Juniper_netscreen__防火墙培训基础篇_PPT

Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›Junipernetscreen防火墙培训王庆生juniper认证工程师Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›课程目标NS防火墙部署方式介绍，部署方式主要有以下几种1、路由模式2、透明模式3、混合模式（1、2两种模式的结合）内网各种应用服务器（WEB、ERP、EMAIL）的发布1、MIP、VIP、DIP2、访问应用服务器的安全策略Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›路由模式防火墙最常用的一种部署方式，主要是取代原有网络中的网关路由器。如图：防火墙部署方式一、路由模式原网络环境架墙之后的拓扑SWROUTE内网PCFWSW内网PCNAT转换Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›路由模式的配置步骤第一步、配置防火墙的接口地址第二步、配置防火墙的缺省路由第三步、配置防火墙安全策略下面以截图具体说明Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›网络拓扑E0/0E0/2192.168.1.1/24Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›接口地址一览表(初始)编辑缺省外网接口Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›配置缺省外网接口IP及管理项配置静态公网IP公网远程管理开关选择管理项外网口为ROUTE内网口为NATCopyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›内外网接口配置完成后一览表Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›路由一览表添加路由条目按键Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›添加缺省路由缺省路由配置格式防火墙互联网网关地址选择外网接口Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›添加缺省路由后路由表Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›创建Trust-Untrust区域策略源区域目的区域创建Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›创建TrustUntrust区域策略自定义策略名称内网的所有地址可以访问外网的所有地址开启LOG;并把该策略置顶执行Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›创建Trust-Untrust区域策略完成策略配置点击此处可以查看策略日志Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›路由模式配置完成配置完成后:1.Ping测试,使用内网PC用Ping192.168.1.1地址进行连通测试.2.Ping测试,使用内网PC用Ping外网地址进行互联网测试.Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›透明模式的部署环境分两种1、标准包下的透明模式2、TRUNK模式下的透明模式下面结合具体环境说明一下防火墙部署方式二、透明模式架墙之后的拓扑原网络环境标准包下的透明模式SWROUTE内网PCFWSW内网PCROUTECopyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›标准包下的透明模式配置步骤第一步、配置防火墙的接口为二层模式第二步、配置防火墙的VLAN1的地址第三步、配置防火墙安全策略下面以截图具体说明Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›网络拓扑VLAN1IP192.168.2.1/24192.168.1.1/24RouterCopyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›透明模式步骤外网接口配置初始未配置页面Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›透明模式步骤外网接口配置改变Untrust-V1-UntrustCopyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›透明模式--外网接口配置设置VLAN1管理地址Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›配置用于管理的VLAN1IP地址配置与缺省地址的不同私有地址用于管理Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›透明模式--内网接口配置删除原有IPCopyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›透明模式--内网接口配置更改TrustV1-TrustCopyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›透明配置完成后再次登陆使用配置的VALN1IP地址登录WEB界面Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›创建V1-Trust-V1-Untrust区域策略源区域目的区域创建Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›透明模式配置完成配置完成后:Ping测试,使用内网PC用Ping“路由器内网接口地址”进行连通测试.Ping测试,使用内网PC用Ping外网地址进行互联网测试.Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›TRUNK模式下的透明模式下面结合具体环境说明一下SiSi防火墙部署方式二、透明模式架墙之后的拓扑ROUTE内网PCFW原网络环境TRUNK模式下的透明模式SWTRUNKSiSiROUTE内网PCSWTRUNKTRUNKCopyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›TRUNK模式下的典型应用--TRUNK透传VLAN2/3ROUTERSWVLAN4/5SWFWFWTrunkTrunkTrunkTrunkVLAN2ROUTERSWVLAN3FWSWTrunkTrunkTrunk192.168.1.0/24192.168.2.0/24192.168.1.1192.168.2.1透明模式支持VLAN透传VLAN需终结于FWCopyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›TRUNK模式下的典型应用--内网访问控制VLAN3用户vlan2用户Firewall192.168.2.2/24VLAN2Cisco3550应用1聚合端口+中继端口Trustzone:Vlan2.gw192.168.2.1/24Untrustzone:Vlan3.gw192.168.3.1/24VLAN3Vlan4.gw192.168.4.1/24192.168.3.2/24192.168.4.2/24Vlan5.gw192.168.5.1/24VLAN5192.168.5.2/24VLAN4应用2互连VLAN:Vlan10192.168.10.0/30Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›TRUNK下的透明模式配置步骤第一步、配置防火墙的接口为二层模式第二步、配置防火墙的VLAN1的地址第三步、配置防火墙的VLAN1接口支持TRUNK第三步、配置防火墙安全策略Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›混合模式是前两种模式的结合，是针对两条外网线路环境下而设计的SiSi防火墙部署方式三、混合模式架墙之后的拓扑ROUTE1内网PCFW原网络环境SWSiSiROUTE1内网PCSWROUTE2透明模式路由模式Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›混合模式配置步骤第一步、配置防火墙的两个接口为二层模式第二步、配置防火墙的另外两个接口为路由模式第三步、配置防火墙的VLAN1接口地址第三步、配置防火墙安全策略Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›企业内部有各种应用服务器，需要对外发布或外部办公人员访问，在此种情况下，就需设置NS墙的MIP、VIP、DIP（防火墙部署方式需路由）SiSi内网各种应用服务器（WEB、ERP、EMAIL）的发布内网PCFWSWWEBCopyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›MIP、VIP、DIP之间的区别1、MIP是一对一的地址映射，即一个公网地址只对应一台内网服务器，公网所有端口都映射到内部服务器。2、VIP是一对多地址转换，即一个公网地址的不同端口，可以转换到对应多台内部服务器，如外网80可转换到服务器1上，而外