Juniper安全相关设置及MIPVIP

Tahoma 29, bold, shadowed,Tahoma 24, bold,Tahoma 20, normal,Tahoma 18, normal,Tahoma 16, Bold,Tahoma 15, italic,Testing,*,Tahoma 29, bold, shadowed,Tahoma 24, bold,Tahoma 20, normal,Tahoma 18, normal,Tahoma 16, Bold,Tahoma 15, italic,Testing,Juniper FWV,基础售后培训,II,EDU-JUNIP-FWV-BEG,目标,Policy,基本概念,Policy,基本设置,MIP,基本设置,VIP,基本设置,2,目标,Policy,基本概念,Policy,基本设置,MIP,基本设置,VIP,基本设置,3,Policy,基本概念,-,策略的作用,Juniper,防火墙对流量的检测、控制（,包括,NAT,）都是通过策略来实现的。,策略可以通过源,/,目的地址，源,/,目的端口，协议来控制流量。,4,Policy,基本概念,-,安全区与策略的关系,默认情况下，数据流在本区内通信，不受策略限制（,Untrust Zone,除外）。,当数据流跨区时，可以通过策略进行控制。,策略可以通过源,/,目的地址，源,/,目的端口，协议来影响流量。,Untrust,Zone,Trust,Zone,1.1.70.0/24,10.1.10.5,10.1.20.0/24,B,10.1.10.0/24,DMZ,Zone,10.1.20.5,.254,200.5.5.5,A,B,C,D,10.1.1.0/24,10.1.2.0/24,.1.254,.1.254,1.1.7.0/24,1.1.8.0/24,.254.1,5,Policy,基本概念,-,Policy,的组成,Source:,经过防火墙的数据的源,IP,地址。,Destination,：经过防火墙的数据的目的,IP,地址。,Service,：指经过防火墙的数据流的协议类型，比如,HTTP,、,FTP,、,ICMP,等流量。,通过对,Source,、,Destination,、,Service,的设定，限定需要做控制的数据流。,Action,：指防火墙对该数据采取的行动，比如,permit,，,deny,、,tunnel,等。,Options,：指系统针对该数据流的做得一些附加设置，比如,Logging,（日志功能）。,6,目标,Policy,基本概念,Policy,基本设置,MIP,基本设置,VIP,基本设置,7,Policy,基本设置,-,创建步骤,为策略创建特定的地址对象（源,/,目的地址对象）。,为特定的服务,/,应用类型创建特定的服务类型。,根据数据的走向，创建策略项目，并设置相应的,Action,。,调整策略的顺序，以满足应用的需求。,通过,Options,来增强或改善对该策略的控制。,8,Policy,基本设置,-,地址对象的创建,I,Policy Policy Elements Addresses List,地址对象是基于,Zone,的，要查询某个地址对象，必须选择给地址从属的,Zone,。,如果你知道该地址对象的首字母，还可以通过,Filter,进行过滤显示。,点击“,New”,按钮可以创建新的地址对象。,9,Policy,基本设置,-,地址对象的创建,II,Address Name,栏填写地址对象的名称。,Comment,栏填写对地址对象的备注。,IP Address,栏填写,I,地址对象所对应的,IP,地址以及匹配符。要表现主机地址的时候，写法应该是,X.X.X.X/32,。,最后，在,Zone,旁边的下拉菜单选择相应的,Zone,。,10,Policy,基本设置,-,地址与地址组,II,在,Available Members,选择合适的地址对象，通过“,”,按钮，将不需要的地址对象移出该地址组。,Policy Policy Elements Addresses Groups Configuration,11,Policy,基本设置,-,地址与地址组,IV,可以通过,Address Summary,来查看系统每个,Zone,可配置的地址数量及已配置的地址数量。,Policy Policy Elements Addresses Summary,12,Policy,基本设置,-,服务对象的创建,I,系统已经预置了许多常用的应用,/,服务。如果实际需要一些特定的服务，可以自行创建。,Policy Policy Elements Services Custom,13,Policy,基本设置,-,服务对象的创建,II,Service Name,栏填入服务对象的名称。,Transport protocol,栏选择服务对象的协议类型，一般为,TCP,或,UDP,。,在,Source Port,和,Destination Port,栏填入端口号；一般的服务对象仅限制,Destination Port,。,14,Policy,基本设置,-,服务与服务组,I,当一条策略需要同时用到多个服务对象时，可以通过设定服务组来统一代表相关的服务对象。,同服务对象一样，系统也预置了一些服务组：这些服务组主要针对某些特定的应用而设置。,Policy Policy Elements Services Groups,15,Policy,基本设置,-,服务与服务组,II,在,Available Members,选择合适的服务对象，通过“,”,按钮，将不需要的服务对象移出该地址组。,16,Policy,基本设置,-,创建策略项,I,像前面所提到的一样，在创建策略项之前，必须选择数据的走向：从 什么,Zone,去 什么,Zone,。,再选择好“,From”,与“,To”,的下拉菜单后，点击“,New”,进入策略项创建菜单。,查找策略项，也同样在该页面。如果策略条目众多，可以通过“,List”,下拉菜单选择合适的页面显示条目数；比如“,List 20”,表示在这个页面中最大的同时显示策略条目为,20,条。,Policy Policies,17,Policy,基本设置,-,创建策略项,II,在,Source Address,和,Destination Address,的,Address Book Entry,选择前面创建好的地址对像。,在,Service,的下拉菜单选取前面设定好的服务对象。,在,Action,栏选择相应的处理行为，如,permit,等。,18,Policy,基本设置,-,策略的顺序,策略的执行按照先后顺序，即从上而下的寻找，直到遇到匹配的策略项为止。,正常情况下，新的策略永远加在整个策略序列的尾端。,在策略序列的尾端，有一条隐含的“,deny all”,的策略项。,策略序列的基本排列原则：将影响范围越小的策略项放在越前面。,策略的调整通过,Move,的两个按钮来实现。建议使用“,”,。,19,合理安排策略的顺序,具体策略在上，非具体策略在下,拒绝策略在上，允许策略在下,默认最后都是,Deny,Policy,基本设置,20,Policy,基本设置,-,策略的,Logging I,Logging,选项将提供匹配该策略条目的流量的日志信息。,Logging,选项被选择后，该策略条目的,Options,栏会有相应的条目产生。,点击该条目可以看到相关的日志内容。,21,Policy,基本设置,-,策略的,Logging II,22,Policy,基本设置,-,策略的,Counting I,Counting,选项将提供匹配该策略条目的流量的实时统计图表。,Counting,选项被选择后，该策略条目的,Options,栏会有相应的条目产生。,点击该条目可以看到相关的日志内容。,23,Policy,基本设置,-,策略的,Counting II,24,Policy,基本设置,-,策略的,Schedule I,Policy Policy Elements Schedules,25,目标,Policy,基本概念,Policy,基本设置,MIP,基本设置,VIP,基本设置,26,NAT,基本概念,-NAT,的种类,MIP,10.1.1.5,200.100.8.5,1.1.8.2,200.100.8.5,200.100.8.5,10.1.1.5,200.100.8.5,1.1.8.2,SA,DA,SA,DA,VIP,10.1.20.5:21,200.100.8.5,200.100.8.5,1.1.8.100:21,10.1.30.5:80,200.100.8.5,SA,DA,SA,DA,200.100.8.5,1.1.8.100:80,Juniper Firewall,引进了两种额外的,NAT,形式,:MIP,和,VIP,。,MIP,是,Mapped IP,的意思，其特点是提供了双向的,NAT,功能，相当于,NAT-src,与,NAT-dst,的组合；尤其适合于用户需要把内部的服务器映射到一个公网地址，供,Internet,访问的需求。,VIP,是,Virtual IP,的意思，其特点是可以将同个目的地址的不同端口翻译到不同的地址上去；尤其适合于用户地址资源有限，许多不同的服务器需要共用同一个公网地址（不同的端口）的情况。,27,NAT,基本配置,-,配置,MIP I,首先，要创建一个,MIP,，定义好,Mapped IP,与,Host IP,。,然后，我们要通过一条,Policy,条目来完成这个,NAT,。,MIP,10.1.1.5,200.100.8.5,1.1.8.2,200.100.8.5,200.100.8.5,10.1.1.5,200.100.8.5,1.1.8.2,SA,DA,SA,DA,28,NAT,基本配置,-,配置,MIP II,在创建,MIP,时，请选择正确的,Interface,，一般情况下是带有公网地址的那个,Interface,。,Mapped IP,填写该接口处于同,Zone,的虚拟地址。,Host IP,填写真实的主机的地址。,29,NAT,基本配置,-,配置,MIP III,在,Destination Address,栏选择预先设置的,MIP,条目。,配置了,MIP,的策略条目的颜色与其它策略没有不同。,30,NAT,基本配置,-,配置,VIP I,首先，要创建一个,VIP,，定义好,Virtual IP Address,以及,Port,。,然后，我们要通过一条,Policy,条目来完成这个,NAT,。,VIP,10.1.20.5:21,200.100.8.5,200.100.8.5,1.1.8.100:21,10.1.30.5:80,200.100.8.5,SA,DA,SA,DA,200.100.8.5,1.1.8.100:80,31,NAT,基本配置,-,配置,VIP II,在创建,VIP,时，请选择正确的,Interface,，一般情况下是带有公网地址的那个,Interface,。,点击“,Add”,按钮，添加新的,Virtual IP Address,。,点击“,New VIP Service”,按钮，进入,VIP Service,设置页面；该项可反复使用。,Virtual Port,填入提供的虚拟端口，,Map to Service,选项选择真实提供的服务。,Map to IP,项填写真实的主机地址。,32,NAT,基本配置,-,配置,VIP III,在创建,VIP,时，请选择正确的,Interface,，一般情况下是带有公网地址的那个,Interface,。,点击“,Add”,按钮，添加新的,Virtual IP Address,。,点击“,New VIP Service”,按钮，进入,VIP Service,设置页面；该项可反复使用。,Virtual Port,填入提供的虚拟端口，,Map to Service,选项选择真实提供的服务。,Map to IP,项填写真实的主机地址。,33,NAT,基本配置,-,配置,VIP IV,在创建,MIP,时，请选择正确的,Interface,，一般情况下是带有公网地址的那个,Interface,。,点击“,Add”,按钮，添加新的,Virtual IP Address,。,点击“,New VIP Service”,按钮，进入,VIP Service,设置页面；该项可反复使用。,Virtual Port,填入提供的虚拟端口，,Map to Service,选项选择真实提供的服务。,Map to IP,项填写真实的主机地址。,34,NAT,基本配置,-,配置,VIP V,在创建,VIP,时，请选择正确的,Interface,，一般情况下是带有公网地址的那个,Interface,。,点击“,Add”,按钮，添加新的,Virtual IP Address,。,点击“,New VIP Service”,按钮，进入,VIP Service,设置页面；该项可反复使用。,Virtual Port,填入提供的虚拟端口，,Map to Service,选项选择真实提供的服务。,Map to IP,项填写真实的主机地址。,35,NAT,基本配置,-,配置,VIP VI,在,Destination Address,栏选择预先设置的,VIP,条目。,配置了,VIP,的策略条目的颜色与其它策略没有不同。,36,