2. 程式人生 > >Juniper SSG系列防火墻ScreenOS的IPsec VPN

Juniper SSG系列防火墻ScreenOS的IPsec VPN

阿新 發佈:2017-06-21
ipsec vpn juniper screenos ssg

自己之前的手記,

Route-Based Site-to-Site VPN, AutoKey IKE

2端都是固定IP的

BO1是分公司1,HO是總公司

BO1

# 定義隧道
set interface "tunnel.1" zone "Untrust"
# 端口自己看著辦
set interface tunnel.1 ip unnumbered interface ethernetXX/XX
# 定義IP組及IP
set address "Untrust" "HO" XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
set group address "Untrust" "HOG"
set group address "Untrust" "HOG" add "HO"
# 定義VPN,填對端的固定IP地址
set ike gateway TO_HO address XXX.XXX.XXX.XXX main outgoing-interface ethernetXX preshare XXXXX proposal pre-g2-3des-sha
set vpn BO1_HO gateway TO_HO sec-level compatible
set vpn BO1_HO bind interface tunnel.1
set vpn BO1_HO monitor optimized
# 定義路由
set vrouter trust-vr route XXX.XXX.XXX.XXX/XX interface tunnel.1
# 定義policy
set policy top name "TO_HO" from trust to untrust Any HOG any permit
set policy top name "FROM_HO" from untrust to trust HOG Any any permit
# 保存
save

HO

set interface "tunnel.1" zone "Untrust"
set interface tunnel.1 ip unnumbered interface ethernetXX/XX
# 總公司多了控制Trust的,所以也定義組了
set address "Trust" "Trust_LAN" XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
set address "Untrust" "BO1" XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
set group address "Untrust" "BO1G"
set group address "Untrust" "BO1G" add "BO1"
set ike gateway TO_BO1 address XXX.XXX.XXX.XXX main outgoing-interface ethernetXX preshare XXXXX proposal pre-g2-3des-sha
set vpn HO_BO1 gateway TO_BO1 sec-level compatible
set vpn HO_BO1 bind interface tunnel.1
set vpn HO_BO1 monitor optimized
set vrouter trust-vr route XXX.XXX.XXX.XXX/XX interface tunnel.1
set policy top name "TO_BO1" from trust to untrust "Trust_LAN" "BO1G" any permit
set policy top name "FROM_BO1" from untrust to trust "BO1G" "Trust_LAN" any permit
save


本文出自 “雪糕豬” 博客,請務必保留此出處http://icecreampig.blog.51cto.com/648013/1940590

Juniper SSG系列防火墻ScreenOS的IPsec VPN

相關推薦

Juniper SSG系列防火ScreenOS的IPsec VPN

ipsec vpn juniper screenos ssg 自己之前的手記,Route-Based Site-to-Site VPN, AutoKey IKE2端都是固定IP的BO1是分公司1,HO是總公司BO1# 定義隧道 set interface "tunnel.1" zone "

查看Juniper SRX系列防火的系統相關限制(Policy策略最大數、NAT最大數等)

Juniper Juniper SRX 防火墻 Policy策略最大數 系統相關限制 查看Juniper SRX系列防火墻的系統相關限制(Policy策略最大數、NAT最大數等) 通過show log nsd_chk_only | no-more 可查看Juniper SRX系列防火墻的系

cisco ASA 551X系列防火限速

cisco asa 限速asa 551X 網絡限速對整個網段限速 也可對單個ip 實例中為對網段限速4Masa846-k8.bin 測試okobject-group network rate_limitnetwork-object 192.168.0.0 255.255.255.0access-list ra

ASA 5500系列防火忘記密碼之後的恢復步驟

配置寄存器 防火墻 asa 密碼恢復 楊書凡 由於各種原因,如果忘記了ASA的enable密碼,就無法進入特權模式,因此也就無法對ASA進行配置。前面已經介紹了路由交換的密碼恢復,而ASA的密碼恢復方法與路由器相似,修改配置寄存器的值,啟動時繞過startup-config配置文件

Juniper-SSG系列之子接口(單臂路由)運用

route 故障 局域網 系列 主機 小型 不能 容易 防火墻 一、網絡結構 二、分析與預規劃規劃如上圖↑分析客戶目前暫定的拓撲方案,實現多vlan間通信。G0/0/48端口做成Trunk,理論上SW-A默認只會讓10.10.0.X/24的主機過,Juniper防火墻Pin

CentOS6/7系列防火管理

wall 防火 狀態 ystemd 1.5 不能訪問 tel onf ble 1.CentOS7系列防火墻 CentOS7默認使用firewall作為防火墻,這裏改為iptables防火墻步驟 firewall-cmd --state #查看默認防火墻狀態 (關閉後

Juniper-SSG-策略模式的IPSEC-VPN

Juniper-SSG-策略模式的IPSEC-VPN之配置終結篇 itPublisher 分享於 2016-04-17 Juniper-SSG,Site to Stie的ipsec-vpn在國內應用是非常廣的,畢竟在07-10年算是國內防火牆中比較出彩又討網工喜歡的系列。所以今天再次重

Juniper SSG 防火安全防護之拒絕服務×××[新任幫主]

死機 led scree 相對 不存在 解讀 cli for 消息 Juniper SSG 防火墻安全防護之拒絕服務×××一.拒絕服務×××的介紹: 所謂的拒絕服務就是指所有一切以耗盡網絡資源,使其無法再網絡中發揮正常的功能為目的的行為都叫拒絕服務×××,DoS×××是一種

如何在ASA防火上實現ipsec vpn

asa 防火墻 實現 psec vpn 博主QQ:819594300博客地址:http://zpf666.blog.51cto.com/有什麽疑問的朋友可以聯系博主,博主會幫你們解答,謝謝支持!本文章介紹三個部分內容:①ipsec vpn故障排查②如何在ASA防火墻上配置ipsec VPN③防

Juniper防火映射內外網不同端口

juniper 不同端口映射以下操作均通過WEB用戶管理界面進行:一、添加自定義服務端口1、選擇菜單Objects > Services > Custom,進入自定義服務管理頁面。2、點擊右上角的New按鈕進入自定義服務添加頁面 。在Service Name處填寫自定義的服務名稱,在Transp

centos7-pptp-vpn腳本,用的是firewall 防火

centos pptp vpn linux#!/bin/bash # [ $(id -u) != "0" ] && { echo "Error: You must be root to run this script"; exit 1; } export PATH=/usr/local/sb

centos7 安裝pptp vpn(使用iptbales防火

centos7 pptpd iptables一.系統設置關閉selinux[[email protected] system]# cat /etc/selinux/config SELINUX=disabled檢查是否支持[[email protected] system]# modpro

Juniper 防火端口映射設置

ip地址 tcp sam center ans elements 一個 rtu 允許 首先我們登陸到juniper防火墻控制界面 默認地址大家都知道(192.168.1.1) 默認用戶和密碼netsscreen 下面介紹登陸界面: 讓我們開始配置吧

Juniper SRX防火批量導入set格式配置

Juniper SRX Juniper SRX Juniper SRX防火墻 防火墻 Juniper SRX防火墻批量導入set格式配置 SRX在進行大量配置時可能會出現一些小問題,可以使用load set terminal命令導入大量set格式的配置。 root# load set te

juniper SRX防火基於目的NAT的配置

tin juniper rom pool 基於 ESS zone address ddr set security nat destination pool A address 192.168.1.9/32set security nat destination rule-

centos7系列關閉防火但是端口依然無法訪問

系統 為什麽 無法訪問 依賴 ane 22端口 cmd 直接 解決 centos7.3系統,已經關閉firewalld,但是除了22端口,其余端口無法被外界訪問,本地訪問正常,解決步驟:1、先開啟firewalld:systemctl start firewalld2、放通

linux防火(iptables)關閉與開啟配置

iptables永久性生效,重啟後不會復原chkconfig iptables onchkconfig iptables off即時生效,重啟後復原service iptables startservice iptables stop需要說明的是對於Linux下的其它服務都可以用以上命令執行開啟和關閉操作。在

CentOS 7通過Firewall開放防火端口

-s sta 常用 技術分享 臨時 man data- 配置 har 發現在CentOS 7上開放端口用iptables沒效果(或者是sodino沒找到正確的命令,傳說Centos7 下默認的防火墻是 Firewall,替代了之前的 iptables)… 使用firewal

關閉防火

onf nbsp kconfig ble 關閉防火墻 ice 開啟 stat service 所有節點關閉防火墻 在防火墻開啟的情況下,執行如下兩條命令: 臨時關閉: service iptables stop 永久關閉防火墻:chkconfig iptables off

使用Windows 自帶防火攔截勒索病毒

windows 防火墻 運行服務管理器右鍵點擊該服務,確保該服務已經啟動自定義一個inbound 入站規則點阻止連接最後自己起一個名字就好了,生成之後再入站規則時候在看看規則是否存在,大功告成。本文出自 “於昊(Pcdog)的博客” 博客,請務必保留此出處http://433266.blog.51ct