博客地址 Juniper 培 Proprietary1博客地址 課程目策略:地址、服務、時間、流 、認證會話控制、日地址分支機構、移動辦公,安全連入 Proprietary 郵件訂閱 博客地址 一、安全策策略的組地服動日流量統認源地址＆目的地地地址服預定義服 務

動會話控日高級選時間、流量控制/統計、認 Proprietary 郵件訂閱 博客地址 創建策略WebUI

選擇From與To源＆目的地服通過下拉菜單選定的服行允許 ,安全隧日 Proprietary 郵件訂閱 博客地址 認證，流量控制、統認流量統流量控 Proprietary 郵件訂閱 博客地址 重點：流量控制，認針對不同的服務或，保證其帶重要資源要 認 Proprietary 郵件訂閱 博客地址 安全策略的順新策略加載在在所有策略的末尾有隱含的denyall的策順序非常重要，改變策略的順序會影響 Proprietary 郵件訂閱 博客地址 利 實現地址綁公司內部員工隨意更改IP地址，導致地外來人員隨意接 Proprietary 郵件訂閱 博客地址 實現MAC綁定功能需要三個步1、強迫執行ARP目地IP掃描：setarpalways-2、作ARP靜態綁定：setarp0002b34896fc3、設置一個地址組group，它只包含做MC地址綁定的那些地址。然后設置一個策略，只讓這個地址組group通過。注：此功能只能通過命令行來實現。 Proprietary 郵件訂閱 博客地址 IPMAC綁定圖net到接 Proprietary 郵件訂閱 博客地址 應的應用說 設備的應用模式較多，包括：基于策略的、基于路由的，集中星形和背靠背等。在這里，我們主要介紹最常用的模式：策略。首先，如何配置兩種策 ，一種是點對點 冗余 Proprietary 郵件訂閱 博客地址 靜態對靜 配

分

總

IKE Proprietary 郵件訂閱 博客地址 總部A與分部C之間的Siteto總部A部分的Siteto 設Gateway的設策略分部C部分的Siteto 設Gateway的設策略Coprt

Proprietary 郵件訂閱 博客地址 總部AGateway的設對 設備的網Copr

Proprietary 郵件訂閱 博客地址 總部AGateway的設共共享密鑰雙方必選 通道的出Copr

Proprietary 郵件訂閱 博客地址 總部AGateway的設

Copr

Proprietary 郵件訂閱 博客地址 總部A 配義的IKEGatewayCopr

Proprietary 郵件訂閱 博客地址 總部A 配 Copr

Proprietary 郵件訂閱 博客地址 總部 策略的設Action選擇選選擇A到CCopr

Proprietary 郵件訂閱 博客地址 分部CGateway的設對 設備的網Coprih

Proprietary 郵件訂閱 博客地址 分部CGateway的設共共享密鑰雙方必須一選 通道的出Copriht

Proprietary 郵件訂閱 博客地址 分部CGateway的設 Copri2ht

Proprietary 郵件訂閱 博客地址 分部C 配義的IKEGatewayCopri3ht

Proprietary 郵件訂閱 博客地址 分部C 配

Copri4ht

Proprietary 郵件訂閱 博客地址 分部 策略的設選擇選擇C到ACopriht Proprietary 郵件訂閱 博客地址 Trust分

基本與靜態對靜 設置內容一網關（LOCALIKE安全策略 Proprietary 郵件訂閱 博客地址 動態對靜 配置移動用總

撥號地址對象+網關IKE

Proprietary 郵件訂閱 博客地址 L2TP客戶總部A的ERP服務L2TPUser設定—設定L2TP用戶名L2TPTunnel的設安全策Windows客戶端的設Copriht

Proprietary 郵件訂閱 博客地址 配置L2TP設設定用設分配給L2TP用戶的地Coprih

Proprietary 郵件訂閱 博客地址 配置L2TP選擇L2TP用選選擇Tunnel的接Coprih

Proprietary 郵件訂閱 博客地址 L2TPTunnel策略的設源源地址選擇Dial-（系統自定義ActionAction選擇選擇L2TPCopriht

Proprietary 郵件訂閱 博客地址 Windows客戶端的配置Copri2ht

Proprietary 郵件訂閱 博客地址 Windows客戶端的配置Copri3ht

Proprietary 郵件訂閱 博客地址 Windows客戶端的配置Copri4ht

Proprietary 郵件訂閱 博客地址 Windows客戶端的配置Copri5ht

Proprietary 郵件訂閱 博客地址 Windows客戶端的配置Copri6ht

Proprietary 郵件訂閱 博客地址 Windows客戶端的配置Copri7ht

Proprietary 郵件訂閱 博客地址 Windows客戶端的配置Copriht Proprietary 郵件訂閱 博客地址 注意用戶所在的內部網絡不能 Gateway內部網相同的子網在WindowsXP/2003創建一條 在windowsXP下面要修 表開始/運行/regedit.exe，找到下新增或修改ProhibitIpSec的值為1重啟計算機 Proprietary 郵件訂閱 博客地址 IPsec軟件客戶總部A的ERP服務Dial-upUser設定Gateway設安全NetscreenRemote客戶端的Coprh

Proprietary 郵件訂閱 博客地址 配置Dial-up設置IKE設定其它值會導致異客戶端也須配置兩者一Coprt

Proprietary 郵件訂閱 博客地址 配置 IKEPhase選擇dialupuser，并在對拉菜單選擇我們剛才設定的用設設置共享密鑰，客戶端也設置相同的值（最少8位Copr

Proprietary 郵件訂閱 博客地址 配置 IKEPhase注意dial- 使 并做UDPChecksum檢查Copr

Proprietary 郵件訂閱 博客地址 配置IKEPhase定義的IKECopr

Proprietary 郵件訂閱 博客地址 配置 IKEPhaseCopr

Proprietary 郵件訂閱 博客地址 總部 策略的設源源地址選擇Dial-（系統自定義ActionAction選擇選選擇Copr

Proprietary 郵件訂閱 博客地址 Netscreen 客戶端的 取名后，點中 。Copr

Proprietary 郵件訂閱 博客地址 Netscreen 客戶端的配Identity進行設Copr

Proprietary 郵件訂閱 博客地址 Netscreen 客戶端的配選中進。在SelectPhase1擇AggressiveMode中Phase2選擇的不同，選擇是否使PFSCopr

Proprietary 郵件訂閱 博客地址 Netscreen 客戶端的配進行Phase1的Coprih Proprietary 郵件訂閱 博客地址 Netscreen 客戶端的配進行Phase2的中Phase2Proposal的選擇，選擇一致的選Copriht Proprietary 郵件訂閱 博客地址 介 網關首先它是一種基于B/S架 SSL比較適合用于移動用戶的接入(-Site)，而IPSec則在網對網(Site-Site)的連接中具備優勢。 Proprietary 郵件訂閱 博客地址 與 區1、IPsec 道可 Firewall;而IPSec客戶端需要支持 Proprietary 郵件訂閱 博客地址 與 區4、SSL只需要中心節點的網關設備，客戶端免，降低了部署和支持費用。而IPSec需要管理通訊的每個節點，專業性較強。5、SSL更容易提供細粒度控制，可以對用與第認證系統(如:radius、AD等)結合更加便捷。而IPSec主要基于IP五元組對用戶進行控制。 Proprietary 郵件訂閱 博客地址 接 RAS接入不需要對原有的網絡