How it Works
Juniper Network
Loading...
SSG 5
User Manual
60 pgs3.26 Mb0
Table of contents
Loading...

Juniper Network SSG 5 User Manual

安全产品
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089
USA
408-745-2000
www.juniper.net
编号 : 530-015647-01-SC,修订本 02
Copyright Notice
Copyright © 2006 Juniper Networks, Inc. All rights reserved.
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures:
Reorient or relocate the receiving antenna.
Increase the separation between the equipment and receiver.
Consult the dealer or an experienced radio/TV technician for help.
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
2
目录
关于本指南 5
组织结构..........................................................................................................6
WebUI 约定 .....................................................................................................6
CLI 约定 ...........................................................................................................7
获取文档和技术支持........................................................................................7
1
2
硬件概述 9
端口和电源连接器 ...........................................................................................9
前面板 ...........................................................................................................10
系统状态 LED..........................................................................................10
端口说明........................................................................................................12
以太网端口 .......................................................................................12
控制台端口 .......................................................................................12
AUX 端口 ..........................................................................................13
后面板 ...........................................................................................................13
电源适配器..............................................................................................13
无线电收发器 ..........................................................................................14
接地片 .....................................................................................................14
天线类型 ................................................................................................. 14
USB 端口 .................................................................................................14
安装和连接设备 15
准备工作........................................................................................................16
安装设备........................................................................................................16
将接口电缆连接到设备 ..................................................................................17
连接电源........................................................................................................18
将设备连接到网络 .........................................................................................18
将设备连接到不可信网络 ........................................................................18
以太网端口 .......................................................................................19
串行 (AUX/ 控制台 ) 端口 .................................................................. 19
WAN 端口 .........................................................................................19
将设备连接到内部网络或工作站 ............................................................. 20
以太网端口 .......................................................................................20
无线天线...........................................................................................20
目录 3
SSG 5 硬件安装和配置指南
3 配置设备 21
访问设备........................................................................................................22
使用控制台连接.......................................................................................22
使用 WebUI.............................................................................................23
使用 Telnet..............................................................................................24
缺省设备设置.................................................................................................24
基本设备配置.................................................................................................26
Admin 名称和密码.............................................................................. 26
日期和时间..............................................................................................27
桥接组接口..............................................................................................27
管理存取 ................................................................................................. 28
管理服务 ................................................................................................. 28
主机名和域名 ..........................................................................................28
缺省路由 ................................................................................................. 29
管理接口地址 ..........................................................................................29
备份 Untrust 接口配置.............................................................................29
基本无线配置.................................................................................................30
WAN 配置......................................................................................................33
ISDN 接口................................................................................................33
V.92 调制解调器接口 .............................................................................. 34
基本防火墙保护 ............................................................................................. 35
验证外部连通性 ............................................................................................. 35
将设备重置为出厂缺省值...............................................................................36
4
附录 A
附录 B
维护设备 37
需要的工具和部件 .........................................................................................37
升级内存........................................................................................................37
规格 41
物理 ............................................................................................................... 41
电气 ............................................................................................................... 41
环境忍耐力 ....................................................................................................42
证书 ............................................................................................................... 42
安全.........................................................................................................42
EMC 辐射 ................................................................................................42
EMC 抗扰度.............................................................................................42
ETSI.........................................................................................................43
连接器 ...........................................................................................................43
初始配置向导 45
索引 ............................................................................................................................ 59
4 目录

关于本指南

Juniper Networks 安全服务网关 (SSG) 5 设备是一种集成路由器和防火墙平台,可 为分公司或零售渠道提供“互联网协议安全”(IPSec)、“虚拟专用网”(VPN) 和防 火墙服务。
Juniper Networks 提供六种型号的 SSG 5 设备 :
SSG 5 串行
SSG 5 串行 WLAN
SSG 5 V.92
SSG 5 V.92-WLAN
SSG 5 ISDN
SSG 5 ISDN-WLAN
所有 SSG 5 设备都支持通用串行总线 (USB) 主机模块。这些设备还提供局域网 (LAN) 和广域网 (WAN) 之间的协议转换,其中三种型号支持无线局域网 (WLAN)
注意 :
本文档中的配置说明和范例均指运行 ScreenOS 5.4 的设备所具有的功能。根据运 行的 ScreenOS 版本的不同,设备的功能也可能有所不同。有关最新设备文档的 信息,请参阅 Juniper Networks 技术出版物网站
http://www.juniper.net/techpubs/hardware
。要查看设备当前可用的 ScreenOS
本,请访问 Juniper Networks 支持网站
http://www.juniper.net/customers/support/
5
SSG 5 硬件安装和配置指南

组织结构

本指南包含以下部分 :
1 章,“硬件概述”介绍 SSG 5 设备的机箱和组件。
2 章,“安装和连接设备”介绍如何安装 SSG 5 设备,以及如何将其连接到
网络上。
3 章,“配置设备”介绍如何配置和管理 SSG 5 设备以及如何执行某些基本
配置任务。
4 章,“维护设备”介绍 SSG 5 设备的保养和维护过程。
附录 A,“规格”提供 SSG 5 设备的通用系统规格。
附录 B,“初始配置向导”提供有关 SSG 5 设备的初始配置向导 (ICW) 的详细
信息。

WebUI 约定

要用 WebUI 执行任务,首先导航到相应的对话框,然后在该对话框中定义对象和 设置参数。 V 形符号 ( > ) 指示在 WebUI 中导航的顺序,使用时单击菜单选项和 链接即可。 每个任务的指令集都分为导航路径和配置设置。
下图列出进入地址配置对话框的路径,采用的是下面的示例配置设置 :
Objects > Addresses > List > New: 输入以下内容,然后单击 OK:
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: ( 选择 ), 10.2.2.5/32
Zone: Untrust
1: 导航路径和配置设置
6 组织结构

CLI 约定

在范例和文本中出现 CLI 命令的语法时,使用下列约定。
在范例中 :
在中括号 [ ] 中的任何内容都是可选的。
大括号 { } 中的任何内容都是必需项。
如果有多个选项,则使用竖线 ( | ) 分隔每个选项。 例如 :
set interface { ethernet1 | ethernet2 | ethernet3 } manage
意思就是“设置 ethernet1ethernet2 或 ethernet3 接口的管理选项”。
注意 :

获取文档和技术支持

变量为
斜体
形式 :
set admin user name1 password xyz
在文本中 :
命令为粗体形式。
变量为
斜体
形式。
输入关键字时,只需键入足以唯一标识相关单词的字母即可。 例如,要输入命令 set admin user kathleen j12fmt54,只需输入 set adm u kath j12fmt54尽管 输入命令时可以使用此捷径,但本文所述的所有命令都以完整的方式提供。
要获取任何 Juniper Networks 产品的技术文档,请访问
www.juniper.net/techpubs/
要获取技术支持,请使用 http://www.juniper.net/support/
中的 Case Manager 链接 打开支持案例,还可拨打电话 1-888-314-JTAC ( 美国国内 ) 或 1-408-745-9500 ( 美 国以外 )。
如果在本文档中发现任何错误或遗漏,请通过下面的电子邮件地址与我们联系 :
techpubs-comments@juniper.net
CLI 约定 7
SSG 5 硬件安装和配置指南
8 获取文档和技术支持
1

硬件概述

端口和电源连接器

本章提供了有关 SSG 5 机箱及其组件的详细说明。其中包括以下部分 :
9 页上的“端口和电源连接器”
10 页上的“前面板”
13 页上的“后面板”
本节介绍和显示内置端口和电源连接器的位置。
2: 内置端口位置
0123456
TX/RX LINK TX/RX LINK TX/RX LI NK TX/ RX L INK TX/RX LI NK TX/RX LINK TX/RX LINK
CONSOLE
10/100 10/100
10/100 10/100
控制台
10/100 10/100
10/100
0/60/50/40/30/20/10/0
POWER
STATUS
802.11A
B/ G
WLAN
SSG 5
TX /RX
CD
V.92
AUXISDN V.9 2
V.92
端口和电源连接器 9
SSG 5 硬件安装和配置指南
1 显示了 SSG 5 设备上的端口和电源连接器。
1: SSG 5 端口和电源连接器
端口 说明 连接器 速度 / 协议
0/0-0/6
USB
控制台 实现与系统之间的串行连接。用于终端仿真连接以
AUX
V. 92 调制解调器实现到服务提供商的主要互联网连接或备份互联网
ISDN
天线 A 和天线 B (SSG 5-WLAN)
通过交换机或集线器实现至工作站的直接连接或 LAN 连接。此连接也可通过 Teln et 会话或 WebUI
来管理设备。
实现与系统之间的 1.1 USB 连接。 不适用 12M ( 全速 ) 或 1.5M ( 低速 )
启动 CLI 会话。
通过外部调制解调器实现备份 RS-232 异步串行互 联网连接。
连接,或者主要不可信网络连接或备份不可信网络 连接。
可将 ISDN 线路用作不可信或备份接口。(S/T)
在无线电连接附近实现到工作站的直接连接。
RJ-45
RJ-45
RJ-45
RJ-11
RJ-45
RPSMA
10/100 Mbps 以太网 自动检测双工和自动 MDI/MDIX
9600 bps/RS-232C 串行
9600 bps - 115 Kbps/RS-232C 串行
9600 bps - 115 Kbps/RS-232 串行自动检
测双工和极性
B 信道为 64 Kbps 租用线路为 128 Kbps
802.11a ( 无线电波段为 5 GHz 时传输速 度为 54 Mbps)
802.11b ( 无线电波段为 2.4 GHz 时传输 速度为 11 M bps )
802.11g ( 无线电波段为 2.4 GHz 时传输 速度为 54 Mbps)
802.11 superG ( 无线电波段为 2.4 GHz 5 GHz 时传输速度为 108 Mbps)
前面板
系统状态
本节介绍 SSG 5 设备前面板上的以下元素 :
系统状态 LED
端口说明
LED
系统状态 LED 显示有关主要设备功能的信息。图 3 说明了 SSG 5 V.92-WLAN 设备 前面板上各状态 LED 的位置。系统 LED 根据 SSG 5 设备的版本而有所不同。
3: 状态 LED
10 前面板
启动系统后,POWER LED 从关闭状态变为闪烁绿色状态,而 STATUS LED 则按以 下顺序发生变化 : 红色、绿色、闪烁绿色。完成启动这一过程大约需要两分钟时 间。如果要在关闭系统后重新启动系统,建议在关闭之后和重新启动之前稍候几 秒。表 2 提供了各系统状态 LED 的类型、名称、颜色、状态和说明。
2: 状态 LED 说明
类型 名称 颜色 状态 说明
ISDN 设备
V. 92 设备
WLAN 设备
POWER
STATUS
CH B1
CH B2
HOOK
TX/RX
802.11A
B/G
绿色 始终为开 表示系统已通电。
表示系统没有通电。
红色 始终为开 表示设备未正常运行。
表示设备正常运行。
绿色 始终为开 表示系统正在启动或正在执行诊断。
闪烁 表示设备正常运行。
红色 闪烁 表示检测到错误。
绿色 始终为开 表示 B 信道 1 处于活动状态。
关表 B 信道 1 处于非活动状态。
绿色 始终为开 表示 B 信道 2 处于活动状态。
关表 B 信道 2 处于非活动状态。
绿色 始终为开 表示链接处于活动状态。
表示串行接口处于非服务状态。
绿色 闪烁 表示正在交换信息流。
表示没有交换信息流。
绿色 始终为开 表示已建立无线连接,但无链接活动。
闪烁 表示已建立无线连接。波特率与链接活动成
比例。
表示未建立无线连接。
绿色 始终为开 表示已建立无线连接,但无链接活动。
闪烁 表示已建立无线连接。波特率与链接活动成
比例。
表示未建立无线连接。
前面板 11
SSG 5 硬件安装和配置指南

端口说明

本节介绍以下端口的目的和功能 :
以太网端口
控制台端口
AUX 端口

以太网端口

七个 10/100 以太网端口提供了到集线器、交换机、本地服务器和工作站的 LAN 连 接。也可指定一个以太网端口来管理信息流。各端口被标记为 0/00/6。有关各 以太网端口缺省区段绑定的信息,请参阅第 24 页上的“缺省设备设置”。
配置各端口时,请参考与端口位置相对应的接口名称。前面板上从左至右,端口的 接口名称依次为 ethernet0/0ethernet0/6
4 显示了各以太网端口上 LED 的位置。
4: 活动链接 LED
LINKTX/RX
3 介绍以太网端口 LED
3: 以太网端口 LED
名称 颜色 状态 说明
LINK
TX/RX
绿色 始终为开
绿色 闪烁
端口在线。 端口离线。
信息流正在通过。波特率与链接活动成比例。 端口可能正在使用中,但并未接收数据。

控制台端口

控制台端口为 RJ-45 串行端口,将充当数据电路终端设备 (DCE),用于进行本地管 理。进行终端连接时,请使用直通电缆;连接到另一 DCE 设备时,请使用交叉电 缆。提供了 RJ-45 DB-9 适配器。
12 端口说明
有关 RJ-45 连接器插脚引线的信息,请参阅第 43 页上的“连接器”。
后面板

AUX 端口

辅助 (AUX) 端口为 RJ-45 串行端口,将充当数据终端设备 (DTE),通过将其连接到调 制调解器可实现远程管理。建议不要将此端口用于进行日常远程管理。通常将 AUX 端口指定为备份串行接口。可以调节波特率,范围从 9600 bps 115200 bps,并 且需要使用硬件流程控制。连接到调制解调器时,请使用直通电缆;连接到另一 DTE 设备时,请使用交叉电缆。
有关 RJ-45 连接器插脚引线的信息,请参阅第 43 页上的“连接器”。
本节介绍 SSG 5 设备后面板上的以下元素 :
电源适配器
无线电收发器
接地片
天线类型
USB 端口

电源适配器

注意 :
SSG 5-WLAN 设备有天线连接器。
5: SSG 5 设备的后面板
天线 B
USB
LOCK
主机模块
RESET
重置 针孔
USB
接地片
DC POWER
B A
5V A4
SD FLASH
电源 适配器
天线 A
设备前面板上的 POWER LED 呈绿色或为关闭状态。绿色表示运行正常,关闭表示 电源适配器故障或设备处于关闭状态。
后面板 13
SSG 5 硬件安装和配置指南

无线电收发器

接地片

天线类型

SSG 5-WLAN 设备包含两个具有无线连通性的无线电收发器,这些收发器支持
802.11a/b/g 标准。第一个收发器 (WLAN 0) 使用 2.4 GHz 无线电波段,它在传输速
度为 11 M bp s 时支持 802.11b 标准,在传输速度为 54 Mbps 时支持 802.11g 标 准。第二个无线电收发器 (WLAN1) 使用 5 GHz 无线电波段,它在传输速度为 54 Mbps 时支持 802.11a 标准。两个无线电波段可以同时使用。有关配置无线电波段 的信息,请参阅第 30 页上的“基本无线配置”。
机箱后部提供一个单孔接地片,可使用此接地片将设备接地 ( 请参阅图 5)
要在连接电源前将设备接地,请将接地电缆连接到地面,然后将电缆连接到机箱后 部的接地片上。
SSG 5-WLAN 设备支持三种类型的定制无线电天线 :
USB
端口
分集天线 - 分集天线可提供 2dBi 定向覆盖,并且覆盖区域内的信号强度电平
相当均衡,适合大部分安装。设备随带有此类天线。
外部全向天线 - 外部天线可提供 2dBi 全向覆盖。与成对运行的分集天线不
同,外部天线用于消除某些时候在使用两个天线时由信号的些微延迟特性所产 生的回波效应。
外部定向天线 - 外部定向天线可提供 2dBi 单向覆盖,适合安装在诸如走廊和
外墙之类的位置 ( 天线朝内 )
SSG 5 设备后面板上的 USB 端口接受安装有袖珍闪存盘的通用串行总线 (USB) 存储
规格
设备或 USB 存储设备适配器 ( 如 CompactFlash 协会发布的 CompactFlash 所定义 )。安装和配置 USB 存储设备后,它会在主袖珍闪存盘无法启动时自动充当 第二启动设备。
USB 端口允许文件在外部 USB 存储设备与安全设备中的内部闪存之间传输各种数 据,如设备配置、用户证书和更新版本映像等信息。USB 端口在低速 (1.5M) 或全 速 (12M) 文件传输时均支持 USB 1.1 规格。
要在 USB 存储设备和 SSG 5 之间传输文件,请执行以下步骤 :
1. USB 存储设备插入安全设备上的 USB 端口中。
文件名
2. 使用 save {software | config | image-key} from usb
将文件从 USB 存储设备保存到设备的内部闪存中。
to flash CLI 命令
14 后面板
3. 取出 USB 存储设备前,使用 exec usb-device stop CLI 命令停止 USB 端口。
4. 现在可安全取出 USB 存储设备。
文件名
如果要从 USB 存储设备删除文件,请使用 delete file usb:/
如果要查看 USB 存储设备或内部闪存上保存的文件信息,请使用 get file CLI 命令。
CLI 命令。
2

安装和连接设备

本章介绍如何安装 SSG 5 设备以及如何将电缆和电源连接到本设备。其中包括以下 各节 :
16 页上的“准备工作”
16 页上的“安装设备”
17 页上的“将接口电缆连接到设备”
18 页上的“连接电源”
18 页上的“将设备连接到网络”
注意 :
有关安全警告和说明,请参阅 Juniper Networks Security Products Safety Guide。在 使用任何设备之前,应注意由电路引发的危险以及熟悉标准操作以防止意外事故 的发生。
15
SSG 5 硬件安装和配置指南

准备工作

机箱位置、安装设备的布局以及布线间的安全对于系统的正常运行而言均至关 重要。
警告 : 为防止未经授权人员的误用和侵入,应将 SSG 5 设备安装在安全的环境中。
遵守以下预防措施可防止出现关机、设备故障以及人身伤害 :
安装前,请务必确定此设备电源与任何电源断开连接。
确保运行设备的房间保持良好的通风状况,并且室温不超过 104 °F (40 °C)
请勿将设备放置在会阻塞设备进气口或排气口的设备机架中。确保封闭式机架
具有风扇且各面装有百叶窗板。

安装设备

注意 :
注意 :
执行任何安装前,请改善并消除以下危险状况 : 地面潮湿、存在渗漏、电缆未
接地或已磨损,或者未进行安全接地。
可以前置安装、壁式安装或桌面安装的方式安装 SSG 5 设备。可单独购买安装 套件。
要安装 SSG 5 设备,您需要一个 2 号十字螺丝起子 ( 未提供 ) 和若干与设备机架相 匹配的螺丝 ( 已包括在套件中 )。
安装设备时,请确保可将此设备连接到电源插座。
要以机架安装的方式安装 SSG 5 设备,请执行以下步骤 :
1. 用十字螺丝起子松开底盘的安装支架。
拥有可选天线的 SSG 5-WLAN 用户必须移除现有的天线,然后通过侧孔连接新的 天线。
2. 将设备底部和底盘的基准孔对齐。
16 准备工作
3. 前拉设备将其锁入底盘的基准孔里。
4. 使用螺丝将安装支架连接到设备和底盘上。
5. 将电源放入电源支架,然后将电源适配器插入设备。
6. 要安装第二个 SSG 5 设备,请重复步骤 1 5,然后继续。
6: SSG 5 机架安装
电源支架
电源支架
7. 使用提供的螺丝将底盘安装到机架上。
8. 将电源插入电源插座。
要以桌面安装的方式安装 SSG 5 设备,请执行以下步骤 :
1. 将桌面支架安装到设备一侧。建议使用靠近电源适配器的一侧。
2. 将装有桌面支架的设备放置在桌面上。
7: SSG 5 桌面安装
3. 插入电源适配器,并将电源连接到电源插座。

将接口电缆连接到设备

要将接口电缆连接到设备,请执行以下步骤 :
1. 准备一段适用于接口的电缆。
2. 将电缆连接器插入设备的电缆连接器端口中。
3. 按以下方式排列电缆以防止其移动或成为受力点 :
a. 固定电缆,使其在悬挂到地板时不用承受其自身的重量。
b. 将多余电缆整齐地盘绕成圆环状。
c. 将紧固件放在环上以保持其形状。
将接口电缆连接到设备 17
SSG 5 硬件安装和配置指南

连接电源

将设备连接到网络

要将电源连接到设备,请执行以下步骤 :
1. 将电缆的 DC 连接器端插入设备后面的 DC 电源插座。
2. 将电缆的 AC 适配器端插入 AC 电源。
警告 : 建议将电涌保护器用于电源连接。
当将 SSG 5 设备放置在内部网络和不可信网络之间时,它可为网络提供防火墙和通 用安全保障。本节介绍以下内容 :
将设备连接到不可信网络
将设备连接到内部网络或工作站

将设备连接到不可信网络

可通过以下方法中的一种将 SSG 5 设备连接到不可信网络 :
以太网端口
串行 (AUX/ 控制台 ) 端口
WA N 端口
8 显示了带有基本网络电缆连接的 SSG 5,其中 10/100 以太网端口的电缆连接 方式如下 :
将标记为 0/0 的端口 (ethernet0/0 接口 ) 连接到不可信网络。
将标记为 0/1 的端口 (ethernet0/1 接口 ) 连接到 DMZ 安全区段中的工作站。
将标记为 0/2 的端口 (bgroup0 接口 ) 连接到 Tr ust 安全区段中的工作站。
将控制台端口连接到串行终端以进行管理访问。
18 连接电源
Loading...
+ 42 hidden pages
Buy Points How it Works FAQ Contact Us Questions and Suggestions Privacy Policy Cookie Policy Terms of Use