強化Juniper SRX (Junos OS) 遠端管理SSH、https的安全性

強化Juniper SRX (Junos OS) 遠端管理SSHhttps的安全性

關於從遠端來管理Juniper SRX網路設備,我們可以使用telnetsshhttphttps四種服務來達成。
但是其中telnethttp兩種服務在傳輸資料時採用明文傳輸的方式,並未對傳輸資料內容進行加密的動作,也就是網路駭客可透過簡單的網路封包監聽的軟體,就能取得您的SRX設備的超級管理員之帳號密碼,所以我們強烈建議您在進行遠端管理時千萬不要使用telnethttp這兩種服務,而是使用會對傳輸資料內容進行加密動作的sshhttps兩種服務
但即使我們使用了加密的sshhttps服務來進行遠端管理,卻仍然不夠安全,SRX網路設備出廠時的配置是為了方便使用者來進行初始化設定而設計的,乃是最基本的設定,所以我們還要進一步的強化安全方面的設定,以降低被駭客入侵的風險。
強化Juniper SRX設備https使用安全(Harden https)
我們會進行以下的設定:
l   變更https服務的預設端口號碼(port number),以避免駭客能直接登入設備進行暴力密碼破解。
l   限定能管理設備的介面(interface),如果wan介面是ge-0/0/0.0,建議不要加入設定之中,最好是透過vpn來進行遠端管理(後面會敘述)安全性較佳,若非要透過wan介面來使用https,則勢必要強化Juniper SRX (Junos OS) 帳戶登入安全,並給root帳戶設定一個超級強悍的密碼(千萬不要使用root帳戶來進行遠端管理),以及 建立自訂的帳戶類別(login class),建立遠端管理專用帳戶,給予適當及有限的管理權限,只使用遠端管理專用帳戶來進行設備遠端管理,這樣即使帳號被破解,駭客也只能擁有有限的管理權限,而不是全面淪陷
l   限定閒置15分鐘後就切斷連線(要重新登入,避免暫時離開座位後被有心人趁機入侵)
l   限制連接總數以保留資源並降低拒絕服務(DoS)的可能性。本例限定同時只能有兩個用戶能利用https服務來登入設備(可根據能登入設備人員的數量來設定)

光是變更https的預設端口號碼還不夠安全,我們還要搭配下列命令才行:
TCP探測 (TCP Reset (RST) Packets)
攻擊者為了探測目標網絡設備的埠打開範圍和狀態,可以發送大量的TCP-SYN連接請求,通過查看網絡設備的回覆信息來知曉埠打開情況。
在高強度掃描的情況下,網絡設備的負載會增加,並造成DOS攻擊。
*** 配置JUNOS對未開啟的埠不回復TCP-RST,從而讓攻擊者無法知曉此埠是否開啟。***
在這裡,讓我們使用下列的CLI命令:
set system internet-options no-tcp-reset drop-all-tcp

CLI命令列之設定檔
set system services web-management https port 11443
set system services web-management https system-generated-certificate
set system services web-management https interface [ vlan.0 fe-0/0/7.0 ]
set system services web-management session idle-timeout 15
set system services web-management session session-limit 2
commit

J-Web階層式展開之設定檔
system {
    services {
        web-management {
            https {
                port 11443;
                system-generated-certificate;
                interface [ vlan.0 fe-0/0/5.0 fe-0/0/6.0 fe-0/0/7.0 ];
            }
            session {
                idle-timeout 15;
                session-limit 2;
            }
        }
    }
}

下列為J-Web網頁管理的設定選項及說明:
root@srx100-a# set system services web-management ?
Possible completions:
+ apply-groups         Groups from which to inherit configuration data
+ apply-groups-except  Don't inherit configuration data from these groups
> control              Control of the web management process
> http                 Unencrypted HTTP connection settings
> https                Encrypted HTTPS connections
  management-url       URL path for web management access
> session              Session parameters
> traceoptions         Web management trace options

下列為J-Web網頁管理https的設定選項及說明:
[edit]
root@srx100-a# set system services web-management https ?
Possible completions:
  <[Enter]>            Execute this command
+ apply-groups         Groups from which to inherit configuration data
+ apply-groups-except  Don't inherit configuration data from these groups
+ interface            Interfaces that accept HTTPS access
  local-certificate    X.509 certificate to use (from configuration)
  pki-local-certificate  X.509 certificate to use (from PKI local store)
  port                 TCP port for incoming HTTPS connections (1..65535)
  system-generated-certificate  X.509 certificate generated automatically by system
  |                    Pipe through a command

下列為J-Web網頁管理https關於seession的設定選項及說明:
 [edit]
root@srx100-a# set system services web-management session ?
Possible completions:
+ apply-groups         Groups from which to inherit configuration data
+ apply-groups-except  Don't inherit configuration data from these groups
  idle-timeout         Default timeout of web-management sessions (minutes)
  session-limit        Maximum number of web-management sessions to allow (1..7)
[edit]
root@srx100-a#




強化Juniper SRX設備遠端管理SSH的安全性 (Harden SSH)
Secure ShellSSH)是一種網絡協議,允許使用安全通道在設備之間交換數據。 SSH被設計為替代Telnet和其他不安全的訪問協議。

使用SSHv2是因為SSHv1中存在固有的設計缺陷,這使得它容易受到中間人攻擊
SSHv2協議套件包括可用於安全檔傳輸的第7層協議SCPSFTP
set system service ssh protocol-version v2

拒絕root用戶SSH訪問。 當啟用SSH時,所有配置的用戶將能夠訪問該設備; 這包括默認的root帳戶
不禁用root用戶SSH訪問會存在兩個問題:
1. root帳戶是最強大的帳戶,必須存在於每個Junos設備上。 當有人試圖通過密碼暴力破解訪問設備時,他們需要猜測一個有效的用戶名和密碼。 而若不禁用SSHroot訪問權限,駭客只需要猜測密碼即可,這樣可以將他們的工作減半。
2. root帳戶與登錄級別沒有關聯,因此它不會因不活動而被註銷。
set system service ssh root-login deny

限制連接總數以保留資源並降低拒絕服務(DoS)的可能性,預設75,範圍1-250
set system service ssh connection-limit 3

限制每分鐘登錄次數以保留資源並降低拒絕服務(DoS)的機率,預設150,範圍1-250
set system service ssh rate-limit 10

set system services ssh client-alive-count-max 6
set system services ssh client-alive-interval 5
當會話由正常管理員註銷而終止時,Juniper SRX會使當前內容無法讀取,並且會話中不會發生用戶活動。 但是,異常終止或通信丟失並不表示會話終止,因此必須配置保持活動的計數(keep-alive count)和間隔(interval),以便設備知道何時與客戶端通信不再可用。
client-alive-interval
一個超時時間間隔(以秒為單位),在如果沒有從客戶端收到數據之後,sshd將通過加密通道發送消息以請求來自客戶端的響應。 該選項僅適用於SSH protocol version 2 client-alive-count-max一起使用以斷開無響應的SSH客戶端。預設值0Range: 1 - 65535
client-alive-count-max
設定client alive messages的數量,無需sshd從客戶端接收任何消息。 如果發送的client alive messages數量達到此閾值,則sshd將斷開客戶端,終止會話。 客戶端活動消息通過加密通道發送。 client-alive-interval一起使用來斷開無響應的SSH客戶端。預設值3Range: 0 - 255
rate-limit
配置每種系統服務(fingerftpsshnetconf sshtelnettftp-serverxnm-clear-textxnm-ssl)的每分鐘允許連接之會話嘗試次數,預設150,範圍1-250
connection-limit
配置每種系統服務fingerftpsshtelnetxnm-clear-textxnm-ssl的最大連接會話數,預設75,範圍1-250

配置SSHv2AES密碼(AES ciphers)和密鑰交換命令(key-exchange commands)以保護非本地會話的機密性。
密鑰交換命令將密鑰交換限制為FIPSDoD認可的方法。
set system services ssh ciphers aes256-ctr
set system services ssh ciphers aes256-cbc
set system services ssh ciphers aes192-ctr
set system services ssh ciphers aes192-cbc
set system services ssh ciphers aes128-ctr
set system services ssh ciphers aes128-cbc
set system services ssh key-exchange dh-group14-sha1
set system services ssh key-exchange group-exchange-sha2
set system services ssh key-exchange ecdh-sha2-nistp256
set system services ssh key-exchange ecdh-sha2-nistp384
set system services ssh key-exchange ecdh-sha2-nistp521

為了保護非本地維護會話的完整性,必須配置帶有用於完整性檢查的MAC演算法的SSHv2
實施針對特權帳戶(privileged accounts)的網絡訪問的防重播(replay-resistant)身份驗證機制(authentication mechanisms)
重播攻擊(replay attack)可能會導致未經授權的用戶訪問應用程式。
set system services ssh macs hmac-sha2-512
set system services ssh macs hmac-sha2-256
set system services ssh macs hmac-sha1-96

以下之設定可在PuTTY上執行(強大的安全性設定也要用戶端軟體能支持才有作用)
set system services ssh key-exchange group-exchange-sha2
set system services ssh ciphers aes256-cbc
set system services ssh macs hmac-sha1-96


如何配置只有特定的IP地址才能對SSH進行訪問,並禁止其他的IP地址來訪問SSH?

環回接口(loopback interface)所需的最低配置::
set interfaces lo0 unit 0 family inet 

展示防火牆過濾器(firewall filter)的配置。
user@switch# run show configuration |display set |match fire
set firewall family inet filter 1 term 1 from source-address 10.1.1.10/32
set firewall family inet filter 1 term 1 from source-address 40.1.1.10/32
set firewall family inet filter 1 term 1 from destination-port ssh
set firewall family inet filter 1 term 1 then accept
set firewall family inet filter 1 term 2 from source-address 0.0.0.0/0
set firewall family inet filter 1 term 2 from destination-port ssh
set firewall family inet filter 1 term 2 then discard
set firewall family inet filter 1 term 3 then accept

將過濾器應用於環回接口:
set interfaces lo0 unit 0 family inet filter input 1


Juniper SRX變更Change ssh port
因為Juniper SRX設備並沒有直接變更ssh 預設端口(port)的命令,所以我們是利用destination NAT的功能,將連入防火牆WAN IP 33322端口(port)的連線,轉接到防火牆內部介面lo0 (loopback介面)22端口之上,這是只屬於wan端的網路安全防護。
Juniper設備上,lo0接口設計比較巧妙,它除了大家知道例如router-id,或者永不down的接口等常用功能以外,它也是通往路由引擎的特殊通道。同時它也能跟一般的介面(Interfaces)一樣,可以在介面上設定管理功能,好方便我們來管理設備。

光是變更ssh 預設端口號碼還不夠安全,我們還要搭配下列命令才行:
TCP探測 (TCP Reset (RST) Packets)
攻擊者為了探測目標網絡設備的埠打開範圍和狀態,可以發送大量的TCP-SYN連接請求,通過查看網絡設備的回覆信息來知曉埠打開情況。
在高強度掃描的情況下,網絡設備的負載會增加,並造成DOS攻擊。
*** 配置JUNOS對未開啟的埠不回復TCP-RST,從而讓攻擊者無法知曉此埠是否開啟。***
在這裡,讓我們使用下列的CLI命令:
set system internet-options no-tcp-reset drop-all-tcp


JUNOS軟體內部設定了一些不可路由位址,用來作為保留的主機位址或者網路位址,他們的路由選擇資訊預設是被忽略的。也就是說當您為介面設定了不當的IP位址時(例如Martian Addresses),您會發現您的IP沒有反應,無法接觸,彷彿不存在一般。
JUNOS軟體預設有一些IPV4地址被設定為不可路由地址(martian addresses)我們在為介面設定IP位址時應該注意下,以免您設定了一個無法使用的ip地址,預設的不可路由地址內容如下
     * 0.0.0.0/8
     * 127.0.0.0/8
     * 128.0.0.0/16
     * 191.255.0.0/16
     * 192.0.0.0/24
     * 223.255.255.0/24
     * 240.0.0.0/44



在開始敘述如何進行變更ssh WAN port的設定之前的注意事項:
====================================================================
由於每個人的設定環境皆不相同,為了避免有設定上的衝突,因此設計了下列之命令讓大家進行設備測試的初始化設定,設定前記得要先將原來的配置先備份好,待測試完成再恢復原來的配置。

請複製下列11行的命令,並一次全部貼到CLI配置模式中。
load factory-default
delete system autoinstallation
set system host-name srx100
set interfaces fe-0/0/0 unit 0 family inet dhcp
delete system name-server
set system name-server 168.95.1.1
set system name-server 168.95.192.1
set system root-authentication plain-text-password
set system login user admin authentication plain-text-password
commit


關於指令解說請參考下列之網路連結:

load set terminal
工具: load set terminal (載入set命令的配置,如果有語法錯誤會立即提醒)
load set terminal 是一個批量添加配置的工具,相比逐個命令複製粘貼,批量添加的好處是配置清晰明瞭。可以一目了然地發現錯誤的參數,尤其是在配置行數特別多的情況下,非常方便工程師查錯。它還有其他孿生兄弟,例如:load merge terminalload patch terminal等。具體大家可以查閱Juniper文檔。
        load set terminal 並不適合執行需要跟使用者互動的命令,例如set system root-authentication plain-text-password命令,此命令在執行之後需要您手動輸入兩次密碼來完成設定,load set terminal碰到此命令時會忽略跟使用者互動的命令,直接執行下一個命令,所以您的密碼設定並未完成。
        load set terminal執行後會進入一空白列並等待您貼上一片待執行的命令,當您將所有的命令貼完後,必須在新的一行空白列上按Ctrl + D鍵來結束輸入並跳回CLI配置模式中,這時我們可以輸入show | compare命令來檢查輸入的內容是否有誤,或是執行commit check來檢查錯誤,若沒有問題則可以執行commit命令來提交命令。


------ 若要將命令複製到load set terminal之中請從下列藍色的命令開始複製。 ------
若您的設備並非Juniper SRX100,則請您變更相關介面名稱的設定,例如將fe-0/0/0.0改成ge-0/0/0.0
若您已進行上述設備初始化設定之配置,則您可以將下面7小段的設定全部貼入load set terminal之中
====================================================================



在進行過初始化環境設定之後,我們就開始敘述該如何進行變更ssh WAN port的設定,只要您將標示為(必要)的命令列內容複製到CLI命令列中即可,其他的可當作參考

只開放使用httpsssh服務從wan介面來遠端管理設備。(建議)
delete interfaces fe-0/0/0 unit 0 family inet
set interfaces fe-0/0/0 unit 0 family inet address 192.168.168.106/24
set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services dhcp
set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services ssh
set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services https
set security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services ping
set system services web-management https interface fe-0/0/0.0
commit


設定超級用戶admin使用免密碼登入。(參考)
set system login user admin class super-user
set system login user admin authentication ssh-rsa "ssh-rsa UGGzRaM4UAqM59cvwEtQkbaS+T0RG909k7z4rJP0Vy0965MRhOsVNOzPk3qBzxyo/Siqr5EV3sBb9KFjc/4TnoM7eqaY08eY1PE48kdavlKoBabQ==UGGzRaM4UAqM59cvwEtQkbaS+T0RG909k7z4rJP0Vy0965MRhOsVNOzPk3qBzxyo/Siqr5EV3sBb9KFjc/4TnoM7eqaY08eY1PE48kdavlKoBabQ==UGGzRaM4UAqM59cvwEtQkbaS+T0RG909k7z4rJP0Vy0965MRhOsVNOzPk3qBzxyo/Siqr5EV3sBb9KFjc/4TnoM7eqaY08eY1PE48kdavlKoBabQ== rsa-key-20180413"
commit
關於免密碼登入的說明請參考下列之網路連結:


強化ssh安全。(建議)
set system services ssh root-login deny
set system services ssh protocol-version v2
set system services ssh ciphers aes256-cbc
set system services ssh macs hmac-sha1-96
set system services ssh key-exchange group-exchange-sha2
set system services ssh hostkey-algorithm ssh-rsa
set system services ssh connection-limit 3
set system services ssh rate-limit 3
commit


loopback介面lo0相關設定:(必要)
set interfaces lo0 unit 0 family inet address 192.168.68.168/24
set security zones security-zone mgmt address-book address lo0-ip 192.168.68.168/32
set security zones security-zone mgmt interfaces lo0.0 host-inbound-traffic system-services ssh
set security zones security-zone mgmt interfaces lo0.0 host-inbound-traffic system-services https


刪除不安全的設定:(參考)
delete security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services http
delete security zones security-zone untrust interfaces fe-0/0/0.0 host-inbound-traffic system-services telnet
delete system services web-management http
delete system services telnet


destination NAT相關的設定:(必要)
set security nat destination pool mgmt-ssh address 192.168.68.168/32
set security nat destination pool mgmt-ssh address port 22
set security nat destination rule-set change-ssh-port from zone untrust
set security nat destination rule-set change-ssh-port rule ssh-change-port match source-address 0.0.0.0/0
set security nat destination rule-set change-ssh-port rule ssh-change-port match destination-address 192.168.168.106/32
set security nat destination rule-set change-ssh-port rule ssh-change-port match destination-port 33322
set security nat destination rule-set change-ssh-port rule ssh-change-port then destination-nat pool mgmt-ssh


設定策略在lo0介面開放sshhttps連入。(必要)
set security policies from-zone untrust to-zone mgmt policy lo0-allow-ssh match source-address any
set security policies from-zone untrust to-zone mgmt policy lo0-allow-ssh match destination-address lo0-ip
set security policies from-zone untrust to-zone mgmt policy lo0-allow-ssh match application junos-ssh
set security policies from-zone untrust to-zone mgmt policy lo0-allow-ssh then permit




除了以上之設定之外,我們還可以搭配其他方法來加強SSH之安全性,請參考下列之網路連結。



關於從遠端管理Juniper SRX網路設備的補充
        花了大把的力氣,好好的為了強化SSH安全性努力了一番,強化了SSH通信安全、帳戶登入安全、連線安全,並改變WAN介面的SSH預設port,難道這樣就真的一定安全了嗎?其實答案並非絕對的,還要根據您的需求(就軍方的安全需求而言,其使用的是封閉的實體網路,完全不跟公眾網路Internet有任何連結的。),以及您的安全使用習慣來決定(就算您的網路安全規劃嚴謹,人為疏失仍然是安全上的一大漏洞)
        畢竟在WAN端多開一個遠端管理port,就會多增加一個風險因素,難保哪一天ssh被人破解了(就好像是無線網路的wpa2/psk協議被人破解一般),忽然之間變的不安全了,或是系統的Bug被駭客破解了,讓駭客可以輕易的從ssh入侵網路設備等,所以更安全的方式是不要在WAN端開啟任何能夠遠端管理網路設備的服務(就算有需要,也要使用權限較低的帳戶來遠端登入管理設備,從而降低從遠端管理網路設備的風險。)
    那我們又要如何在WAN端不開放遠端管理服務的情況下來遠端管理設備呢?我們可以利用VPN連線來達成這個需求。透過VPN連線來進入網路內部,然後再從網路內部來管理網路設備,畢竟加密良好的VPN,其安全性遠高於SSH連線。
        駭客是無所不在的,其能力也是無遠弗屆的,畢竟連美國白宮的網站都能被駭了,那還有什麼是駭客做不到的呢?所以網路安全也是我們大家需要不斷去加強的課題,只是... 問題是... ,若是只有3個人的小家庭,在家偶而上上網、打打網遊而已,我們還要這麼努力嗎? 嗯,還是看需求吧! 若您非常在意個人隱私,或是有意成為網路工程師,那您就有這個需求的。



下面示範如何利用VPN連線來管理網路設備。
環境說明:兩台設備Juniper SRX100Juniper SSG 5,已經互相建立了vpn連線,並使用ospf設定。
由於是已經正常連線的vpn網路設備,所以我們只要添加相關的設定,就能讓遠端電腦(Juniper SSG5)能夠透過vpn連線來管理SRX100設備。
Juniper SRX100
loopback介面lo0 IP設定:(必要)
set interfaces lo0 unit 0 family inet address 192.168.68.168/24

將介面lo0加入ospf之中:(看需求)
set protocols ospf area 0.0.0.0 interface lo0.0 passive

讓遠端VPN用戶能經由lo0.0介面來運行https服務,好讓我們能使用J-Web來管理設備:(必要)
set system services web-management https interface st0.0
什麼? 不是要從lo0.0介面來運行https? 為何我們設定的介面卻是st0.0?
接下來我們就要來說明為何我們設定的是st0.0介面,而不是lo0.0介面。

關於web-management https(http)命令在設定上的觀念
Juniper SSG/Netscreen 防火牆上,我們要在介面上開放httpshttp的服務,只要進入該介面,並勾選httpshttp服務即可。
因此在Juniper SRX設備上當我們看到下列命令時:set system services web-management https interface vlan.0,我們通常會直觀的認為這是要在vlan.0界面開啟https服務。
換句話說,只要您在網頁瀏覽器上輸入 "https://" + "vlan.0的介面IP",例如:"https://192.168.1.1",您就可以在加密的https網頁上開啓SRX設備的J-Web管理介面。
這在一般的設定情況中通常都不會有問題。
可是當我們要讓遠端的VPN用戶利用VPN連線從本地的vlan.0以及lo0.0界面來開啟https服務好管理本地設備時,通常我們會直觀的設定為set system services web-management https interface [ vlan.0 lo0.0 ],可是卻發現GG了,行不通。
經由我們實際操作發現我們從本地的vlan.0介面可以登入J-WEB網頁管理介面,而從遠端的VPN連線中就無法經由lo0.0vlan.0介面來登入J-WEB了。
可是一旦當我們將設定改成從所有的介面都能開啓https服務時(set system services web-management https interface all),卻又發現這時我們就可以從遠端的VPN連線中經由lo0.0vlan.0介面來登入J-WEB了。
在經過我們不斷的、努力的、認真的試驗之後,才發現原來是我們對使用web-management https命令的觀念不正確所致,原來set system services web-management https interface vlan.0這個命令的實際功用為:開放vlan.0介面上的所有用戶都能使用https服務來開啓J-Web網頁管理介面。也就是說只要您是vlan.0介面上的用戶,您就可以在網頁瀏覽器上輸入這台設備的介面IP來開啓經過加密的J-Web管理介面,而且不一定只限於vlan.0的介面ip,凡是屬於這台設備上的所有介面ip都行,但前提是您必須要有其他介面的使用權才行(我們可透過策略policy來控制)
以本例而言,因為我們的目的是要讓遠端的VPN用戶能透過VPN連線,連接本地的vlan.0以及lo0.0界面並開啟https服務,以便我們能更安全的從遠端來管理本地設備。而遠端VPN的流量到底是從哪個介面來進入設備的? fe-0/0/0.0 WAN介面嗎? 錯,VPN流量都是經由st0(或是st[n])介面(Juniper SRX VPN通道專屬介面)來進入設備的,所以我們只要將st0.0介面加入web-management https命令之中就可以達成我們的需求,例如:
set system services web-management https interface st0.0
當然,這並不只限於只能使用lo0介面來登入J-WEB,只要是您能接觸得到的本地介面,例如vlan.0等,您都可以透過它的介面IP來登入本地SRX設備的J-Web網頁管理介面。


將介面lo0加入mgmt安全區並開放sshhttpsping服務:(必要)
set security zones security-zone mgmt address-book address lo0-ip 192.168.68.168/32
set security zones security-zone mgmt interfaces lo0.0 host-inbound-traffic system-services ssh
set security zones security-zone mgmt interfaces lo0.0 host-inbound-traffic system-services https
set security zones security-zone mgmt interfaces lo0.0 host-inbound-traffic system-services ping
set security zones security-zone mgmt interfaces lo0.0 host-inbound-traffic protocols ospf

設定策略讓遠端VPN能透過lo0介面管理設備。(必要)
set security policies from-zone VPN to-zone mgmt policy lo0-allow-rm match source-address any
set security policies from-zone VPN to-zone mgmt policy lo0-allow-rm match destination-address lo0-ip
set security policies from-zone VPN to-zone mgmt policy lo0-allow-rm match application junos-ssh
set security policies from-zone VPN to-zone mgmt policy lo0-allow-rm match application junos-https
set security policies from-zone VPN to-zone mgmt policy lo0-allow-rm match application junos-ping
set security policies from-zone VPN to-zone mgmt policy lo0-allow-rm then permit

設定策略讓本地用戶能透過lo0介面管理設備。(看需求)
set security policies from-zone trust to-zone mgmt policy lo0-allow-lm match source-address any
set security policies from-zone trust to-zone mgmt policy lo0-allow-lm match destination-address lo0-ip
set security policies from-zone trust to-zone mgmt policy lo0-allow-lm match application junos-ssh
set security policies from-zone trust to-zone mgmt policy lo0-allow-lm match application junos-https
set security policies from-zone trust to-zone mgmt policy lo0-allow-lm match application junos-ping
set security policies from-zone trust to-zone mgmt policy lo0-allow-lm then permit


Juniper SSG5
設定策略讓本地電腦能夠訪問遠端VPN192.168.68.1/24網段。
set address "VPN" "Remote-192.168.68.1/24" 192.168.68.1 255.255.255.0
set group address "VPN" "Remote-Lans" add "Remote-192.168.68.1/24"
set policy id 2 name "Local_Site-to-Remote_Sites" from "Trust" to "VPN"  "Local_Lans" "Remote-Lans" "ANY" permit

設定靜態路由讓要訪問遠端VPN192.168.68.1/24網段的流量走VPN tunnel
set route 192.168.68.0/24 interface tunnel.1 gateway 1.1.100.1





這個網誌中的熱門文章

如何測試網路連線--網路斷線了怎麼辦?

筆記電腦刷BIOS失敗無法開機—用CH341A編程器重刷BIOS教學!

查理王的電腦部落格-首頁