Juniper SSG 550M防火墙 - 图文 下载本文

电信WAP网关SSG550配置手册

PDSN163公网CN2DCNDMZ区eth0/1eth0/2Untrust区HA区eth0/3FWeth0/0Trust区WAP网关内部网络

Untrust 区域:每台SSG 550M的固定第3个接口eth0/2与交换机相连接入163\\CN2\\DCN

网络,物理接口配置163公网地址,通过MIP对外开放服务端口,但是访问DCN\\CN2网络进出所有流量也通过此区域接口,通过在此接口下启用扩展DIP功能,实现源地址转换。

Trust区域: SSG 550M的固定第1个接口 eth0/0与交换机相连接入WAP内网,配置

内网地址192.168.0.1/24。

DMZ区域:SSG 550M的固定第2个接口 eth0/1与交换机相连接入PDSN网络,配置IP

地址:10.0.0.167/28.

物理结构图和数据流向如下图所示:

第6页 共42页

电信WAP网关SSG550配置手册

2.2 访问策略实现 2.2.1 PDSN访问实现

PDSN网络(10.0.0.0/8)的主机需要访问10.0.0.165 主机TCP的80端口,UDP的9200-9203、1813、1812端口。通过防火墙后,即访问我内部主机192.168.0.133TCP的8000端口,UDP的9200-9203、1813、1812。

由于涉及端口转换,因此采用MIP无法实现该功能,通过策略,采用目的地址+端口的转换来映射内部服务器地址和端口。

PDSN->10.0.0.165:80 增加一条策略,从DMZ区到Trust区,源地址为手机地址池,目的地址为10.0.0.165 服务为HTTP时,需要启用目的地址转换,转换成内部服务器192.168.0.133的TCP 8000端口。

PDSN->10.0.0.165:9200-9203 增加一条策略,从DMZ区到Trust区,源地址为手机地址池,目的地址为10.0.0.165 的9200-9203端口时时,需要启用目的地址转换,转换成内部服务器192.168.0.133即可。

第7页 共42页

电信WAP网关SSG550配置手册 PDSN->163公网 通过policy进行163公网DIP转换。

2.2.2 163公网访问实现

内部服务器->163公网 建立一个163公网,建立从Trust区到untrust区的策略接口,将源地址转换从接口地址即可。

163公网->内部服务器 建立一个163公网和内部服务器对应的MIP 192.168.0.133->163公网 建立一个163公网和内部服务器对应的MIP

2.2.3 DCN访问实现

内部服务器->DCN 建立一个DCN的DIP,通过扩展的DIP实现地址转换 DCN->内部服务器 通过策略,采用目的地址转换来映射内部服务器地址。

2.2.4 CN2访问实现

内部服务器->DCN 建立一个DCN的DIP,通过扩展的DIP实现地址转换 DCN->内部服务器 通过策略,采用目的地址转换来映射内部服务器地址。

3 设备端口连接规划

3.1 设备端口编号

(图片仅供参考,以实物为准)

插槽顺序:(下面列出为标准出厂配置,没有增加任何模块,仅使用4个固定接口) 插槽一 插槽四 插槽二 插槽五 风扇 插槽三 插槽六 4个固定10/100/1000M以太网接口 Console AUX 第8页 共42页

电信WAP网关SSG550配置手册

3.2 设备端口连接表

Juniper SSG-550M-1防火墙固定I/O接口连接表: 固定接口 端口类型 端口编号 eth0/0 eth0/1 eth0/2 端口所属区域名称 Trust DMZ Un-trust 连接对端设备(型号及端口) 用途 10/100/1000M Auto 10/100/1000M 固定I/0接口 Auto 10/100/1000M Auto 10/100/1000M Auto ZTE_T40G-1 G2:1 连接业务内网 ZTE_T40G-1 G2:2 连接PDSN网络 ZTE_T40G-1 G2:3 物理连接163网络,其中CN2\\DCN网络进出流量也经过此接口 SSG-550M-2 eth0/3 接口 连接SSG-550M-1做HA接口 eth0/3 HA

Juniper SSG-550M-2防火墙固定I/O接口连接表: 固定接口 端口类型 端口编号 eth0/0 eth0/1 eth0/2 端口所属区域名称 Trust DMZ Un-trust 连接对端设备(型号及端口) ZTE_T40G-2 G2:1 ZTE_T40G-2 G2:2 ZTE_T40G-2 G2:3 SSG-550M-1 eth0/3 接口 用途 连接业务内网 连接PDSN网络 物理连接163网络,其中CN2\\DCN网络进出流量也经过此接口 连接SSG-550M-2做HA接口 10/100/1000M Auto 10/100/1000M 固定I/0接口 Auto 10/100/1000M Auto 10/100/1000M Auto eth0/3 HA

? Juniper SSG-550M此款设备出厂标准配置为自带4个10/100/1000M以太网接口和6个物

理接口模块(PIM)插槽,在此项目中我们仅使用4个10/100/1000M接口。

? 在此项目实施中我们将仅采用系统缺省zone(Trust\\DMZ\\Un-trust),分别对应:

Trust=内部网络、DMZ=PDSN、Un-trust=163、CN2\\DCN

3.3 防火墙接口地址规划

由于在此项目中两台Juniper SSG-550M防火墙将采用HA模式部署在网络中,因此两台接口IP地址将会相同(因为当HA建立起来,大部分配置会自动同步,IP地址应当在HA建立成功前提下设置)。

第9页 共42页

电信WAP网关SSG550配置手册 具体配置将参照下表进行配置: 固定接口 固定I/0接口 端口类型 10/100/1000M Auto 10/100/1000M Auto 10/100/1000M Auto 10/100/1000M Auto ? 在此项目实施中,将对interface eth0/0 接口配置manage-ip为方便对安全设备进行管

理维护!

? 在生产环境实施过程中千万注意,内网地址可以有项目组讨论并根据实际情况定义分配,

但是连接CN2\\ENI两个网络的接口IP地址、业务地址、设备互联地址,需要向上级机构提前申请(如:电信等ISP)!

? 申请的地址信息包括(NAT地址、设备互联地址、子网掩码、网关等信息),具体参数将按

照实际实施环境及需求决定。

? 申请地址信息后建议立即测试,以免在实施过程中带来不必要的麻烦!

端口名称 Eth0/0 端口IP地址 物理接口IP地址192.168.0.1/24 SSG-550M-1_Manage-ip:192.168.0.5 SSG-550M-2_Manage-ip:192.168.0.6 物理接口IP地址:10.0.0.167/28 物理接口IP地址:211.136.136.4/28 网关 连接内部业务网 10.0.0.161 211.136.136.1 连接PDSN网络 物理连接163网络,CN2\\DCN网络流量也经过此接口 HA 用途 Eth0/1 Eth0/2 Eth0/3 0.0.0.0 0 CN2地址段:172.16.1.96/28 DCN地址段:192.168.100.96/28 3.4 防火墙策略定义规划

由于在此项目中,涉及到4个网络,并且针对每个网络内部服务器都需要提供相应的服务,内部用户访问其4个网络也需要通过源地址翻译与目标网络进行通信,因此在策略的规划中,请遵循下列规则进行配置:

在定义安全策略前,请提供以下内容:

1、 源地址(可以是any或者单个地址或者地址组) 2、 目标地址(可以是any或者单个地址或者地址组) 3、 服务内容(可以是单个服务或者多个服务)

4、 按照需求是否需要基于策略的地址转换(源地址、目标地址),其中源地址转换还包含接口

地址转换、DIP地址池转换方式,基于目标地址转换可以是单个IP地址,或者IP加端口。 5、 新建内部服务器地址(服务器地址:10.0.0.165/32、172.16.1.100/32、

192.168.200.100/32)。

6、 自定义服务(包含需要对外开放的端口及服务名称,如:9200、9203等等).

第10页 共42页