Juniper_SSG_550M防火墙.pdf

WAP 项目现场安装文档 (SSG 550M 防火墙) V1.0 Juniper Networks. 电信WAP 网关SSG550 配置手册 美河学习在线 仅学习参考 目录 1 概述3 2 电信WAP 中心网络规划4 2.1 Zone 规划4 2.2 访问策略实现6 2.2.1 PDSN 访问实现6 2.2.2 163 公网访问实现7 2.2.3 DCN 访问实现7 2.2.4 CN2 访问实现7 3 设备端口连接规划 7 3.1 设备端口编号7 3.2 设备端口连接表8 3.3 防火墙接口地址规划8 3.4 防火墙策略定义规划9 4 防火墙配置安装步骤 11 4.1 初始化配置 11 4.2 防火墙冗余NSRP 设置13 4.3 设置设备接口参数20 4.4 设置路由23 4.5 定义WAP 中心主机及信息服务端口25 4.6 配置NAT （DIP\NAT-Dst\MIP ）26 4.7 定义安全访问策略31 4.8 用户账号管理32 4.9 配置文件备份33 4.10 版本升级步骤35 4.11 常用排错步骤及命令汇总36 5 附录：防火墙配置文件 37 5.1 SSG-550M-1 防火墙配置37 5.2 SSG-550M-2 防火墙配置41 第2 页 共41 页 电信WAP 网关SSG550 配置手册 美河学习在线 仅学习参考 1 概述 电信WAP 网关采用两台ZXR10 T40G 三层交换机做为核心交换机，并且采用两台Juniper SSG-550M 防火墙来做安全控制。WAP 网关通过电信的CE 路由器分别连接PDSN 、CN2、DCN 和电信163 公网4 个网络，以内蒙古电信WAP 为例，网络结构图如下： 在逻辑结构上，WAP 网关需要和PDSN 、CN2、DCN 和163 公网4 个网络进行网络互联。 第3 页 共41 页 电信WAP 网关SSG550 配置手册 美河学习在线 仅学习参考 此次项目通过JUNIPER 防火墙实现的主要功能如下： 1. PDSN 网络（/8）的主机需要访问65 主机TCP 的80 端口，UDP 的 9200 －9203、1813、1812 端口。通过防火墙后，即访问我内部主机33TCP 的8000 端口，UDP 的9200 －9203、1813、1812。 2. 内部的多台主机（包括 33）需要访问 163 公网上的任何资源，而且 33 的TCP 的