juniper技术培训

防火墙技术与实践操作培训王志金Mobile:18701005618Email:net.wzj@gmail.com2防火墙运行模式•透明模式•路由/地址翻译模式•混合模式3防火墙所能实现的一般功能•安全功能–访问控制–NAT–会话认证–带宽管理–VPN–Anti-DoS–…•组网功能–工作模式–路由协议(OSPF,RIP)–组播–PPPoE–DHCPClient/Server,Relay–…NetScreen安全架构5NetScreenDeviceVSYSVirtualSystem安全体系的构成VirtualRouter1VirtualRouter2VirtualRouterR.T.R.T.ForwardingTableZoneAZoneBZoneCZoneDZonesE1E2E3E4E5E6E7E8InterfacesFlow1.2.3.4SRC-IP5.6.7.8DST-IP1234SRC-Port80DST-Port6ProtocolSession5.6.7.8SRC-IP1.2.3.4DST-IP80SRC-Port1234DST-Port6ProtocolPolicyCheckA-CPolicy系统管理7基本原理-接口8基本原理-子接口9基本原理-物理接口10建立Console口的连接•通过Console口可以直接连接和管理NetScreen设备•通过Console口连接的几点好处–安全专用的物理端口连接–完成配置不需要连接网络电缆–不需要IP地址–能够查看系统引导信息–能够实时查看DEBUG或SNOOP的输出信息NetScreenDeviceConsolePort11命令行接口（CLI）的功能•打开一个终端会话;使用默认账号登陆–login:netscreenpassword:netscreen•登陆后默认就是命令行接口（CLI）模式–使用上、下箭头可调用以前使用过的命令–使用CTL-A可将光标移动到当前命令的前端–使用CTL-E可将光标移动到当前命令的末端–使用左右箭头可自由移动命令行中的光标–使用TAB可快速自动完成命令输入–简单易用帮助功能•使用?可显示所有命令•在命令中使用可显示命令格式•在命令中使用还可以显示具体命令参数12帮助–CLIns208-?clearcleardynamicsysteminfoexecexecsystemcommandsexitexitcommandconsolegetgetsysteminformationpingpingotherhostresetresetsystemsavesavecommandsetconfiguresystemparameterstrace-routetracerouteunsetunconfiguresystemparameters•输入?以后,将显示两列信息:–左列显示命令的名称–右列显示命令的解释13ns208-getsystemProductName:NS208SerialNumber:0043042002000034,ControlNumber:00000000HardwareVersion:0110(0)-(11),FPGAchecksum:00000000,VLAN1IP(0.0.0.0)SoftwareVersion:5.0.0.0,Type:Firewall+VPNBaseMac:0010.db1d.1c30FileName:n200-LAS0z0ad,Checksum:00000000Date04/15/200322:06:53,DaylightSavingTimeenabledTheNetworkTimeProtocolisDisabledUp2hours31minutes14secondsSince15Apr200319:35:39TotalDeviceResets:0SysteminNAT/routemode.UseinterfaceIP,ConfigPort:80UserName:netscreenInterfaceethernet1:number0,if_info0,if_index0,modenatlinkup,phy-linkup/full-duplexvsysRoot,zoneTrust,vrtrust-vrdhcpdisabled*ip1.1.1.1/24mac0010.db1d.1c30*manageip1.1.1.1,mac0010.db1d.1c30---more---显示防火墙状态信息-CLI•在CLI中,getsystem命令可以提供一些关于防火墙系统有价值的信息:–Systemserialnumber–Softwareversion–Operatingmode–Interfacestatus–Interfaceaddress–Managementaddresses14图形界面-WebUI•NetScreen可以提供web图形界面的管理接口给系统管理员–所需的最小配置(ie浏览器.和一个IP地址)–PC可以配置一个和防火墙相同子网的IP地址来访问防火墙的WEBUI–通过用户名密码访问15主页-WebUI•主页显示的信息与getsystem输出的信息类似16管理访问–配置概述•为IP连接配置接口–分配地址–选择管理服务–管理IP地址(可选)•更改根管理员密码•创建系统管理员•管理选项–超时–管理IP地址17配置安全域/接口-WebUINetworkInterfaces(edit)18选择管理服务–WebUI•默认状态下防火墙安全域的管理服务配置–Trust安全域:所有服务打开–其他安全域:所有服务都关闭NetworkInterfacesEdit19管理IP地址•管理IP可以单独定义，默认采用接口IP地址setinterfacenamemanage-ipaddress)ns208setinterfacee1manage-ip1.1.1.250NetworkInterfacesEdit20校验接口配置-WebUINetworkInterfacesEdit21设备管理员•NetScreen设备管理员可具有不同的管理权限–根管理员是ScreenOS预定义的–根管理员可以创建不同权限的其他本地管理员点击new创建新的本地管理员ClicktoviewsettingsforRootaccountConfigurationAdminAdministrators22更改根管理员用户名/密码ConfigurationAdminAdministratorssetadminnamenamesetadminpasswordpassword23创建系统管理员ConfigurationAdminAdministratorssetadminusernamenamepasswordpasswordprivilege[all|read-only]24超时设置-Console•通过CONSOLE口来设置系统超时–默认值是10分钟–如果要关闭次功能，则将其设置为0setconsoletimeoutnumberofminutesns208setconsoletimeout525超时设置-WebUIsetadminauthtimeoutminutesConfigurationAdminManagement26管理IP地址•为了提供更高的安全保障，NETSCREEN设备能够通过设置Manage-ip来允许某些特定的地址来管理防火墙•通过‘PermittedIP’来定义可信的管理地址•‘PermittedIP’地址内容包括一个有点和十位数值的掩码–可以是一台主机,一个子网,一组子网,一段网络,etc.–每个设备做多配置6条–先前提到如‘限制管理IP’27配置允许管理防火墙的IP地址范围setadminmanager-ipaddressmaskns208-setadminmanager-ip1.1.7.250255.255.255.255ns208-setadminmanager-ip1.1.1.0255.255.255.0ConfigurationAdminPermittedIPs28配置文件管理–WebUIConfigurationUpdateConfigFile29ConfigurationUpdateScreenOS/Keys升级防火墙操作系统-WebUI运行模式1.透明模式32什么是透明模式?•防火墙接口工作在2层模式下，类似于交换机，桥接模式–Learning,Flooding,Forwarding,Filtering•透明模式允许在2层安全域之间通过策略控制流量10.1.0.0/16E1E3zoneV1-TrustzoneV1-DMZzoneV1-UntrustE233V1-Untrust透明模式的作用•可以简单快速的部署防火墙到现有网络中–不需要改变现有网络拓扑结构•“Dropitin”和IP地址设计为隐藏–策略没有限制到直连的子网–增强的安全•VPNs能够终结到netscreen设备•在基于路由的ACLs上安全域提供流量控制V1-Trust10.1.0.0/16V1-DMZBBDABC10.100.1.0/1610.200.1.0/16E34第二层安全域Pre-defined-“V1”zones–V1-Trust–V1-Untrust–V1-DMZ•User-defined–Layer-2(L2)zones•WhencreatingaL2zone,it’snamemustbeginwith“L2-”Int.Zone35VLAN1接口•逻辑的3层接口存在于VLAN安全域中•允许一个ip地址分配到netscreen设备–透明模式必须和其他设备在同一个子网–支持Manage-IP–所有的物理接口不能响应ARPV1-Trust1.1.1.101.1.1.111.1.1.12V1-DMZV1-UntrustVLAN1isalogicalinterfacewhichisaccessiblefromanytransparentzoneVLAN1interface:1.1.1.210/24E1E3E2ABC36配置透明模式1.创建2层安全域(如果不创建可以使用默认的2层域)2.分配接口到2层安全域3.为管理防火墙配置VLAN1地址3a.配置IP地址3b.选择广播方法3c.配置管理服务4.(可选)给每个安全域配置管理服务5.在透明安全域之间配置安全策略2.路由/地址翻译模式383层模式ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24PublicZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1.254.1.2541.1.7.0/241.1.8.0/24.254.1InterfaceAddressE110.1.1.1E210.1.2.1E71.1.7.1E81.1.8.139需要路由ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24PublicZone10.1.20.5.254200.5.5.5ABCD10.1.1.0/2410.1.2.0/24.1.254.1.2541.1.7.0/241.1.8.0/24.254.1•HowdoIgettohost10.1.10.5?NetworkInterfaceNextHop10.1.1.0/24E1-10.1.2.0/24E2-1.1.7.0/24E7-1.1.8.0/24E8-40静态路由ExternalZonePrivateZone1.1.70.2501.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/