您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 咨询培训 > Juniper_netscreen__防火墙培训进阶篇
Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›Junipernetscreen防火墙培训王启龙Juniper认证工程师Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›课程目标规范公司员工合理有效的上网策略:地址、服务、时间、流量监控、认证、会话控制、日志地址绑定分支机构、移动办公,安全连入总部VPN(L2TP、IPSEC、SSLVPN)分公司为星型VPN冗余Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›策略的组成源地址&目的地址•地址•地址群服务•预定义服务•定制服务•定制服务群动作会话控制日志高级选项时间、流量控制/统计、认证地址服务动作日志流量统计认证一、安全策略Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›创建策略WebUI模式组成选择From与To的安全区源&目的地址通过下拉菜单选取前面设定的地址服务通过下拉菜单选取前面设定的服务行动允许,拒绝,安全隧道日志Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›认证,流量控制、统计认证流量控制流量统计Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›重点:流量控制,认证。针对不同的服务或者部门,可以制定不同的流量策略,保证其带宽。重要资源要求身份认证Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›安全策略的顺序新策略加载在最后在所有策略的末尾有隐含的denyall的策略顺序非常重要,改变策略的顺序会影响到实际应用效果Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›公司内部员工随意更改IP地址,导致地址冲突外来人员随意接入,影响公司网络安全利用防火墙实现地址绑定Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›实现MAC绑定功能需要三个步骤1、强迫执行ARP目地IP扫描:setarpalways-on-dest2、作ARP静态绑定:setarp10.0.0.2500002b34896fctrust3、设置一个地址组group,它只包含做MAC地址绑定的那些IP地址。然后设置一个策略,只让这个地址组group通过。注:此功能只能通过命令行来实现。Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›IPMAC绑定图示telnet到防火墙接口Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›二VPN应用VPN的应用说明:Juniper的网络安全防火墙设备的VPN应用模式较多,包括:基于策略的VPN、基于路由的VPN,集中星形VPN和背靠背VPN等。在这里,我们主要介绍最常用的VPN模式:策略VPN。首先,如何配置两种策略VPN,一种是点对点的VPN应用,一种是拨号VPN应用。其中点对点包括静态/动态对静态,拨号包括L2TP和IPSCE客户端两种。其次,介绍SSLVPN和VPN冗余。Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›静态对静态VPN配置地址对象服务对象VPN网关IKE对象安全策略10.1.0.5Trust10.1.0.1Untrust3.3.3.1Untrust1.1.1.1Trust10.50.0.1ERP10.50.0.5总部分部Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›13总部A与分部C之间的SitetoSiteVPN总部A部分的SitetoSiteVPN设置•VPNGateway的设置•VPN的设置•VPN策略设置分部C部分的SitetoSiteVPN设置•VPNGateway的设置•VPN的设置•VPN策略设置Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›14总部AGateway的设置对方VPN设备的网关Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›15选择VPN通道的出口总部AGateway的设置共享密钥双方必须一致Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›16总部AGateway的设置高级选项VPN双方的模式必须一致Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›17总部AIKEVPN配置在下拉菜单选取前面定义的IKEGatewayCopyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›18总部AIKEVPN配置高级选项Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›19总部AVPN策略的设置Action选择Tunnel选择A到C的VPNCopyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›20分部CGateway的设置对方VPN设备的网关Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›21分部CGateway的设置选择VPN通道的出口共享密钥双方必须一致Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›22分部CGateway的设置高级选项VPN双方的模式必须一致Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›23分部CIKEVPN配置在下拉菜单选取前面定义的IKEGatewayCopyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›24分部CIKEVPN配置高级选项Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›25分部CVPN策略的设置Action选择Tunnel选择C到A的VPNCopyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›动态对静态VPN配置一基本与静态对静态VPN设置内容一致地址对象服务对象VPN网关(动态方LOCALID)IKE对象安全策略192.168.10.5Trust192.168.10.1Untrust192.168.1.1Untrust1.1.1.1Trust10.50.0.1总部分部ERP10.50.0.5Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›动态对静态VPN配置二移动用户拨号用户地址对象+拨号用户地址池服务对象VPN网关+L2TPIKE对象安全策略Untrust1.1.1.1Trust10.50.0.1总部移动用户ERP10.50.0.5Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›28L2TP客户端访问总部A的ERP服务器L2TPTunnel的设置VPN安全策略Windows客户端的设置L2TPUser设定部分-设定L2TP用户名/密码Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›29配置L2TP用户设定用户名分配给L2TP用户的地址设定密码Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›30配置L2TPTunnel选择Tunnel的接口选择L2TP用户Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›31L2TPTunnel策略的设置Action选择Tunnel选择L2TPTunnel源地址选择Dial-UpVPN(系统自定义)Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›32Windows客户端的配置01Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›33Windows客户端的配置02Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›34Windows客户端的配置03Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›35Windows客户端的配置04Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›36Windows客户端的配置05Copyright©2008JuniperNetworks,Inc.ProprietaryandConfidential‹#›37Windows客户端的配置06Copyright©2008JuniperNetworks,Inc.ProprietaryandCon
本文标题:Juniper_netscreen__防火墙培训进阶篇
链接地址:https://www.777doc.com/doc-958953 .html