Juniper SSG 防火墙

最新推荐文章于 2023-12-18 00:32:24 发布
最新推荐文章于 2023-12-18 00:32:24 发布
阅读量1k 收藏
点赞数
分类专栏: 安全设备 文章标签: java linux 网络 usb 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012391293/article/details/116982848
版权

win10无法登陆SSG进行WEB UI管理

  • 故障描述:尝试登录SSG设备时,无法无法刷出页面,但是设备时可以ping通的(内部接口),可以Telnet上设备,就是无法通过网页登录。
  • 深入测试:win7的系统可以登录,win10的不行,浏览器报协议版本或加密算法不支持。
  • 故障分析:这种情况下,可能是由于防火墙的加密算法的问题。

1、con到设备:

  • SSG320M-> get ssh
  • SSH V2 is active
  • SSH is NOT enabled
  • SSH is NOT ready for connections
  • Maximum sessions: 6
  • Active sessions: 0

2、查看加密算法:

  • SSG320M-> get ssl
  • web SSL enable.
  • web SSL port number(443).
  • web SSL cert: Default - System Self-Signed Cert.
  • web SSL cipher(RC4_MD5)..

3、修改加密算法并保存配置:

  • SSG320M-> set ssl encrypt 3des sha-1
  • SSG320M-> save
  • Save System Configuration ...
  • Done

修改后,测试win10登录SSG管理,正常,问题解决。

NAT

1.NAT-Src with PAT Enabled

  • set interface "ethernet0/0" zone "Trust"
  • set interface "ethernet0/2" zone "Untrust"
  • set interface ethernet0/0 ip 172.16.1.1/24
  • set interface ethernet0/0 nat
  • set interface ethernet0/2 ip 192.168.0.199/24
  • set interface ethernet0/2 route
  • set interface ethernet0/2 gateway 192.168.0.1
  • set interface ethernet0/2 dip 5 192.168.0.198
  • set policy from Trust to Untrust Any Any ANY nat src dip-id 5 permit log

2.NAT-Src with PAT Disabled

  • set interface "ethernet0/0" zone "Trust"
  • set interface "ethernet0/2" zone "Untrust"
  • set interface ethernet0/0 ip 172.16.1.1/24
  • set interface ethernet0/0 nat
  • set interface ethernet0/2 ip 192.168.0.199/24
  • set interface ethernet0/2 route
  • set interface ethernet0/2 gateway 192.168.0.1
  • set interface ethernet0/2 dip 6 192.168.0.198 fix-port
  • set policy from trust to untrust any any any nat src dip-ip 6 permit log

3.NAT-Src Without DIP

  • set interface "ethernet0/0" zone "Trust"
  • set interface "ethernet0/2" zone "Untrust"
  • set interface ethernet0/0 ip 172.16.1.1/24
  • set interface ethernet0/0 nat
  • set interface ethernet0/2 ip 192.168.0.199/24
  • set interface ethernet0/2 route
  • set interface ethernet0/2 gateway 192.168.0.1
  • set interface ethernet0/2 dip 5 192.168.0.198 192.168.0.198e
  • set policy from trust to untrust any any any nat src permit log

透明墙


  • set interface "ethernet0/0" zone "V1-Trust"
  • set interface "ethernet0/2" zone "V1-Untrust"
  • set policy id 3 name "towan" from "V1-Trust" to "V1-Untrust" "Any" "Any" "ANY" permit
  • set policy id 3


  • 主要区别:
  • 思科ASA5500系列防火墙在透明模式下,不会透传CDP和BPDUs;
  • Juniper的SSG系列防火墙会透传CDP和BPDUs,有时可能会造成二层环路。


ACL生效顺序和ID无关和acl 顺序有关

v2-254f951c6848fe97550f980c508ea5f7_b.png

v2-c8c848affa6b1e8e3f2014ca32acb533_b.jpg

v2-ac84e62869a9059bf5cc37adc2f6b5ca_b.jpg

常用命令

v2-2071a093138a020f74360a1b7567fc31_b.jpg

v2-e3037951677ef629ee3718ee966b1965_b.jpg

v2-41f05aa377ff21e8e90bb5ffc4227da5_b.jpg

v2-cac27288a76dba32acdf6a443f6740a7_b.jpg

配置

  • injoin-ssg320m-> get config
  • Total Config size 3586:
  • unset key protection enable
  • set clock timezone 0
  • set vrouter trust-vr sharable
  • set vrouter "untrust-vr"
  • exit
  • set vrouter "trust-vr"
  • unset auto-route-export
  • exit
  • set vrouter name "MGMT" id 1025 sharable
  • set vrouter "MGMT"
  • unset auto-route-export
  • exit
  • set alg appleichat enable
  • unset alg appleichat re-assembly enable
  • set alg sctp enable
  • set auth-server "Local" id 0
  • set auth-server "Local" server-name "Local"
  • set auth default auth server "Local"
  • set auth radius accounting port 1646
  • set admin name "netscreen"
  • set admin password "nKVUM2rwMUzPcrkG5sWIHdCtqkAibn"
  • set admin port 8000
  • set admin http redirect
  • set admin auth web timeout 10
  • set admin auth server "Local"
  • set admin format dos
  • set zone "Trust" vrouter "trust-vr"
  • set zone "Untrust" vrouter "trust-vr"
  • set zone "DMZ" vrouter "trust-vr"
  • set zone "VLAN" vrouter "trust-vr"
  • set zone "Untrust-Tun" vrouter "trust-vr"
  • set zone "Trust" tcp-rst
  • set zone "Untrust" block
  • unset zone "Untrust" tcp-rst
  • set zone "MGT" block
  • unset zone "V1-Trust" tcp-rst
  • unset zone "V1-Untrust" tcp-rst
  • set zone "DMZ" tcp-rst
  • unset zone "V1-DMZ" tcp-rst
  • unset zone "VLAN" tcp-rst
  • set zone "Untrust" screen tear-drop
  • set zone "Untrust" screen syn-flood
  • set zone "Untrust" screen ping-death
  • set zone "Untrust" screen ip-filter-src
  • set zone "Untrust" screen land
  • set zone "V1-Untrust" screen tear-drop
  • set zone "V1-Untrust" screen syn-flood
  • set zone "V1-Untrust" screen ping-death
  • set zone "V1-Untrust" screen ip-filter-src
  • set zone "V1-Untrust" screen land
  • set interface "ethernet0/0" zone "V1-Trust"
  • set interface "ethernet0/1" zone "DMZ"
  • set interface "ethernet0/2" zone "V1-Untrust"
  • set interface vlan1 ip 192.168.0.250/24
  • unset interface vlan1 bypass-others-ipsec
  • unset interface vlan1 bypass-non-ip
  • set interface vlan1 ip manageable
  • set interface ethernet0/0 manage mtrace
  • set interface vlan1 manage mtrace
  • unset flow no-tcp-seq-check
  • set flow tcp-syn-check
  • unset flow tcp-syn-bit-check
  • set flow reverse-route clear-text prefer
  • set flow reverse-route tunnel always
  • set hostname injoin-ssg320m
  • set pki authority default scep mode "auto"
  • set pki x509 default cert-path partial
  • set dns host dns1 0.0.0.0
  • set dns host dns2 0.0.0.0
  • set dns host dns3 0.0.0.0
  • set address "Untrust" "8.8.8.8/32" 8.8.8.8 255.255.255.255
  • set crypto-policy
  • exit
  • set ike respond-bad-spi 1
  • set ike ikev2 ike-sa-soft-lifetime 60
  • unset ike ikeid-enumeration
  • unset ike dos-protection
  • unset ipsec access-session enable
  • set ipsec access-session maximum 5000
  • set ipsec access-session upper-threshold 0
  • set ipsec access-session lower-threshold 0
  • set ipsec access-session dead-p2-sa-timeout 0
  • unset ipsec access-session log-error
  • unset ipsec access-session info-exch-connected
  • unset ipsec access-session use-error-log
  • set url protocol websense
  • exit
  • set policy id 2 from "Trust" to "Untrust" "Any" "Any" "ANY" nat src permit log
  • set policy id 2
  • exit
  • set policy id 3 name "towan" from "V1-Trust" to "V1-Untrust" "Any" "Any" "ANY" permit
  • set policy id 3
  • exit
  • set nsmgmt bulkcli reboot-timeout 60
  • set ssh version v2
  • set config lock timeout 5
  • unset license-key auto-update
  • set telnet client enable
  • set ssl encrypt 3des sha-1
  • set snmp port listen 161
  • set snmp port trap 162
  • set snmpv3 local-engine id "JN1230D03ADD"
  • set vrouter "untrust-vr"
  • exit
  • set vrouter "trust-vr"
  • unset add-default-route
  • set route 8.8.8.8/32 interface ethernet0/0 gateway 172.16.1.2
  • exit
  • set vrouter "MGMT"
  • exit
  • set vrouter "untrust-vr"
  • exit
  • set vrouter "trust-vr"
  • exit
  • set vrouter "MGMT"
  • exit

初始化

设备开机状态下,使用插到设备正前方的reset口,有手感,直到等到status灯变成橙色,再变绿色后,针松开2秒钟,再将针插入reset孔不放直到灯变红,此时所有端口灯都会灭掉。针取出即可。最后设备会自动重启。设备即恢复出厂默认值。

v2-09be7ad32c1399801a5cf0c7b8746abc_b.jpg

期待未来的男孩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Juniper SSG-5(NS-5GT)防火墙配置手册
05-31
Juniper SSG-5(NS-5GT)防火墙配置手册...................................................
juniper SSG防火墙监控模板
09-12
zabbix系统3.X版本对juniper SSG防火墙监控专用模板,
Juniper SSG5防火墙基础配置
ajiao666010的博客
07-12 1558
putty 连接 检查com号方法一:在 SSG5的后面有一个Reset 的针孔,如果今天只是要跟你说用针插一下这个孔,那我就略掉了。当然它绝对不是你所想得这么简单,要使用Reset 重启按钮,你需要对该针孔插两次针,且不是随便插,你必须配合它的灯号,第一次插大约4秒不动,然后灯号变成一红一绿,在将针拔出间隔约1秒之后,再将针 插入约4秒,如此才能完成Reset 操作。
Juniper Netscreen SSG 防火墙 配置来自第三方(myonlineportal.net DDNS dynamic dns)的动态DNS更新
最新发布
weixin_52727751的博客
12-18 1051
用过 Juniper Netscreen SSG 系列防火墙的朋友们都知道 Netscreen SSG 系列内置了两家第二方供应商(ddo 和dyndns.org)的 ddns 支持。具体位置在配置页面的Network > DNS > DDNS。但这两家当前的状态都不正常(ddo停止注册了,dyn.com 收费了)。本文提供了使用内置的DDNS 功能支持一家来自第三方(myonlineportal.net)动态DNS 供应商的解决方案。如果还有其他家能支持SSG,欢迎各位读者提供相关信息。
Juniper NetScreen 基于源NAT转换
weixin_33778544的博客
02-02 539
1.NAT-Src with PAT Enabled从trust到untrust转换转换前:(Source IP:10.1.1.1 Source port: 3899)转换后:(Source IP: 202.100.100.100 Source port: 4000)对trust的IP以及port都做转换************************************...
Juniper-SSG系列之子接口(单臂路由)运用
weixin_33709364的博客
11-12 391
一、网络结构 二、分析与预规划 规划如上图↑ 分析客户目前暂定的拓扑方案,实现多vlan间通信。G0/0/48端口做成Trunk,理论上SW-A默认只会让10.10.0.X/24的主机过,Juniper防火墙Ping vlanif1-6都能到,这个是问题来了,只有10.10.0.x/24的主机,端口不做情况下就能到Juniper设备上。这时就能意识到,单...
JuniperSSG5防火墙中文版配置手册范本.pdf
05-25
JuniperSSG5防火墙中文版配置手册范本.pdfJuniperSSG5防火墙中文版配置手册范本.pdfJuniperSSG5防火墙中文版配置手册范本.pdfJuniperSSG5防火墙中文版配置手册范本.pdfJuniperSSG5防火墙中文版配置手册范本.pdf
NSSA1.7-juniper SSG防火墙 session分析工具
07-20
NSSA1.7-juniper session分析工具 使用get session命令抓取session信息 可以分析top ip、top协议、路由 测试等等
JuniperSSG防火墙中文版配置手册实用.pdf
11-13
JuniperSSG防火墙中文版配置手册实用.pdf
juniper防火墙详细配置手册.pdf
05-06
juniper防火墙详细配置手册
Juniper网络公司安全业务网关SSG 5 和SSG 20产品简介
03-04
Juniper SSG 20和Juniper SSG 5都是高性能的安全平台,能够保护小型分支办事处和独立企业不受内部和外部攻击、避免未授权访问并符合规范要求。Juniper SSG 20和Juniper SSG 5都能够提供 160 Mbps的状态防火墙流量和40 Mbps 的IPSec VPN 流量。
ssg320m ScreenOS
04-26
ssg320m ScreenOS 版本:6.2.0r5.0
juniper ssg550中文配置文档+配置手册
09-08
juniper ssg550中文配置文档+配置手册 中文pdf文档和word配置手册
Juniper防火墙NAT配置示例
12-13 4874
案例1:内部服务器网段需要上网访问internet (源地址NAT) 需求:内部服务器网段172.16.1.0/24想要访问internet,172.16.1.0/24属于trust区域,互联网专线的接口属于untrust。 分析:此时需要配置源地址转换,将源地址172.16.1.0/24转换为互联网的出接口地址。 配置示例: set security nat source rule-set src-nat from zone trust set security nat source rule-
SSG520 l2tp配置
jekc2008的专栏
08-25 1165
SSG 520 VPN L2TP配置
HDU-5363-Key Set
枚举星星
03-25 126
为了避免视觉污染(因为你自己有题),又怕你搜不到我写的题解,所以我们把原题干放到最后 上原来的题解:https://blog.csdn.net/enjoying_science/article/details/47335721 这个题是求集合S的非空子集中元素和为偶数的非空子集有多少个,但是如果简单那么数的话很麻烦,而且到后面加的数太大 铁定越界,所以不能用这个方法(不然是太水的题了啊对不对 所以...
JUNIA第五天(NAT)
weixin_33826609的博客
05-28 175
1.防火墙的接口模式a.Route模式基于路由,不会做NAT转换默认不会做任何的NAT转换使用基于Policy的NAT转换默认情况下,除了TrustZone以外的Zone都是RouteModeb.Nat模式当接口属于NAT模式,接口下收到的数据包将做源地址转换(NAPT网络地址端口转换)查看接口的模式FW1->getinterfaceeth1设置FFilte...
神州数码具体配置步骤
weixin_34356138的博客
09-26 1368
1.DCRS5980的配置 交换机基础配置 ########################################## enable config hostname 5980 vlan 10 exit vlan 20 exit vlan 30 exit vlan 40 e...
芯片工艺SSG/FFG
09-14
SSG和FFG是芯片工艺中的两个常见术语。SSG代表的是Standard SSG(标准单晶硅门)工艺,而FFG代表的是Fully-Depleted SOI(全耗尽硅上绝缘体)工艺。 在SSG工艺中,芯片的晶体管由单晶硅材料制成,采用传统的晶体管结构。这种工艺适用于大部分集成电路的制造,包括微处理器、存储器和各种逻辑电路。SSG工艺具有良好的可扩展性和可控性,能够实现高性能和较低功耗的芯片设计。 而FFG工艺则是一种新兴的工艺,它采用了全耗尽SOI结构。全耗尽SOI技术通过在硅衬底和电晶体之间引入绝缘层来减少漏电流,从而提高芯片的性能和能效。FFG工艺适用于高性能和低功耗应用,如移动设备、物联网和人工智能芯片等。 总的来说,SSG和FFG是不同的芯片工艺,它们在材料结构和性能特点上有所区别。选择哪种工艺取决于芯片的应用需求和制造成本等因素。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

期待未来的男孩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值