強化Juniper SRX (Junos OS) 遠端管理SSH、https的安全性

強化Juniper SRX (Junos OS) 遠端管理SSH、https的安全性

關於從遠端來管理Juniper SRX網路設備，我們可以使用telnet、ssh、http、https四種服務來達成。

但是其中telnet、http兩種服務在傳輸資料時採用明文傳輸的方式，並未對傳輸資料內容進行加密的動作，也就是網路駭客可透過簡單的網路封包監聽的軟體，就能取得您的SRX設備的超級管理員之帳號密碼，所以我們強烈建議您在進行遠端管理時千萬不要使用telnet、http這兩種服務，而是使用會對傳輸資料內容進行加密動作的ssh、https兩種服務。

但即使我們使用了加密的ssh、https服務來進行遠端管理，卻仍然不夠安全，SRX網路設備出廠時的配置是為了方便使用者來進行初始化設定而設計的，乃是最基本的設定，所以我們還要進一步的強化安全方面的設定，以降低被駭客入侵的風險。

強化Juniper SRX設備https的使用安全(Harden https)

我們會進行以下的設定：

l   變更https服務的預設端口號碼(port number)，以避免駭客能直接登入設備進行暴力密碼破解。

l   限定能管理設備的介面(interface)，如果wan介面是ge-0/0/0.0，建議不要加入設定之中，最好是透過vpn來進行遠端管理(後面會敘述)安全性較佳，若非要透過wan介面來使用https，則勢必要強化Juniper SRX (Junos OS) 帳戶登入安全，並給root帳戶設定一個超級強悍的密碼(千萬不要使用root帳戶來進行遠端管理)，以及 建立自訂的帳戶類別(login class)，建立遠端管理專用帳戶，給予適當及有限的管理權限，只使用遠端管理專用帳戶來進行設備遠端管理，這樣即使帳號被破解，駭客也只能擁有有限的管理權限，而不是全面淪陷。

l   限定閒置15分鐘後就切斷連線(要重新登入，避免暫時離開座位後被有心人趁機入侵)。

l   限制連接總數以保留資源並降低拒絕服務（DoS）的可能性。本例限定同時只能有兩個用戶能利用https服務來登入設備(可根據能登入設備人員的數量來設定)。

光是變更https的預設端口號碼還不夠安全，我們還要搭配下列命令才行：

TCP探測 (TCP Reset (RST) Packets)

攻擊者為了探測目標網絡設備的埠打開範圍和狀態，可以發送大量的TCP-SYN連接請求，通過查看網絡設備的回覆信息來知曉埠打開情況。

在高強度掃描的情況下，網絡設備的負載會增加，並造成DOS攻擊。

*** 配置JUNOS對未開啟的埠不回復TCP-RST，從而讓攻擊者無法知曉此埠是否開啟。***

在這裡，讓我們使用下列的CLI命令：

set system internet-options no-tcp-reset drop-all-tcp

CLI命令列之設定檔

set system services web-management https port 11443

set system services web-management https system-generated-certificate

set system services web-management https interface [ vlan.0 fe-0/0/7.0 ]

set system services web-management session idle-timeout 15

set system services web-management session session-limit 2

commit

J-Web階層式展開之設定檔

system {

    services {

        web-management {

            https {

                port 11443;

                system-generated-certificate;

                interface [ vlan.0 fe-0/0/5.0 fe-0/0/6.0 fe-0/0/7.0 ];

            }

            session {

                idle-timeout 15;

                session-limit 2;

            }

        }

    }

}

下列為J-Web網頁管理的設定選項及說明：

root@srx100-a# set system services web-management ?

Possible completions:

+ apply-groups         Groups from which to inherit configuration data

+ apply-groups-except  Don't inherit configuration data from these groups

> control              Control of the web management process

> http                 Unencrypted HTTP connection settings

> https                Encrypted HTTPS connections

  management-url       URL path for web management access

> session              Session parameters

> traceoptions         Web management trace options

下列為J-Web網頁管理https的設定選項及說明：

[edit]

root@srx100-a# set system services web-management https ?

Possible completions:

  <[Enter]>            Execute this command

+ apply-groups         Groups from which to inherit configuration data

+ apply-groups-except  Don't inherit configuration data from these groups

+ interface            Interfaces that accept HTTPS access

  local-certificate    X.509 certificate to use (from configuration)

  pki-local-certificate  X.509 certificate to use (from PKI local store)

  port                 TCP port for incoming HTTPS connections (1..65535)

  system-generated-certificate  X.509 certificate generated automatically by system

  |                    Pipe through a command

下列為J-Web網頁管理https關於seession的設定選項及說明：

 [edit]

root@srx100-a# set system services web-management session ?

Possible completions:

+ apply-groups         Groups from which to inherit configuration data

+ apply-groups-except  Don't inherit configuration data from these groups

  idle-timeout         Default timeout of web-management sessions (minutes)

  session-limit        Maximum number of web-management sessions to allow (1..7)

[edit]

root@srx100-a#

強化Juniper SRX設備遠端管理SSH的安全性 (Harden SSH)

Secure Shell（SSH）是一種網絡協議，允許使用安全通道在設備之間交換數據。 SSH被設計為替代Telnet和其他不安全的訪問協議。

使用SSHv2是因為SSHv1中存在固有的設計缺陷，這使得它容易受到中間人攻擊。

SSHv2協議套件包括可用於安全檔傳輸的第7層協議，如SCP和SFTP。

set system service ssh protocol-version v2

拒絕root用戶SSH訪問。 當啟用SSH時，所有配置的用戶將能夠訪問該設備; 這包括默認的root帳戶。

不禁用root用戶SSH訪問會存在兩個問題：

1. root帳戶是最強大的帳戶，必須存在於每個Junos設備上。 當有人試圖通過密碼暴力破解訪問設備時，他們需要猜測一個有效的用戶名和密碼。 而若不禁用SSH的root訪問權限，駭客只需要猜測密碼即可，這樣可以將他們的工作減半。

2. root帳戶與登錄級別沒有關聯，因此它不會因不活動而被註銷。

set system service ssh root-login deny

限制連接總數以保留資源並降低拒絕服務（DoS）的可能性，預設75，範圍1-250。

set system service ssh connection-limit 3

限制每分鐘登錄次數以保留資源並降低拒絕服務（DoS）的機率，預設150，範圍1-250。

set system service ssh rate-limit 10

set system services ssh client-alive-count-max 6

set system services ssh client-alive-interval 5

當會話由正常管理員註銷而終止時，Juniper SRX會使當前內容無法讀取，並且會話中不會發生用戶活動。 但是，異常終止或通信丟失並不表示會話終止，因此必須配置保持活動的計數(keep-alive count)和間隔(interval)，以便設備知道何時與客戶端通信不再可用。

client-alive-interval

一個超時時間間隔（以秒為單位），在如果沒有從客戶端收到數據之後，sshd將通過加密通道發送消息以請求來自客戶端的響應。 該選項僅適用於SSH protocol version 2。 與client-alive-count-max一起使用以斷開無響應的SSH客戶端。預設值0，Range: 1 - 65535。

client-alive-count-max

設定client alive messages的數量，無需sshd從客戶端接收任何消息。 如果發送的client alive messages數量達到此閾值，則sshd將斷開客戶端，終止會話。 客戶端活動消息通過加密通道發送。 與client-alive-interval一起使用來斷開無響應的SSH客戶端。預設值3，Range: 0 - 255。

rate-limit

配置每種系統服務（finger，ftp，ssh，netconf ssh，telnet，tftp-server，xnm-clear-text或xnm-ssl）的每分鐘允許連接之會話嘗試次數，預設150，範圍1-250。

connection-limit

配置每種系統服務（finger，ftp，ssh，telnet，xnm-clear-text或xnm-ssl）的最大連接會話數，預設75，範圍1-250。

配置SSHv2，AES密碼(AES ciphers)和密鑰交換命令(key-exchange commands)以保護非本地會話的機密性。

密鑰交換命令將密鑰交換限制為FIPS和DoD認可的方法。

set system services ssh ciphers aes256-ctr

set system services ssh ciphers aes256-cbc

set system services ssh ciphers aes192-ctr

set system services ssh ciphers aes192-cbc

set system services ssh ciphers aes128-ctr

set system services ssh ciphers aes128-cbc

set system services ssh key-exchange dh-group14-sha1

set system services ssh key-exchange group-exchange-sha2

set system services ssh key-exchange ecdh-sha2-nistp256

set system services ssh key-exchange ecdh-sha2-nistp384

set system services ssh key-exchange ecdh-sha2-nistp521

為了保護非本地維護會話的完整性，必須配置帶有用於完整性檢查的MAC演算法的SSHv2。

實施針對特權帳戶(privileged accounts)的網絡訪問的防重播(replay-resistant)身份驗證機制(authentication mechanisms)。

重播攻擊(replay attack)可能會導致未經授權的用戶訪問應用程式。

set system services ssh macs hmac-sha2-512

set system services ssh macs hmac-sha2-256

set system services ssh macs hmac-sha1-96

以下之設定可在PuTTY上執行(強大的安全性設定也要用戶端軟體能支持才有作用)。

set system services ssh key-exchange group-exchange-sha2

set system services ssh ciphers aes256-cbc

set system services ssh macs hmac-sha1-96

如何配置只有特定的IP地址才能對SSH進行訪問，並禁止其他的IP地址來訪問SSH?

環回接口(loopback interface)所需的最低配置：:

set interfaces lo0 unit 0 family inet 

展示防火牆過濾器(firewall filter)的配置。

user@switch# run show configuration |display set |match fire

set firewall family inet filter 1 term 1 from source-address 10.1.1.10/32

set firewall family inet filter 1 term 1 from source-address 40.1.1.10/32

set firewall family inet filter 1 term 1 from destination-port ssh

set firewall family inet filter 1 term 1 then accept

set firewall family inet filter 1 term 2 from source-address 0.0.0.0/0

set firewall family inet filter 1 term 2 from destination-port ssh

set firewall family inet filter 1 term 2 then discard

set firewall family inet filter 1 term 3 then accept

將過濾器應用於環回接口：

set interfaces lo0 unit 0 family inet filter input 1

Juniper SRX變更Change ssh port

因為Juniper SRX設備並沒有直接變更ssh 預設端口(port)的命令，所以我們是利用destination NAT的功能，將連入防火牆WAN IP 33322端口(port)的連線，轉接到防火牆內部介面lo0 (loopback介面)的22端口之上，這是只屬於wan端的網路安全防護。

在Juniper設備上，lo0接口設計比較巧妙，它除了大家知道例如router-id，或者永不down的接口等常用功能以外，它也是通往路由引擎的特殊通道。同時它也能跟一般的介面(Interfaces)一樣，可以在介面上設定管理功能，好方便我們來管理設備。

光是變更ssh 預設端口號碼還不夠安全，我們還要搭配下列命令才行：

TCP探測 (TCP Reset (RST) Packets)

攻擊者為了探測目標網絡設備的埠打開範圍和狀態，可以發送大量的TCP-SYN連接請求，通過查看網絡設備的回覆信息來知曉埠打開情況。

在高強度掃描的情況下，網絡設備的負載會增加，並造成DOS攻擊。

*** 配置JUNOS對未開啟的埠不回復TCP-RST，從而讓攻擊者無法知曉此埠是否開啟。***

在這裡，讓我們使用下列的CLI命令：

set system internet-options no-tcp-reset drop-all-tcp

Junos OS的不可路由地址（Martian Addresses）

JUNOS軟體內部設定了一些不可路由位址，用來作為保留的主機位址或者網路位址，他們的路由選擇資訊預設是被忽略的。也就是說當您為介面設定了不當的IP位址時(例如Martian Addresses)，您會發現您的IP沒有反應，無法接觸，彷彿不存在一般。

而JUNOS軟體預設有一些IPV4地址被設定為不可路由地址(martian addresses)，我們在為介面設定IP位址時應該注意下，以免您設定了一個無法使用的ip地址，預設的不可路由地址內容如下：

     * 0.0.0.0/8

     * 127.0.0.0/8

     * 128.0.0.0/16

     * 191.255.0.0/16

     * 192.0.0.0/24

     * 223.255.255.0/24

     * 240.0.0.0/44

在開始敘述如何進行變更ssh WAN port的設定之前的注意事項：

====================================================================

由於每個人的設定環境皆不相同，為了避免有設定上的衝突，因此設計了下列之命令讓大家進行設備測試的初始化設定，設定前記得要先將原來的配置先備份好，待測試完成再恢復原來的配置。

請複製下列11行的命令，並一次全部貼到CLI配置模式中。

load factory-default

delete system autoinstallation

set system host-name srx100

set interfaces fe-0/0/0 unit 0 family inet dhcp

delete system name-server

set system name-server 168.95.1.1

set system name-server 168.95.192.1

set system root-authentication plain-text-password

set system login user admin authentication plain-text-password

commit

關於指令解說請參考下列之網路連結：

Juniper SRX初始化安裝(CLI模式)

load set terminal

工具： load set terminal （載入set命令的配置，如果有語法錯誤會立即提醒）

load set terminal 是一個批量添加配置的工具，相比逐個命令複製粘貼，批量添加的好處是配置清晰明瞭。可以一目了然地發現錯誤的參數，尤其是在配置行數特別多的情況下，非常方便工程師查錯。它還有其他孿生兄弟，例如：load merge terminal，load patch terminal等。具體大家可以查閱Juniper文檔。

        load set terminal 並不適合執行需要跟使用者互動的命令，例如set system root-authentication plain-text-password命令，此命令在執行之後需要您手動輸入兩次密碼來完成設定，load set terminal碰到此命令時會忽略跟使用者互動的命令，直接執行下一個命令，所以您的密碼設定並未完成。

        load set terminal執行後會進入一空白列並等待您貼上一片待執行的命令，當您將所有的命令貼完後，必須在新的一行空白列上按Ctrl + D鍵來結束輸入並跳回CLI配置模式中，這時我們可以輸入show | compare命令來檢查輸入的內容是否有誤，或是執行commit check來檢查錯誤，若沒有問題則可以執行commit命令來提交命令。

------ 若要將命令複製到load set terminal之中請從下列藍色的命令開始複製。 ------

若您的設備並非Juniper SRX100，則請您變更相關介面名稱的設定，例如將fe-0/0/0.0改成ge-0/0/0.0。

若您已進行上述設備初始化設定之配置，則您可以將下面7小段的設定全部貼入load set terminal之中

====================================================================

在進行過初始化環境設定之後，我們就開始敘述該如何進行變更ssh WAN port的設定，只要您將標示為(必要)的命令列內容複製到CLI命令列中即可，其他的可當作參考：

只開放使用https、ssh服務從wan介面來遠端管理設備。(建議)

delete interfaces fe-0/0/0 unit 0 family inet

set interfaces fe-0/0/0 unit 0 family inet address 192.168.168.106/24

set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services dhcp

set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services ssh

set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services https

set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services ping

set system services web-management https interface fe-0/0/0.0

commit

設定超級用戶admin使用免密碼登入。(參考)

set system login user admin class super-user

set system login user admin authentication ssh-rsa "ssh-rsa UGGzRaM4UAqM59cvwEtQkbaS+T0RG909k7z4rJP0Vy0965MRhOsVNOzPk3qBzxyo/Siqr5EV3sBb9KFjc/4TnoM7eqaY08eY1PE48kdavlKoBabQ==UGGzRaM4UAqM59cvwEtQkbaS+T0RG909k7z4rJP0Vy0965MRhOsVNOzPk3qBzxyo/Siqr5EV3sBb9KFjc/4TnoM7eqaY08eY1PE48kdavlKoBabQ==UGGzRaM4UAqM59cvwEtQkbaS+T0RG909k7z4rJP0Vy0965MRhOsVNOzPk3qBzxyo/Siqr5EV3sBb9KFjc/4TnoM7eqaY08eY1PE48kdavlKoBabQ== rsa-key-20180413"

commit

關於免密碼登入的說明請參考下列之網路連結：

如何用PuTTY建立SSH連線來免密碼登入Juniper SRX100/210設備

強化ssh安全。(建議)

set system services ssh root-login deny

set system services ssh protocol-version v2

set system services ssh ciphers aes256-cbc

set system services ssh macs hmac-sha1-96

set system services ssh key-exchange group-exchange-sha2

set system services ssh hostkey-algorithm ssh-rsa

set system services ssh connection-limit 3

set system services ssh rate-limit 3

commit

loopback介面lo0相關設定：(必要)

set interfaces lo0 unit 0 family inet address 192.168.68.168/24

set security zones security-zone mgmt address-book address lo0-ip 192.168.68.168/32

set security zones security-zone mgmt interfaces lo0.0 host-inbound-traffic system-services ssh

set security zones security-zone mgmt interfaces lo0.0 host-inbound-traffic system-services https

刪除不安全的設定：(參考)

delete security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services http

delete security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services telnet

delete system services web-management http

delete system services telnet

destination NAT相關的設定：(必要)

set security nat destination pool mgmt-ssh address 192.168.68.168/32

set security nat destination pool mgmt-ssh address port 22

set security nat destination rule-set change-ssh-port from zone untrust

set security nat destination rule-set change-ssh-port rule ssh-change-port match source-address 0.0.0.0/0

set security nat destination rule-set change-ssh-port rule ssh-change-port match destination-address 192.168.168.106/32

set security nat destination rule-set change-ssh-port rule ssh-change-port match destination-port 33322

set security nat destination rule-set change-ssh-port rule ssh-change-port then destination-nat pool mgmt-ssh

設定策略在lo0介面開放ssh、https連入。(必要)

set security policies from-zone untrust to-zone mgmt policy lo0-allow-ssh match source-address any

set security policies from-zone untrust to-zone mgmt policy lo0-allow-ssh match destination-address lo0-ip

set security policies from-zone untrust to-zone mgmt policy lo0-allow-ssh match application junos-ssh

set security policies from-zone untrust to-zone mgmt policy lo0-allow-ssh then permit

除了以上之設定之外，我們還可以搭配其他方法來加強SSH之安全性，請參考下列之網路連結。

強化Juniper SRX (Junos OS) 帳戶登入安全

Juniper SRX (Junos OS) 建立自訂的帳戶類別(login class)

Juniper SRX (Junos OS) 使用Firewall Filter來限制只有特定的IP才能管理設備

JuniperSRX網路設備的安全配置和操作

關於從遠端管理Juniper SRX網路設備的補充

        花了大把的力氣，好好的為了強化SSH安全性努力了一番，強化了SSH通信安全、帳戶登入安全、連線安全，並改變WAN介面的SSH預設port，難道這樣就真的一定安全了嗎?其實答案並非絕對的，還要根據您的需求(就軍方的安全需求而言，其使用的是封閉的實體網路，完全不跟公眾網路Internet有任何連結的。)，以及您的安全使用習慣來決定(就算您的網路安全規劃嚴謹，人為疏失仍然是安全上的一大漏洞)。

        畢竟在WAN端多開一個遠端管理port，就會多增加一個風險因素，難保哪一天ssh被人破解了(就好像是無線網路的wpa2/psk協議被人破解一般)，忽然之間變的不安全了，或是系統的Bug被駭客破解了，讓駭客可以輕易的從ssh入侵網路設備等，所以更安全的方式是不要在WAN端開啟任何能夠遠端管理網路設備的服務(就算有需要，也要使用權限較低的帳戶來遠端登入管理設備，從而降低從遠端管理網路設備的風險。)。

    那我們又要如何在WAN端不開放遠端管理服務的情況下來遠端管理設備呢?我們可以利用VPN連線來達成這個需求。透過VPN連線來進入網路內部，然後再從網路內部來管理網路設備，畢竟加密良好的VPN，其安全性遠高於SSH連線。

        駭客是無所不在的，其能力也是無遠弗屆的，畢竟連美國白宮的網站都能被駭了，那還有什麼是駭客做不到的呢?所以網路安全也是我們大家需要不斷去加強的課題，只是... 問題是... ，若是只有3個人的小家庭，在家偶而上上網、打打網遊而已，我們還要這麼努力嗎? 嗯，還是看需求吧! 若您非常在意個人隱私，或是有意成為網路工程師，那您就有這個需求的。

下面示範如何利用VPN連線來管理網路設備。

環境說明：兩台設備Juniper SRX100及Juniper SSG 5，已經互相建立了vpn連線，並使用ospf設定。

由於是已經正常連線的vpn網路設備，所以我們只要添加相關的設定，就能讓遠端電腦(Juniper SSG5端)能夠透過vpn連線來管理SRX100設備。

Juniper SRX100

loopback介面lo0 IP設定：(必要)

set interfaces lo0 unit 0 family inet address 192.168.68.168/24

將介面lo0加入ospf之中：(看需求)

set protocols ospf area 0.0.0.0 interface lo0.0 passive

讓遠端VPN用戶能經由lo0.0介面來運行https服務，好讓我們能使用J-Web來管理設備：(必要)

set system services web-management https interface st0.0

什麼? 不是要從lo0.0介面來運行https嗎? 為何我們設定的介面卻是st0.0?

接下來我們就要來說明為何我們設定的是st0.0介面，而不是lo0.0介面。

關於web-management https(或http)命令在設定上的觀念

在Juniper SSG/Netscreen 防火牆上，我們要在介面上開放https或http的服務，只要進入該介面，並勾選https或http服務即可。

因此在Juniper SRX設備上當我們看到下列命令時：set system services web-management https interface vlan.0，我們通常會直觀的認為這是要在vlan.0界面開啟https服務。

換句話說，只要您在網頁瀏覽器上輸入 "https://" + "vlan.0的介面IP"，例如："https://192.168.1.1"，您就可以在加密的https網頁上開啓SRX設備的J-Web管理介面。

這在一般的設定情況中通常都不會有問題。

可是當我們要讓遠端的VPN用戶利用VPN連線從本地的vlan.0以及lo0.0界面來開啟https服務好管理本地設備時，通常我們會直觀的設定為set system services web-management https interface [ vlan.0 lo0.0 ]，可是卻發現GG了，行不通。

經由我們實際操作發現我們從本地的vlan.0介面可以登入J-WEB網頁管理介面，而從遠端的VPN連線中就無法經由lo0.0及vlan.0介面來登入J-WEB了。

可是一旦當我們將設定改成從所有的介面都能開啓https服務時(set system services web-management https interface all)，卻又發現這時我們就可以從遠端的VPN連線中經由lo0.0及vlan.0介面來登入J-WEB了。

在經過我們不斷的、努力的、認真的試驗之後，才發現原來是我們對使用web-management https命令的觀念不正確所致，原來set system services web-management https interface vlan.0這個命令的實際功用為：開放vlan.0介面上的所有用戶都能使用https服務來開啓J-Web網頁管理介面。也就是說只要您是vlan.0介面上的用戶，您就可以在網頁瀏覽器上輸入這台設備的介面IP來開啓經過加密的J-Web管理介面，而且不一定只限於vlan.0的介面ip，凡是屬於這台設備上的所有介面ip都行，但前提是您必須要有其他介面的使用權才行(我們可透過策略policy來控制)。

以本例而言，因為我們的目的是要讓遠端的VPN用戶能透過VPN連線，連接本地的vlan.0以及lo0.0界面並開啟https服務，以便我們能更安全的從遠端來管理本地設備。而遠端VPN的流量到底是從哪個介面來進入設備的? 是fe-0/0/0.0 WAN介面嗎? 錯，VPN流量都是經由st0(或是st[n])介面(Juniper SRX VPN通道專屬介面)來進入設備的，所以我們只要將st0.0介面加入web-management https命令之中就可以達成我們的需求，例如：
set system services web-management https interface st0.0

當然，這並不只限於只能使用lo0介面來登入J-WEB，只要是您能接觸得到的本地介面，例如vlan.0等，您都可以透過它的介面IP來登入本地SRX設備的J-Web網頁管理介面。

將介面lo0加入mgmt安全區並開放ssh、https、ping服務：(必要)

set security zones security-zone mgmt address-book address lo0-ip 192.168.68.168/32

set security zones security-zone mgmt interfaces lo0.0 host-inbound-traffic system-services ssh

set security zones security-zone mgmt interfaces lo0.0 host-inbound-traffic system-services https

set security zones security-zone mgmt interfaces lo0.0 host-inbound-traffic system-services ping

set security zones security-zone mgmt interfaces lo0.0 host-inbound-traffic protocols ospf

設定策略讓遠端VPN能透過lo0介面管理設備。(必要)

set security policies from-zone VPN to-zone mgmt policy lo0-allow-rm match source-address any

set security policies from-zone VPN to-zone mgmt policy lo0-allow-rm match destination-address lo0-ip

set security policies from-zone VPN to-zone mgmt policy lo0-allow-rm match application junos-ssh

set security policies from-zone VPN to-zone mgmt policy lo0-allow-rm match application junos-https

set security policies from-zone VPN to-zone mgmt policy lo0-allow-rm match application junos-ping

set security policies from-zone VPN to-zone mgmt policy lo0-allow-rm then permit

設定策略讓本地用戶能透過lo0介面管理設備。(看需求)

set security policies from-zone trust to-zone mgmt policy lo0-allow-lm match source-address any

set security policies from-zone trust to-zone mgmt policy lo0-allow-lm match destination-address lo0-ip

set security policies from-zone trust to-zone mgmt policy lo0-allow-lm match application junos-ssh

set security policies from-zone trust to-zone mgmt policy lo0-allow-lm match application junos-https

set security policies from-zone trust to-zone mgmt policy lo0-allow-lm match application junos-ping

set security policies from-zone trust to-zone mgmt policy lo0-allow-lm then permit

Juniper SSG5

設定策略讓本地電腦能夠訪問遠端VPN之192.168.68.1/24網段。

set address "VPN" "Remote-192.168.68.1/24" 192.168.68.1 255.255.255.0

set group address "VPN" "Remote-Lans" add "Remote-192.168.68.1/24"

set policy id 2 name "Local_Site-to-Remote_Sites" from "Trust" to "VPN"  "Local_Lans" "Remote-Lans" "ANY" permit

設定靜態路由讓要訪問遠端VPN之192.168.68.1/24網段的流量走VPN tunnel。

set route 192.168.68.0/24 interface tunnel.1 gateway 1.1.100.1