wangluojingjiren:Juniper SSG-5-SH 新手配置手册

要学SSG5之前，当然是要先知道什么是SSG5，本篇文章，会先对SSG5作简单的介绍让大家知道SSG5是什么? 它有哪些功能? 以及如何运用它？


Juniper SSG-5（基本型）参数细节（2007.07上市）
基本规格
防火墙类型：企业级防火墙
网络吞吐量：160Mbps
并发连接数：4000
主要功能：地址转换,防火墙,统一威胁管理/ 内容安全,VoIP 安全性,vpn,防火墙和VPN 用户验证,路由,封装,流量管理（QoS）,系统管理,日志记录和监视
网络
网 络管理：系统管理,NetIQ WebTrends,SNMP (v2),SNMP full custom MIB,console,telne,SSH,NetScreen-Security Manager,All management via VPN tunnel on any interface,Rapid deployment
端口类型：7x 10/100,广域网：出厂配置的RS232 Serial/AUX或 ISDN BRI S/T 或 V.92
安全性
过滤带宽：40Mbps
人数限制：无用户数限制
入侵检测：Dos，DDoS
安全标准：CSA，CB
端口参数
控制端口：console
电气规格
电源电压：100~240 VAC
外观参数
产品质量：0.59kg
长度(mm)：143
宽度(mm)：222
高度(mm)：41
环境参数
工作温度：0~40
工作湿度：10% - 90%，非冷凝
存储温度：-20~ 65℃
存储湿度：10% - 90%，非冷凝

企业用途
一般网络工程师最头痛的莫过于受到外部网络的攻击，有了SSG5 让你的外网可以搭建简单而又不失安全性。

如果公司有一条与外线相连，通过SSG5可以轻轻松松帮你建立 site to site 的VPN。
SSG5三十天就上手-Day 2 SSG5 如何还原到出厂设定值。

方法一：在 SSG5的后面有一个Reset 的针孔，如果今天只是要跟你说用针插一下这个孔，那我就略掉了。当然它绝对不是你所想得这么简单，要使用Reset 重启按钮，你需要对该针孔插两次针，且不是随便插，你必须配合它的灯号，第一次插大约4秒不动，然后灯号变成一红一绿，在将针拔出间隔约1秒之后，再将针插入约4秒，如此才能完成Reset 操作。

方法二：Console Reset：需要连到SSG5的Console 线一根，它是一端为Com port 另一端为RJ45，跟Cisco Switch 用的线一样。将线连接到SSG5的Console port 后，使用超级终端连接SSG5，然后帐号密码都输入SSG5背后贴纸的序号。接着按下两次Y，如此你就可以还原到原厂设定值。还原后的SSG5预设帐号和密码都为netscreen。
SSG5三十天就上手-Day 3 SSG5 如何进行备份与还原。
一般如果有两台SSG5要互相替换，当然最佳的方法是做HA ，可惜在没有钱的IT界，一定是一台SSG5来当很多台的Backup，此时如果在线的SSG5挂了，如何让你Backup的SSG5，可以快速还原就非常重要！
第一、平时要对你在线的SSG5进行Config的 Backup，请登入你SSG5的Web页面，在左边的选单中，进入 -->
然后在右边画面中，点选 如此就能Backup 你的 Configuration。
第 二、进行快速还原，请登入你Backup的SSG5的Web页面，在左边的选项中，进入 --> ，在右边画面中Upload Configuration to Device 选择 Replace Current Configuration ，并按下<浏览> 选择出第一步骤中所备份出 file。
SSG5三十天就上手-Day 4 SSG5 如何进行软件更新。
新版软件会帮你解决一些旧版的bug 之外，还会进行功能的改进，因此对SSG5进行软件升级就变成你必备的技能。
下载软件
你可以拿你SSG5的序列号，到Juniper 的网页，注册一个账号，注册后你可以download 新版 SSG5 的软件。
更新软件
准 备好软件档案后，登入你的SSG5的Web页面，在左边的选单中，进入 --> --> ，在右边画面中选择 Firmware Update (ScreenOS) ，并按下<浏览> 选择出第一步骤中所备出 file。接着就等SSG5更新完毕！
SSG5三十天就上手-Day 5 SSG5 Security Zones
Security Zones-安全区设定
你可以通过 Security Zones 将你的SSG5 切个为多个安全区域，在SSG5中预设会有下列Zones：
Null
Trust
Untrust
Self
Global
HA
MGT
Untrust-Tun
V1-Null
V1-Trust
V1-Untrust
DMZ
V1-DMZ
VLAN
其中建议你最少要使用两个Security Zones将你的网络进行区隔。在默认值中会将ethernet0/0放到Untrust，ethernet0/1放到DMZ，其它放到Trust。假设你只有一条对外线，建议你将该线路放到 ethernet0/0 (Untrust)，内部就放到Trust。然后再设定SSG5的 Policy 来保护内部网络。
SSG5三十天就上手-Day 6 SSG5 Interface
Interface 是SSG5中实际封包进出的出入口，经由Interface 让封包来进出security zone。为了让网络封包能够进出security zone，你必须将bind 一个interface到该security zone，如果你要让两个security zone互通封包时，你就必须设定 policies (就像是iptables)。
你可以把多个Interface bind到同一个security zone，但是一个 Interface只能被bind 到一个security zone，也就是说Interface 跟 security zone 是多对一的关系。
Interface Types
Physical Interfaces
这就是你SSG5中的实体网络 port ，你可以对照SSG5机体上的编号：eth0/0 ~ eth0/6 共有七个网络 port
Bridge Group Interfaces
Subinterfaces
Aggregate Interfaces
Redundant Interfaces
Virtual Security Interfaces
SSG5三十天就上手-Day 7 SSG5 Interface Modes
在SSG5 Interface 可以以下列几种方式运作：
Transparent Mode
NAT(Network Address Translation) Mode
Route Mode
Interface 被bind 在 Layer 3 且有设定 IP 时可以选择使用 NAT 或 Route方式运作。
Interface 被bind 在 Layer 2的Zone 时，Interface 需以Transparent 方式运作。
Transparent Mode：当Interface 在此模式时， IP address 会设定为0.0.0.0，此时SSG5不会对于封包中的source 或destination信息做任何的修改。SSG5此时就像扮演 Layer 2 switch 或 bridge。
NAT Mode：此时你的SSG5就像扮演 Layer 3 Switch 或是 Router，会对封包进行转译(translates)，他会换掉流向 Untrust zone 封包的 Source IP 跟 Port。
Route Mode：当SSG5的Interface在此模式时，防火墙不会对于两个不同zone之间的封包做Source NAT。
SSG5三十天就上手-Day 8 SSG5 Policies
Policies 你可以将它想成 iptables
在SSG5中，预设会将跨security zone的封包(interzone traffic) deny ，bind 在同一个zone的interface 的封包(intrazone traffic)预设为allow
如果你需要对以上预设行为进行调整，那你就必须透过 Policies来进行。
Policies 由下列基本元素所组成：
Direction：这是指封包的流向从 source zone 流向 destination zone
Source Address：这是封包起始的地址
Destination Address：这是封包要送到的地址
Service：这是封包的服务种类，如DNS、http等等
Action ：这是当收到封包满足此Polices时要进行的动作。

举例来说：假设你要设定任何地址都可以由Trust zone 到 Untrust Zone 中的 10.0.0.1 的 FTP Server，则你的基本policies元素如下：
Direction: 从Trust 到 Untrust
Source Address: any
Destination Address: 10.0.0.1
Service: ftp (File Transfer Protocol)
Action: permit
Three Types of Policies
你可以通过下列三种型态的Policies 来控制您的封包：
Interzone Policies—控制一般Zone与zone之间的封包。
Intrazone Policies—控制同一Zone之间的封包
Global Policies—套用到所有zone
SSG5三十天就上手-Day 9 SSG5 Domain Name System (DNS) Support
SSG5 也支持DNS，让你可以通过DNS Name 来找到 IP Address。在你要使用DNS之前，你需要先在你的SSG5 上设定DNS Server。
假设你的DNS Server的 IP 为 192.168.1.2 跟 192.168.1.3 ，并且你要将DNS 设定为每天晚上11 点 refresh。
请登入你SSG5的web 页面，点击左边的 "Network" ==>"DNS" ==>"Host" 然后在右边的页面中，输入下列之信息：
Primary DNS Server: 192.168.1.2
Secondary DNS Server: 192.168.1.3
DNS Refresh: (请勾选) 并手动在Every Day at:字段上输入 23:00 ，然后按下Apply ，这样你SSG5 的 DNS 就设定完成了。
SSG5三十天就上手-Day 10 SSG5 DHCP（Dynamic Host Configuration Protocol）Support
DHCP (Dynamic Host Configuration Protocol) 可以用来让网络中的计算机自动获取IP 。通过DHCP 可以让网络工程师对网络中的计算机设定更容易。SSG5 在DHCP 中可以办演下列角色：

DHCP Client：可以通过网络中的DHCP Server 取得所配发的 IP 。

DHCP Server：可以在网络中配发IP 给 DHCP Client。

DHCP Relay Agent：负责接收网络中的 DHCP Client 要求 IP 的封包，并转给(relay)给指定的DHCP Server，必取得Server 所配IP之讯后，转回给 Client。

要在SSG5 中设定 DHCP ，请登入 SSG5 的 web 管理接口，点选左的 "Network" ==>"DHCP" 然后在右边的页面中，选择要设定的Interface ，点选 Configure 字段中的 edit。如此就可以设定DHCP 相关信息。

当你的Interface 为Down 或 ip 设定为 0.0.0.0/0(就是没设ip) ，你只能选择 DHCP Client。其它你可以在上述中的三个角色三选一。
若选择DHCP Relay Agent，接着设定Relay Agent Server IP 或 Domain Name。
若选择DHCP Server，接着设定DHCP Server 其它相关设定：
Server Mode->可选择Auto (Probing)、Enable、Disable 一般会选择Enable
Lease ->预设为Unlimited
接着 Gateway Netmask DNS WINS 等相关信息即可。
SSG5三十天就上手-Day 11 SSG5 Setup PPPoE（Point-to-Point Protocol over Ethernet）
如 果公司的外线没有固定IP，那大多会使用(大多是ADSL)PPPoE 拨号上网。SSG5 对 PPPoE 的支持也没有问题，在SSG5 的默认值中，通常会将 eth0/0 设定在Untrust 的 Zone ，并使用 eth0/0 来当做对外线路，所以这里也建议你可以利用eth0/0来设定PPPoE的拨号上网。
Setting Up PPPoE 请登入 SSG5 的 web 管理接口，点选左边的 "Network"= > "Interfaces" ，然后在右边的页面，对eth0/0点选"Edit"，进入编辑页面后，点选"Obtain IP using PPPoE"，并接着在选项后面有一个 Link (Create new pppoe setting ) 可以让您点选并Create 你的PPPoE的 Profile，或者你已经是前就先Create后，也可以直接在选项后直接使用下拉选单挑选事先Create 好的 PPPoE Porfile。
Create PPPoE Profile 请 登入 SSG5 的 web 管理接口，点选左边的 "Network"= > "PPP" =>"PPPoE Profile" ，然后在右边的页面右上方，按下"New"的按钮，接着设定PPPoE Instance (这是这个Profile的名子)、接着输入从ISP那边拿来的帐号密码。这样你的SSG5就可以使用PPPoE拨号上网了。
SSG5三十天就上手-Day 12 SSG5 Setup Network Boot （SSG5支持网络开机）
当 你的环境中，可以网络开机时候，你可以让SSG5 也支持这样的设定。一般如果你要让network boot 可以正常work ，你必须在你的DHCP Server中，设定两个项目：1.next-server ：这个 IP 是TFTP server的 IP address 2.filenam： 这是Bootfile 的 file name 。这样DHCP Client 如果设定使用网络开机的时候，他就知道拿完IP之后，要去找哪一台 TFTP Server 来download bootfile进行开机。在SSG5中，你在设定DHCP的时候，只要指定上述两个数值即可让你的SSG5支持网络开机。设定方法如下：
请登入 SSG5 的 web 管理接口，点选左边的 "Network" ==>"DHCP" 然后在右边的页面中，选择要设定的Interface ，点选 Configure 字段中的 edit。请选择设定为DHCP Server，并设定 Next Server Ip ，这里选择From Input 并输入 IP。 接着点选右下角的Custom Options，进入 Custom Options 设定页面。再点选右上角的"New"，在code 输入 67，type选择 string，value中输入bootfile的 file name 。这样就完成设定，接着你就可以测试看看。

PS: 如果你的 Firmware Version: 6.3.0r4.0 (Firewall+VPN) ，会遇到带出的bootfile 的 filename 多了一个怪怪符号，目前看来是这一版的bug。
SSG5三十天就上手-Day 13 SSG5 管理员帐号和密码
前 面讲了SSG5 的功能如何设定，接下来要跟大家讲解最基本的安全问题，那就是SSG5的管理员帐号和密码。SSG5的预设管理员帐号和密码为 netscreen/netscreen，如果要修改可以通过console接口进行修改，如果手上没有console的线，也可以通过下列方式。
当 拿到一台新的SSG5或是将SSG5 reset 到原厂设定值的时候，它预设会将 eth0/2~eth0/6 设定为一个bgroup0，并且会当DHCP Server配发 IP，该bgroup0的IP会设定为 192.168.1.1。可以将你的计算机连接到该bgroup0的port，取得 IP 之后，透过Telnet 进入Console。

进入Console后，先用预设帐号和密码登入。登入后先利用下列指令修改管理员的帐号名称。

set admin name "管理员帐号"

接这SSG5会提示时已将密码设定为netscreen，并建议你立即修改密码，再利用下列指令修改管理员的密码。

set admin password "管理员密码" 这样就完成了修改管理员帐号和密码的工作。
SSG5三十天就上手-Day 14 SSG5 变更管理port
SSG5预设的http管理web是通过80端口。假设你的interface ip 为 192.168.1.1 ，预设开启web 管理时可以通过http://192.168.1.1 来进行管理，如果你把端口变更为5522，你则需用下列方式连接：http://192.168.1.1:5522 变更登录方式为：请登入 SSG5 的 web 管理接口，点选左边的 "Configuration" ==>"Admin"==>"Management"，然后在HTTP Port 字段输入你的port ，如5522。
SSG5三十天就上手-Day 15 SSG5 Event Log
通过SSG5 的Event Log可以让你知道你的SSG5发生了什么事情。比如SSG5本身产的讯息或是alarms等等。
在SSG5将Event Log分为下列Level：
[Alert]: 这个信息是需要马上被注意的，如防火墙遭到攻击。
[Critical]: 这个信息是有可能会影响运作或是功能，如HA (High Availability)状态改变。
[Error]: 这个信息是SSG5发生错误且可能造成运作上或是功能上的错误，如连上SSH Servers.
[Warning]: 这个信息是SSG5发生了会影响功能方面的事件，如认证失败。
[Notification]: 这是发生一般正常的事件，给予管理这常态的通知，如管理人员变更网络参数设定，是否需开通上网功能。
[Debugging]: 这是提供详细的信息让你用来做debug用途。

你可以登入 SSG5 的web管理页面，并在 "Reports" => "System Log" => "Event" 查看 SSG5的 Event Log。
SSG5三十天就上手-Day 16 SSG5 Sending Email Alerts
身为一位网络工程师人员，每天看Log可以说是天命。但是天天进系统看Log实在会累死人，尤其是当你可以能会用十几台SSG5的时候。

这个时候当然是要叫SSG5 每天自动把 alarm 用e-mail 寄给你！设定的方法如下：
登入 SSG5 的web管理页面，并进入 "Configuration" => "Report Settings" => "Email" ，在右边的页面，你就可以设定下列信息：
1.SMTP Server Name
2.E-mail Address 1
3.E-mail Address 2
请 在 SMTP Server Name设定你的mail server，假设我的mail server为 192.168.171.25，那就将192.168.171.25输入到SMTP Server Name的字段。当然如果你有将SSG5 DNS enable，你就可以使用hostname(如mail.126.com)。
接着在E-mail Address 的字段输入要被通知的网络工程师的邮箱。如 WhiteRose1989 At 126.com 然后按下Apply即可。

PS:当然你要将Enable E-mail Notification for Alarms 勾选，另外还可以选择Include Traffic Log。
SSG5三十天就上手-Day 17 SSG5 How to setup Radius Server
SSG5 可以让你设定外部的 Radius Server 来进行认证的工作，假设你有一台 freeradius ，已经安装好， IP 为 192.168.191.18，监听的端口为：1812，且设定Shared Secret为 ithome。你只要进行下列设定，就可以让你的SSG5可以使用这台Radius 进行认证。
登入 SSG5 的web管理页面，并进入 "Configuration" => "Auth" => "Auth Servers " ，在右边的页面右上方，点选NEW，你就可以设定下列信息：Name 输入你要为这台Server取的名称，假设我们取为 Radius。IP/Domain Name 输入这台Server的 IP 192.168.191.18
Account Type 由于我们想要用在认证，所以勾选AuthRADIUS Port 输入1812 ，Shared Secret 输入ithome，接着按下OK ，这样你的 Auth Server 就设定完成。
SSG5三十天就上手-Day 18 SSG5 如何利用 Radius Server 控制上网权限
通 常公司都会管控公司网络的上网权限，避免有人可以来乱上网。在SSG5可以轻松做到对上网进行权限管控。在Day 5我们有介绍过SSG5 Security Zones，假设你将你的LAN放在Trust 的Zone，把上网的线路，放在Untrust的Zone。在Day 8 我们有介绍过Policies ，你可以通过Policies 来控制两个Zone之间的traffic。我们可以通过Policies 中的进阶设定，设定我们在Day 16 所设定完成的Radius来进行认证，只让认证通过的user可以上网。设定方法如下：
请登入你SSG5 的 web 管理接口，点选左边的 "Policy" ==>"Policies" ，然后在右边页面中，上方的From选择"Trust"，To选择 "Untrust"，然后按下最右边的 "New"。设定好 Source Address 跟 Destination Address ，此范例中都选择 Any ，Service也选择 Any。接着按下"Advanced"进入进阶设定页面，勾选"Authentication"，并选择我们设定好的Radius Server。按下OK ，这样你就可以通过Radius Server控制上网权限。
SSG5三十天就上手-Day 19 SSG5 如何 Creating a Secondary IP Address
让 你的Interface 挂多个IP 。有些情况，你会需要让你的 Interface挂两个 IP ，一个挂外面 public ip，另一个挂里面的private ip。这个时候你就可以利用SSG5 Secondary IP Address的功能，设定方法如下：

请登入你SSG5的 web 管理接口，点选左边的 "Network" ==>"Interfaces"，然后在右边页面中，对于您要编辑的interface按下edit。
在edit的页面中，上面link 会有一个 Secondary IP，点下 Link后，进入Secondary IP编辑页面，按下Add，输入IP跟Netmask入下：
IP Address/Netmask: 192.168.2.1/24 。这样SSG5 就可以在一个interface 挂两个 IP 。
SSG5三十天就上手-Day 20 SSG5 Simple Network Management Protocol（SNMP）
SSG5 也支持SNMP，你可以通过SNMP 监控SSG5的状态，如CPU或流量等等，很多范例都是通过Cacti来抓SSG5 SNMP ，由Cacti了解SSG5使用状态。如果你要让Cacti可以利用SNMP抓取SSG5状态，你需要先对SSG5进行设定，设定的方式如下：
请 登入你SSG5的web 管理接口，点选左边的 "Configuration " ==>"Report Settings"==>"SNMP"，然后在右边页面中按下右上角的 New Community ，然后设定你的 Community Name，如 poblic，勾选你的 Permissions，默认值是全部勾选，然后选择支持的Version。最后设定 Hosts IP Address 跟 Netmask，此设定需要将你Cacti的主机包含进去。然后选择此设定的 Source Interface，这样你就可以通过SNMP抓取SSG5的状态。
SSG5三十天就上手-Day 21 SSG5 Address Groups
假设你在设定Policy 的时候，希望可以设定严格一点，比如说source address不想要用any，但是你可能又有一堆address 需要设定进去，这个时候你就可以利用SSG5的 address groups。设定方法如下：
请 登入您SSG5的 web 管理接口，点选左边的 "Policy" ==>"Policy Elements"==>"Addresses"==>"Groups"，然后在右边页面中左上方选择要新增的Zone之后按下右上角的 New ，然后设定你的Group Name，如 My Network，接着将你的address由右边拉到左边，然后按下OK即可。如果在上列步骤没有你要的address可以选择，那就到"Policy" ==>"Policy Elements"==>"Addresses"==>"List"中，然后在右边页面中左上方选择要新增的Zone之后按下右上角的 New ，然后设定你的 address即可。
SSG5三十天就上手-Day 22 SSG5 Destination Static Routing
为了让你的SSG5知道要让封包走哪一条路，最简单的方式，就是在SSG5上面设定 Destination Static Routing，让他知道这个目的地的地址，要走哪一条路。设定的方法如下：
请 登入您SSG5的 web 管理接口，点选左边的 "Network" ==>"Routing "==>" Destination"，然后在右边页面中右上角的 New ，最简单的方式，就是设定Next Hop为 Gateway 的方式，当然在 IP Address/Netmask要设定目的地的 IP如 192.168.1.0/24，Next Hop挑选Gateway，并选择 Interface以及设定Gateway IP Address，如 eth0/2 与 192.168.3.1 (通常这个时候代表 192.168.3.1 这台会知道接下来怎么走到 192.168.1.0/24)。这样最简单的 Destination Static Routing就设定完成了。
SSG5三十天就上手-Day 23 SSG5 Site-to-Site VPN（Virtual Private Networks ）
SSG5 最主要的用途，除了一般做NAT跟Routing，另外就是让你拿来建 VPN 。今天就跟大家介绍如何在SSG5上建立 Site-to-Site VPN。

在SSG5 只需要简单三步骤：

步骤一：建立VPN Gateway，让你的SSG5知道要跟谁建VPN。
步骤二：建立VPN Tunnel Interface，让你的VPN有一条隧道可以走。
步骤三：建立VPN

以下步骤请先登入您SSG5的 web 管理接口，后进行操作，此范例假设我们两个端点都是Static IP Address。

建立VPN Gateway：

点选"VPNs" ==> "AutoKey Advanced" ==> "Gateway"，然后按下右上角的New，设定Gateway Name，设定Static IP Address，按下Advanced，进入进阶设定页面。

设定Preshared Key，请注意Preshared Key两个端点要设定相同，选择Outgoing Interface，一般就是你上网的那个Interface。按下下Return回到设定页面后，再按下OK。

建立VPN Tunnel Interface：

点选"Network" ==> "Interfaces" ==> "List"，右上角选择Tunnel IF 后按下New，设定Tunnel Interface Name可以挑选(1~10) ，设定Zone，选择Unnumbered(假设我们Tunnel Interface 不设IP)，接着按下OK。

建立VPN：

点选"VPNs" ==> "AutoKey IKE"，然后按下右上角的New，设定VPN Name，Remote Gateway 选择Predefined 然后选择你在第一步骤中设定的Gateway，按下Advanced，进入进阶设定页面。Bind to请选择Tunnel Interface，并选择你在第二步骤中新增的Tunnel Interface。按下下Return回到设定页面后，再按下OK。将你的两个端点依上列三个步骤执行后，大致上你的VPN就已经没有问题，不过因为没有封包，接着你就设定你的Routing，设置你的SSG5 路由怎么走，封包来时VPN就会帮你UP。
SSG5三十天就上手-Day 24 SSG5 VPN Options
如 果你看完Day 23，那你已经知道如何在SSG5 设定VPN ，当然接下来你会希望，可以让SSG5 监控你的VPN 状态。通常我会建议你可以设定下列两个选项为enable：VPN Monitor 和 Rekey 。你可以在昨天的步骤三建立的时候，在Advanced 的设定页面中，将上列两个选项打勾。当你勾选了 VPN Monitor ，SSG5 会帮你用 ping 来监控，此时你就可以在VPN Monitor的页面中查看VPN的状态。
另外当你勾选了 Rekey，SSG5就会立即帮你送出 ICMP echo requests。所以当你在昨天的第三步骤勾选这两个选项后，你就会发现VPN 设定完后马上就会UP。
SSG5三十天就上手-Day 25 SSG5 VPN Debug
Phase 1: Retransmission limit has been reached.
一 般如果你按照VPN 三步骤建好VPN之后，通常不会有什么问题，不过总是会有粗心大意的时候，在这里就分享一个案例。一般如果VPN建不起来，建议都先去看看SSG5 的 event log，看看SSG5 告诉你发生什么事。此案例中，SSG5 log写说 Phase 1: Retransmission limit has been reached. 这边遇到这个问题大多会想说两端点是不是有通，曾经我就遇到过，两边都互相 ping的到，设定也都没有错，可是就是建不起来。最后才发现，原来如果来回的路走不一样，也会让你建不起来。会来回走不一样的原因是因为有一端的 SSG5 有多条线路。

解法就是调整的Routing ，确保来回路都走一样，就可以解决这个问题。
SSG5三十天就上手-Day 26 SSG5 Interface States
在SSG5的 interface 有下列四个 states：

Physically Up
这是当你的网络 cable 实际让你的 SSG5 接到一个 Network Device (如 switch 或 Notebook)，线路正常的状态。

Logically Up
你可以在逻辑定义上，让你interface设为 up ，此时 traffic才能通过你的 interface。

Physically Down
这是当你的网络 cable 实际让你的 SSG5 接到一个 Network Device (如 switch 或 Notebook)，线路断线的状态。

Logically Down
你可以在逻辑定义上，让你interface设为 down ，此时 traffic无法通过你的 interface。
SSG5三十天就上手-Day 27 SSG5 Open Shortest Path First
如 果有很多site，那给个site都可以放一台SSG5，你会发现维护你的routing 会是很累人的事。尤其当你有两条线路要手动切备援，更是累人。此时建议你就可以 on ospf，让SSG5 帮你自动算 routing ，要让SSG5 on OSPF 只要以下几个简步骤。

步骤一，Create OSPF Instance
步骤二，设定Area 中的 interface
步骤三，在Interface中将 OSPF 设定为 enable

这样你的SSG5就会启动 OSPF。OSPF 会依据本身的设定放出的routing，放出让邻居(另外一台SSG5)学习，每一条连接都有自己的COST，然后他会帮你算出最便宜的路，最后让你的Routing 走最便宜的路线。
SSG5三十天就上手-Day 28 SSG5 OSPF - Areas
Areas
SSG5 预设在你启用ospf 的时候，会将所有的 routers 群组放入一个单独的“backbone” area 这个area 叫做 area 0 (你会在你的SSG5中看到 area 0.0.0.0)。不过通常如果你的架构中，是一个很大的网络，那你会把他划分为几个小的 area。

在SSG5中，你可以在新增area 时，设定你的 area type ，除了normal，另外两种类型说明如下：
Stub
Stub area — 接收来自backbone area 的 route summaries 但是不接收来自其它的area 的 link-state。
Not So Stubby Area (NSSA)
像是一个normal stub area， NSSAs 不能接收非本area外的 OSPF 以外的资源。
SSG5三十天就上手-Day 29 SSG5 OSPF - Security Configuration
Configuring an MD5 Password
为了避免有人利用OSPF 偷偷当你的非法邻居，乱放 routing 给你学，害你的site挂掉，建议你要对你的SSG5 的 OSPF 设定安全性。

SSG5 可以让你在 interface 中设定明码或是MD5 编码的密码，在这里建议你选用MD5，他最多可以让你输入16个字符，设定方式如下：
请登入你SSG5 的web 管理接口。
在左边选择"Network" => "Interfaces" =>然后对你要编辑的interface按下 Edit =接着在上方的Link中点选OSPF

进入OSPF 设定页面后，挑选 MD5的选项，并输入你的key与Key ID，最后要选Preferred。然后按下apply即可。

这样没有这定这个key的就不能来当邻居啰！
SSG5三十天就上手-Day 30 SSG5 OSPF - Network Types
SSG5 支援下列 OSPF 的 network types：

Broadcast
broadcast network 这是你接到一个有很多 router的网络，且可以送出广播。在 broadcast network 的router 都假设可以彼此互相通讯。最简单的范例就是Ethernet。在broadcast networks中，OSPF 会让 router 送出hello packets到multicast address 224.0.0.5 以便动态的侦测决定他的neighbor routers。

Point-to-Point
point-to-point network 典型的透过WAN(Wide Area Network) 将两个router 加在一起。最简单的范例就是两个SSG5 透过IPsec VPN tunnel 连接。在point-to-point networks中。OSPF 会让 router 送出hello packets到multicast address 224.0.0.5 以便动态的侦测决定他的 neighbor routers 。

Point-to-Multipoint
OSPF 对point-to-multipoint network 会看成是一个 non-broadcast network。他是连接的对方是 point-to-point 的links. 在SSG5 只有 Tunnel interface 才支持Point-to-Multipoint。

==================================================================================================

实例：深圳XXX 公司购买了一台Juniper SSG-5-SH 防火墙来搭建公司与外部相连的主要设备，天津分公司也是使用Juniper SSG-5-SH。

要求：

1：公司划分五组用户。

设备组|Equipment ：192.168.1.1~192.168.1.20 (划分给设备使用，如路由器、防火墙、门禁设备、监控设备、机器设备等。）

普通员工组| User：192.168.21~192.168.1.99（划分给公司普通员工使用，但不能上网。）

办公室员工组| Office：192.168.1.100~192.168.199 (划分给公司办公室员工使用，能接收发外部邮件、上指定网站。)

高层管理者组| Management ：192.168.1.200~192.168.1.219(划分给公司高层管理者使用。能接收发邮件和上大部分网站。）

来宾组| Autoconfig ：192.168.1.220~192.168.1.253(划分给公司来宾在会议室使用，无任何限制。)

192.168.1.254 （公司租用电信两条ADSL，此IP供Cisco 1720 Router 使用，与XX公司专用网络线路相连。）

2：如何设置电脑登录指定网站，或是开通相关网站的端口号（我们这里给电脑指定IP地址）。

3：如何与天津分公司搭建VPN。

A1:

登录SSG5的Web页面，Policy>Policy Elements>Addresses>Groups. 在Zone中选择Trust， 按New.

如下图设置：

A2: 给指定电脑(192.168.1.105) 设置相关参数如下图。

====================================================================

下面是管理层组员的设置

Source Address ---- Address Book Entry ，按 Multiple 按钮。如下图所示：

Destination Address----Address Book Entry 按Multiple 按钮，如下图所示：

Service ，点击Multiple 按钮，如下图所示：


=================================================================================

下面设置上指定Internet 网站。

Policy>Policy Elements>Addresses>List

Untrust 按New 按钮。

=======================================================================

下面是设置特殊端口号：

A3:

========================================================================

四层连接----源地址、源端口号、目的地址、目的端口号共同确定的一个数据流就是一个四层连接。可能是一个TCP连接，也可能是一个UDP会话或一个ICMP会话。限制四层连接之后，共享上网浏览或收发邮件不会受到影响。但扫描之类的事情就行不通。