Junipernetscreen防火墙培训

Copyright 2008 Juniper Networks, Inc. Proprietary and Confidential,57,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Copyright 2007 Juniper Networks, Inc. Proprietary and Confidential,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Copyright 2008 Juniper Networks, Inc. Proprietary and Confidential,58,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Copyright 2007 Juniper Networks, Inc. Proprietary and Confidential,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,防火墙培训 王启龙 认证工程师,课程目标,规范公司员工合理有效的上网,策略 :地址、服务、时间、流量监控、认证、,会话控制、日志,地址绑定,分支机构、移动办公, 安全连入总部,（L2、 ）,分公司为星型,冗余,策略的组成,源地址目的地址,地址,地址群,服务,预定义服务,定制服务,定制服务群,动作,会话控制,日志,高级选项,时间、流量控制/统计、认证,地址,服务,动作,日志,流量统计,认证,一、安全策略,创建策略 模式,组成,选择与的安全区,源目的地址,通过下拉菜单选取前面设定的地址,服务,通过下拉菜单选取前面设定的服务,行动,允许, 拒绝, 安全隧道,日志,认证，流量控制、统计,认证,流量控制,流量统计,重点：流量控制，认证。,针对不同的服务或者部门，可以制定不同的流量策略，保证其带宽。,重要资源要求身份认证,安全策略的顺序,新策略加载在最后,在所有策略的末尾有隐含的 的策略,顺序非常重要，改变策略的顺序会影响到实际应用效果,公司内部员工随意更改地址，导致地址冲突,外来人员随意接入，影响公司网络安全,利用防火墙实现地址绑定,实现绑定功能需要三个步骤,1、强迫执行目地扫描： 2、作静态绑定： 10.0.0.250 0002b34896 3、设置一个地址组，它只包含做地址绑定的那些地址。然后设置一个策略，只让这个地址组通过。,注：此功能只能通过命令行来实现。,绑定图示,到防火墙接口,二 应用,的应用说明：,的网络安全防火墙设备的应用模式较多，包括：基于策略的、基于路由的，集中星形和背靠背等。在这里，我们主要介绍最常用的模式：策略。,首先，如何配置两种策略，一种是点对点的应用，一种是拨号应用。其中点对点包括静态/动态对静态，拨号包括L2和客户端两种。,其次， 介绍 和冗余。,静态对静态配置,地址对象,服务对象,网关,对象,安全策略,10.1.0.5,10.1.0.1,3.3.3.1,1.1.1.1,10.50.0.1,10.50.0.5,总部,分部,13,总部A与分部C之间的,总部A部分的 设置,的设置,的设置,策略设置,分部C部分的 设置,的设置,的设置,策略设置,14,总部A 的设置,对方设备的网关,15,选择通道的出口,总部A 的设置,共享密钥双方必须一致,16,总部A 的设置 高级选项,双方的模式必须一致,17,总部A 配置,在下拉菜单选取前面定义的,18,总部A 配置 高级选项,19,总部A 策略的设置,选择,选择A到C的,20,分部C 的设置,对方设备的网关,21,分部C 的设置,选择通道的出口,共享密钥双方必须一致,22,分部C 的设置 高级选项,双方的模式必须一致,23,分部C 配置,在下拉菜单选取前面定义的,24,分部C 配置 高级选项,25,分部C 策略的设置,选择,选择C到A的,动态对静态 配置一,基本与静态对静态 设置内容一致,地址对象,服务对象,网关（动态方 ）,对象,安全策略,192.168.10.5,192.168.10.1,192.168.1.1,1.1.1.1,10.50.0.1,总部,分部,10.50.0.5,动态对静态 配置二 移动用户,拨号用户,地址对象+拨号用户地址池,服务对象,网关2,对象,安全策略,1.1.1.1,10.50.0.1,总部,10.50.0.5,28,L2 客户端访问总部A的服务器,L2 的设置,安全策略,客户端的设置,L2 设定部分, 设定L2用户名/密码,29,配置L2用户,设定用户名,分配给L2用户的地址,设定密码,30,配置L2,选择的接口,选择L2用户,31,L2 策略的设置,选择,选择L2,源地址选择 （系统自定义）,32,客户端的配置 01,33,客户端的配置 02,34,客户端的配置 03,35,客户端的配置 04,36,客户端的配置 05,37,客户端的配置 06,38,客户端的配置 07,注意：,远程用户所在的内部网络不能与 内部网络相同的子网。,在 2003创建一条L2,在 下面要修改注册表：,开始/运行，找到下面这个路径,新增或修改的值为1。,重启计算机。,40,软件客户端访问总部A的服务器,设置,设置,安全策略,客户端的设置,设定部分, 设定用户的,41,配置用户,设置,设定其它值会导致异常,客户端也须配置两者须一致,42,配置,1,选择 ，并在对应下拉菜单选择我们刚才设定的用户,设置共享密钥，客户端也须设置相同的值（最少8位）,43,配置 高级选项,1,注意 使用模式,如果连接中有存在，请勾选此项，开启穿透功能；并做 检查,44,配置,2,在下拉菜单选取前面定义的,45,配置 高级选项,2,46,总部A 策略的设置,选择,选择,源地址选择 （系统自定义）,47,远程客户端的配置 01,新建一个连接，取名后，点中它，出现右方基本配置界面。,在该选项中输入我们的目标地址，即安全网关后面的内部子网/主机的地址。,选中该选项，并在中选取 ，输入安全网关的外网口地址。,48,远程客户端的配置 02,点击新建连接的加号键，点中 进行设置,在中选择；在 中输入与前面安全网关配置中一致的值。,在选项中选择 ，然后输入与前面安全网关 用户配置中一致的值。,49,远程客户端的配置 03,选中 进行设置。,在 1 中选择 。,根据前面在安全网关中 中 2 选择的不同，选择是否使用。,50,远程客户端的配置 04,选中 1,进行 1的设置。,根据前面在安全网关中 中 1的选择，选择一致的选项。,51,远程客户端的配置 05,选中 2,进行 2的设置。,根据前面在安全网关中 中 2的选择，选择一致的选项。,介绍,网关首先它是一种基于架构的远程访问方式，作为一种新兴的技术，与传统的 技术各具特色，各有千秋。,比较适合用于移动用户的远程接入()，而 则在网对网()的连接中具备先天优势。,与 区别,1、 多用于“网网”连接， 用于“移动客户网”连接。 的移动用户使用标准的浏览器，无需安装客户端程序，即可通过 隧道接入内部网络;而 的移动用户需要安装专门的客户端软件。,2、 用户不受上网方式限制， 隧道可以穿透;而客户端需要支持“穿透”功能才能穿透，而且需要打开500端口。,4、 只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。而 需要管理通讯的每个节点，网管专业性较强。,5、 更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方认证系统(如、等)结合更加便捷。而 主要基于五元组对用户进行访问控制。,与 区别,速度偏慢解决方案 远程接入,应用企业部门数据比较集中，随着商务模式的不断变化，远程办公、移动办公越来越多，但对于来说相对速度较慢，不能完美地解决此问题。,远程接入不需要对原有的网络有变更，只需在单位局域网内放置一台服务器，移动办公客户端无需安装任何的客户端软件，实现零客户端安装，通过方式即可访问。使用轻松简洁，十分人性化。员工无论何时何地快速接入体验远程、移动办公。,改变从解决问题开始（技术原理）,应用系统服务器端,安装应用系统客户端和系统,他们通过浏览器远程登陆,完,感谢大家,!,