juniper netscreen ssg5gt防火墙傻瓜配置说明书 - 图文

juniper netscreen ssg5gt防火墙傻瓜配置说明书

一、防火墙的基本设置

1、防火墙程序的重装

如果防火墙出现故障，需要重装程序或重新配置，可以采用超级终端，先清空程序，再进行安装。具体操作为：

第一步：用9针数据线（防火墙有带）连接防火墙和电脑（下图画红线端口），打开电源。

第二步：打开程序—附件—通讯—超级终端（下图），

第四步：打开超级终端出现下图，随便填写连接名称，按确定，

第五步：确定后出现下图，“连接使用”选择COM1，其它不填

第六步：再确定后出现下图，

第七步：再按确定，就出现名为“1111”的超级终端

第八步：当防火墙接上电脑后，超级终端就会出现login: ,如果要重装软件，就输入防火墙产品背面的序列号，本公司使用的产品序列号为0064092004011007，再按回车，出现password: ，再输入序列号，回车，就出现重启画面。下图红线部分是询问是否重启y/n，

键盘输入y，回车，自动重启，防火墙恢复到出厂设置，web入口为192.168.1.1：

第九步：把防火墙拆下，通过网络线放入到服务器端（或者用网络线与任意一机器相连都行，但机器的本地连接要与防火墙同一网段，即网关设为192.168.1.1），接上电源，然后打开IE,输入http://192.168.1.1，就可登录防火墙首页，然后进行防火墙的基本程序重装。 2、防火墙程序重装

第一步：打开IE,输入http://192.168.1.1，可见下图

第二步：直接按“下一步”，出现下图

第三步：再按next，出现下图。可以自定义用户名和密码（现在防火墙上设置的用户名为netscreen，密码为hai2DA），

用户名 密码 再输入一遍密码

第四步：然后再按next,可见下图

第五步：选中“Enable Nat”，按“next”，出现下图

第六步：选择“trust-untrust Mode”,按“next”,可见下图

第七步：因为我们的是固定外网IP，选中“static IP”,在“untrust zone interface IP(即：非信任区入口IP)”填写入外网IP：121.40.245.10；在netmask（子网掩码）填写入：255.255.255.0；在gateway（网关）中填写入：121.40.245.1。然后按“next”

第八步：可见下图，在方框的信任区入口IP和子网掩码就按下图的设置不变。再按next

第九步：可见下图，在图中选择“No”,按next

第十步：然后可见下图，再按next

第十一步：最后按finish完成即可，防火墙自动重启，基本的设备已完成。接下来要进入防火墙内部进行配置。

3、防火墙的内部配置

第一步：在WEB中输入http://192.168.1.1，输入用户名和密码（现用户名：netscreen，密码：hai2DA），可见下图：

第二步：按左边Network，再按下面的DNS，可见下图，在画红线的部分填写入DNS，按图中的填写，其它不填，然后按apply，完成DNS设置。

4、IP地址映射设置

Netcreen 5GT 防火墙IP地址映射设置

第一部分

1、打开interface

2、untruest，打开edit

3、打开MIP，

4、按new，

在Mapped IP中输入外网IP（ISP提供的IP地址），在Netmask中输入ISP提供的掩码

（255.255.255.255），在Host IP Adress中输入本地网服务器的内网IP地址（如192。168。1。22），Host Virtual Router Name 选择“trust--vr”,然后按“OK”，即可看到一条MIP被添加进来。

5、打开 policies

选择from—>untrust to—>trust ，再按new

在name 中填写任意名称，如tang、any等；Source Adress?Adress Book Entry 选择Any; Destination Adress?Adress Book Entry 选择MIP [即已建好的MIP]

Service 选择所需用的端口，公司的售票系统使用8888端口。然后按‘OK’即可看到一条策略被添加进去。

如果下拉菜单中没有所需端口，则进行下一步添加端口。

第二部 添加端口

1、打开object ?service?custom

2、按new

在service name 中输入8888，Transport protocol 选择TCP，Source Port Low

填写0，high填写65535，Destination Port low填写8888，High填写8888，（如下图），然后按“OK”，即可看到一个端口被添加进去。

第三部分 对MIP的更改

如果外网IP或内网IP需要更改，则首先删除我们已建立的策略 Polices?选择要删除的策略?move,

然后打开MIP，按Edit ，可对MIP进行更改。最后按上述方法重新建立策略即可。

上述地址映射的目的，就是让外部网络能够访问局域网内的主机。因为防火墙是把外网IP和内网IP隔离开来，当内网访问外网时，通过防火墙把内网IP隐藏起来，外部网络就无法识别内网主机。通过IP地址映射，可以把内网IP映射到外网IP，使得外网访问IP时，可直接到达内网主机。

地址映射也可以设置VIP，设置的情形如下：

1、 先在object——addresses——list, 选择Global，再按new,

在Adresses name 中写入名字，如vip1等，要IP/netmask中填写入外网IP和掩码，现公司用125。46。27。170/28，zone选global,然后按OK，就有一条加入地址本

加好的VIP如下图

2，在policy中选择from untrust to trust ,按 new,

可以看到下图，在name中随便写上名字，如any等，destination addreee——选address book entry 选择vip1，在service 中选择端口8888（新建端口的方法与mip建口方法一样），然后按OK

可以看到下图

3、打开network——interface，untrust 按edit，

可以看到下图，再按VIP

可以看到下图，按new VIPservice,

在virtual IP 中选择外网IP，在virtual port中写入8888，MAP to service 选择8888（8888），MAP to ip中写入192。168。1。22(即服务器内网地址)，然后按OK，

VIP设置就完成了，如下图

本文来源：https://www.bwwdw.com/article/mn56.html