入此自定义服务的识别名称，然后下面可以选择服务类型和服务端口，如下图：10．设置完之后如下图：11．定制多个服务组，选择Policy – Policy Elements – Services – Groups，点击页面中间右侧的New，如下图：12．为此定制服务组设置识别名称，将需要的服务添加进入，点击OK。

Juniper-SSG系列-VPN配置详细设置图形界面Juniper SSG系列VPN配置详细设置图形界面本次配置使用的是SSG140和SSG20来做站点到站点的基于路由的VPN（两端地址都为静态IP地址）。

下图是拓扑图：我们是在公司内部做配置，所以把外网口直接连接，我们在实验中用ip1.1.1.2来代替图中的 2.2.2.2,这样确保路由没有问题，模拟下图的环境首先我们说一下配置的思路：配置基于路由的站点到站点VPN：1. 为绑定到安全区段和通道接口的物理接口分配IP 地址。

2. 配置VPN 通道，在Untrust 区段内指定其外向接口，将其绑定到通道接口，并配置其代理ID。

3. 在Trust 和Untrust 区段的通讯簿中输入本地及远程端点的IP 地址。

4. 输入通向trust-vr 中外部路由器的缺省路由、通过通道接口通向目标的路由以及通向目标的Null 路由。

为Null 路由分配较高的度量( 远离零)，以便其成为通向目标的下一个可选路由。

接着，如果通道接口的状态变为“中断”，且引用该接口的路由变为非活动，则安全设备会使用Null 路由( 即实质上丢弃了发送给它的任何信息流)，而不使用缺省路由( 即转发未加密的信息流)。

5. 为每个站点间通过的VPN 流量设置策略。

以下配置为SSG140防火墙初始化防火墙Juniper 防火墙出厂时可通过缺省设置的IP 地址使用Telnet 或者Web 方式管理。

缺省IP 地址为：192.168.1.1/255.255.255.0。

可以直接通过WEB来进行配置，但容易发生错误，建议使用设备自带的配置线连接计算机的COM口采用超级终端来行配置。

1、我们先配置接口eth0/0绑定到trust安全区段，并设置IP为192.168.1.3/24，通过console 口来配置：（先配置SSG140，登录的用户名和密码为默认密码：均为netscreen）A．Zone Name:这是定义内部LAN的IP，所以应该在Trust安全区段B．Static IP :我们做的是静态IP地址的实验（管理地址应和内网接口地址在同一网段）C．Management Services:打开相应的管理服务，以方便远程管理。

Juniper SRX3400防火墙测试方案2012年11月深航SRX3400测试报告1.文档属性2.文档变更历史清单目录目录1 测试目的 (3)2 测试工具和环境 (3)2.1测试工具 (3)2.2测试环境 (4)3 测试内容（测试以CLI方式为主，WEB方式为辅助） (5)3.1系统版本管理 (5)3.1.1 系统版本升级 (5)3.1.2 系统版本降级 (6)3.1.3 不间断软件升级（ISSU） (7)3.2配置管理 (8)3.2.1 配置备份导出 (8)3.2.2 配置导入恢复 (9)3.2.3 在线配置对比 (10)3.3设备可管理性 (11)3.3.1 CONSOLE管理 (11)3.3.2 TELNET管理 (12)3.3.3 SSH管理 (12)3.3.4 HTTP管理 (13)3.3.5 HTTPS管理 (13)3.3.6 限制可管理源IP地址 (14)3.3.7 登录信息提示 (15)3.4可网管性 (16)3.4.1 SYSLOG本地查看及输出 (16)3.4.2 Traffic Log本地查看及输出 (17)3.4.3 SNMP管理（版本及源地址限制）未测试 (19)3.4.4 CPU数值采集未测试 (19)3.4.5 MEM数值采集未测试 (19)3.4.6 并发连接数值采集未测试 (20)3.4.7 接口流量数值采集未测试 (20)3.4.8 接口丢包数据采集未测试 (21)3.4.9 NTP时间同步（认证和非认证两种模式）未测试 (21)3.5用户认证功能 (21)3.5.1 本地用户认证 (21)3.5.2 多用户等级控制 (22)3.5.3 Radius 认证 (23)3.5.4 Tacacs+认证、授权及记帐 (25)3.5.5 本地密码恢复未测试 (27)3.6路由配置 (28)3.6.1 静态路由配置 (28)3.7JSRP HA测试 (29)3.7.1 JSRP状态查看 (29)3.7.2 JSRP接口故障切换 (30)3.7.3 双HA线路 (31)3.7.4 JSRP会话同步 (37)3.7.5 JSRP手工切换 (39)3.7.6 RED接口定义及监控 (44)3.8策略配置（不支持中文） (47)3.8.1 自定义地址、地址组 (47)3.8.2 在用地址、地址组的修改和删除 (48)3.8.3 自定义服务、服务组 (49)3.8.4 在用服务、服务组的修改和删除 (50)3.8.5 自定义Schedule (51)3.8.6 在用schedule修改和删除 (52)3.8.7 FTP ALG 未测试ftp被动模式 (53)3.8.8 新建策略 (54)3.8.9 编辑已有策略 (55)3.8.10 删除已有策略 (56)3.8.1 禁用已有策略 (56)3.8.2 调整策略位置 (57)3.8.3 Service定义的默认timeout时间 (59)3.8.4 查看策略命中情况及流量信息 (60)3.9NAT地址转换 (61)3.9.1 静态NAT (61)3.9.2 源地址转换 (63)3.9.3 目的地址转换 (64)3.10日常维护........................................................................................... 错误！未定义书签。

Juniper ISG防火墙双机测试测试拓扑:高可用性（HA）为将网络中的设备出现故障的可能性降至最低提供了一种方法。

由于所有网络信息都要流经Juniper Networks安全设备，所以需要确保该设备在发生故障时有备份设备，从而尽可能减少网络中的故障点Active/Passive 模式：通过对一个冗余集群中的两台安全设备进行电缆连接和配置，使其中一台设备作为主用设备，另一台作为备用设备。

主用设备负责处理所有网络信息流，备用设备处于在线备份状态。

主设备将其网络和配置命令及当前会话信息传播到备用设备，备用设备始终保持与主用设备配置信息和会话连接信息的同步，并跟踪主用设备状态，一旦主设备出现故障，备份设备将在极短时间内晋升为主设备并接管信息流处理。

设备配置：第一步：配置设备接口第二步：配置HA信息测试内容与结果1.在主设备上开通Trust与Un trust之间的所有策略，观察备份设备上是否命令同步set policy id 1 from "Trust" to "Untrust" "Any" "Any" "ANY" permit logset policy id 2 from "Untrust" to "Trust" "Any" "Any" "ANY" permit log测试发现命令可以自动同步test004(M)-> set address Trust test001 1.2.3.4/24test003(B)-> get config | in test001set address "Trust" "test001" 1.2.3.4 255.255.255.0test003(B)-> exec nsrp sync global-c onfig check-sumtest003(B)-> configuration in sync2.从PC2 172.16.0.10 发送pi ng 包到PC1 10.0.0.103.断开线路1,观察ping包丢包情况，观察设备同步情况观察ping 10.0.0.10的结果出现丢包1个，Reply from 10.0.0.10: bytes=32 time<1ms TTL=63Reply from 10.0.0.10: bytes=32 time<1ms TTL=63Request timed out.Reply from 10.0.0.10: bytes=32 time<1ms TTL=63Reply from 10.0.0.10: bytes=32 time<1ms TTL=63Reply from 10.0.0.10: bytes=32 time<1ms TTL=63Reply from 10.0.0.10: bytes=32 time<1ms TTL=63观察设备的HA状态，备份设备已经抢占成为主设备test003(B)->activeUn it becomes master of NSRP vsd-group 0test003(M)->4.接回线路1,断开线路2，Reply from 10.0.0.10: bytes=32 time<1ms TTL=63Request timed out.Reply from 10.0.0.10: bytes=32 time<1ms TTL=63Reply from 10.0.0.10: bytes=32 time<1ms TTL=635.断开线路3,观察ping包丢包情况，观察设备同步情况6.断开线路4,观察ping包丢包情况，观察设备同步情况测试结果：断开线路1、2、3、4的nsrp mo nitor in terface 都会导致设备的主备切换，丢包在1个左右7.断开线路5，观察ping包丢包情况，查看session情况是否存在一边走一个数据包，造成session不同步的问题断开HA线路后，ping包无丢包，备用设备转为active但是不建立session和转发流量，流量通过切换前的主设备建立sessi on并转发test003(M)-> get sessionalloc 1/max 524288, alloc failed 0, mcast alloc 0, di alloc failed 0total reserved 0, free sessi ons in shared pool 524287slot 2: hw0 alloc 1/max 524287id 524285/s0*,vsys 0,flag 00000040/0080/0023,policy 320002,time 165, dip 0 module 0if 8(nspflag 800601):172.16.0.10/2271->172.16.0.1/23,6,001c251afb5a,sess token 3,vlan 0,tun0,vsd 0,route 4,wsf 0if 3(nspflag 2002010):172.16.0.10/2271<-172.16.0.1/23,6,000000000000,sess token 5,vlan 0,tun0,vsd 0,route 0,wsf 0Total 1 sessi ons show ntest004(M)-> get sessionalloc 3/max 524288, alloc failed 0, mcast alloc 0, di alloc failed 0total reserved 0, free sessi ons in shared pool 524285slot 2: hw0 alloc 2/max 524287id 524277/s**,vsys 0,flag 00000050/0000/0083,policy 1,time 0, dip 0 module 0if 8(nspflag 800901): 172.16.0.10/31236->10.0.0.10/3072,1,001c251afb5a,sess toke n 3,vlan 0,tun 0,vsd 0,route 5 if 7(nspflag 800900): 172.16.0.10/31236<-10.0.0.10/3072,1,5cff350a05ab,sess toke n 4,vlan 0,tun 0,vsd 0,route 3。

J u n i p e r S S G-5防火墙配置手册中文版初始化设置…………………………………………………………………………………….错误!未指定书签。

Internet网络设置………………………………………………………………………………错误!未指定书签。

一般策略设置………………………………………………………………………………….错误!未指定书签。

VPN连接设置…………………………………………….................................... ....................错误!未指定书签。

初始化设置1.将防火墙设备通电，连接网线从防火墙e0\2口连接到电脑网卡。

——，然后点击下面的Next：5.在登录页面输入用户名，密码，初始均为netscreen，如下图：6.登陆到web管理页面，选择Configuration–Date/Time，然后点击中间右上角SyncClockWithClient选项，如下图：7.选择Interfaces–List，在页面中间点击bgroup0最右侧的Edit，如下图：8.此端口为Trust类型端口，建议Internet网络设置1.修改本地IP地址为本地内网IP地址，如下图：2.从IE浏览器打开防火墙web页面，输入用户名密码登陆，如下图：3.选择Interfaces–List，点击页面中ethernet0/0最右侧的Edit选项，如下图：4.此端口为Untrust类型端口，设置IP地址有以下三种方法：（根据ISP提供的网络服务类型选择）A．第一种设置IP地址是通过DHCP端获取IP地址，如下图：B．第二种设置IP地址的方法是通过PPPoE拨号连接获取IP，如下图，然后选择Createnewpppoesetting，在如下图输入本地ADSLpppoe拨号账号，PPPoEInstance输入名称，BoundtoInterface选择ethernet0/0，Username和Password输入ADSL账号密码，之后OK，如下图：PPPoE拨号设置完毕之后，点击Connect，如下图：回到Interface–List，可以看到此拨号连接的连接状态，如下图：ethernet0/0右侧PPPoE一栏有一个红叉，表示此连接已经设置但未连接成功，如连接成功会显示绿勾。

juniper ssg5防火墙如何设置juniper ssg5防火墙设置有什么好的方法呢?小编来告诉你!下面由店铺给你做出详细的juniper ssg5防火墙设置方法介绍!希望对你有帮助!juniper ssg5防火墙设置方法一：建议参考命令：set interface ethernet4/7 bandwidth egress mbw XXXset interface ethernet4/7 bandwidth ingress mbw XXXjuniper ssg5防火墙设置方法二：1. 找到后面板上的重置针孔。

使用又细又硬的金属丝( 例如回形针)，推压针孔四至六秒然后松开。

STATUS LED 闪烁红色。

控制台上的消息表明已经开始删除配置并且系统发出一个 SNMP/SYSLOG 警示。

2. 等待一至二秒。

在第一次重置之后，STATUS LED 闪烁绿色，设备正等待第二次重置。

控制台消息现在表明设备正等待第二次确认。

3. 再次推压重置针孔四至六秒。

控制台消息验证第二次重置。

STATUS LED 亮红色半秒，然后返回到闪烁绿色状态。

然后，设备重置为其原始的出厂设置。

设备重置后，STATUS LED 亮红色半秒，然后亮绿色。

控制台显示设备启动信息。

系统产生SNMP 和SYSLOG 警示，发给已配置的 SYSLOG 或 SNMP 陷阱主机。

设备重新启动后，控制台显示设备的登录提示。

STATUS LED 闪烁绿色。

登录名和密码为 netscreen。

如果不遵循完整的程序，重置过程会取消且不更改任何配置，同时控制台消息表明已中止删除配置。

STATUS LED 返回到闪烁绿色状态。

如果设备没有重置，则会发送 SNMP 警示以确认失败。

juniper ssg5防火墙设置方法三：策略配置一条允许外网访问你另一个IP的策略外网配置是在接口上开启相应的功能就行了 set int 接口 manage 这个是开启相应接口的所有功能包括Ping ssh telnet等。

NETSCREEN设备测试报告单节点测试在每一个节点完成设备安装之后，集成公司的现场工程师将和用户下属机构的技术人员一起进行该节点的测试验收和割接工作。

这样，用户下属机构的工程技术人员可以接手该节点的工作，并且可以迅速将该节点并入整个数据通信运行之中。

·单节点测试验收在完成设备安装之后，集成公司将为用户提供一整套设备测试程序。

该测试程序不但用于设备验收测试，而且做为系统初验的附属工程技术文件。

·单节点割接进行系统割接的技术重点是为了保证在割接时不会影响到已经使用的通讯网路系统的正常运行、以及不会对原数据网络带宽产生虚占用。

集成公司的现场工程师将会对可能发生的技术问题予以充分考虑和技术准备，并会及时解决在单节点割接时可能会发生的技术问题。

一旦该节点成功地并入整个网络系统工程之中，该节点将被认为完成的节点初验。

一旦整个合同中的所有节点完成割接，整个系统工程将开始系统初验，而后整个系统进入系统的试运行阶段。

单节点测试验收清单式样单节点测试验收清单合同号:__________________________系统设备安装地：，系统设备型号：。

产品序列号：遗留问题说明：用户代表签字：供应商代表签字：时间：时间：系统测试系统设备测试1. 电源:检查NetScreen设备的电源是否能正常工作。

具有两个电源模块的设备，正常时分担负载，当有某个电源模块损坏时，仍可正常工作。

2. 端口状态指示:每个功能模块端口均有状态指示灯，分别显示有正常接入及数据输入输出。

分别对各端口连接设备，可通过状态指示观察是否工作正常。

3. 在线配置:NetScreen的每个网络设备都有Console口，用户可通过Console口以终端的方式访问该设备。

可通过控制端口在工作状态下，实时配置各种参数并观察端口状态。

同时，可以支持远程基于浏览器方式下的图形化管理工作。

系统设备功能测试系统基本配置最终用户：测试产品型号：测试产品序列号：产品部署地点：测试平台：PC机从NetScreen设备console口接入或工作站远程登录用户代表签字：供应商代表签字：时间：时间：系统地址翻译功能NPAT最终用户：测试产品型号：测试产品序列号：产品部署地点：用户代表签字：供应商代表签字：时间：时间：系统地址翻译功能MAP IP最终用户：测试产品型号：测试产品序列号：产品部署地点：用户代表签字：供应商代表签字：时间：时间：系统过滤策略功能( Firewall)最终用户：测试产品型号：测试产品序列号：产品部署地点：用户代表签字：供应商代表签字：时间：时间：系统路由功能( Routing)最终用户：测试产品型号：测试产品序列号：产品部署地点：用户代表签字：供应商代表签字：时间：时间：双机HA备份测试测试对象：NetScreen设备测试目的：测试NetScreen设备双机热备份功能，防止单点失效。

1.设置外网IP为112.95.134.97 ，内网IP 为172.20.50.20/24 ，设置防火墙接口及路由，使PC 172.20.50.21 能通过防火墙网关收发邮件，使用MSN，而浏览Internet则控制在周一至周五8:00至12:00、13:00至17:00以外的时间，速度限制保证最低带宽200Kbps，最大为300Kbps ，优先级为71、编辑ethernet0/0 interface trust 172.20.50.20/242、editor ethernet0/3 zone:untrust IP:112.95.134.97Interface mode :routeManagement services:只保留ping功能用于测试3、set DNS host name:SSG550 202.96.134.133 ethernet0/3172.20.30.197 ehternet0/04、set address object:Test-pc IP address:172.20.50.21/32 ZONE: Trust5、add service group:http msn mail6、add schedules :comment 172.20.50.217、set policy name:test 1 source addr:test pc destination addr:any services ???8、policy advanced set: 流量控制schedule：test1添加路由：0.0.0.0/0 GW:112.95.134.1 nexthop:ethernet0/32.创建VIP组，将172.20.50.21 的3389端口映射，使外网用户能telnet 到172.20.50.21的3389端口。

1、interface >edit>vip/vip services:Ethernet0/3:same as the interface ip adderssNew Vip services2、new policy : name test2 destination addr :vip (interface0/3)Service select TELNET3．深圳百丽与宿州百丽都可上Internet，现通过IPsec VPN将两地网络互联，使PC172.20.50.21能PING通172.20.160.199 。

Juniper SSG-5（NS-5GT）防火墙配置手册初始化设置 (2)Internet网络设置 (6)一般策略设置 (16)VPN连接设置 (28)初始化设置1.将防火墙设备通电，连接网线从防火墙e0\2口连接到电脑网卡。

2.电脑本地连接设置静态IP地址，IP地址192.168.1.2（在192.168.1.0/24都可以），子网掩码255.255.255.0，默认网关192.168.1.1，如下图：3.设置好IP地址后，测试连通，在命令行ping 192.168.1.1，如下图：4.从IE浏览器登陆防火墙web页面，在地址栏输入192.168.1.1，如下图向导选择最下面No, skip——，然后点击下面的Next：5.在登录页面输入用户名，密码，初始均为netscreen，如下图：6.登陆到web管理页面，选择Configuration – Date/Time，然后点击中间右上角Sync Clock With Client选项，如下图：7.选择Interfaces – List，在页面中间点击bgroup0最右侧的Edit，如下图：8.此端口为Trust类型端口，建议IP设置选择Static IP，IP Address输入规划好的本地内网IP地址，如192.168.22.1/24，Manage IP 192.168.22.1。

之后勾选Web UI，Telnet，SSH，SNMP，SSL，Ping。

如下图：Internet网络设置1.修改本地IP地址为本地内网IP地址，如下图：2.从IE浏览器打开防火墙web页面，输入用户名密码登陆，如下图：3.选择Interfaces – List，点击页面中ethernet0/0最右侧的Edit选项，如下图：4.此端口为Untrust类型端口，设置IP地址有以下三种方法：（根据ISP提供的网络服务类型选择）A．第一种设置IP地址是通过DHCP端获取IP地址，如下图：B．第二种设置IP地址的方法是通过PPPoE拨号连接获取IP，如下图，然后选择Create new pppoe setting，在如下图输入本地ADSL pppoe拨号账号，PPPoE Instance输入名称，Bound to Interface选择ethernet0/0，Username和Password输入ADSL账号密码，之后OK，如下图：PPPoE拨号设置完毕之后，点击Connect，如下图：回到Interface –List，可以看到此拨号连接的连接状态，如下图：ethernet0/0右侧PPPoE一栏有一个红叉，表示此连接已经设置但未连接成功，如连接成功会显示绿勾。