Juniper_SSG_550M防火墙.pdf-道客多多

资源描述

1、 WAP 项目现场安装文档 (SSG 550M 防火墙 ) V1.0 Juniper Networks. 电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 2 页共 41 页目录 1 概述 3 2 电信 WAP 中心网络规划 . 4 2.1 Zone 规划 4 2.2 访问策略实现 . 6 2.2.1 PDSN 访问实现 6 2.2.2 163 公网访问实现 7 2.2.3 DCN 访问实现 7 2.2.4 CN2 访问实现 . 7 3 设备端口连接规划 7 3.1 设备端口编号 . 7 3.2 设备端口连接表 . 8 3.3 防火墙接口地址规划 . 8 3.4

2、防火墙策略定义规划 . 9 4 防火墙配置安装步骤 11 4.1 初始化配置 . 11 4.2 防火墙冗余 NSRP 设置 . 13 4.3 设置设备接口参数 . 20 4.4 设置路由 . 23 4.5 定义 WAP 中心主机及信息服务端口 . 25 4.6 配置 NAT（ DIPNAT-DstMIP） 26 4.7 定义安全访问策略 . 31 4.8 用户账号管理 . 32 4.9 配置文件备份 . 33 4.10 版本升级步骤 . 35 4.11 常用排错步骤及命令汇总 . 36 5 附录：防火墙配置文件 37 5.1 SSG-550M-1 防火墙配置 . 37 5.2 SSG-55

3、0M-2 防火墙配置 . 41 电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 3 页共 41 页 1 概述电信 WAP 网关采用两台 ZXR10 T40G 三层交换机做为核心交换机，并且采用两台 Juniper SSG-550M 防火墙来做安全控制。 WAP 网关通过电信的 CE 路由器分别连接 PDSN、 CN2、 DCN和电信 163 公网 4 个网络，以内蒙古电信 WAP 为例，网络结构图如下：在逻辑结构上， WAP 网关需要和 PDSN、 CN2、 DCN 和 163 公网 4 个网络进行网络互联。电信 WAP 网关 SSG550 配置手册美河学

4、习在线仅学习参考第 4 页共 41 页此次项目通过 JUNIPER 防火墙实现的主要功能如下： 1. PDSN 网络（ 10.0.0.0/8）的主机需要访问 10.0.0.165 主机 TCP 的 80 端口， UDP 的9200 9203、 1813、 1812 端口。通过防火墙后，即访问我内部主机 192.168.0.133TCP的 8000 端口， UDP 的 9200 9203、 1813、 1812。 2. 内部的多台主机（包括 192.168.0.133）需要访问 163 公网上的任何资源，而且192.168.0.133 的 TCP 的 8090 端口需要被 163 公网

5、上的主机访问。这样报文在出防火墙时，需要转换成公网地址。 3. 内部的多台主机（包括 192.168.0.133）需要与 CN2 上相互访问，这样内部主机需要转换成 CN2 的地址与 CN2 的主机进行通讯。而且 192.168.0.133 的 TCP 的 8090 端口需要被 CN2 上的主机访问，其他的端口还不确定。 4. 内部的多台主机 (包括 192.168.0.133)需要与 DCN 的主机进行互相访问。也需要转换成 DCN 的地址进行互通。 5. PDSN 网络的主机需要通过防火墙去访问 163 公网上的资源，需要在防火墙上将源地址变换成公网地址。 2 电信 WAP 中心网络规

6、划 2.1 Zone 规划根据 WAP 业务访问需求，由于在此项目中使用的 Juniper SSG-550M 防火墙为标准配置，仅自带 4 个千兆接口，其中 eth0/3 接口作为 HA 传输心跳等信息，至此实际能应用到此网络环境中进行数据传输的接口只有 3 个（ eth0/0、 eth0/1、 eth0/2），并且每台 CE 路由器也仅能提供 2 个接口通过交换机与我们的设备进行通信。内部网络占用一个端口，这样实际上剩下 2 个端口来接电信的 4 个网络。为保证内部用户与其 4 个网络互相通信，并正常访问，在此将对网络连接接口进行如下规划： 1、 PDSN 单独划分为一个 D

7、MZ zone， CN2DCN163 公网划分到 Untrust zone。 2、 PDSN 网络单独一根线通过交换机接到防火墙的 eth0/1 接口，该接口为 DMZ zone。 3、 163 网络单独一根线通过交换机接到防火墙的 eth0/2 接口，该接口为 Untrust zone。 4、 CN2DCN 网络所以流量将通过 eth0/2 接口进出，该接口为 Untrust zone。电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 5 页共 41 页 PDSN163 公网 CN2 DCNW A P 网关内部网络FWe th 0 / 1e th 0 /

8、2e th 0 / 0e th 0 / 3T r u st 区U n tr u st 区D M Z 区HA 区Untrust 区域：每台 SSG 550M的固定第 3个接口 eth0/2与交换机相连接入 163CN2DCN网络 ,物理接口配置 163 公网地址，通过 MIP 对外开放服务端口，但是访问 DCNCN2 网络进出所有流量也通过此区域接口，通过在此接口下启用扩展 DIP 功能，实现源地址转换。 Trust 区域： SSG 550M 的固定第 1 个接口 eth0/0 与交换机相连接入 WAP 内网，配置内网地址 192.168.0.1/24。 DMZ 区域： SSG 550M

9、的固定第 2 个接口 eth0/1 与交换机相连接入 PDSN 网络，配置 IP地址： 10.0.0.167/28. 物理结构图和数据流向如下图所示：电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 6 页共 41 页 2.2 访问策略实现 2.2.1 PDSN 访问实现 PDSN 网络（ 10.0.0.0/8）的主机需要访问 10.0.0.165 主机 TCP 的 80 端口， UDP 的 92009203、 1813、 1812 端口。通过防火墙后，即访问我内部主机 192.168.0.133TCP 的 8000 端口，UDP 的 9200 9203、

10、1813、 1812。由于涉及端口转换，因此采用 MIP 无法实现该功能，通过策略，采用目的地址 +端口的转换来映射内部服务器地址和端口。 PDSN 10.0.0.165： 80 增加一条策略，从 DMZ 区到 Trust 区，源地址为手机地址池，目的地址为 10.0.0.165 服务为 HTTP 时，需要启用目的地址转换，转换成内部服务器 192.168.0.133 的TCP 8000 端口。 PDSN 10.0.0.165： 9200 9203 增加一条策略，从 DMZ 区到 Trust 区，源地址为手机地址池，目的地址为 10.0.0.165 的 9200 9203 端口时时，需

11、要启用目的地址转换，转换成内部服务器192.168.0.133 即可。电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 7 页共 41 页 PDSN 163 公网通过 policy 进行 163 公网 DIP 转换。 2.2.2 163 公网访问实现内部服务器 163 公网建立一个 163 公网，建立从 Trust 区到 untrust 区的策略接口，将源地址转换从接口地址即可。 163 公网内部服务器建立一个 163 公网和内部服务器对应的 MIP 192.168.0.133 163 公网建立一个 163 公网和内部服务器对应的 MIP 2.2.3

12、 DCN 访问实现内部服务器 DCN 建立一个 DCN 的 DIP，通过扩展的 DIP 实现地址转换 DCN 内部服务器通过策略，采用目的地址转换来映射内部服务器地址。 2.2.4 CN2 访问实现内部服务器 DCN 建立一个 DCN 的 DIP，通过扩展的 DIP 实现地址转换 DCN 内部服务器通过策略，采用目的地址转换来映射内部服务器地址。 3 设备端口连接规划 3.1 设备端口编号（图片仅供参考，以实物为准）插槽顺序： (下面列出为标准出厂配置，没有增加任何模块，仅使用 4 个固定接口 ) 风扇插槽一插槽四插槽二插槽五插槽三插槽六 4 个固定 10/

13、100/1000M 以太网接口 Console AUX 电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 8 页共 41 页 3.2 设备端口连接表 Juniper SSG-550M-1 防火墙固定 I/O 接口连接表：固定接口端口类型端口编号端口所属区域名称连接对端设备（型号及端口）用途固定 I/0 接口 10/100/1000M Auto eth0/0 Trust ZTE_T40G-1 G2:1 连接业务内网 10/100/1000M Auto eth0/1 DMZ ZTE_T40G-1 G2:2 连接 PDSN 网络 10/100/1000M

14、 Auto eth0/2 Un-trust ZTE_T40G-1 G2:3 物理连接 163 网络 , 其中CN2DCN 网络进出流量也经过此接口 10/100/1000M Auto eth0/3 HA SSG-550M-2 eth0/3 接口连接 SSG-550M-1 做 HA 接口 Juniper SSG-550M-2 防火墙固定 I/O 接口连接表：固定接口端口类型端口编号端口所属区域名称连接对端设备（型号及端口）用途固定 I/0 接口 10/100/1000M Auto eth0/0 Trust ZTE_T40G-2 G2:1 连接业务内网 10/100/100

15、0M Auto eth0/1 DMZ ZTE_T40G-2 G2:2 连接 PDSN 网络 10/100/1000M Auto eth0/2 Un-trust ZTE_T40G-2 G2:3 物理连接 163 网络 , 其中CN2DCN 网络进出流量也经过此接口 10/100/1000M Auto eth0/3 HA SSG-550M-1 eth0/3 接口连接 SSG-550M-2 做 HA 接口 Juniper SSG-550M 此款设备出厂标准配置为自带 4 个 10/100/1000M 以太网接口和 6 个物理接口模块（ PIM）插槽，在此项目中我们仅使用 4 个 10/100/

16、1000M 接口。在此项目实施中我们将仅采用系统缺省 zone(TrustDMZUn-trust),分别对应： Trust=内部网络、 DMZ=PDSN、 Un-trust=163、 CN2DCN 3.3 防火墙接口地址规划由于在此项目中两台 Juniper SSG-550M 防火墙将采用 HA 模式部署在网络中，因此两台接口 IP 地址将会相同（因为当 HA 建立起来，大部分配置会自动同步， IP 地址应当在 HA 建立成功前提下设置）。电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 9 页共 41 页具体配置将参照下表进行配置：固定接口端口类型

17、端口名称端口 IP 地址网关用途固定 I/0接口 10/100/1000M Auto Eth0/0 物理接口 IP 地址 192.168.0.1/24 SSG-550M-1_Manage-ip:192.168.0.5 SSG-550M-2_Manage-ip:192.168.0.6 连接内部业务网 10/100/1000M Auto Eth0/1 物理接口 IP 地址： 10.0.0.167/28 10.0.0.161 连接 PDSN 网络 10/100/1000M Auto Eth0/2 物理接口 IP 地址： 211.136.136.4/28 211.136.136.1 物理连接

18、 163 网络，CN2DCN 网络流量也经过此接口 10/100/1000M Auto Eth0/3 0.0.0.0 0 HA CN2 地址段： 172.16.1.96/28 DCN 地址段： 192.168.100.96/28 在此项目实施中，将对 interface eth0/0 接口配置 manage-ip 为方便对安全设备进行管理维护！在生产环境实施过程中千万注意，内网地址可以有项目组讨论并根据实际情况定义分配，但是连接 CN2ENI 两个网络的接口 IP 地址、业务地址、设备互联地址，需要向上级机构提前申请（如：电信等 ISP）！申请的地址信息包括（ NAT 地址、设备互联地

19、址、子网掩码、网关等信息），具体参数将按照实际实施环境及需求决定。申请地址信息后建议立即测试，以免在实施过程中带来不必要的麻烦！ 3.4 防火墙策略定义规划由于在此项目中，涉及到 4 个网络，并且针对每个网络内部服务器都需要提供相应的服务，内部用户访问其 4 个网络也需要通过源地址翻译与目标网络进行通信，因此在策略的规划中，请遵循下列规则进行配置：在定义安全策略前，请提供以下内容： 1、源地址（可以是 any 或者单个地址或者地址组） 2、目标地址（可以是 any 或者单个地址或者地址组） 3、服务内容（可以是单个服务或者多个服务） 4、按照需求是否需要基于策略的地址转

20、换（源地址、目标地址），其中源地址转换还包含接口地址转换、 DIP 地址池转换方式，基于目标地址转换可以是单个 IP 地址，或者 IP 加端口。 5、新建内部服务器地址（服务器地址： 10.0.0.165/32、 172.16.1.100/32、192.168.200.100/32）。 6、自定义服务（包含需要对外开放的端口及服务名称，如： 9200、 9203 等等） . 电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 10 页共 41 页 7、注意策略的优先级（默认从上到下检查策略匹配，可以根据实际情况进行调整）下表将列出此次安全访问策略的规则：（

21、从 DMZ 区域： PDSN 网络到 Trust 区域）：源地址目标地址服务目标地址转换备注 Any 10.0.0.165/32 80(HTTP) 192.168.0.133:8000 端口转换成 8000 Any 10.0.0.165/32 9200 192.168.0.133:9200 端口转换成 9200 Any 10.0.0.165/32 9203 192.168.0.133:9203 端口转换成 9203 Any 10.0.0.165/32 1813 192.168.0.133:1813 端口转换成 1813 Any 10.0.0.165/32 1812 192.1

22、68.0.133:1812 端口转换成 1812 （从 Trust 区域到 DMZ 区域）：源地址目标地址服务源地址转换备注 192.168.0.133/32(服务器 ) Any Any DIP 地址池转换 10.0.0.165 访问外网转换成 10.0.0.165 192.168.0.0/24(其他用户 ) Any Any 接口地址转换 10.0.0.167 访问外网转换成 10.0.0.165 （从 DMZ 区域到 Un-trust： 163 公网）源地址目标地址服务端口源地址转换备注 Any(根据具体地址需求而定 ) Any Any DIP 地址池转换成 U

23、ntrust 区域物理接口 IP 访问公网 163 网络（从 Trust 区域到 Untrust 区域）源地址目标地址服务源地址转换 Server-IP CN2-172.16.0.0/16 Any 扩展 DIP 172.16.1.100 Server-IP DCN-192.168.0.0/16 Any 扩展 DIP 192.168.200.100 192.168.0.0/24 CN2-172.16.0.0/16 Any 扩展 DIP 172.16.1.99 192.168.0.0/24 DCN-192.168.0.0/16 Any 扩展 DIP 192.168.200.99 19

24、2.168.0.0/24 Any Any 接口地址转换电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 11 页共 41 页 (Untrust 区域到 Trust 区域 ) 源地址目标地址服务地址转换备注 CN2-172.16.0.0/16 CN2-172.16.1.100 TCP8090 192.168.0.133 基于策略的目标地址转换 Any MIP(211.136.136.2) TCP8090 192.168.0.133 一对一地址映射 4 防火墙配置安装步骤 4.1 初始化配置步骤 1：连接防火墙方式一： Console 方式基于 Con

25、sole 终端配置 SSG-550M 的准备安装 Windows 操作系统的 PC 一台（安装超级终端） SSG-550M 设备标准配置自带的 Console 电缆一条使用超级终端建立一个连接，通过 Console 电缆一端连接 SSG-550M 任何一台设备，一端连接 COM 口， COM 的参数设置如：电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 12 页共 41 页使用 Console 端口做初始化配置， Netscreen 防火墙的初始账号和密码： login: netscreen password:netscreen 方式二：基于 WE

26、B 方式将 PC 机连接到 Trust zone 中交换机的某一个接口，在 IE 浏览器地址栏键入http:/（ SSG-550M 设备管理 IP 地址），如果你输入的是接口 IP 地址，缺省情况下只能连接到 Master 设备，所以建议采用防火墙管理 IP 地址对设备进行管理维护。在 Web 用户界面 (WebUI) 中，每个任务的指令集都分为导航路径和配置设置。要打开可用来输入配置设置的 WebUI 页面，可单击屏幕左侧导航树中的某个菜单项，然后单击随后出现的项目。在您进行操作时，导航路径会出现在屏幕顶部，每个页面都由尖括号分隔。导航树还提供了 Help Config Guid

27、e 配置页，帮助您配置安全策略和“互联网协议安全性” (IPSec)。从下拉菜单选择一个选项，然后按照该页面上的说明进行操作。单击 Config Guide 左上方的 ? 字符可获得“在线帮助”。如下图：可以根据实际管理需要， Juniper 防火墙还可以通过 telnetSSHSSL 等方式管理，配置仅需在接口设置下开启相应的服务即可。 SSG-550M- set hostname SSG-550M-1 SSG-550M- set hostname SSG-550M-2 如果需要恢复出厂安全设备，可以在命令行界面下，输入： SSG-550Munset all 此时会提示 yes/

28、no，在此选择 yes,接下来再输入另外一条命令： reset 此时会提示是否保存配置，则选择 no，接着提示是否重启，则选择电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 13 页共 41 页 yes，当设备重启后，则先前的配置将全部丢失，此操作谨慎使用，以免造成不必要的麻烦！ 4.2 防火墙冗余 NSRP 设置在配置 HA 之前，请注意以下事项： NO.1、两台设备 screenOS 版本是否一致（必须一致） NO.2、必须首先按设备硬件安装和配置指南中的说明将两台安全设备用电缆连接起来 NO.3、要管理任一模式的备份设备，必须使用为每个安全区段接口设

29、置的管理 IP 地址（除 VSD 组 0 以外，不能在 VSI 上为任何 VSD 组设置一个管理 IP 地址）。 NO.4 NSRP不传播的命令： NSRP set/unset nsrp cluster id number set/unset nsrp auth password pswd_str set/unset nsrp encrypt password pswd_str set/unset nsrp monitor interface interface set/unset nsrp vsd-group id id_num mode string | preempt | priorit

30、y number 接口 set/unset interface interface manage-ip ip_addr set/unset interface interface phy set/unset interface interface bandwidth number set/unset interface redundant number phy primary interface 属于本地接口的所有命令被监控对象所有 IP 跟踪、区段监控和接口监控命令控制台设置所有控制台命令 (set/unset console ) 主机名 set/unset hostname name_

31、str SNMP set/unset snmp name name_str 虚拟路由器 set/unset vrouter name_str router-id ip_addr 清除所有 clear 命令 (clear admin, clear dhcp, ) 调试所有 debug 命令 (debug alarm, debug arp, ) 在此项目中我们将部署 HA模式为 Active-Passive模式，主 /备模式，具体配置如下：为确保信息流连续流动，可以对一个冗余集群中的两台安全设备进行电缆连接和配置，其中一台设备用作主设备，另一台用作备份设备。主设备将其所有网络和配置设置以及当

32、前会话信息传播到备份设备。如果主设备出现故障，备份设备会晋升为主设备并接管信息流处理。图形化界面配置 1) 设置 HA 端口 (SSG-550M-1、 SSG-550M-2)，两台设备必须都配置 HA 接口选择 Network Interfaces Ethernet0/3 Edit 在 Zone Name ： HA -将 Ethernet 0/3 设置成 HA 心跳端口电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 14 页共 41 页两台设备都必须将 interface Eth0/3 端口设置加入 HA zone 2）点击 Network NSRP C

33、luster: 在 Cluster ID 字段中，键入 1，然后单击Apply 此步为激活 NSRP 选择 Network NSRP Cluster ,输入以下内容，单击 Apply Cluster ID :1 -0 是关闭 NSRP 功能，参数 1-7 是激活 NSRP 电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 15 页共 41 页 3) 点击 Network NSRP Synchronization: 选择 NSRP RTO Synchronizationset nsrp rto-mirror route然后单击 Apply 4) 点击 Network

34、NSRP Monitor Interface VSD ID: Device Edit Interface: 输入电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 16 页共 41 页以下内容，然后单击 Apply: Ethernet0/0: ( 选择 ); Weight: 255 Ethernet0/1: ( 选择 ); Weight: 255 Ethernet0/2: ( 选择 ); Weight: 255 上述 NSRP相关配置均必须在两台设备上完成配置操作，在配置 NSRP前，可以通过系统缺省 IP地址： 192.168.1.1分别登录到两台防火墙完成上述

35、 NSRP简单初始配置，至此 NSRP初始配置以完成，下一步将介绍通过命令行对 NSRP进一步优化配置。如果没有启用自动 RTO 同步选项，则无法用 CLI 命令 exec nsrp sync rto all 手动同步 RTO。被监控接口的缺省权重为 255，且缺省 NSRP 故障切换临界值为 255。因此，如果权重为 255 时 ethernet1 或 ethernet3 失败，则其故障将触发设备故障切换。在 CLI 中，如果未指定被监控接口的权重，则安全设备将使用缺省值 (255)。 CLI命令行配置电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 17 页

36、共 41 页 SSG-550M-1(M) set nsrp rto-mirror sync set nsrp rto-mirror route set nsrp monitor interface ethernet0/0 set nsrp monitor interface ethernet0/1 set nsrp monitor interface ethernet0/2 set nsrp vsd-group id 0 priority 50(配置 vsd-group id 0 优先级 ) set nsrp vsd-group master-always-exist（配置总是有一台设备为 M

37、ASTER） set nsrp cluster id 1 save SSG-550M-2(B) set nsrp rto-mirror sync set nsrp rto-mirror route set nsrp monitor interface ethernet0/0 set nsrp monitor interface ethernet0/1 set nsrp monitor interface ethernet0/2 set nsrp vsd-group id 0 priority 100(配置 vsd-group id 0优先级 ,缺省优先级为 100) set nsrp vsd-

38、group master-always-exist（配置总是有一台设备为 MASTER） set nsrp cluster id 1 save SSG-550M-2(B)- exec nsrp sync global-config save 同步配置（输入此命令等待数秒）将会返回一些调试信息 SSG-550M-2(B)- exec nsrp sync global-config check 检查是否同步（如果没有报警，则表示 NSRP 配置没有问题，如果返回警告信息则需要检查 NSRP 配置） SSG550-2(M)- exec nsrp sync global-config save SS

39、G550-2(M)- load peer system config to save Save global configuration successfully. Continue to save local configurations . Save local configuration successfully. done. Please reset your box to let cluster configuration take effect! SSG550-2(M)- exec nsrp sync global-config check-sum SSG550-2(M)- con

40、figuration in sync SSG550-2(M)- SSG-550M-2(B)- reset 重启设备电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 18 页共 41 页如果没有返回任何报警信息，则表示 NSRP 配置成功，则可进行下一步配置操作，当设备重启后将会看到下面图片信息， HA 告示灯颜色提示 HA 正常工作。当设备正常运行时候，两台设备 HA 状态灯均为绿色闪烁，但是 HA 中备机 HA指示灯显示为橘黄色（如上图）。电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 19 页共 41 页如果某台设备的

41、端口工作为 DOWN 的情况下，设备自动切换到另外一台主机，切换时间为1 秒，并且此接口工作为 DOWN 的设备 HA 指示灯显示为红色。由于此项目中仅涉及到端口监控，因此只要是当端口 DOWN 掉的情况下会实现设备自动切换，当然如果某台设备电源被关掉等硬件故障也会促使设备由主机切换到备机。并且在此项目中没有采用 NSRP 抢占功能，因此设备默认不会切换到缺省主设备上。 NSRP 安全设备重启顺序： 1）、重启运行状态下的备机 2）、当备机正常启动之后，到主设备上面运行命令： SSG-550M-1(M)- exec nsrp vsd-group 0 mode backup Start

42、deactivate session (vsd=0) . 0 sessions deactivated SSG-550M-1(B)- ethernet0/0 interface change physical state to Down ethernet0/1 interface change physical state to Down ethernet0/2 interface change physical state to Down 此时 HA-MASTER 将切换到备机上，然后重启原先主设备。电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 20 页共

43、 41 页 4.3 设置设备接口参数配置连接内网接口参数选择 Network Interfaces Ethernet0/0 Edit ：输入以下内容，单击 OK 在 Zone Name Trust -将 Ethernet 0/0 设置成 trust 安全区域 IP Address / Net mask : 192.168.0.1 /24 -输入 IP 地址同时你还可以选择 management servers (pingtelnetwebsshsnmpssl) 配置连接 PDSN 网络接口参数选择 Network Interfaces Ethernet0/1 Edit ：输入以下内

44、容，单击 OK 在 Zone Name ： DMZ -将 Ethernet 0/1 设置成 DMZ 安全区域 IP Address / Net mask :10.0.0.167/28 -输入 IP 地址同时你还可以选择 management servers (pingtelnetwebsshsnmpssl) 电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 21 页共 41 页设置连接 163 网络接口参数选择 Network Interfaces Ethernet0/2：单击 New 输入以下内容，单击 OK. Interface Name : Ethern

45、et0/2 Zone Name ： Un-Trust -将 ethernet2/1 接口设置成 UNTrust 安全区域 IP Address / Net mask :211.136.136.4/28 -输入 IP 地址和掩码同时你还可以选择 management servers (pingtelnetwebsshsnmpssl) 电信 WAP 网关 SSG550 配置手册美河学习在线仅学习参考第 22 页共 41 页命令行配置方式（ consle 口连接配置） SSG-550M-1(M)-set interface ethernet0/0 zone trust -设置接口安全

46、区域 SSG-550M-1 (M)-set interface ethernet0/1 zone DMZ SSG-550M-1 (M)-set interface ethernet0/2 zone Untrust SSG-550M-1(M)-set interface ethernet0/3 zone HA SSG-550M-1 (M)-set interface ethernet0/0 route SSG-550M-1(M)-set interface ethernet0/0 ip 192.168.0.1/24 -设置接口地址 SSG-550M-1 (M)-set interface Ethernet 0/0 manage-ip 192.168.0.5 SSG-55

展开阅读全文