juniper *** 建立

sweli

　　Juniper防火墙的建立IPsec ***
　　Juniper的防火墙基本都集成了***功能，***功能是企业网络非常常用的功能，建立***后可以确保数据传输的安全性。这里就介绍一下Juniper防火墙配置两端都是固定IP的IPsec ***的步骤，关于IPsec ***的介绍可以参考 [IPSec ***的详细介绍。]
在左侧的菜单栏下***菜单可以看到配置***需要用到的一些配置元素1、建立***网关首先需要在 ***s > AutoKey Advanced > Gateway 下新建一个***网关，如下图所示，这个界面下我已经建立了多个***网关，这台Juniper防火墙是放在上海的办公室的，需要和北京的办公室建立一个IPsec ***。其中“Peer Type”表示***的类型，Dialup是拨号***，Dynamic是一端是动态地址的***，static是两端都是固定IP的***。Gateway name 起个容易记得住的名称，因为如果***多了就分部清是到哪里的***网关了Remote gateway 填远端防火墙的外网IP地址Dynamic IP Address 如果对端是adsl拨号这样的动态IP，需要填写远端的Peer>点击advanced进入高级设置：Preshared Key 这是预设共享密钥，非常重要，***建立时验证使用的，两端要保持一致local>Outgoing Interface 这是指定出口的接口，一半来说是Untrust接口，截图是在编辑模式，因此不能修改，在新建模式是可以选择接口的。Security Level 安全等级可以自定义，前提是两边防火墙选择的加密方式要一致，我这边图省事，使用的是默认设置。Mode (Initiator) 连接模式我这边选择的是 Aggressive （野蛮模式），这个模式建立***连接的速度比较快。接下来的参数全部选择默认就可以了。 2、建立autokey IKE建立好gateway之后，接下来就可以在***s > AutoKey IKE 下建立一个AutoKey IKE*** Name 随便起，自己分的清就行了Remote Gateway  选择前面设置的***网关名称接下来进入高级设置高级设置也没什么高级的，只要选择一下Security Level 二次验证的加密方式就行了。3、建立*** Policy接下来就需要设置一条策略允许***建立连接访问在policy界面下选择从Untrust 到 Trust建立一条心策略Source Address 源地址为远端内网网段Destination Address 目的地址为本地网段Action 选择 Tunnel，也就是走***隧道Tunnel 选择你建立的IKEModify matching bidirectional *** policy  打上钩，就是同时建立一条反向策略，允许***两端互访。4、建立发起IPsec ***连接及查看状态这样IPsec ***的一端已经设置好了，再在对端做相同的设置。***的建立需要有数据通信才会建立，如果两边都是固定IP，ping一下对端的内网网关，如果一端是动态IP的话就必须从动态IP端发起连接才能顺利建立IPsec ***的连接。没设置错的话一条IPsec ***就建立起来了。在 ***s > Monitor Status 界面下可以看到***的状态　　出至：http://www.liusuping.com/juniper/Juniper-ipsec-***-setting.html