Juniper netscreen防火墙培训.ppt

《Juniper netscreen防火墙培训.ppt》由会员分享，可在线阅读，更多相关《Juniper netscreen防火墙培训.ppt（45页珍藏版）》请在三一办公上搜索。

1、Juniper netscreen 防火墙培训 王庆生 juniper 认证工程师,课程目标,NS防火墙部署方式介绍，部署方式主要有以下几种1、路由模式2、透明模式3、混合模式（1、2两种模式的结合）,内网各种应用服务器（WEB、ERP、EMAIL）的发布1、MIP、VIP、DIP2、访问应用服务器的安全策略,路由模式防火墙最常用的一种部署方式，主要是取代原有网络中的网关路由器。如图：,防火墙部署方式一、路由模式,原网络环境,架墙之后的拓扑,路由模式的配置步骤,第一步、配置防火墙的接口地址第二步、配置防火墙的缺省路由第三步、配置防火墙安全策略下面以截图具体说明,网络拓扑,E 0/0,E 0/2

2、,192.168.1.1/24,接口地址一览表(初始),编辑缺省外网接口,配置缺省外网接口IP及管理项,配置静态公网IP,公网远程管理开关,选择管理项,外网口为ROUTE内网口为NAT,内外网接口配置完成后一览表,路由一览表,添加路由条目按键,添加缺省路由,缺省路由配置格式,防火墙互联网网关地址,选择外网接口,添加缺省路由后路由表,创建Trust-Untrust区域策略,源区域 目的区域 创建,创建TrustUntrust区域策略,自定义策略名称,内网的所有地址可以访问外网的所有地址,开启LOG;并把该策略置顶执行,创建Trust-Untrust区域策略,完成策略配置,点击此处可以查看策略日志

3、,路由模式配置完成,配置完成后:Ping测试,使用内网PC用Ping192.168.1.1地址进行连通测试.Ping测试,使用内网PC用Ping外网地址进行互联网测试.,透明模式的部署环境分两种1、标准包下的透明模式2、TRUNK模式下的透明模式下面结合具体环境说明一下,防火墙部署方式二、透明模式,架墙之后的拓扑,原网络环境,标准包下的透明模式,标准包下的透明模式配置步骤,第一步、配置防火墙的接口为二层模式第二步、配置防火墙的VLAN1的地址第三步、配置防火墙安全策略下面以截图具体说明,网络拓扑,VLAN1IP 192.168.2.1/24,192.168.1.1/24,Router,透明模式

4、步骤外网接口配置,初始未配置页面,透明模式步骤外网接口配置,改变Untrust-V1-Untrust,透明模式-外网接口配置,设置VLAN1管理地址,配置用于管理的VLAN 1 IP地址,配置与缺省地址的不同私有地址用于管理,透明模式-内网接口配置,删除原有IP,透明模式-内网接口配置,更改TrustV1-Trust,透明配置完成后再次登陆,使用配置的VALN 1 IP 地址登录WEB界面,创建V1-Trust-V1-Untrust区域策略,源区域 目的区域 创建,透明模式配置完成,配置完成后:Ping测试,使用内网PC用Ping“路由器内网接口地址”进行连通测试.Ping测试,使用内网PC用

5、Ping外网地址进行互联网测试.,TRUNK模式下的透明模式下面结合具体环境说明一下,防火墙部署方式二、透明模式,架墙之后的拓扑,ROUTE,内网PC,FW,原网络环境,TRUNK模式下的透明模式,SW,TRUNK,ROUTE,内网PC,SW,TRUNK,TRUNK,TRUNK模式下的典型应用-TRUNK透传,透明模式支持VLAN透传,VLAN需终结于FW,TRUNK模式下的典型应用-内网访问控制,VLAN3用户,vlan2用户,Firewall,192.168.2.2/24,VLAN 2,Cisco 3550,应用1,聚合端口+中继端口,Trust zone:Vlan2.gw192.168.

6、2.1/24,Untrust zone:Vlan3.gw192.168.3.1/24,VLAN 3,Vlan4.gw192.168.4.1/24,192.168.3.2/24,192.168.4.2/24,Vlan5.gw192.168.5.1/24,VLAN5,192.168.5.2/24,VLAN4,应用2,互连VLAN:Vlan10192.168.10.0/30,TRUNK下的透明模式配置步骤,第一步、配置防火墙的接口为二层模式第二步、配置防火墙的VLAN1的地址第三步、配置防火墙的VLAN1接口支持TRUNK第三步、配置防火墙安全策略,混合模式是前两种模式的结合，是针对两条外网线路环境

7、下而设计的,防火墙部署方式三、混合模式,架墙之后的拓扑,ROUTE1,内网PC,FW,原网络环境,SW,ROUTE1,内网PC,SW,ROUTE2,透明模式,路由模式,混合模式配置步骤,第一步、配置防火墙的两个接口为二层模式第二步、配置防火墙的另外两个接口为路由模式第三步、配置防火墙的VLAN1接口地址第三步、配置防火墙安全策略,企业内部有各种应用服务器，需要对外发布或外部办公人员访问，在此种情况下，就需设置NS墙的MIP、VIP、DIP（防火墙部署方式需路由）,内网各种应用服务器（WEB、ERP、EMAIL）的发布,内网PC,FW,SW,WEB,MIP、VIP、DIP之间的区别,1、MIP是

8、一对一的地址映射，即一个公网地址只对应一台内网服务器，公网所有端口都映射到内部服务器。2、VIP是一对多地址转换，即一个公网地址的不同端口，可以转换到对应多台内部服务器，如外网80可转换到服务器1上，而外网的21(或其它端口)同时可转换到服务器2上；而MIP要么映射到服务器1，要么映射到服务器2上，两者不能同时存在。3、DIP是一组公网地址，让内网机器随机地转换成组内任意一个公网地址。,MIP、VIP配置步骤,第一步、选择做MIP、VIP对应的外网口第二步、确定是用MIP还是VIP发布服务器第三步、设置MIP或VIP与内网服务器对应关系第三步、配置与MIP、VIP对应的安全策略下面以最常用的V

9、IP发布WEB服务为例具体说明，MIP的设置方法与之基本相同。,VIP 配置,网络拓扑,192.168.1.1/24,WEB Server:192.168.1.254/24,安全网关VIP 配置,当网络只有一个公网IP时选择,添加VIP的公网服务器IP,当网络有多个公网IP时选择并输入公网IP,选择外网口,安全网关VIP 配置,内网服务器地址,此时和外网WEBUI管理的端口(80)冲突,解决方式见下图,安全网关VIP 配置,更改远程管理端口,自定义更改,更改WEBUI的管理端口,安全网关VIP 配置,VIP配置完成,安全网关VIP 安全策略配置,选择VIP 接口,安全网关VIP 安全策略配置,VIP 安全策略配置完成,感谢大家,