Juniper防火墙配置.ppt

Juniper防火墙基础,目录,Juniper防火墙简介及作用Juniper防火墙基本配置Juniper防火墙的接口模式Juniper防火墙的策略Juniper防火墙端口映射,防火墙应用场景1,防火墙应用场景2,DMZ区,安全区2“供访客使用 只能上网,安全区1供员工使用Web,email,关键应用,企业总部/数据中心,性能容量,Juniper防火墙型号对应,远程办公室/中小企业/中小分支机构,中大企业/大型分支机构,30 Gbps,10 Gbps,NS5400,NS5200,4 Gbps,1 Gbps,600Mbps,300Mbps,ISG2000,ISG1000,SSG550,SSG520,SSG140,SSG5,SSG20,总部/数据中心,省级/地市核心,分支机构,SSG320/350,SSG系列型号,SSG 5 SSG 520M/550M2Gbps FW/300 Mbps VPN；4 Gbps FW/500 Mbps VPN4GE+6 PIM slots会话数：128000；256000,SSG 5,SSG 20,SSG 140,SSG 550M,SSG 520M,SSG 320M,SSG 350M,规格对照之SSG 5,防火墙性能（大型数据包）160 Mbps防火墙性能(IMIX)90 Mbps 每秒处理的防火墙数据包数量 30,000PPS 3DES+SHA-1 VPN性能 40 Mbps并发VPN隧道数 25/40，最大并发会话数 8,000/16,000新会话/秒 2,800 最大安全策略数 200 最大安全区数量 8最大虚拟路由器数量 3/4 最大虚拟局域网数量 10/50固定I/O 7x10/100 802.11 a/b/g 可选需要购买扩展许可,规格对照之SSG 20,防火墙性能（大型数据包）160 Mbps防火墙性能(IMIX)90 Mbps 每秒处理的防火墙数据包数量 30,000 PPS3DES+SHA-1 VPN性能 40 Mbps并发VPN隧道数 25/40，最大并发会话数 8,000/16,000新会话/秒 2,800 最大安全策略数 200 最大安全区数量 8最大虚拟路由器数量 3/4 最大虚拟局域网数量 10/50固定I/O 5x10/100 微型物理接口模块(Mini-PIM)扩展插槽（I/O）2802.11 a/b/g 可选需要购买扩展许可,规格对照之SSG 140,防火墙性能（大型数据包）350+Mbps防火墙性能(IMIX)300Mbps 每秒处理的防火墙数据包数量 100,000PPS3DES+SHA-1 VPN性能 100 Mbps并发VPN隧道数 500，最大并发会话数 48,000新会话/秒 8,000 最大安全策略数1,000 最大安全区数量 40最大虚拟路由器数量 6 最大虚拟局域网数量 100固定I/O 8x10/100,2x10/100/1000 物理接口模块(PIM)扩展插槽（I/O）4无802.11 a/b/g,规格对照之SSG 350,防火墙性能（大型数据包）550+Mbps防火墙性能(IMIX)500Mbps 每秒处理的防火墙数据包数量 225,000PPS3DES+SHA-1 VPN性能 225 Mbps并发VPN隧道数 500，最大并发会话数 128,000新会话/秒 12,500 最大安全策略数2,000 最大安全区数量 40最大虚拟路由器数量 8 最大虚拟局域网数量 125固定I/O 4x10/100/1000 物理接口模块(PIM)扩展插槽（I/O）5无802.11 a/b/g 可转换为junos软件,产品特点与效益列表,特点一：提供完整的统一威胁管理(UTM)功能效益 状态防火墙，可执行接入控制并阻止网络层攻击 整合入侵检测解决方案(IPS)，有效阻止应用层的攻击 提供 Site-to-site IPSec VPN，以确保各分支机构之间能够安全通信 阻止拒绝服务(DoS)攻击 支持 H.323、SIP、SCCP和MGCP的应用层网关，以检测和保护VoIP流量 整合卡巴斯基防病毒技术，防止病毒、间谍软件、广告软件和其它恶意软件的 入侵 整合SOPHOS防垃圾邮件技术，有效阻止不知名的垃圾邮件和钓鱼邮件 整合Websense技术，有效控制和阻止对恶意网站的访问,特点与效益,特点二：防火墙整合路由功能效益 结合安全防御和 LAN/WAN路由功能，并能够阻止内部网络与应用层中出现的攻击，以保护企业内部网络，降低 IT的费用支出特点三：提供各种不同的LAN和WAN 接口选项效益 包括T1/E1,Serial,DS3/E3,ADSL,Ethernet,SFP等,特点与效益,特点四：提供稳定的路由协议效益 提供最好的路由协议，包括OSPF、BGP和RIP v1/2，而且兼容于Frame Relay、Multilink Frame Relay、PPP、Multilink PPP和HDLC特点五：支持自动联机VPN(AC VPN)效益 可自动完成设置，并且以集中星型(hub-and-spoke)拓扑在远程分支机构之间自动建立VPN隧道，以提供高扩展性支持,特点与效益,特点六：支持多种高可用性选项效益 支持接口或设备之间的故障切换机制，使服务不中断特点七：多种管理方式效益 可通过图形化Web接口、CLI或Network and Security Manager中央管理系统加以管理,特点与效益,特点八：整合统一接入控制(UAC)效益 可作为统一接入控制(UAC)的执行端，验证用户身份、设备安全状态等特点九：支持基于路由/策略的VPN效益 为企业在VPN环境里提供网络流量的负载平衡与备份功能,特点与效益,特点十：网络分段效益 SSG系列提供一组高级网络分段功能，如桥接群组、安全区、虚拟LAN和虚拟路由器，让网管人员能够针对不同用户群组、无线网络和区域服务器，部署不同等级的安全防护机制。强大的网络安全管理和控制能力，能防止未经授权就接入网络的内、外部和DMZ子群组。,目录,Juniper防火墙简介及作用Juniper防火墙基本配置Juniper防火墙的接口模式Juniper防火墙的策略Juniper防火墙端口映射,Juniper管理方式,Web UI 默认的管理地址是 默认用户名密码是netscreenCLI console连接,设置主机名CLISSG5-Serial-set hostname Z-Pai-FWWeb UINetwork-DNS-Host-Host Name,设置管理员账号、密码CLISSG5-Serial-set admin user zpai password*privilege allWeb UIConfiguration-administratrs-NEW,Zone（区段）区段是由一个或者多个网段组成的集合，需要通过策略来对入站和出站数据流进行调整。区段是绑定了一个或者多个端口的逻辑实体。可以设置3层区段和2层区段。查看ZoneCLIGet zoneWeb UINetwork-Zone,创建Zone设置2层zone，名字前必须加上l2CLI set zone name l2*L2 Web UI Network-Zone-NEW,配置端口zoneCLI set interface ethernet0/0 zone untrust Web UI network-interfaces-list-选择端口EDIT 在zone name中选取，点击OK,配置端口管理方式及设置管理地址CLIset interface eth0/0 ip 192.168.1.1 255.255.255.0 set interface eth0/0 manage web set interface eth0/0 manage telnet Web UI network-interfaces-list-选择端口EDIT设置地址类型DHCP、PPPoE或者是静态地址可以设置此端口的管理功能web管理、telent、等功能,设置DHCP及DHCP地址范围CLIset interface bgroup0 dhcp server enableset interface bgroup0 dhcp server option gateway 192.168.1.1 set interface bgroup0 dhcp server option netmask 255.255.255.0 set interface bgroup0 dhcp server ip 192.168.1.10 to Web UInetwork-DHCP-选择端口 Edit设置DHCP模式，DHCP网关、掩码，DHCP的DNSNetwor-DHCP-选择端口 address设置DHCP地址范围,目录,Juniper防火墙简介及作用Juniper防火墙基本配置Juniper防火墙的接口模式Juniper防火墙的策略Juniper防火墙端口映射,防火墙的接口模式,接口的连接模式动态地址静态地址PPPoE接口的传输模式路由模式NAT模式透明模式,透明模式,路由模式VS透明模式路由模式，防火墙扮演一个三层设备，基于目的IP地址转发数据包。透明模式，防火墙扮演一个二层设备，如同桥或交换机，基于目的MAC地址转发以太帧透明模式与交换机防火墙同交换机一样使用MAC地址表，智能地基于帧的目的MAC地址进行转发；但是，防火墙不会泛洪MAC地址表不存在的未知的目的单播MAC地址。防火墙不参与生成树（STP）。因此，必须保证在使用透明模式防火墙时，不能故意增加二层环路。如果有环路，你会很快的该设备和交换机的CPU利用率会增加到100。交换机在第一层和第二层处理流量，透明模式防火墙可以在第一层到第七层处理流量。因为，透明模式防火墙既可以基于第二层信息转发流量，又可以基于ACLs、甚至应用层策略来转发流量。透明模式默认的策略是出站全部允许，进站全部禁止,设置接口的连接模式CLIset interface ethernet0/6 dhcp client enableset interface ethernet0/6 set pppoe name pppoeset pppoe name pppoe username 123 password 123set pppoe name pppoe interface ethernet0/6Web UINetwork-Interfaces-选择端口-edit选择Obtain IP Using DHCP、Obtain IP Using PPPoE 或者Static IP,设置接口的传输模式设置路由模式或NAT模式CLIset interface e0/0 natset interface e0/0 routeWeb UINetwork-Interfaces-选择端口-edit在interface mode中选择 NAT或者Route,设置接口的传输模式设置透明模式CLIset interface eth0/5 zone v1-trustset interface eth0/6 zone v1-untrustWeb UINetwork-interface-vlan1 edit 设置管理地址Network-interface-eth0/5 edit 更改zone name为v1-trustNetwork-interface-eth0/6 edit 更改zone name为v1-untrust,目录,Juniper防火墙简介及作用Juniper防火墙基本配置Juniper防火墙的接口模式Juniper防火墙的策略Juniper防火墙端口映射,策略的组成（1）,ID是策略的序号，但不是策略匹配的顺序Name是策略的名称，可以通过名称来标识策略的作用Zone区段，在之前以及讲过Address name/group设置策略的源地址和目的地址，一定要先创建地址名称或者地址组。在策略中只能引用地址名称/地址组。,策略的组成（2）,Service name服务的名称，系统中有定义好的服务，可以通过get service来查看服务的名称及使用的端口号。如果策略中要使用的服务不在列表中，需要自己来创建。同地址一样，在策略中只能引用策略名称。动作允许permit/禁止deny/拒绝reject,创建地址名称和地址组CLIset address trust address-name.10.255set group address trust group-name add address-nameWeb UIPolicy-Policy Elements-address-list 点击new 新建地址Policy-Policy Elements-address-group点击new新建组,创建服务CLIset service service-name protocol tcp src-port 11-11Web UIPolicy-Policy Elements-services-custom点击New来新建在transport protocol中选择IP协议选择source prot 或者 destination port，填写端口号,策略的结构ID Name From zone to zone source-address-name destination-address-name service-name permit/deny CLISet policy from trust to untrust aa any http deny添加多个服务Set policy id 10Set service dns Set service ftpexitWeb UIPolicy-policies 选择From（zone）To（zone）点击New新建策略Name是可选项，在源地址和目的地址中可选取在address list中建立的地址池，也可在new address中直接添加。Service中也可以添加多个服务，点击multiple中选择,目录,Juniper防火墙简介及作用Juniper防火墙基本配置Juniper防火墙的接口模式Juniper防火墙的策略Juniper防火墙端口映射,防火墙端口映射的步骤1创建要映射的服务端口名称CLIset service service-name protocol tcp dst-port 8080-8080Web UIPolicy-Policy Elements-services-custom点击New来新建在transport protocol中选择IP协议选择destination port，填写要映射的端口号,防火墙端口映射的步骤2创建要映射的端口地址及映射CLIset interface e0/0 vip interface-ip port-number service-name 映射地址Web UINetwork-interface-list 选择端口 edit，点击VIP页面选择same as the interface IP address 点击add然后点击new VIP Service,选择map to service服务，填写映射地址,防火墙端口映射的步骤3创建映射策略CLIset policy from untrust to trust any vip any permitWeb UIPolicy-policies 选择From（untrust）To（trust）点击New新建策略在destination address中选择VIP在Action中选择Permit,THE END,