14.9 元
下载资源

Juniper防火墙配置

上传人:wuli****0220 文档编号:244756500 上传时间:2024-10-05 格式:PPT 页数:66 大小:1.78MB
返回 下载 相关 举报
Juniper防火墙配置_第1页
第1页 / 共66页
Juniper防火墙配置_第2页
第2页 / 共66页
Juniper防火墙配置_第3页
第3页 / 共66页
点击查看更多>>
资源描述
Copyright 2007 Juniper Networks, Inc. Proprietary and Confidential,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,Juniper,防火墙基础,目录,Juniper,防火墙简介及作用,Juniper,防火墙基本配置,Juniper,防火墙的接口模式,Juniper,防火墙的策略,Juniper,防火墙端口映射,防火墙应用场景,1,防火墙应用场景,2,DMZ,区,安全区,2,“,供访客使用 只能上网,安全区,1,供员工使用,Web, email,关键应用,企业总部,/,数据中心,性能容量,Juniper,防火墙型号对应,远程办公室,/,中小企业,/,中小分支机构,中大企业,/,大型分支机构,30 Gbps,1,0 Gbps,NS5400,NS5200,4,Gbps,1,Gbps,600Mbps,300Mbps,ISG2000,ISG1000,SSG550,SSG520,SSG140,SSG5,SSG20,总部,/,数据中心,省级,/,地市核心,分支机构,SSG320/350,SSG,系列型号,SSG 5 & SSG20 (ssg20,有,2,个,Mini,插槽的),160 Mbps FW / 40 Mbps VPN,会话数:,8000,,加,license,可扩展到,16000,SSG 140,350+ Mbps FW / 100 Mbps VPN,8 FE + 2 GE Interfaces + 4 PIM slots,会话数:,48000,SSG 320M/350M,450+ Mbps FW / 175 Mbps VPN; 550+ Mbps FW / 225 Mbps VPN;,4 GE + 3 or 5 PIM slots,会话数:,48000;,SSG 520M/550M,2Gbps FW / 300 Mbps VPN,;,4 Gbps FW / 500 Mbps VPN,4GE + 6 PIM slots,会话数:,128000,;,256000,SSG 5,SSG 20,SSG 140,SSG 550M,SSG 520M,SSG 320M,SSG 350M,规格对照之SSG 5,防火墙性能(大型数据包) 160 Mbps,防火墙性能(IMIX) 90 Mbps,每秒处理的防火墙数据包数量 30,000PPS,3DES+SHA-1 VPN性能 40 Mbps,并发VPN隧道数 25/40 ,最大并发会话数 8,000/16,000,新会话/秒 2,800 最大安全策略数 200 最大安全区数量 8,最大虚拟路由器数量 3/4 最大虚拟局域网数量 10/50,固定I/O 7x10/100 802.11 a/b/g 可选,需要购买扩展许可,规格对照之SSG 20,防火墙性能(大型数据包) 160 Mbps,防火墙性能(IMIX) 90 Mbps,每秒处理的防火墙数据包数量 30,000,PPS3DES+SHA-1 VPN性能 40 Mbps,并发VPN隧道数 25/40 ,最大并发会话数 8,000/16,000,新会话/秒 2,800 最大安全策略数 200 最大安全区数量 8,最大虚拟路由器数量 3/4 最大虚拟局域网数量 10/50,固定I/O 5x10/100,微型物理接口模块(Mini-PIM)扩展插槽 (I/O) 2,802.11 a/b/g 可选,需要购买扩展许可,规格对照之SSG 140,防火墙性能(大型数据包) 350+ Mbps,防火墙性能(IMIX) 300Mbps,每秒处理的防火墙数据包数量 100,000PPS,3DES+SHA-1 VPN性能 100 Mbps,并发VPN隧道数 500 ,最大并发会话数 48,000,新会话/秒 8,000 最大安全策略数1,000 最大安全区数量 40,最大虚拟路由器数量 6 最大虚拟局域网数量 100,固定I/O 8x10/100,2x10/100/1000,物理接口模块(PIM)扩展插槽 (I/O) 4,无802.11 a/b/g,规格对照之SSG 350,防火墙性能(大型数据包) 550+ Mbps,防火墙性能(IMIX) 500Mbps,每秒处理的防火墙数据包数量 225,000PPS,3DES+SHA-1 VPN性能 225 Mbps,并发VPN隧道数 500 ,最大并发会话数 128,000,新会话/秒 12,500 最大安全策略数2,000 最大安全区数量 40,最大虚拟路由器数量 8 最大虚拟局域网数量 125,固定I/O 4x10/100/1000,物理接口模块(PIM)扩展插槽 (I/O) 5,无802.11 a/b/g,可转换为junos软件,产品特点与效益列表,特点一:提供完整的统一威胁管理(UTM)功能,效益, 状态防火墙,可执行接入控制并阻止网络层攻击, 整合入侵检测解决方案(IPS),有效阻止应用层的攻击, 提供 Site-to-site IPSec VPN,以确保各分支机构之间能够安全通信, 阻止拒绝服务(DoS)攻击, 支持 H.323、SIP、SCCP和MGCP的应用层网关,以检测和保护VoIP流量, 整合卡巴斯基防病毒技术,防止病毒、间谍软件、广告软件和其它恶意软件的 入侵, 整合SOPHOS防垃圾邮件技术,有效阻止不知名的垃圾邮件和钓鱼邮件, 整合Websense技术,有效控制和阻止对恶意网站的访问,特点与效益,特点二:防火墙整合路由功能,效益,结合安全防御和 LAN/WAN路由功能,并能够阻止内部网络与应用层中出现的攻击,以保护企业内部网络,降低 IT的费用支出,特点三:提供各种不同的LAN和WAN 接口选项,效益,包括T1/E1, Serial, DS3/E3, ADSL, Ethernet, SFP等,特点与效益,特点四:提供稳定的路由协议,效益,提供最好的路由协议,包括OSPF、BGP和RIP v1/2,而且兼容于Frame Relay、Multilink Frame Relay、PPP、Multilink PPP和HDLC,特点五:支持自动联机VPN (AC VPN),效益,可自动完成设置,并且以集中星型(hub-and-spoke)拓扑在远程分支机构之间自动建立VPN隧道,以提供高扩展性支持,特点与效益,特点六:支持多种高可用性选项,效益,支持接口或设备之间的故障切换机制,使服务不中断,特点七:多种管理方式,效益,可通过图形化Web接口、CLI或Network and Security Manager中央管理系统加以管理,特点与效益,特点八:整合统一接入控制(UAC),效益,可作为统一接入控制(UAC)的执行端,验证用户身份、设备安全状态等,特点九:支持基于路由/策略的VPN,效益,为企业在VPN环境里提供网络流量的负载平衡与备份功能,特点与效益,特点十:网络分段,效益,SSG系列提供一组高级网络分段功能,如桥接群组、安全区、虚拟LAN和虚拟路由器,让网管人员能够针对不同用户群组、无线网络和区域服务器,部署不同等级的安全防护机制。强大的网络安全管理和控制能力,能防止未经授权就接入网络的内、外部和DMZ子群组。,目录,Juniper,防火墙简介及作用,Juniper,防火墙基本配置,Juniper,防火墙的接口模式,Juniper,防火墙的策略,Juniper,防火墙端口映射,Juniper,管理方式,Web UI,默认的管理地址是,默认用户名密码是,netscreen,CLI,console,连接,设置主机名,CLI,SSG5-Serial- set hostname,Z-Pai-FW,Web UI,Network-DNS-Host-Host Name,设置管理员账号、密码,CLI,SSG5-Serial-set admin user,zpai,password,*,privilege all,Web UI,Configuration-administratrs-NEW,Zone,(区段),区段是由一个或者多个网段组成的集合,需要通过策略来对入站和出站数据流进行调整。区段是绑定了一个或者多个端口的逻辑实体。,可以设置,3,层区段和,2,层区段。,查看,Zone,CLI,Get zone,Web UI,Network-Zone,创建,Zone,设置,2,层,zone,,名字前必须加上,l2,CLI,set zone name,l2,*,L2,Web UI,Network-Zone-NEW,配置端口,zone,CLI,set interface ethernet0/0 zone untrust,Web UI,network-interfaces-list -,选择端口,EDIT,在,zone name,中选取,点击,OK,配置端口管理方式及设置管理地址,CLI,set interface eth0/0 ip 192.168.1.1 255.255.255.0,set interface eth0/0 manage web,set interface eth0/0 manage telnet,Web UI,network-interfaces-list -,选择端,口EDIT,设置地址类,型DHC,P,、PPPo,E或者是静态地,址,可以设置此端口的管理功,能we,b管理,、telen,t、等功能,设置,DHCP,及,DHCP,地址范围,CLI,set interface bgroup0 dhcp server enable,set interface bgroup0 dhcp server option gateway 192.168.1.1,set interface bgroup0 dhcp server option netmask 255.255.255.0,set interface bgroup0 dhcp server ip 192.168.1.10 to,Web UI,network-DHCP-,选择端口,Edit,设置,DHCP,模式,,DHCP,网关、掩码,,DHCP,的,DNS,Networ-DHCP-,选择端口,address,设置,DHCP,地址范围,目录,Juniper,防火墙简介及作用,Juniper,防火墙基本配置,Juniper,防火墙的接口模式,Juniper,防火墙的策略,Juniper,防火墙端口映射,防火墙的接口模式,接口的连接模式,动态地址,静态地址,PPPoE,接口的传输模式,路由模式,NAT,模式,透明模式,透明模式,路由模式,VS,透明模式,路由模式,防火墙扮演一个三层设备,基于目的,IP,地址转发数据包。 透明模式,防火墙扮演一个二层设备,如同桥或交换机,基于目的,MAC,地址转发以太帧,透明模式与交换机,防火墙同交换机一样使用,MAC,地址表,智能地基于帧的目的,MAC,地址进行转发;但是,防火墙不会泛洪,MAC,地址表不存在的未知的目的单播,MAC,地址。,防火墙不参与生成树(,STP,)。因此,必须保证在使用透明模式防火墙时,不能故意增加二层环路。如果有环路,你会很快的该设备和交换机的,CPU,利用率会增加到,100,。,交换机在第一层和第二层处理流量,透明模式防火墙可以在第一层到第七层处理流量。因为,透明模式防火墙既可以基于第二层信息转发流量,又可以基于,ACLs,、甚至应用层策略来转发流量。,透明模式默认的策略是出站全部允许,进站全部禁止,设置接口的连接模式,CLI,set interface ethernet0/6 dhcp client enable,set interface ethernet0/6,set pppoe name pppoe,set pppoe name pppoe username 123 password 123,set pppoe name pppoe interface ethernet0/6,Web UI,Network-Interfaces-,选择端口,-edit,选择,Obtain IP Using DHCP,、,Obtain IP Using PPPoE,或者,Static IP,设置接口的传输模式,设置路由模式或,NAT,模式,CLI,set interface e0/0 nat,set interface e0/0 route,Web UI,Network-Interfaces-,选择端口,-edit,在,interface mode,中选择,NAT,或者,Route,设置接口的传输模式,设置透明模式,CLI,set interface eth0/5 zone v1-trust,set interface eth0/6 zone v1-untrust,Web UI,Network-interface-vlan1 edit,设置管理地,址,Network-interface-eth0/5 edit,更,改zone nam,e,为v1-trust,Network-interface-eth0/6 edit,更,改zone nam,e,为v1-untrust,目录,Juniper,防火墙简介及作用,Juniper,防火墙基本配置,Juniper,防火墙的接口模式,Juniper,防火墙的策略,Juniper,防火墙端口映射,策略的组成(,1,),ID,是策略的序号,但不是策略匹配的顺序,Name,是策略的名称,可以通过名称来标识策略的作用,Zone,区段,在之前以及讲过,Address name/group,设置策略的源地址和目的地址,一定要先创建地址名称或者地址组。在策略中只能引用地址名称,/,地址组。,策略的组成(,2,),Service name,服务的名称,系统中有定义好的服务,可以通过,get service,来查看服务的名称及使用的端口号。如果策略中要使用的服务不在列表中,需要自己来创建。同地址一样,在策略中只能引用策略名称。,动作,允许,permit/,禁止,deny/,拒绝,reject,创建地址名称和地址组,CLI,set address trust,address-name,.10 .255,set group address trust,group-name,add,address-name,Web UI,Policy-Policy Elements- address-list,点击,new,新建地址,Policy-Policy Elements- address -group,点击,new,新建组,创建服务,CLI,set service,service-name,protocol tcp src-port,11-11,Web UI,Policy-Policy Elements-services-custom,点击,New,来新建,在,transport protocol,中选择,IP,协议,选择,source prot,或者,destination port,,填写端口号,策略的结构,ID Name From,zone,to,zone,source-address-name destination-address-name service-name,permit/deny,CLI,Set policy from trust to untrust aa any http deny,添加多个服务,Set policy id 10,Set service dns,Set service ftp,exit,Web UI,Policy-policies,选择,From,(,zone,),To,(,zone,)点击,New,新建策略,Name,是可选项,在源地址和目的地址中可选取在,address list,中建立的地址池,也可在,new address,中直接添加。,Service,中也可以添加多个服务,点击,multiple,中选择,目录,Juniper,防火墙简介及作用,Juniper,防火墙基本配置,Juniper,防火墙的接口模式,Juniper,防火墙的策略,Juniper,防火墙端口映射,防火墙端口映射的步骤,1,创建要映射的服务端口名称,CLI,set service,service-name,protocol tcp dst-port,8080-8080,Web UI,Policy-Policy Elements-services-custom,点击,New,来新建,在,transport protocol,中选择,IP,协议,选择,destination port,,填写要映射的端口号,防火墙端口映射的步骤,2,创建要映射的端口地址及映射,CLI,set interface e0/0 vip interface-ip,port-number,service-name,映射地址,Web UI,Network-interface-list,选择端口,edit,,点击,VIP,页面,选择,same as the interface IP address,点击,add,然后点击,new VIP,Service,选择,map to service,服务,填写映射地址,防火墙端口映射的步骤,3,创建映射策略,CLI,set policy from untrust to trust any vip any permit,Web UI,Policy-policies,选择,From,(,untrust,),To,(,trust,)点击,New,新建策略,在,destination address,中选择,VIP,在,Action,中选择,Permit,THE END,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!