juniper安全相关设置及NAT

JuniperFWVJuniperFWV基础售后培训基础售后培训IIIIEDUEDU--JUNIPJUNIP--FWVFWV--BEGBEG2目标目标•Policy基本概念•Policy基本设置•NAT基本概念•NAT基本设置3目标目标•Policy基本概念•Policy基本设置•NAT基本概念•NAT基本设置4PolicyPolicy基本概念基本概念----------策略的作用策略的作用•Juniper防火墙对流量的检测、控制（包括NAT）都是通过策略来实现的。•策略可以通过源/目的地址，源/目的端口，协议来控制流量。5PolicyPolicy基本概念基本概念----------安全区与策略的关系安全区与策略的关系•默认情况下，数据流在本区内通信，不受策略限制（UntrustZone除外）。•当数据流跨区时，可以通过策略进行控制。•策略可以通过源/目的地址，源/目的端口，协议来影响流量。UntrustZoneTrustZone1.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24DMZZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1.254.1.2541.1.7.0/241.1.8.0/24.254.16PolicyPolicy基本概念基本概念----------PolicyPolicy的组成的组成•Source:经过防火墙的数据的源IP地址。•Destination：经过防火墙的数据的目的IP地址。•Service：指经过防火墙的数据流的协议类型，比如HTTP、FTP、ICMP等流量。•通过对Source、Destination、Service的设定，限定需要做控制的数据流。•Action：指防火墙对该数据采取的行动，比如permit，deny、tunnel等。•Options：指系统针对该数据流的做得一些附加设置，比如Logging（日志功能）。7目标目标•Policy基本概念•Policy基本设置•NAT基本概念•NAT基本设置8PolicyPolicy基本设置基本设置----------创建步骤创建步骤•为策略创建特定的地址对象（源/目的地址对象）。•为特定的服务/应用类型创建特定的服务类型。•根据数据的走向，创建策略项目，并设置相应的Action。•调整策略的顺序，以满足应用的需求。•通过Options来增强或改善对该策略的控制。9PolicyPolicy基本设置基本设置----------地址对象的创建地址对象的创建II•PolicyPolicyElementsAddressesList•地址对象是基于Zone的，要查询某个地址对象，必须选择给地址从属的Zone。•如果你知道该地址对象的首字母，还可以通过Filter进行过滤显示。•点击“New”按钮可以创建新的地址对象。10PolicyPolicy基本设置基本设置----------地址对象的创建地址对象的创建IIII•AddressName栏填写地址对象的名称。Comment栏填写对地址对象的备注。•IPAddress栏填写I地址对象所对应的IP地址以及匹配符。要表现主机地址的时候，写法应该是X.X.X.X/32。•最后，在Zone旁边的下拉菜单选择相应的Zone。11PolicyPolicy基本设置基本设置----------地址与地址组地址与地址组II•PolicyPolicyElementsAddressesGroups•当同一条策略需要用到若干个地址对象的时候，我们可以通过地址组来统一代表这些地址对象。•地址组必须与地址对象在同一个Zone。•点击“New”按钮可以创建新的地址对象。12PolicyPolicy基本设置基本设置----------地址与地址组地址与地址组IIII•在AvailableMembers选择合适的地址对象，通过“”按钮将之转到GroupMembers。•通过“”按钮，将不需要的地址对象移出该地址组。13PolicyPolicy基本设置基本设置----------地址与地址组地址与地址组IIIIII•在AvailableMembers选择合适的地址对象，通过“”按钮将之转到GroupMembers。•通过“”按钮，将不需要的地址对象移出该地址组。14PolicyPolicy基本设置基本设置----------地址与地址组地址与地址组IVIV•可以通过AddressSummary来查看系统每个Zone可配置的地址数量及已配置的地址数量。•PolicyPolicyElementsAddressesSummary15PolicyPolicy基本设置基本设置----------服务对象的创建服务对象的创建II系统已经预置了许多常用的应用/服务。如果实际需要一些特定的服务，可以自行创建。•PolicyPolicyElementsServicesCustom•PolicyPolicyElementsServicesPredefined16PolicyPolicy基本设置基本设置----------服务对象的创建服务对象的创建IIIIServiceName栏填入服务对象的名称。Transportprotocol栏选择服务对象的协议类型，一般为TCP或UDP。在SourcePort和DestinationPort栏填入端口号；一般的服务对象仅限制DestinationPort。17PolicyPolicy基本设置基本设置----------服务与服务组服务与服务组II当一条策略需要同时用到多个服务对象时，可以通过设定服务组来统一代表相关的服务对象。同服务对象一样，系统也预置了一些服务组：这些服务组主要针对某些特定的应用而设置。•PolicyPolicyElementsServicesGroups18PolicyPolicy基本设置基本设置----------服务与服务组服务与服务组IIII•在AvailableMembers选择合适的服务对象，通过“”按钮将之转到GroupMembers。•通过“”按钮，将不需要的服务对象移出该地址组。19PolicyPolicy基本设置基本设置----------创建策略项创建策略项II•像前面所提到的一样，在创建策略项之前，必须选择数据的走向：从什么Zone去什么Zone。•再选择好“From”与“To”的下拉菜单后，点击“New”进入策略项创建菜单。•查找策略项，也同样在该页面。如果策略条目众多，可以通过“List”下拉菜单选择合适的页面显示条目数；比如“List20”表示在这个页面中最大的同时显示策略条目为20条。•PolicyPolicies20PolicyPolicy基本设置基本设置----------创建策略项创建策略项IIII在SourceAddress和DestinationAddress的AddressBookEntry选择前面创建好的地址对像。在Service的下拉菜单选取前面设定好的服务对象。在Action栏选择相应的处理行为，如permit等。21PolicyPolicy基本设置基本设置----------策略的顺序策略的顺序•策略的执行按照先后顺序，即从上而下的寻找，直到遇到匹配的策略项为止。•正常情况下，新的策略永远加在整个策略序列的尾端。•在策略序列的尾端，有一条隐含的“denyall”的策略项。•策略序列的基本排列原则：将影响范围越小的策略项放在越前面。•策略的调整通过Move的两个按钮来实现。建议使用“－”。22PolicyPolicy基本设置基本设置----------策略的策略的LoggingILoggingI•Logging选项将提供匹配该策略条目的流量的日志信息。•Logging选项被选择后，该策略条目的Options栏会有相应的条目产生。•点击该条目可以看到相关的日志内容。23PolicyPolicy基本设置基本设置----------策略的策略的LoggingIILoggingII24PolicyPolicy基本设置基本设置----------策略的策略的CountingICountingI•Counting选项将提供匹配该策略条目的流量的实时统计图表。•Counting选项被选择后，该策略条目的Options栏会有相应的条目产生。•点击该条目可以看到相关的日志内容。25PolicyPolicy基本设置基本设置----------策略的策略的CountingIICountingII26PolicyPolicy基本设置基本设置----------策略的策略的ScheduleIScheduleIPolicyPolicyElementsSchedules27PolicyPolicy基本设置基本设置----------策略的策略的ScheduleIIScheduleII28InternetInternet访问验证访问验证--------AuthServerAuthServer的选择的选择•JuniperFWV支持两种方式的验证服务器：本地（local）和远程（Remote）。•本地验证服务器是系统默认的验证服务器，它可以用来验证admin、auth、l2tp和xauth用户。•如果要设置远程验证服务器，请点击“New”按钮进行设置。•JuniperFWV支持的远征验证服务器类型有RADIUS、SecureID、LDAP、TACACS+。•本例中使用本地验证服务器，使用的验证的用户是auth用户。ConfigurationAuthAuthServers29InternetInternet访问验证访问验证--------AuthServerAuthServer的选择的选择•JuniperFWV支持两种方式的验证服务器：本地（local）和远程（Remote）。•本地验证服务器是系统默认的验证服务器，它可以用来验证admin、auth、l2tp和xauth用户。•如果要设置远程验证服务器，请点击“New”按钮进行设置。•JuniperFWV支持的远征验证服务器类型有RADIUS、SecureID、LDAP、TACACS+。•本例中使用本地验证服务器，使用的验证的用户是auth用户。ConfigurationAuthAuthServers30InternetInternet访问验证访问验证--------AuthUserAuthUser的创建的创建31InternetInternet访问验证访问验证--------用户验证的过程用户验证的过程32基于策略的带宽管理基于策略的带宽管理•TrafficShaping选项用来控制匹配该策略的流量的大小及处理优先级。•GuaranteedBandwidth的数值为系统保证其的带宽数值。•MaximumBandwidth的数值为系统最大能分配给该策略的数值。33目标目标•Policy基本概念•Policy基本设置•NAT基本概念•NAT基本设置NAT-srcNAT-dstMIPVIP34NATNAT基本概念基本概念----------NATNAT的种类的种类IINAT-src10.1.1.5200.100.8.51.1.8.1200.100.8.5SADASADA10.1.20.5:21200.100.8.51.1.8.100:21200.100.8.5NAT-dstSADASADA•NAT是NetworkAddressTranslation；很简单，就是网络设备来改变数据包IP地址的功能。•数据包的IP地址有两种，源地址和目的地址。所以NAT也分两种：一种叫NAT-src（或者叫sourcebasedNAT），改变数据包的源地址。另外一种叫NAT-dst(或者叫destinationbasedNAT),改变数据包的目的地址。•NAT-src常用在上网应用，如企业内部局域网用户访问Internet。•NAT-dst常用在服务器映射应用，如企业内部的一台